Avem nevoie de o lege a Responsabilului cu protectia datelor cu caracter personal?

Editorial

Vizualizari: 13754

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Data de 10 noiembrie 2020 a fost marcată de un eveniment controversat, care a declanșat discuții între teoreticienii și practicienii din domeniul protecției datelor cu caracter personal, atât în spațiul public, cât și pe grupurile / în asociațiile/organizațiile de specialiști și a generat analize pe baza Regulamentului European 679/2016 și a viitorului activității DPO în România, evenimentul fiind reprezentat de o inițiativă legislativă depusă în Senat, cu caracter de urgență.

Proiectul de lege privind organizarea profesiei de responsabil cu protectia datelor cu caracter personal, înregistrat spre dezbatere cu Nr. B 653/2020 din 10 noiembrie a generat replici dure, critici și opoziții ferme, în primul rând din partea comunității specialiștilor în protectia datelor, în nume colectiv, cât și opinii independente. Aceste acțiuni nu s-au limitat doar la mediatizarea / diseminarea luării de poziție în mediul online, ci s-au materializat și prin obiecții trimise Senatului și comisiilor din cadrul acestuia, sesizări înaintate Avocatului Poporului, Consiliul Legislativ, cel Economic și Social, precum și altor instituții sau organisme a căror notificare a fost impusă de acest context. 

În cuprinsul acestui articol nu am încercat să subliniez aspectele care nu au fost respectate în ce privește tehnica legislativă pentru elaborarea actelor normative și nici modul precar de fundamentare a expunerii de motive prezentată de către inițiatorii acestui proiect de lege, deși acestea se regăsesc în proiect, însă, se impune precizarea că aceste puncte slabe reprezintă elementele inițiale suficiente pentru a se concluziona că proiectul de lege propus demonstrează o documentare insuficientă sub aspect GDPR, o necunoaștere adecvată a Legislației aplicabile în domeniul protecției datelor cu caracter personal și chiar necunoașterea punerii în practică a Regulamentului (UE) 679/2016 în România, atât la nivel instituțional cât și privat.

Pornind de la aceste ultime observații, proiectul de lege trebuie analizat din trei perspective:

  • Prima perspectivă este dată de necesitatea, sau nu, a existenței unei legi care să reglementeze activitatea responsabilului cu protecția datelor cu caracter personal;
  • A doua perspectivă face referire la modul în care se dorește, prin acest proiect, să fie coordonată și controlată activitatea responsabililor cu protecția datelor cu caracter personal, atât persoane fizice, prin constituirea unui așa numit Corp al responsabililor cu protecția datelor cu caracter personal;
  • A treia perspectivă și nu neapărat ultima, este reprezentată de încălcările evidente ale Regulamentului UE 679/2016, ale Legii 190/2018 și legislației naționale incidente, cum ar fi Codul Muncii și Legea 31/1990 privind societățile comerciale.

Paradoxal, o primă contradicție privind oportunitatea adoptării unei astfel de legi o găsim chiar în “Expunerea de motive” a inițiatorilor legii, care face trimitere la cele două acte normative comunitare, Regulamentul 679/2016 și Directiva 680/2016 și la transpunerea acestora în legislația națională, prin Legea 190/2018, respectiv Legea 363/2018.

Astfel, în prezența celor două reglementări privind prelucrarea datelor cu caracter personal, dispoziții legale ce stabilesc, printre altele, limitele și sarcinile responsabilului cu protecția datelor cu caracter personal, ba, chiar mai mult decât atât - forma pe care o poate îmbracă această activitate fără posibilități de limitare sau interpretare națională, nu se poate adopta o lege specială care să contravină acestora sau să ocolească caracterul de obligativitate.

