ASCDP a transmis o scrisoare deschisă adresată Comitetului European pentru Protecţia Datelor (EDPB), Confederaţiei Organizaţiilor Europene pentru Protecţia Datelor (CEDPO), Avocatului Poporului, Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, Secretariatului General al Guvernului, Biroului Permanent al Senatului României, Comisiei pentru cercetarea abuzurilor, combaterea corupţiei şi petiţii din Senatul României şi Consiliului Economic şi Social (CES). 

ASCPD se delimitează de orice contribuţie la elaborarea acestui proiect legislativ. Ne exprimăm îngrijorarea faţă de modul de legiferare ales, fără consultarea publică a părţilor interesate, speciliştilor în confidenţialitatea şi protecţia datelor sau a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Facem apel la instituţiile competente să intervină pentru supunerea acestui proiect de lege unei dezbateri publice, înainte de a fi propus dezbaterii plenului Senatului României.” a declarat Marius DUMITRESCU, Preşedintele ASCPD. 

Proiectul de lege privind organizarea profesiei de responsabil cu protectia datelor cu caracter personal, lege care dacă ar fi adoptată ar fi o premiera in Europa, nu a fost pus în dezbatere publică fără vreo justificare, fiind înregistrat prin procedură legislativă de urgenţă de către iniţiatori, la Biroul Permanent al Senatului (653/10.11.2020), încălcând obligaţiile de a motiva urgenţa în cuprinsul proiectului. 

ASCPD consideră că este încălcat dreptul părţilor interesate, specialiştilor şi al organizaţiilor active şi reprezentative în domeniu de a aduce amendamente, prin consultare publică, faţă de acest proiect de lege care va avea un impact major asupra desfăşurării activităţii profesionale şi a cărui formă iniţială propusă de iniţiatori are grave carenţe şi lacune referitoare la interpretarea dispoziţiilor Regulamentului UE nr. 679/2016.

"Având în vedere mecanismul de asigurare a coerenţei prevăzut de Regulamentul UE 679/2016, dar şi faptul că prezenta propunere legislativă aduce atingere unui număr semnificativ de operatori din Uniunea Europeană cu sediul în România sau care prelucrează datele rezidenţilor din România sau care prelucrează datele pe teritoriul României, suntem nevoiţi să aducem la cunoştinţă acest demers şi Comitetului European pentru Protecţia Datelor (EDPB)."

ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR (ASCPD) va înainta către Biroul Permanent al Senatului un document conţinând obiecţiile detaliate pe care le formulează cu privire la acest proiect de lege şi va iniţia şi o petiţie online pentru strangerea de semnături în vederea scoaterea proiectului de lege din regim de urgenţă şi supunerea lui în dezbatere publică!

Sunt prezentate mai jos câteva din argumente transmise de ASCPD autorităţilor menţionate:

  • Proiectul de act legislativ contravine ierarhiei actelor normative ale Uniunii Europene, din motiv că proiectul de lege restrânge, modifică şi stabileşte cerinţe şi norme de conduită altele decât cele prevăzute de Regulamentul General privind Protecţia Datelor.
     
  • Proiectul de lege este incompatibil cu legislaţia Uniunii Europene, în special prevederile specifice din GDPR, fiind opozabile prevederile art. 20 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative.
     
  • Nota de fundamentare a proiectului de lege este aridă, incertă şi denaturată, nefiind posibil de a desprinde fără echivoc aspectele de fapt şi de drept care au dus la iniţiativa de reglementare în forma dată. 
     
  • Necunoaşterea, neînţelegerea sau cunoaşterea precară a prevederilor Regulamentului UE 679/2016 şi a legislaţiei naţionale de către autorii proiectului de lege având în vedere că proiectul de lege se referă la reglementarea profesiei de Responsabil cu protecţia datelor cu caracter personal şi definiţia dată acestuia în proiect este eronatăResponsabilul cu protectia datelor cu caracter personal NU este “instituţia/autoritatea publică, agenţia sau un alt organism (operator) care îndeplineşte sarcinile prevăzute în Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie – 2016 privind protectia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulatie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), cap v, art. 10, în baza unui contract de muncă, respectiv contract comercial.” În plus, Regulamentul european defineşte clar contractul în baza căruia o persoană poate avea calitatea de responsabil, respectiv contractul de prestări servicii, nu contractul comercial. Menţionăm că sarcinile responsabilului cu protectia datelor cu caracter sunt stabilite de către Regulamentul european, nu de către articolul 10, capitolul IV din Legea nr. 190/2018.
     
