duminică

17 martie, 2024

22 martie, 2018

Proiectul de lege privind implementarea Regulamentului General privind Protecția Datelor (GDPR), înregistrat la Senat în urmă cu o săptămână, are o abordare mai restrictivă decât prevederile europene pe care urmează să le transpună – aceasta este concluzia unei analize făcute de Silvia Axinescu și Ovidiu Bălăceanu, avocați Reff și Asociații.

La data de 25 mai 2018, regulamentul european GDPR devine direct aplicabil în toate statele membre UE, inclusiv în România, iar în acest context ar fi de așteptat ca proiectul de lege românesc să fie votat înainte de acest moment, astfel încât atât instituțiile publice, precum și entitățile private să aibă cadrul de reglementare clar și previzibil.

De precizat: Irina Vasiliu, asistent director general, Directoratul General pentru Justiție și Consumatori al Comisiei Europene, a vorbit la conferința organizată luni de cursdeguvernare.ro (AICI-LINK) chiar de această capcană pe care trebuie să o evite legislativul român.


Oficialul european a atras atenția că legiuitorul nu trebuie să adauge condiții suplimentare față de regulament și nici nu trebuie să interpreteze acest regulament unic european.

Analiza realizată de Silvia Axinescu și Ovidiu Bălăceanu arată că proiectul de lege a fost elaborat în contextul în care regulamentul european le permite statelor membre să adopte reglementări naționale destinate aplicării reglementării europene, în concordanță cu specificul regimului juridic național.

În esență, propunerea legislativă reglementează:

  • prelucrarea anumitor categorii de date cu caracter personal speciale (respectiv, date genetice, biometrice, date privind sănătatea) și a numărului de identificare național
  • desemnarea și sarcinile responsabilului privind protecția datelor, acreditarea organismelor de certificare
  • regimul măsurilor corective și a sancțiunilor, prelucrarea efectuată în scopuri jurnalistice, academice, artistice sau literare
  • prelucrarea datelor cu caracter personal ale angajaților în contextul relațiilor de muncă.

Proiectul interzice prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, cu excepția prelucrării realizate de către autoritățile publice în anumite condiții stabilite de lege.

Ce spun avocații: unde legea românească devine mai restrictivă decât regulemantul UE


Abordarea legiuitorului este discutabilă, spun Silvia Axinescu și Ovidiu Bălăceanu, mai ales în legătură cu crearea de profiluri. Totodată, consimțământul persoanei vizate nu înlătură această interdicție. Rămâne de văzut dacă dispozițiile vor fi menținute sub această formă în urma dezbaterilor parlamentare.

Probabil una dintre cele mai importante schimbări raportate la cadrul legislativ actual  o constituie baza legală pentru prelucrarea numărului de identificare național. Reglementarea acestuia nu mai este prevăzută într-o manieră la fel de restrictivă.

Astfel, conform regulamentului, prelucrarea poate fi bazată pe oricare dintre condițiile prevăzute de regulament, inclusiv pe interesul legitim urmărit de către operator, cu instituirea într-o asemenea situație a unor garanții ce par a fi cumulative și includ, printre altele, obligativitatea numirii unui responsabil privind protecția datelor, stabilirea unor termene de stocare sau instruirea persoanelor care, sub autoritatea operatorului, prelucrează datele.

În plus, este de remarcat faptul că același regim se aplică monitorizării în contextul relațiilor de muncă, atât prin mijloace de comunicare electronice, cât și prin mijloace de supraveghere video, chiar dacă cea din urmă constituie o măsură mai intruzivă decât monitorizarea prin mijloace electronice de comunicare (cum ar fi monitorizarea traficului de internet).

Astfel, propunerea legislativă instituie condiții suplimentare pentru aceste tipuri de monitorizări, precum:

  • să fie vizate activități de importanță deosebită, temeinic justificate
  • interesul angajatorului să prevaleze asupra intereselor sau drepturilor și libertăților persoanelor vizate,
  • informarea prealabilă a angajaților
  • consultarea sindicatului
  • alte forme sau modalități mai puțin intrusive nu s-au dovedit eficiente
  • durata de stocare a datelor este proporțională cu scopul prelucrării și nu depășește 30 de zile, cu excepția situațiilor în care legea dispune altfel sau exista cazuri temeinic justificate.

Această ultimă cerință, de stabilire a unei durate maxime de 30 de zile, va fi dificil de avut în vedere în ceea ce privește anumite tipuri de monitorizări, precum cele privind traficul de internet sau capacitatea e-mailurilor transmise în cadrul societăților.

Regimul sancționator aplicabil instituțiilor publice este derogatoriu față de cel aplicabil entităților private, fiind prevăzute avertismentul sau amenda de până la 200.000 lei, raportat la contravenția comisă.

Rămâne de văzut, spun avocații Reff și Asociații, în ce măsură o asemenea limitare impusă instituțiilor publice, având un prag maxim mult sub amenzile maxime din regulament reprezintă un indiciu în legătură cu posibila abordare a autorității de control în ceea ce privește sancționarea entităților private ca urmare a încălcării prevederilor regulamentului.

Articole recomandate:

citește și

lasă un comentariu

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

toate comentariile

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

articole categorie

Citește și:

Economia României a suferit în ultimul deceniu unele dintre cele

Lucrăm momentan la conferința viitoare.

Îți trimitem cele mai noi evenimente pe e-mail pe măsură ce apar: