ASCPD contestă conținutul și modul de legiferare ales pentru organizarea profesiei de Responsabil cu protecţia datelor în România
În contextul publicăriiproiectului de lege privind organizarea profesiei de Responsabil cu protecția datelor cu caracter personal înregistrată la Senat cu numărul B653/2020, ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR (ASCPD), atrage atenția tuturor instituțiilor statului asupra pericolului politizării profesiei de Responsabil cu protectia datelor cu caracter personal, trimițând oscrisoare deschisă adresată Comitetului European pentru Protecția Datelor (EDPB), Confederației Organizațiilor Europene pentru Protecția Datelor (CEDPO), Avocatului Poporului, Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, Secretariatului General al Guvernului, Biroului Permanent al Senatului României, Comisiei pentru cercetarea abuzurilor, combaterea corupției și petiții din Senatul României și Consiliului Economic și Social (CES).
“ASCPD se delimitează de orice contribuție la elaborarea acestui proiect legislativ.Ne exprimăm îngrijorarea față de modul de legiferare ales, fără consultarea publică a părților interesate, speciliștilor în confidențialitatea și protecția datelor sau a Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Facem apel la instituțiile competente să intervină pentru supunerea acestui proiect de lege unei dezbateri publice, înainte de a fi propus dezbaterii plenului Senatului României”, a declarat Marius DUMITRESCU, Președintele ASCPD.
Proiectul de lege privind organizarea profesiei de responsabil cu protectia datelor cu caracter personal, lege care dacă ar fi adoptată ar fi o premiera in Europa, nu a fost pus în dezbatere publică fără vreo justificare, fiind înregistrat prin procedură legislativă de urgență de către inițiatori, la Biroul Permanent al Senatului (653/10.11.2020), încălcând obligațiile de a motiva urgența în cuprinsul proiectului.
Considerăm că este încălcat dreptul părților interesate, specialiștilor și al organizațiilor active și reprezentative în domeniu de a aduce amendamente, prin consultare publică, față de acest proiect de lege care va avea un impact major asupra desfășurării activității profesionale și a cărui formă inițială propusă de inițiatori aregrave carențe și lacune referitoare la interpretarea dispozițiilor Regulamentului UE nr. 679/2016.
Având în vedere mecanismul de asigurare a coerenței prevăzut de Regulamentul UE 679/2016, dar și faptul că prezenta propunere legislativă aduce atingere unui număr semnificativ de operatori din Uniunea Europeană cu sediul în România sau care prelucrează datele rezidenților din România sau care prelucrează datele pe teritoriul României, suntem nevoiți să aducem la cunoștință acest demers și Comitetului European pentru Protecția Datelor (EDPB).
ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR (ASCPD) va înainta către Biroul Permanent al Senatului un document conținând obiecțiile detaliate pe care le formulează cu privire la acest proiect de lege și va iniția și o petiție online pentru strangerea de semnături în vederea scoaterea proiectului de lege din regim de urgență și supunerea lui în dezbatere publică!
Prezentăm mai jos doar câteva din argumente transmise de ASCPD autorităților menționate:
- Proiectul de act legislativ contravine ierarhiei actelor normative ale Uniunii Europene, din motiv că proiectul de lege restrânge, modifică și stabilește cerințe și norme de conduită altele decât cele prevăzute de Regulamentul General privind Protecția Datelor.
- Proiectul de lege este incompatibil cu legislația Uniunii Europene, în special prevederile specifice din GDPR, fiind opozabile prevederile art. 20 din Legea nr. 24/2000privind normele de tehnică legislativă pentru elaborarea actelor normative.
- Nota de fundamentare a proiectului de lege este aridă, incertă și denaturată, nefiind posibil de a desprinde fără echivoc aspectele de fapt și de drept care au dus la inițiativa de reglementare în forma dată.
