SCRISOARE DESCHISĂ / PETIȚIE (11 Noiembrie 2020)
Către:
- Comitetului European pentru Protecția Datelor (EDPB)
- Confederația Organizațiilor Europene pentru Protecția Datelor (CEDPO)
- Avocatului Poporului
- Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- Secretariatul General al Guvernului
- Biroul Permanent al Senatului României
- Comisia pentru cercetarea abuzurilor, combaterea corupției și petiții din Senatul României
- Consiliul Economic și Social (CES)
București, 11 Noiembrie 2020 – În contextul publicării proiectului de lege privind organizarea profesiei de Responsabil cu protecția datelor cu caracter personal înregistrată la Senat cu numărul B653/2020, ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR (ASCPD), cu sediul social în București, str. Sapienţei nr. 6, sc. A, et. 1, ap. 1, sector 5, număr de înregistrare în Registrul asociațiilor și fundațiilor 49/18.10.2017, atrage atenția tuturor instituțiilor statului asupra pericolului politizării profesiei de Responsabil cu protectia datelor cu caracter personal.
ASCPD se delimitează de orice contribuție la elaborarea acestui proiect legislativ și constată cu surprindere inițierea și promovarea acestui proiect legislativ, fără nicio consultare prealabilă, cu nicio parte interesată, dar in procedura de urgență.
Proiectul de lege privind organizarea profesiei de responsabil cu protectia datelor cu caracter personal, lege care dacă ar fi adoptată ar fi o premiera in Europa, nu a fost pus în dezbatere publică fără vreo justificare, fiind înregistrat prin procedură legislativă de urgență de către inițiatori, la Biroul Permanent al Senatului (653/10.11.2020), încălcând obligațiile de a motiva urgența în cuprinsul proiectului.
Considerăm că este încălcat dreptul părților interesate, specialiștilor și al organizațiilor active și reprezentative în domeniu de a aduce amendamente, prin consultare publică, față de acest proiect de lege care va avea un impact major asupra desfășurării activității profesionale și a cărui formă inițială propusă de inițiatori are grave carențe și lacune referitoare la interpretarea dispozițiilor Regulamentului UE nr. 679/2016.
Ne exprimăm îngrijorarea față de modul de legiferare ales, fără consultarea publică a părților interesate, speciliștilor în confidențialitatea și protecția datelor sau a Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Prin această scrisoare deschisă facem apel la instituțiile competente să intervină pentru supunerea acestui proiect de lege unei dezbateri publice, înainte de a fi propus dezbaterii plenului Senatului României.
Având în vedere mecanismul de asigurare a coerenței prevăzut de Regulamentul UE 679/2016, dar și faptul că prezenta propunere legislativă aduce atingere unui număr semnificativ de operatori din Uniunea Europeană cu sediul în România sau care prelucrează datele rezidenților din România sau care prelucrează datele pe teritoriul României, suntem nevoiți să aducem la cunoștință acest demers și Comitetului European pentru Protecția Datelor (EDPB).
ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR (ASCPD) va înainta către Biroul Permanent al Senatului un document conținând obiecțiile detaliate pe care le formulează cu privire la acest proiect de lege.
Prezentăm mai jos doar câteva din argumentele membrilor ASCPD care vin în completarea acestui demers public:
- Proiectul de act legislativ contravine ierarhiei actelor normative ale Uniunii Europene, din motiv că proiectul de lege restrânge, modifică și stabilește cerințe și norme de conduită altele decât cele prevăzute de Regulamentul General privind Protecția Datelor.
- Proiectul de lege este incompatibil cu legislația Uniunii Europene, în special prevederile specifice din GDPR, fiind opozabile prevederile art. 20 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative.
- Nota de fundamentare a proiectului de lege este aridă, incertă și denaturată, nefiind posibil de a desprinde fără echivoc aspectele de fapt și de drept care au dus la inițiativa de reglementare în forma dată.
- Necunoașterea, neînțelegerea sau cunoașterea precară a prevederilor Regulamentului UE 679/2016 și a legislației naționale de către autorii proiectului de lege având în vedere că proiectul de lege se referă la reglementarea profesiei de Responsabil cu protecția datelor cu caracter personal și definiția dată acestuia în proiect este eronată. Responsabilul cu protectia datelor cu caracter personal NU este “instituția/autoritatea publică, agenția sau un alt organism (operator) care îndeplinește sarcinile prevăzute în Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie – 2016 privind protectia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulatie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), cap v, art. 10, în baza unui contract de muncă, respectiv contract comercial.” În plus, Regulamentul european definește clar contractul în baza căruia o persoană poate avea calitatea de responsabil, respectiv contractul de prestări servicii, nu contractul comercial. Menționăm că sarcinile responsabilului cu protectia datelor cu caracter sunt stabilite de către Regulamentul european, nu de către articolul 10, capitolul IV din Legea nr. 190/2018.
