ANSPDCP a publicat proiectul privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 care este supus dezbaterii publice, fiind accesibil aici. Propunerile, sugestiile și opiniile persoanelor interesate pot fi transmise pe adresa de e-mail anspdcp@dataprotection.ro, până pe 20.09.2020.

Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 au fost elaborate cu consultarea Asociației de Acreditare din România - Renar și se transmit pentru aviz Comitetului European pentru Protecția Datelor, în concordanță cu art. 64 din Regulamentul (UE) 2016/679.

Ce este această certificare?

Certificarea GDPR va fi un proces similar obținerii certificărilor ISO, astfel ca pentru a dobândi această certificare, operatorii interesați vor trece printr-un proces care va urmări planificarea, controlul, evaluarea și corectarea proceselor organizației, astfel încât acestea să corespunda normelor standardului în materie de protecție a datelor.

Articolele 42 și 43 din Regulament prevăd obiectivele, garanțiile și rolurile actorilor, împreună cu principiile generale pentru procesele de certificare și acreditare.

Etapele procesului de certificare sunt determinate în GDPR și pot fi completate de etapele identificate în standardul ISO / IEC 17065. Cu toate acestea, dincolo de prevederile generice, ar trebui să examinate certificările existente pentru a identifica cele mai bune practici. Aspecte precum gestionarea soluționării litigiilor, tehnicile de monitorizare a certificărilor acordate și politicile de sancționare sunt esențiale pentru dezvoltarea unor mecanisme de certificare a protecției datelor de încredere.

De ce ar fi utilă o asemenea certificare?

Pe scurt, certificarea GDPR ar trebui să însemne confirmarea respectării de către o organizație (certificată) a cerințelor unui standard în materie de protecția datelor sau, în urma unui proces de evaluare periodică a bunelor practici GDPR din organizație, proces realizat de către un auditor extern, independent (organism de certificare).

Companiile vor putea apela în mod voluntar la certificarea produselor, serviciilor sau proceselor pentru a demonstra că acestea au fost inspectate, încercate și aprobate de un organism de certificare. Scopul final al certificării este creșterea încrederii printre consumatori, parteneri și alți factori interesați, ceea ce poate deveni un avantaj concurențial major.

Ce avantaje poate aduce certificarea GDPR?

Pentru operatori sau împuterniciți, certificarea GDPR reprezinta o forma prin care organizația poate confirma bunele practici implementate în ceea ce privește protecția datelor, un plus de valoare care poate sa-i asigure dezvoltarea portofoliului de clienți.

Certificarea GDPR va reprezenta asumarea responsabilității asupra prelucrărilor de date, oferind un sentiment de siguranță clienților, partenerilor sau angajaților proprii, fapt ce va cimenta relația cu aceștia.

Această certificare va fi voluntară, ceea ce înseamană că pe o piață puternic concurențială, aceasta poate reprezenta o forma de departajare față de competitori. Spre exemplu, un operator care dorește să externalizeze a anumită activitate ce include prelucrarea de date personale, va înclina spre contractarea unui împuternicit care deține o certificare GDPR, aceasta reprezentând o garanție suplimentară a responsabilității împuternicitului în ceea ce privește protecția datelor personale.

Nu în ultimul rând, certificarea GDPR va demonstra existența unor garanții adecvate oferite de operatorii sau de persoanele împuternicite de operatori, care nu fac obiectul Regulamentului GDPR, în cadrul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale.

De ce nu există, la nivel național, operatori certificați GDPR?

După cum spuneam mai sus, cerificarea GDPR se poare realiza doar de organisme de certificare acreditate. Condițiile în care organisme de certificare pot fi acreditate sunt prevăzute în Articolul 43 (1) din GDPR:

“43 (1) [...] organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entități: a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56; b) organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (1 ) în conformitate cu standardul EN-ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56”.

Solicitând un punct de vedere al Autorității pe acest subiect, aceasta ne-a comunicat următoarele: “[...] la nivel național, potrivit Regulamentului (CE) nr. 765/2008, RENAR este entitatea care va acredita organismele de certificare, în temeiul articolului 43 din Regulament”.

Plecând de la răspunsul autorității, am solicitat un punct de vedere și celor de la RENAR, pentru a afla cat mai avem de așteptat pana la apariția standardului pentru certificarea GDPR. Aceștia ne-au comunicat că, până la data respectivă (20.05.2019), “Autoritatea Națională de Supraveghere a Prelucrării Datelor nu a prezentat cerințele suplimentare stabilite de autoritatea de supraveghere menționate la pct. Art. 43 (1) b) din Regulamentul (UE) 2016/679, cerințe care sunt necesare pentru dezvoltarea schemei de acreditare pentru domeniul menționat la art. 43”. Aceștia au mai adăugat că “Activitățile de acreditare a organismelor de certificare se vor putea desfășura numai după finalizarea schemei de acreditare și publicarea mapei de documente informative”.

Comisia Europeană a publicat un studiu efectuat în februarie 2019 cu privire la “Mecanisme de certificare a protecției datelor”, o analiză în peste peste 250 de pagini referitoare la cerificarea GDPR, căreia i se adaugă nu mai puțin de 196 de pagini de anexe.

Potrivit acestui studiului, “Conceptul de cerințe suplimentare în art. 43 (1) (b) GDPR” se referă la:

1. Cerințe legate de organismul de certificare și expertiza auditorilor săi în domeniul protecției datelor;
2. Cerințe legate de organismul de certificare și competența auditorilor săi în efectuarea auditului; și
3. Cerințe legate de integritatea auditorilor și a organismului de certificare”.

Prin urmare, în lipsa cerințelor suplimentare stabilite de autoritatea națională de supraveghere, RENAR-ul nu va putea elabora schema de acreditare, organismele de certificare nu vor putea fi acreditate, făcând astfel imposibilă certificarea organizațiilor interesate.

Făcând o paranteză, că tot veni vorba de RENAR, acesta a identificat standardul SR EN ISO/CEI 17065:2013 ca fiind cel la care face referire Regulamentul. Acesta poate fi achiziționat de pe site-ul Asociației de Acreditare din România - ASRO, accesând următorul link.

Să aruncăm un ochi și în curtea vecinilor

La acest moment, la nivelul UE nu știm să existe un mecanism funcțional de certificare în domeniul protecției datelor, dar știm că primii pași în acea direcție au fost deja făcuți.

Comisia Națională pentru Protecția Datelor din Luxemburg (Commission Nationale pour la Protection des Données – CNPD) a fost cea mai harnică autoritate națională din UE în această privință. Declarându-se convinsa de “valoarea pe care o poate oferi certificarea”, CNPD a adoptat o abordare deosebit de proactivă dezvoltând, împreună cu profesioniștii din domeniu, o schemă de certificare. Astfel, schema numită "GDPR-CARPA" a fost prezentată spre consultare publică încă din iunie 2018.

CNPD și-a concentrat activitatea pe două direcții:

1. Criteriile de certificare, pentru Manageri de Proces/Subcontractați, care trebuie îndeplinite de o organizație care dorește să fie certificate anumite procesări de date. Organizațiile interesate să fie certificate sunt încurajate să ia în considerare criteriile prevăzute proiectul ghidului de certificare pentru a-și evalua gradul de conformitate și pentru a adopta o atitudine proactivă de a se pregăti pentru procesul de certificare.
2. Criteriile de acreditare, pentru organismele de certificare, care trebuie îndeplinite de o organizație care dorește să acționeze în calitate de organism de certificare.

Într-un final, pentru a răspunde întrebării din titlul acestui articol, în umbra celor de mai sus, vă mărturisim că nu ne așteptăm ca în viitorul apropiat să avem plăcuta surpriză de a avea posibilitatea să obținem certificarea GDPR. Cu toate acestea, considerăm că obținerea unei certificări GDPR va fi de mare interes atât pentru operatori cât și pentru împuterniciții, ceea ce se va traduce într-o mai mare grija în ceea ce privește protecția datelor, fapt ce nu poate decât să fie benefic pentru toată lumea.

Nu știm cu exactitate când vor începe aceste certificări în România, având totodată încredere ca autoritatea națională a început deja discuțiile cu factorii interesați pentru a debloca demersurile în vederea dezvoltării schemei de acreditare.