- Necunoașterea, neînțelegerea sau cunoașterea precară a prevederilor Regulamentului UE 679/2016 și a legislației naționale de către autorii proiectului de lege având în vedere că proiectul de lege se referă la reglementarea profesiei de Responsabil cu protecția datelor cu caracter personal și definiția dată acestuia în proiecteste eronată.Responsabilul cu protectia datelor cu caracter personal NU este “instituția/autoritatea publică, agenția sau un alt organism (operator) care îndeplinește sarcinile prevăzute în Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie – 2016 privind protectia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulatie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), cap v, art. 10, în baza unui contract de muncă, respectiv contract comercial.” În plus, Regulamentul european definește clar contractul în baza căruia o persoană poate avea calitatea de responsabil, respectiv contractul de prestări servicii, nu contractul comercial. Menționăm că sarcinile responsabilului cu protectia datelor cu caracter sunt stabilite de către Regulamentul european, nu de către articolul 10, capitolul IV din Legea nr. 190/2018.
- Precizarea din expunerea de motive a proiectului de lege că “Un responsabil cu protectia datelortrebuie să fie un jurist specializat în tehnologie” adauga la lege prin interpretări cel mult personale si neargumentate care încalcă prevederile Regulamentului UE 679/2016 în care nu se precizează niciun fel de impunere, limitări sau restricții cu privire la nivelul de studii și la specializarea necesară responsabilului cu protectia datelor pentru exercitarea profesiei.
- Lipsa realizării consultării prealabile cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal contravine prevederilor art. 36 alin. (4) din GDPR – (4) “ Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un parlament național sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrarea” și coroborat cu prevederile art. 8 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative – (1) „În cazurile prevăzute de lege, în faza de elaborare a proiectelor de acte normative inițiatorul trebuie să solicite avizul autorităţilor interesate în aplicarea acestora, în funcţie de obiectul reglementării.”
- Articolele 5 și 6 din proiectul legislativ contravin în totalitate prevederilor art. 37 și art. 38 alin 3 din Regulamentul 679/2016 (GDPR) privind independența Responsabilului cu Protectia Datelor și răspunderea acestuia pentru exercițiul funcției.
- Este încălcată gravliberă circulație a serviciilor în UE având în vedere că aceast proiect de lege restrânge acest drept.
- Nu sunt referiri, sau sunt ignorate cu buna stiinta, referitor la desfășurarea activității în domeniul protecției datelor cu caracter personal de către o persoană juridică.
- Articolul 38, în special alin. 3) din Regulamentul 679/2016 prevede: “(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.”, de unde reiese foarte clar și explicit faptul că responsabilul cu protecția datelor personale trebuie să poată să-și desfășoare activitatea fără nicio intervenție sau control asupra sa (chiar dacă are calitate de angajat al operatorului). Acesta nu primește instrucțiuni în ceea ce privește sarcinile sale, nu poate fi demis sau sancționat, oriprin constituirea Corpului Responsabililor se întrevăd măsuri de control sanctionare și imixtiune în activitatea acestuia până la răspunderea administrativă, civilă sau penală, așa cum reiese și din expunerea de motive a proiectului de lege: “De asemenea, responsabilul cu protectia datelor are atribuții și responsabilități bine definite, răspunderi și este supus unor sancțiuni disciplinare in momentul in care nu-și exercită profesia conform legii.”
- Condiționarea capacității și dreptului de exercitare a activității de Responsabil cu protectia datelor, prin înscrierea/acceptarea și apartenența la un organism profesional încalcă prevederile art. 37 din Regulament care stabilesc în mod clar singurele condiții necesare pentru aceasta activitate, condiții întărite și prin standardul ocupational cod COR 242231.
- Modalitatea complet lipsită de transparență a înființării și organizării Corpului Responsabililor cu protectia datelorașa cum este el menționat în proiectul de lege.
- Legea 363/2018 la care se face referire că ar completa proiectul de lege reglementează prelucrarea datelor cu caracter personal în scopul realizării activităţilor de prevenire, descoperire, cercetare, urmărire penală şi combatere a infracţiunilor, de executare a pedepselor, măsurilor educative şi de siguranţă, precum şi de menţinere şi asigurare a ordinii şi siguranţei publice de către autorităţile competente,neavând nicio relevanță pentru rolul Responsabilului cu protecția datelor.
