Data Privacy Blog » date cu caracter personal

GDPR: Care este tratamentul aplicabil datelor cu caracter personal în cazul contractelor încheiate după 26 mai

Ciprian Timofte — Fri, 21 Sep 2018 12:56:49 +0000

Incontestabil, GDPR a determinat industria să fie mult mai atentă și mai receptivă la modul cum prelucrează datele cu caracter personal, inclusiv în contextul încheierii de contracte.

În primul rând, partenerii vor trebui să acorde o atenție specială minimizării datelor. Spre pildă, obiceiul inserării în contract a tuturor datelor de identificare a partenerului ar trebui să se schimbe. Cu alte cuvinte, indicarea în contract atât a codului numeric personal (CNP), cât și a seriei și numărului de buletin al partenerului contractual (în cazul în care acesta este o persoană fizică) ar putea ridica probleme de minimizare a datelor, din moment ce ambele atribute au același scop (și anume, identificarea unică a persoanei).

În sens similar, transmiterea unor date cu caracter personal către potențialul partener încă din faza de negociere a contractului (cum ar fi o listă conținând numele și prenumele unor angajați, precum și, eventual, a altor date relative la aceștia – salariu, domiciliu etc.) ar putea fi privită ca fiind excesivă, mai ales atunci când se realizează într-o fază incipientă a negocierilor.

De asemenea, în contextul încheierii contractelor comerciale, partenerii contractuali vor trebui să asigure transparența prelucrării, prin informarea adecvată a persoanelor vizate cu privire la caracteristicile prelucrării. Astfel, în exemplul de mai sus vizând transmiterea listei salariaților, chiar dacă transmiterea datelor s-ar dovedi necesară (respectându-se astfel principiul minimizării datelor), salariații vizați vor trebui, ca regulă, să fie informați cu privire la comunicarea datelor către partenerul destinatar și, eventual, cu privire la modul cum partenerul destinatar va prelucra respectivele date.

Pe de altă parte, ar fi bine să nu se uite faptul că obligația de informare nu este absolută, ci comportă anumite limitări și excepții, în special atunci când datele sunt obținute de la o altă persoană decât persoana vizată (cum ar fi de la celălalt partener contractual). Să spunem că vreau să achiziționez un imobil, iar contractul de vânzare-cumpărare menționează istoricul proprietății, deci inclusiv identitatea proprietarilor anteriori; în acest caz, nu va fi necesară informarea proprietarilor anteriori cu privire la o atare prelucrare, întrucât fie informarea este imposibil de realizat (nu am datele de contact), fie ar implica eforturi disproporționate, devenind astfel incidente prevederile art. 14 alin. (5) din GDPR.

Sigur, va fi crucial ca analiza incidenței excepțiilor să se realizeze în mod corect și obiectiv. Trebuie avute în vedere toate circumstanțele, cum ar fi natura datelor prelucrate, așteptările persoanei vizate, consecințele prelucrării pentru persoana vizată etc. În orice caz, recomand ca aplicabilitatea excepției să fie documentată în mod corespunzător.

Legat de cele de mai sus, aș mai remarca ceva: în ultimul timp, am constatat un anumit „reflex de supra-conformare” cu cerințele GDPR. Simplu spus, efectuarea de diverse acțiuni de conformare cu GDPR atunci când nu e neapărat cazul. Nu de puține ori, aceasta a condus la situații ilare și, pe alocuri, absurde. Am văzut, spre pildă, contracte comerciale nesofisticate, al căror obiect nu implica prelucrări semnificative de date cu caracter personal, având anexate clauze GDPR de informare pe trei pagini. Or, nu cred că este necesară furnizarea tuturor informațiilor la care face referire GDPR atunci când datele sunt obținute direct de la persoana vizată, iar prelucrarea se realizează de o manieră naturală raportat la obiectul contractului, conform așteptărilor pe care le-ar putea avea în mod rezonabil persoana vizată. Am în vedere, de exemplu, prelucrările datelor cu caracter personal ale semnatarilor unui contract (nume, prenume, semnătură, eventual date de contact). În astfel de cazuri, aș putea presupune în mod rezonabil că respectiva persoană cunoștea sau, după caz, trebuia să se aștepte la prelucrarea datelor de maniera respectivă și, prin urmare, ar deveni incidente prevederile GDPR potrivit cu care, atunci când datele sunt obținute direct de la persoana vizată, informarea nu este necesară atunci când respectiva persoană cunoștea respectivele informații. O poziție similară a fost exprimată, de altfel, și de autoritatea competentă din UK (ICO – Information Commissioner’s Office). Prin urmare, revine consultanților GDPR rolul de a calibra efortul de informare cu particularitățile contractului și impactul produs de acesta din perspectiva protecției vieții private, determinând astfel necesitatea realizării informării formale conform GDPR și, dacă e cazul, modul optim de realizare a acesteia.

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49370/GDPR-Prelucrarea-datelor-in-contracte-si-informarea-persoanelor-fizice-cu-privire-la-aceasta.html

Cât de legală este publicarea online a numelor datornicilor persoane fizice?

Țuca Zbârcea & Asociații — Thu, 17 Mar 2016 15:03:54 +0000

Articol publicat de Avocatnet.ro în data de 17 martie 2016, cu opinii ale lui Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații. Autor: Alexandru Boiciuc. Materialul este disponibil aici – http://www.avocatnet.ro/content/articles/id_42866/Cat-de-legal%C4%83-este-publicarea-online-a-numelor-datornicilor-persoane-fizice.html

Cât de legală este publicarea online a numelor datornicilor persoane fizice?

Începând din 2016, Fiscul trebuie să publice online şi lista datornicilor persoane fizice, nu doar cea a firmelor care au obligaţii fiscale restante, însă măsura poate fi considerată cel puţin discutabilă. În acest sens, pentru a vedea dacă noua obligaţie a organelor fiscale este în acord cu Legea protecţiei datelor personale şi cu Constituţia, am solicitat opiniile unor specialişti.

Până în 2015, organele Agenţiei Naţionale de Administrare Fiscală (ANAF) au publicat pe internet, în baza legii, doar lista persoanelor juridice care înregistrau obligaţii fiscale restante. Din acest an, odată cu intrarea în vigoare a noului Cod de procedură fiscală, obligaţia a fost extinsă şi pentru datornicii persoane fizice.

“Organele fiscale au obligaţia de a publica pe pagina de internet proprie lista debitorilor persoane fizice şi juridice care înregistrează obligaţii fiscale restante, precum şi cuantumul acestor obligaţii. Lista se publică trimestrial, până în ultima zi a primei luni din trimestrul următor celui de raportare şi cuprinde obligaţiile fiscale restante la sfârşitul trimestrului şi neachitate la data publicării listei”, este prevăzut în Codul de procedură fiscală.

Limita minimă de la care se face publicarea este de 100 de lei, conform Ordinului ANAF nr. 558/2016, pentru datoriile la organele fiscale centrale. În cazul datoriilor la organele fiscale locale, limita minimă este stabilită prin hotărâre a consiliului local.

Pe lista datornicilor persoane fizice se includ prenumele şi numele debitorilor, localitatea domiciliului fiscal şi cuantumul efectiv al obligaţiilor fiscale restante. În maximum 15 zile de la achitarea integrală a sumelor, autorităţile elimină datornicii din lista publică.

Motivul pentru care autorităţile au recurs la această măsură este, potrivit Ordinului ANAF nr. 558/2016, descurajarea acumulării datoriilor persoanelor fizice către stat. Iar România nu este singura ţară care procedează aşa, după cum a afirmat, la solicitarea AvocatNet.ro, un specialist de la Ţuca Zbârcea & Asociaţii (TZA).

“România nu este singurul stat care apelează la soluţia publicării datelor contribuabililor care înregistrează datorii faţă de bugetul de stat. Soluţii similare s-au vehiculat, spre exemplu, în Spania, Grecia sau Estonia, dar şi în mai multe state din SUA (între care Wisconsin, Kansas, Delaware şi Kentucky) sau în Taiwan. Autorităţile care au recurs la publicarea aşa-ziselor «name and shame lists» (în traducere, «listele ruşinii» – n. red.) speră că vor reuşi să stimuleze achitarea la timp a debitelor fiscale. De altfel, acesta este scopul declarat şi de autoritatea fiscală română”, a explicat Bogdan Halcu (foto stânga), managing associate la TZA.

Protecţia datelor personale este doar una dintre potenţialele probleme

Una dintre potenţialele probleme ce pot fi aduse în discuţie atunci când vorbim despre publicarea online a numelor şi a localităţilor de domiciliu ale datornicilor persoane fizice este protecţia datelor personale.

“Publicarea numelui şi a localităţii de domiciliu ale contribuabilului persoană fizică ridică probleme care ţin de protecţia datelor cu caracter personal. Astfel, publicarea unor asemenea date în condiţiile descrise în Ordinul ANAF nr. 588/2016 intră în sfera noţiunii de prelucrare a datelor cu caracter personal (…). Aşadar, trebuie respectate exigenţele prevăzute în legislaţia în domeniul prelucrării datelor cu caracter personal, chiar dacă datele ce vor fi publicate de către ANAF nu vor fi în toate cazurile suficiente cât să identifice persoana contribuabilului. (…) Din această perspectivă, este interesant de văzut dacă modul în care se va face publicarea listelor datornicilor respectă garanţiile oferite de legislaţia în domeniul protecţiei datelor cu caracter personal”, ne-a spus Bogdan Halcu.

