De la dezinteres la exagerări în GDPR

Chiar dacă am spus public și am mai scris, simt nevoia să repet: subiectul GDPR este plin de ipocrizie în piața autohtonă.

Memoria Internetului ne oferă o radiografie cu privire la subiectul „viață privată/protecția datelor„. În intervalul 2001-2016 s-a scris extrem de puțin pe acest subiect. Sancțiunile fiind minimale, cam toată lumea prelucra date cu caracter personal „în conformitate cu Legea 677/2001„.

Apoi, pînă pe la jumătatea anului trecut, mulți spuneau că „nu se va aplica„ sau „se va da ceva„. De prin septembrie 2017 lucrurile au explodat: s-a trecut de la dezinteres și optimism la pesimism, la un fel de paranoia: cursuri, certificări, consultanță, evenimente, „template„….o șaorma cu de toate…fără însă a avea și punctul de vedere al bucătarului (ANSPDCP). Regulamentul a ajuns să fie citit și interpretat strict în litera sa, cei mai mulți neavînd nici cea ma mai mică urmă de îndoială cînd afirmă una sau alta. Se discută mai mult despre „hîrtii„ și mult mai puțin despre „securitatea datelor personale„.

În ultima lună, parlamentul a emis două legi:

  • Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
  • Legea privind măsuri de punere în aplicare a Regulamentului 2016/679 (spre promulgare)

Despre prima spun doar că precizează că aplicarea „amenzii se face în condițiile art. 83 din Regulamentul general privind protecția datelor. „ A trecut însă de Senat minunea de lege care va pune în aplicare GDPR. Nu mi se pare la fel de grav că cei care au scris-o și ulterior au votat-o nu au înțeles mare lucru din GDPR (mai corect spus protecția datelor). Mai grav mi se pare să faci legi fără să dovedești o logică/coerență/rigoare minimală.

Voi da cîteva exemple.

1. Art. 4, care se referă la prelucrarea unui „număr de identificare național„ (număr de identificare național sau număr național de identificare sau număr de identificare națională?) impune numirea unui DPO, în condițile Art. 10 din aceeași lege.

Art. 10 face însă trimitere la Art. 37-39 din GDPR unde nu vom regăsi obligativitatea DPO pentru situația din Art. 4.

2. Art. 5 se referă la „sisteme de monitorizare prin mijloace electronice și/sau mijloace de supraveghere video la locul de muncă„ în scopul realizării intereselor legitime ale angajatorului. În general, articolul dă dovadă de redundanță, dar aduce și o noutate: durata de stocare să nu fie mai mare de 30 de zile cu excepția situațiilor reglementate prin lege sau a cazurilor temeinic justificate. Mă întreb dacă păstrarea unor loguri pentru apărarea unor drepturi în instanță sau identificarea unor fraude va fi considerat un „caz temeinic justificat„…

3. Art. 6 se referă la prelucrarea „datelor personale și speciale„  pentru îndeplineirea unei sarcini care servește unui interes public. Apare din nouă obligativitatea DPO în condițiile Art. 10 din lege…

4. Am ajuns cu lectura și la sancțiuni: avertisment și amenda contravențională

  • încălcarea Art. 83 alin. 4-6 din GDPR sînt contravenții
  • încălcarea Art. 3-9 din Lege sînt contravenții și se sancționează conform Art. 83. alin. 5 din GDPR
  • autoritățile publice sînt tratate preferențial: primesc avertisment și un „plan de remediere„ cu un termen stabilit de ANSPDCP. Abia după ce controlează punerea în aplicare a planului de remediere, ANSPDCP poate decide sancționarea prin amendă (maxim 200.000 lei)

Art. 9 însă este cel care reflectă îngustimea legiuitorului cu privire la drepturile noastre:

  Prelucrarea datelor cu carcater personal și special este permisă partidelor politice și organizațiilor cetățenilor aparținînd minoritățlor naționale(n.b UDMR nu este partid politic), organizațiilor neguvernamentale, în vederea realizării obiectivelor acestora , fără comsimțămîntul expres al persoanei vizate, dar cu condiția să se prevadă garanțiile corespunzătoare, menționate la alineatul precedent

 

 

16 gânduri despre “De la dezinteres la exagerări în GDPR

  1. Asta înseamnă că orice firmă care face o factură către o persoană fizică trebuie să aibă DPO deoarece CNP este obligatoriu pe factură. Plus că pe facturi exista practica (nu m-am lămurit foarte exact dacă și obligația legală) de a trece datele din CI ale persoanei care întocmește factura.

