GDPR și Teoria Relativității

Iată că Teoria Relativității a lui Einstein, care se aplică, printre altele și modului în care se măsoară timpul pentru doi observatori aflați în sisteme de referință distincte, își mai găsește un domeniu de aplicare: modul în care se vor raporta la data de intrare în vigoare a prevederilor GDPR autoritățile și organismele publice române care operează cu datele personale ale cetățenilor din țările membre U.E., comparativ cu entitățile de drept privat. Astfel, dacă timpul rămas până la 25 mai 2018 a devenit extrem de … dilatat pentru operatorii de date personale din sfera Statului, aceștia răsuflând ușurați că au scăpat de la respectarea unor obligații ba chiar și de amenzile acelea enorme, pentru operatorii privați, timpul s-a condensat și termenul a devenit extrem de apăsător. Cam de 465 de ori mai apăsător, la actualul curs leu-euro.

Și dacă doar această discriminare ar fi singura problemă identificată în acest moment în proiectul de lege privind măsurile de punere în aplicare a Regulamentului General Privind Protecția Datelor Personale ar fi bine (vorba vine !, căci nicio discriminare nu e de bun augur…) dar, din păcate, sunt mai multe probleme care vor fi generate și încă și mai multe care mai așteaptă răspunsuri legislative. Dacă nu vor fi eliminate pe parcursul legislativ până la adoptare ori dimpotrivă vor fi poate agravate – în funcție de interesele politice și de profesionalismul membrilor Parlamentului care-și fac timp să citească și să înțeleagă implicațiile acestui text de lege -, respectarea dreptului la viața privată în România va deveni dependentă și de … Teoria Relativității a lui Einstein, cele două sisteme de referință distincte care vor diferenția modul de acțiune față de un element unic – dreptul la viață privată, fiind „instituție de Stat” și „persoană juridică de drept privat”.

Ca să fiu mai bine înțeles, voi porni de la începutul eforturilor Statului de conformare a dreptului intern cu prevederile GDPR. Care, tipic românesc, au demarat puțin mai târziu, dar mai bine mai târziu decât niciodată. Așadar, după ce Parlamentul European a adoptat Regulamentul nr. 679 la 27 aprile 2016, la un an și aproape jumătate diferență, mai exact la 5 septembrie 2017, pe site-ul MAI, este publicat spre dezbatere publică „Proiectul de Lege pentru modificarea și completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date […]„. Din perspectiva noului Regulament European privind protecția datelor cu caracter personal, această modificare legislativă era impusă de obligativitatea existenței unei autorități de supraveghere care să aibă atribuțiile adaptate conform cerințelor stabilite prin GDPR. Nu comentez aici abordarea pe care a adoptat-o Statul Român pentru adaptarea legislației interne la prevederile GDPR. Mi se părea mai adecvată coordonarea unui astfel de efort de către Ministerul Justiției, dat fiind scopul Regulamentului, de protecție a unui drept al omului – dreptul la viață intimă, un domeniu care este clar în competența Direcției Afaceri Europene și Drepturile Omului din cadrul acestui Minister.  Sau poate o astfel de sarcină era chiar și de competența Ministerului Comunicațiilor și Societății Informaționale – dată fiind prevederea din art. 2. al. 1, care impune respectarea acestui Regulament pentru situațiile în care prelucrările sunt făcute automatizat (mai exact, prin mijloace digitale). Dar nu, pentru a adapta o legislație internă la un Regulament European care apără un drept al omului, a fost ales Ministerul Afacerilor Interne, una din instituțiile de forță ale Statului, care mai mult e solicitată să restrângă drepturile și libertățile individuale, atunci când binele public e pus în pericol. Dar cum spuneam, nu comentez aici această decizie, scopul articolului de față fiind un semnal de alarmă referitor la problemele pe care le va crea modul în care Statul Român înțelege să adapteze legislația internă la o normă europeană.

Revenind la proiectul de modificare a Legii 102 din 2005, după demararea dezbaterilor publice organizate sub egida MAI, au urmat modificări și îmbunătățiri ale proiectului dar, cu toate acestea, în acest moment, acest proiect de Lege nu este încă trimis Parlamentului spre dezbatere și adoptare. În schimb, a fost inițiat în cadrul Senatului României un alt proiect, referitor la o Lege privind măsuri de punere în aplicare a Regulamentului UE 2016/679, adică a GDPR. În acest moment, Proiectul este deja în dezbaterea Camerei Deputaților – for decizional.