  • Precizarea din expunerea de motive a proiectului de lege că “Un responsabil cu protectia datelor trebuie să fie un jurist specializat în tehnologie” adauga la lege prin interpretări cel mult personale si neargumentate care încalcă prevederile Regulamentului UE 679/2016 în care nu se precizează niciun fel de impunere, limitări sau restricţii cu privire la nivelul de studii şi la specializarea necesară responsabilului cu protectia datelor pentru exercitarea profesiei. 
     
  • Lipsa realizării consultării prealabile cu Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal contravine prevederilor art. 36 alin. (4) din GDPR – (4) “ Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un parlament naţional sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrarea” şi coroborat cu prevederile art. 8 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative – (1) „În cazurile prevăzute de lege, în faza de elaborare a proiectelor de acte normative iniţiatorul trebuie să solicite avizul autorităţilor interesate în aplicarea acestora, în funcţie de obiectul reglementării.”
     
  • Articolele 5 şi 6 din proiectul legislativ contravin în totalitate prevederilor art. 37 şi art. 38 alin 3 din Regulamentul 679/2016 (GDPR) privind independenţa Responsabilului cu Protectia Datelor şi răspunderea acestuia pentru exerciţiul funcţiei.
     
  • Este încălcată grav liberă circulaţie a serviciilor în UE având în vedere că  aceast proiect de lege restrânge acest drept. 
     
  • Nu sunt referiri, sau sunt ignorate cu buna stiinta, referitor la desfăşurarea activităţii în domeniul protecţiei datelor cu caracter personal de către o persoană juridică. 
     
  • Articolul 38, în special alin. 3) din Regulamentul 679/2016 prevede: “(3) Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini. Acesta nu este demis sau sancţionat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.”, de unde reiese foarte clar şi explicit faptul că responsabilul cu protecţia datelor personale trebuie să poată să-şi desfăşoare activitatea fără nicio intervenţie sau control asupra sa (chiar dacă are calitate de angajat al operatorului). Acesta nu primeşte instrucţiuni în ceea ce priveşte sarcinile sale, nu poate fi demis sau sancţionat, ori prin constituirea Corpului Responsabililor se întrevăd măsuri de control sanctionare şi imixtiune în activitatea acestuia până la răspunderea administrativă, civilă sau penală, aşa cum reiese şi din expunerea de motive a proiectului de lege: “De asemenea, responsabilul cu protectia datelor are atribuţii şi responsabilităţi bine definite, răspunderi şi este supus unor sancţiuni disciplinare in momentul in care nu-şi exercită profesia conform legii.” 
     
  • Condiţionarea capacităţii şi dreptului de exercitare a activităţii de Responsabil cu protectia datelor, prin înscrierea/acceptarea şi apartenenţa la un organism profesional încalcă prevederile art. 37 din Regulament care stabilesc în mod clar singurele condiţii necesare pentru aceasta activitate, condiţii întărite şi prin standardul ocupational  cod COR 242231.
     
  • Modalitatea complet lipsită de transparenţă a înfiinţării şi organizării Corpului Responsabililor cu protectia datelor aşa cum este el menţionat în proiectul de lege.
     
  • Legea 363/2018 la care se face referire că ar completa proiectul de lege reglementează prelucrarea datelor cu caracter personal în scopul realizării activităţilor de prevenire, descoperire, cercetare, urmărire penală şi combatere a infracţiunilor, de executare a pedepselor, măsurilor educative şi de siguranţă, precum şi de menţinere şi asigurare a ordinii şi siguranţei publice de către autorităţile competente, neavând nicio relevanţă pentru rolul Responsabilului cu protecţia datelor.
     
  • Implicarea ANSPDCP în activităţile organizaţiei profesionale, conduce la ideea că acest organism se subordonează în mod direct acesteia. Articolul 11 prevede faptul că “(1) Organizarea şi funcţionarea Corpului Responsabililor cu protectia datelor cu caracter personal din România se stabilesc prin regulamentul de organizare şi funcţionare a acestuia, cu avizul Autoritatii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal. şi dispoziţiile articolului 23 din acelaşi proiect de lege prevăd că “Organizarea adunărilor locale de constituire a filialelor, precum şi a primei Adunări naţionale a Responsabililor cu protectia datelor cu caracter personal se va asigura de către Federatia Naţională a Responsabililor cu protectia datelor cu caracter personal sub supravegherea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în termen de 120 de zile de la publicarea prezentei legi în Monitorul Oficial al României.
     