Specialistul de la TZA a atras atenţia că atât directiva europeană cu privire la protecţia datelor personale, cât şi Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date oferă garanţia proporţionalităţii. Concret, aşa cum se arată în Legea protecţiei datelor personale, informaţiile de acest fel trebuie să fie, printre altele, prelucrate cu bună-credinţă, adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi apoi prelucrate.

Ce este o obligaţie fiscală restantă?
În această categorie de datorii sunt incluse atât obligaţiile fiscale pentru care a expirat termenul de plată, cât şi diferenţele de obligaţii fiscale principale şi accesorii stabilite prin decizie de impunere, chiar dacă pentru acestea termenul de plată încă n-a expirat.

“Mai întâi, este discutabil dacă publicarea numelui, a localităţii domiciliului fiscal şi a sumelor restante în sine este o măsură proporţională vizavi de scopul declarat, acela de a descuraja acumularea de arierate bugetare. Autoritatea Naţională pentru Supravegherea Prelucrării Datelor cu Caracter Personal a atras deja atenţia asupra faptului că practica publicării datelor contribuabililor nu ar satisface principiul proporţionalităţii. Apoi, chiar dacă am accepta că ideea de a publica datele contribuabililor datornici nu încalcă acest principiu, este din nou discutabil dacă se justifică publicarea datelor persoanelor fizice care datorează sume mici de bani. Notăm că intenţia ANAF este aceea de a publica datele persoanelor fizice care datorează sume peste pragul de 100 de lei. Este destul de evident că o datorie de acest fel poate fi efectul unei omisiuni sau erori şi este greu de argumentat că o atare datorie justifică înscrierea debitorului contribuabil pe «name and shame lists». Din acest punct de vedere, din nou se poate ridica problema proporţionalităţii datelor publicate vizavi de scopul urmărit de ANAF”, a punctat avocatul, care a amintit că în 2010 Casa Naţională de Asigurări de Sănătate a fost amendată pentru publicarea “listei ruşinii” cu datornicii la fondul de sănătate.

Totuşi, măsura publicării online a numelor datornicilor persoane fizice poate fi considerată legală, din moment ce chiar Legea nr. 677/2001 îi dă, în mod indirect, legitimitate, aşa cum este de părere un alt specialist contactat de redacţia noastră.

“Eu interpretez că prelucrarea de catre ANAF (dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod) a altor date cu caracter personal, cum ar fi numele şi prenumele debitorilor, poate fi efectuată în cazul de faţă în mod legal, întrucât prelucrarea este prevăzută în mod expres de o dispoziţie legală“, a afirmat, la solicitarea AvocatNet.ro, avocata Mădălina Moceanu.

Mai exact, actul normativ indicat stabileşte că “prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă persoana vizată şi-a dat în mod expres consimţământul sau prelucrarea este prevăzută în mod expres de o dispoziţie legală”. În situaţia de faţă, prelucrarea datelor personale este prevăzută de Codul de procedură fiscală.

Important! Conform Legii nr. 677/2001, este considerată prelucrare “orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea către terţi prin transmitere, diseminare sau în orice alt mod, alaturarea ori combinarea, blocarea, ştergerea sau distrugerea”. Practic, datele personale reprezintă orice informaţii referitoare la o persoană identificată sau identificabilă.

“Lista ruşinii”, contrară respectului demnităţii umane şi dreptului la imagine

Bogdan Halcu a opinat că articolul din Codul de procedură fiscală referitor la publicarea online a “listei ruşinii” ar putea să facă pe viitor obiectul unei excepţii de neconstituţionalitate, prin care să fie criticat pentru că nu respectă demnitarea umană şi dreptul la viaţă intimă, familială şi privată.

“Dreptul la viaţă privată include şi dreptul la propria imagine, ceea ce înseamnă că, în baza Constituţiei, autorităţile sunt responsabile pentru respectarea imaginii cetăţenilor. Or, publicarea numelor contribuabililor pe «name and shame lists» nu face altceva decât să păteze imaginea acestora”
Bogdan Halcu, managing associate la Ţuca Zbârcea & Asociaţii

“Publicarea numelui şi adresei de domiciliu pe listele ruşinii încalcă principiul ocrotirii demnităţii umane. Apariţia unui nume pe acea listă creează impresia că persoana respectivă a săvârşit o faptă reprobabilă, iar societatea ar trebui să ia atitudine faţă de conduita contribuabilului datornic pe care lista respectivă îl plasează într-o categorie socială inferioară. În realitate însă, nu există niciun motiv pentru care un contribuabil care datorează bugetului de stat sume mici de bani ar trebui să fie supus oprobriului public. Dacă admitem că datele din cazierul judiciar sunt protejate, şi ţinând cont că încălcarea legii penale dăunează mai grav societăţii decât neplata la timp a taxelor şi impozitelor, atunci este dificil de justificat publicarea unor atari liste. Statul are la îndemână mijloacele procedurale necesare pentru recuperarea sumelor datorate de contribuabili, astfel încât este greu de înţeles cum «demonizarea» datornicilor este o măsură necesară pentru ca statul să recupereze asemenea arierate”, a menţionat specialistul de la Ţuca Zbârcea & Asociaţii.

Totodată, avocatul a arătat că autorităţile au o obligaţie constituţională de a respecta şi ocroti viaţa intimă, familială şi privată a cetăţenilor, iar publicarea “listei ruşinii” nu face decât să le păteze imaginea: “Dreptul la viaţă privată include şi dreptul la propria imagine, ceea ce înseamnă că, în baza Constituţiei, autorităţile sunt responsabile pentru respectarea imaginii cetăţenilor. Or, publicarea numelor contribuabililor pe «name and shame lists» nu face altceva decât să păteze imaginea acestora. Însuşi scopul declarat al măsurii (acela de a descuraja acumularea de datorii) poate pune probleme de constituţionalitate. ANAF justifică măsura într-o cheie punitivă: se speră ca publicarea acestor liste să descurajeze pe contribuabilii rău-platnici prin stigmatizarea acestora. Or, dacă autorităţile îşi fac un scop din stigmatizarea cetăţenilor, există dubii serioase cu privire la modul în care acestea înţeleg să protejeze dreptul la imagine al cetăţenilor“.

Notă: AvocatNet.ro a solicitat Guvernului un punct de vedere oficial cu privire la potenţialele probleme ridicate de măsura publicării online a listei datornicilor persoane fizice. Răspunsul Executivului va fi adus în atenţia cititorilor cât mai curând după primirea acestuia.

ICCJ: Prenumele şi numele sunt date personale

Printr-o decizie publicată recent despre un caz referitor la cererile de acces la informaţiile de interes public, Înalta Curte de Casaţie şi Justiţie (ICCJ) a stabilit că prenumele şi numele unei persoane sunt date cu caracter personal.

“În interpretarea şi aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 şi art. 3 alin. (1) lit. a) din Legea nr. 677/2001, numele şi prenumele unei persoane reprezintă informaţii referitoare la date cu caracter personal, indiferent dacă, într-o situaţie dată, sunt sau nu suficiente pentru identificarea persoanei“, scrie în Decizia ICCJ nr. 37/2015.

Concret, judecătorii au apreciat că, atunci când un document include atât informaţii de interes public, cât şi date personale ale persoanelor fizice, acesta trebuie să fie făcut accesibil numai după anonimizarea datelor personale.

“În cazul cererilor de liber acces la informaţii de interes public, întemeiate pe dispoziţiile Legii nr. 544/2001, atunci când informaţiile de interes public şi informaţiile cu privire la datele cu caracter personal sunt prezente în cuprinsul aceluiaşi document, indiferent de suportul ori de forma sau de modul de exprimare a informaţiilor, accesul la informaţiile de interes public se realizează prin anonimizarea informaţiilor cu privire la datele cu caracter personal; refuzul de acces la informaţiile de interes public, în condiţiile în care informaţiile cu privire la datele personale sunt anonimizate, este nejustificat“, subliniază magistraţii.

Decizia ICCJ a apărut în Monitorul Oficial spre sfârşitul lunii ianuarie şi, de la data publicării, a devenit obligatorie pentru toate instanţele din ţară. Aceasta are ca scop asigurarea unei practici unitare a instanţelor judecătoreşti.

Cloud computing în Europa de Est, ediția a II-a

Andreea Lisievici — Tue, 23 Jun 2015 15:59:04 +0000

Ţuca Zbârcea & Asociaţii a contribuit la redactarea secţiunii privind cadrul legislativ din România al publicației „Cloud Computing in Eastern Europe – Survey of Regulatory Framework, 2nd Edition” (Cloud computing în Europa de Est – Studierea cadrelor de reglementare”), editată de Microsoft şi Pierstone.

Ediția iunie 2015 este disponibilă şi la adresa http://www.tuca.ro/_popup/?artno=87 sau poate fi descărcată la linkul Cloud Computing in Eastern Europe-2nd Edition.