Din expunerea de motive, aflăm că Legea fost inițiată de doi senatori, d-na senator Daniela Carmen Dan (actualul ministru al afacerilor interne) și dl. senator Șerban Nicolae. Probabil, d-na ministru a fost informată cu privire la faptul că proiectul de modificare a Legii 102 din 2005 e posibil să nu intre în vigoare până la 25 mai și atunci se încearcă reglementarea cumva a modului în care se va aplica în România Regulamentul General privind Protecția Datelor Personale. O intenție cât de poate de bună, doar că uneori drumul spre Iad poate fi pavat (și) cu bune intenții. Iar această Lege care prevede măsurile de punere în aplicare a GDPR în România, trimite în Iad persoanele juridice de drept privat care operează cu date personale ale cetățenilor și urcă în Rai entitățile de stat aflate în aceeași situație, dacă va intra în vigoare în forma actuală, pe lângă alte probleme.

De ce susțin asta ? Pentru că în afară de câteva derogări – extrem de utile de altfel, de stabilirea unui cuantum maxim al amenzilor diferențiat între mediul privat și cel de Stat, și alte câteva truisme deja reglementate prin GDPR sau alte legi interne, altceva nu reiese din cele cincisprezece articole ale proiectului de lege.

Le voi analiza pas cu pas, în speranța că pe parcursul legislativ cineva va înțelege minusurile acestui proiect de lege și-l va amenda cu elementele atât de mult așteptate atât de mediul privat și cel de Stat, cât mai ales de Autoritatea Națională cu competențe în domeniu. Și poate prevederile acestei legi vor fi adoptate „la pachet” cu modificările care vor fi aduse Legii 102 din 2005, care reglementează funcționarea Autorității Naționale de Supraveghere a Prelucrării datelor cu caracter personal.

Așadar, art. 1, definește scopul legii – fiind acela de a stabili măsurile prin care va fi pus în aplicare GDPR, mai ales anumite prevederi ale GDPR.

Art. 2, stabilește care sunt autoritățile și organismele publice, un element extrem de util care înlătură orice fel de ambiguitate. Practic, orice instituție publică finanțată de la bugetul de Stat precum și entitățile private care îndeplinind o funcție publică sunt coordonate de instituții de stat – cum ar fi de exemplu, unități școlare private aflate sub coordonarea Inspectoratelor Școlare – intră la categoria autorităților și organismelor publice. Cu toate consecințele care decurg de aici, de exemplu, obligativitatea desemnării unui responsabil cu protecția datelor.

Art. 3, stabilește modul de prelucrare a datelor genetice, biometrice sau a datelor privind sănătatea. De aici încep problemele. Căci prin acest articol, proiectul de lege instituie nici mai mult nici mai puțin decât interdicția prelucrării datelor genetice, biometrice sau a datelor privind sănătatea, „atunci când această prelucrare e făcută în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri”. Iar proiectul prevede că interdicția nu poate fi ridicată de consimțământul persoanei vizate.
Există însă o excepție, aceea a prelucrărilor „efectuate de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite prin lege și în condiții stabilite prin legi speciale care reglementează aceste materii„. Legi care încă nu există !!! Și implicit, nici prezentarea acelor autorități care ar avea conferită prin lege puterea de a controla prelucrarea acestor date speciale.

Momentan, singura prevedere legislativă în materie, este GDPR, care, din fericire prevede prin art. 2 al. 2 câteva excepții de la aplicarea prevederilor Regulamentului, căci altfel,  și Poliția s-ar fi văzut nevoită să înceteze să mai folosească bazele de date personale care conțin datele biometrice ale tuturor persoanelor care la un moment dat au încălcat legea.

Dacă stăm să ne gândim, prevederea legislativă își are justificarea ei. O să dau un exemplu extrem dar din păcate, posibil.  Într-o lume care a ajuns să reducă totul la bani, prelucrarea necontrolată a unor astfel de date, ar putea transforma orice cetățean într-un donator involuntar de organe. Ce ar fi dacă vreo persoană lipsită de scrupule dar plină de bani, aflată în nevoia urgentă de a găsi un donator cu un organ intern compatibil, poate și unic în corp, ar avea acces facil la astfel de date ? Probabil, ar „provoca” un accident de orice tip, pentru a-și procura ceea ce-i trebuie, dacă pe undeva ar avea acces la o listă de compatibilități genetice. Știu, e un exemplu extrem, dar e ipotetic posibil.