În litigiul aflat pe rolul instanțelor românești, având ca părți Orange România SA și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Curtea de Justiție a Uniunii Europene a confirmat poziția ANSPDCP în privința nelegalității stocării de către Orange Romania SA a copiilor actelor de identitate ale clienților săi, fără consimțământul expres al acestora, cu ocazia încheierii de contracte privind furnizarea de servicii de telecomunicații.

Ce s-a întâmplat de fapt?

Orange România SA furnizează servicii de telecomunicații mobile pe piața românească. La 28 martie 2018, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) i-a aplicat o amendă în cuantum de 10,000 lei pentru că a stocat copii ale actelor de identitate ale clienților săi fără consimțământul expres al acestora. Sancțiunea a fost aplicată operatorului Orange Romania SA pentru fapta prevăzută de art. 32 din Legea nr. 677/2001, cu încălcarea art. 4 alin. (1) lit. c) și art. 8 din Legea nr. 677/2001, coroborat cu art. 2 și 6 din Decizia Președintelui ANSPDCP nr. 132/2011.

Potrivit ANSPDCP, în perioada cuprinsă între 1 și 26 martie 2018, Orange România a încheiat contracte de furnizare a unor servicii de telecomunicații mobile care conțin o clauză potrivit căreia clienții au fost informați și și-au dat consimțământul cu privire la colectarea și la stocarea unei copii a actului lor de identitate, în scop de identificare. Căsuța referitoare la această clauză a fost bifată de operator anterior semnării contractului.

Astfel, Orange Romania SA, prin colectarea și stocarea copiilor de pe actele de identitate, solicitate prin contractele de servicii de comunicații electronice, a prelucrat în mod excesiv date cu caracter personal ce intră sub incidența art. 8 din Legea nr. 677/2001, fără a avea consimțământul expres al persoanelor vizate, prevederi legale exprese sau avizul ANSPDCP. Prin urmare, s-a aplicat operatorului sancțiunea amenzii și s-a dispus ca în cel mai scurt timp posibil să ia măsuri pentru ștergerea/distrugerea copiilor actelor de identitate ale persoanelor fizice cu care a încheiat contracte de furnizare de servicii de comunicații electronice, colectate și stocate fără a avea consimțământul expres al persoanelor vizate, fără ca prelucrarea să fie prevăzută de o dispoziție legală sau fără avizul ANSPDCP conform art. 2 din Decizia nr. 132/2011.

Ulterior, Procesul-verbal prin care s-a aplicat sancțiunea amenzii a fost contestat în instanță de către Orange Romania SA, ocazie cu care Orange Romania SA a înaintat Tribunalului București o cerere de sesizare a Curţii de Justiţie a Uniunii Europene în vederea pronunțării unei hotărâri preliminare.

În acest context, Tribunalul București (România) a solicitat Curții de Justiție să precizeze condițiile în care consimțământul clienților cu privire la prelucrarea datelor cu caracter personal poate fi considerat valabil.

Totodata, Tribunalul București a admis cererea formulată de Orange Romania SA privind sesizarea Curţii de Justiţie a Uniunii Europene în vederea pronunțării unei hotărâri preliminare cu privire la interpretarea art. 2 lit. (h) din  Directiva nr. 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, dispunând suspendarea judecății cauzei până la pronunțarea CJUE asupra sesizării.

Litigiul a format obiectul Cauzei C-61/19, aflată pe rolul Curţii de Justiţie a Uniunii Europene, în cadrul căreia cererea a fost adresată de Tribunalul București.

Curtea de Justiţie a Uniunii Europene s-a pronunțat pe data de 11.11.2020 asupra întrebărilor preliminare adresate de Tribunalul București, confirmând poziția ANSPDCP.

Ce a decis Curtea de Justiţie a Uniunii Europene?

Prin hotărârea sa, Curtea amintește mai întâi că dreptul Uniunii prevede o listă a cazurilor în care o prelucrare de date cu caracter personal poate fi considerată legală. În special, consimțământul persoanei vizate trebuie să fie liber, specific, informat și univoc. În această privință, consimțământul nu este dat în mod valabil în cazul absenței unui răspuns, al căsuțelor bifate în prealabil sau al absenței unei acțiuni.