Dreptul la imagine în contextul distribuirii fotografiilor pe rețelele de socializare

Bogdan Halcu — Fri, 16 Jan 2015 15:32:31 +0000

Acest articol a apărut în “Revista Română de Drept al Afacerilor” numărul 11/2014 şi este republicat cu acordul revistei.

Explozia de popularitate a aplicațiilor de social media a înlăturat aproape în totalitate barierele comunicării de masă. Cu un slide și două-trei tap-uri pe ecranul telefonului, utilizatorul Facebook poate distribui gânduri sau imagini de zeci de ori mai repede decât redactorii oricărei publicații și-ar fi închipuit nu cu foarte mulți ani în urmă. Libertatea de exprimare, augmentată de succesul aplicațiilor de social media nu înseamnă totuși renunțarea la sau limitarea protecției valorilor sociale tradiționale, inclusiv a dreptului la ocrotirea vieții private.

I. Dreptul la imagine

La nivel de principiu, captarea imaginii (fotografierea) unei persoane ori utilizarea acestei imagini (inclusiv prin distribuiri pe site-urile de socializare) sunt interzise în absența consimțământului prealabil al persoanei fotografiate, sau, în cazul minorilor, în absența consimțământului prealabil al reprezentanților legali. Totuși, dreptul la imagine nu este un drept absolut, iar fotografierea și utilizarea imaginii unei persoane sunt permise chiar în lipsa unui consimțământ prealabil atunci când acestea se fac cu bună credință în exercitarea altor drepturi fundamentale cum este, de exemplu, dreptul la libera exprimare.

Delimitarea dreptului la imagine de dreptul la liberă exprimare nu este un exercițiu simplu, iar instanțele de judecată sunt de multe ori puse în situația de a cântări atent limitele acestor drepturi fundamentale atunci când sunt chemate să decidă dacă utilizarea imaginii unei persoane satisface sau nu exigențele legale. În efortul de a trasa granița între dreptul la imagine și dreptul la liberă exprimare, legea și practica judiciară au definit câteva reguli principiale.

Fotografierea unei persoane aflate într-un spațiu privat, indiferent că acel spațiu îi aparține ei sau altei persoane, fără acordul acesteia, este de principiu interzisă, indiferent dacă este urmată sau nu de utilizarea acelei imagini sau înregistrări (art. 74 lit. c) din Noul Cod Civil). Mai mult decât atât, în condițiile Codului Penal[1] fotografierea unei persoane aflate în spații private fără consimțământul său ar putea reprezenta infracțiune pedepsită cu amendă sau chiar închisoare.

La polul opus se află situația fotografierii / utilizării imaginii unei persoane surprinse într-un loc public în desfășurarea unei activități publice (artiștii care susțin un concert, sportivii care participă la un eveniment sportiv etc.) caz în care, de principiu, utilizarea imaginii persoanei respective fără acordul său nu încalcă legea dacă nu aduce atingere reputației ori demnității sale.

Situațiile cel mai des întâlnite și care generează conflicte legale sunt acelea când, fără acordul său, se utilizează imaginea unei persoane surprinse într-un loc public, însă în desfășurarea unei activități private (de exemplu, persoanele din publicul unui concert sau unui eveniment sportiv). Legea nu consacră regula conform cu care tot ce se întâmplă pe domeniul public poate fi filmat sau fotografiat. Dreptul la imagine ar suferi o restrângere nejustificată dacă el ar putea fi exercitat numai în limitele spațiilor private. Activitățile curente presupun deplasarea și prezența individului în spații și locuri publice, iar a considera că această alegere reprezintă o opțiune în sensul acceptării unei expuneri către publicul larg ar conduce la concluzia forțată că o persoană va putea să păstreze intimitatea activităților sale zilnice numai dacă ar rămâne în permanență în securitatea unui spațiu privat[2]. Din acest motiv, fotografierea și utilizarea imaginilor cu activități private desfășurate în locuri publice sunt legale numai dacă înregistrările sunt utilizate cu bună-credință. Aceasta impune existența unui interes legitim[3] care să justifice fotografierea și utilizarea, interes care trebuie să existe inclusiv la momentul fotografierii (de ex. surprinderea unor fapte nelegale). În caz contrar, utilizarea cu bună-credință este pusă sub semnul întrebării, iar persoana în cauză se va putea opune utilizării imaginii sale.

Într-o situație specială se află persoanele general cunoscute, fie deoarece ocupă o funcție care implică desfășurarea unor activități publice (de exemplu membrii Parlamentului, Guvernului și ai altor autorități publice), fie datorită domeniului în care profesează (actori, cântăreți sau alte categorii de artiști și persoane larg cunoscute). În primul caz, fotografierea și utilizarea imaginilor sunt mai permisive, notorietatea persoanei conferind o notă de „publicitate” activităților sale, corespunzătoare unei nevoi de informare mai acute a publicului larg. În cel de-al doilea caz, activitățile private ale persoanelor general cunoscute vor putea fi surprinse fără acordul lor dacă există un interes legitim al publicului larg de a cunoaște conduita acestora în timpul nealocat activității ce presupune expunere.

Reglementări similare există și în alte state. De exemplu, în Franța a fost sancționată situația în care imaginea unei persoane, surprinsă în public, a fost utilizată fără acordul său într-un context care urmărește să dea o altă dimensiune imaginii, plasând individul într-o ipostază diferită de cea inițială[4]. De asemenea, instanța supremă franceză a decis[5] că informarea publicului cu privire la consecințele unui eveniment trebuie să se facă cu respectarea demnității persoanei[6].

Jurisprudența franceză recunoaște la rândul său un regim special pentru persoanele publice[7]; este prezumată existența consimțământului ca parte a activității publice sau profesiei, cu condiția ca imaginea să fie utilizată în scopuri de informare și non-comerciale. În aceeași notă, doctrina italiană susține principiul conform cu care publicarea imaginii unei persoane fără consimțământul acesteia este permisă atunci când subiectul este o persoană cunoscută, dacă publicarea este necesară pentru înfăptuirea justiției sau pentru realizarea unor interese generale ale societății[8].

II. Distribuirea portretelor în general

Fotografierea și distribuirea imaginii unei persoane fără acordul acesteia trebuie să se facă cu responsabilitate, astfel încât să se asigure un just echilibru între libertatea de expresie, nevoia publicului de informare și respectarea vieții private. O relație de prietenie între cel care utilizează imaginea și persoana vizată nu este de natură să „legalizeze” utilizarea imaginii primului fără acordul său, însă ar putea să aibă relevanță sub aspectul existenței unui acord implicit al persoanei portretizate.[9] De asemenea, art. 76 din Codul civil prezumă acordul persoanei fotografiate pentru utilizarea imaginii sale atunci când respectiva persoană a oferit fotografia unei persoane despre care cunoștea că își desfășoară activitatea în domeniul informării publicului (de exemplu unui fotoreporter).

În plus față de cele de mai sus, publicarea fotografiei unei persoane constituie prelucrare a datelor cu caracter personal ale persoanei în cauză. În conformitate cu legislația specială în materia prelucrării datelor personale (Legea nr. 677/2001[10]), persoanele vizate au dreptul să se opună prelucrării datelor lor (în cazul de față, utilizarea imaginii), putând obliga pe cel care publică imaginile în cauză să le șteargă. În măsura în care persoana vizată suferă o vătămare morală, iar încetarea utilizării imaginii nu este suficientă pentru a acoperi această vătămare, instanța de judecată poate obliga pe autorul utilizării să plătească daune morale. În plus, refuzul de a șterge imaginile relevante conform dispozițiilor instanței poate atrage obligarea celui în cauză să plătească o amendă stabilită pe zi de întârziere până la conformarea cu decizia instanței de judecată.

III. Distribuirea portretelor în cazul particular al rețelelor de socializare

Pe lângă considerentele de ordin juridic general expuse mai sus, rețelele de socializare au și condiții proprii referitoare la distribuirea de fotografii, inclusiv cele în care sunt portretizate persoane. În cele ce urmează vom analiza situația particulară a distribuirii fotografiilor pe Facebook, fiind rețeaua de socializare cu cei mai mulți utilizatori și, deci, cea mai reprezentativă.

Politica Facebook este, în linii mari, că utilizatorii sunt răspunzători pentru legalitatea conținutului postat. Cu titlu special, Standardele Comunității Facebook[11] prevăd faptul că înainte să distribui conținut pe Facebook trebuie să te asiguri că ai dreptul să faci acest lucru, și totodată că nu trebuie să publici informațiile personale ale altor persoane dacă nu ai consimțământul acestora, ceea ce înseamnă că fiecare utilizator în parte trebuie să aibă consimțământul persoanelor fotografiate pentru a le distribui pe Facebook. Facebook are implementate și remedii pentru situațiile în care cerințele indicate nu sunt respectate. Mai exact, persoanele care se consideră lezate prin publicarea unor imagini fără acordul lor, au la îndemână posibilitatea raportării imaginilor[12]. În cazul în care raportarea se întemeiază pe încălcarea drepturilor de proprietate intelectuală, exista două opțiuni: solicitarea ca utilizatorul să șteargă imaginea, sau raportarea către Facebook pe motiv că imaginea încalcă drepturile persoanei vizate. În cel de-al doilea caz dacă, în urma verificării, Facebook constată că într-adevăr au fost încălcate Standardele Facebook, atunci va înlătura imaginea respectivă fără a solicita implicarea utilizatorului care a distribuit imaginea.