Pe de altă parte, această restricție va afecta câțiva domenii de activitate. De exemplu, firmele private care stochează și prelucrează date biometrice utilizate pentru decizii automatizate privind controlul accesului în spații fizice sau la anumite resurse, vor trebui să aștepte viitoarele legi pentru a afla care este instituția de stat sub controlul căruia să-și pună această activitate, ori vor renunța complet la aceste investiții și se vor întoarce la clasica cheie și lacăt. La fel, firmele care dezvoltă astfel de sisteme electronice de control automatizat al accesului, vor trebui să se orienteze spre alte piețe, pe piața din România urmând să fie interzisă prelucrarea datelor cu care operează astfel de sisteme, atât timp cât legislația internă nu prevede care sunt autoritățile publice, puterile conferite și cum vor controla ele aceste activități.

Sau, un alt exemplu de activitate afectată de această interdicție, până la definirea legislativă a modului și de către cine va fi controlată, utilizarea datelor privind sănătatea, în scopul creării de profiluri. Aceasta va rămâne de asemenea, numai apanajul instituțiilor publice sau a firmelor private care se supun controlului unei astfel de instituții. Care, repet, sunt încă inexistente. Așadar, să ne luăm la revedere (cel puțin deocamdată) de la ONG-uri care-și identifică beneficiarii unor servicii în baza încadrării stării de sănătate într-un profil personalizat prin diferite afecțiuni medicale mai rare sau de o gravitate deosebită, care-și găsesc cu greu alinarea în instituțiile de Stat. La fel, farmaciile sau medicii de familie, dacă lucrează în mediul privat nu vor mai putea utiliza datele pe care le prelucrează și pentru realizarea unor analize privind anumite tendințe în evoluția stării de sănătate a anumitor profile socio-profesionale. Și exemplele pot continua.

Dar, să mergem mai departe. Legea are 15 articole și am parcurs abia 3.

Art. 4, instituie obligativitatea prelucrării numerelor de identificare națională (cum ar CNP-ul, seria și numărul actului de identitate ori al pașaportului sau al permisului de conducere, precum și numărul de asigurare socială sau de sănătate) numai în condițiile respectării elementelor de legalitate instituite prin art. 6 din GDPR. Articolul e oarecum un truism, un astfel de număr fiind clar un element caracteristic unei persoane, e o repetare practic a prevederilor GDPR. Nu cred că era nevoie de o astfel de întărire a faptului că astfel de prelucrări se supun prevederilor GDPR.

Problema apare însă, dacă ne gândim câte legi și regulamente impun în România preluarea unor astfel de numere de identificare națională, prin tot felul de formulare, declarații sau cereri tipizate, pentru derularea unor activități. Devine măcar clar, din punct de vedere legal, că simpla deținere și prelucrare a unor facturi care conțin nume prenume și CNP sau serie și număr de act de identitate, trebuie să se facă conform prevederilor GDPR. În plus față de GDPR, prin acest articol se instituie și obligativitatea desemnării unui responsabil cu protecția datelor, pentru entitățile care prelucrează date cu caracter personal în urmărirea unui scop legitim, conform prevederilor art. 6 al. 1 lit. f din GDPR.

Art. 5, instituie anumite reguli privind prelucrarea datelor cu caracter personal în contextul relațiilor de muncă. Îmbucurător, majoritatea specialiștilor în domeniul HR așteptau cu nerăbdare să afle de exemplu, dacă vor fi obligați să apeleze la serviciile unui responsabil cu protecția datelor, dat fiind faptul că evidențele de personal conțin fiind prelucrate inclusiv date din categoria celor cu caracter special, definite prin art. 9 din GDPR. Cu atât mai mult cu cât prin art. 88, GDPR lasă la latitudinea statelor membre reglementarea mai detaliată a acestui domeniu: „Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecția drepturilor și a libertăților cu privire la prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă[…]„. Așadar, chiar aveau ce să aștepte specialiștii din domeniul HR. Din păcate, singurele referințe în acest proiect, se fac privitor la modul în care angajații mai pot fi monitorizați prin mijloacele electronice și/sau de supraveghere video la locul de muncă, instituindu-se cinci reguli cumulative care vor fi destul de greu de respectat de către angajatori. În rest, despre necunoscutele și nelămuririle celor care lucrează în domeniiul HR, tăcere.