- Implicarea ANSPDCP în activitățile organizației profesionale, conduce la ideea că acest organism se subordonează în mod direct acesteia. Articolul 11 prevede faptul că “(1) Organizarea și funcționarea Corpului Responsabililor cu protectia datelor cu caracter personal din România se stabilesc prin regulamentul de organizare și funcționare a acestuia,cu avizul Autoritatii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.” și dispozițiile articolului 23 din același proiect de lege prevăd că “Organizarea adunărilor locale de constituire a filialelor, precum și a primei Adunări naționale a Responsabililor cu protectia datelor cu caracter personal se va asigura de către Federatia Națională a Responsabililor cu protectia datelor cu caracter personalsub supravegherea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în termen de 120 de zile de la publicarea prezentei legi în Monitorul Oficial al României.”
- “Federatia Națională a Responsabililor cu Protectia Datelor cu Caracter Personal” nu există și nu poate exista, federația fiind definită ca o uniune formată din mai multe organizații cu activitate relevantă și semnificativă in domeniu și care urmăresc scopuri comune și persoanele fizice se pot organiza în asociații și fundații, nu sub forma de federație.
Despre Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România
Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecția Datelor 2016/679 și a legislației aferente, funcționând ca un organism consultativ profesionist pentru persoane și organizații. ASPDC este o organizație non-guvernamentală, autonomă, apolitică și non-profit care ajută la definirea, susținerea și îmbunătățirea profesiei de Responsabil în protecția datelor și a altor specialiști în domeniu și își desfășoară activitatea în conformitate cu prevederile OG nr. 26/2000.
ASCPD ghidează persoanele responsabile în protecția datelor și alți specialiști în domeniul confidențialității datelor în rezolvarea numeroaselor probleme juridice, tehnice și organizatorice pentru a obține un echilibru adecvat între interesele persoanelor vizate, care necesită protecție, și cele ale operatorilor.
Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viața privată, pentru a se asigura că publicul este informat și implicat.
După o perioadă de 12 luni de monitorizare a activității ASCPD în România, membrii Confederației Organizațiilor Europene pentru Protecția Datelor (CEDPO) au avizat favorabil, în aprilie 2020, adeziunea organizației românești, devenind astfel cel de-al zecelea membru cu drepturi depline.
Confederația Organizațiilor Europene pentru Protecția Datelor (CEDPO) este o “organizație umbrelă” care reunește cele mai reprezentative asociații naționale de protecție a datelor din Uniunea Europeană. CEDPO a fost fondată în septembrie 2011 de Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP, Franța), Asociación Profesional Española de Privacidad (APEP, Spania), Gesellschaft fur Datenschutz und Datensicherheit eV (GDD, Germania) și Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG, Olanda). Din momentul fondarii în 2011 și pană în momentul aderării Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD), doar cinci organizații au mai fost invitate să se alăture Confederației: ADPO din Irlanda, ARGE Daten din Austria, ASSO DPO din Italia, SABI din Polonia si AEPT din Portugalia
Scopul acestei Confederații este de a promova rolul Responsabilului cu protecția datelor (DPO) și de a milita pentru un sistem de protecție a datelor echilibrat, bazat pe experiență practică și eficiență. În plus, CEDPO contribuie activ la o mai bună armonizare a legislației și a practicilor privind protecția datelor în Uniunea Europeană (UE) și în Spațiul Economic European (SEE), unind toate organizațiile membre într-o singură voce și valorificând astfelexperiența bogată și diversă ale asociațiilor membre ale CEDPO, care dețin cunoștințe practice despre problemele care înconjoară rolul și poziția DPO, precum și provocările zilnice cu care se confruntă.CEDPO este și un interlocutor activ pentru factorii de decizie europeni și autoritățile pentru protecția datelor în contextul adoptării și implementării Regulamentului general privind protecția datelor (GDPR), propunerile sale jucând un rol important în definirea legislației actuale, în special în ceea ce privește reglementarea poziției și a rolului responsabilului cu protecția datelor (DPO). De asemenea, CEDPO a participat la modernizarea Convenției 108 a Consiliului Europei („Convenția pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal”), susținând o mai bună recunoaștere a rolului crucial pe care DPO îl joacă în protecția datelor în zilele noastre.
Mai multe detalii despre proiectele asociației găsiți pe www.ascpd.ro