Probleme dificile de dreptul internetului (ed. 2). Regulamentul General privind Protecția Datelor este deja în vigoare TRANSCRIPT

TRANSCRIPT
[restrict]

Panel 1

Andrei Săvescu: Bună dimineața, stimați colegi, bine ați venit la cea de a doua ediție a conferinței dedicată dreptului internetului, conferința Societății de Științe Juridice, care abordează o materie destul de veche în alte țări și mai nouă și explozivă în ultima vreme în România. Vreau să mulțumesc, în primul rând, invitaților noștri de astăzi, doamna profesor Andreea Verteș, de la Facultatea de Drept a Universității de Vest din Timișoara, domnului avocat, Daniel Cîrstea, de la Dragne și Asociații și nu în ultimul rând, domnului profesor Daniel–Mihail Șandru, președintele Societății de Științe Juridice. Am de făcut o precizare, doamna președintă, profesor și președinte a autorității, doamna Oprea, m-a anunțat ieri că a intervenit o modificare intempestivă de program și nu poate să ajungă astăzi, aveam confirmarea scrisă a dumneaei că o să fie alături de noi, dar s-a întâmplat o chestiune și nu o să poată să vină, însă o să vină doamna Șandru. Ar trebui să țin un cuvânt introductiv cu privire la regulament care, însă cred că ar fi inutil și ar mânca nepotrivit din timpul aceastei conferințe pentru că sunt convins că toți participanții de astăzi, precum și cei care ne urmăresc on-line sunt în temă cu chestiunea respectivă, iar o privire filosofică asupra regulamentului nu își are locul, după părerea mea, într-o conferință dedicată cu precădere unor discuții pe teme practice, așa cum înainte de filmare deja începusem să discutăm, însă am zis să începem totuși și conferința, să nu discutăm doar noi între noi, să începem transmisiunea live. Așa încât o să intrăm abrupt în problemă și mă grăbesc să dau cuvântul domnului avocat Daniel Cîrstea, care fiind avocat o să abordeze o chestiune ce ține de litigii, așa încât nu abordăm regulamentul ca la școală cu începutul regulamentului, ci oarecum cu niște chestiuni de final care, bineînțeles că, ar fi și de evitat dacă ar fi posibil. Vă rog, domnule avocat!

Daniel Cîrstea: Mulțumesc! Așa cum, fiind avocat sunt obișnuit să vorbesc din picioare, astfel cum colegul meu Andrei a făcut introducerea o să începem puțin cu partea mai de final a Regulamentului, dar care practic este și partea care doare cel mai tare, adică dacă nu ar fi fost această parte probabil tot ce este reglementat înainte nu ar fi fost de interes pentru nimeni, adică dacă sancțiunile se păstrau ca și acum, cu siguranță nimeni nu ar fi avut vreun interes pentru această temă. Vom vorbi astfel despre căile de atac, capitolul căi de atac, răspundere și sancțiuni, practic regulamentul, reglementează două căi de atac și două tipuri de sancțiuni: căile de atac sunt reglementate cu privire la dreptul persoanei vizate, vătămate, de a-și apăra drepturile prin depunerea unei plângeri în fața Autorității de Supraveghere și de asemenea sunt vizate acțiunile care duc la repararea prejudiciului cauzat persoanei vizate. Cu privire la sancțiuni, sunt reglementate două tipuri de sancțiuni, sancțiunile corective și amenzile administrative, practic ar fi o categorie de sancțiuni administrative în care intră sancțiunile care sunt stabilite de către autoritățile de supraveghere, care ele nu sunt numai amenzile administrative, aici vorbim de sancțiunile administrative în sens larg intrând inclusiv sancțiunile penale și a doua categorie de sancțiuni ar fi sancțiunile de natură civilă și care conduc la repararea prejudiciului efectiv și integral cauzat persoanei vizate. Vom începe cu căile de atac, noțiunea definită de Regulament, are un sens mai larg, adică nu în sensul procesual de cale de atac, include și acțiunea sub forma specifică modului în care urmează să se acționeze. O primă categorie de acțiune ar fi plângerea, plângerea care se face, ca și în reglementarea anterioară, de către persoana vizată, fiind persoana care este vătămată de prelucrarea datelor cu caracter personal în mod nelegal și aici se poate vorbi de încălcarea drepturilor persoanei vizate cu privire la dreptul la acces, dreptul la opoziție, de rectificare, de ștergere, deci pentru oricare încălcare a drepturilor prevăzute de Regulament, practic persoana vătămată se poate adresa cu această plângere Autorității de supraveghere. Acum, competența, regulamentul stabilește și locul în care se depune plângerea, respectiv, competența autorității de supraveghere și se prevede un principiu, acela că, practic, persoana vizată are dreptul de a depune o singură plângere și se are în vedere situația că în acest regulament se vorbește despre autoritățile de supraveghere principale și autoritățile de supraveghere vizate, și atunci persoana vizată nu trebuie să se ducă să depună o plângere la autoritatea de supraveghere vizată și o altă plângere la autoritatea de supraveghere principală, va depune o plângere, care în principal se depune acolo unde persoana vizată își are reședința, sau alternativ unde își are locul de muncă, sau unde s-a constatat pretinsa încălcare a regulamentului, iar autoritatea de supraveghere la care s-a depus plângerea, urmează ca prin mecanismul de cooperare și investigare comună să stabilească împreună cu autoritatea principală, după caz, unde se depune plângerea, să stabilească între ele care este autoritatea principală și care este autoritatea vizată urmând ca în funcție de competențe să se emită decizia. Practic, persoana vizată, are dreptul de a fi informată cu privirea la evoluția soluționării plângerii și cu privire la rezultatul acestei plângeri. Autoritatea de supraveghere se va pronunța printr-o decizie, decizie care este obligatorie. Competența de soluționare a contestației împotriva deciziei autorității de supraveghere revine instanțelor naționale din statul membru în care se află autoritatea de supraveghere care a adoptat această decizie și se aplica normele naționale de drept procesual în privința soluționării acestei contestații. Contestația împotriva deciziei privește aspecte care fac referire la competențele autorităților de supraveghere, de investigare corective sau de autorizare și de asemenea deciziile prin care se resping sau se refuză soluționarea plângerilor, aici există o noțiune și o posibilitate a autorității de supraveghere de a refuza soluționarea unei plângeri atunci când apreciază că aceasta este vădit nefondată sau excesivă, însă revine rolul autorității de supraveghere să demonstreze faptul că acea plângere era vădit neîntemeiată sau excesivă, ca atare și într-o astfel de situație persoana vizată sau operatorul poate să depună o astfel de plângere, de asemenea se poate contesta, scuze, inclusiv situația în care autoritatea de supraveghere nu reacționează la o plângere depusă, în sensul că a depus plângerea, dar nu efectuează o investigare a acestei plângeri sau atunci când nu reacționează în sensul protejării dreptului persoanei vizate, adică nu dispune măsuri cu caracter provizoriu atunci când este necesar să fie impuse pentru protejarea drepturilor persoanei vizate. Nu pot fi contestate acele decizii ale autorității de supraveghere care nu produc în sine efecte juridice și aici ne referim la situațiile în care se emit decizii în materie de consiliere sau de avizare de către autoritățile de supraveghere. Instanțele naționale au o competență limitată în privința soluționării contestațiilor în sensul că ele nu se pot pronunța cu privire la aspecte referitoare la aplicarea Regulamentului, sens în care trebuie să sesizeze Curtea de Justiție a Uniunii Europene pentru pronunțarea unei decizii preliminare și pe baza acesteia să continue soluționarea contestației. O altă categorie de decizii care sunt reglementate de către Regulament sunt deciziile Comitetului European pentru Protecția Datelor. Acesta este un organ al Uniunii Europene cu personalitate juridică care este alcătuit din șefi fiecărei autorități de supraveghere și ai autorității europene pentru protecția datelor. Practic acesta are un rol de a reglementa la nivel global toate aspectele care privesc aplicarea regulamentului de către autoritățile de supraveghere și fiindcă regulamentul prevede competența de atât în favoarea unei autorități principale cât și unei autorități de date atunci evident că pot exista divergențe astfel cum definește regulamentul între aceste autorități și ele trebuie soluționate de către cineva, iar acest organ este Comitetul European, astfel că comitetul european este competent să soluționeze  divergențele dintre autorități, Autoritatea principală și Autoritatea vizată, în privința emiterii unei decizii sau divergențe cu privire la stabilirea competenței autorității principale sau de asemenea poate să iei emită decizii obligatorii atunci când este necesar un aviz al Comitetului European și acesta nu a fost solicitat sau când a fost acordat un aviz, dar acesta nu a fost respectat, deciziile Comitetului european sunt obligatorii pentru autoritățile de supraveghere respective. De ce ar fi importantă această situație? Răspunsul ar fi următorul. Practic contestarea deciziilor Comitetului se face în fața Curții de Justiție Europene, aceasta fiind competentă să soluționeze acțiunile de anulare a deciziilor Comitetului. Astfel, în situația în care, să presupunem, în instanța națională se contestă o decizie a autorității de supraveghere care pune în aplicare o decizie a Comitetului European, instanța națională va trebui să pună în discuție, dacă se solicită acest aspect, valabilitatea deciziei Comitetului în fața Curții de Justiție a Uniunii Europene, însă acest aspect nu este posibil dacă persoana care putea să formuleze acțiune în anulare împotriva deciziei Comitetului European nu și-a exercitat acest drept  în fața Curții de Justiție a Uniunii Europene, cu alte cuvinte, dacă persoana respectivă avea posibilitatea să formuleze o acțiune în anulare directă împotriva deciziei Comitetului European, dar nu a făcut-o în termenul legal, atunci nu poate să vină să solicite în fața instanței naționale punerea în discuție a valabilității acelei decizii a Comitetului European. Acțiunea în anulare cu privire la deciziile Comitetului European poate fi formulată de către orice persoană fizică sau juridică, operator, persoană împuternicită care este vizată în mod direct de către respectiva decizie și de asemenea de către autoritățile de supraveghere care sunt destinatarele acestor decizii, termenul este cel prevăzut de către Tratatul de Funcționare al Uniunii Europene și anume de două luni de zile care curge, în mod diferit pentru autoritățile de supraveghere destinatare, de la momentul la care Comitetul a notificat decizia, iar pentru celelalte persoane de la momentul la care decizia a fost publicată pe site-ul Comitetului. Cu privire la cealaltă categorie de acțiuni, practic se reglementează acțiunea împotriva operatorului și a persoanei împuternicite și legat de această acțiune se reglementează și răspunderea acestor persoane. Așadar separat de posibilitatea persoanei de a depune o plângere în fața autorității de supraveghere pentru respectarea drepturilor sale, orice persoană are dreptul să înainteze o acțiune în fața instanțelor naționale pentru repararea prejudiciului cauzat prin prelucrarea ilegală a datelor cu caracter personal. Această acțiune se depune fie la instanțele naționale unde se află un sediu al operatorului sau persoanei împuternicite, nefiind necesar sediul principal, ci orice sediu, fie alternativ acolo unde persoana vizată își are reședința. Regulamentul instituie o excepție, în cazul în care operatorul este autoritate publică care a acționat în exercitarea competențelor sale publice, atunci acțiunea se depune la instanțele naționale în statul membru unde se află autoritatea publică. Vom trece practic la secțiunea răspunderii, dar aceasta este legată, cum spuneam anterior, de acțiunea exercitată împotriva operatorului sau persoanei împuternicite, Regulamentul reglementează dreptul oricărei persoane de a obține repararea efectivă și integrală a prejudiciului, în acest sens regulamentul prevede că, atunci când, într-o activitate de prelucrare nelegală a datelor cu caracter personal sunt implicați mai mulți operatori sau mai multe persoane împuternicite sau operatori și persoane împuternicite, aceștia vor fi ținuți să răspundă în solidar față de persoana vătămată, ea având dreptul de a pretinde întreaga despăgubire de la fiecare dintre acești operatori sau persoane împuternicite. Regulamentul, în privința prejudiciului, are în vedere noțiunea de prejudiciu în sens larg, incluzând orice fel de prejudicii de natură morală sau materială, astfel încât, prejudiciul cauzat persoanei fizice să fie reparat integral. Mergând mai departe vom ajunge la capitolul sancțiuni, care practic acestea, în opinia mea, a fost cel mai mediatizat, cu privire la acest regulament european, pentru că sancțiunile sunt foarte mari și atunci și măsurile de conformare sunt necesare. Regulamentul vorbește de două tipuri de sancțiuni, pe de o parte vorbește de sancțiunile corective și pe de altă parte vorbește de amenzile administrative, dar în același timp regulamentul prevede posibilitatea fiecărui stat membru de a stabili și alte tipuri de sancțiuni, inclusiv de natură penală, care vor fi stabilite prin dreptul intern al fiecărui stat membru și care vor fi comunicate până la punerea în aplicare a regulamentului. Practic sancțiunile corective sunt stabilite de către autoritățile de supraveghere competente și sunt prevăzute în număr de zece sancțiuni în acest sens, mergând de la avertizări, mustrări, la limitarea accesului, la interdicția prelucrării datelor, la dispunerea rectificării, la ștergerea datelor, amenzi administrative, retragerea certificărilor ș.a.m.d., sunt prevăzute în regulament. Important ar fi de reținut că aceste sancțiuni corective practic se pot aplica în completarea  amenzilor administrative. Amenzile administrative cred că sunt cunoscute de toată lumea, acestea sunt reglementate cu privire la două categorii de fapte care sunt încălcate: o primă categorie prevede sancțiuni de până la 10 milioane de euro sau, în cazul întreprinderilor până la 2% din cifra de afaceri mondială și a doua categorie de fapte sunt sancționate cu amenzi administrative de până la 20 de milioane de euro sau, în cazul unei întreprinderi, de până la 4% din cifra de afaceri mondială. Practic se constată că în cazul în care vorbim de persoane care nu sunt întreprinderi, înterprinderea fiind definită de Regulament ca fiind orice persoană fizică sau juridică, care desfășoară activități economice în orice formă de asociere, deci în cazul acestor persoane limitele maxime sunt stabilite până la 10 milioane de euro respectiv până la 20 de milioane de euro. În cazul în care vorbim de întreprinderi atunci limitele sunt de până la 10 milioane sau 2% sau până la 20 de milioane de euro sau până la 4% luând în calcul valoarea cea mai mare a amenzii și aici regulamentul a avut în vedere faptul că, poate nouă nu ni se pare mare o amendă de 20 de milioane de euro în sine, dar pentru o corporație foarte mare, aceste 20 de milioane de euro nu reprezintă o amendă mare și atunci raportarea se face la cifra de afaceri mondială și dacă aceasta este mai mare înseamnă că amenda administrativă va fi respectiva amendă. De asemenea, o sancțiune similară celei mai aspre prevăzută de regulament, se aplică și în cazul în care se încalcă un ordin al Autorității de Supraveghere, prin care se stabilesc măsuri corective, adică în măsura în care s-au stabilit măsuri corective și nu sunt respectate, acestea nu sunt aduse la îndeplinire, atunci Autoritatea de Supraveghere are de asemenea posibilitatea să aplice această amendă de până la 20 de milioane de euro și de până la 4% din cifra de afaceri mondială. Practic se observă că regulamentul stabilește limitele maxime ale amenzii, urmând ca fiecare autoritate de supraveghere să determine în concret cuantumul amenzii aplicate în raport de criterii care sunt stabilite de acest regulamet. Aici avem două criterii de aplicare a amenzii, unele sunt criterii de natură generală care țin cont de natura, gravitatea, vinovăția faptei, colaborarea cu autoritatea de supraveghere, modul în care ai notificat încălcarea, modul cum ai efectuat demersul pentru limitarea prejiudiciului și celelalte aspecte avute în vedere de către regulament și de asemenea mai sunt anumite criterii specifice care sunt prevăzute în cazul persoanelor care nu sunt întreprinderi, aici ar trebui să se țină cont la aplicarea amenzii de nivelul general din statul membru respectiv și de situația economică a persoanei. Regulamentul vorbește că în cazul acestor persoane care sunt întreprinderi, ar trebui să se țină seama de un cuantum rezonabil al amenzii, adică, stabilirea unei amenzi, astfel încât, ea să fie proporțională cu situația economică a persoanei căreia i se aplică amenda sau recomandă inclusiv posibilitatea de a se aplica un cuantum minim sau un advertisment atunci când practic sancțiunea ar fi disproporțională față de fapta săvârșită și de situația economică a persoanei vinovate. În situația în care prin operțiuni de prelucrare sau prin aceeași operațiune de prelucrare se încalcă mai multe dispoziții din regulament se stabilește că practic, cuantumul total al amenzii nu poate depăși suma prevăzută pentru cea mai gravă încălcare. O situație specifică este prevăzută de regulament în cazul autorităților publice, în cazul acestora, regulamentul nu prevede amenzi administrative și lasă la latitudinea statelor membre să stabilească posibilitatea de a aplica amenzi administrative autorităților publice. În schimb autoritățile publice pot fi supuse sancțiunilor corective stbilite de Autoritatea de Supraveghere. Cam acestea ar fi aspectele legate de căi de atac, răspundere și sancțiuni. În măsura în care sunt întrebări, vă rog să le formulați și să avem o dezbatere cu privire la acestea.

Participant: În situația încălcării unor drepturi de către operator, în calitate de avocat, care considerți că sunt mijloacele de probe utile pe care dumneavoastră le aveți în vederea înaintării căii de atac, respectiv plângere sau acțiune de reparare în fața instanței, adică, cum dovediți efectiv încălcarea, raportat la Codul de procedură civilă? Care considerați că ar fi probele cele mai utile? Cum ați organiza apărarea efectiv, pentru acțiunea în instanță? Mulțumesc!

Daniel Cîrstea: Este o întrebare cu caracter amplu acum.

Daniel-Mihail Șandru: Și un model de cerere.

Daniel Cîrstea: Indiferent de calitatea operatorului, dacă este avocat sau o altă persoană, în situația în care ești prejudiciat, vizat de o prelucrare nelegală a datelor cu caracter personal, poți fie să administrezi în mod nemijlocit ca persoană vizată, în sensul de a face captură cu privire la datele respective, de a păstra sau a procura documentele prin care se constată încălcarea drepturilor tale?! Fie de a apela la procedurile specifice procesuale pentru constatarea acestor fapte și aici s-ar putea apela, fie la o procedură prin intermediul unui executor judecătoresc care poate să constate încălcarea respectivelor drepturi, fie la o procedură în fața unei instanțe de judecată care să conducă la administrarea unor dovezi, acestea ar fi, să zic, mijloacele prin care poți să îți preconstitui dovezi în vederea pornirii unei acțiuni în mod direct către, în raport cu autoritatea de supraveghere sau în raport direct cu operatorul sau persoana împuternicită în cazul în care acțiunea vizeză repararea prejudiciului prin obligarea acestora la plata unor despăgubiri și cu privire la partea generală a întrebării era cum am … Mai specific ce anume v-ar interesat din partea generală a întrebării, aceea cu pregătirea apărării?

Participant: În partea generală a întrebării, cuprindea implicit întrebarea punctuală, și anume mijloacele procesuale prin care le aveți în vedere și ați spus: captura, asigurare de dovezi, mijloace procesuale clasice care sunt în sarcina oricărui petent pentru a-și dovedi pretenția, numai că acolo rămâne de văzut dacă în cadrul unei proceduri de asigurare de dovezi, cât de rapidă și condițiile în care instanța acordă dreptul de asigurare a dovezilor, cu citare, fără citare, ș.a.m.d. și atunci există riscul, până la urmă, să faci ca în orice situație clasică capturi, după care să mergi cu ele și atâta tot în situația în care nu obții o asigurare de dovezi.

Daniel Cîrstea: Din acest motiv, din cele trei posibilități enumerate și bine înțeles că enumerarea nu este exhaustivă, eu aș prefera soluția de constatare a încălcării drepturilor prin intermediul unui executor judecătoresc, întru-cât este mult mai rapidă și eficientă în același timp, adică se face constatarea în mod direct, iar executorul judecătoresc are posibilitatea să facă o astfel de constatare.

Participant: Numai în situații de fapt, numai că aici sunt executori și executori.

Daniel Cîrstea: Da, eu am întâlnit executori care au înțeles foarte bine această situație și au putut să facă acte care în instanță au fost luate în considerare, deci nu au fost invalidate de către instanță, asta în domeniul, să zicem, al încălcării drepturilor de natură nepatrimonială, da, care practic aici este o situație similară pentru că prin încălcarea drepturilor privind protecția datelor cu caracter personal, vorbim tot de încălcarea unor drepturi de natură nepatrimonială și dacă pe dreptul comun există o astfel de posibilitate, atunci trebuie să existe și pe dreptul specific de reglementare în cazul acestui regulament. Părerea mea este că se poate face și nu ar fi probleme, depinde evident de opțiunea fiecărui executor judecătoresc, dar eu am întălnit situația în care executorul judecătoresc a înțeles foarte bine acest aspect.

Participant: Mulțumesc!

Daniel Cîrstea: Cu mare plăcere!

Daniel Cîrstea: Vă rog!

Participant: Întrebarea mea se referă la răspunderea persoanei împuternicite, cine ar putea fi această persoană împuternicită? Mă gândesc, de exemplu, la faptul că am înțeles că fiecare operator economic trebuie să aibă o persoană sau un departament care să se ocupe de această temă, mă gândesc că poate și un avocat în genul de outsourcing să dea asistență juridică și să se ocupe de acest aspect, atunci persoana împuternicită ar putea fi avocatul care dă asistență juridică strict pe acest subiect? Aceasta este prima întrebare, pe urmă mai am o observație legată de sancțiuni, sancțiunile îmi par asemănătoare cu cele pe care le aplică Consiliul Concurenței, la cifra de afaceri, la cifra de afaceri totală există o discuție, ce înseamnă cifra de afaceri totală, așa cum și la autoritățile de concuranță de la țară la țară mai sunt diferențe de calculul strict al acestei cifre de afaceri, mă gândesc de exemplu la o companie care are și magazine cu vânzări la raft dar are o componentă mai mică, să zicem, pe un procent redus de vânzări on-line, probabil că chestiunea protecției datelor se pune la componenta de vânzări on-line, ori să îi aplici o sancțiune la întreaga cifră de afaceri, mi se pare cam exagerat, este o chestiune care se găsește în legislația concurenței și cum spuneam, există o discuție asupra acestui calcul, dacă puteți fie să exprimați o părere, fie să dezvoltați puțin, dar revin, important mi se pare chestiunea răspunderii persoanei împuternicite, cine ar putea fi aceasta? Mulțumesc!

Daniel Cîrstea: Mulțumesc și eu pentru întrebare!

Daniel Cîrstea: Regulamentul definește persoana împuternicită ca fiind persoana care prelucrează datele, prin urmare, orice persoană care face o prelucrare de date, pate fi subiect al răspunderii, indiferent de calitatea acestei persoane, astfel că, nu aș vrea să mă pronunț cu privire la posibilitatea că un avocat să fie răspunzător că este o situație care, să zic așa, mi-e puțin incomodă, dar dacă există aici, dar trebuie văzut și analizat și dacă în funcție de statutul profesie de avocat poți să faci prelucrare de date cu caracter personal, sau dacă vă referiți practic la răspunderea avocatului care în exercitarea profesiei ar putea prin exercițiul profesiei să dețină date cu caracter personal și să le prelucreze, sau la avocatul care în baza unui mandat, contract de asistență juridică încheiat cu un operator, efectuează, efectiv prelucrarea datelor cu caracter personal, dacă există o astfel de posibilitate prevăzută de legea și statutul avocaților, evident că răspunderea se antrenează pentru că regulamentul nu face o astfel de distincție între calitatea împuternicitului, dacă el este de o anumită profesie sau de o altă profesie, se spune că persoana împuternicită răspunde, dar bine înțeles, răspunde pentru încălcarea obligațiilor ce îi revin în calitate de persoană împuternicită, iar nu pentru obligațiile ce îi revin operatorului, pentru că regulamentul face distincție între obligațiile ce îi revin operatorul și obligațiile ce îi revin împuternicitului. Ca atare, să zic așa, concluzia finală este că nu este exclusă o astfel de răspundere. Cu privire la cea de a doua întrebare, păi dacă, materia, Consiliului Concurenței, nici până la acest moment nu s-a lămurit acestă chestiune și există astfel de dezbatere, nu cred că la acest moment, înainte de aplicarea regulamentului, poate fi tranșată o astfel de discuție. Evident că și acest aspect va face obiectul unor controverse, practic regulamentul spune că se aplică amenda în procent din cifra de afaceri la nivel mondial, dacă vorbim de o societate comercială care nu are o extindere la nivel mondial și la nivel local de mai mici dimensiuni și care aceasta are mai multe componențe, înțeleg, din mediul on-line și alte medii, nu cred că ar trebui să se facă o raportare la cifra de afaceri produsă de un anumit segment, adică segmentul on-line și la cifra de afaceri care este cumulată de către inteprindere prin exercitarea activității, că până la urmă și rolul sancțiunii este acela de a asigura o conformare întocmai cu privire la prevederile regulamentului și nu mai prin aplicarea unei sancțiuni care să fie „simțită bine” de către cel care încalcă acest regulament se poate atinge scopul prevăzut de către regulament pentru că regulamentul are ân vedere protecția persoanelor fizice împotriva prelucrării nelegale a datelor cu caracter personal și atunci regulamentul prevede mai multe tipuri de acțiuni și sancțiuni, adică pe lângă faptul că, operatorul sau persoana împuternicită, poate primi o sancțiune de natură administrativă aplicată de către autoritatea de supraveghere a datelor cu caracter personal, el este de asemenea răspunzător și față de.. în mod direct de către persoana căreia i s-au încălcat drepturile și are obligația de a-i plătii despăgubiri efective și integrale pentru repararea prejudiciului cauzat, ca atare m-aș  duce  către componenta mai largă, de asta și regulamentul are în vedere noțiunea de prejudiciu în sens larg și dacă are în vedere această noțiune atunci cei cu privire la sancțiunea administrativă aplicabilă a amenzii aș merge pe interpretarea acestuia în sens larg, adică de a fi aplicat la totalul cifrei de afaceri.

Andrei Săvescu: Am să vă rog să repetați întrebarea în legătură cu împuternicitul!

Participant: M-am gândit la situația în care un avocat prin contractul de asistență juridică acordă asistență tocmai în ceea ce privește protecția datelor și aceasta având în vedere faptul că orice operator economic trebuie să aibă o persoană care să se ocupă de această temă și mă gândeam la situația când un operator apelează la un avocat pentru a-i asigura, nu protecția datelor, ci asistență juridică pe acest subiect,  dacă cumva i se și dă o împuternicire de reprezentare față de alte autorități, de exemplu, i se dă un mandat de instruire a personalului în ceea ce privește protecția datelor, dacă are răspundere alături de operatorul economic?  Mulțumesc!

Daniel-Mihail Șandru: Dacă este angajat ca responsabil cu protecția datelor…

Andrei Săvescu: Nu, cred că la a treia ipoteză, deci avem trei ipoteze, trei chestiuni, împuternicitul este în realitate un operator de date care face asta pentru altcineva,  denumirea este înșelătoare pentru noi, se numește împuternicit, dar nu este împuternicit, adică un avocat nu o să fie împuternicit în sensul Regulamentului, în sensul regulamentului un avocat poate să fie reprezentantul unei, în diverse chestiuni, dar nu avocatul face prelucrarea de date personale, el acordă consultanță chiar și când funcționează ca DPO, avocatul nu este împuternicit, DPO-ul nu este un împuternicit. Și după cum bine știți dacă este cineva care nu are nici o răspundere în legătură cu datele personale este exact DPO-ul, nu chiar așa, dar aproape, dar dumneavoastră vă referiți la ipoteza în care avocatul acordă consultație juridică și greșește sau instruiește greșit, el nu este împuternicit, el funcționează ca un avocat obișnuit, fără îndoială ca având în vederedupă părerea mea, consecințele pot să fie grave dacă avocatul greșește, probabil că o să fie preferați avocați care au asigurare de răspundere profesională mai mare, asta este chestiunea. Dar domnule avocat nu mi se pare că este o diferență, cum zicea domnul avocat, nu este o diferență față de dreptul comun, este răspunderea obișnuită a avocatului.

Daniel Cîrstea: Cu alte cuvinte în cazul, în cazul acestei ipoteze, înțeleg că practic răspunderea avocatului nu îi revine în temeiul regulamentului prin aplicarea, ci în temeiul răspunderii civile delictuale, contractuale…

Andrei Săvescu: Exact! Adică nu o să plătească amenda la cifra de afaceri, avocatul, dar ar putea ca răspunderea avocatului, pentru că avocatul prin ipoteză, să spunem că are o cifră mai mică de afaceri decât firma pentru care lucrează, se poate ca prejudiciului pe care îl produce o consultanță greșită să fie cu mult mai mare, adică avocatul, altminteri să prefere să plătească la cifra lui de afaceri amenda. Da, s-ar putea să fie cifra de afaceri pe niște ani de zile ai avocatului de un asemenea prejudiciu, da. Vă rog, microfon, acolo!

Participant: În cazul expus de doamna, avocatul, să zicem dacă ar face ceea ce se menționa mai devreme, respectiv training pentru angajații clientului, în fine dacă ne gândim el, în fapt ar prelucra și avocatul niște date cu caracter personal, dar este părerea mea că cel puțin, el ar avea calitate de operator cu privire la datele respective.

Andrei Săvescu:  Pe ce text are el calitatea de operator? El accesează aceste date.

Participant: Prelucrarea pe care o face, nu o face sub instrucțiunile clientului lui, el funcționează, are această activitate.

Andrei Săvescu: Oricum e operator avocatul… Da..

Participant: Asta voiam să spun…avocatul este în general operator nu prea e împuternicit pe chestiuni de genul ăsta.

Daniel Cîrstea: Aceasta este situația de care spuneam, că dacă este vorba de faptele avocatului în exercitarea profesiei sale, ca atunci evident dacă procesează date cu caracter personal are responsabilitatea pentru prelucrarea acestora.

Andrei Săvescu: Cel mai prodent din partea avocatului ar fi să nu memoreze nici măcar în cap numele persoanelor cu care face instruire, să uite, ca să nu fie vreun risc să difuzeze datele personale ale celor cu care a interacționat. Cum? Să fi pus niște cifre…

Participant: Pregătisem întrebarea, dar nu știam dacă să o pun în această secțiune, dar am fost încurajată de întrebarea precedentă. Este vorba de responsabilitatea avocatului pentru activitatea pe care a făcut-o, eu sunt avocat în cadrul baroului Prahova, sunt înregistrată de mulți ani ca și operator de date cu caracter personal, iar acum…

Andrei Săvescu: Printre puținii, dar mă rog…

Participant: Ok! Am vrut să fiu sigură și problema mea acum este a CNP-ului și a copiilor după buletine și a programelor de contabilitate, presupun că foarte multă lume folosește SAGA, aici introduci serie și număr de buletin, introduci nume și prenume client, CNP, adresă, toate sunt date cu caracter personal, le prelucrezi pentru că faci declarații la Fisc, 300, 394, unde ți se cere să dai și CNP-ul. Știm decizia nr. 200/2015 a agenției care spune că, CNP-ul, este dată cu caracter personal și trebuie notificată, Deci din punctul ăsta de vedere, pe de altă parte ni se spune să încercăm să minimalizăm datele pe care le folosim, ori eu dacă am, fac un contract cu clientul, îi scriu datele în contract, în acțiune trebuie să îi scriu CNP-ul, instanța îl folosește, bine ai o să aibă altă treabă, acum mă refer strict la mine. Eu am toate datele clientului în dosarele mele, le fac în acțiuni, le transmit mai departe în declarații, deci ce facem noi cu programele contabile, noi avocații?

Daniel-Mihail Șandru: Aveți grijă de ele, asta trebuie să faceți, pentru că altfel, regulamentul în articolul 6 lit. c sau b, spune că nu trebuie consimțământul persoanei avizate în acest caz și că sunteți obligată de lege, evident că nu puteți să faceți contract așa, în aer…

Participant: Am înțeles, dar mă refeream acum dacă nu ar fi cazul său….

Andrei Săvescu: Da, la securitatea datelor, da… Chestiunea este că problema cu Saga s-a mai ridicat în astfel de…  și cu Saga și cu SmartBill, dacă tot vorbim așa pe românește. SmartBill se preocupă acum, cei de la Saga nu știu, dar Smartbill se preocupă de chestiunea aceasta și ei, probabil că nu numai ei, că sunt mai multe programe de software, dar astea sunt mai ieftine, nu știu. Ei sunt practic împuterniciți, sunt operatori împuterniciți, lucrează pentru dumneavoastră, scopul este al dumneavoastră, ei doar vă pun niște mijloace tehnice, iar puterea dumneavoastră de negociere, în relația cu astfel de operatori este, bineînțeles destul de mică, așa încât, dar după părerea mea, vă puteți baza că ei o să își pună la punct procedurile interne și o să își facă securizările așa cum trebuie, așa încât, pentru că altminteri clienții vor merge la operatorii împuterniciți care asigură aceste cerințe. Da, Saga stă foarte… Deocamdată…

Participant: Am dat un exemplu.

Andrei Săvescu: Da, e un exemplu. Lucrurile vor fi diferite în viitor, asta este o regulă, nu doar în această materie, în viitor lucrurile vor fi altfel decât acum.

Daniel Cîrstea: Regulamentul prevede aceleași obligații și pentru dezvoltatorii de aplicații.

Participant: Am înțeles, dar mă gândeam că…

Daniel Cîrstea: Ca atare, nu veți răspunde dumneavoastră dacă programul Saga are o breșă de securitate, va răspunde cel care este responsabil de….

Andrei Săvescu: Sau altă variantă, dacă nu o să găsți nici un soft care să fie la compliance cu regulamentul, mergem la contabilitatea manuală pe hârtii care vor sta sub cheie, aveți procedură internă că sunt pe hârtii dați print în condiții de securitate sunteți dumneavoastră, nu, glumesc, în încăpere și stau încuiate hârtiile și asta este și încă un birou ca să stocați hârtiile.. Nu, în mod sigur, serios acum… operatorii o să, împuterniciții… programele de software o să fie compliance. Vă imaginați cine or să fie primii vizați? Or să fie primii vizați, nu atât operatorii primari, ca să spun așa, cât împuterniciții care în realitate fac prelucrare de date pentru numeroși operatori principali, inițiatori de controale, dacă ar fi, nu știu, dar vreau să spun, e o ipoteză de lucru că aceștia vor fi primii vizați, pentru că la nivelul lor consecințele, în cazul scăpărilor, sunt cele mai dramatice, fiindcă lucrează cu datele personale provenite de la sute de mii de operatori.

Participant: Mulțumesc!

Daniel Cîrstea: O întrebare fără avocați? Ca și concluzie generală, să zic așa, avocații nu prea răspund, ca să nu facem nici o recunoaștere… Dacă nu mai sunt întrebări, vă mulțumesc, deci întrebările erau strict referitoare la avocați.

Andrei Săvescu: Păi da, pentru că sunt avocați în sală…

Participant: Apropo de contabilitate și documentele care trebuie ținute o perioadă lungă de timp, în calitate de comerciant care intră în relații cu clientul și cu care închei, ca să zic așa un contract, emit o factură, la un moment dat clientul cere să îl șterg, să îl uit, să îi șterg datele din baza de date. Având în vedere că i-am prelucrat datele legal în executarea contractului, are dreptate? Pot să îi șterg, să îl uit? Eu trebuie să țin acele facturi o perioadă de timp, chiar și acum mi s-a cerut, de la o autoritate publică, informații despre un client care a cumpărat un obiect acum 10 ani.

Daniel Cîrstea: Datele trebuie ținute cât timp sunt necesare, dacă ele mai sunt necesare le mai țineți, dar dacă el nu mai este client de mult, pentru ce scop le-ați mai ține?

Andrei Săvescu: Păi, cere legea să țină evidența contabilă.

Participant: Sunt evidența contabilă, cu facturile respective, se țin 10 ani.

Daniel Cîrstea: În sensul de ținere a facturilor, păi atunci ne raportăm la obligațiile legale care reglementează regimul de evidență al facturilor, dar trebuie să existe un scop și un motiv pentru care sunt ținute datele cu caracter personal, dacă nu ai nici un motiv, atunci….

Participant: Deci urmează regimul actelor contabile care trebuie să le țin 10 ani, după 10 ani de șters.

Daniel Cîrstea: Da!

Participant: Am înțeles, mulțumesc!

Andrei Săvescu: Această întrebare de fapt ne leagă de tema următoare, care probabil că este cea mai, este după, părerea mea, tema centrală, ideea centrală a regulamentului, dreptul de a fi uitat, cât de îndreptățiți sunt oamenii să fie uitați în mod informatic, pentru că altminteri oamenii nu sunt uitați, ei lasa impresii de neuitat asupra celorlalți și așa este și bine și în general oamenii vor să fie cunoscuți și ținuți minte, nu să fie uitați, firesc, nu?! Tema mi se pare foarte interesantă și o să vă rog să o ascultăm pe doamna profesor Andreea Verteș Olteanu.

Andreea Verteș Olteanu: O să vă rog să aveți răbdare cu mine doar 30 de secunde, domnul Andrei Săvescu tocmai promisese de la început ca nu va fi nimic filosofic astăzi, așa că, mă rog, fiind oarecum un defect profesional să nu spun doar consecințele, ci să încercăm să ne gândim ca profesori și de unde originează totul. Doar o foarte scurtă introducere, voiam să încep prin a spune că în 1944, Jorge Luis Borges, scria o nuvelă foarte, foarte scurtă, ea are vreo zece pagini și e foarte interesant de citit în contextul actualului regulament, care se numește Funes cel plin de amintiri. Ce se întâmplă în nuvela respectivă? O persoană, nu, sau mă rog are capacitatea sau are handicapul de a nu uita absolut niciun detaliu din viață. Care este blestemul lui, reținând tot, absolut toate detaliile pe care le vede, practic nu este în stare de nimic altceva, nu este în stare să abstractizeze, nu este în stare să generalizeze, nu este în stare să gândească. Și care este concluzia lui Borges, pe care am ales-o ca început al intervenției mele, că uitarea este pentru noi modul nostru de a gândi. Așa este. Dacă nu am uita, probabil că nu am putea nici gândi, acum cumva de frică din nou față de invitația pe care am primit-o și pe care nu vreau…Mă rog mai vreau să fiu invitată și altădată așa că peste slide-ul 2 cu Nietzsche, chiar sar, nu mai permit să spun nimic…

Andrei Săvescu: Nu, nu, deloc, că am și eu să….

Andreea Verteș Olteanu: Ideea era aceeași și anume că uitarea este cea mai mare înțelepciune de care putem da dovadă. Ce se întâmplă în zilele noastre? Ce se întâmplă cu internetul? Internetul este noul Funes, internetul este omul, mă rog, este entitate, nici nu știu cum să îi spun, care nu uită nimic, care reține toate detaliile astea și în plus ne…

Andrei Săvescu: Internetul este noul ce? Nu am auzit.

Andreea Verteș Olteanu: Funes, persoana asta care nu uită nimic și în plus ne transmite și nouă blestemul acesta, în sensul că nici noi cu ajutorul lui nu mai suntem în stare să uităm nimic și cu asta ajungem la discuția cu problema pe care o pune acest lucru față de drepturile personalității, față de dreptul la viață intimă, familială și privată, dreptul la demnitate, la imagine, ș.a.m.d. toate acestea care trebuie cumva regândite într-o perioadă în care internetul, la un simplu click, ne oferă informații cât de îndepărtate și cât de intime despre cam toate persoanele despre care am putea să fim noi curioși. Poftim? Bun, dar tot va fi cineva care să dea click-ul respectiv, poate legat de tine și atunci, noi nu, deci dreptul ăsta la uitare nu e neapărat să uiți de tine, ci să uiți de celălalt, lucru care nu mai prea este permis în secolul nostru, sau mă rog, în actuala eră digitală. La începutul lui 2000, Harry Surden, un jurist american, vorbește despre ceea ce intitulează el a fi drepturi structurale și anume drepturi care protejează viața privată, nefiind de fapt niște instrumente juridice, el le numește instrumente nonjuridice și dă, de exemplu, printre altele costurile foarte ridicate pentru a face ceva, pe vremuri dacă ceva implica foarte multe costuri, poate te gândeai de două ori înainte de a face acel lucru, în prezent cu internetul, toate aceste lucruri dispar și el spune că ar trebui să găsim noi instrumente juridice prin care să apărăm drepturile acestea la viață privată de aceste intruziuni nonjuridice, ori uitarea era practic, sau poate fi considerată și ea o barieră dintr-aceasta care pune probleme drepturilor structurale. În fine! Care este soluția pe care a găsit-o legiuitorul european pentru a rezolva această problemă a uitării? Soluția nu putem spune neapărat că a apărut în momentul Google Spain în 2014, dar a reprezentat un foarte mare semn de exclamare sau un momentul crucial, momentul 2014, în care avem decizia CJUE Google Spain contra Costeja care are în spate o linie întreagă de gândire. Nu putem spune că avem doar momentul 2014, găsim în timp mai multe date. Poate mai important pentru legiuitorul European, avem momentul în care Curtea Constituțională a Germaniei discută despre autodeterminarea informațională, ca urmare a recensământului din 1983. Germanii își pun pentru prima dată problema ce se întâmplă cu prelucrarea datelor noastre personale, moment după care cu un an după decid să dea valoare constituțională practic protejarii datelor acestora și stabilesc care este exact maniera în care pot fi ele prelucrate. La fel, avem dreptul la uitare din sistemul francez, Le droit à l’oubli, în ceea ce privește reabilitarea în sensul bun. Toate sistemele au reabilitare. Francezii au o lege despre faptul că o persoană condamnată, care și-a ispășit pedeapsa, care a trecut de perioada de reabilitare, nu se mai poate publica, are dreptul de a cere, de a face opoziție la o publicare al oricărui aspect din perioada fie a detenției sale, fie despre condamnare în sine sau despre fapta pe care a săvârșit-o. În plus, toată Europa are încă, atunci când discutăm despre Europa, în special fostul bloc communist, când discutăm despre niște colectări de date, poate gândul ne merge spre totalitarist, așa că preferăm să ne îndepărtăm de așa ceva. Tot contextul a fost unul favorabil pentru Google Spain, pentru Momentul acela 2014, care moment 2014 a fost și cel care a influențat Regulamentul apărut la doi ani după, în 2016, cel despre care discutăm astăzi și cel care va intra în aplicare, după cum știm la anul, anul următor. Nu putem spune că dreptul acesta la uitare sau că dreptul de a fi uitat e ceva cu totul nou. Terminologia diferă dacă mergem pe filieră franceză sau de limba engleză. Directiva interioară privind protecția datelor discuta despre un drept la opoziție, regăsit și în legea română, care cumva, pe undeva semăna, că pe asta s-a și bazat, de fapt, decizia din Google Spain. Totuși, Regulamentul vine cu totul altceva. Vine cu o detaliere mult mai puternică a acestui drept, mai adaugă pe lângă el, pe lângă aceasta, și dreptul de rectificare și, în fine, le detaliază mult. Avem aici o trecere în revistă a cum arătau aceste aspecte reglementate în directivă: dreptul la acces, excepții, drept de opoziție, cum a fost preluat de legea română 677, dreptul la intervenția asupra datelor, drepturi de opoziție și ce avem în prezent sau ce vom avea din 2018, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării. Cu ce a venit foarte important Google Spain vs Costeja? A stabilit următoarele chestiuni, și anume: că indexarea, deci listarea, pur și simplu, a unui motor de căutare presupune sau înseamnă prelucrarea datelor, a mai venit cu ideea că motorul de căutare este el însuși un operator, un controlor de date, faptul că nu contează unde se află compania mama, atâta timp cât o filială își exercită activitatea aceea sau oferă servicii într-un stat anume, membru al Uniunii Europene, compania respectivă va răspunde potrivit legislației europene. A mai stabilit că nu contează dacă informația sau website-ul pe care găsim informația este unul licit și informația este una licită, până la urmă asta nu împiedică persoana vizată să ceară ștergerea sau retragerea linkului către pagina respectivă. A mai discutat un element foarte important și una din cele mai mari discuții sunt pe tema asta, justul echilibru care trebuie realizat pe de o parte între drepturile fundamentale ale utilizatorilor, la libertatea de exprimare, pe de o parte a celei care a scris poate articolul sau dreptul nostru de acces la informație. Aceste tipuri de drepturi cu, pe de altă parte, dreptul persoanei vizate de a i se respecta viața intimă, familială și privată. Încă o noutate adusă, preluată de Regulament, faptul că… adică Regulamentul vine cu noutatea aceasta, … se inversează sarcina probei, în sensul că pentru a-și retrage sau pentru a cere ștergerea unei anumite informații sau pentru a cere delistarea, dezindexarea de pe motorul de căutare, petentul nu trebuie să vină el cu proba de ce se cuvine acest lucru, ci pur și simplu operatorul este cel care trebuie să demonstreze de ce să rămână informația acolo unde este ea, chiar dacă pagina respectivă este a unui terț. Având în vedere că decizia a folosit termeni oarecum inexacți – ei nu sunt inexacți, dar poate sunt extrem de interpretabili, respectiv informația, dacă este inexactă, dacă este inadecvată, dacă este nepertinentă, dacă nu mai este relevantă în momentul vorbirii, în prezent față de cum era în momentul în care a fost publicată – toate aceste epitete sau toate aceste descrieri sunt susceptibile de interpretări, motiv pentru care imediat după apariția deciziei a venit grupul de lucru cu art. 29 care a încercat să ajute persoanele să interpreteze această decizie, oferind o serie de întrebări suplimentare pe care ar trebui să ni le punem în momentul în care avem de soluționat o astfel de problemă, adică pentru a înțelege ce înseamnă inexact, pentru a înțelege ce înseamnă nepertinent și așa mai departe. Nu cred că le-am trecut pe toate aici pe slide, sunt 13 puncte,13 întrebări model cu care a venit acest grup de lucru ca ghid de interpretare a cuvintelor utilizate inițial în Decizia, apoi în Regulament. O altă chestiune discutabilă este ideea de interes public. Noi știm foarte bine că există o excepție de la dreptul la uitare, și anume dacă informația vizează o persoană publică sau respectiv dacă interesul articolului respectiv este preponderent public. Discuția despre ce anume înseamnă interes public este, din nou, extrem de interesantă și întreaga exprimare este foarte laxă, de altfel. Sunt juriști sau filozofi, nici nu știu încotro să merg, cu Ross de exemplu, care spun că, sau Dan Claudiu Dănișor de la noi, care spun că nu putem restrânge un drept esențial, un drept fundamental, cum este în cazul discuției noastre dreptul la viață privată, nu putem să le strângem doar pentru un bine absolut, pentru ceva abstract, cum ar fi în cazul nostru interesul public. Cum ar spune și Ross, și Dănișor, faptul că trebuie să avem un drept foarte concret, care trebuie să fie protejat pentru a putea încălca sau limita un alt drept. O altă chestiune care cred că lasă un pic de dorit sau pe care ar trebui să vină din nou un grup de lucru să o precizeze cum trebuie să fie interpretată este noțiunea aceasta de interes public, după care aș vrea să mă axez pe principalele probleme pe care am considerat că le-am identificat în acest Regulament, și vizavi de dreptul la uitare care, studiind tot mai mult sau studiindu-l tot mai mult am început să îmi pun întrebarea dacă este sau nu eficace și dacă poate fi sau nu într-adevăr folosit în practică. Toate pleacă din 1973 în care a apărut un termen, nu am reușit să-l traduc în română, dar mie îmi place foarte mult: factoid. Sigur ați auzit de factoid sau poate ați auzit de factoid în momentul în care s-a scris biografia lui Marilyn Monroe. Autorul Norman Mailer a folosit termenul ăsta pentru informații false, dar care sunt atât de întrebuințate sau sunt atât de des amintite publicului încât acesta începe să le considere adevărate. Acesta e factoidul, ceva greșit, dar deja ni se pare și nouă că e fals la cât de des am auzit chestiunea respectivă. Ce am trecut aici pe slide consider că sunt principalele factoide sau principalele percepții greșite cu privire la acest drept la uitare. Primul dintre ele sau de ce a fost acuzat ar fi că prin acest drept la uitare Uniunea Europeană exportă în lume cenzura. Asta e o primă idee, că exportă cenzura sau că respectiv încurajează ștergerea istoricului și respectiv cenzura politică. De la ce a plecat întreaga idee? De la faptul că, având posibilitatea fie noi, fie urmașii nostrii, să cerem înlăturarea anumitor articole defavorabile, nefavorabile, de pe internet la un moment dat ce s-ar întâmpla dacă toate personajele negative ale istoriei sau urmașii lor ar încerca asta, ar încerca să dispară de pe internet sau să lase doar acele articole care le sunt favorabile, mergând pe ideea că cu toții avem dreptul la un trecut imperfect, dar că acest trecut nu trebuie neapărat să fie vizibil celorlalți. Acesta este un factoid. Nu avem cum să folosim dreptul la uitare și să ștergem istoria. Nu avem cum să ștergem cu totul arhivele sau istoria unei țări. Ca un contra exemplu, pe de altă parte, vreau doar să vă aduc la cunoștință un lucru, și anume unul dintre principalii sau dintre cei mai fermecați lideri străini, non UE, de acest drept la uitare și de Regulamentul privind în general protecția datelor a fost Putin care, imediat după ce a apărut ideea asta de drept la uitare, s-a gândit că e o chestie foarte utilă. La 1 ianuarie 2016 a dat o lege în Rusia care pe undeva traducea dreptul la uitare din legislația europeană, însă cu un amendament extrem de interesant, și anume că de el pot beneficia și politicieni. Ceea ce tocmai Regulamentul încearcă, șterge, tratează ca o excepție, și anume persoane publice sau persoana despre care dorim să aflăm lucruri pentru că ce fac ne interesează sau ar trebui să fie de interes preponderent public, a fost greșit interpretat. Atunci, într-adevăr, putem să ne întrebăm dacă la un moment dat un lider, nu neapărat democratic, nu poate să se folosească de astfel de instrumente. Bun, evident că are la dispoziție și multe altele, dar dacă nu poate fi un instrument în plus și pentru derapaje din astea nedemocratice. O altă chestiune interesantă este așa numitul Efect Streisand. Din prezentarea anterioară noi știm foarte bine care sunt pașii cu privire la ștergerea sau retragerea unui link de pe motorul de căutare. În primul rând, te adresezi operatorului. Dacă răspunsul operatorului nu este unul pozitiv ai două posibilități: fie să te adresezi instanței, fie să te adresezi Autorității Naționale de supraveghere a datelor. Care este pericolul când faci acest lucru? Care este pericol pentru persoana care încearcă prin instanță să își dobândească acest drept? Șansele sunt ca povestea lui să devină și mai vizibilă pentru presă. Când dorești să retragi ceva din trecutul tău, când dorești ca un articol să fie șters pentru că te prezenta într-o lumină nefavorabilă sunt șanse foarte mari ca în momentul în care începe acțiunea în respectiva privință să transpară înspre presă sau pur și simplu cineva, intrând pe portalul respective, să te vadă reclamant în cauza respectivă. Ceea ce a pățit-o fix Costeja, chestiunea mi se pare de o ironie extraordinară. Cel care chiar a inițiat sau motorul din spatele dreptului la uitare, cred că deja cu toții știm bietul de el ce a făcut, adică motivul pentru care el a ajuns în fața CJUE: faptul că a fost executat silit, faptul că era debitor la asigurări sociale, că i s-a pus în executare silită imobilul și așa mai departe. El a câștigat în 2014, dar cu toții îi cunoaștem povestea. În 2015 când a încercat, când a redeschis povestea, când a ajuns din nou în instanță pentru că dorea să fie retrase comentariile negative cu privire la viața lui, de data aceasta, la a doua acțiune a lui Costeja, răspunsul pe care l-a primit a fost unul negativ, spunându-i-se: „Ne pare rău, dar între timp ai devenit o persoană publică. Ne pare rău, dar între timp cazul Google Spain a devenit de interes public. Prin urmare nu mai avem cum să te delistăm sau cum să te deindexăm de pe un motor de căutare.“ Se poate, din nou, ca un dezavantaj sau ca o lipsă de eficiență a acestui drept, se poate ca lucrurile să se întoarcă împotriva noastră. De ce i se spune Efectul Streisand? E o chestiune nonjuridică, în sensul în care acum câți ani au apărut pe Google Maps niște fotografii cu casa din Malibu a actriței Barbara Streisand. Ea a deschis acțiunea, a încercat să scoată fotografia de acolo, lucru care a făcut presa să preia, vă dați seama, și să înzecească, să înmiiască articole despre casa respectivă, până când a umplut tot internetul și toată lumea acuma știe cum arată casa din Malibu a actriței. De la incidentul acesta a ajuns numele de Efect Streisand, pentru ceva ce încerci să retragi sau să ascunzi, dar efectul este cu totul contrar. O altă chestiune discutabilă în privința dreptului la uitare este dificultatea de aplicare din cauza diferenței totale de percepție între continentul european și cel american. În sensul că, știm foarte bine că Statele Unite pun pe primul loc primul amendament, că poate de asta s-au gândit la el, ca la primul amendament, pun libertatea de exprimare mai presus de viața privată în absolut orice context. Vă dau un exemplu care mi s-a părut extrem de relevant: faptul că acum 2 ani s-au pus unei legi care prevedea ca în presă să nu fie trecut numele victimei unui viol. Inclusiv în această situație s-a pierdut, în sensul în care s-a considerat a fi de interes public chiar și acel element. Întotdeauna libertatea de exprimare va fi văzută, va fi percepută ca fiind peste dreptul la viață privată. A mai fost o cauză interesantă cu două persoane de cetățenie germană care împreună au ucis un actor celebru. Acestea apar pe pagina de Wikipedia a acelui actor. Au cerut să li se retragă numele pentru că sunt deja de vreo 30 de ani de când și-au ispășit pedeapsa și așa mai departe. Nu s-a întâmplat acest lucru pentru același considerent: întotdeauna libertatea de exprimare va fi considerată ca primând. Europenii pun problema cu totul invers, în sensul că avem și cauza recentă, cauza Delfi AS contra Estoniei, în care se discuta dacă un portal de știri răspunde sau nu pentru comentariile negative ale utilizatorilor. Răspunsul a fost da, tocmai pentru că se consideră că internetul, fiind un mijloc absolut de necontrolat, de diseminare, în care poți de la un simplu click să accesezi orice, poate constitui un element în care să se exacerbeze defăimarea sau instigarea chiar la ură. Dacă noi considerăm responsabil chiar și un portal de știri, pe de altă parte avem dincolo de ocean un prim amendament care protejează absolut orice în domeniu libertății de exprimare. Tocmai din cauza acestui clash între libertatea de exprimare așa cum o percepem noi și alții, ajung și la ultima problemă, și anume: a dificultății aplicării extrateritoriale a dreptului la uitare, o problemă ridicată la începutul anului de CNIL, Comisia Națională a Informației și Libertății franceze, adică corespondentul Autorității noastre de Supraveghere a Prelucrării Datelor, care a ridicat următoarea problemă: Google a fost de acord să retragă linkuri înspre anumite articole, dar acest lucru este valabil doar pe extensia, pe domeniul de internet din țara solicitantului sau petentului din cauza respective, ceea ce a dus la situația un pic absurdă să ți se recunoască un drept la viață privată, dar tu, francez fiind, dacă intrai pe internet cu extensia.com regăseai același articol care nu fusese dat jos, care nu era șters, pur și simplu îl puteai accesa doar că pe altă extensie. Ce a făcut CNIL? A cerut Google să aplice decizia pe care odată a câștigat-o, să o aplice pe toate domeniile sale, lucru pe care Google l-a refuzat, ceea ce a făcut această comisie să sancționeze Google cu 100.000 de euro și să ridice problema asta, care în prezent este pe rol la Consiliul de Stat să se decidă odată pentru totdeauna ce se va întâmpla cu această extrateritorialitate: se va aplica sau nu?! Google a refuzat și încă refuză categoric, spunând că prin asta s-ar putea la moment dat ca pe internet să decidă și persoane sau să decidă legistația unor state mai puțin democratice. Lucrul acesta a dus la o luptă absolut interesant de urmărit între Franța, autoritatea franceză, și Google despre ce înseamnă stat democratic și stat nedemocratic, s-a ajuns la tot felul de acuzații, în sensul că francezii le-au răspuns că e foarte bine să încerci să protejezi valori democratice atunci când tu deții monopol asupra internetului și faci pe internet absolut ce dorești. Chestiunea rămâne extrem de interesantă. Ce se va întâmpla cu această aplicare extrateritorială, dacă va fi admisă sau nu? Prima concesie făcută de Google a fost că au ales să meargă pe ideea de geolocalizare, în sensul că au trecut de ideea cu extensia numelui de domeniu doar pe statul respectiv și au ajuns la concluzia că totuși, dacă se accesează dintr-un anumit stat, atunci linkul respectiv va fi protejat, va fi blocat pentru orice încercare de a intra de pe un IP din statul respectiv, inclusiv dacă asta se întâmplă de pe o extensie, de pe un nume de domeniu .com sau ce o fi el. Din nou, nu este o rezolvare definitivă a problemei, nici măcar parțial pentru că putem avea, cum spuneau francezii, cetățeni francezi aflați într-o altă țară care puteau în continuare să acceseze articolul respectiv, ca să nu mai vorbim de faptul că, cu niște instrumente foarte ușoare, de altfel, dacă te pricepi cât de cât la internet, poți să accesezi chiar tu, dacă îți ascunzi IP-ul, poți să accesezi din orice țară respectivul articol. Ce trebuie făcut cu această problemă a extrateritorialității? E o altă chestiune care consider eu că aproape lipsește de eficiență în dreptul la uitare. Închei aici pentru că aproape că s-a terminat timpul și știu că mai avem un vorbitor. Mulțumesc frumos. Vă rog.

Daniel-Mihai Șandru: În cauza Gonzalez, dacă avocatul sau domnul Gonzalez ar fi solicitat instanței spaniole ca să-l anonimizeze n-ar fi fost mult mai puțin cunoscut, dar e istorie acum, nu mai contează…

Participant: Referitor tot la cauza Google Spain și cu domnul care apoi a ajuns iar în instanță și s-a opus invocându-se interesul public, s-a cerut să se realizeze o trimitere preliminară pentru ca Curtea de Justiție să ofere un sens autonom noțiunii de interes public? Mi se pare că în această situație s-ar fi putut oferi o interpretare care totuși să permită să oblige apoi pe instanța națională, să oblige pe Google să anonimizeze. Ce am mai observat, de exemplu la Curtea Europeană a Drepturilor Omului referitor la anonimizare, Curtea Europeană publică comunicarea cauzei. Înainte să dea o hotărâre, cu câțiva ani înainte face un rezumat al situației de fapt, cu nume, prenume și cu tot ce s-a întâmplat la nivel național în legătură cu o persoană care a depus o plângere la CEDO și apoi o comunică Guvernului și pune întrebări. Aceasta este publică pe hudoc. Ce am observat este că din ce în ce mai des se publică inițial cu nume, prenume și apoi întretimp intervine anonimizarea, chiar înainte să se pronunțe hotărârea. Asta mi se pare că arată într-un fel că totuși interesul public, pentru că ajungând o cauză pe rolul CEDO care poate să ajungă la Marea Cameră, adică mi se pare că la fel ca și în cazul Domnului Gonzalez tot s-ar fi putut argumenta: „acum avem interes public și atunci nu mai putem să vă ștergem datele”, dar mie mi se pare că privind la cum procedează CEDO, instanța națională din Spania cu atât mai mult ar fi trebuit să realizeze o trimitere preliminară. Mulțumesc.

Daniel-Mihai Șandru: Adică nu este un motiv să nu luați clienți pentru anonimizare pentru că ar ajunge celebri. Poate să rămână necunoscuți, dar numai că trebuie să fie spus de la bun început, din fața instanței naționale.

Andrei Săvescu: O precizare și o întrebare. O precizare în legătură cu cazul Barbara Streisand, în legătură cu fenomenul, ea a cerut în instanță, a încercat să șteargă fotografiile în anul 2003 după ce nu mai făcuse niciun film de 8 ani și a apărut într-un film de familie, și anume Meet the Fockers în anul 2004, așa încât scandalul a fost în toi în 2003 și în 2004 când a apărut și filmul. Firește că nu există nicio legătură între cele două chestiuni, că doar se întâmpla prima dată ca să fie difuzate fotografii cu casa unei celebrități, iar în următorii ani proprietatea fusese evaluată la 50 de milioane de dolari, foarte mult, dar s-a vândut în 2012 parcă, cu 150 de milioane. Deci e bine, era deja cunoscută cu toate problemele, că apăruseră poze. De asemenea, și vecinii în zonă au crescut prețurile, adică vecinii doamnei. Mă rog, asta era o observație, apropo de jignirile, de faptul că noi suntem deranjați că apare numele nostru. Întrebarea este pentru dumneavoastră în legătură cu echilibrul pe art. 17, echilibrul dintre dreptul la ștergerea datelor și neaplicarea alin. (1) și (2) pentru exercitarea dreptului la liberă exprimare și la informare. Întrebarea este dreptul la informarea cui? Adică alin. (3) de la art. 17 spune că alin. (1) și (2) nu se aplică în măsura în care lucrarea este necesară pentru exercitarea dreptului la liberă exprimare, și asta ar fi o discuție, și la informare. Cine are dreptul să se informeze în legătură cu datele personale, adică ale cuiva? Și apoi o să mai am o întrebare.

Andreea Verteș-Olteanu: Asta cu libertatea de exprimare mi se pare o falsă problemă pentru că…

Andrei Săvescu: Dar nu vă întreb cu asta că aici nu o să terminăm până mâine…vă întreb de dreptul la informare…

Andreea Verteș-Olteanu: Avem excepția aceea pe scopuri jurnalistice. Dacă informarea respectivă presupune un demers jurnalistic, dacă ești tu curios ca cititor de articolul scris de un jurnalist, atunci ar fi exceptat. În rest, dacă nu este făcută pentru o statistică, pentru istorie…

Andrei Săvescu: E vorba de informarea jurnaliștilor, nu de informarea… nu orice persoană ar dori să se informeze, doar jurnaliștii…

Andreea Verteș-Olteanu: Nu, nu ei se informează, ei ne ajută să ne informăm, adică vine dinspre un jurnalist…

Andrei Săvescu: La ce se referă litera A, asta vă întreb? Zice alin. (1) și (2) nu se aplică măsura în care prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare și la informare. Eu vă întreb de dreptul la informare. Cine are dreptul să se informeze? Și prin urmare nu există dreptul persoanei vizate de a obține din partea operatorului ștergerea datelor cu caracter personal care privesc alin. (1)? când nu se aplică acest alineat?

Andreea Verteș-Olteanu: De exemplu electoratul are dreptul la informare. Avem una din cauzele acelea.

Andrei Săvescu: Deci e vorba de dreptul la informare doar în cazuri electorale?

Andreea Verteș-Olteanu: Nu, am dat un exemplu. Când una din cauzele pe care a trimis-o întrebarea preliminară acum CNIL-ul în timpul unei campanii electorale, directoarea de cabinet a unui primar a fost surprinsă în ipostaze problematice. Filmulețul e pe YouTube ca parodie. Între timp ea a renunțat, și-a dat demisia, nu mai este directoare de cabinet, nu a mai vrut nicio funcție, s-a retras din campania electorală și așa mai departe. A cerut înlăturarea filmulețului respectiv, spunând că ea în prezent nu mai prezintă nici un fel de interes public, doar că încă nu am primit răspuns dacă se va da jos respectivul filmuleț sau nu sau dacă rămânem pe ideea că la momentul în care s-a făcut parodia ea era directoare de cabinet undeva la o primărie de comună.

Andrei Săvescu: Ipoteza pe care o am în vedere este următoarea: există o mulțime de persoane ale căror date personale sunt accesibile, în bazele de date ale unor agenți economici care colectează informații din surse publice, adică din Monitorul Oficial partea a IV-a, din buletinul procedurilor de insolvență, din portalul instanțelor, din biroul de credite, din o mulțime de surse publice, de la ANAF, din tabloul avocaților. Sunt niște baze de date organizate de niște firme, informațiile sunt publice, adică sunt accesibile oricui care plătește, fie gratuit, fie care plătește un abonament, iar aceste baze de date pun toate informațiile laolaltă, sigur, pe un preț mai mic informațiilor cum există. În general sunt utilizate pentru verificarea solvabilității unei persoane. Nu neapărat a solvabilității, dar să îți faci o idee despre persoana respectivă. Dacă a fost asociată în trei firme care au fost închise chiar dacă nu s-a angajat răspunderea administratorului, nu o fi fost el administrator, dar a fost asociat majoritar în 3 firme care s-au închis cu trei administratori care, mă rog nu mai au voie să facă business de același fel, de același asociat, ai dori să te informezi, totuși, în legătură cu persoana respectivă, iar dacă îl găsești în persoana cu care vrei să contractezi, în persoana dintre asociați, în persoana juridică, poate ai o anumită reținere. Întrebarea este ar putea o asemenea persoană să spună: Eu nu mai doresc să mai fiu în această bază de date. Dar ce te interesează pe tine, câte firme au falimentat sau de ce? Îmi afectează demnitatea. Este adevărat că am fost condamnat, dar de ce trebuie tu să știi treaba asta? Mă refer la o informare de acest gen.