O chestiune mai puțin perceptibilă utilizatorilor obișnuiți ai rețelelor de socializare este faptul că termenii și condițiile serviciilor respective pot prevedea faptul că utilizatorii acordă deținătorilor rețelei dreptul de a utiliza fotografiile postate. De exemplu, în 2013 s-a creat ceva vâlvă atunci când Facebook a propus modificarea condițiilor sale pentru a dobândi dreptul de a folosi conținutul utilizatorilor în legătură cu publicitatea făcută de terți pe rețeaua de socializare, însă limbajul foarte invaziv a fost modificat. La fel, termenii Instagram se doreau modificați în așa fel încât rețeaua (deținută tot de Facebook) să poată folosi fotografiile postate.

Este important de precizat că Facebook poate fi considerat spațiu public, cu unele nuanțări. Cea mai clară situație este cea în care postările au setarea de audiență ca „public”. Aceasta deoarece postarea respectivă devine accesibilă oricui, fie că vorbim de prieteni sau followeri cărora postarea le apare în fluxul de știri, de alți utilizatori care au un link direct la postarea respectivă, sau chiar persoane care nu sunt logate sau nu au cont de Facebook, și care găsesc postarea respectivă prin motoare de căutare sau linkuri postate pe alte pagini de internet. Practic, în momentul în care un utilizator distribuie ceva pe Facebook cu setare de audiență publică, diseminarea informației respective este teoretic nelimitată.

Situația mai puțin clară este cea în care utilizatorul are setarea de audiență limitată la prieteni. Într-o decizie recentă[13], Curtea de Apel Mureș a decis că „rețeaua de socializare Facebook nu poate echivala, sub aspectul controlului mesajelor difuzate cu o căsuță poștală electronică”, iar profilul personal pe Facebook „chiar dacă este accesibil doar prietenilor adică unui grup restrâns de persoane, tot public este, oricare dintre „prieteni” putând distribui informațiile postate de titularul paginii, aspecte pe care reclamantul îl cunoștea”. Cu alte cuvinte, în opinia instanței nici setarea de audiență limitată la prieteni nu modifică publicitatea conținutului distribuit, pentru simplul motiv că oricare dintre acei prieteni poate re-distribui conținutul în cauză. Raționamentul este însă discutabil pentru că, în cazul redistribuirii de către un prieten (B) unei poze pe care titularul (A) a distribuit-o prietenilor săi, redistribuirea lui B va fi vizibilă numai prietenilor comuni ai celor doua persoane (care aveau acces la conținutul cu pricina după prima distribuire), pentru toți ceilalți prieteni doar ai lui B apărând cel mult un mesaj care anunță că respectivul conținut nu este disponibil. Totuși, din motivarea Curții de Apel Mureș putem întrevedea și posibila rezolvare a problemei: dacă titularul restricționează audiența, în așa fel încât din punct de vedere tehnic să dispară posibilitatea redistribuirii[14], ar rezulta că acel conținut nu mai are caracter public.

IV. Remedii pentru încălcarea dreptului la imagine prin distribuire pe rețele de socializare

În măsura în care un terț folosește fără drept datele personale și/sau fotografiile unei persoane, există mai multe remedii de ordin juridic la care se poate recurge. Mai întâi, în ce privește protecția datelor cu caracter personal, persoana poate face plângere la Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal, care poate face controale și aplica sancțiuni operatorilor din România care prelucrează contrar legii date cu caracter personal (cum este imaginea). În măsura în care operatorul de date este în străinătate însă, lucrurile se complică, mai ales dacă este în afara Uniunii Europene.

Pe de altă parte, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe[15] prevede că utilizarea unei opere (inclusiv fotografie) care conține un portret fără consimțământul persoanei reprezentate în acest portret și fără ca acest consimțământ să fie implicit, constituie contravenție și se sancționează cu amendă de la 3.000 lei la 30.000 lei (suma se dublează în cazul persoanelor juridice care folosesc fără drept portrete în scop comercial). Constatarea și sancționarea contravenției intră în sarcina Poliției, către care trebuie înaintată plângerea de către persoana care se consideră lezată.

Bineînțeles, în toate cazurile persoana care consideră că a suferit un prejudiciu prin folosirea unei fotografii în care este portretizată se poate adresa instanței pentru a solicita încetarea vătămării și acoperirea prejudiciului suferit. Poate fi vorba atât de un prejudiciu material (cum este cazul în care fotografia ar fi folosită în scop comercial) cât și de un prejudiciu moral (atingeri aduse reputației, de exemplu).

_____________________

[1] Conform art. 226 alin (1) din Noul Cod Penal: „Atingerea adusă vieții private, fără drept, prin fotografierea, captarea sau înregistrarea de imagini, ascultarea cu mijloace tehnice sau înregistrarea audio a unei persoane aflate într-o locuință sau încăpere ori dependință ținând de aceasta sau a unei convorbiri private se pedepsește cu închisoare de la o lună la 6 luni sau cu amendă.”

[2] În același sens, Curtea de Apel București reține în cuprinsul Deciziei 119/R/2009 că „a considera că persoanele publice aflate în spații publice desfășoară în mod obligatoriu activități publice ar conduce la o limitare a prevederilor Legii 8/1996 [decizia este dată în contextul reglementării anterioare, n.n.] deoarece ar echivala cu protecția acestei categorii de persoane numai cât timp ele se află într-un spațiu privat, chiar dacă în mod obiectiv acestea sunt nevoite să iasă din aceste spații (private) pentru desfășurarea unor activități necesare derulării vieții lor private”.

[3] În ceea ce privește analiza interesului legitim al persoanei care ar folosi fotografia și balanța între acesta și interesele persoanei portretizate, este relevant Avizul Grupului de Lucru Art. 29 nr. 06/2014 cu privire la noțiunea de interese legitime ale operatorului în temeiul articolului 7 din Directiva 95/46/CE (WP 217), disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.

[4] Fotografierea unui copil în cadrul unui festival de folk este posibilă, chiar și fără acordul părinților, dacă el este surprins în acel context, în acea ipostază. În momentul în care poza inițială este transformată într-un portret, fotografia capătă o valență cu totul nouă, ce nu putea fi anticipată în mod rezonabil la momentul luării deciziei de a participa la festival, pentru care este nevoie de acordul părinților – Cour de Cassation, Chambre civile 1, 12 decembrie 2000, 98-21.311.

[5] Cour de Cassation, Chambre civile 1, 20 februarie 2001, 98-23.471.

[6] Această limitare este consacrată expres în alin. (6) al art. 30 din Constituția României.

[7] Cour de Cassation, 1ère Chambre Civile, 3 aprilie 2002, apel nr. 99-19852.

[8] Luigi Tramontano, „Codice Civile spiegato”, decima edizione, pag. 81.

[9] „Le consentement donné par l’intéressé sur la diffusion de son image doit être interprété de façon restrictive. Ainsi, constitue une atteinte à la vie privée la publication de photographies ne respectant pas la finalité visée dans l’autorisation donnée par l’intéressé”. Cass. Civ. 1ère, 30 mai 2000 (JCP 2001.II.10524, note Montels). Chiar daca in speță nu se menționează modul in care a fost dat acordul, considerăm ca raționamentul este pertinent pentru oricare din cazuri: utilizarea fotografiei trebuie să se păstreze în limita definită prin autorizare, fie ea expresă sau tacită; cu privire la cea tacită nu putem considera că ea ar avea un caracter general deoarece codul circumstanţiază scopul prin calitatea persoanei beneficiare, „în domeniul informării publicului”.

[10] Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulație a acestor date, publicată în Monitorul Oficial nr. 790 din 12 decembrie 2001, cu modificările și completările ulterioare.

[11] https://www.facebook.com/communitystandards.

[12] Mai multe informații se pot găsi pe pagina dedicată https://www.facebook.com/help/428478523862899.

[13] Curtea de Apel Târgu Mureș, Secția a II-a civilă de contencios administrativ și fiscal, sentința nr. 21 din 17 ianuarie 2013, disponibilă la http://storage0.dms.mpinteractiv.ro/media/1/186/3927/10654636/1/decizie-mircea-muntean.pdf. Decizia a fost menţinută şi în calea de atac de către Înalta Curte de Casaţie şi Justiţie, printr-o decizie din 27 noiembrie 2014, încă nepublicată.

[14] Acest lucru se poate realiza prin restrângerea audienței la liste de prieteni sau la anumiți prieteni, cazuri în care (cel puțin în prezent) nici persoanele respective nu mai au posibilitatea redistribuirii.

[15] Legea 8/1996 privind dreptul de autor si drepturile conexe, publicată în Monitorul Oficial nr. 60 din 26 martie 1996, cu modificările și completările ulterioare.

Codul de bune practici pentru furnizorii de servicii cloud (public) care prelucrează date cu caracter personal

Andreea Lisievici — Wed, 03 Dec 2014 08:56:06 +0000

În luna iulie 2014 International Organization for Standardization (ISO) şi International Electrotechnical Commission (IEC) au publicat standardul de securitate 27018:2014 („Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”).