    Apreciază

    • Nu discut doar de persoane fizice. CNP nu este obligatoriu pe factura. Se trec in schimb datele delegatului situaţie în care se consideră ca devine purtătoare de DCP….(eu consider că acest document contine DCP care privesc persoana juridică….dar opinia mea este împărtășită de puţini avocaţi)

      Apreciază

  2. Toți contabilii cu care am discutat mi-au zis că, pentru persoane fizice, este obligatoriu să treci CNP pe factură, altfel nu s-ar valida declarația 394. Mergând la sursă, CNP ar fi obligatoriu doar dacă este persoană impozabilă, care are altă definiție în codul fiscal.

    Conform art. 319 alin. (20) lit. f) din Codul Fiscal, factură fiscală trebuie să cuprindă în mod obligatoriu, în vederea identificării beneficiarului, următoarele informații: „f) denumirea/numele și adresă beneficiarului bunurilor sau serviciilor, precum și codul de înregistrare în scopuri de TVA sau codul de identificare fiscală al beneficiarului, dacă acesta este o persoană impozabila ori o persoană juridică neimpozabila”.

    Analizând dispoziția legală anterior menționată rezultă că elementul de identificare al beneficiarului constând în codul de identificare fiscală este necesar doar în cazul persoanelor impozabile ori a persoanelor juridice neimpozabile. Noțiunea de persoană impozabila nu vizează persoană fizică stricto sensu, ci se referă la persoană ce desfășoară activități economice și este înregistrată la organul fiscal. Astfel că deși codul de identificare fiscală este, în cazul persoanelor fizice, codul numeric personal, acesta nu este cerut obligatoriu de lege în vederea facturării acestora atunci când dețin calitatea de beneficiar în cadrul unui raport juridic

    În ceea ce privește delegatul, și eu consider că este vorba de „date ale unei persoane juridice, deoarece persoana respectivă „funcționează” ca un reprezentant al acestuia, nu în calitate de persoană fizică. Acolo majoritatea au renunțat să mai treacă ceva, în afară de nume, prenume, eventual auto. Nu mai trec datele din buletin.

    Apreciază

  3. Și altceva, o practică pe care am văzut-o la multe firme, în momentul încheierii unor contracte cu PF, opresc o copie după CI, iar în contract se trec toate date, inclusiv CNP. Constituie asta o prelucrare a unui „număr de identificare național”?

    PS Cred că comentariul anterior a intrat în spam că am folosit taguri html.

    Apreciază

  4. Ciudat, era un comentariu mai lung. Reiau pe scurt:
    Majoritatea contabililor cu care am discutat mi-au spus că CNP este obligatoriu, altfel nu s-ar valida 394. Mergând însă la sursă, CNP are ca obligatoriu doar în cazul persoanelor impozabile, categorie în care nu se încadrează TOATE persoanele fizice.
    În ceea ce privește delegatul, și eu sunt de opinie că nu este persoană fizică și nu i se aplică prevederile GDPR, fiind vorba de un reprezentant al unei persoane juridice. Apropo de asta, un consilier de la ANSPDCP a spus că adresa de mail nume.prenume @ firmanoastră.ro nu este DCP. Deși, și eu am auzit avocați susținând contrariu.

    Apreciază

  5. Revin acum după promulgare. orice angajator prelucrează CNP, că altfel nu poate încheia contractul de muncă (e rubrică în Revisal). Practic, asta înseamnă că orice SRL care are angajați trebuie să aibă DPO?

    Apreciază

  6. Mie mi se pare că articolul 4 introduce ca măsură de securitate suplimentară pentru prelucrarea CNP nominalizarea unui DPO, care nominalizare se face conform articolului 37, aliniatul 4, unde spune:

    În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori.

    Cheia este „acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru”.

    Din punctul meu de vedere, lucrurile sunt clare: prelucrezi CNP, trebuie DPO. Ceea ce mi se pare însă exagerat este că asta implică faptul că orice angajator trebuie să aibă DPO, în absența unei derogări.

    Apreciază

  7. Deci, la articolul 37 din regulament ai aliniatul 4, care permite statelor să adauge situații suplimentare în care este necesar DPO și exact asta face articolul 4 din 190/2018.

    (4)În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori.

    Cheia este „acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru”.

    Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

w

Conectare la %s

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.