Proiectul de lege privind implementarea Regulamentului General privind Protecția Datelor (GDPR), înregistrat la Senat în urmă cu o săptămână, are o abordare mai restrictivă decât prevederile europene pe care urmează să le transpună. Inițiativa a survenit cu circa două luni înainte de 25 mai 2018, dată de la care regulamentul european va deveni direct aplicabil în toate statele membre UE, inclusiv în România.
Un articol semnat de Silvia Axinescu, Avocat Reff și Asociații și Ovidiu Bălăceanu, Avocat Reff și Asociații
În acest context, ar fi de așteptat ca proiectul de lege românesc să fie votat înainte de acest moment, astfel încât atât instituțiile publice, precum și entitățile private să aibă cadrul de reglementare clar și previzibil.
Proiectul de lege a fost elaborat în contextul în care regulamentul european le permite statelor membre să adopte reglementări naționale destinate aplicării reglementării europene, în concordanță cu specificul regimului juridic național.
CITEȘTE ȘI VIDEO Google lansează o aplicație de realitate augmentată care permite utilizatorilor să deseneze peste mediul realPrevederile proiectului
În esență, propunerea legislativă reglementează:
- prelucrarea anumitor categorii de date cu caracter personal speciale (respectiv, date genetice, biometrice, date privind sănătatea) și a numărului de identificare național
- desemnarea și sarcinile responsabilului privind protecția datelor, acreditarea organismelor de certificare
- regimul măsurilor corective și a sancțiunilor, prelucrarea efectuată în scopuri jurnalistice, academice, artistice sau literare
- prelucrarea datelor cu caracter personal ale angajaților în contextul relațiilor de muncă.
Proiectul interzice prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, cu excepția prelucrării realizate de către autoritățile publice în anumite condiții stabilite de lege. Abordarea legiuitorului este discutabilă, mai ales în legătură cu crearea de profiluri. Totodată, consimțământul persoanei vizate nu înlătură această interdicție. Rămâne de văzut dacă dispozițiile vor fi menținute sub această formă în urma dezbaterilor parlamentare.
Probabil una dintre cele mai importante schimbări raportate la cadrul legislativ actual o constituie baza legală pentru prelucrarea numărului de identificare național. Reglementarea acestuia nu mai este prevăzută într-o manieră la fel de restrictivă. Astfel, conform regulamentului, prelucrarea poate fi bazată pe oricare dintre condițiile prevăzute de regulament, inclusiv pe interesul legitim urmărit de către operator, cu instituirea într-o asemenea situație a unor garanții ce par a fi cumulative și includ, printre altele, obligativitatea numirii unui responsabil privind protecția datelor, stabilirea unor termene de stocare sau instruirea persoanelor care, sub autoritatea operatorului, prelucrează datele.
În plus, este de remarcat faptul că același regim se aplică monitorizării în contextul relațiilor de muncă, atât prin mijloace de comunicare electronice, cât și prin mijloace de supraveghere video, chiar dacă cea din urmă constituie o măsură mai intruzivă decât monitorizarea prin mijloace electronice de comunicare (cum ar fi monitorizarea traficului de internet).
Astfel, propunerea legislativă instituie condiții suplimentare pentru aceste tipuri de monitorizări, precum:
- să fie vizate activități de importanță deosebită, temeinic justificate
- interesul angajatorului să prevaleze asupra intereselor sau drepturilor și libertăților persoanelor vizate,
- informarea prealabilă a angajaților
- consultarea sindicatului
- alte forme sau modalități mai puțin intrusive nu s-au dovedit eficiente
- durata de stocare a datelor este proporțională cu scopul prelucrării și nu depășește 30 de zile, cu excepția situațiilor în care legea dispune altfel sau exista cazuri temeinic justificate.
Această ultimă cerință, de stabilire a unei durate maxime de 30 de zile, va fi dificil de avut în vedere în ceea ce privește anumite tipuri de monitorizări, precum cele privind traficul de internet sau capacitatea e-mailurilor transmise în cadrul societăților.
Regimul sancționator aplicabil instituțiilor publice este derogatoriu față de cel aplicabil entităților private, fiind prevăzute avertismentul sau amenda de până la 200.000 lei, raportat la contravenția comisă. Rămâne de văzut în ce măsură o asemenea limitare impusă instituțiilor publice, având un prag maxim mult sub amenzile maxime din regulament reprezintă un indiciu în legătură cu posibila abordare a autorității de control în ceea ce privește sancționarea entităților private ca urmare a încălcării prevederilor regulamentului.