Deşi puţin promovată până în prezent, adoptarea acestui standard este un eveniment important în lumea serviciilor IT, atât pentru furnizorii de cloud cât şi pentru utilizatorii, actuali sau viitori, ai acestui tip de servicii încă foarte noi. Aşa cum arătam cu altă ocazie, serviciile cloud nu au practic o reglementare legală, astfel că singurele norme care sunt aplicabile sunt de fapt cele în materia protecţiei datelor cu caracter personal (dacă asemenea date sunt prelucrate de către client prin intermediul serviciului).

Scopul principal al standardului 27018 este simplu – să ofere un set de reguli comune de securitate adaptate prelucrării datelor cu caracter personal în contextul serviciilor cloud. Având în vedere faptul că securitatea datelor în cloud este un aspect major, fie că este o piedică fie că este pur şi simplu o preocupare legitimă pentru orice utilizator diligent, este foarte probabil ca implementarea standardului 27018 să servească la crearea unui cadru comun în materie, astfel încât utilizatorii să ştie ce anume să caute la un furnizor de cloud, iar cei din urmă să ştie ce informaţii să aibă gata pregătite pentru informarea clientului. Mai mult, având în vedere că natura multi-tenant a cloudului public nu permite fiecărui utilizator să auditeze serviciul, existenţa unor standarde detaliate, cum este ISO 27018 în materia securităţii pentru datele cu caracter personal, pentru care furnizorul obţine o confirmare periodică poate umple cu succes acest gol.

ISO 27018 este un subset al standardului ISO 27002 (Information technology – Security techniques – Code of practice for information security controls), pe care îl adaptează pentru serviciile cloud. Ca atare, pentru furnizorii de cloud care deja deţin certificare pentru ISO 27002 nu va fi deloc dificil să urmărească şi să obţină certificarea inclusiv pentru noul ISO 27018. Apoi, noul standard implementează şi principiile de protecţie a datelor cu caracter personal din ISO 29100 (Information technology — Security techniques — Privacy framework) pentru a fi aplicate unui împuternicit (şi nu numai operatorului).

Pentru specialiştii din Uniunea Europeană ISO 27018 poate părea că repetă diferite cerinţe care se găseau deja în clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe şi în Avizul Grupului de Lucru Art. 29 cu privire la cloud computing – şi chiar aşa este. Însă valoarea adăugată a standardului ISO 27018 este aceea că include şi generalizează aceste norme de insipraţie europeană, care astfel capătă utilizare internaţională. Drept urmare, un client din Uniunea Europeană va putea alege un furnizor de cloud situat înafara Uniunii ştiind că, dacă este certificat pentru conformitate cu ISO 27018, atunci furnizorul respectiv respectă cerinţele stricte în materia consimţământului, transferului de date, transparenţei ş.a.m.d., care îi sunt aplicabile clientului ca operator de date situat în Uniune.

Totuşi, este important de menţionat că ISO 27018 este un standard cu vocaţie universală, indiferent de mărimea sau domeniul de activitate al organizaţiilor care îl adoptă, astfel că cerinţe sectoriale specifice aplicabile clientului operator de date – cum ar fi în domeniul serviciilor financiare sau al secretelor de stat – vor fi aplicabile inclusiv în relaţia cu împuternicitul furnizor de cloud, în plus faţă de cerinţele din standardul în discuţie. Drept urmare, deşi certificarea conformării cu ISO 27018 este un veritabil atu al unui furnizor de cloud, ea nu este neaparat suficientă pentru orice tip de client.

Fiind un cod de conduită, ISO 27018 poate fi implementat voluntar, fără vreo certificare oficială. Este însă de aşteptat că un furnizor de cloud care deţine o certificare independentă care atestă realitatea şi efectivitatea respectării standardului în toate aspectele sale va fi mai credibil decât unul care doar declară acest lucru, verificarea efectivităţii fiind imposibilă pentru client. Rămâne însă de văzut cât de repede va fi adoptat noul ISO 27018 şi de furnizorii de servicii cloud.

Câteva provocări juridice legate de adoptarea soluţiilor bazate pe Cloud

Andreea Lisievici — Mon, 01 Dec 2014 17:15:19 +0000

Acest articol a apărut în “Revista Română de Drept al Afacerilor” cu numărul 8 din data de 31 august 2014 şi este republicat cu acordul revistei.

Acest articol reprezintă o trecere în revistă a chestiunilor puse în discuţie de autoare în cadrul conferinţei „Cloud Computing: provocări și oportunități din perspectiva protecției datelor”, organizată de Microsoft Romania in data de 4 iunie 2014. Chestiunile abordate se concentrează atât pe ceea ce reprezintă cloud computingul cât şi pe câteva dintre problematicile juridice des întâlnite în legătură cu folosirea acestui tip de serviciu. Totuşi, prezentarea este una succintă, fără a avea pretenţia unei analize exhaustive.

I. Cloud computing pe scurt

Explicat într-un mod simplu, cloud computing înseamnă a oferi capacitate de procesare pentru dispozitive electronice (PC, tablete, smartphones) prin intermediul unei infrastructuri aflate la distanţă. La nivel internaţional nu există o definiţie unanim acceptată a cloud computing-ului, însă anumite instituţii consacrate au încercat să definească fenomenul. De exemplu, Institutul Naţional de Standarde şi Tehnologie al Statelor Unite (NIST) a definit cloud computingul ca reprezentând „un model care permite, la cerere, accesul în reţea comod şi ubicuu la un ansamblu comun de resurse informatice configurabile (spre exemplu reţele, servere, medii de stocare, aplicaţii şi servicii) care pot fi rapid procurate și livrate, cu efort minim sau cu interacţiune minimă din partea furnizorului de servicii”[1]. La rândul său, Comisia Europeană a precizat că cloud computingul poate fi înţeles ca „stocarea, procesarea și utilizarea de date pe computere aflate la distanță și accesate prin intermediul internetului”, reprezentând „o nouă fază de industrializare (standardizare, extindere, disponibilitatea generalizată) a furnizării puterii de calcul în regim de utilitate publică („utility computing”) comparabilă cu industrializarea furnizării de electricitate de către centralele din domeniul energiei”[2].

Comisia a notat următoarele elemente definitorii pentru cloud computing:^{^[3]}

„hardware-ul (computere, dispozitive de stocare) este deținut de furnizorul de servicii de cloud computing, nu de utilizatorul care interacționează cu acesta prin internet;
utilizarea hardware-ului este optimizată dinamic printr-o rețea de computere, astfel încât locația exactă a datelor sau a proceselor, precum și informațiile privind partea din hardware care deservește un utilizator la un moment dat nu trebuie, în principiu, să-l privească pe utilizator, chiar dacă aceste elemente pot avea o influență semnificativă asupra cadrului legal aplicabil;
furnizorii de servicii de cloud deplasează adesea sarcinile de lucru ale propriilor utilizatori (de exemplu, de la un computer la altul sau de la un centru de date la altul) pentru a optimiza utilizarea hardware-ului disponibil;
hardware-ul la distanță stochează și procesează datele și le pune la dispoziție, de exemplu, prin intermediul aplicațiilor (astfel încât o companie să poată utiliza resursele sale de cloud computing exact în același mod în care consumatorii își folosesc conturile de webmail);
organizațiile și persoanele fizice își pot accesa conținutul și își pot utiliza software-ul atunci când și unde au nevoie, de ex. pe computere desktop, laptopuri, tablete și smartphone-uri;
o configurație de cloud este formată din mai multe niveluri: hardware, middleware sau platformă și software aplicativ. standardizarea este importantă în special la nivelul intermediar, deoarece le permite dezvoltatorilor să se adreseze unui evantai larg de clienți potențiali și le oferă utilizatorilor posibilitatea de a alege;
în principiu, utilizatorii plătesc în funcție de utilizare, evitând costurile inițiale și fixe ridicate pe care le presupun configurarea și exploatarea unor echipamente informatice sofisticate;
utilizatorii pot modifica foarte ușor volumul de hardware utilizat (de exemplu, adăugarea de noi capacități de stocare online se poate efectua în câteva secunde, cu câteva clicuri de mouse”.

Serviciile cloud se încadrează în trei mari categorii:

Infrastructure as a Service (IaaS) costă în utilizarea de servere, stocare, sau infrastructură de rețea printr-o conexiune la internet. IaaS este forma de cloud computing cea mai complexă tehnic, care oferă clientului infrastructură pentru dezvoltarea, rularea, și stocarea aplicațiilor sau datelor în medii cloud. Exemplele includ Amazon Web Services, Windows Server, ferme de randare în cloud, etc.;
Platform as a Service (PaaS) constă în proiectarea, dezvoltarea, testarea, implementarea și găzduirea aplicațiilor pe platforme web (dezvoltare aplicații). Example în acest sens sunt Google App Engine, Windows Azure, Facebook Developers;
Software as a Service (Saas) foloseşte un browser web ca platformă de la care rulează aplicații și servicii web-based. Aceasta este cea mai cunoscută formă de servicii cloud pentru utilizatorul obişnuit, exemple fiind multiple: rețele sociale (Facebook, Twitter, LinkedIn), platforme de blogging (Blogger, WordPress), servicii webmail (Gmail, Yahoo, Outlook.com), portaluri de internet banking, platforme de plăți online (PayPal), platforme de servicii HR (Workday, Concur Expense, Concur Travel), platforme de productivitate (HiTask, BaseCamp), aplicații de management client (SalesForce), camere de date virtuale, suite de software de productivitate cum sunt Microsoft Office 365, Adobe Air, etc.

