Tuesday, August 4, 2020

Comisia Europeana a cerut sa investigheze implementarea GDPR romaneasca



Legea romana care implementeaza Regulamentul general privind protectia datelor (GDPR) permite partidelor politice nationale sa proceseze date cu caracter personal, inclusiv date sensibile, intr-o maniera care nu ia in considerare drepturile cetatenilor. Legea nr. 190/2018 exclude necesitatea de a dobandi consimtamant pentru prelucrarea datelor cu caracter personal, inclusiv date sensibile. Acest lucru ofera in mod efectiv partidelor politice o „carte blanche” pentru a prelucra opiniile politice si datele personale fara restrictii, fara a exista garantii reale.

Organizatiile societatii civile din intreaga UE au avertizat de mult ca „flexibilitatile” din GDPR care permit masuri divergente de implementare la nivel national vor duce la diferente in nivelul de protectie aplicabil in statele membre. In Romania, derogarile permise de Legea nr. 190/2018 slabesc serios protectiile si garantiile prevazute de regulament. Acestea permit statului sa nu ia in considerare principiile de baza ale protectiei datelor si sa incalce legislatia UE. Paradoxal, ele scad chiar si nivelul de protectie a datelor prevazut de legislatia nationala anterioara care a implementat Directiva privind protectia datelor 95/46 / CE care a precedat GDPR.

Plangere

La 14 februarie 2019, Asociatia pentru Tehnologie si Internet (APTI) a trimis o plangere catre Comisia Europeana care a subliniat urmatoarele probleme cu legea de implementare a GDPR a Romaniei:

Partidelor si organizatiilor politice li se permite sa prelucreze date cu caracter personal, inclusiv date sensibile fara consimtamant si garantii adecvate, fara a tine cont de principiile de protectie a datelor.
Derogarile prevazute de legislatia romaneasca permit partidelor politice, organizatiilor cetatene apartinand minoritatilor nationale si organizatiilor non-profit sa proceseze categorii speciale de date cu caracter personal fara consimtamant explicit sau garantii adecvate.

Singurele cerinte de prelucrare sunt (1) sa informeze persoana vizata ca procesarea datelor cu caracter personal are loc si (2) sa arate mecanismele prin care persoanele vizate isi pot exercita drepturile la rectificare si stergere (care este obligatoriu oricum conform GDPR Articolele 13-14).

In crearea acestei exceptii de consimtamant, legea romana pare sa se bazeze pe considerentul 56 din GDPR, care prevede ca partidele politice pot compila date cu caracter personal pe opiniile politice ale oamenilor din motive de interes public, daca sistemul electoral al statului membru le impune acest lucru. Cu toate acestea, acesta este un text explicativ, nu o dispozitie obligatorie si nu intentioneaza sa elimine nevoia ca partidele si organizatiile politice sa aiba si sa arate o baza legala pentru a prelucra datele cu caracter personal. Concret, legea romana nr. 190/2018 exclude necesitatea de a avea consimtamantul fara a indica ce baza legala se aplica.

Prelucrarea datelor cu caracter personal in scopuri jurnalistice este foarte limitata si ar putea bloca publicarea de povesti de interes public.

In legislatia romana exista trei situatii in care datele pot fi prelucrate in scop jurnalistic: (1) daca prelucrarea se refera la date cu caracter personal care au fost facute publice in mod clar de catre persoana vizata; (2) daca datele personale sunt strans conectate la calitatea persoanei vizate ca persoana publica; (3) daca datele cu caracter personal sunt strans conectate la caracterul public al actelor in care este implicat persoana vizata.

Daca se aplica oricare dintre aceste situatii, GDPR (cu exceptia capitolului despre sanctiuni) este exclus in totalitate de la aplicare.

Aceste scenarii de derogare sunt extrem de limitate in comparatie cu cele permise de Curtea Europeana de Justitie si Curtea Europeana a Drepturilor Omului. Au fost deja ingrijorate in legatura cu presa de stiri investigative a proiectului RISE potrivit careia GDPR ar putea fi folosit ca un instrument pentru a tacea libertatea presei. Actiunile Autoritatii Romane pentru Protectia Datelor (DPA) in legatura cu publicarea proiectului RISE prin cautarea dezvaluirii sursei de date cu caracter personal care ar putea dezvalui sursele jurnalistilor si, de asemenea, „accesul” la respectivele date reprezinta o amenintare clara pentru libertatea de exprimare si informatie.

Derogarile pentru autoritatile publice duc la un gol in aplicarea GDPR in sectorul public.
Conform legii romane 190/2019, APD trebuie sa emita „planuri de remediere” adaptate autoritatilor publice implicate in incalcarea protectiei datelor. In cazul nerespectarii acestor planuri, APD poate emite amenzi cuprinse intre 10 000 si 200 000 RON (aproximativ intre 2 104 EUR si 42 091 EUR). Aceasta este o limita superioara extrem de mica in comparatie in intreaga UE.

Emiterea planurilor de remediere creeaza o situatie problematica: oricat de grava ar fi incalcarea datelor, autoritatea publica nu isi va asuma nici o responsabilitate, ci va astepta pur si simplu ca APD sa isi prezinte planul de remediere. Nu exista un stimulent pentru autoritatea publica sa ia masuri active de remediere sau sa se gandeasca independent la modul in care ar putea implementa practic GDPR. Dovezi in acest sens se vad deja in practica. Amenzile mici incurajeaza, de asemenea, autoritatile publice sa continue „activitatea ca de obicei” fara acordare