Art. 6 și 7, se referă la derogări de la prevederile GDPR. Aceste derogări se aplică pentru prelucrările de date efectuate în scop jurnalistic sau în scopul exprimării academice, literare sau artistice și doar în anumite condiții privind persoana vizată și nu la modul general. Sunt excluse astfel aceste prelucrări de la respectarea prevederilor capitolelor II, III, IV, V, VI, VII și IX din Regulament. De asemenea, dacă prelucrarea datelor se face în scopuri de cercetare științifică sau istorică, în scopuri statistice sau de arhivare în interes public, aceste activități sunt derogate de la respectarea anumitor prevederi ale GDPR. Pe lângă faptul că derogările sunt necesare, ele nu se pot aplica decât sub rezerva existenței garanțiilor corespunzătoare pentru drepturile și libertățile persoanelor vizate de prelucrare.

Art.8, se referă la responsabilul cu protecția datelor. În condițiile în care GDPR nu face nicio referire clară la cine poate deține această funcție, în condițiile în care mulți profită de această ambiguitate și organizează fel de fel de cursuri, de certificări, de acreditări, cărora mulți le cad în capcană (am văzut chiar un site care promite servicii furnizate de specialiști certificați GDPR, în condițiile în care la nivel european nu există încă nicio astfel de certificare recunoscută !!!), astfel de precizări ar fi fost binevenite. Doar că, prin acest articol, se repetă doar ceea ce prevede GDPR și atât. Nimic suplimentar, nicio condiție minimală măcar despre cine poate îndeplini această funcție. Se face doar referire la reglementările legale naționale aplicabile, care încă nu există, dar la un moment dat e de presupus că vor exista.

Pe de altă parte poate e bine, lăsându-se libertatea de acțiune mediului economic, deși poate o minimă reglementare ar fi fost de bun augur. Cu atât mai mult dacă ar fi fost incluse în textul de lege în scopul de a proteja IMM-urile ce pot cade în capcana unor „specialiști” care, în spatele unor diplome și certificări obținute de la diverse organisme mai mult sau mai puțin abilitate să le emită, expun unor riscuri inutile nu atât firmele cărora le oferă servicii de calitate îndoielnică, cât mai ales persoanele private a căror intimitate și viață privată va fi apărată de procedurile elaborate și implementate de „specialiști” pregătiți peste noapte.

Art. 9, se referă la organismele de certificare. GDPR încurajează astfel de mecanisme de certificare cu privire la conformitatea prelucrării datelor cu caracter personal de către entitățile publice sau private, certificare care poate fi acordată doar de autoritățile acreditate în acest sens. Fără a fi obligatorii ci exclusiv voluntare, fără a scuti o entitate certificată de la respectarea prevederilor GDPR, certificarea prelucrării datelor cu caracter personal în conformitate cu prevederile GDPR poate crește încrederea partenerilor într-o instituție, firmă sau afacere. Dar, despre condițiile care trebuie îndeplinite de aceste autorități, despre tipurile de certificări care pot fi acordate, GDPR menționează doar că acestea vor fi elaborate prin norme de dreptul intern în colaborare și sub coordonarea unitară cu organismele europene. Reglementând foarte detaliat această colaborare, în scopul obținerii în timp a unui sistem unitar de certificare a conformității cu GDPR, la nivelul Uniunii Europene.  În acest context, art. 9, în loc să vină cu aceste precizări necesare, mai ales într-o piață plină de pseudocertificări în domeniul GDPR, se referă doar la cine face acreditarea organismelor de certificare (și anume RENAR) și mai prevede că pentru acreditare, se vor aplica standardele de certificare a conformității ISO/IEC 17065. Adică se referă la ce știam deja, fiind reglementat prin lege. Despre precizări referitoare la condițiile care trebuie îndeplinite pentru o acreditare în domeniul GDPR, vă asigur că nici RENAR nu știe în acest moment nimic, până când nu vor fi stabilite cerințele de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Care încă nu are atribuțiile actualizate conform cu prevederile GDPR, în lipsa adaptării legii sale de funcționare. Va mai dura deci, până când vom afla aceste condiții.

Art. 10, se referă la dispoziții generale privind măsuri corective și sancțiuni. Care, aflăm pe parcursul celor patru alineate că se aplică conform prevederilor Regulamentului. Iar GDPR prevede un cuantum de 10.000.000 euro sau 2% din cifra de afaceri sau 20.000.000 euro ori 4% din cifra de afaceri, în funcție de gravitatea modului în care este încălcat Regulamentul.

În art. 11 și 12, aflăm că sancțiunile prevăzute de art. 10 din Proiect nu sunt chiar așa de generale, ele fiind de fapt aplicabile doar entităților de drept privat. Pentru că organismelor și autorităților publice, li se aplică măsurile prevăzute de Regulament, cu diferența că în acest caz, cuantumul maxim al amenzilor este de 200.000 lei. Inițiatorii proiectului de lege, s-au prevalat de art. 83 al. (7) din GDPR care precizează că „Fără a aduce atingere competențelor corective ale autorităților de supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv„. Dacă și în ce măsură, eu aș interpreta în ce condiții, după ce criterii măsurabile sau nu, pot fi impuse amenzi, nu și în ce cuantum.  GDPR lasă statelor membre ala Uniunii posibilitatea chiar de a scuti de la plata amenzilor, anumite autorități, după anumite criterii. Cuantumul amenzilor, însă, are valorile maxime clar stabilite prin GDPR, de până la 20.000.000 euro sau 4% din cifra de afaceri, în funcție de ce valoare e mai mare. Indiferent de finanțarea operatorului de date, de Stat sau privat. Inițiatorii acestui proiect de lege, au exagerat în opinia mea, această interpretare, considerând că măsura în care se aplică amenda, se referă inclusiv la cuantumul acesteia. Și au diminuat valoarea maximă aplicabilă instituțiilor de Stat. Deși tot ce puteau face, era să diferențieze criteriile privind stabilirea amenzilor.

Și asta în timp ce în expunerea de motive, culmea, se susține că încălcările dreptului la viață privată de către instituțiile de stat trebuie supuse unor exigențe mai mari (!!!) ….

Prin această discriminare, s-a creat premisa ca în momentul în care se va încerca aplicarea unei amenzi mai mari de 200.000 lei unei persoane juridice de drept privat, aceasta, după contestarea amenzii în instanță, poate să solicite constatarea unei excepții de la constituționalitatea acestei prevederi discriminatorii. Și dacă în acel moment Curtea Constituțională va mai exista în România, dacă nu va fi transformată într-un organism mai mult consultativ sau dacă nu va fi excesiv politizată, așa cum se întâmplă în Polonia de exemplu, nu va avea cum să nu constate neconstituționalitatea unei astfel de prevederi și să oblige Parlamentul României din acel moment, să modifice această lege. Numai că sunt cam mulți de „dacă”, ca să putem dormi liniștiți.

Dispozițile finale și tranzitorii, prevăzute de art. 13-15, se referă la modul în care sunt soluționate plângerile depuse la Autoritatea națională de supraveghere. Astfel, chiar dacă acestea sunt depuse anterior datei de 25 mai 2018, ele se vor soluționa conform prevederilor GDPR. Pentru a nu fi încălcat principiul neretroactivității normelor de drept, s-a precizat în art. 13. al. (3) al Proiectului, că norma legală privind sancțiunea aplicabilă va fi aleasă în funcție de gravitatea măsurii corective, alegându-se norma cu o măsură mai blândă.

Alt truism, în art. 14 se precizează că pentru procesele aflate pe rolul instanțelor de judecată la data de 25 mai 2018, se aplică norma legală în vigoare la data începerii procesului. De parcă era legal altfel.

Iată că din păcate, avem în față o lege care în egală măsură și lămurește unele detalii, dar și încurcă. Dar, mai mult decât atât, e încă o lege care întărește diferențele între „stat” și „privat”, diferențe din ce în ce mai „oficiale”.