- Precizarea din expunerea de motive a proiectului de lege că “Un responsabil cu protectia datelor trebuie să fie un jurist specializat în tehnologie” adăuga la lege prin interpretări cel mult personale și neargumentate care încalcă prevederile Regulamentului UE 679/2016 în care nu se precizează niciun fel de impunere, limitări sau restricții cu privire la nivelul de studii și la specializarea necesară responsabilului cu protectia datelor pentru exercitarea profesiei.
- Lipsa realizării consultării prealabile cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal contravine prevederilor art. 36 alin. (4) din GDPR – (4) “ Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un parlament național sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrarea” și coroborat cu prevederile art. 8 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative – (1) „În cazurile prevăzute de lege, în faza de elaborare a proiectelor de acte normative inițiatorul trebuie să solicite avizul autorităţilor interesate în aplicarea acestora, în funcţie de obiectul reglementării.”
- Articolele 5 și 6 din proiectul legislativ contravin în totalitate prevederilor art. 37 și art. 38 alin 3 din Regulamentul 679/2016 (GDPR) privind independența Responsabilului cu Protectia Datelor și răspunderea acestuia pentru exercițiul funcției.
- Este încălcată grav liberă circulație a serviciilor în UE având în vedere că aceast proiect de lege restrânge acest drept.
- Nu sunt referiri, sau sunt ignorate cu buna stiinta, referitor la desfășurarea activității în domeniul protecției datelor cu caracter personal de către o persoană juridică.
- Articolul 38, în special alin. 3) din Regulamentul 679/2016 prevede: “(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.”, de unde reiese foarte clar și explicit faptul că responsabilul cu protecția datelor personale trebuie să poată să-și desfășoare activitatea fără nicio intervenție sau control asupra sa (chiar dacă are calitate de angajat al operatorului). Acesta nu primește instrucțiuni în ceea ce privește sarcinile sale, nu poate fi demis sau sancționat, ori prin constituirea Corpului Responsabililor se întrevăd măsuri de control sanctionare și imixtiune în activitatea acestuia până la răspunderea administrativă, civilă sau penală, așa cum reiese și din expunerea de motive a proiectului de lege: “De asemenea, responsabilul cu protectia datelor are atribuții și responsabilități bine definite, răspunderi și este supus unor sancțiuni disciplinare in momentul in care nu-și exercită profesia conform legii.”
- Condiționarea capacității și dreptului de exercitare a activității de Responsabil cu protectia datelor, prin înscrierea/acceptarea și apartenența la un organism profesional încalcă prevederile art. 37 din Regulament care stabilesc în mod clar singurele condiții necesare pentru aceasta activitate, condiții întărite și prin standardul ocupational cod COR 242231.
- Modalitatea complet lipsită de transparență a înființării și organizării Corpului Responsabililor cu protectia datelor așa cum este el menționat în proiectul de lege.
- Legea 363/2018 la care se face referire că ar completa proiectul de lege reglementează prelucrarea datelor cu caracter personal în scopul realizării activităţilor de prevenire, descoperire, cercetare, urmărire penală şi combatere a infracţiunilor, de executare a pedepselor, măsurilor educative şi de siguranţă, precum şi de menţinere şi asigurare a ordinii şi siguranţei publice de către autorităţile competente, neavând nicio relevanță pentru rolul Responsabilului cu protecția datelor.
- Implicarea ANSPDCP în activitățile organizației profesionale, conduce la ideea că acest organism se subordonează în mod direct acesteia. Articolul 11 prevede faptul că “(1) Organizarea și funcționarea Corpului Responsabililor cu protectia datelor cu caracter personal din România se stabilesc prin regulamentul de organizare și funcționare a acestuia, cu avizul Autoritatii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.” și dispozițiile articolului 23 din același proiect de lege prevăd că “Organizarea adunărilor locale de constituire a filialelor, precum și a primei Adunări naționale a Responsabililor cu protectia datelor cu caracter personal se va asigura de către Federatia Națională a Responsabililor cu protectia datelor cu caracter personal sub supravegherea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în termen de 120 de zile de la publicarea prezentei legi în Monitorul Oficial al României.”
- “Federatia Națională a Responsabililor cu Protectia Datelor cu Caracter Personal” nu există și nu poate exista, federația fiind definită ca o uniune formată din mai multe organizații cu activitate relevantă și semnificativă in domeniu și care urmăresc scopuri comune și persoanele fizice se pot organiza în asociații și fundații, nu sub forma de federație.
ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR
prin Președinte Marius Dumitrescu