Al doilea argument solid în motivarea lipsei posibilității de punere în practică a acestei legi se regăsește, din nou într-un mod paradoxal, tot în textul redactat de inițiatori, de data aceasta în propunerea de lege, la Articolul 2, care precizează (chiar dacă într-un mod eronat privind tipul de contract) faptul că, în temeiul regulamentului european, responsabilul cu protecția datelor cu caracter personal poate fi și un operator extern (în sensul de persoană juridică), în baza unui contract, asupra căruia, însă, propunerea de lege nu a mai făcut mențiune în cuprinsul său, eludând astfel această activitate. Ori, lipsa prevederilor explicite în legătură cu această activitate prestată de o persoană juridică o pune în ilegalitate, deși ea este reglementată prin Regulamentul European. 

În aceeași ordine de idei, avocați din întreaga țară și-au exprimat, justificat, opoziția pentru această propunere de lege motivând, printre altele, excluderea lor din această activitate, în primul rând datorită tipului de contract indicat în proiect - contract comercial și nu contract de servicii cum prevede regulamentul și, în al doilea rând, prin încercarea de impunere a anumitor condiții privind studiile, experiența sau specialitatea - “Un responsabil cu protectia datelor trebuie sa fie un jurist specializat în tehnologie” în accepțiunea initțatorilor, altfel decât prevede regulamentul european.

Un aspect important prezent în opiniile critice și obiective citate regăsim și în amendamentul privind respectarea independenței responsabilului cu protectia datelor cu caracter personal, independență garantată prin articolele 37 și 38 din GDPR și care, în eventualitatea constituirii unui Corp profesional al responsabililor cu protectia datelor, așa cum se regăsește în proiect, prin includerea unor sancțiuni disciplinare, penale sau civile aplicabile acestor profesioniști, ar duce la încălcarea articolelor GDPR menționate anterior și ar conduce la însăși eliminarea principiului de obiectivitate necesar responsabilului cu protectia datelor cu caracter personal în toată practica sa pentru respectarea cerințelor Regulamentului (UE) 679/2016.

Fără a face o analiza a sintagmei Responsabil cu protecția datelor cu caracter personal vs. DPO - Ofițer cu protecția datelor, se cuvine să precizăm faptul că multe dintre reacțiile vehemente împotriva acestui proiect de lege sunt venite, pe bună dreptate, din partea responsabililor cu protecția datelor cu caracter personal desemnați la nivelul instituțiilor publice (sau private), care se văd constrânși să adere la un for superior de organizare a unei profesii, cu toate condițiile și procedurile ce decurg dintr-un astfel de proces de “certificare/autorizare”, deși ei prestează o activitate suplimentară, nu profesează în această “meserie”!

Diferențierea între activitate și profesie rezultă din mai multe prevederi ale Regulamentului 679/2016, din opinii ale Grupului de lucru “Articolul 29” sau interpelări făcute Autorităților de control și, în susținerea acestora, notăm faptul că în procedura de notificare a responsabilului cu protecția datelor cu caracter personal la Autoritatea națională de supraveghere - ANSPDCP există opțiunea de comunicare obligatorie, fie a unei persoane fizice, fie a unei persoane juridice atunci când a fost desemnat Responsabilul cu protectia datelor la nivelul entității declarante. Regulamentul 679/2016 prevede asumarea de către un responsabil cu protecția datelor cu caracter personal a funcției și sarcinilor atribuite de legiuitor și nu de deținerea unor competențe specifice unei calificări / profesii / meserii.

Nu putem să trecem cu vederea un deziderat probabil al acestui proiect, așa cum l-au identificat mulți opozanți ai acestuia, adică cel al constituirii unui “Corp al responsabililor” și să nu constatăm faptul că, la baza acestui proiect de lege stă ca sursă de inspirație “cu punct și virgulă” Ordonanta Nr. 65/1994 care reglementează organizarea și funcționarea activității contabililor și a Corpului Experților Contabili și Contabililor Autorizați din România.

Suntem, așadar, în fața unei transpuneri rigide a modului de funcționare al unui alt Corp profesional, imposibil de pus în practică și care este fără adaptare reală la domeniul protecției datelor cu caracter personal și la activitatea desfășurată de un DPO, fapt care îndreptățește contestarea aplicabilității unei viitoare legi în forma actuală a proiectului. 

În acest proces de redactare și înaintare spre aprobare în Senat, proiectul a prevăzut, în contradicție cu prevederile legale (subliniem în mod particular Legea 102/2005), că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP va realiza activități de acreditare, organizare și avizare a constituirii și funcționării Corpului Responsabililor cu protecția datelor, fără ca inițiatorii proiectului de lege să consulte, în prealabil, această autoritate! Ca urmare a unei solicitări înaintate de către ASCPD - Asociaţia specialiştilor în confidenţialitate şi protecţia datelor autorității române de supraveghere, autoritatea a confirmat faptul că nu a fost consultată cu privire al acest proiect de lege și, mai mult decât atât, a considerat că sarcinile / atribuțiile care i-au fost stabilite în cadrul proiectului “Legii responsabilului cu protecția datelor” nu respectă prevederile Regulamentului (UE) 679/2016 și exced, totodată, competențelor sale.

Raportat la cele menționate anterior, este legitimă incertitudinea opiniei publice asupra cauzei unei astfel de erori. Să fie aceasta urmare a necunoașterii atribuțiilor autorității naționale de supraveghere, a regulamentului european privind protecția datelor personale și a legislației naționale în domeniu, sau reprezintă o încercare de imixtiune în activitatea acestei autorități? Nu știm, cel puțin în acest moment (17.11.2020 - n. a.), însă suntem îndreptățiți să punem în discuție forma actuală a acestei propuneri legislative. 

 Este important să avem în vedere, dacă tot facem referire la opinie, faptul că nu s-a evidențiat până la acest moment o reacție semnificativă a comunității responsabililor și specialiștilor implicați în protecția datelor personale (indiferent de aria de expertiză a fiecăruia), lucru care este pe deoparte îngrijorător dacă ne raportăm la existența unui număr de 11543 responsabili notificați către Autoritate până la începutul anului 2020; dar, este și de așteptat să urmeze abia de acum o creștere în urma mediatizării acestui proiect și a repercusiunilor sale. Pasivitatea în fața acestui proiect legislativ nu este nici binevenită,  nici potrivită mediului profesionist, nici constructivă și nici justificată moral.

Ca o concluzie, proiectul “Legii responsabilului cu protecția datelor” abundă de inadvertențe, de încălcări evidente ale altor legi și regulamente europene. Nu reiese de nicăieri caracterul de urgență al acestei legi, care face ca acest proiect să nu mai fie supus dezbaterii publice și, deși o propunere de lege se prezumă a fi un proiect care să reglementeze o nevoie, o stare de fapt sau un viciu legislativ, nu am reușit identificarea unor argumente solide, sau măcar minim fundamentate, care să susțină oportunitatea acestei legi.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Fiecare practician GDPR trebuie să aibă această carte

Editorial

Vizualizari: 12025

Facebooktwittergoogle_plusredditpinterestlinkedinmail

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Nu e nevoie de consimțământul GDPR al parinților pentru testarea elevilor!

Editorial

Vizualizari: 12376

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Dacă ar fi să folosesc un termen binecunoscut în rândul specialiștilor români în domeniul protecție și securității datelor cu caracter personal, aș spune că o noua "bazaconie" (termen folosit de fostul premier) a fost lansată de autoritățile care au modificat pe ultima sută de metri, înainte de redeschiderea școlilor în 8 februarie, procedura privind testarea anti COVID-19 a elevilor. Mai exact, Ministerul Sănătății a modificat formularul pentru părinți, prin care aceștia pot exprima consimțământul din punct de vedere medical pentru testare a copilului lor cu teste antigen rapide în școală, potrivit documentului publicat duminică seara la ora 23:00, cu doar o oră înainte să înceapă prima zi de școală din Semestrul al II-lea. Noutatea acestui document este declarația pentru prelucrarea datelor cu caracter personal care a fost inclusă în acest formular și nu se mai completează separat. Ca specialist, nu îmi pot da seama cu exactitate ce ar trebui să reprezinte acest document: consimțământ medical informat ( Art.660 - L 95/2006) și/sau consimțământ GDPR (Art.4 pct. 11- RGPD 679/2016) pentru că nu respectă condițiile de validitate pentru nici una din acestea și nu respectă nici principiul fundamental al minimizării datelor.