Uneori tipurile de mai sus sunt combinate (layered), de exemplu aplicaţia Skydox (SaaS) pentru colaborare de documente este dezvoltată pe Engine Yard (PaaS) care foloseşte Amazon Web Services (IaaS).

În funcție de tipul de modul de funcționare, mediile cloud pot fi clasificate după cum urmează:

Cloudul public – este un tip de cloud care este disponibil la contractare pentru publicul larg, fiind deținut și operat de către un terț furnizor de cloud. Se cuvine menționat faptul că a fi „public” nu înseamnă că informațiile deținute sunt distribuite către public, ci mai degrabă că tipul de serviciu cloud este, în general, pus la dispoziția publicului pentru contractare. Acest tip de cloud este cel care care se face în general referire atunci când vorbim de cloud computing.
Cloudul hibrid – datele sau aplicațiile sunt portabile și permit conectarea între cloudul public şi cel privat. Scenariul de cloud hibrid poate fi o soluție bună pentru entitățile care au cerințe speciale în anumite domenii, astfel că trebuie să îmbine avantajele cloudului public cu ale celui privat. De exemplu, clienții pot beneficia de aplicații găzduite în cloudul public, dar cu stocarea locală a informației.
Cloudul privat – este un tip de cloud găzduit pentru sau de către o singură entitate într-o rețea privată, cel mai adesea exploatat intern, în cadrul căruia doar cei din cadrul entității respective pot partaja resursele. În realitate, acest mod de operare nu reprezintă propriu-zis cloud, astfel că multe dintre aspectele analizate atunci când vorbim de servicii de cloud computing nu se aplică scenariului de cloud privat.

II. Cloud computingul pe Agenda Digitală

Comisia are ca scop declarat să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, aceasta fiind una dintre prioritățile de pe Agenda Digitală 2020[4]. Un studiu elaborat pentru Comisie în 2011-2012 a identificat beneficii importante ca urmare a adoptării cloud computing[5]: 80% din organizații au raportat o reducere a costurilor cu 10-20%, 46% au raportat o mobilitate crescută a muncii, 41% au o productivitate mai mare, în timp ce alte beneficii includ standardizare (35%), precum și noi oportunități de afaceri (33%) și piețe (32%).

Comisia a identificat trei acţiuni-cheie necesare pentru a creşte încrederea în soluţiile cloud:

identificarea unui set de standarde corespunzătoare care pot fi certificate pentru a le oferi achizitorilor publici și privați siguranța că, atunci când adoptă serviciile de cloud, își respectă obligațiile de conformitate și că primesc o soluție adecvată, adaptată nevoilor lor. Această acţiune a fost finalizată de Institutul European de Standardizare în Telecomunicații (ETSI), care a publicat raportul Cloud Standards Coordination[6] în noiembrie 2013;
stabilirea unor clauze contractuale și condiții sigure și echitabile, pentru a asigura o certitudine a cadrului juridic aferent, o siguranță ridicată a clientului şi contracte specifice și echilibrate cu furnizorii de cloud. Sub acest aspect efortul este bidirecţional. Pe de o parte, pentru utilizatorii profesioniști este necesară elaborarea unor clauze contractuale tip pentru acordurile privind nivelul serviciului în domeniul cloud computingului, întrucât acestea se află la baza încrederii pe care utilizatorii serviciilor de cloud o pot avea în capacitatea unui furnizor de cloud de a furniza servicii. Pe de altă parte, în ceea ce îi priveşte pe consumatori şi întreprinderile mici, este necesară o legislație europeană comună în materie de vânzări. În această a doua privinţă, Comisia a prezentat deja o propunere de regulament privind legislația europeană comună în materie de vânzări[7], care conține norme adaptate la furnizarea de „conținut digital” care acoperă anumite aspecte ale cloud computingului.
A treia şi ultima direcţie de acţiune identificată de Comisie este instituirea unui Parteneriat european pentru cloud, care va reuni experți ai întreprinderilor vizate și utilizatori din sectorul public, care vor elabora, într-un mod deschis și complet transparent, cerințe comune privind achizițiile publice în domeniul cloud computingului. Comisia arată că sectorul public trebuie să aibă un rol de lider în folosirea serviciilor cloud, întrucât este cel mai mare cumpărător de servicii informatice din Uniune, care poate stabili cerințe stricte privind caracteristicile, performanța, securitatea, interoperabilitatea și portabilitatea datelor, precum și de conformitate cu exigențele tehnice. Comisia are în vedere că gruparea cerințelor publice ar putea crește eficiența, iar cerințele sectoriale comune (de exemplu, privind e-sănătatea, îngrijirile sociale, asistența pentru autonomie la domiciliu și serviciile de e-guvernare) ar putea reduce costurile și ar permite interoperabilitatea.

III. Cadrul normativ

Cloud computingul nu beneficiază de o reglementare proprie, nici în România şi nici în Uniunea Europeană. Cadrul juridic relevant pentru tratamentul datelor folosite în mediul cloud constă în actele normative generale în domeniul prelucrării datelor cu caracter personal:

Directiva 95/46/CE privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care a fost implementată în dreptul român prin legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Directiva 95/46/CE și Legea nr. 677/2001 se aplică atât în cazul în care operatorul este stabilit în Uniunea Europeană, cât și în cazul în care operatorul este stabilit înafara ei dar utilizează un echipament situat în Uniune pentru prelucrarea datelor cu caracter personal (de exemplu, centre de date, servere, etc);

Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice, implementată în dreptul român prin legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
Reglementări secundare emise de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cum este Decizia nr. 132/2011 privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală
Acte emise de alte autorităţi in domenii specifice, cum este cazul Regulamentului BNR nr. 5/2013;
Avize si opinii interpretative emise de Grupul de lucru Art. 29[8], între care cele mai importante în contextul cloud computing sunt Avizul nr. 05/2012 privind „cloud computing”, Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită”, şi Avizul nr. 4/2007 privind conceptul de date cu caracter personal.

Diverse instituţii şi autorităţi la nivel european au emis ghiduri proprii în domeniul cloud computing, menite să ajute potenţialii beneficiari să îşi înţeleagă drepturile şi obligaţiile care le revin, precum şi să ofere unele linii ajutătoare în alegerea unui furnizor de cloud computing. Asemenea ghiduri includ:

„Guidelines On The Use Of Cloud Computing Services By Lawyers” emis de Consiliul Barourilor Europene (CCBE)[9];
„Guidance on the use of cloud computing”, ghidul emis de autoritatea competentă din Marea Britanie[10];
„Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing”, rezoluţia comună a autorităţiilor federale din Germania[11];
„How to Protect Your Data Without Falling From a Cloud”, ghidul emis de autoritatea competentă din Italia[12];
„Cloud services and the Personal Data Act” ghidul emis de autoritatea competentă din Suedia[13].

IV. Câteva provocări actuale

A. Alocarea rolurilor

Este clar, în contextul serviciilor cloud, că beneficiarul serviciului este operator de date cu caracter personal, el alegând ce date sunt transferate către cloud. Cu toate acestea, rolul furnizorului de cloud nu este la fel de clar, deşi cvasi-majoritatea ghidurilor şi opiniilor antemenţionate îl califică drept persoană împuternicită în temeiul faptului că primeşte date cu caracter personal de la client şi le prelucrează pe seama acestuia, sau operator în comun atunci când şi furnizorul prelucrează datele în scop propriu (de exemplu data mining pentru scopuri de marketing).

O situaţie mai deloc analizată este aceea că furnizorul de cloud s-ar putea să nu fie nici măcar împuternicit, în situațiile in care nu prelucrează activ date. Atunci cand datele doar tranzitează (pasiv) infrastructura furnizorului de cloud (cum este cazul PaaS şi uneori al IaaS), situația este similara cu a furnizorilor de servicii de comunicații electronice (de exemplu furnizorii de servicii internet). Or, potrivit Directivei 2000/31/CE (Directiva privind comerţul electronic) şi legii de implementare nr. 365/2002 privind comerţul electronic, furnizorilor de servicii de comunicații electronice sunt consideraţi furnizori de servicii ai societăţii informaţionale[14], astfel că beneficiază de protecţia intermediarilor – mai exact, furnizorul serviciului nu răspunde pentru informaţia transmisă dacă sunt îndeplinite cumulativ următoarele condiţii: transmiterea nu a fost iniţiată de furnizorul de servicii; alegerea persoanei care recepţionează informaţia transmisă nu a aparţinut furnizorului de servicii; şi conţinutul informaţiei transmise nu a fost influenţat în niciun fel de către furnizorul de servicii, în sensul că nu i se poate atribui nici selecţia şi nicio eventuală modificare a acestei informaţii. Or, în context cloud, toate aceste condiţii sunt de regula îndeplinite[15].

În mod normal, şi furnizorii de servicii cloud ar trebui încadraţi ca furnizorii de servicii ai societăţii informaţionale[16], însă potrivit Directivei 2000/31/CE (Directiva privind comerţul electronic), prevederile acesteia nu se aplică chestiunilor referitoare la serviciile societăţii informaţionale reglementate de Directivele 95/46/CE (privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) şi 2002/58/CE (Directiva asupra confidențialității comunicațiilor electronice). Drept urmare, s-ar putea trage concluzia că protecţia oferită intermediarilor potrivit Directivei 2000/31/CE (şi implicit Legii nr. 365/2002, chiar dacă aceasta nu preia excluderea) nu se extinde şi în materia protecţiei datelor cu caracter personal, reglementată de cele două directive şi legi speciale. În opinia noastră, o asemenea concluzie este greşită şi contraproductivă, ea nefiind în acord cu natura self-service a serviciilor cloud.

B. Diferenţele între cloud computing şi externalizarea obişnuită

De cele mai multe ori între folosirea serviciilor business de cloud şi externalizare se pune semnul egal, mergându-se pe ideea că furnizorul de cloud face o anumită activitate în locul clientului. Cu toate acestea, chiar dacă în anumite domenii există definiţii extrem de largi ale externalizării (cum este cazul Regulamentului BNR nr. 5/2013), nu trebuie uitat că, de regulă, externalizarea înseamnă crearea unui rezultat propriu, nou, de către furnizor. De exemplu, externalizarea contabilităţii înseamnă că furnizorul ţine el însuşi contabilitatea, externalizarea serviciului HR înseamnă că furnizorul face el însuşi activităţile specifice HR, etc.

Or, de multe ori serviciile cloud nu duc la crearea unui rezultat propriu de către furnizor, ci doar pun la dispoziţia clientului mijloacele IT predefinite prin care clientul însuşi ajunge la un rezultat nou (self-service), prelucrarea fiind făcută direct de către clientul de cloud. Furnizorul de cloud intervine doar pasiv, neoperând activ cu privire la datele implicate ci doar punând la dispoziţie capacitatea de prelucrare şi stocare a datelor respective, gata de a fi folosite de către client la alegerea acestuia.

Pentru clarificare, să luăm ca exemplu situaţia clasică a contabilităţii. În cazul în care operatorul încheie un contract prin care furnizorul preia datele brute şi livrează înapoi beneficiarului registrele contabile, avem o situaţie bine-cunoscută de externalizare. Dacă însă operatorul achiziţionează un soft cu care îşi prelucrează el însuşi datele contabile, în mod evident nu avem o externalizare. Ce se întâmplă însă dacă softul respectiv este în cloud, operatorul neavându-l instalat pe infrastructura proprie dar cu toate acestea efectuând el însuşi înregistrările (prelucrarea)? Este aceasta o situaţie echivalentă cu prima, pentru a spune că avem în faţă o externalizare şi o relaţie operator – împuternicit?

Din punctul de vedere al autoarei răspunsul este negativ, iar asemenea situaţii în care furnizorul de cloud intervine doar pasiv, punând la dispoziţia clientului infrastructura sa, necesită o reevaluare a adecvării dualităţii operator-împuternicit în context cloud, precum şi reglementarea unor beneficii juridice sporite pentru furnizorii de cloud. Doar cu titlu de exemplu, operarea dreptului persoanelor vizate de a interveni asupra datelor este foarte greu de justificat în raport cu furnizorul de cloud ca împuternicit, de vreme ce clientul de cloud este entitatea care are posibilitatea la orice moment să facă orice modificări doreşte, iar furnizorul de cloud are tot interesul (de cele mai multe ori stipulat contractual în beneficiul clientului) să îşi limiteze accesul la datele clientului. Între asigurarea unei securităţi ridicate şi unui control exclusiv al clientului (chestiuni indicate ca motive de îngrijorare de un număr ridicat de potenţiali clienţi) şi drepturile specifice ale persoanelor vizate sub imperiul reglementărilor de protecţie a datelor cu caracter personal credem că balanţa trebuie înclinată de aşa mod încât responsabilitatea pentru respectarea drepturilor persoanelor vizate să fie atribuită în exclusivitate clientului de cloud, în vreme ce accesul şi intervenţia furnizorului de cloud trebuie restrânse la maximul posibil (respectiv obligaţia de a se conforma unei hotărâri emise de un organ competent, cum ar fi un mandat sau hotărâre judecătorească).

C. Datele criptate mai sunt date cu caracter personal?

Una din premisele încadrării în categoria datelor cu caracter personal este necesitatea ca datele în cauză să permită identificarea persoanei vizate. Prin urmare, dacă prin orice modalitate posibilitatea identificării este eliminată, ar rezulta că nu mai suntem în prezenţa datelor cu caracter personal. Această orientare a fost afirmată şi de Grupul de Lucru Art. 29 în Avizul 4/2007 privind conceptul de date cu caracter personal, in ceea ce priveşte anonimizarea prin pseudonime: „Identităţile ascunse pot fi generate astfel încât să nu fie posibilă reidentificarea, de exemplu prin criptografie unilaterală care creează, în general, date anonime”. Poziţia este însă nuanţată în recentul Aviz 05/2014 privind tehnicile de anonimizare[17], în care Grupul de Lucru susţine că pseudonimizarea, care include criptarea, nu este o tehnică de anonimizare ci doar una prin care se „reduce posibilitatea stabilirii unei legături între un set de date și identitatea originală a unei persoane vizate, fiind, prin urmare, o măsură de securitate utilă”. Grupul de Lucru precizează că în cazul criptării cu o cheie secretă „deținătorul cheii poate cu ușurință să reidentifice fiecare persoană vizată prin decriptarea setului de date deoarece datele cu caracter personal încă fac parte din setul de date, chiar dacă sub o formă criptată. Presupunând că s-a aplicat un sistem de criptare de ultimă generație, decriptarea poate fi posibilă numai dacă se cunoaște cheia”.

Chiar dacă aceste precizări recente par că se contrazic cu cele anterioare, în realitate ele se coroborează şi sunt utile pentru serviciile de cloud: mai exact, în cazul criptării unidirecţionale a datelor, astfel că doar clientul de cloud are cheia, pentru clientul în cauză datele evident că nu sunt anonime (de altfel acesta şi este scopul), însă pentru furnizorul de cloud, care nu are cum să întoarcă procesul, datele sunt anonime.

Drept urmare, în măsura în care datele sunt criptate local de către utilizatorul de cloud şi doar acesta are cheia de decriptare, folosirea serviciului de cloud nu mai intra in sfera datelor personale.

D. Accesul autorităţilor străine

O chestiune care creează de multe ori probleme în alegerea unui furnizor de cloud este faptul că, în special atunci când acesta este supus unei alte legislaţii decât cea a clientului, există posibilitatea ca legislaţia locala să prevadă obligaţia furnizorului de cloud de a pune la dispoziţia autorităţilor datele clientului stocate pe infrastructura furnizorului. Bineînţeles, problemele sunt cu atât mai complicate cu cât furnizorul este situat înafara Uniunii sau foloseşte subcontractori din state terţe.

Un precedent nu tocmai fericit, chiar dacă nu în domeniul cloud, este reprezentat de cazul Swift, în care Societatea pentru Telecomunicații Financiare Interbancare Mondiale (SWIFT), cu sediul în Belgia, a fost obligată de către Trezoreria SUA la scurt timp după atacurile din 11 septembrie 2001 să acorde acces la cantități mari de date cu privire la tranzacțiile financiare, ca parte a eforturilor de urmări finanțarea terorismului. SWIFT era supusă jurisdicției SUA pentru că avea un centru de date în California, astfel că a respectat ordinele respective şi a pus la dispoziţie cantități semnificative de date financiare. Deși SWIFT a informat băncile naționale din G-10 și Banca Centrală Europeană cu privire la programul respectiv, niciuna dintre acestea nu a informat autorităţile în materia datelor cu caracter personal. Scandalul care a urmat și amplele investigații naţionale şi europene care au avut loc până în 2010, au condus la negocieri între Uniunea Europeană și Statele Unite care s-au concretizat într-un acord potrivit căruia informațiile vor fi obținute de la SWIFT numai în scopuri de combatere a terorismului, fără a fi păstrate mai mult decât este necesar.

Foarte recent, în iulie 2014 un judecător federal american a decis că Microsoft (care a fost susținută şi de către Apple, Cisco, Verizon și AT&T) trebuie să pună la dispoziţia guvernului SUA e-mailuri ale unui client stocate în serverele din Uniunea Europeană (cont outlook.com), în legătură cu acuzații de legate de droguri și spălare de bani. Microsoft a atacat decizia, executarea acesteia fiind suspendată până la obţinerea soluţiei irevocabile. Între timp, un purtător de cuvânt al Comisiei Europene a precizat că decizia instanţei americane a provocat îngrijorări în cadrul Comisiei, şi că efectele acesteia ar plasa Microsoft în ilegalitate atât potrivit legi irlandeze cât şi potrivit dreptului Uniunii[18].

Aceste două exemple ilustrează două concluzii importante: (1) că autoritățile străine pot găsi motive de a supune entităţi europene și date europene dreptului lor, în temeiul căruia solicită acces la astfel de date, și (2) că deținătorii de date pot fi obligaţi să dezvăluie astfel de date, de bunăvoie sau nu.

