Chiar dacă am spus public și am mai scris, simt nevoia să repet: subiectul GDPR este plin de ipocrizie în piața autohtonă.
Memoria Internetului ne oferă o radiografie cu privire la subiectul „viață privată/protecția datelor„. În intervalul 2001-2016 s-a scris extrem de puțin pe acest subiect. Sancțiunile fiind minimale, cam toată lumea prelucra date cu caracter personal „în conformitate cu Legea 677/2001„.
Apoi, pînă pe la jumătatea anului trecut, mulți spuneau că „nu se va aplica„ sau „se va da ceva„. De prin septembrie 2017 lucrurile au explodat: s-a trecut de la dezinteres și optimism la pesimism, la un fel de paranoia: cursuri, certificări, consultanță, evenimente, „template„….o șaorma cu de toate…fără însă a avea și punctul de vedere al bucătarului (ANSPDCP). Regulamentul a ajuns să fie citit și interpretat strict în litera sa, cei mai mulți neavînd nici cea ma mai mică urmă de îndoială cînd afirmă una sau alta. Se discută mai mult despre „hîrtii„ și mult mai puțin despre „securitatea datelor personale„.
În ultima lună, parlamentul a emis două legi:
- Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
- Legea privind măsuri de punere în aplicare a Regulamentului 2016/679 (spre promulgare)
Despre prima spun doar că precizează că aplicarea „amenzii se face în condițiile art. 83 din Regulamentul general privind protecția datelor. „ A trecut însă de Senat minunea de lege care va pune în aplicare GDPR. Nu mi se pare la fel de grav că cei care au scris-o și ulterior au votat-o nu au înțeles mare lucru din GDPR (mai corect spus protecția datelor). Mai grav mi se pare să faci legi fără să dovedești o logică/coerență/rigoare minimală.
Voi da cîteva exemple.
1. Art. 4, care se referă la prelucrarea unui „număr de identificare național„ (număr de identificare național sau număr național de identificare sau număr de identificare națională?) impune numirea unui DPO, în condițile Art. 10 din aceeași lege.
Art. 10 face însă trimitere la Art. 37-39 din GDPR unde nu vom regăsi obligativitatea DPO pentru situația din Art. 4.
2. Art. 5 se referă la „sisteme de monitorizare prin mijloace electronice și/sau mijloace de supraveghere video la locul de muncă„ în scopul realizării intereselor legitime ale angajatorului. În general, articolul dă dovadă de redundanță, dar aduce și o noutate: durata de stocare să nu fie mai mare de 30 de zile cu excepția situațiilor reglementate prin lege sau a cazurilor temeinic justificate. Mă întreb dacă păstrarea unor loguri pentru apărarea unor drepturi în instanță sau identificarea unor fraude va fi considerat un „caz temeinic justificat„…
3. Art. 6 se referă la prelucrarea „datelor personale și speciale„ pentru îndeplineirea unei sarcini care servește unui interes public. Apare din nouă obligativitatea DPO în condițiile Art. 10 din lege…
4. Am ajuns cu lectura și la sancțiuni: avertisment și amenda contravențională
- încălcarea Art. 83 alin. 4-6 din GDPR sînt contravenții
- încălcarea Art. 3-9 din Lege sînt contravenții și se sancționează conform Art. 83. alin. 5 din GDPR
- autoritățile publice sînt tratate preferențial: primesc avertisment și un „plan de remediere„ cu un termen stabilit de ANSPDCP. Abia după ce controlează punerea în aplicare a planului de remediere, ANSPDCP poate decide sancționarea prin amendă (maxim 200.000 lei)
Art. 9 însă este cel care reflectă îngustimea legiuitorului cu privire la drepturile noastre:
Prelucrarea datelor cu carcater personal și special este permisă partidelor politice și organizațiilor cetățenilor aparținînd minoritățlor naționale(n.b UDMR nu este partid politic), organizațiilor neguvernamentale, în vederea realizării obiectivelor acestora , fără comsimțămîntul expres al persoanei vizate, dar cu condiția să se prevadă garanțiile corespunzătoare, menționate la alineatul precedent
ADRIAN B. MUNTEANU 
Asta înseamnă că orice firmă care face o factură către o persoană fizică trebuie să aibă DPO deoarece CNP este obligatoriu pe factură. Plus că pe facturi exista practica (nu m-am lămurit foarte exact dacă și obligația legală) de a trece datele din CI ale persoanei care întocmește factura.
ApreciazăApreciază
Nu discut doar de persoane fizice. CNP nu este obligatoriu pe factura. Se trec in schimb datele delegatului situaţie în care se consideră ca devine purtătoare de DCP….(eu consider că acest document contine DCP care privesc persoana juridică….dar opinia mea este împărtășită de puţini avocaţi)
ApreciazăApreciază
Toți contabilii cu care am discutat mi-au zis că, pentru persoane fizice, este obligatoriu să treci CNP pe factură, altfel nu s-ar valida declarația 394. Mergând la sursă, CNP ar fi obligatoriu doar dacă este persoană impozabilă, care are altă definiție în codul fiscal.
În ceea ce privește delegatul, și eu consider că este vorba de „date ale unei persoane juridice, deoarece persoana respectivă „funcționează” ca un reprezentant al acestuia, nu în calitate de persoană fizică. Acolo majoritatea au renunțat să mai treacă ceva, în afară de nume, prenume, eventual auto. Nu mai trec datele din buletin.
ApreciazăApreciază
Și altceva, o practică pe care am văzut-o la multe firme, în momentul încheierii unor contracte cu PF, opresc o copie după CI, iar în contract se trec toate date, inclusiv CNP. Constituie asta o prelucrare a unui „număr de identificare național”?
PS Cred că comentariul anterior a intrat în spam că am folosit taguri html.
ApreciazăApreciază
Așa cum arată legea acum, da.
(de data asta comentariile nu au ajuns in spam 😀)
ApreciazăApreciază
Ciudat, era un comentariu mai lung. Reiau pe scurt:
Majoritatea contabililor cu care am discutat mi-au spus că CNP este obligatoriu, altfel nu s-ar valida 394. Mergând însă la sursă, CNP are ca obligatoriu doar în cazul persoanelor impozabile, categorie în care nu se încadrează TOATE persoanele fizice.
În ceea ce privește delegatul, și eu sunt de opinie că nu este persoană fizică și nu i se aplică prevederile GDPR, fiind vorba de un reprezentant al unei persoane juridice. Apropo de asta, un consilier de la ANSPDCP a spus că adresa de mail nume.prenume @ firmanoastră.ro nu este DCP. Deși, și eu am auzit avocați susținând contrariu.
ApreciazăApreciază
Încă un comentariu dispărut 😀 Tare ciudat.
ApreciazăApreciază
Care? Îţi răsound de pe telefon și văd 2+1
ApreciazăApreciază
Mai sunt două comentarii, mai ample. Primul avea nișe taguri HTML, am crezut că de aceea a intrat în spam. Al doilea nu avea nimic suspect.
ApreciazăApreciază
Nu e nimic pe nicăieri. 🤔
ApreciazăApreciază
Revin acum după promulgare. orice angajator prelucrează CNP, că altfel nu poate încheia contractul de muncă (e rubrică în Revisal). Practic, asta înseamnă că orice SRL care are angajați trebuie să aibă DPO?
ApreciazăApreciază
Art. 4 din Lege trimite la Art. 10 care trimite la Art. 37-39 din Regulament care precizează cele 3 condiţii cînd este nevoie de DPO.
Așa cum înţeleg eu, dacă respecţi Regulamentul, nu este nevoie de DPO.
ApreciazăApreciază
Mie mi se pare că articolul 4 introduce ca măsură de securitate suplimentară pentru prelucrarea CNP nominalizarea unui DPO, care nominalizare se face conform articolului 37, aliniatul 4, unde spune:
În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori.
Cheia este „acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru”.
Din punctul meu de vedere, lucrurile sunt clare: prelucrezi CNP, trebuie DPO. Ceea ce mi se pare însă exagerat este că asta implică faptul că orice angajator trebuie să aibă DPO, în absența unei derogări.
ApreciazăApreciază
Deci, la articolul 37 din regulament ai aliniatul 4, care permite statelor să adauge situații suplimentare în care este necesar DPO și exact asta face articolul 4 din 190/2018.
(4)În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori.
Cheia este „acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru”.
ApreciazăApreciază
Paragraful asta nu l-am avut in cap….Atunci trebuie, cu mentiunea:cind prelucrezi in interes legitim, nu pe alta baza legala.
ApreciazăApreciază
Acum mi se pare logic.
Se prelucrau ID-uri (CNP) într-o veselie, desi legi care sa ceara acest lucru nu prea sint.
Daca totusi organizatia vrea sa prelucreze pe interes legitim, atunci are nevoie de DPO.
Mi se pare insa, in continuare, ca se bate putin cap in cap cu cele 3 situatii
ApreciazăApreciază