Concluzionând, prin intermediul acestui articol, doresc să semnalez necesitatea unei amendări serioase a acestui proiect de lege, privind eliminarea oricăror discriminări, dar și înlocuirea truismelor privind faptul că se aplică prevederile GDPR sau ale dreptului intern cu modurile și criteriile concrete de aplicare a acestora, fără amânări la legi ulterioare. Adoptarea legii în actuala formă va crea un precedent legislativ periculos, instituindu-se o relativitate a respectării unui drept al omului, prin raportarea la sisteme de referință diferențiate în mod eronat: instituție de stat versus instituție privată. Căci prin aplicarea unei amenzi de 465 de ori mai mare pentru încălcarea unei norme de către o entitate privată față de aceeași contravenție comisă de o instituție de stat, va institui în mentalul social ideea falsă că respectarea dreptului la viață privată e … cam de 465 de ori mai importantă pentru „privați” decât pentru Stat.

Oare când vor înțelege atât oficialii politici, cât și cei care fac apologia sectorului privat susținând că angajații la „stat” nu produc ci doar consumă, că fiecare sector are utilitatea lui și toți angajații trebuie tratați în mod egal la aceeași muncă, activitate și riscuri ? Căci da, angajații din mediul privat produc bunuri și servicii aducătoare în mod direct de bani la buget, dar și angajații „de la stat” produc ceva esențial, și anume condițiile în care întreg Statul, deci și mediul privat, funcționează. Și dacă nu ne convin condițiile în care operează mediul privat, nu trebuie să dăm vina pe angajații de la „Stat” că sunt birocrați și exagerați, căci să nu uităm că angajații de la Stat, „produc” condițiile de funcționare a Statului nu numai în funcție de competențele lor profesionale, dar mai ales în funcție de cele stabilite prin acte normative. Întocmai cum o firmă privată merge mai bine sau mai prost, în funcție de talentul celor ce au responsabilități manageriale. Iar diferențele și discriminările, fie ele doar declarative și cu atât mai mult legiferate, nu fac decât să genereze conflicte economice care vor paraliza în timp domenii întregi de activitate, ajungând să afecteze întreaga economie. Sau, chiar respectarea unor drepturi, cum ar fi în acest caz, dreptul la viață privată.

2 comentarii

  1. V-as fi crezut ca sunteti de partea IMM-urilor , chiar ferm convins,totusi exista o singura problema. Majoritatea firmelor au externalizat serviciilor de IT,au un departament IT,si mereu au fost luate masuri de securitate privind protectia datelor (date stocate pe pc).Ce incercati dumnevoastra ca si restul se numeste concurenta neloiala. Dumneavoastra puneti accentul pe faptul ca dumneavoastra oferiti instruire si documentatia necesara GDPR,atat timp cat ea nu este reglementata juridic, mai mult de atat aveti specificate preturi pe site, in vederea implementari pentru evitatea unor viitoare „amenzi”.Mai mult de atat profitati de o portita specificata in GDPR. De ce ar fi firmele obligate sa lucreze cu dumeneavoastra,sau cu terti tinand cont ca deja au parteneri, si sunt luate masuri preventive inainte ca acest proiect sa apara. Dumneavoastra nu aveti nici o raspundere legala in caz de scurgerea acelor date,conform GDPR, asa ca scopul dumneavoastra este evident. Departamentul IT al unei firme, sau firma ce ofera servicii IT sub contract,nu este obligata sa forteze administratorul la luarea acestor masuri,daca acesta nu doreste sa investeasca in echipamente si sisteme software,raspunderea ii revine legal strict acestuia din urma. Terminati cu prostia si cu dezinformarea, pana nu aveti legea in mana, la nivel de stat consider abuziv modul dumneavoastra de informare.