Pe de altă parte, nu trebuie uitat nici faptul că inclusiv autorităţile române au prerogative foarte largi ce puţin cu privire la furnizorii români. Pe lângă metodele speciale de supraveghere sau cercetare reglementate de Codul de Procedură Penală, în prezent este în stadiu de proiect Legea privind securitatea cibernetică a României[19], care între altele prevede obligaţia oricăror deţinători de infrastructuri cibernetice (noţiune definită atât de larg încât include chiar şi deţinătorii de tablete sau smartphone) „să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informații, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază, CERT-RO și ANCOM, în îndeplinirea atribuțiilor ce le revin acestora și sa permită accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării”. După cum se poate observa, în acest caz nu este reglementat nici un control judiciar anterior solicitării, ceea ce poate deschide uşa unei obligaţii teoretic nelimitate şi nerestricţionate în temeiul căreia furnizorii locali de cloud (şi nu numai) ar trebui să acorde autorităţilor menţionate acces la datele stocate.

Bineînţeles, soluţii prin care clienţii de cloud să se asigure că autorităţile nu pot avea acces la datele stocate în cloud nu există. Clientul de cloud poate însă să se asigure că furnizorul este supus unor reglementări cât mai puţin agresive, şi că practicile acestuia sunt în sensul de a divulga date numai atunci când legea îl obligă, informând totodată clientul despre incident. În aceeaşi linie de idei, este important ca clientul să cunoască localizarea datelor sale (preferabil, inclusiv să aleagă unde sunt localizate data centerele) şi cine sunt (şi în ce stat) subcontractorii folosiţi, coroborat cu reglementarea contractuală a unui drept de informare prealabilă anterior folosirii unui subcontractor nou (cu posibilitatea denunţării contractului dacă nu este de acord). În plus, dacă datele sunt criptate unidirecţional de către client, aşa cum spuneam mai sus, atunci nici furnizorul de cloud şi nici vreo altă autoritate nu va putea avea acces la conţinutul informaţiei respective.

E. Securitatea datelor

Securitatea datelor este una dintre cele mai frecvente probleme menționate în legătură cu utilizarea cloud computingului. Într-un studiu recent cu privire la utilizarea cloud computing în 2013[20], 70% din companiile românești intervievate (mici şi mijlocii) care nu utilizau servicii de cloud au indicat problemele de securitate ca motiv pentru decizia lor, deşi în același timp 93% dintre companiile româneşti participante la studiu şi care folosesc cloud computing au indicat securitatea datelor ca argument principal pentru folosirea serviciilor cloud. Se pare deci că percepția cu privire la securitatea oferită de furnizorii de cloud este polarizată între companiile care folosesc și cele care nu folosesc astfel de servicii. Pentru clienţii care se numără între cei sceptici cu privire la securitatea oferită de furnizor, dar mai ales pentru cei supuşi unor cerinţe speciale (de exemplu instituţii financiare, societăţi în domeniul medical) folosirea criptării unidirecţionale se poate nu numai utilă ci chiar necesară, ea asigurând imposibilitatea accesului atât din partea furnizorului cât şi din partea oricăror terţi.

National Institute of Standards and Technology a subliniat avantajele utilizării serviciilor de cloud, menționând că specializarea personalului (personal dedicat pentru abordarea problemelor de securitate), puterea platformei (mai în măsură să gestioneze activitățile de securitate, cum ar fi controlul de configurare, testarea vulnerabilităţii, audituri de securitate și patch-uri de securitate), disponibilitatea resurselor (scalabilitate pentru a satisface cerințele clienților și pentru a reveni mai repede din incidente grave, cum ar fi respingerea atacurilor asupra serviciului), politici superioare de backup și recuperare, terminalele mobile (principalele resurse de calcul sunt găzduite de către furnizorul de cloud, clientul folosind terminale mobile pentru accesul la date, astfel există un risc mai mic ca furtul si pierderea de dispozitive mobile să ducă la pierderea de date), și concentrarea datelor (date menținute și prelucrate în cloudul public poate prezenta un risc mai mic pentru o organizație cu o forță de muncă mobilă decât dispersarea datelor pe terminale mobile în teren) poate crește de fapt, confidenţialitatea și securitatea datelor sensibile[21]. Mai mult, furnizorii de cloud pot fi mai în măsură să îndeplinească standardele de conformitate operațională și certificare în domenii extrem de reglementate.

Trebuie menţionat şi că securitatea datelor nu intră numai în responsabilitatea furnizorului de cloud. Dimpotrivă, clientul cloud trebuie să aibă propriile politici și măsuri de securitate şi folosire a datelor. De exemplu, în cazul unui serviciu de e-mail cloud-based, o situaţie care ar putea apărea este aceea că un angajat accesează contul de e-mail de la un calculator fără nicio protecție de securitate și infectat cu malware care reţine caracterele tastate, astfel că username-ul şi parola angajatului sunt transmise autorului malware-ului, care poate astfel avea acces neautorizat la datele accesibile de către angajatul în cauză. O astfel de încălcare a securităţii ar avea loc deoarece clientul de cloud (operator de date) nu s-a asigurat că terminalele utilizate de către angajații săi sunt protejate în mod adecvat.

V. În loc de concluzie

Cloud computingul este un domeniu foarte nou, poate tocmai de aceea încă insuficient înţeles şi incomplet reglementat. În prezent, din punct de vedere juridic, suntem chemaţi să aplicăm reglementări care au fost emise sub imperiul altor realităţi, şi care îşi arată astfel neajunsurile. Nu mai puţin însă, deşi probleme pot fi identificate (cele menţionate mai sus fiind doar cu titlu exemplificativ), de regulă acestea nu sunt fără rezolvare. Cloud computingul poate să nu fie adecvat pentru toate entităţile, însă pentru o mare parte dintre acestea, poate reprezenta un pas înainte. Serviciile cloud sunt deja o realitate, şi chiar dacă sunt cu un pas înaintea legislaţiei, în cele mai multe cazuri se pot găsi soluţii şi acum.

[1] http://www.nist.gov/itl/csd/cloud-102511.cfm

[2] Valorificarea cloud computingului în Europa, Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor, SWD(2012) 271, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:ro:PDF

[3] Idem supra, nota 2.

[4] “Comisia își propune să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, care poate reduce costurile TIC (tehnologia informației și a comunicațiilor) și, în asociere cu noi practici comerciale digitale1, poate stimula productivitatea, creșterea și crearea de locuri de muncă”, idem supra nota 2.

[5] Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up, 24 februarie 2012, disponibil la http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf

[6] Cloud Standards Coordination – Final Report, noiembrie 2013, disponibil la http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=3988

[7] Propunere de Regulament al Parlamentului European şi al Consiliului privind Legislația europeană comună în materie de vânzare, COM(2011) 635 final, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0635:FIN:ro:PDF.

[8] Disponibile la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

[9] http://www.ccbe.eu/fileadmin/user_upload/NTCdocument/07092012_EN_CCBE_gui1_1347539443.pdf

[10] http://ico.org.uk/for_organisations/guidance_index/~/media/documents/library/Data_Protection/
Practical_application/cloud_computing_guidance_for_organisations.ashx

[11] http://www.datenschutz-berlin.de/attachments/827/Cloud.pdf?1317298960

[12] www.garanteprivacy.it/garante/document?ID=1906143

[13] http://www.datainspektionen.se/Documents/faktablad-cloudservices.pdf

[14] Serviciu al societăţii informaţionale este orice serviciu care se efectuează utilizându-se mijloace electronice şi prezintă următoarele caracteristici:

a) este efectuat în considerarea unui folos patrimonial, procurat ofertantului în mod obişnuit de către destinatar;
b) nu este necesar ca ofertantul şi destinatarul să fie fizic prezenţi simultan în acelaşi loc;
c) este efectuat prin transmiterea informaţiei la cererea individuală a destinatarului.

[15] Să luăm ca exemplu situaţia unui serviciu de email în cloud: transmiterea emailurilor este iniţiată de beneficiar, alegerea destinatarului e făcută de beneficiar, iar furnizorul de cloud nu intervine în nici un fel în conţinutul emailului transmis.

[16] A se vedea supra nota 14

[17] WP 216, disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_ro.pdf

[18] http://www.eweek.com/security/european-union-expresses-concern-about-microsoft-email-privacy-case.html

[19] http://www.cdep.ro/proiecte/2014/200/60/3/pl263.pdf.

[20] SMBs and Cloud Computing. A European wide project for Microsoft EMEA, studiu efectuat de Ipsos Mori, disponibil la http://goo.gl/fTisxB.

[21] W. Jansen, T. Grance, Guidelines on Security and Privacy in Public Cloud Computing, National Institute of Standards and Technology, pag. 8-10, disponibil la http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf.

Cloud computing în Europa de Est

Andreea Lisievici — Wed, 05 Nov 2014 09:16:25 +0000

Ţuca Zbârcea & Asociaţii a contribuit la redactarea secţiunii privind cadrul legislativ din România al publicației „Cloud Computing in Eastern Europe – Survey of Regulatory Framework” (Cloud computing în Europa de Est – Studierea cadrelor de reglementare”), editată de Microsoft şi Pierstone.

Ediția iulie 2014 este disponibilă şi la adresa http://www.tuca.ro/_popup/?artno=81 sau poate fi descărcată la linkul Cloud Computing in Romania.