  • “Federatia Naţională a Responsabililor cu Protectia Datelor cu Caracter Personal” nu există şi nu poate exista, federaţia fiind definită ca o uniune formată din mai multe organizaţii cu activitate relevantă şi semnificativă in domeniu şi care urmăresc scopuri comune şi persoanele fizice se pot organiza în asociaţii şi fundaţii, nu sub forma de federaţie.  

Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD) este creată cu scopul de a informa şi de a reuni profesioniştii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecţia Datelor 2016/679 şi a legislaţiei aferente, funcţionând ca un organism consultativ profesionist pentru persoane şi organizaţii. ASPDC este o organizaţie non-guvernamentală, autonomă, apolitică şi non-profit care ajută la definirea, susţinerea şi îmbunătăţirea profesiei de Responsabil în protecţia datelor şi a altor specialişti în domeniu şi îşi desfăşoară activitatea în conformitate cu prevederile OG nr. 26/2000.

ASCPD ghidează persoanele responsabile în protecţia datelor şi alţi specialişti în domeniul confidenţialităţii datelor în rezolvarea numeroaselor probleme juridice, tehnice şi organizatorice pentru a obţine un echilibru adecvat între interesele persoanelor vizate, care necesită protecţie, şi cele ale operatorilor.

Obiectivul ASCPD este de a oferi soluţii concrete la problemele cu care se confruntă specialiştii în confidenţialitate şi protecţia datelor, de a creşte gradul de conştientizare a legislaţiei şi de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum şi un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătăţirea gradului de conştientizare cu privire la tehnologiile şi legile care pun în pericol viaţa privată, pentru a se asigura că publicul este informat şi implicat.

După o perioadă de 12 luni de monitorizare a activităţii ASCPD în România, membrii Confederaţiei Organizaţiilor Europene pentru Protecţia Datelor (CEDPO) au avizat favorabil, în aprilie 2020, adeziunea organizaţiei româneşti, devenind astfel cel de-al zecelea membru cu drepturi depline.

Confederaţia Organizaţiilor Europene pentru Protecţia Datelor (CEDPO) este o “organizaţie umbrelă” care reuneşte cele mai reprezentative asociaţii naţionale de protecţie a datelor din Uniunea Europeană. CEDPO a fost fondată în septembrie 2011 de Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP, Franţa), Asociación Profesional Española de Privacidad (APEP, Spania), Gesellschaft fur Datenschutz und Datensicherheit eV (GDD, Germania) şi Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG, Olanda). Din momentul fondarii în 2011 şi pană în momentul aderării Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD), doar cinci organizaţii au mai fost invitate să se alăture Confederaţiei: ADPO din Irlanda, ARGE Daten din Austria, ASSO DPO din Italia, SABI din Polonia si AEPT din Portugalia

Scopul acestei Confederaţii este de a promova rolul Responsabilului cu protecţia datelor (DPO) şi de a milita pentru un sistem de protecţie a datelor echilibrat, bazat pe experienţă practică şi eficienţă. În plus, CEDPO contribuie activ la o mai bună armonizare a legislaţiei şi a practicilor privind protecţia datelor în Uniunea Europeană (UE) şi în Spaţiul Economic European (SEE), unind toate organizaţiile membre într-o singură voce şi valorificând astfel experienţa bogată şi diversă ale asociaţiilor membre ale CEDPO, care deţin cunoştinţe practice despre problemele care înconjoară rolul şi poziţia DPO, precum şi provocările zilnice cu care se confruntă. CEDPO este şi un interlocutor activ pentru factorii de decizie europeni şi autorităţile pentru protecţia datelor în contextul adoptării şi implementării Regulamentului general privind protecţia datelor (GDPR),  propunerile sale jucând un rol important în definirea legislaţiei actuale, în special în ceea ce priveşte reglementarea poziţiei şi a rolului responsabilului cu protecţia datelor (DPO). De asemenea, CEDPO a participat la modernizarea Convenţiei 108 a Consiliului Europei („Convenţia pentru protecţia persoanelor cu privire la prelucrarea automată a datelor cu caracter personal”), susţinând o mai bună recunoaştere a rolului crucial pe care DPO îl joacă în protecţia datelor în zilele noastre.