Nu este prima, și poate nici ultima, dată când autoritățile române pun părinții specialiști în acest domeniu, în fața unei dileme: refuz să semnez un document eronat având în vedere faptul că experiența și etica profesională mă împiedică să fac acest lucru sau semnez pentru a nu crea neplăceri copilului la școală? Anul trecut, Ministerul Educației condiționa accesul în sala de examen de existența unui astfel de formular de consimțământ din partea părinților.

„Declar prin prezenta că sunt de acord cu utilizarea și prelucrarea datelor mele cu caracter personal de către cabinetul medical din cadrul unității de învățământ preuniversitar X, inclusiv pentru transmiterea datelor la Direcția de Sănătate Publică/Direcția de Sănătate Publică a Municipiului București, rezultate din prezentul consimțământ depus voluntar la unitatea de învățământ.” Așa sună "consimțământul" (și ghilimelele nu sunt puse în mod accidental) privind prelucrarea datelor cu caracter personal care în această formă numai consimțământ nu este. Ar fi putut fi o simplă informare cu indicarea temeiului legal corect și respectarea Art. 13 din GDPR. Altfel, această măsură nu conduce decât la creșterea birocrației, generând un munte de documente inutile și fără valoare juridică, datorită faptului că nu respecta cerințele minimale stabilite de lege.

Acest formular trebuie analizat și din prisma condițiilor de validitate a unui consimțământ medical informat. Art. 660 din Legea 95/2006 stabilește că informațiile relevante trebuie transmise pacientului la un nivel științific rezonabil pentru puterea de înțelegere a acestuia și trebuie să conțină cel puțin diagnosticul, natura și scopul tratamentului, riscurile și consecințele tratamentului propus, alternativele viabile de tratament, riscurile și consecințele lor și pronosticul bolii fără aplicarea tratamentului. Lipsa informării corespunzătoare introduce riscuri juridice pentru cadrele medicale, mai ales în lipsa unui contact direct medic-pacient în momentul în care se obține acest consimțământ medical informat.  

Nu cred că este normal ca după cei aproape trei ani de când se aplică Regulamentul (UE) 679/2016 (GDPR), în România consimțământul să fie în continuare prima opțiune a operatorilor de date cu caracter personal atunci când se dorește identificarea unui temei legal. Se poate explica ușor prin “puterea obișnuinței”, prin cunoștințe superficiale asupra modificărilor introduse de noua legislație sau prin faptul că Responsabilul cu protecția datelor (DPO) încă nu și-a câștigat locul de drept și nu a reușit să provoace o schimbare fundamentală în cadrul organizațiilor. Utilizarea eronată a temeiului de prelucrare nu conduce neapărat la încălcarea Regulamentului și la aplicarea unei amenzi și este de fapt o dovadă clară a cunoașterii precare din partea operatorilor a prevederilor și principiilor Regulamentului (UE) 679/2016 (GDPR). 

Obținerea unui consimțământ prin solicitarea ”vă rog semnați aici, aici și aici” nu este o metodă de  conformare față de principiile GDPR, este o rezolvare de formă, pentru a scăpa de o “corvoadă”, prin care am reușit doar să creștem birocrația, am creat formulare noi ca să ne protejăm în cazul în care pacientul ne dă în judecată. Chiar și așa, avantajul va fi de partea persoanei vizate pentru că va putea spune oricând că ”nu am fost informat corect, nu am înțeles ce mi s-a spus / cerut să fac, consimțământul nu este conform GDPR, nu a fost obținut în mod real sau nu am fost informat în prealabil”. Un consimțământ, pentru a fi valabil conform GDPR, trebuie să îndeplinească mult mai multe condiții decât semnătura pacientului.

Ca specialist îmi doresc să învățăm într-un final să folosim corect acest temei legal și să apelăm la el atunci când am epuizat toate celelalte variante. Cu toții ar trebui să știm că Regulamentul (UE) 679/2016 (GDPR) a schimbat fundamental ierarhia din Directiva 95/46/EC (abrogată) și din  Legea 677/2001 (abrogată) cu care eram obișnuiți, înlocuind-o cu egalitatea între temeiurile de prelucrare. Astfel, legalitatea prelucrării datelor poate fi justificată conform articolul 6 alineatul 1 din Regulament prin: temei legal, interes vital, interes legitim, relație contractuală sau interes public și este nevoie de consimțământul persoanei vizate de exemplu, în cazul activităților de marketing sau al studiilor medicale voluntare. 

Nu pot decât să recomand Autorităților din România să studieze prima dată celelalte temeiuri de prelucrare a datelor personale, deoarece, de cele mai multe ori, există deja obligații legale de prelucrare a datelor sau un contract care stă la baza prelucrărilor sau poate fi cu ușurință demonstrat un interes legitim, public sau vital. Abia după eliminarea oricărui alt posibil temei putem ajunge la ipoteza utilizării consimțământului, studiind cu atenție ce se întâmplă în cazul retragerii acestuia, dacă sunt condiții de retragere facilă a consimțământului și dacă este liber exprimat. 

Consimțământul medical informat vs. Consimțământul GDPR

Nu trebuie să facem confuzie între “consimțământul pacientului folosit ca temei legal de prelucrare a datelor cu caracter personal” și “consimțământul medical informat” care este, de fapt, un document prin care se traduc într-un limbaj comun termenii de specialitate care definesc un act medical, cu scopul de a obține acceptul în cunoștință de cauză al pacientului si care vizează relația medic-pacient și informațiile legate de actul medical si repercusiunile acestuia. 

Articolul 4 alin. 11 din Regulamentul 679/2106 definește “consimţământul” persoanei vizate ca fiind “orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. Trebuie analizat în această situație și conținutul considerentului 42, care precizează: “Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.. Condițiile de utilizare a consimțământului ca temei legal de prelucrare a datelor cu caracter personal sunt descrise pe larg în cuprinsul art. 7 din Regulamentul 679/2016, astfel că, orice operator trebuie să demonstreze că persoana vizată și-a dat consimțământul informat pentru prelucrarea datelor sale cu caracter personal, printr-o alegere liberă autentică și cererea în vederea obținerii consimțământului trebuie să fie într-o formă care o diferențiază de celelalte aspecte, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Pentru obținerea unui consimțământ valid (ca temei de prelucrare GDPR) trebuie întrunite mai multe condiții, precum faptul că: 

  1. trebuie să fie liber exprimat și obținut distinct de orice alt acord, 
  2. trebuie să fie acordat în cunoștință de cauză,
  3. trebuie acordat pentru un scop specific,
  4. toate motivele prelucrării trebuie precizate clar,
  5. trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular),
  6. trebuie să folosească un limbaj clar și simplu și să fie clar vizibil și
  7. nu în ultimul rând, consimțământul poate fi retras, iar acest lucru trebuie menționat. 

Pentru a fi acordat în mod liber consimțământul, pacientul trebuie să aibă libertatea de a alege și trebuie să poată să refuze sau să își retragă consimțământul, fără a fi pus în dezavantaj sau fără a suporta prejudicii. Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică și unitatea medicală (de exemplu, relația pacient-medic sau angajator-angajat) sau atunci când o societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiție pentru executarea unui serviciu.

Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se ofere în prealabil cel puțin următoarele informații (notă de informare): identitatea organizației care prelucrează datele, informații privind scopurile în care sunt prelucrate datele, informații privind tipul de date care se va prelucra, posibilitatea de retragere a consimțământului dat, dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri. În cazul în care consimțământul se referă la un transfer internațional, persoana vizată va fi informată cu privind riscurile posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat și nu există garanții adecvate.

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Importanța respectării autonomiei și independenței DPOului

În urma diferitelor discuții purtate cu colegi și colaboratori DPO au reieșit câteva dintre condițiile dificile în care își desfășoară activitatea unii dintre aceștia și, din provocările cu […]

De câți DPO are nevoie România ?

Pe parcursul anului 2019, operatorii au înregistrat la Autoritatea Naţională de Supraveghere un număr de 4318 responsabili cu protecția datelor numiți de către operatorii din sectorul public și […]

TELEMUNCA și protecția datelor personale în contextul digitalizării

Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca este o realitate tot mai prezentă. Este […]

IMPACTUL INVALIDĂRII PRIVACY SHIELD SI POSIBILE SOLUTII PENTRU OPERATORII DE DATE PERSONALE

16 iulie 2020. O dată de referință pentru istoria protecției datelor personale. O dată de la care aproape toți operatorii de date personale din România ar trebui să-și […]

“EA ne vede, noi o vedem”

Draga cititorule, nu este vorba de vreo doamna frumoasă și elegantă! Fie vorba între noi e chiar urâtă! Are doar un ochi de zici că-i o doamnă ciclop […]

„GDPR-ul nu se aplică partidelor politice?”

Ne aflăm în plină campanie electorală pentru alegerile locale, care se va finaliza cu votul cetățenilor in 27.09.2020. Cu toții suntem chemați la vot de foarte multe partide […]

Care a fost cea mai importanta lectie pe care companiile, dar si specialistii in protectia datelor personale, au invatat-o in aceasta perioada?

Cei doi ani care au trecut de la implementarea GDPR nu au reprezentat pentru noi doar provocari, ci au introdus si oportunitati de a invata lectii valoroase. Am […]

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Normele GDPR nu împiedică măsurile luate împotriva pandemiei Covid-19

În cadrul celei de-a 30-a sesiuni plenare, EDPB a adoptat o declarație privind drepturile persoanelor vizate în contextul actual epidemiologic al stării de urgență sau alertă din statele […]

A măsura sau a nu măsura temperatura? Aceasta este întrebarea …

Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata […]

Specialiștii în protecția datelor personale sar în ajutorul cadrelor didactice implicate în învățământul on-line

Un grup de patru specialiști în domeniul protecției datelor, autorii volumului GDPR Aplicat, vin în sprijinul celor interesați și implicați direct în procesul de învățământ on-line în România […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

La ce clauze contractuale vom fi mai atenți de acum în colo ?

Epidemiile, la fel ca războaiele, reprezintă situații care ne găsesc întotdeauna nepregătiți pentru a gestiona efectele complexe ale acestora. Consecința de lungă durată a acestora, după impactul psiho-emoțional, […]

Publicitatea declarației de căsătorie și respectarea principiilor GDPR

Scrieți pe Google „publicație starea civilă”, selectați modul „imagini” și observați rezultatul…Poate chiar vă regăsiți numele pe internet, alături de soțul/soția de atunci sau (încă) din prezent. Ne […]

GDPR se aplică și în timpul pandemiei COVID-19

GDPR se aplică chiar dacă pe timp de pandemie operatorilor de telefonie mobilă le-a fost solicitat de autorități să comunice anumite date pentru a ajuta la reducerea răspândirii […]

Pandemia Covid-19 a impus maturizarea forțată a societății românești

Nimic nu va mai fi ca înainte. Societatea în care trăim s-a schimbat deja, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea […]

Hai să facem împreună analiza unei tentative de phishing

Cred că nu ne preocupă îndeajuns de mult o realitate infracțională care capătă proporții sub ochii noștri, fără a sesiza impactul pe care îl are asupra vieților noastre […]