Legea romana care implementeaza Regulamentul general privind
protectia datelor (GDPR) permite partidelor politice nationale sa proceseze
date cu caracter personal, inclusiv date sensibile, intr-o maniera care nu ia
in considerare drepturile cetatenilor. Legea nr. 190/2018 exclude necesitatea
de a dobandi consimtamant pentru prelucrarea datelor cu caracter personal,
inclusiv date sensibile. Acest lucru ofera in mod efectiv partidelor politice o
„carte blanche” pentru a prelucra opiniile politice si datele personale fara
restrictii, fara a exista garantii reale.
Organizatiile societatii civile din intreaga UE au avertizat
de mult ca „flexibilitatile” din GDPR care permit masuri divergente de
implementare la nivel national vor duce la diferente in nivelul de protectie
aplicabil in statele membre. In Romania, derogarile permise de Legea nr.
190/2018 slabesc serios protectiile si garantiile prevazute de regulament.
Acestea permit statului sa nu ia in considerare principiile de baza ale
protectiei datelor si sa incalce legislatia UE. Paradoxal, ele scad chiar si
nivelul de protectie a datelor prevazut de legislatia nationala anterioara care
a implementat Directiva privind protectia datelor 95/46 / CE care a precedat
GDPR.
Plangere
La 14 februarie 2019, Asociatia pentru Tehnologie si
Internet (APTI) a trimis o plangere catre Comisia Europeana care a subliniat
urmatoarele probleme cu legea de implementare a GDPR a Romaniei:
Partidelor si organizatiilor politice li se permite sa
prelucreze date cu caracter personal, inclusiv date sensibile fara consimtamant
si garantii adecvate, fara a tine cont de principiile de protectie a datelor.
Derogarile prevazute de legislatia romaneasca permit
partidelor politice, organizatiilor cetatene apartinand minoritatilor nationale
si organizatiilor non-profit sa proceseze categorii speciale de date cu
caracter personal fara consimtamant explicit sau garantii adecvate.
Singurele cerinte de prelucrare sunt (1) sa informeze
persoana vizata ca procesarea datelor cu caracter personal are loc si (2) sa
arate mecanismele prin care persoanele vizate isi pot exercita drepturile la
rectificare si stergere (care este obligatoriu oricum conform GDPR Articolele 13-14).
In crearea acestei exceptii de consimtamant, legea romana
pare sa se bazeze pe considerentul 56 din GDPR, care prevede ca partidele
politice pot compila date cu caracter personal pe opiniile politice ale
oamenilor din motive de interes public, daca sistemul electoral al statului
membru le impune acest lucru. Cu toate acestea, acesta este un text explicativ,
nu o dispozitie obligatorie si nu intentioneaza sa elimine nevoia ca partidele
si organizatiile politice sa aiba si sa arate o baza legala pentru a prelucra
datele cu caracter personal. Concret, legea romana nr. 190/2018 exclude
necesitatea de a avea consimtamantul fara a indica ce baza legala se aplica.
Prelucrarea datelor cu caracter personal in scopuri
jurnalistice este foarte limitata si ar putea bloca publicarea de povesti de
interes public.
In legislatia romana exista trei situatii in care datele pot
fi prelucrate in scop jurnalistic: (1) daca prelucrarea se refera la date cu
caracter personal care au fost facute publice in mod clar de catre persoana
vizata; (2) daca datele personale sunt strans conectate la calitatea persoanei
vizate ca persoana publica; (3) daca datele cu caracter personal sunt strans
conectate la caracterul public al actelor in care este implicat persoana
vizata.
Daca se aplica oricare dintre aceste situatii, GDPR (cu
exceptia capitolului despre sanctiuni) este exclus in totalitate de la
aplicare.
Aceste scenarii de derogare sunt extrem de limitate in
comparatie cu cele permise de Curtea Europeana de Justitie si Curtea Europeana
a Drepturilor Omului. Au fost deja ingrijorate in legatura cu presa de stiri
investigative a proiectului RISE potrivit careia GDPR ar putea fi folosit ca un
instrument pentru a tacea libertatea presei. Actiunile Autoritatii Romane
pentru Protectia Datelor (DPA) in legatura cu publicarea proiectului RISE prin
cautarea dezvaluirii sursei de date cu caracter personal care ar putea dezvalui
sursele jurnalistilor si, de asemenea, „accesul” la respectivele date
reprezinta o amenintare clara pentru libertatea de exprimare si informatie.
Derogarile pentru autoritatile publice duc la un gol in
aplicarea GDPR in sectorul public.
Conform legii romane 190/2019, APD trebuie sa emita „planuri
de remediere” adaptate autoritatilor publice implicate in incalcarea protectiei
datelor. In cazul nerespectarii acestor planuri, APD poate emite amenzi
cuprinse intre 10 000 si 200 000 RON (aproximativ intre 2 104 EUR si 42 091
EUR). Aceasta este o limita superioara extrem de mica in comparatie in intreaga
UE.
Emiterea planurilor de remediere creeaza o situatie
problematica: oricat de grava ar fi incalcarea datelor, autoritatea publica nu
isi va asuma nici o responsabilitate, ci va astepta pur si simplu ca APD sa isi
prezinte planul de remediere. Nu exista un stimulent pentru autoritatea publica
sa ia masuri active de remediere sau sa se gandeasca independent la modul in
care ar putea implementa practic GDPR. Dovezi in acest sens se vad deja in
practica. Amenzile mici incurajeaza, de asemenea, autoritatile publice sa continue
„activitatea ca de obicei” fara acordare