În plus, în cazul în care consimțământul persoanei vizate este dat în cadrul unei declarații scrise care se referă și la alte aspecte, această declarație trebuie să fie prezentată într-o formă inteligibilă și ușor accesibilă și utilizând un limbaj clar și simplu. Pentru a asigura persoanei vizate o reală libertate de alegere, clauzele contractuale nu trebuie să o inducă în eroare cu privire la posibilitatea de a încheia contractul chiar dacă ea refuză să își dea consimțământul pentru prelucrarea datelor sale.

Curtea precizează că Orange România, în calitate de operator de date cu caracter personal, trebuie să fie în măsură să demonstreze legalitatea prelucrării acestor date și, în consecință, existența unui consimțământ valabil al clienților săi. În această privință, din moment ce clienții vizați nu păreau să fi bifat ei înșiși căsuța referitoare la colectarea și la stocarea unor copii ale actului lor de identitate, simplul fapt că această căsuță a fost bifată nu este de natură să stabilească o manifestare pozitivă a consimțământului lor. Revine instanței de trimitere sarcina de a efectua verificările necesare în acest scop.

Potrivit Curții, instanței naționale îi revine și sarcina să aprecieze dacă clauzele contractuale în discuție erau sau nu de natură să inducă clienții vizați în eroare cu privire la posibilitatea de a încheia contractul în pofida refuzului de a-și da consimțământul pentru prelucrarea datelor lor, în lipsa unor precizări cu privire la acest aspect. În plus, în cazul refuzului unui client de a consimți la prelucrarea datelor sale, Curtea observă că Orange România impunea ca acesta să declare în scris că nu consimțea nici la colectarea, nici la stocarea copiei actului său de identitate.

Potrivit Curții, o asemenea cerință suplimentară este de natură să afecteze în mod nejustificat libera alegere de a se opune acestei colectări și acestei stocări. În orice caz, întrucât societatea menționată este cea căreia îi revine sarcina de a stabili că clienții săi și-au manifestat prin intermediul unui comportament activ consimțământul pentru prelucrarea datelor lor cu caracter personal, această societate nu poate pretinde ca ei să își manifeste în mod activ refuzul.

Prin urmare, Curtea concluzionează că ”Un contract privind furnizarea de servicii de telecomunicații care conține o clauză potrivit căreia persoana vizată a fost informată și și-a dat consimțământul pentru colectarea și pentru stocarea unei copii a actului său de identitate, în scop de identificare, nu este de natură să demonstreze că această persoană și-a dat în mod valabil consimțământul pentru această colectare și pentru această stocare:

• atunci când căsuța care se referă la această clauză a fost bifată de operatorul de date anterior semnării acestui contract sau
• atunci când clauzele contractului menționat sunt de natură să inducă persoana vizată în eroare cu privire la posibilitatea de a încheia contractul în discuție în pofida refuzului de a-și da consimțământul pentru prelucrarea datelor sale sau
• atunci când libera alegere de a se opune acestei colectări și acestei stocări este afectată în mod nejustificat de acest operator prin cerința ca, pentru a refuza să își dea consimțământul, persoana vizată să completeze un formular suplimentar în care să fie menționat acest refuz.”

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat pe tot parcursul lunii octombrie 2020 aplicarea a patru amenzi, totalizând 10,000 euro. Ce mi-a atras atenția este faptul că trei din cele patru amenzi anunțate (Globus Score SRL, Megareduceri TV S.R.L și Asociația de proprietari Militari R ) în acestă lună au fost aplicate operatorilor pentru că nu au transmis un răspuns la solicitările ANSPDCP. Nu este prima dată când Autoritatea aplică o amendă de acest tip, în trecut fiind aplicate alte patru amenzi, totalizând 9000 euro, dintre care una chiar unui operator amendat în această lună pentru aceiași abatere (Globus Score SRL, SOS Infertility Association, Nicola Medical Team 17 SRL si Modern Barber).

La nivel european, s-au aplicat până în prezent 20 de amenzi în valoare de 147.779 euro pentru cooperare insuficientă cu Autoritatea de Supraveghere: Spania, 8 amenzi în valoare de 100.000 euro, România, 7 amenzi în valoare de 16.000 euro, Polonia, 4 amenzi în valoare de 31.268 euro și Bulgaria, 1 amendă în valoare de 511 euro. Este îngrijorător faptul că Autoritățile de Supraveghere Naționale recurg la amenzi pentru a obține informații de la operatori, acesta fiind probabil și un indicator al gradului redus de conștientizare a importanței protecției datelor cu caracter personal și a obligațiilor operatorilor care nu au găsit încă motivația necesară pentru a se conforma.

Prima amendă anuțată în octombrie 2020, în cuantum de 14519,1 lei (echivalentul sumei de 3000 EURO), a fost a fost aplicată operatorului Megareduceri TV S.R.L. pentru faptul că nu a adus la îndeplinire măsura corectivă dispusă de a transmite răspuns la solicitările ANSPDCP, faptă prevăzută art. 83 alin. (5) lit. e) din Regulamentul (UE) 679/2016. Totodată, operatorului Megareduceri TV S.R.L. i s-a aplicat și o măsură corectivă, de a transmite ANSPDCP răspuns la adresele comunicate anterior în termen de 5 zile calendaristice, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 679/2016. Investigația a fost demarată ca urmare a faptului că mai mulți petenți au sesizat ANSPDCP cu privire la faptul că au primit prin sms mesaje comerciale care promovează serviciile de pe site-ul www.reducerazi.ro, fără să - și fi exprimat consimțământul pentru a primi astfel de mesaje pe numerele personale de telefon.

Cea de-a doua amendă în cuantum de 9659 lei, echivalentul sumei de 2000 EURO, a fost aplicată operatorului Asociația de proprietari Militari R din comuna Chiajna, județul Ilfov  pentru faptul că nu a adus la îndeplinire măsura corectivă dispusă de a transmite răspuns la solicitărileANSPDCP, fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016. Totodată, asociației de proprietari i s-a aplicat și o măsură corectivă, de a transmite în scris ANSPDCP toate informațiile solicitate prin adresa comunicată anterior, în termen de 5 zile calendaristice, în temeiul art. (58) alin. (1) lit. a) și e) din Regulamentul Regulamentul (UE) nr. 679/2016. Sancțiunile au fost aplicate ca urmare a unei plângeri prin care petentul a reclamat faptul că nu i s-a răspuns la cererea transmisă asociației de proprietari.

Cea de-a treia amendă în cuantum de 14574,9 lei, echivalentul sumei de 3000 EURO a fost aplicată  operatorului S.C. Marsorom S.R.L pentru încălcarea art. 25 și art. 32 din Regulamentul General privind Protecția Datelor. Investigația s-a desfășurat ca urmare a unei sesizări prin care se reclama faptul că pe site-ul operatorului puteau fi vizualizate unele date personale ale clienților acestuia. În cadrul investigației s-a constatat că operatorul S.C. Marsorom S.R.L. a încălcat prevederile art. 25 și 32 din Regulamentul General privind Protecția Datelor întrucât nu a adoptat suficiente măsuri de securitate care să prevină accesarea și divulgarea neautorizată a datelor personale ale clienților care au plasat comenzi pe acest site. În același timp, operatorului i s-a recomandat să stabilească o perioadă de stocare mai scurtă a datelor personale aferente conturilor clienților pentru respectarea principiului limitării stocării prevăzut de art. 5 alin. (1) lit. e) din Regulamentul General privind Protecția Datelor.

Ultima amendă din această perioadă în cuantum de 9.713,14 lei, echivalentul sumei de 2000 EURO, a fost aplicată operatoruli Globus Score SRL pentru că nu a dus  îndeplinire măsura corectivă dispusă de a furniza informațiile solicitate de ANSPDCP, faptă prevăzută la art. 83 alin. (5) lit. e), raportat la art. 58 alin. (1) din Regulamentul General privind Protecția Datelor. Totodată, operatorului i-a fost aplicată și măsura corectivă de a transmite autorității de supraveghere toate informațiile solicitate.