    1. Bună ziua.
      În primul rând, vă mulțumesc pentru mesajul transmis.
      Referitor la comentariile dumneavoastră, chiar întăresc întrucâtva cele referitoare la măsurile care trebuiau deja să existe: GDPR, prevede în esență aceleași măsuri, privind protecția datelor, ca și cele impuse prin Legea 677 din 2001, lege care are zilele numărate. Așadar, oricine prelucrează date cu caracter personal, în mare, ar trebui să aibă deja măsurile de securitate IT implementate.
      Numai că GDPR, în esență, nu se referă la interdicții (asigurate în general prin măsuri de protecție) și măsuri de securitate ci la TRANSPARENȚĂ. Cine pune accentul doar pe măsurile de securitate, greșește. Obligațiile operatorilor sunt acum în egală măsură și de protecție, dar și de transparență, mai exact, de a informa persoana fizică vizată prin prelucrarea datelor, din momentul preluării sau obținerii datelor și până la ștergerea acestora, despre toate operațiunile la care sunt supuse datele sale, despre toate drepturile pe care le are și despre cum și le poate exercita. De altfel, unul obiectivele stabilite încă din art. 1 al. (3) se referă la garantarea liberei circulații a datelor cu caracter personal ! Numai că, trebuie să fie asigurate permanent drepturile persoanelor vizate prin prelucrare.
      Referitor la concurența neloială cu serviciile IT, afirmația dumneavoastră este incorectă cel puțin din următorul punct de vedere: un bun DPO, trebuie să fie capabil să cunoască posibilitățile tehnice ale sistemelor informatice, pentru a nu cere lucruri imposibile departamentelor IT, fie ele interne sau externalizate. Un bun DPO nu trebuie să implementeze el însuși măsurile de securitate pe care le recomandă, nefiind etic ! Căci mai departe, el are și atribuția de a testa și verifica eficiența acestora. Adică, s-ar testa singur…. Practic, un bun DPO tebuie să colaboreze strâns cu departamentul IT, nu să-l concureze !
      Cât despre responsabilitatea DPO-ului, vă spun doar atât: în momentul în care o entitate numește un DPO, conform prevederilor art. 37 al. (7) din GDPR, va comunica Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal datele de contact ale persoanei numite, mai departe, acesta (și nu departamentul de IT) răspunde în fața Autorității privind orice înseamnă modurile de prelucrare a datelor de către entitatea la care a fost numit.
      În ceea ce privește obligația firmelor de a lucra cu IT DATA AND SYSTEMS PROTECTION SRL sau cu orice altă firmă care oferă servicii similare, aceasta nu există, evident ! Oricând, orice firmă poate alege instruirea unui angajat propriu în ceea ce privește semnificația GDPR, care apoi trebuie să colaboreze cu departamentul IT.
      Însă, responsabilitatea stabilirii (nu implementării !!!) măsurilor de securitate necesare, ca și standard, reprezintă o atribuție distinctă de departamentul IT. Nu trebuie confundată administrarea de securitate cu administrarea echipamentelor. Așa cum un bun DPO nu trebuie să implementeze ceea ce recomandă, nici un bun administrator IT nu ar trebui să recomande ceea ce ar urma să implementeze în domeniul securității datelor prelucrate electronic. Nu este numai o regulă standardizată prin ISO 27001, este chiar o regulă de bun simț.
      Cât despre investițiile de care amintiți, uneori sunt necesare, alteori, nu. Iarăși, depinde de talentul și cunoștințele unui DPO, de a aprecia corect necesitatea protecției datelor în funcție de importanța lor și de specificul activităților (nu se compară investițiile pentru protecția datelor clasificate Secret de Stat cu cele necesare pentru protecția datelor personale, de exemplu), sau de capacitatea lui doar de a aplica cele învățate la un curs, fără să înțeleagă consecințele măsurilor recomandate, bazându-se doar pe faptul că el „așa a învățat că trebuie făcut”.
      În încheiere, revin la obligativitatea de care vorbeați mai devreme. Legea de care vorbiți și care ar trebui așteptată, va fi un dezastru pentru IMM-uri. Căci pe lângă faptul că o comisie senatorială a recomandat reintroducerea interdicției de a se prelucra date speciale (date biometrice, date privind sănătatea, etc.) chiar și în ipoteza existenței consimțământului (eliminată din proiectul inițial de Camera Deputaților), se menține obligativitatea firmelor care prelucrează numere de identificare națională (CNP, serie și număr CI, serie și număr permis conducere autovehicule, număr pașaport, număr asigurare medicală) sau documente care conțin astfel de numere, să numească un DPO. Fără să existe distincția între firmele care aleg ca opțiune proprie prelucrarea unui astfel de număr și firmele care sunt obligate prin diverse norme de drept intern care le reglementează domeniul de activitate, să preia astfel de date.
      Estimați dumneavoastră singur câte firme vor fi obligate să numească un DPO în aceste condiții… Fie că e numit din personalul intern fie prin apelarea la un serviciu externalizat, tot costuri suplimentare se cheamă că sunt. Pe care, le vom regăsi cu toții în prețurile finale ale produselor sau serviciilor furnizate.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *