Proiectul de lege prin care scopul GDPR este încălcat în România
Recent, la inițiativa PSD, a fost realizat un proiect de lege privind Organizarea Profesiei de Responsabil cu protecția datelor cu caracter personal.
Din analiza textului documentelor, constatăm că formulările sunt sărăcăcioase și vagi, textul nu pare a fi formulat juridic cu respectarea regulilor de tehnică legislativă, nu a existat o consultare prealabilă a inițiatorilor proiectului de lege cu o majoritate semnificativă a Responsabililor cu protecția datelor activi în domeniul protecției datelor în România și nu a fost consultată nici Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Totodată, proiectul de lege propune instituirea unui organism cu o structură complicată care exercită controlul și sancționarea Responsabililor cu protecția datelor în România care nu vor avea posibilitatea de a-și exercita rolul stabilit în cadrul prevederilor GDPR dacă nu îndeplinesc condițiile impuse prin proiectul de lege.
În opinia noastră, inițiatorii proiectului urmăresc condiționarea și restricționarea exercitării atribuțiilor prevăzute de GDPR în sarcina Responsabililor cu protecția datelor, prin încălcarea flagrantă a scopului GDPR cu privire la stabilirea cadrului în care aceștia își desfășoară activitatea. În acest sens, considerentul 97 din GDPR statuează: „[...] Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile în mod independent.”
- EXPUNEREA DE MOTIVE:
- “Responsabilul cu protecția datelor trebuie să fie “un jurist specializat în tehnologie”. Formularea este vagă și generală din punct de vedere al “specializării în tehnologie” a juristului, în sensul în care nu este definită forma “specializării” recomandate. Dacă expunerea de motive intenționează să plaseze rolul Responsabilului cu protecția datelor în zona de competentă a juriștilor, nu se explică concret ce anume se înțelege prin sintagma “specializare tehnologică”. Este de ajuns “specializarea” (adică o certificare emisă de orice organizație) în domeniul tehnologic, fără o experiență, o interacțiune cu mediul online, cu instrumentele si soluțiile tehnologice utilizate în business-urile internaționale?
Opinia noastră este aceea ca în timp ce domeniul protecției datelor este acoperit (în mod corect) în mare parte de juriști, având în vedere complexitatea mijloacelor tehnologice utilizate pentru prelucrarea datelor si întinderea geografica în care sunt extinse activități care presupun prelucrarea datelor precum si creșterea intensității atacurilor cibernetice dar si dezvoltarea continua a fenomenului infracționalității cibernetice, colaborarea dintre juriști și IT-ști este esențială și obligatorie pentru că scopul GDPR să fie realizat. Nu poate juristul să își asume aria de activitate a IT-stului și nici vice-versa.
- “Nivelul de experiență (al Responsabilului cu protecția datelor n.r.) ar trebui să fie proporțional cu complexitatea și cantitatea de date cu caracter personal efectiv prelucrate.” Recunoaștem formularea considerentului (97) din GDPR, însă ne întrebăm cine stabilește gradul de complexitate al datelor efectiv prelucrate de o organizație și pe baza căror criterii? Responsabilul cu protecția datelor? Operatorul însuși? Formularea din proiectul de lege își propune stabilirea mai multor niveluri de experiență a unui Responsabil cu protecția datelor în sensul în care ar trebui să existe juniori și seniori împărțiți în funcție de vechimea acestora în profesie? Dacă aceasta a fost intenția inițiatorilor expunerii de motive, atunci formularea nu conduce la o impunerea realizării scopului GDPR, or, textele juridice trebuie să fie caracterizate de exactitatea și claritatea intenției legiuitorului.
- “Proiectul de lege propune definirea profesiei de responsabil cu protecția datelor cu caracter personal și identifică condițiile pe care trebuie să le îndeplinească persoana care se ocupă cu această activitate.”
“Responsabilul cu protecția datelor” este persoana care deține expertiza necesară pentru asigurarea prelucrării în conformitate cu GDPR a datelor personale aparținând clienților, angajaților și reprezentanților partenerilor contractuali de carte organizația care l-a desemnat. În accepțiunea legiuitorului GDPR, Responsabilul cu protecția datelor este “un rol” pe care specialistul în domeniul prelucrării datelor cu caracter personal îl are în organizația pentru care activează. “Data Protection Officer”/”Responsabil cu protecția datelor” este denumirea funcției pe care specialistul în domeniul prelucrării datelor cu caracter personal o are în organizația în numele și în beneficiul căreia activează.
- “Proiectul propune organizarea profesiei de Responsabil cu protecția datelor cu caracter personal într-un Corp al responsabililor, persoană juridică de utilitate publică și autonomă, din care fac parte responsabilii cu protecția datelor cu caracter personal.”
Având în vedere ca proiectul de lege a fost inițiat fără consultarea prealabilă a unei majorități reprezentative a specialiștilor care activează în prezent în România în domeniul prelucrării datelor cu caracter personal, Corpul despre care se face vorbire în documentul criticat și care ar trebui să “organizeze” așa-zisa profesie nu pare se servească intereselor Responsabilului cu protecția datelor în exercitarea sarcinilor sale, fiind mai degrabă un organism restrictiv, care profită de pe urma activității desfășurate de Responsabilul cu protecția datelor în deplinătatea rolului sau.
- POIECTUL DE LEGE
- Articolul 2, paragraful al doilea stabilește o definiție a “Responsabilului cu protecția datelor”, prin extinderea rolului specialistului desemnat pentru asigurarea conformării activității organizației pentru și în numele căreia acționează cu prevederile GDPR, la “instituții în autorități publice, agenții în alte organisme (operator)” care îndeplinește sarcinile prevăzute de Legea 190/2018 privind măsuri de punere în aplicare a GDPR.
În opinia noastră, inițiatorul proiectului de lege nu are cunoștințe practice despre funcția pe care Responsabilul cu protecția datelor o deține și o exercită în cadrul organizației pe care o reprezintă. Pentru clarificare, traducerea din limba engleză în limba romană a termenului Data Protection “Officer” în “Responsabil” cu protecția datelor considerăm că este în sine o încălcare a prevederilor art. 24 din GDPR prin care este stabilită și introdusă responsabilitatea operatorului si nu a specialistului care în virtutea rolului sau consultativ în organizație, consultă operatorul cu privire la obligațiile care îi revin, consiliază cu privire la realizarea DPIA, intermediază între persoanele vizate aflate în relație cu operatorul și Autoritatea de Supraveghere și monitorizează aplicarea de către operator a dispozițiilor de drept ale Uniunii sau de drept intern referitoare la protecția datelor.
Astfel, GDPR și nici Legea 190/2018 nu încadrează (nu definesc) Responsabilul cu protecția datelor ca fiind “o profesie” ci “un rol” pe care persoana recomandată de expertiza și calitățile necesare activării cu responsabilitate în domeniul prelucrării datelor cu caracter personal îl deține în cadrul organizației pentru și în numele căreia acționează. Responsabilul cu protecția datelor este un specialist care consultă și asistă operatorul și/sau persoana împuternicită de operator, în timp ce entitățile arătate de inițiatorul proiectului de lege criticat au în conformitate cu GDPR și Legea 190/2018 calitatea de operatori de date cu caracter personal, adică entități care au obligația de a desemna sau le este recomandat să desemneze un Responsabil cu protecția datelor.
Inițiatorul proiectului de lege încearcă o definire (vagă și redundantă) a “Responsabilului cu protecția datelor” fără a respecta scopul GDPR și al Legii 190/2018, scop care nu pare a fi fost înțeles. Considerăm că nu este nevoie de o definire a Responsabilului cu protecția datelor peste prevederile existente în prezent la nivel European și național.
- Articolul 3 introduce condițiile pe care trebuie să le îndeplinească Responsabilul cu protecția datelor, astfel:
[...] „b) are studii superioare cu diplomă de licență;”
“c) are o vechime în muncă de minim 1 an;
“d) a efectuat un curs de specializare / perfecționare absolvit cu certificat care să ateste competențele necesare exercitării meseriei” [...].
GDPR prevede în art. 37 alin. (1) punctul (5) că desemnarea Responsabilului cu protecția datelor este realizată “pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacitații de a îndeplini sarcinile prevăzute la art. 39”. Atâta timp cât în programa de studiu a universităților naționale nu este introdusa Prelucrarea Datelor cu Caracter Personal ca materie distinctă, atât în facultățile cu profil juridic și tehnic cât și extinderea sau aprofundarea materiei în cadrul studiilor post-universitare, este puțin probabil ca orice diploma obținută ca urmare a studiilor oricărei instituții de învățământ superior poate asigura calitățile profesionale și cunoștințele de specialitate cerute de GDPR, specialistului având rolul de Responsabil cu protecția datelor. Cu alte cuvinte, inițiatorul proiectului de lege este convins că obținerea unei diplome de licență emisă (spre exemplu) de Universitatea Națională de Educație Fizică și Sport sau de Facultatea de Biotehnologii din cadrul Universității de Științe Agronomice si Medicină Veterinară, alături de efectuarea unui curs de specializare și a experienței de minim 1 an (deci inclusiv 1 an și jumătate!), sunt suficiente pentru că specialistul să profeseze în condițiile art. 37 si 39 din GDPR în domeniul prelucrării datelor cu caracter personal?!
Mai precizăm că în conformitate cu art. 38 alin. (1) paragraful (2), “[…] resursele necesare (Responsabilului cu protecția datelor n.r.) pentru executarea sarcinilor, accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate” sunt obligații ale Operatorului pentru care specialistul lucrează!
De asemenea, proiectul de lege criticat nu stabilește expertiza în domeniul prelucrării datelor cu caracter personal a Președintelui Consiliului National care reprezintă așa-zisa “profesie” a Responsabilului cu protecția datelor cu caracter personal din România și a membrilor Consiliului National pentru ca aceștia să își poată desfășura activitatea și îndeplini atribuțiile prevăzute de proiectul aflat in discuție.
- Articolul 4 introduce atribuții și răspunderi ale Responsabilului cu protecția datelor, care extind cadrul art. 39 prevăzut de GDPR prin noi sarcini stabilite Responsabilului cu protecția datelor. Astfel, au fost preluate suplimentar sarcinile stabilite de Regulament (deși acestea sunt deja stabilite de legiuitorul normei Europene) alături de noi sarcini care sunt intrinseci desfășurării activității profesionistului în orice domeniu de activitate, nu numai cel al prelucrării datelor cu caracter personal, cum ar fi acela de a “se dezvolta profesional în mod continuu”. Dezvoltarea înțelegerii și lărgirea cunoștințelor unui domeniu este o necesitate și nu o obligație, astfel înțelegând ca sancțiunea pentru lipsa dezvoltării profesionale în mod continuu este generată de concurență firească a unei piețe sănătoase și nu stabilită de prevederile unei norme juridice.
- Articolul 5 introduce noțiunea “răspunderilor” Responsabilului cu protecția datelor, “disciplinar, administrativ, civil sau penal, potrivit legii”. Este astfel antrenată toată paleta juridică de răspundere a specialistului care se vede “aparat” în exercitarea profesiei sale tot de dispozițiile GDPR - art. 38 alin. (1) punctul (3) – care prevede “[…] Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator” și “[…] nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.” Astfel, Regulamentul stabilește ierarhia răspunderii Responsabilului cu protecția datelor numai în interiorul organizației in care activează in virtutea rolului sau. Drept urmare, inițiatorul proiectului de lege încalcă în mod expres prevederile GDPR și scopul Regulamentului prin intenția de a raporta ierarhic Responsabilul cu protecția datelor care își asuma un rol exclusiv în raport cu organizația care îl desemnează, unui Corp de control care îl sancționează disciplinar și stabilește “răspunderi”.
Precizăm ca un exemplu de interpretare a textului de lege în materia răspunderii Responsabilului cu protecția datelor, că, specialistul “nu răspunde pentru îndeplinirea sarcinilor sale” dar, (interpretăm din aserțiunea textului GDPR), că specialistul răspunde, per a contrario pentru neîndeplinirea sarcinilor. Acesta este singurul tip de răspundere care poate fi extras și reținut din textul GDPR în sarcina Responsabilului cu protecția datelor!
- Articolul 6 stabilește “sancțiuni disciplinare” aplicabile Responsabililor cu protecția datelor cu caracter personal în raport cu gravitatea abaterilor săvârșite. În mod evident, inițiatorul proiectului de lege are în vedere pedepsirea Responsabilului cu protecția datelor prin depășirea cadrului trasat de către legiuitorul GDPR, prin limitarea și restricționarea acestuia, controlând astfel libertatea de acțiune a specialistului care în conformitate cu GDPR trebuie să “nu primească niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini”. Astfel, Responsabilul cu protecția datelor acționează în temeiul unei libertăți “legale” instituite de legiuitorul Regulamentului prin actul normativ European.
Corpul Responsabililor cu protecția datelor este astfel cum am precizat și în punctele anterioare, un organism nelegitim prin încălcarea scopului GDPR, a prevederilor Procedurii de efectuare a investigațiilor din 9 octombrie 2018 emisă de A.N.S.P.D.C.P. și a dispozițiilor Legii nr. 102/2005 privind înființarea, organizarea și funcționarea A.N.S.P.D.C.P. Orice faptă sancționată trebuie să fie prevăzută atât de ramurile relevante de drept public și privat cât și de așa-numitul “Regulament de Organizare și Funcționare” despre care inițiatorului proiectului de lege face vorbire în cardul art. 6 alin. (3).
- Din dispozițiile articolului 7 și a articolelor subsecvente până la articolul 19 inclusiv, care reglementează funcționarea Corpului Responsabililor cu protecția datelor ca organ decisiv în domeniul protecției datelor cu caracter personal în raport cu activitatea Responsabililor cu protecția datelor și având un rol sancționator, inițiatorul proiectului de lege criticat nu stabilești mijloacele (instrumentele) juridice de contestare aflate la dispoziția specialistului(a Responsabilului cu protecția datelor) pentru a echilibra și după caz, a controla activitatea Corpului Responsabililor cu protecția datelor, în eventualitatea abuzurilor de decizie a organului care se impune în domeniul vizat. Mai mult, în cadrul articolului 23, proiectul de lege criticat stabilești existența unei “Federații Naționale a Responsabililor” ca un super-organ cu rol (din înțelegerea textului) exclusiv organizatoric al Adunărilor Naționale a Responsabililor, aflat în subordinea A.N.S.P.D.C.P., fără a preciza cine sunt membrii Federației, cum sunt aceștia numiți și de către cine, care este perioada exercitării mandatului, care sunt competențele și expertiză acestora.
- Articolul 7 alin. (3) din proiectul de lege prevede: „Corpul Responsabililor cu protecția datelor cu caracter personal din România este organizație profesională fără scop patrimonial.” Totuși, articolul 19 din proiectul de lege contrazice dispoziția anterior menționată stabilind că, de fapt, Corpul Responsabililor are cheltuieli pe care le acoperă din cotizațiile membrilor (adică ale Responsabililor cu protecția datelor), transformând astfel organizația într-o entitate care are un scop patrimonial și deci obligă la plata unor taxe pentru ca Responsabilul cu protecția datelor să beneficieze de libertatea de a profesa în domeniul protecției datelor cu caracter personal în România.
- Articolul 20 stabilește că Responsabilul cu protecția datelor care își desfășoară activitatea în mod neautorizat, adică nu a primit avizul favorabil pentru exercitarea “profesiei” în condițiile proiectului de lege criticat, comite o infracțiune pe teritoriul României. Astfel, proiectul de lege se dorește a fi lex specialis în raport cu Codul penal, introducând astfel premisele unei noi infracțiuni în sistemul de drept public al țării.
În concluzie, proiectul limitează exercitarea în mod liber și independent a rolului Responsabililor cu protecția datelor prin încercarea de a controla opinia profesională în materia protecției datelor cu caracter personal în România, fără a crea un cadru util și competitiv al rolului atribuit Responsabililor cu protecția datelor, a funcției în cadrul căreia aceștia activează în beneficiul persoanelor vizate în raport cu dispozițiile și spiritul Regulamentului General privind Protecția Datelor (GDPR).