Andreea Verteș-Olteanu: Ar putea să intre la excepția pe statistică dacă este folosită ca dată statistică.

Andrei Săvescu: Păi nu mă interesează statistic, mă interesează o anumită persoană. Informațiile au fost publice, sunt în baze de date publice.

Andreea Verteș-Olteanu: Iar pe considerentul acesta ar putea să rămână în lista respectivă, să nu fie retras.

Andrei Săvescu: Și din acele surse publice, cel puțin deocamdată rămân acolo, și în portalul instanțelor, și în Monitorul Oficial că doar s-a publicat, și în buletinul procedurilor de insolvență, doar s-au publicat… Chestiunea este că aceste programe, aceste softuri sunt foarte folosite. De ce? Pentru că este mai ușor. Este ca și cum JURIDICE.ro monitorizează 140 de surse de informații. Informațiile sunt publice, pot să te duci în fiecare zi pe 140 de site-uri să vezi despre ce e vorba. Adică aceste softuri se bazează pe o ușurință a utilizatorului de a găsi informațiile laolaltă. Prin urmare, interesul unei persoane ar fi să i se șteargă de acolo, nu o să facă și pe la buletinul procedurilor de insolvență să spună: Domne, de ce mi-ați publicat numele? Vor să fie din acel soft. Nu vreau să spun cum se cheamă un site care oferă așa ceva. Sunt soluții profesionale. Sunt softuri, gen vrăjitorul.eu sau inforisco. Rămâne cum am stabilit cu chestiunea asta. Mult succes. Părerea mea este că dreptul la informare justifică menținerea acestei informații și chiar cred că este o justificare serioasă de a cerceta un fel de profil al persoanei. Asta este părerea mea. Mai am o întrebare. Dacă o persoană a avut o relație comercială cu un magazin online și vine și îți spune: vă rog să îmi ștergeți datele, dar să mi le ștergeți pe toate. Nu doar că nu dorește pe 21 să mai primească nu știu ce. Pe mine să mă ștergeți din baza de date! Ce face operatorul? Cât de adânc îl șterge? Ce părere aveți?

Participant: Păstrează datele pe care ar trebui să le păstreze în temeiul unei obligații legale, adică cele utilizate pentru determinarea veniturilor impozabile de exemplu, și poate avea interesul legitim să păstreze alte date care identifică unic utilizatorul în cazul în care, de exemplu a efectuat o fraudă și nu vrea să îi mai permită utilizarea unei platforme online. De exemplu, a încălcat termenii și condițiile de utilizare, iar utilizatorul cere ștergerea contului, însă operatorul spune: șterg datele, mai puțin emailul, pentru că nu vreau să mai permit crearea unui cont în platforma noastră. Deci are un interes legitim, se schimbă temeiul prelucrării. Nu mai e consimțământul persoanei vizate, ci interesul legitim al operatorului sau obligația legală, dacă e vorba de alte date cum ar fi cele utilizate pentru facturare.

Andrei Săvescu: Și datele referitoare la comportamentul de utilizator?

Participant: Cred că ar fi excesiv să le păstreze.

Andrei Săvescu: Și dacă simțiți că persoana vine și spune: Vreau să îmi ștergeți datele! Simțiți că va urma un litigiu în care vă va pune pe dumneavoastră ca operator să faceți proba, pentru că dumneavoastră aveți sarcina probei, suntem ca în litigiile de muncă în privința probei, dacă simțiți că va urma un litigiu, adică eu dacă aș da un operator în judecată, mai întâi i-aș cere să-mi șteargă datele. După ce îmi șterge datele și nu mai poate face dovada interacțiunii mele cu el, abia apoi l-aș da în judecată și i-aș spune să dovedească el.

Participant: Și va dovedi probabil un interes legitim și/sau o obligație legală după caz.

Andrei Săvescu: Poftim?

Participant: Ați abuzat de dreptul de a șterge.

Andrei Săvescu: Am abuzat de dreptul…? Dar, pardon?… nu trebuie să justific… cer pur și simplu să mi se șteargă, nu trebuie să am vreo justificare să cer ștergerea datelor sau sunteți de părere că trebuie o justificare pentru ștergerea datelor?

Participant: Nu sunt de părere că trebuie o justificare pentru ștergerea datelor în mod general, dar…

Andrei Săvescu: Dar în mod particular…

Participant: Dar dacă ați procedat precum ați spus dumneavoastră s-ar corobora mai multe probe indirecte, indicii certe și temeinice…

Andrei Săvescu: Mi-am exercitat abuziv dreptul de a șterge datele…?

Participant: Faptul că în această situație există prezumția posibilă că v-ați exercitat abuziv, și apoi la dumneavoastră sarcina probei s-ar schimba și ar trebui să dovediți că nu ați solicitat ștergerea datelor cu acest scop. Va trebuie să dovediți că nu aveați intenția să îi dați în judecată. Aici, oricum nu mai îmi dau seama dacă mai vă păstrați interesul de a da în judecată. Așa m-aș gândi eu, dar nu știu. Nu sunt avocat așa că e posibil să greșesc.

Participant: Cum poți să dovedești că nu ai intenție să dai în judecată?

Andrei Săvescu: Nicicum.

Participant: Ar trebui să analizăm puțin jurisprudența, să facem puțin drept comparat referitor la abuzul de drept. Acum este din ce în ce mai des invocat și la  nivelul Uniunii Europene și apoi am vedea cam care ar fi condițiile și am face-o prin analogie, mă gândesc.

Participant: Dacă există un litigiu să îmi pot formula apărările…

Andrei Săvescu: Litera e de la alin. (3) de la art. 17 ne dă o portiță ca să păstrăm informațiile. E adevărat, nici nu îl mai băgăm în seamă, la revedere. Procedura automată, procedura tehnică, în cadrul firmei este când s-a împlinit termenul de prescripție se șterge automat, dar pentru rațiuni de apărare a drepturilor care ar putea fi contestate, după părerea mea s-ar justifica menținerea acestor informații, pe care nici nu le atinge nimeni, care oricum sunt pseuodonimizate. Voiam să mai spun o chestie frumoasă, amuzantă la care îmi place să mă refer, că 25 mai este Ziua Internațională a copiilor dispăruți, că simbolul acestei zile este floarea de nu-mă-uita, Myosotis, și că denumirea provine din limba greacă, înseamnă ureche de șoarece. E o simbolistică interesantă a zilei de 25 mai, apropo de filosofie. Alte întrebări pentru doamna profesor?  Vă rog.

Participant: Mă gândesc la următoarea situație de fapt, am tot vorbit aici de ștergerea de date, dar uităm componența de protecție, arhivare și protecție. Deci, în ceea ce privește obligațiile legale, cum sunt cele de facturare, că la urma urmei pot să fac și scrisă de mână factura și să o scanez, de exemplu. Chestiile astea cred că țin de arhivare și de ceea ce avem obligația să protejăm, să nu utilizăm. La componenta de sancționare sau de plângere, cred că trebuie să vedem și vătămarea: ai utilizat, n-ai utilizat, cum ai protejat, cum nu ai protejat. Și aici trebuie să mergem. Pe undeva cred că trebuie antrenată și răspunderea personală a persoanei respective care dorește să i se șteargă datele. De multe ori online poți singur să te dezabonezi de pe un site și atunci cred că întâi trebuie să vedem dacă ai întreprins și tu toate demersurile care erau legate de posibilitățile tale. Așa încât chestiunea eu o văd mult mai complexă, operatorul fiind răspunzător să îmi protejeze acele date care sunt obligatorii de lege ca să le corecteze.

Andreea Verteș-Olteanu: A devenit celebră utilizarea sau formula dreptul la uitare, dar principala sa materializare este doar dezindexarea, delistarea din motorul de căutare al articolului respectiv, nu dispariția lui cu totul. Adică de cele mai multe ori asta și cere persoana. Nu cere să se șteargă informația, că de asta spuneam că și partea cu libertatea de exprimare nu e o problemă pentru că nu se încalcă nimănui libertatea de exprimare. Informația rămâne acolo, doar că nu mai este asociată de motorul de căutare cu numele persoanei respective.

Participant: Deci ea trebuie arhivată. Nu are cum să fie ștearsă, deci mai mult arhivată și protejată. Eu asta văd că este răspunderea operatorului.

Andrei Săvescu: Aveți dreptate, autoritatea o să facă o individualizare. O să își dea seama cu ușurință dacă s-a făcut cu rea-credință. Însă, se întâmplă ca oamenii să se dezaboneze, că ați dat acest exemplu, și dai click pe dezabonare de 18 ori și nici vorbă. Primești mesaj: Da, v-am dezabonat, și peste două ore vine din nou un email. Sunt situații stresante. Așa dacă te uiți la email zici că operatorul își respectă obligațiile, este lacrimă de curat.

Participant: Intervine vătămarea în cazul acesta.

Andrei Săvescu: Da. Să trecem la următoarea temă că n-am depășit decât cu un sfert de oră acest panel și încă nu am intrat în următoarea temă. Asta ar fi o soluție, o variantă. O altă variantă ar fi să luăm o mică pauză, de cafea, doar de un sfert de oră și apoi domnul prof. Șandru să rămână cu noi în panelul următor. Nu ar fi mai bine așa? Ce părere aveți? Mulțumesc, haideți să luăm o pauză de 10 minute, 15 minute și revenim în panelul 2.

 

Panel 2

Andrei Săvescu: Bine am revenit în panelul 2 care arată altfel decât v-ați așteptat. Arată foarte bine. Mulțumim foarte mult că este astăzi alături de noi doamna doctor Simona Șandru, șefa Biroului Plângeri de la Autoritate. Bună ziua, doamnei doctor Mihaela Mazilu-Babel bine cunoscută dumneavoastră și domnului avocat Bogdan Halcu de la una dintre cele mai prestigioase și cele mai puternice case de avocatură din România, specialist în Data Protection. Vă mulțumim! Și a rămas alături de noi și domnul profesor Mihai Șandru, bineînțeles. Nu am profitat în pauză ca să discutăm cu ce prezentare să începem, cine să înceapă. După mine dacă este de acord, aș începe cu domnul profesor Mihai Șandru.

Mihai Șandru: Mulțumesc foarte mult! Stimați colegi să începem cu un moment de publicitate. Mâine la ora 16.00 la Gaudeamus o să lansăm cartea, la Editura Universitară cu Protecția datelor cu caracter personal din care o să citesc dacă o să găsesc o propoziție: „Problema raportului cost beneficiu în protecția datelor cu caracter personal are o cauză tehnică: dezvoltarea sistemelor informatice.” Spuneam că protecția datelor are legătură cu tehnica și nu cu juridicul din cauza aceasta probabil să juriștii sunt puțin luați de acest regulament și adevărul e că dacă te apuci să citești adormi. Sper să nu fie acesta citatul de pe JURIDICE.ro când îl puneți. Totuși la câte articole are, este un număr dublu de articole de preambul (paragrafe). Ceea ce îi spuneam și Mihaelei puțin mai devreme arată că de fapt e o legislație slabă. Dacă stai să explici atât înseamnă că e ceva care nu funcționează, tot vrem să fundamentăm ceva. Și ca să trec la subiectul meu, la consimțământ. Reglementarea consimțământului de exemplu, este o dezvoltare de exemple, reguli, de principii, nu știi cum o să fie. De aceea ne bazăm mai mult pe trecut. Trebuie să vă spun că în materie de consimțământ, lucrurile nu s-au schimbat foarte mult față de directivă. Și în general regulametul în sine nu aduce foarte multe lucruri. E adevărat că aduce această sperietoare cu amenda, dar nu se vor da amenzi. De ce să se dea amenzi neapărat? Amenzile acestea se duc la bugetul statului? E clar că n-o să fie amenzi. Lucrurile vor fi foarte clare. Ca să trec la situațiile în care nu e nevoie de consimțământ, o să trec puțin prin consimțământ. Am doar doar 25 de slide-uri pentru consimțământ și 25 pentru neconsimțământ. În materie de consimțământ un lucru este clar și un lucru trebuie urmărit: scopul specific. Probabil că aici sunt foarte mulți avocați, pentru cei care consiliați firme care obțin consimțământul pentru un anumit scop trebuie ca în dezvoltarea societăți respective să obțină un al doilea consimțământ pentru alt scop. Pentru newsletter este una, pentru cadrul de fidelitate este cu totul altceva. Înseamnă că ai încălcat regulamentul și deja este foarte complicat. Aceasta trebuie urmărită cu mare atenție. De ce consimțământul este așa? În realitate noi ne exprimăm consimțământul fără să gândim prea mult, mai ales pe internet, click-ul este foarte ușor, nimeni nu citește termeni și condiții, uneori nici nu sunt de găsit. Pot să dau și un exemplu recent că am căutat și nu era. La un magazin are o promoție și trebuie să scriu un cod de pe bilețel pe internet, dar nu găsești Termeni și condiții, nu știu pe unde sunt ascunse, dar eu nu le-am găsit, ceea ce totuși umblu pe internet în fiecare zi. Aceasta e treaba magazinul respectiv. Chiar și acum nu neapărat din 25 mai încolo. Tot la consimțământ mai este o chestiune pe care regulamentul o accentuează și anume, persoana vizată să cunoască operatorul. Persoana vizată are multe note muzicale și operatorul deja este într-o simfonie. Și cunoașterea operatorului poate o să ducă și la consecințe din acestea cum este cauza aceasta. E adevărat că, cauza aceasta este în materie de clauze abuzive, dar care s-ar putea aplica, pentru că în preambul între altele în această Biblie a Protecției Datelor care e preambulul regulamentului spune că directiva 93 ar trebui furnizată în conformitate cu directiva, ar trebui să fie o declarație, ar trebui să avem în vedere directiva referitoare la clauze abuzive. Iar în Cauza Andriciuc care întâmplător provine chiar din România spune că respectivului client în cazul operatorului persoana vizată trebuie să i se explice cine este operatorul, adică pentru ce își dă consimțământul. Trecem la fără consimțământ. Nu știu dacă este prima partitură sau a doua partitură din această serie. Aș spune că fără consimțământ este deasupra. Și deasupra este consimțământul. Dar care sunt situațiile în care persoana vizată nu este necesar acordul persoanei vizate? Contractul. Contractul a fost și înainte, este și acum. Preambulul poate de aceasta este pe larg. Preambulul spune: „Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract.”. Este foarte bine, adică te-ai lămurit concret care e situația cu contractul și de ce este o excepție să nu fie necesar consimțământul. Dacă este cuvântul „contract” este de ajuns. Oricum în sistemul nostru de drept, contractul nu ar trebui să fie scris. În consecință consimțământul poate să fie tacit. Se va vedea în practică cum se va aplica acest contract. Să nu mă întrebați care contracte și de ce unele da și de ce unele nu?! De ce unele ar putea să fie încheiate în formă autentică, ar părea să fie mai fără consimțământ, adică prelucrarea datelor vizate ar trebui să fie mai fără consimțământ că nu s-ar putea încheia contractul dacă n-ai prelucra datele persoanei respective? A doua situație este când există o situație legală. Spre deosebire de directivă unde exista și înainte s-au făcut niște precizări și anume prelucrarea în temeiul obligației legale trebuie să fie prevăzută de dreptul Uniunii Europene sau de dreptul intern care i se aplică operatorului. Aceasta este o mențiune nou introdusă în consecință, în nici un caz regulamentul intern al societății și alte acte cu caracter non-legislativ nu pot fi considerate temeiuri pentru a prelucra date cu caracter personal fără acordul persoanei vizate. E adevărat că aici preambulul este desfășurat, povestește. Interese vitale: aici este introdus ceva nou. Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate și continuarea este sau ale altei persoane vizate. Care este acea persoană fizică? În ce condiții? Doctrina de până acum se exprimă că s-ar referi la minori. Minorii au și un paragraf separat. Dacă acea persoană fizică atașată persoanei vizate trebuie să fie într-o conexiune cu aceasta. Vom vedea cum se va interpreta. Cu toate acestea preambulu face o precizare interesantă că acest punct, pct.3 este rezoluția ultimă la care se putea ajunge dacă nu există un alt temei juridic. Adică interesul vital sau interesul de a salva o viață trebuie să fie ultima instanță. Interesul public a fost și înainte în directivă, este și acum. Prelucrarea este necesară pentru a îndeplinirea unei sarcini care servește un interes public sau care rezultă din exercitarea unei autorități publice cu care este învestit operatorul. Aici este și un articol separat, art. 10 referitor la instanțe judecătorești. Interesul legitim și aici a fost introdus un paragraf referitor la drepturile copilului. Regulamentul folosește termenul „copil” și nu „minor”, pentru că se referă la minorii de până la 13 ani dacă cumva legislația nu prevede altfel. Ce se întâmplă dacă prelucrarea datelor s-a realizat în alt scop? Și datele cu caracter personal trebuie reanalizate, trebuie văzute care este starea lor, dacă pot fi folosite și șamd. Regulamentul spune că chiar dacă nu a existat consimțământul persoanelor respective pune niște condiții cu privire la realizarea în continuare a datelor cu caracter personal, condiții care ar trebui să fie avute în vedere poate și la tranziția de la Directivă la Regulament. Pentru că în temeiul directivei, accentul nu era pus atât pe scop. Pentru fiecare scop în parte să există un consimtământ. Și atunci întrebarea este, bazele de date existente în acest moment pot fi utilizate în continuare din mai sau trebuie obținut din nou consimțământul. Pentru existența consimțământului, pentru scopuri specifice diferite de scopul declarat inițial trebuie să existe și să fie dovedit cosimțământul persoanei respective, evident cu excepțiile dovedite mai devreme, interesul public, contracte și tot ce s-a întâmplat. Regulamentul aici, în art. 8, pune în vedere care sunt criteriile să analizăm această bază de date. Și anume, orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate; contextul în care datele cu caracter personal au fost colectate; natura datelor cu caracter personal; posibile consecințe asupra persoanelor vizate și garanțiile adecvate. Cu privire la prelucrarea de date sensibile există o regulă și opinii politice, confesiuni religioare și mai mult excepții care însă sunt mai degrabă contextuale, de tipul există o asociație și membrii asociației și-au dat acordul pentru a fi prelucrate datele ș.a.m.d., sunt puțin utilizabile în practică la scară largă, ca să spun așa pentru scopuri generale ale unor societăți, ale unor firme pentru dezvoltarea unor afaceri. Sunt mai degrabă excepții contextuale. Vă mulțumesc frumos pentru atenție! Și acum să discutăm.

Andrei Săvescu: Întrebări?

Participant: Deci, la penultimul slide prezentat de dumneavoastră, vorbeați de prelucrarea de date sensibile și enumerați excepții, deci apartenența la sindicate, era ce fel de excepție?

Mihai Șandru: Originea rasială etnică, opinii politice, confesiune, convingere filosofice, apartenența la sindicate, prelucrarea de date genetice, date biometrice pentru indentificarea unică a unei persoane ș.a.m.d. Da, apartenența la un sindicat este considerată o dată sensibilă, dar nu neapărat că nu poate fi prelucrată, numai că persoana respectivă trebuie să-și dea acordul ca să fie prelucrată, adică să apară în lista membrilor de sindicat dacă sunt mai multe sindicate.

Participant: Am înțeles. Deci, un salariat într-o societate în care există sindicat și se plătește cotizația de sindicat pe ștatul de plată, deci nu este ceva cerut de lege pentru toți salariații ca să fie protejat angajatorul. Ce face cu sindicaliștii?

Andrei Săvescu: După părerea mea, sindicatul o să se preocupe. Că sindicatul are interesul să se ia de pe ștat direct ca să nu-i deranjeze pe oameni, că poate vin sau nu să plătească cotizația. Sindicatul se va preocupa să obțină acordul expres al oamenilor ca să se facă reținerea pe ștat. Sindicatul are interesul să facă aceasta, de altfel. Înspre partea angajatorului el nu are nevoie, el renunță, nu-l interesează. Sindicatul este interesat să se ia direct de pe ștat. Angajatorul o să vorbească direct cu șeful de sindicat și o să-i spună dacă îi obține acordul oamenilor lui sau îl scoate.

Mihai Șandru: Faptul că în continuare primește pe niște drepturi patrimoniale, salariatul ar trebui să facă diligențele să nu mai apară, atunci ar fi împotriva intereselor lui mai degrabă. Dreptul acesta este pentru sindicalist.

Simona Șandru: Dacă se poate să vă răspund și eu la această întrebare. Art. 9 din Regulament prevede mai multe situații în care pot fi prelucrate astfel de informații, inclusiv privind apartenența sindicală. Fie dacă este consimțământul salariatului în acest caz care ar fi probabil situația cea mai la îndemână unui angajator, fie la lit. b) unde se menționează că prelucrarea este necesară în scopul îndeplinirii obligațiilor și exercitării specifice ale operatorului, mai ales dacă sunt prevăzute de un acord colectiv de muncă, spre exemplu. În prezent, există bănuiesc un temei în baza căruia aceste drepturi se rețin, cum spuneți dumneavoastră, pe statul de plată, care este temeiul. Este un acord încheiat între angajator și sindicat care este în prezent acest temei.

Andrei Săvescu: Temeiurile sunt contracte, sunt CCM-uri expirate.

Participant: Da, sunt sindicate și nu neapărat contracte colective de muncă la nivel de unitate și neexistând un acord contractual între salariat și sindicatilist care poate să fie afiliat, probabil la început a fost între sindicat și patron să se achite contribuțiile. Sindicatul e una, angajatorul e alta. Din punctul meu de vedere, un angajator, începând cu 26 mai, ar putea să le spună: „ Eu am terminat cu aceasta, nu vă mai rețin cotizațiile de la sindicat, aduceți-mi o hârtie că sunteți de acord…”. Deci, nu este angajatorul obligat să fugă după acordul sindicaliștilor să le facă lor un bine.

Andrei Săvescu: Stimată colegă, ceea ce ne spune doamna Simona Șandru este că ideal ar trebui să fie cu consimțământul salariaților, dar o altă variantă mai ușoară practic este să există un acord colectiv între angajator și sindicat în baza căruia să se facă această chestiune și în această situație nu ar mai fi nevoie de consimțământul fiecărui salariat. Nu-i așa? Am înțeles bine? Pe lit. b)

Simona Șandru: Așa este, dar în plus, Regulamentul sub acest aspect nu vine cu niște noutăți absolute și în prezent Legea nr. 677 prevede o serie de condiții pentru colectarea și prelucrarea acestor informații. Spuneam că și în prezent Legea nr. 677 prevede o serie de condiții pentru prelucrarea acestor tipuri de informații considerată sensibilă. Deci, și în prezent operatorul, respectiv angajatorul ar putea să-și pună problema dacă lucrează în mod legal aceste informații, nu doar după 25 mai 2018.

Participant: Legat de întrebarea anterioară, de bazele de date, suntem în situația în care în momentul acesta avem o bază de date, colectată din diverse surse. După 25 mai, mai putem să folosim datele și respectiva bază de date?

Andrei Săvescu: E tema mea din Panelul 3, sunt curios care o să fie răspunsurile.

Participant: Pentru că sunt pusă în situația: care a fost mai întâi oul sau găina? După 25 mai mi se cere consimțământ ca să folosesc respectiva bază de date. Cum obțin consimțământul? Pot să contactez persoana respectivă să-i solicit consimțământul sau concret, cum aș putea să procedez ca să nu deraiez de la Regulament, dar totuși să-mi protejez și interesele sociale, pentru că va fi aproape imposibil să mai desfășor activitatea dacă nu mai poți să-ți contactezi clienții din baza de date?

Mihai Șandru: Răspunsul unui profesor este că nu mai puteți să folosiți baza de date, pentru că nu mai aveți consimțământul, nu aveți cum să dovediți consimțământul. Dar răspunsul avocatului va fi că sigur dacă îl angajați pe dumnealui va găsi o soluție care să vă protejeze interesele.

Andrei Săvescu:  O să v-o spun public, avem text.

Mihai Șandru: Depinde de interpretarea textului.

Andrei Săvescu: Aceasta este o altă temă. Putem să o discutăm acum, însă o discutăm și eu n-o mai prezint ca să terminăm mai repede. Da, discuția era ce se întâmplă cu bazele de date existente în momentul în care intră în vigoare Regulamentul, având în vedere că și simpla stocare este practic prelucrare în înțelesul Regulamentului și practic potrivit Regumentului ca să fii complaince cu Regulamentul ar trebui ca toți user-ii din baza de date să fie calificați potrivit Regulamentului și totuși sunt firme care au milioane de useri în această situație. Bineînteles că ei trebuie abordați ca să li se obțină consimțământul diferențiat, pentru că trebuie consimțământ pe fiecare categorie de prelucrare. Această activitate poate începe acum și probabil că va continua și după ce Regulamentul va fi aplicat. Temeiul ar fi art. 6 lit. c), operatorul are obligația legală ca să obțină consimțământul pentru fiecare prelucrare pe care prin ipoteză deja o realizează. Prin urmare, se va adresa lor, solicitându-le consimțământul, dar nu sunt ținuți chiar de termen, adică de data de 25 mai. Deci, ei trebuie să facă aceasta și bănuiesc, acum nu știu ce va spune Autoritatea, sigur că va trebuie să fie complaince, dar nu suntem atât de ținuți de data de 25 mai. Așa încât, eu cred că dacă o să vină autoritatea în inspecție.

Mihai Șandru: Aceasta e poate o circumstanță atenuantă care dovedește că s-a pregătit, s-a preparat.

Andrei Săvescu:  Nu, pentru că această prelucrare, contactarea lor pentru a le obține consimțământul diferențiat pe categorii de prelucrare se face în baza art. 6, după părerea mea, lit. c) tocmai în vederea îndeplinirii acestei obligații legale. În mor sigur vor fi operatori cărora nu le va păsa și o să zică un fel de tempus regit actum ceea ce nu se pune, că le-am colectat pe vechi și rămâne cum am stabilit, bineînțeles că nu este așa. Însă vor fi operatori care o să abordeze clienții, sigur că vor fi pierderi de 10-15% din baza de date, unii nu pot fi găsiți, unii n-o să-și dea consimțământul, se întâmplă, dar sunt deja operatori care fac aceasta, nu știu dacă ați primit newsletter, dar sunt deja unii care încearcă să obțină consimțământul, adică să pună în aplicare Regulamentul care încă nu se aplică. Dar sunt curios care este și opinia, dacă poate să se pronunțe doamna Simona Șandru.

Simona Șandru: Nu aș vrea să mă antepronunț, mai ales că la un moment dat e posibil să venim într-un control și la domnul Săvescu. Acum strict legat de aplicarea Regulamentului: într-adevăr, el este în vigoare din 25 mai 2016 și are acest termen de punere în aplicare de doi ani până la 25 mai 2018 tocmai în ideea de a da posibilitatea tuturor operatorilor în principal și autorităților de supraveghere, să ia toate măsurile necesare în vedere, astfel încât în momentul 25 mai să-i găsească pregătiți pentru respectarea de la momentul zero a acelui Regulament. Adică nu se pune problema ca abia după 25 mai să fie puse bazele de date în acord cu prevederea Regulamentului, ci până la acel moment. Și atunci fiecare operator trebuie să-și ia de pe acum toate măsurile necesare, astfel încât, spre exemplu acolo unde nu are un alt temei legal de prelucrare decât consimțământul să verifice dacă acel consimțământ care a fost preluat la un moment dat mai corespunde sau nu condițiilor prevăzute de Regulament, respectiv art. 7 din Regulament în condiții foarte stricte pentru preluarea consimțământului.

Participant: Aceasta aplicându-se pentru operatorii care își desfășoară acum activitatea, dar pentru cei care, spre exemplu se înființeză pe 24 mai.

Simona Șandru: Cu atât mai mult trebuie să aibă în vedere respectarea Regulamentului.

Participant: Eu aș interpreta… Așa m-am dus pe Regulament, pentru că la dreptul de Informare a persoanei vizate, o să observați că avem două articole care la prima vedere par copy paste unul după altul. Și anume recoltarea informațiilor direct de la persoana vizată și imediat după ele, preluarea datelor de la o terță persoană. Diferența dintre acestea două este momentul în care trebuie să-l informezi, dacă la primul articol, îmi scapă numărul…

Simona Șandru: Art. 13 și art. 14.

Participant: Dacă la primul articol trebuie să-l informez exact la momentul când preiau acele date, la al doilea articol la momentul preluării datelor nu mai apare. Sunt cele trei cuvinte diferențe despre care vorbeam mai devreme. Și eu practic pe acea interpretare am mers, în sensul că, aș putea să-i dau un e-mail introductiv în care să spun: „Bună ziua! Am datele dumneavoastră din locația respectivă… Doresc să le prelucrez în scopurile… .” Deci, să intru practic pe formularul de preluare a consimțământului. Chiar, preluând practic o bază de date deja existentă și după 25 mai. Pentru că aceasta este problema clienților mei la momentul acesta. Îmi înființez o societate după 25 mai, mai folosesc baze de date? Mai pot să le mai folosesc? Dacă da, în ce condiții? Pentru că de exemplu în Marea Britanie este legalizat comerțul acesta cu baze de date. Și acolo există deja reglementări specifice pentru modalitatea de folosire a bazelor de date după 25 mai.

Andrei Săvescu: Și ați văzut ce a pățit Marea Britanie?

Participant: Și am văzut ce a pățit Marea Britanie… . Da! Sau ce o să pățească Marea Britanie. Mulțumesc mult!

Simona Șandru: Ideea este să nu confundăm totuși obligația de obținere a consimțământului în conformitate cu prevederile Regulamentului cu obligația de respectare a dreptului de informare. Sunt două obligații distincte. Iar în ce privește art. 14, respectiv informarea persoanelor vizate în cazul în care datele au fost colectate indirect din alte surse, există la alin. (3) exact termenele în care acest operator trebuie să furnizeze informațiile persoanei vizate, deci sunt și aici reglementate temele destul de precise în care trebuie să fie furnizate aceaste informații. Și aceste articole vin cu o serie de informații în plus față de Legea nr. 677 pe care operatorul trebuie să le aducă la cunoștința persoanei vizate și dacă nu o face până la 25 mai, după cu siguranță va trebui să o facă, dacă dorește să continue să prelucreze datele acelor persoane care există în baza lor de date.

Bogdan Halcu: Dacă-mi dați voie aș avea și eu o completare aici și doamna Simona Șandru a spus lucrul acestea, dar poate trebuie un pic accentuat. Dânsa spunea că trebuie să încerci să revizitezi problema consimțământului și eventual să încerci să-l reobții în măsura în care nu ai un alt temei pentru prelucrare. Și aceasta este o verificare pe care ar trebui să și-o facă fiecare operator, pentru că dacă până acum  ori de câte ori aveai de-a face cu o prelucrare de date cu caracter personal, încercai să te bazezi pe consimțământ, că era simplu, omul bifa, consimtământul nu era supus acelorași rigori pe care o prevede acum GDPR-ul, nu era la fel de volatil în sensul că retragerea nu trebuie să se facă la fel ușor cum se face darea consimțământului. Atunci trebuie să te asiguri, poate că acolo unde te bazai pe consimțământ, totuși puteai să te bazezi și pe altceva. Puteai să te bazezi pe o obligație contractuală, poate pe o obligație legală, poate aveai chiar un interes legitim. Și atunci cred că primul pas al analizei este: „OK, am această bază de date, prelucrez pe bază de consimțământ. Hai să vedem dacă pot să mă încadrez în altă ipoteză de la art. 6.” Și dacă răspunsul este nu, atunci încercăm să reparăm consimțământul care nu mai îndeplinește standardele din Regulament.

Mihai Șandru: Așa, neavând un interes în cauză, aș spune că cea mai sigură soluție este reobținerea consimțământului, cum spunea și domnul profesor Săvescu. E adevărat că pot fi pierderi, dar e mai sigur să ai consimțământul obținut din nou sau consimțământul dovedit, cât să stai să calculezi articole și să vezi dacă nu te încadrezi la excepții. E adevărat că din acest motiv există avocați și e foarte bine, dumneavoastră știți mai bine, dar cea mai sigură soluție cred că aceasta este. Reobținerea este o soluție, poate cea mai dură totuși din întreg Regulamentul. Deși nu e o noutate. Consimțământul nu este ceva nou, numai că până acum a fost puțin mai laxă cu privire la consimțământ, pentru că partea de final a directivei nu era aceeași cu partea de final a Regulamentului în materie de sancțiuni. De fapt, aici se schimbă lucrurile. În rest, era consimțământ și înainte, doar că amenda era de 5000-10000 de lei.

Andrei Săvescu: Oricum chestiunea consimțământului clar poate face obiectul unei conferințe distincte. E o problemă aproape fără sfârșit. Aș zice nu că dacă nu mai sunt întrebări pe această temă, aș vrea totuși să nu vă întreb dacă mai aveți întrebări, ci să trecem la tema următoare, care este și pentru mine…

Participant: E cea mai importantă…

Andrei Săvescu:  Fiind cea mai importantă eu zic să o abandonăm. Să trecem la altă temă din conferință și care ar fi legată de consimțământ. Aș da cuvântul doamnei Mihaela Mazilu-Babel, dacă mă întrebați pe mine, că este pe Dreptul Uniunii Europene, cum ar fi… . Am remarcat în atelierele pe care le-am susținut tendința operatorilor de a ieși de sub Regulament. Cum să facă să nu li se aplice? Și mi se pare că tema pregătită de doamna Mihaela Mazilu-Babel ar putea să fie de ajutor cel puțin după titlu în acest sens, dar nu aș paria, dar să vedem.

Mihaela Mazilu-Babel: Mulțumesc pentru această schimbare de program! Și eu sper să ofer soluții la care nici nu m-am gândit când am pregătit tema, pentru că juriștii sunt foarte creativi. Eu am fost prezentă chiar la Curtea de Justitție, când a fost această cauză SGS Belgium, acum mulți ani. Doar în audiență, bineînțeles. Și chiar am fost uimită de faptul că se punea problema în cauza SGS Belgium, a fost vorba despre o amendă aplicată de o autoritate națională de vreo 4-5 mil. de euro, în temeiul direct al unor dispoziții dintr-un Regulament, bineînțeles diferit de acesta, dar tot Regulament, fără să existe vreo dispoziție la nivel național care să confere competența autorității respective să aplice această amendă de vreo 4-5 mil. de euro. Și s-a pus problema, instanța de trimitere a dorit să afle dacă o autoritate națională putea doar în temeiul unor dispoziții din Regulament să aplice această amendă de 5 mil. de euro. Și astfel a întrebat dacă are efect direct. Dacă câteva articole dintr-un Regulament au efect direct. Noi știm din facultate, de la Teoria Generală a Dreptului Uniunii Europene că Regulamentele au aplicare imediată, de regulă nu ai nevoie de transpunere. Avem transpunere doar pentru directive, la regulamente mai avem implementare și că în mod normal produc efect direct orizontal și vertical, bineînțeles. Și totuși, instanța de trimitere a adresat această întrebare, aceasta subliniază și avocatul general în concluzii. Întrebarea era astfel: Dacă dispozițiile (erau două articole dintr-un Regulament)  au efect direct în ordinea juridică națională a statelor membre în lipsa oricărei marje de apreciere din partea statelor membre respective și astfel împlinit fără a fi necesar ca autoritățile naționale să adopte măsuri de punere în aplicare. Cum arătau aceste art. 5 și art. 7? Cred că ar putea să vi se pare că art. 5 ar putea să semene cu alte din Regulamentul General, privind Protecția Datelor, privea sancțiunile administrative și ce fel de sancțiuni administrative puteau să fie aplicate. Iar art. 5 alin. (2) conferea practic competența autorităților naționale și legiuitorului național să stabilească și sancțiuni pentru alte abateri, în afară de cele care erau prevăzute în Regulament. Și art. 7 din acel Regulament stabilea practic de cine se aplicau respectivele sancțiuni. În Belgia nu s-au adoptat alte dispoziții pe lângă cele din Regulament, pe lângă cele din art. 5 și art. 7 și Autoritatea Națională a aplicat această amendă de câteva milioane de euro fără să mai existe niciun alt temei juridic la nivel național. Și atunci avocatului SGS Belgium a considerat că respectivele articole din Regulament nu îndeplinesc condițiile efectului direct și atunci amenda ar trebui să fie nulă. Practic, pentru că nu exista un temei juridic care să ofere posibilitatea de a aplica respectiva amendă la nivel național. Ce a spus avocatul general, a arătat că… și aici este foarte interesant. Guvernul a spus că are efect direct, pentru că altfel Guvernul răspundea că statul în mod normal trebuia să adopte măsuri de implemetare și nu le-a adoptat și afecta interesul financiar al Uniunii Europene, pentru că respectivul Regulament era adoptat pentru a proteja interesul financiar al Uniunii Europene. Și practic, tu ca stat, nu ai asigurat măsuri de implementare atunci automat nu poți să garantezi faptul că persoanele care nu-și plătesc contribuțiile financiare care merg la Uniunea Europeană nu vor fi amendate. Și atunci Guvernul, bineînțeles că a avut interesul să susțină că respectivele alineate și articole din Regulament au efect direct, dar ce este interesant e că și Comisia a considerat că acele dispoziții din Regulament au efect direct. Vom vedea că, Curtea de Justiție a zis invers. Deci, practic s-au câștigat câteva milioane bune de euro. Dar vom vedea la sfârșit. Deci, avocatul general a arătat ce s-a susținut în legătură cu acest efect direct. Că Curtea mai fusese întrebată în legătură cu acest Regulament, dar  referitor la aplicabilitate directă. Deci, pe de o parte avem aplicabilitate directă și pe de altă parte acum avem efect direct. Și există vreo diferență? Nu există? Care e diferența? Aici a fost o diferență de câteva milioane de euro. Deci, avocatul general a trimis la o hotărâre anterioară a Curții prin care se arătase bineînțeles că datorită naturilor juridice și funcțiilor lor în sistemul izvoarelor de drept, regulametele au un „efect direct”, după cum puteți să vedeți în ordinea juridică națională, fără să mai existe nevoie să se adopteze măsuri naționale, inclusiv de către autoritățile specifice sau de către legiuitorul național. Desigur, unele dispoziții dintr-un Regulament a subliniat avocatul general, deci înainte să se pronunțe Curtea am avut concluziile avocatului general: „Necesită pentru aplicare adoptarea de măsuri de punere în aplicare de către statele membre.” Și atunci când avocatul general se uită la aceste articole din Regulamentul respectiv și se uită dacă îndeplinesc criteriile de claritate și lipsă de ambiguitate, acesta arată că dispozițiile din respectivul Regulament sunt evident incomplete. Și mai subliniază faptul că nu se realizează o minimă individualizare standardizată. Deci avem minimă și individualizare, și standardizare. Prin urmare, arată că Regulamentul respectiv, adică dispozițiile respective conțineau dispoziții supletive. Exista verbul „pot” și aceste sancțiuni „pot” fi aplicate anumitor persoane. Și au mai arătat că  respectivele articole nu distingeau între abaterile săvârșite cu intenție și cele săvârșite din neglijență. Printr-o simplă interpretare literală, avocatul general a arătat că uitându-ne la respectivele dispoziții din Regulament avem o îndoială. În sensul că nu este sigur din cauza verbului „poate” de exemplu, pentru că nu se realizează o individualizare standardizată minimă dacă ele îndeplinesc condițiile de a fi suficient de clare pentru a reprezenta un temei juridic autonom pentru aplicarea unor sancțiuni. Cum a fost în cazul acesta de câteva milioane de euro. Ce a spus Curtea de Justiție? Mai întâi a reformulat întrebarea, pentru că avea puțină problemă cu noțiunea de „efect direct” și „regulamente”, deși implicit era vorba de efect direct. Prin intermediul primei întrebări, Curtea de Justiție spune că instanța de trimitere solicită în realitate, adică Curtea de Justiție știa de fapt ce dorea să afle instanța de trimitere, deși ea susținuse în alte cuvinte, să se stabilească dacă art. 5 și 7 se aplică astfel încât sancțiunile administrative în sensul acestui regulament pot fi aplicate numai în temeiul acestor două dispoziții. Deci dacă puteți să observați, au exclus puțin noțiunea aceasta de efect direct. Și a trimis Curtea mai întâi la jurisprudența Handlbauer și spune că regulamentele au, în general, un efect imediat în ordinele juridice naționale, fără a fi necesar ca autoritățile naționale să adopte măsuri de aplicare și este această jurisprudență cunoscută a Curții. Deci și fără să fie necesar ca legiuitorul Uniunii să adopte reglementări suplimentare. Dar avem jurisprudența-excepție, jurisprudența Monte Arcosu, care a fost înainte de aderarea României la Uniunea Europeană și atunci nu o avem tradusă în limba română, din păcate. Și Curtea spune (dar avem Cauza SGS Belgium tradusă în limba română) că totuși, anumite dispoziții ale unui regulament pot necesita pentru punerea lor în aplicare, adoptarea unor măsuri de aplicare, fie de către statele membre, fie chiar de către legiuitorul Uniunii. Mie în cazul acestui Regulament general, mie mi se pare că și statele membre vor trebui să adopte măsuri de reglementare, dar și legiuitorul Uniunii, vom vedea mai târziu. Și Curtea practic reia același raționament pe care vi l-am arătat că l-ar fi făcut avocatul general mult mai detaliat și s-a uitat, a văzut că art. 5 se limita să prevadă că acestea „pot” conduce la anumite sancțiuni administrative, deci nu e obligatoriu, era la latitudinea autorității naționale, dar Autoritatea Națională trebuia să adopte măsuri de implementare care să detalieze când va putea și când nu va putea. Și că sancțiunile respective „pot” fi aplicate, deci nu e obligatoriu să fie aplicate. Și ce spune Curtea, că trebuie să se constate că aceste dispoziții se limitează să stabilească normele generale de control și de sancționare, deci avem și numele Regulamentului, Regulamentul General, ceea ce deja ne atrage atenția, cu scopul de a proteja interesele financiare ale Uniunii. Și în special, aceste dispoziții nu stabilesc tocmai care dintre sancțiunile enumerate  la art. 5 ar trebui aplicate în cazul unei abateri și nici categoria de operator care trebuie să facă obiectul unei asemenea sancțiuni într-o astfel de situație specifică. Deci, Curtea a arătat apoi că practic regulamentul respectiv prevedea faptul că urma să se adopte și alte măsuri atât de legiuitorul Uniunii de a prevedea reglementările sectoriale și ca atare trebuiau stabilite și procedurile privind aplicarea controalelor, precum și a măsurilor și a sancțiunilor administrative de către statele membre. Și răspunsul a fost că trebuie să se răspundă la prima întrebare, cea referitoare la efectul direct al respectivelor articole din regulament că nu se aplică articolele respective astfel încât o sancțiune administrativă să poată fi aplicată numai în temeiul acestor dispoziții. Care a fost continuarea jurisprudenței SGS Belgium? Am verificat pe portalul Curții de Justiție și au mai urmat vreo trei hotărâri în care Curtea de Justiție a trimis la Cauza SGS Belgium. Practic, Cauza SGS Belgium împreună cu celelate două cauze: regula generală și excepția pe care le-am arătat, reprezintă cauza de început la care Curtea va trimite ori de câte ori va verifica dacă dispozițiile unui regulament sunt suficiente să constituie temeiul unic pentru a se adopta o sancțiune. Deci, a mai fost hotărârea C-42/10 care la fel Curtea arată că în general, sintagma care ne duce automat că pe cale de excepție nu putem să avem un efect imediat în cazul dispozițiilor dintr-un regulament, iar noi dacă e posibil ca pe viitor dacă nu ne convin anumite dispoziții dintr-un regulament să putem chiar să susținem că nu au un efect imediat, adică este nevoie de măsuri de implementare care dacă nu s-au adoptat, nu ne obligă cu nimic doar dispozițiile respectivului articol din regulament. Totuși anumite dispoziții ale unui regulament și aici este foarte interesantă această cauză, chiar completată printr-o decizie de executare. Adică aici se mai dăduse și o decizie de executare la nivelul Uniunii Europene și Curtea de Justiție a considerat că tot nu era suficient, tot statele membre ar mai fi trebuit să mai adopte încă ceva în normele de detaliere, care dacă nu au fost adoptate, atunci dispozițiile din regulament și inclusiv completate, nu puteau fi opozabile persoanelor obligate practic prin respectivele dispoziții. Și a urmat apoi o a doua hotărâre în care avem aici o autoritate națională care seamănă puțin, dar vine dintr-un alt domeniu cu autoritatea noastră națională de protecția datelor. Se numea Kommission, care se ocupa practic de protecția consumatorilor de călători din transportul feroviar. Și care a considerat că avea competențe limitate, dar totuși considera că pentru a da eficiența anumitor dispoziții din regulamentul care proteja drepturile călătorilor, acest Regulament nr. 1371/2007 poate să sancționeze operatorii de transport feroviar, chiar dacă la nivel național nu exista o dispoziție specifică care să ofere o anumită competență. Bineînțeles, operatorul sancționat nu a fost de acord, a zis că nu poate fi sancționat doar în baza regulamentului, trebuie să detaliez la nivel național și nu există o competență limitată. Ești proactiv, dorești să protejezi, dar să vedem dacă poți să faci asta și dacă dreptul Uniunii îți conferă această posibilitate. Raționamentul începe cu SGS Belgium, deci cauza de început. Și Curtea arată că acea dispoziție din Regulament prevedea că organismul național responsabil pentru executarea acestui regulament trebuie să adopte măsurile necesare pentru a asigura respectarea drepturilor călătorilor. Cu toate aceastea trebuie să se constate că măsurile concrete pe care organismul respectiv le poate adopta nu au fost prevăzute de legiuitorul Uniunii. Și printr-o analiză a textului art. 30 alin. (1) din Regulament, Curtea a declarat că se impune adoptarea de către statele membre a unor măsuri de punere în executare, dar aceasta nu a fost evident până atunci, a trebuit să intervină Curtea prin paragraful 62 să spună acest lucru. În consecință, contrar celor susținute de Kommission, adică de Autoritatea Națională care aplicase sancțiunea, articolul respectiv din Regulament nu poate fi interpretat, în sensul că reprezintă un temei juridic care autorizează organismele naționale să impună întreprinderilor feroviare anumite obligații, conținut concret al clauzelor lor contractuale referitoare la condițiile privind despăgubirea. Au mai fost apoi niște concluzii pe care le-am găsit în care se rezumă foarte eficient ce reprezintă Hotărârea SGS Belgium și consecințele ei. Aceasta poate fi folosită drept suplimentar pentru susținerea anumitor idei. Și ultima hotărâre, aceasta constituie o sancțiune administrativă și practic cei care sancționau au încercat să avanseze, faptul că fiind vorba de o sancțiune administrativă și nu una penală, atunci claritatea normelor în temeiul căruia noi aplicăm sancțiunea nu trebuie să fie atât de ridicată ca în cazul sancțiunilor penale. Ei încercând totuși să evite și pe de altă parte discuția că de multe ori sancțiunile administrative cu un cuantum foarte ridicat au de fapt caracter penal oricum. Dar ce a vrut Curtea aici să evidențieze prin această hotărâre este că din această perspectivă pentru dreptul Uniunii nici nu contează dacă ai sancțiune strict administrativă sau penală, adică nu mai trebuie să te mai deranjezi să afli ce caracter are pentru că inclusiv pentru sancțiunile administrative, temeiul juridic în baza căruia se aplică respectivele sancțiuni trebuie să fie unul clar și neambiguu. Și dacă nu este clar și neambiguu nu putem să aplicăm sancțiuni numai în temeiul acelor dispoziții din Regulament. De acum înainte discuțiile ar trebui să se comporte și în legătură cu cât de clară este norma din Regulamentul în temeiul căruia ați dori să mă sancționați. Eu pot să spun că nu este suficient de clară.

Andrei Săvescu: Adevărul este că eu nu înțeleg nimic din Regulament. E o confuzie totală.

Mihaela Mazilu-Babel: Eu cred că trebuie să fie anulat Regulamentul. Lipsă de claritate. Dar aceasta este o altă apărare, nu m-am pregătit pentru aceasta. Deci care sunt conluziile jurisprudenței SGS Belgium? Este că nu orice dispoziție din Regulament îndeplinește condițiile efectului direct/imediat/sancționator doar, pentru că, Curtea de Justiție fuge de noțiunea aceasta de „efect direct” în cazul regulamentelor, le aplică în cazul directivelor, dar de fapt pe fond e același lucru, același test se aplică, claritate și lipsă de ambiguitate. Uneori, va fi nevoie de intervenția normativă a statelor membre, măsuri de implementare. Acum și măsurile de implementare trebuie la rândul lor să fie clare și neambiguue, deci aceasta ar fi o a doua etapă în care se poate un operator apăra. Și dacă nu există astfel de măsuri, sancțiunile aplicate doar în temeiul Regulamentului Uniunii, consider eu, deci se poate considera ca fiind sancțiuni nule, deoarece lipsește un temei juridic. Care este jurisprudența CJUE pentru analiza strict caracterul clar și neambiguu a unei norme care aplică o sancțiune sunt aceste trei cauze și bineînțeles SGS Belgium? L-am extras doar ca să vă ajute ca atunci când vă susțineți apărarea să nu fie o apărare ambiguuă. M-am uitat strict la Regulamentul General privind Protecția Datelor. Eu recunosc că nu sunt specializat în Protecția Datelor, dar cunoscând Teoria Generală de Dreptul Uniunii, am zis să văd cum se aplică acest regulament, ce știu eu în mod general. Și primul lucru am observat că se numește Regulamentul General, chiar din titlu, ceea ce m-am dus cu gândul la jurisprudența SGS Belgium. Că există numeroase fraze în care se poate detecta vorbul „a putea”, deci practic avem un caracter supletiv al respectivelor dispoziții din Regulament. Fiind un caracter supletiv, înseamnă că va fi nevoie să adoptăm măsuri de implementare și că, conține multe trimiteri la legislația statelor membre care au rămas să fie adoptate. Exemple non-exhaustive, deci am selectat câteva, de exemplu art. 57 Sarcini. În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxă rezonabilă sau poate refuza să le trateze. Și atunci am considerat că până când autoritatea respectivă nu a stabilit măsuri clare prin care va preciza criteriile în care va percepe o taxă și care va fi ca acel cuantum sau în care va refuza, pentru securitatea juridică, am considerat că autoritatea nu va avea drept doar în temeiul art. 57 alin. (4) din Regulament să-mi aplice o taxă. Adică eu voi putea contesta acea taxă. Am considerat eu, acum trebuie bineînțeles testat în instanță sau la Curtea de Justiție, că până la urmă Curtea ne va spune cât de clar este acest art. 57 alin. (4). Art. 58 la Competențe, referitoare la Autoritatea de Supraveghere și aici am observat o competență de a impune o limitare temporară sau definitivă asupra prelucrării. Definitiv știu ce înseamnă, dar o limitare temporală nu știu cât timp. Ce înseamnă o limitare temporală? Și atunci m-am gândit că automat va trebui să se adopte măsuri naționale clare și la fel în care să se aplice și situațiile în care aplică o limitare de 5 zile, de 10 zile, 20 de zile și să se diferențieze. Și că are și compentența de a impune amenzi administrative în completarea sau în locul măsurilor. Practic, va trebui automat să se legifereze dacă e vorba de completare. Și suspendarea fluxurilor, e posibil să existe mai multe dispoziții din Regulament. Eu nu am găsit noțiunea de „timp”. Ce înseamnă suspendare? Cât timp? E posibil să existe la nivel Uniunii Europene, însă eu nu cunosc, nu am găsit. Și art. 58, acesta prevede clar în situația acasta că fiecare stat membru prevede, pe cale legislativă, deci aici clar avem o obligație și art. 58 nu produce efect direct. Și m-am uitat și la Dreptul la despăgubiri și răspundere, că la acțiunile acestea în exercitarea de recuperea se introduc la instanțele competente în temeiul statului membru. Și aici mie mi se pare problematic, ar trebui clar art. 88 alin. (6) nu este suficient de clar, dar mă gândesc dacă statele membre nu vor adopta norme suficient de clare, îmi va afecta dreptul la despăgubirea care este conferintă de articolul din Regulament. Și atunci vor putea da naștere la acțiuni în răspunderea statului pentru lipsă de implementare. Condițiile generale, la fel art. 83, mie mi s-a părut acest alin. (8) că se încadrează în jurisprudența SGS Belgium și sancțiunile. Și apoi ne întreabă, care dispoziție poate fi considerată ca având efect direct? Am zis că găsesc o dispoziție care să fie în sens contrar și mi s-a părut că ar putea să fie, dar nu sunt convinsă art. 66, referitor la Procedura de urgență, care prevede o perioadă de valabilitate determinată care să nu depășească trei luni. Deci avem un termen maxim de trei luni, deși până la urmă perioada de valabilitate este determinată, înseamnă că conferă o marjă autorităților naționale și am reușit să detectez o jurisprudență care ar susține totuși că ar avea acest art. 66 efect direct, analoagă bineînțeles. Aceasta Handlbauer când a fost tot vorba de o perioadă de limită, care nu e tradusă în limba română, pentru că a fost anterioară aderării României la Uniunea Europeană, dar produce efecte juridice. Și acum, preliminar concluziilor, totuși vreau să mai atrag atenția și asupra altei jurisprudențe de sens contrat, care poate să fie folosită de avocații părții adverse. Statele membre pe lângă faptul că au obligația de a adopta măsuri de implementare, în cazul în care dispozițiile dintr-un Regulament nu sunt suficient de clare sau ambiguue, statele mai au și o obligație opusă acesteia – de a nu legifera dublu. Dar nu adopta măsuri la nivel național care să reprezinte oglinda dispozițiilor din Regulament. Pentru că se consideră, că de regulă, aceasta înseamnă indirect o inducere în eroare și poate să afecteze eficiența regulamentului dacă ar exista această dublă legiferare. Pe de o parte trebuie să adopți măsuri de implementare dacă vrei să ai eficiență maximă și să poți să pui sancțiuni eficiente, dar pe de altă parte trebuie să ai grijă ca și acele măsuri de implementare să nu meargă dincolo din necesitatea de a conferi efect direct, pentru că atunci riști să ți se impute de comisie sau de partea adversă ca acele măsuri nu sunt conforme cu Dreptul Uniunii. Atunci, pentru că nu ai respectat această obligație, că statele membre pot adopta norme, atât timp cât nu disimulează natura comunitară a normelor specifică faptului că se exercită o putere discrețională și rămânând totodată în limitele dispozițiilor sale. Aceasta tot Curtea de Justiție va putea să spună. Am ales să închei cu o doctrină, apărută recent în 2017, de Dreptul Uniunii, generală. În care se arată practic că la început pentru Curtea de Justiție aplicare imediată și efect direct în cazul regulamentelor era același lucru, dar apoi lucrurile s-au schimbat și de fapt efectul direct pevede justițiabilitatea respectivei prevederi din Regulament, adică dacă poate să fie aplicată de Autoritatea Națională în mod direct. Ai aplicare imediată, dar efect direct ai doar în situațiile în care se îndeplinesc… Nu ne încadrăm la Cauza SGS Belgium. Inițial poate pare ciudat că nu toate dispozițiile unui regulament au efect direct, pentru că noi știm că în general au, totuși există această excepție și există și doctrină care o confirmă. Nu sunt eu singura care am avut această idee. Mulțumesc pentru atenție!

Participant: Din câte știu eu, în septembrie, a fost publicat un Proiect de Lege a modificării Legii nr. 102/2005 cu privire la autorizarea și funcționarea Autorității de supraveghere. Și conține un capitol întreg cu privire la sancțiuni, deci o implemetare ar exista. Nu știu care este exact stadiul acestui proiect de lege.

Simona Șandru: A fost publicat într-adevăr pe site-ul Ministerul Afacerilor Interne acesta fiind coordonatorul grupului interministerial care se ocupă tocmai de adoptarea măsurilor legislative interne necesare pentru implementarea anumitor prevederi din Regulament. A existat și o dezbatere publică în luna octombrie pe marginea acestui proiect de lege, solicitate de anumite ONG-uri. În prezent, din câte știu se află în procedura de avizare interinstiuțională acest Proiect de Lege.

Participant: Și mai există o altă lege, un alt Proiect de Lege?

Simona Șandru: Se intenționează să mai existe un Proiect de Lege care să transpună norme de drept material din Regulament. Aceasta de care spuneați dumneavoastră se referă strict la autoritate, la organizarea și funcționarea autorității, iar celălalt Proiect de Lege va transpune, va implementa de fapt aceste prevederi care sunt lăsate la latitudinea statelor membre, cum spunea și colega noastră. Acela este într-un stadiu mai puțin avansat, deocamdată la nivelul acestui grup interministerial se discută. Când se va definitiva va fi și acela bineînțeles, va face obiectul unei proceduri de transparență decizională.

Participant: Vă mulțumesc!

Andrei Săvescu: Bine, dacă nu mai avem întrebări, să trecem la tema următoare. Și o invit pe doamna doctor Simona Șandru să ne vorbească despre notificarea incidentelor de securitate potrivit Regulamentului, iar apoi domnul avocat Bogdan Hîlcu.

Simona Șandru: Subiectul meu este puțin mai tehnic. Am ales să vorbesc notificarea incidentelor de securitate, dar face parte dintre elementele de noutate pe care le aduce acest regulament european. Dacă e să ne referim la cadrul legal actual, după cum sunt convinsă că știți deja, există prevederi specifice obligațiilor de respectare a securității și confidențialității prelucrării datelor personale care revin atât operatorilor, cât și persoanelor împuternicite, în art. 19 și art. 20 din Legea nr. 677/2001. Dar aceste prevederi nu se referă în nici un caz în obligația de notificare către autoritate sau către persoanele vizate unor eventuale breșe de securitate. În schimb la nivel sectorial există o obligație prevăzută din Legea nr. 506/2004 modificată în 2012 ca urmare a transpunerii unor directive europene. Ca atare, în prezent autoritatea primește astfel de modificări de breșă de securitate din partea furnizorilor de servicii de comunicații electronice. Notificări care respectă un format standart stabilit în baza unui Regulament al Comisiei Europene 611/2013. Pe site-ul nostru puteți să consultați acest regulament, un ghid de formulare a acestor breșe și formularul respectiv. După cum spuneam, totuși după 25 mai 2018 această obligație de notificare a incidentelor de securitate o să se extindă la nivelul tuturor operatorilor de date personale, indiferent de domeniul lor de activitate. Această obligație decurge de fapt din două principii în special, prevăzute de art. 5 din Regulament: principiul integrității și confidențialității prelucrărilor de date și principiul responsabilității. Acest principiu al responsabilității este de fapt un fel de fir roșu care se regăsește în toate prevederile din Regulament, având în vedere că se schimbă puțin și sarcina probei, deși pe de o parte aparent sarcina administrativă a operatorului a scăzut, pe de altă parte Regulamentul vine cu o serie de noi obligații în sarcina acestora tocmai pentru a-i responsabiliza, a-i face să conștietizeze mai bine necesitatea de respectare a acestor norme. Principiul responsabilității prevăzut de acest Regulament de fapt se referă la obligația operatorului de a respecta toate celelalte principii prevăzute de acest articol și în același timp să poate să demonstreze că le respectă. Dacă e să ne referim strict la problema care ține de securitatea prelucrărilor de date, acestea se regăsesc în Secțiunea a 2-a din Cap. IV al Regulamentului, respectiv art. 32 și 34, iar obligația de notificare a incidentelor în art. 33 și 34. De fapt, ce înseamnă acest incident de securitate sau breșă? Este definită „încălcarea securității datelor” la art. 4 din Regulament și ce înseamnă de fapt? Orice distrugere pierdere sau acces neautorizat sau ilegal la datele personale de orice natură ar fi această încălcare. Dacă pentru operatorii de date personale, această obligație de notificare decurge din acest principiu general al responsabilității ce le revin, pe de altă parte îi corespunde aceste obligații un drept în beneficiul persoanelor vizate ale căror date personale sunt prelucrate și pot să fie afectate ca urmare a producerii unor astfel de incidente. Regula pe care o prevede Noul Regulament constă în obligația de notificare în toate cazurile. Desigur că există și o anumită excepție pe care o să le detaliez în continuare. De principiu, această excepție se referă la situația în care încălcarea care s-a produs într-un anumit caz, nu ar prezenta riscuri pentru drepturile și libertățile persoanelor vizate. Într-un ghid emis de Grupul de Lucru 29 destul de recent și care este public se precizeză că aceste drepturi și libertăți sunt cele din Carta Drepturile fundamentale ale Uniunii Europene. Având în vedere că vorbim aici de un act legisativ al Uniunii Europene, ca atare operatorii de date personale trebuie să urmărească nu doar cadrul legislativ intern al statului unde sunt spre exemplu stabiliți, dar și regimul juridic al acestor drepturi și libertăți fundamentale care este asigurat, garantat prin intermediul Cartei Drepturile fundamentale ale Uniunii Europene. În momentul în care s-a produs o astfel de încălcare, de securitate, deja ne aflăm într-o fază foarte înaintată în care operatorul trebuie să ia măsuri de a avea o reacție într-un timp cât mai rapid posibil în timp util petru a diminua efectele negative care s-ar putea produce astfel. Dar ca să nu se ajungă la faza aceasta de combatere a consecințelor nedorite ale unei încălcări, este foarte importantă luarea unei măsuri de prevenire care de obicei constau în aceste măsuri tehnice și organizatorice pe care orice operator de date și persoană împuternicită chiar și în prezent trebuie să le implementeze atunci când prelucrează date personale. Acum, ordinul 52/2002 probabil vă este cunoscut, emis de Avocatul Poporului în perioada în care este îndeplinea atribuții de Autoritate de Supraveghere din România, prevede o serie de cerințe de securitate la un nivel minim pe care orice operator de date ar trebui să le implementeze și care să fie prevăzute în acest document mai general, denumit Politică de Securitate. Este bine de reținut faptul că fiecare operator și persoană împuternicită trebuie să-și aprecieze propria activitatate, specificul prelucrării datelor, categorii de persoane vizate, astfel că acest ordin 52 nu poate să fie o garanție absolută, dacă este implementat fără să existe niște măsuri suplimentare existente la nivelul acestor entități. Această Politică de Securitate va trebui să includă și un astfel de plan de răspuns la incidente de securitate care va ajuta foarte mult pe operator să poată să ia măsuri imediate, pe de o parte notificara acestei bleșe de securitate, pe de altă parte de a diminua efectele negative produse. De fapt, aceste măsuri pe care trebuie să le adopte operatorul și persoana împuternicită sunt de fapt expres prevăzute în Regulament, cum spuneam în art. 32 și 34. Aici sunt enumerate aceste prevederi plecând de la momentul în care se concepte un sistem de prelucrare sau se inteționează utilizarea unui anumite aplicații destinate pentru prelucrarea datelor personale de la acest moment operatorii și persoanele împuternicite trebuie să ia măsuri de respectare a reducerii la minim a datelor care vor fi prelucrate, introducerea unore tehnici de pseudonimizare a acestor informații, de criptare a lor, mai ales dacă vorbim despre transmisii în cadrul unei rețele, toate celelalte măsuri pe care aici le-am enumerat. De asemenea foarte importante sunt măsurile organizatorice. De fiecare dată subliniez acest aspect că indiferent de măsurile tehnice pe care nu operator le-ar putea adopta, va exista o verigă slabă, respectiv factorul uman. Ca atare, importanță deosebită trebuie acordată instruirii persoanelor autorizate să prelucreze date, indiferent că vorbim despre angajații operatorului sau angajații persoanelor împuternicite să prelucreze date pentru operator. Această instruire trebuie să fie un proces permanent, tocmai ca și pentru această persoană să poată să detecteze atunci când are loc un astfel de incident și să cunoască toate etapele de raportare atât în intern, în cadrul entității unde își desfășoară activitatea, cât și extern dacă vorbim despre obligația de notificare. La acest punct de asemenea este importantă selectarea atentă a persoanelor împutericite, atunci când un operator decide să-și analizeze spre exemplu, serviciile de prelucrare a datelor sau pentru anumite activități de prelucrare a datelor, dorește să apeleze la persoane împuternicite pe care să le desemneze să prelucreze date pe seama operatorului. Trebuie să prezinte suficiente garanții această persoană împuternicită că ele au dovedit și înainte că implementează măsuri suficiente pentru protecția datelor personale, că nu au fost implicate spre exemplu în producerea anterioară a unor breșe de securitate. Să le dea instrucțiuni suficiente și clare pentru prelucrarea datelor personale și să urmărească respectarea acestor instrucțiuni pe întreg parcursul proceselor de prelucrare a date personale. Apoi, un alt element pe care l-am menționat aici se referă la documentare. Cu alte cuvinte, indiferent dacă în final se va ajunge la decizia că este obligatorie sau nu notificarea acestei breșe de securitate, toate încălcările indiferent de natura acestora trebuie să fie documentate, să existe un registru intern la nivelul operatorului și al persoanelor împuternicite în care să fie menționate toate aceste încălcări de date. Registrul care poate fi pus la dispoziția autorității de supraveghere în momentul în care, spre exemplu se efectuează un control. De altfel, descrierea acestor măsuri de securitate este unul dintre elementele evidențelor pe care trebuie să le țină operatorul în baza art. 30. Pe lângă toate celelalte aspecte privind tipurile de activități de prelucrare, categoria de prelucrare, scopurile prelucrării ș.a.m.d., toate celelalte elemente care țin de inventarierea activității de prelucrare a datelor personale. De asemenea, dacă se pune problema unor riscuri speciale asupra vieții private în cazul folosirii unor tehnologii automate și Regulamentul sau o decizie a unei autorități de supraveghere impune efectuarea unei evaluări de impact în prealabil începerii prelucrării de date personale, atunci și în cadrul acestui studiu de impact asupra vieții private trebuie să existe o componentă suficient de bine descrisă legată de aceste măsuri de securitate care trebuie adoptate pentru a gestiona cât mai bine aceste riscuri potențiale. Sunt trei tipuri de încălcări a securității datelor personale care pot să intervină și care pot să afecteze datele personale, vorbim aici despre încălcării ale confidențialității, disponibilității sau integrității datelor personale. În cadrul acestui proces de evaluare internă pe care va trebui să o facă operatorul sau persoana împuternicită este important că poate să depisteze că într-adevăr a avut loc un incident de securitate pentru a putea ulterior să ajung la concluzia că este sau nu necesară o notificare. Poate, spre exemplu în cazul unei încălcări a disponibilității datelor ar fi poate mai puțin evident că s-a produs o astfel de încălcare, situație în care poate să afle la moment ulterior, dacă este sesizat de una dintre pesoanele afectate sau de un terț la care au ajuns din greșeală, în mod accidental anumite date personale. Acela fiind momentul în care operatorul a luat la cunoștință de producerea unei astfel de încălcări, moment la care încep să curgă și termenele prevăzute de regulament pentru notificare. Aceste ar fi etapele pe care ar trebui să le urmeze, ca recomandare bineînțeles, un operator de date pentru a trage sau nu o concluzie legată de această notificare. Pe de o parte cum spuneam este important să identifice că a avut loc o încălcare de date personale, apoi să evalueze riscurile la care sunt implicate de această încălcare. Dacă ele există, în primul rând, aceste riscuri și dacă sunt de un grad mai ridicat sau mai puțin ridicat. În cazul în care se ajunge la concluzia că este un grad mai ridicat pentru persoanele care au fost afectate, în afară de obligația de a notifica autoritatea va surveni inclusiv obligația de a notifica persoanele vizate. După ce se face această evaluare a riscurilor și se a ajunge la această concluzie că există un grad de risc, se va trece la ultima etapă cea a notificării incidentelor de securitate. În ceea ce privește termenele care trebuie să fie respectate, Regulamentul spune că atunci când există acest risc identificat, operatorul trebuie să notifice fără întârziere în justificată, dar nu mai mult de 72 de ore, dacă este posibil. Dacă nu este posibilă respectarea acestui termen va trebui să aducă argumente de ce a fost depășit acest termen. Aici vreau să mai menționez un aspect. Atunci când se utilizează serviciile unei persoanne împuternicite și are loc incidentul la nivelul persoanei împuternicite, este obligată ca de îndată fără întârziere justificată să notifice acest incident către operator, indiferent dacă el consideră acel împuternicit că prezintă sau nu un risc, pentru că această evaluare o face operatorul și nu persoana împuternicită. În final, răspunderea rămâne tot în sarcina operatorului de date personale, acesta fiind de fapt cel care trebuie să notifice autoritatea și persoanele afectate. Momentul acesta, termenul de 72 de ore curge de la data de la care a luat cunoștință de încălcare. Deci nu de la producerea efectivă a incidentului, ci de la care a putut într-adevăr să ia cunoștință, fie urmare a unei constatări interne proprii, fie urmare a acestei sesizări din partea unei persoane împuternicite sau poate au apărut informații în mass-media legate de producerea unui astfel de incident. Spre exemplu cum a fost zilele trecute, poate ați auzit, de bazele de date de la Uber care au fost afectate, urmare a unui atac de tip hacking. Cum spuneam, această evaluare a riscului este foarte importantă, pentru că în funcție de ea se ia decizia de a notifica doar autoritatea sau/și persoanele care au fost afectate. Dar în afară de această obligație de a notifica, operatorul trebuie să implementeze de îndată măsuri prin care să fie remediată această încălcare și să diminueze dacă este cazul consecințele produse. O să vedeți că și în cazul notificării autorității și în cazul notificării persoanei vizate, conținutul notificării este aproximativ identic. Acesta este un conținut minim pe care îl prevede Regulamentul de la natura datelor afectate, datele de contact ale responsabilului, posibile consecințe și măsuri de remediere. Conținutul notificării putând să fie ulterior detaliat prin intermediul unor acte de implementare ale regulamentului din partea ComisieI Europene, fie prin actele autorităților de supraveghere. Dacă urmare a acestei evaluări a riscului se ajunge la concluzia că de fapt încălcarea nu prezintă niciun risc pentru persoanele respective, nu este obligatorie notificarea incidentului. Și aici sunt o serie de exemple, dacă datele au fost criptate și chiar decriptarea nu este publică și a rămas intactă, nu este obligatorie notificarea. Dar de la caz la caz se va aprecia bineînțeles și în funcție de spre exemplu natura datelor afectate sau dacă este sau nu un backup la informațiile care au fost dezvăluite sau pierdute în mod accidental. În cazul în care riscul este ridicat, adică s-ar putea produce anumite prejudicii materiale sau morale de genul pierderi financiare, furt de identitate, atingeri aduse reputației persoanelor, operatorii vor trebui ca fără întârzieri nejustificare să notifice această breșă de securitate și către persoanele vizate. Iar aici sunt o serie de criterii în funcție de care se va aprecia dacă acest risc este unul ridicat. Cum spuneam conținutul notificării este relativ identic. În plus regulamentul impune în sarcina operatorilor să comunice către persoanele vizate notificarea ce a avut loc într-un limbaj cât mai accesibil pentru orice persoană medie și să fie o notificare directă în mod individual prin orice canal de comunicare disponibil, bineînțeles și în funcție de datele de contact pe care le are la dispoziție și acest operator. Singura excepție care este admisă de regulament de referă la situația în care notificara fiecărei persoane în parte în mod individual ar presupune eforturi disproporționate, dar și în această situație va fi necesară măcar o informare publică fie pe site-ul operatorului, fie pe mass-media. De la această notificare a persoanelor vizate există și o serie de excepții, de exemplu atunci când au fost luate anterior producerii incidentului măsuri de securitate care să împiedice identificarea acestor persoane. Au fost făcute date impersonale neinterigibile, cum se poate întâmplat în cazul utilizării ca mijloc tehnic al criptării. De asemenea, cum spunea dacă această notificare implică eforturi disproporționate nu este necesară o informare individuală. În ce privește obligațiile autorității în acest proces de notificare, după ce se notifică, în România bineînțeles că suntem noi, dar notificarea se poate face de fapt la Autoritatea Lider, potrivit Regulamentului. Deci putem să fim noi sau oricare autoritate din Uniunea Europeană în funcție de sediul principal al operatorului de principiu. Autoritatea va oferi consultanță operatorului în vederea remedierii acestor încălcări și ar putea să solicite în plus, că notifice persoanelor vizate dacă operatorul nu a făcut-o deja. De asemenea partea aceasta care vă interesează în mod special cu aplicara de sancțiuni este posibilă și aplicarea acestor amenzi administrative pentru încălcările prevederilor din Regulament care se referă la nerespectarea măsurilor de securitate. Amenzile pot să ajungă până la 10 mln de euro sau până la 2% din cifra de afaceri globală. Dar disting de această relație între operator și autoritate și ce măsuri de constrângere are la dispoziție autoritatea. E bine de reținut că totuși persoana vizată se poate adresa în mod direct instanței de judecată și să solicite despăgubiri de la operator în cazul în care au suferit o serie de prejudicii, caz în care e posibil ca și aceste despăgubiri să ajungă la un cuantum considerabil. Sau bineînțeles se poate adresa cu plângeri autorității care va efectua un control și vom vedea care vor fi constatările. În afară de acest ghid de care vă spuneam, el este în prezent în stadiu de proiect de la Grupul de lucru art. 29, îl puteți găsi pe site-ul Comisiei Europene la secțiunea dedicată activității acestui grup de lucru. Pentru cei care nu cunoașteți, Grupul de lucru este format din reprezentanții tuturor autorităților de supraveghere din statele membre ale Uniunii Europene. Și are în prezent un rol consultativ pentru Comisia Europeană. După 25 mai 2018 acest grup de lucru se va transforma în acel comitent european pentru protecția datelor personale. Un organism cu personalitate juridică al Uniunii Europene, componența sa fiind aceeași din reprezentații autorităților pentru protecția datelor personale și un reprezentat al Comisiei Europene, iar în situația în care se aplică prevederi care se referă și la prelucrări de date efectuate de instituțiile europene. Un membru al acetui comitent este și reprezentatul Autorității Europene pentru Protecția datelor personale, European Data Protection Supervisor. De asemenea, un alt instrumente util pe care îl puteți utiliza este o recomandare emisă în 2013 de ENISA, tot o agenție a Uniunii Europene care vă poate ghida pentru evalua gradul de risc în cazul fiecărui tip de încălcare a securității datelor personale. Independent de această notificare a breșelor de securitate care va fi obligatorie după 25 mai 2018 este posibil ca operatorii de date să mai aibă și alte tipuri de obligații de notificare a unor breșe, spre exemplu în baza Directive NIS care urmează să fie transpunsă și în România. În cazul producerii unui incident de securitate cibernetică, în acea situație probabil că autoritatea către care se va face această notificare va fi CERT.RO. Vă mulțumesc pentru atenție și vă sunt la dispoziție pentru orice întrebări vreți să mi le adresați.

Andrei Săvescu: Mulțumim! Întrebări?

Participant: Mulțumesc frumos! Aș dori, dacă se poate, să rămân la noțiunea de „notificare” și să întorc un pic la art. 13 și 14. Pentru că vorbeam cu practicieni care au aflat de abrogarea Legii 677, spunând că acum nu ne mai notificăm și gâdndul meu a fost că notifici pe toată lumea, nu doar autoritatea, pentru că dacă ne uităm la redactarea acestuia, ambelor articole sunt practic informațiile pe care în mare le conținea acea notificare către autoritate, chiar și înainte de eliminarea cauzelor de marketing ș.a.m.d. Și a vrea să înțelegem puțin acest articol neclar. De exemplu art. 13 alin (1) lit. b) apare trecerea datelor de contact a responsabilului cu protecția datelor după caz. Care ar fi după caz? Că toată lumea trebuie să aibă un responsabil conform ghidului, deci trebuie să trecem datele de contact. Apoi, momentul în care trebuie să-i informez și aici aș avea nevoie de opinia dumneavoastră. În on-line mă gândesc că o să fie o informare prealabilă de câteva pagini unde o să trecem toate literele art. 13, iar la contracte mă gândesc că iarăși o să-i punem în față o hârtie, eventual să semneze că a văzut hârtia și înainte să semneze contractul. Spunem că cu două minute de a semna contractul iau la cunoștință toate informațiile și sunt de acord și am înțeles, iar cu cei care deja au prelucrat și au transmis datele unor terți ajungem la art. 14 și ce facem? O să apară din spate toate persoanele cărora le-am dat datele? Să zicem, că am de la 2 la 14 terți, pe care i-am adus la cunoștință la momentul prelucrării datelor și acum intră Regulamentul și o să intre toți cei 13 parteneri ai mei și fiecare o să dea această informare clientului meu cu toate informațiile din art. 14. Aici aș vrea. În practică ce o să fie pe aplicarea acestor articole? Mulțumesc.

Simona Șandru: Mai întâi aș vrea să fac o serie de precizări pentru a clarifica întrebările dumneavoastră, pentru că ele se referă la chestiuni distincte. În primul rând, notificarea prelucării datelor cu caracter personal care a existat până acum ca obligație a operatorilor de date în relația cu autoritatea, adică transmiterea acelui formular de notificare. Se face on-line în prezent. Această obligație nu va mai exista. După 25 mai 2018, în nici un caz. Este clar prevăzut în Regulament, nici un operator de date nu va mai trebui să notifice la autoritate. Prezentarea mea de mai devreme s-a ferit la notificarea breșelor de securitate care este un alt aspect, adică numai în situația în care se produce un incident, o încălcare securității datelor personale și ați văzut în ce situații, în ce condiții trebuie notificată această breșă de securitate. Nu este un subtitut al actualei prelucrări de date personale. Doar pentru că se numește notificare nu au nici un conținut identic, nu este obligație echivalentă. Chiar nu au nici un fel de legătură. Iar art. 13 și 14 se referă la obligația de informare a persoanei vizate ale cărei date personale sunt prelucrate de către operator. Art. 13 se referă la situația în care le colectează direct de la persoana vizată. Spre exemplu în baza unui contract sau dacă aveți comerț on-line și colectați prin intermediul unui formular on-line direct de la persoanele vizate datele acesteia. Iar a doua situație, art. 14 se referă la situațiile în care datele se colectează din alte surse, adică fie de la un alt operator de date personale de la care le primiți, fie din surse publice. Cum spunea domnul Săvescu, acele liste care sunt colecții de informații obținute din diverse surse publice discutabilă legalitatea acelor baze de date. Nu are legătură cu notificarea nici a prelucrării, nici a breșei de securitate. Aceste două sunt obligații care incubă operatorilor de date indiferent că va trebui sau nu să notifice vreo breșă de securitate. N-au nici o legătură cu breșele de securitate. Și în prezent există aceste obligații, Legea 677, e vorba de art. 12 care în două aliniate prevede cam același lucru. Cu ce vine acum nou Regulamentul? Sunt o serie de informații suplimentare care într-adevăr nu se regăseau până acum în Legea 677. Spre exemplu dacă vorbim despre perioada de stocare a datelor sau aceste noi drepturi care nu existau până acum, dreptul la rectificare sau dreptul la portabilitatea datelor, sau la restricționarea datelor. Aceste drepturi nu existau și într-adevăr ele nu au fost până acum niciodată aduse la cunoștința persoanelor vizate. Deci, după 25 mai 2018 dacă veți prelucra date personale fie că le-ați colectat anterior, fie că le colectați după aceste date va trebui într-un fel sau altul să asigurați această informare completă a persoanelor vizate. Pe de altă parte, există și o serie de excepții de la aceste obligații. La art. 13 în general se referă doar la situația în care persoana vizată deja cunoaște aceste informații, le posedă, dar trebuie să dovediți acest lucru că într-adevăr persoana vizată le posedă. Iar art. 14 se referă la alin (5) la aceste exceptări. Dacă puteți sau nu să identificați o situație în care vă încadrați în aceste excepții puteți bineînțeles s-o utilizați în favoarea dumneavoastră. Ce mai voiam să vă mai spun legat de aplicarea acestor articole cu obligația de informare persoanelor vizate, în prezent la Grupul de lucru art. 29 sunt în pregătire mai mute ghiduri, în afară de cele care au fost deja publicate, printre care și un ghid referitor la transparență. Adică exact această obligație de informare care pleacă de la art. 12 principal din Regulament. Și continuă cu cele două art. 13 și 14, nu știu dacă am răspuns exact la ce ați întrebat.

Participant: Și întrebarea privind aplicarea art. 14, de către operatorii care preiau indirect aceste date dacă într-adevăr fiecare are această obligație. Va primi în fapt în hârtie, în e-mail?

Simona Șandru: Într-o modalitate care poate fi dovedită, demonstrată de către operatorul de date.

Participant: De către toți, să înțeleg?

Simona Șandru: Da. Cu exceptările pe care le-am amintit.

Participant: Aș vrea să insist și eu puțin pe acest subiect al drepturilor la informare. Din concluziile dumneavoastră de până acum înțeleg că indiferent de momentul colectării, indiferent de temeiul colectării, indiferent dacă ne-am conectat direct sau indirect, începând cu 25 există obligație de informare și trebuiie s-o executăm efectiv cu excepțiile menționate de dumneavoastră deja. Puteți confirma acest lucru?

Simona Șandru: Da, pot confirma că la acest lucru m-am referit.

Participant: Mulțumesc!

Andrei Săvescu: Alte întrebări?

Participant: Tot continuând punctul respectiv, această informare trebuie să conțină și o infirmare a acestor persoane informate?

Simona Șandru: Regulamentul nu impune așa ceva, dar cum spunea operatorul trebuie să fie capabil să dovedească atât în fața persoanei vizate, cât și eventual în fața autorităților de supraveghere. Într-adevăr a realizat această informare.

Participant: Și dreptul de a computeriza datele în continuare chiar dacă nu există datele pot fi folosite în continuare? Din perspectiva scopului de marketing. Deci, informez consumatorii, nu primesc de la toți un răspuns, o confirmare, întrebări… Activitatea dacă ți-o poți continua pe aceeași bază de date pe care tu deja o deții.

Simona Șandru: A fost o întrebare mai înainte puțin care avea cam același obiect.

Participant: Mă scuzați.

Simona Șandru: Aici ne referim la temeiul legal al prelucrării, consimțământul. Dacă acest consimțământ după 25 mai 2018 corespunde condițiilor prevăzute de Regulament pentru a putea în continuare să prelucrați datele în baza consimțământului puteți să le prelucrați în continuare. Dacă nu identificați un alt temei legal al prelucrării datelor în afară de consimțământ. Dacă spre exemplu vorbiți de marketing direct și marketing prin mijloace electronice spre exemplu, prin e-mail sau prin sms se pune și problema aplicării Legii 506/2004 sau a viitorului Regulament care se preconizează să fie și în acest domeniu unde este într-adevăr obligatoriu consimțământul persoanei respective, adică a destinatarului comunicării comerciale. Acolo chiar trebuie să dovediți că ați obținut un consimțământ valabil.

Participant: Aș avea o întrebare legată de răspunderea unui operator, pentru că este clar că atunci când vorbim despre relația operator-împuternicit există obligația operatorului de a selecta acest împuternicit și de a vedea măsurile necesare și de a se asigura că datele sunt procesate conform legii și inclusiv în condiții de securitate. Întrebarea mea este dacă s-ar putea reține o culpă și automat în sarcina unui operator atunci când are relații comerciale cu un alt operator? Deci dacă vorbim de relația operator-operator, de exemplu atunci când eu transfer datele unui alt operator care sigur și el răspunde, dar știu sigur că el nu îndeplinește aceste condiții. De exemplu de transmis date cu caracter personal pe o adresă de yahoo sau pe gmail care știm că nu sunt criptate.

Simona Șandru: Fiecare operator de date răspunde pentru operațiunea de prelucrare pe care le efectuează. Transmiterea datelor este o operațiune de prelucrare de date. Ca orice altă operațiune de prelucrare de date trebuie să respecte principiile din regulament și celelate condiții de legitimitate a prelucrării datelor.

Participant: Deci înțeleg că da.

Simona Șandru: Dacă se întâmplă ce spuneți dumneavoastră că trimiteți către un operator care cunoașteți că nu va prelucra în mod egal acele informații, bineînțeles că vă răspundeți și dumneavoastră, pentru operațiunea de transmitere către acel operator de date.

Bogdan Halcu: Apropo de yahoo și google, nu fiți sigură că… Probabil că unii operatori oferă criptarea, alții nu. Dar să nu fiți sigură că în toate cazurile o căsuță de e-mail oferită de unul dintre furnizorii mari este mai îuțin sigură decât o căsuță de e-mail pe care v-o alăcați dumneavoastră pe un domeniu pe care vi-l înregistrați în condițiile în care stocați sau aveți server-ul de e-mail în curtea dumneavoastră. Un exemplu poate să fie următorul, pe o astfel de adresă probabil nu aveți o dublă autentificare. Gmail de exemplu vă dă posibilitatea ca setându-vă nivelul de securitate, să vă setați dubla autentificare. Astfel după ce ați introdus username-ul și parola vă vine un mesaj automat pe telefon și numai atunci se poate face logarea. Iată o măsură de securitate care s-ar putea ca mulți dintre noi la e-mail-urile de birou să nu avem.

Participant: Pentru că răspunsul era afirmativ, următoarea întrebare era: Ce-ar putea face acest operator să-și limiteze răspunderea? Evident că nu o să meargă să facă la celălalt operator să vadă în ce măsură îndeplinește condițiile legale. Ar fi suficientă o clauză în contract prin care acesta să garanteze că îndeplinește aceste condiții, mă refer din perspectiva unei inspecții, fără să vă antepronunțați, desigur.

Simona Șandru: În general, cauzele contractuale nu pot oferi răspundere. Dacă noi în cadrul unui control am constatat că putea și nu au luat suficiente măsuri încât să evite o prelucrare nelegală de date. Puteți între dumneavoastră, ulterior să vă întoarceți împotriva celuilalt operator, spre exemplu în baza cauzelor din contract, dar în relația cu autoritatea fiecare operator va răspunde în dreptul lui pentru încălcarea regulamentului de la anul.

Bogdan Halcu: Depinde de la caz la caz. Mă gândeam acum dacă am un transfer de date și vine un delegat al destinatarului și îi dau datele pe un momory stick mic pe care el și-l pune în buzunar și când a urcat în mașină la pierdut. Cred că este și vina mea într-o situație de genul acesta.

Participant: În măsura în care, să zicem, că l-am criptat. Atunci da, cu siguranță.

Bogdan Halcu: Evident.

Participant: Aș mai fi avut eu o întrebare legată de actuala decizie a autorității cu privire la prelucrarea CNP-ului și necesitatea obținerii consimțământului expres sau excepția cu prevederea legală, atunci când va fi cu adevărat necesat. Ce se va întâmpla cu această decizie după intrarea în vigoarea Regulamentului? Va mai fi ea aplicabilă? Preconizați că se va modica ceva? Apropo de necesitatea obținerii consimțământului expres pentru prelucrarea CNP-ului.

Simona Șandru: Regulamentul permite statelor membre să adopte norme de implementare a regulamentului cu privire la prelucrarea acestui identificator național, să-i spunem așa. În fiecare stat diferă, multe state nici nu au așa ceva. Nu știu să vă spun care va fi în final soluția legislativă pe care o va alege statul român în această privință. Dacă nu vor exista astfel de măsuri legislative speciale se vor aplica în mod direct prevederile Regulamentului și cu privire la prelucrarea codului numeric personal, sub toate aspectele. În privința deciziilor autorității acestea oricum vor deveni inaplicabile după data de 25 mai 2018 fiind majoritatea adoptate în baza prevederilor Legii nr. 677 care va fi în mod expres abrogată.

Participant: Pentru că sunt multe situații în momentul de față când se solicită consimțământ expres pentru prelucrarea CNP-ului doar prin simplul fapt că există această decizie care te obligă…

Simona Șandru: Îmi cer scuze că trebuie să vă contrazic. Nu decizia obligă. Legea obligă. Decizia nu a venit decât să reglementeze suplimentar o serie de garanții pe care trebuie să le îndeplinească operatorul de date atunci când solicită avizul autorității pentru a prelucra codul numeric personal dacă nu poate să invoce ca temei al prelucrării CNP-ului nici consimțământul liber exprimate al persoanei vizate, nici o prevedere legală care să-l oblige să prelucreze acest CNP. Decizia nu vine în nici un caz să adauge decizii suplimentare. Aceste condiții sunt prevăzute în art. 8 în prezent din Legea nr. 677, respectiv consimțământul persoanei vizate, o dispoziție legală sau în alte situații potrivit dispoziției autorității. Dacă se aduc suficiente garanții pentru protejarea drepturilor. Se poate pune problema prelucrării excesive a codului numeric personal, adică să fie situații în care să nu fie necesară de fapt colectarea acestei date și cu toate aceastea operatorul, pentru că așa îl impune vreun program de autoritate sau un soft sau o interpretare greșită a unor norme legale, să colecteze fără să aibă de fapt nevoie de acest CNP. Dar o simplă clauză de genul persoana este de acord cu prelucrarea codului numeric personal printre multe alte clauze dintr-un contract, nu reprezintă un consimțământ valabil exprimat, liber exprimat care să fie considerat un temei potricit art. 8 din Legea nr. 677/2001. Iar pentru viitor se aplică aceeași regulă de care am amintit mai devreme, dacă într-adevăr vreți să utilizați consimțământul ca temei legal și nu aveți un alt temei legal, la fel trebuie să verificați dacă se îndelinesc condițiile din art. 7 în privința consimțământului ca să puteți în continuare să prelucrați aceste date.

Participant: Mă gândeam la situația în care poți avea temei legal pentru colectare într-un anumit scop și ulterior să vrei să folosești acele date în alte scopuri, caz în care automat va trebui să obții consimțământ expres încă din momentul colectării, pentru că știi că vei folosi acele date. Adică nu te mai acopei prevederea legală și pentru celelalte scopuri.

Simona Șandru: Atunci trebuie din nou să obțineți consimțământul valabil exprimat al persoanei vizate.

Participant: Cu menționarea explicită și a tuturor scopurilor și a celorlalte elemnte din art. 13. Mai aveam o întrebare legat de art. 14. Nu-mi este foarte clar în ce măsură absolut orice dată a unui terț care intră în posesia mea ar intra sub incidența art. 14. Dau un exemplu elementar. Primesc un proces verbal, am denumirea persoanei care a încheiat respectivul proces verbal, reprezentatul… Ar însemna că trebuie să notific respectiva persoană cu privire la faptul că a intrat în posesia acelor date și să-l informez cu privire la toate elementele din art. 14? Sau aș face în măsura în care efectiv mă folosesc de acea dată personală și fac ceva concret cu ea? Nu doar o dețin.

Simona Șandru: În cazul concret pe care l-ați dat ca exemplu cu procesele verbale, ați putea dacă este cazul, să vă prevalați de această excepție de la alin (5) lit. c) din art. 14, în care se menționează că obținerea sau divulgarea datelor este prevăzută în mod expres de Dreptul Uniunii sau de Dreptul Intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele ligitime ale persoanei vizate. Dacă dumneavoastră ați intrat în posesia acelui proces verbal urmare a aplicării unei dispoziții legale care vă obligă să primiți acel proces verbal care conține implicit date personale ați putea să intrați sub incidența acestei excepții.

Participant: Și dacă eu îl solicit nu ca urmare a unei obligații legale, ci pentru a putea satisface interesul persoanei vizate, de exemplu.

Simona Șandru: Adică?

Participant: Se acordă o despăgubire și cer ca documentație justificativă anumite tipuri de documente.

Simona Șandru: Ca să vă dau un răspuns absolut la modul general este atunci când nu vă puteți încadra pe o excepție trebuie să informați persoana vizată.

Participant: Mă gândeam la excepția cu disproporționalitatea.

Simona Șandru: Aici trebuie să demonstrați că într-adevăr vor implica eforturi disproporționate ca să informați persoanele vizate, adică la modul că aveți un milion de procese verbale.

Participant: Da, exact.

Simona Șandru: Dar dacă este vorba despre unu-două procese verbale care conțin date persoanale nu văd în ce constră efortul disproporționat.

Participant: Mă refer la specificul activității respectivului operator dacă prin specificul el constant intră în posesia unor date, unor terți și nu le procesează.

Simona Șandru: Care este cadrul legale care îi permite lui să intre în posesia acestor procese verbale, în primul rând.

Participant: Mulțumesc frumos!

Simona Șandru: Cu plăcere!

Andrei Săvescu: Alte întrebări?

Participant: Bună ziua! Revenim puțin la informarea persoanei vizate în contextul unei prelucrări de date prin împuternicit. Am întâlnit o opinie precum că GDPR-ul ne obligă să informăm persoana vizată de identitatea exactă a împuternicitului acela, denumirea societății ș.a.m.d. Ce părere aveți?

Simona Șandru: De la caz la caz. Adică dacă persoana împuternicită este un destinatar la datelor personale, dacă poate să intre în această categorie și nu folosește decât un împuternicit, operatorul respectiv pentr anumite operațiuni de prelucrare, ar putea să fie într-adevăr obligat să-i comunice care este exact identitatea acestei persoane împuternicite. Dacă intrăm cu o altă incidență, spre exemplu intrăm la categorii de destinatar, categorii de persoane împuternicite dacă este cazul, atunci nu va fi necesar într-adevăr să-i comunice identitatea exactă a persoanei împuternicite.

Participant: Mă gândesc în contextul unor operațiuni care implică poate la un moment dat schimbarea acelor persoane împuternicite. Să fie o procesare de date în context mai larg de lungă durată și la un moment dat se schimbă furnizorii de servicii de procesare.

Simona Șandru: V-am spus, de la caz la caz. În orice caz, dacă-și va exercita dreptul de acces persoana vizată, operatorul ar putea să fie într-adevăr obligat să-i comunice identitatea destinatarului, adică acelei persoane împuternicite care prelucrează efectiv datele personale.

Participant: Absolut. Mulțumesc!

Participant: Aș vrea să vă întreb de partea de securitate, mai mult tehnică. Majoritatea companiile la momentul actual au o serie de măsuri de securitate care probabil că o să existe și după intrarea acestei legi. Această lege are cumva prevăzută și o serie de reguli de securitate care trebuie impuse sau se poate efectua un fel de „audit” pentru aceste reguli de securitate? Că momentan, mă refer în cazul nostru specific, există un set de măsuri de securitate, există un firewall, conectare prin VPN, niște măsuri care din punct de vedere tehnic sunt destul de dificil de depășit. Sunt specificate anumite reguli de securitate care vor intra în vigoare cu această dată? Niște reguli specifice care trebuie îndeplinite?

Simona Șandru: Dacă mă întreabați dacă există un Standart DIST 8, nu există așa ceva în regulament. Puteți bineînțeles să vă faceți un audit pe securitate, nimeni nu vă oprește să-l faceți și acum. Nu trebuie să așteptați 25 mai 2018. Regulamentul nu prevede un set exhaustiv de măsuri de securitate pe care orice operator de date trebuie să le adopte. Cum spuneam, ele diferă în funcție în primul rând de specificul acelui operator de date, de scopul în care prelucrează datele, categoriile de persoane vizate, volumul de date pe care îl prelucrează, persoanele care au acces la aceste informații, cât de multe persoane au acces la aceste informații. Art. 32 din Regulament, totuși face referire la o serie de măsuri tehnice și organizatorice, considerate a fi adecvate, în vederea asigurării unui nivel de securitate corespunzător. La care m-am referit și eu în prezentare: pseudonimizare, criptare, disponibilitatea sistemelor, reziliența acestora. Citiți art. 32. Acesta este cadrul general care prevede obligația operatorilor și a persoanelor împuternicite de a lua niște măsuri de securitate, dar detalierea acestora o face fiecare operator de date. Pentru că astăzi poate considerați că aveți suficiente măsuri în firewall, în antivirus sau în backup, peste câteva luni s-ar putea să aveți niște soluții deja depășite. Și atunci ele trebuie să fie revizuite. Întotdeauna să urmăriți dacă sunt sau nu suficiente peste câteva luni acele măsuri de securitate.

Participant: Aceastea sunt valabile în general?

Simona Șandru: Da, în mod normal.

Participant:  Eram curios dacă se impune ceva, în cazul unui control spre exemplu. Ce urmărește acel control din punctul acesta de vedere al securității?

Simona Șandru: Noi cel puțin, până în prezent, nu am făcut audituri generale din punct de vedere al securității datelor. În general, investigațiile autoritățiiau fost punctuale atunci când a avut loc o încălcare a securității datelor personale. Să vă dau un exemplu. În urmă cu mai mulți ani, o bancă utiliza niște dischete nesecurizate sub nici o formă, nici măcar parolate care conțineau date personale ale angajaților diverselor instituții bancare are deținea conturi bancare la acea bancă și care se virau salariile dintr-o eroare a unui angajat de la ghișeul acelei bănci. Discheta aparținând unei instituții publice a ajuns în posesia alte instituții publice. Poate din punct de vedere al băncii, luase toate măsurile de securitate pe care le-a considerat necesare în acel moment. Dar s-a produc această încălcare. Dacă acea dischetă spre exemplu era criptată, dacă permitea să fie criptată în primul rând sau să nu să se folosească această metodă de comunicare a acestor informații, poate nu s-ar fi ajuns la acel incident de securitate. Autoritatea apreciază de la caz la caz dacă măsurile sunt sau nu adecvate. Și în funcție de această analiză e posibil să recomande într-un caz concret adoptarea unor măsuri suplimentare de securitate, pentru ca pe viitor să fie prevenite astfel de incidente, să nu să se mai repete. Dar nu există în prezent un standart prevăzut de regulament în această privință. O să existe și anumite mecanisme de certificare și la nivel european care pot fi utilizate ca o circumstanță atenuntă de către operatori, dar ele nu vor fi totuși o garanție absolută că vor fi scutiți de răspundere operatorii de date, dacă într-adevăr vor exista un incident.

Participant: Mulțumesc!

Participant: Răspunsul ar fi, ca să stați mai liniștit, să vă propuneți un audit pe partea de IT de Securitate Informațională în vederea unei certificări pe ISO 27001 și atunci sunteți complent, în principiu.

Paricipant: Bună ziua! Aș dori să știu și eu vis-a-vis de metodele foarte des folosite în mediul digital pentru studirea obiceiului de consum al utilizatorilor diferitor site-uri. Dacă este afectat consimțământul sau este o incidență vis-a-vis de prevederile referitoare la informare și consimțământ în legătură cu folosirea a ceea ce se cheamă cookies? Și în caz afirmativ, cum se face dovada de către utilizatorii de cookies?

Simona Șandru: Utilizatorii de cookies, adică acele site-uri?

Paricipant: Acele site-uri. Că vorbim și de dreptul al informare și la consimțământ. Și dacă ați susținut anterior că aceste este un drept absolut al consumatorului și totodată operatorul ar trebui să poate să facă dovada informării și a obținerii consimțământului nu știu cum realizează aceste site-uri, de fapt majoritatea site-urilor aș putea să spun acum.

Simona Șandru: Problema utilizării de cookies ține mai multe de aplicarea Legii nr. 506/2004 care este o lege specială față de legea cadru. Acolo sunt prevăzute foarte clar, obligațiile care revin acestor furnizori de servicii de comunicații electronice atunci când utilizează astfel de cookies, inclusiv sub aspectul obținerii consimțământului și a informării persoanelor. În prezent, Legea nr. 506 face trimite la respectarea art. 12 din Legea nr. 677, având în vedere că această lege va fi abrogată dacă între timp nu se va adopta un regulament în domeniul respectării vieții private din sectorul comunicațiilor electronice, atunci acea trimitere la art. 12 din Legea nr. 677 că va interpretată ca o trimite la art. 13 din  Regulament. Și ca atare după 25 mai 2018, aceste site-uri de care spuneți vor trebui la rândul lor să facă dovada că asigură o informare completă acestor utilizatori.

Bogdan Halcu: Există și câteva exemple de bună practică și cu siguranță am putea să găsim și câteva exemple de nu așa de bună practică. În general, un site te avertizează asupra faptului că utilizează cookies. Problema care să pune în reglementarea actuală, o să vedem ce va fi când va apărea Noul Regulament pentru Protecția Datelor în Comunicații Electronice, problema care se pune este cât de vizibil este acel mesaj și cât de ușor este să-ți dai consimțământul sau să refuzi folosirea tuturor sau a unor tipuri de cookies.

Participant: Exact! Și cât de completă e informarea.

Bogdan Halcu: Corect! Și dacă vreți un exemplu de bună practică vă invit să intrați pe site-ul Autorității Britanice în materia datelor cu caracter personal este ico.co.uk și o să vedeți că în partea din stânga jos a ecranului aveți un menu, să-i spun așa, care vă va permite destul de ușor să dați acceptul pentru utilizarea cookies sau din potrivă să refuzați, caz în care puteți chiar să modificați setările brower-ului de acolo. Cam așa se întâmplă.

Participant: Nu am văzut un asemenea site și nu mi s-a întâmplat. Într-adevăr advertismentele sunt, dar mi se pare că sunt insuficiente.

Bogdan Halcu: De multe ori în josul paginii după ce ai început navigarea, de multe ori foarte mici sau scrise cu alb sub un mare baner roșu, deci n-ai să vezi niciodată.

Participant: Nu e clar ce presupun, pentru că sunt mai multe tipuri de cookies.

Bogdan Halcu: Sunt unele cookies care sunt absout necesare furnizării serviciului. De exemplu, atunci când intri pe site-ul unui magazin virtual, un cookies este cel care ajută magazinu virtual să rețină datele pe care le-ai pus în coșul de cumpărături. Acelea sunt pe care el le folosește pentru executarea contractului în sensul legii comerțului electronic. Desigur, sunt și acele cookies care operatorul le utilizează pentru profilare, ceea ce înseamnă o utilizare mai endrozivă a datelor cu caracter personal și acolo mergem către zona de consimțământ.

Participant: Mulțumesc!

Andrei Săvescu: Bine, problema ridicată de Cristina este foarte serioasă, pentru că după ce apare Regulamentul nici n-o să mai fie suficient. Problema pe care o pune este cum conservă titularul, proprietarul site-ului dovada că a făcut informarea. Când intră pe site poți să-i pui un panou cu buline roșii și ai rezolvat problema. Apasă pe bulinele roșii, bine am înțeles și am terminat. Problema este că trebui să conserve, dacă intrăm pe art. 13, care Regulamentul este mult mai aspru, nu e suficient să arăți că tu informezi utilizatorii. Trebuie să conservi dovada că pe fiecare l-ai informat. Aceasta înseamnă o dată că l-ai monitorizat ca să poți să conservi dovada pe cine ai informat, nu-i așa? Poți să conservi dovada că ai informat anumite persoane doar monitorizându-i. Adică monitorizând bucățelele de comportament măcar. Aceasta mie mi se pare o problemă insurmontabilă. Sigur că s-ar putea tehnic face așa ceva, dar mi se pare că nu sunt pregătite magazinele și website-urile pentru așa ceva, iar din punct de vedere tehnic, a conserva acest consimțământ, la intrarea pe site să conservi dovada că l-ai informat este extrem de costisitor tehnic, pentru că trebuie să le monitorizezi comportamentul, să stochezi niște logo-uri uriașe. Acum este simplu, le afișează pe site, sigur că unii nu afișează vizibil, le afișezi la loc vizibil, să nu fie vreun dubiu și cu opțiuni, nici o problemă. Dar după aceasta când cineva face o inspecție zice că vede că aveți afișat, este clar că nu foarte să facă, a fost informat. Acesta este simplu. Problema este că vine după două luni și potrivit Regulamentului, autoritatea poate să ceară dovadă și merge și pe trei ani în urmă, nu cum se preconizează acum în proiect că pe trei ani de la faptă. Și trebuie să dovedești cu cel puțin pe ultimii trei ani că ai monitorizat. Ceea ce nu este imposibil tehnic, este extrem de costisitor. Părerea mea este că se va găsi o soluție la nivel european în legătură cu aceasta. Problema nu este speficică României. Pare că suntem deja un pic mai catolici decât Papa sau vorba unui prieten care nu mai este în sală : „Se va schimba internetul.”, adică comunicarea pe internet se va face prin conexiuni tunelate, adică doar totul securizat și  te duci unde vrei tu. Adică site-urile vor fi de cluburi în realiatate. Toate vor fi cu membership și așa poți să navighezi ca o floare pe site-uri, dar toate vor fi în ilegalitate. Sau se schimbă internetul cu totul, dar nu cred că se va întâmplat aceasta sau Uniunea Europeană va veni cu niște dispoziții, sau în cazul cel mai rău se vor trezi autorități naționale care vor da niște amenzi limpezi pe chesiunea aceasta, adică vă dați seama un copil de clasa a VI-a poate să amendezi dacă vine de la autorități. Acestea este site-ul dumneavoastră? Aveți dovada? Nu avem! Durează zece secunde inspecția și vine amenda. Se va ajunge probabil la CJUE și se va tranșa problema acolo dacă n-o să se intervină legislativ la nivelul Uniunii Europene. Așa încât fiind o problemă atât de generală, în particular nu ar trebui să ne stresăm prea tare.

Participant: Mai ales că sunt și țări unde tunelara nu este posibilă…

Andrei Săvescu: Da, pentru că este prea secure și sunt țări în care criptarea nu poate să fie prea avansată, chiar țări foarte civilizate. Adică să fie mai mult de 256, pentru că tehnica serviciilor care se ocupă cu securitatea nu permite decriptarea pe loc, adică instant. Server-urile nu sunt așa puternice. Dacă e o criptare prea mare văd doar oamenii ceea ce nu este normal în fond.

Mihaela Mazilu-Babel: Mie mi se pare că ar fi clar într-o astfel de situație o problemă cu dreptul la informare. Dacă site-urile ar fi atât de criptate, clar sr fi o barieră, mie mi se pare disproporționată. Nu reușesc să-mi dau seama. Eu aș invalida această dispoziție de drept, dacă ar putea fi interpretată în acest sens. Sau măcar aș invalida această interpretare.

Andrei Săvescu: Aceasta o să facă probabil Curtea de Justiție a Uniunii, probabil comisia nu o să intervină și probabil că nici Autoritățile Naționale n-o să meargă pe chestiunea aceasta.

Participant: Îmi cer scuze! A răspuns parțial domnul Săvescu, dar aș vrea și un răspuns și de la resprezentatul autorității. Revin un pic, dacă-mi permiteți, la exemplul cu procesul verbal de mai devreme. Vă rog să vă imaginați o situație după cum urmează. O campanie de marketing organizată în beneficiul unui producător de bere, în care sunt implicate: agenția de marketing, agenția de comunicare, o agenție de turism, pentru că premiul este o excurisie la New York. Și agenția de turism conform prevederilor contractuale dintre toți cei implicați va înmâna premiul efectiv căștigătorilor pe baza unui proces verbal în care vor fi menționate numele persoanelor din cadrul agenției de turism care se asigură de această înmânare efectivă. Apoi, procesul verbal respectiv se plimbă pe la toate agențiile și inclusiv la producătorul de bere care a cerut campania respectivă. Toți aceștia vor prelucra numele salariațiilor agențiilor de turism. Considerați că este disproporționat să ceară agenției de turism, adusă de contact pentru informarea persoanei vizate? Sau considerați că fiecare dintre aceste persoane implicate în campanie ar trebui să ceară angajatorului agenției de turism o adresă de e-mail, un număr de telefon pentru a putea contacta salariații respectivi, anunțându-i că prelucrăm datele dumneavoastră cu caracter personal în registrul nostru de evidență a proceselor verbale privind campaniile de premirea…? Cum considerați că se poate soluționa realitatea în practică?

Andrei Săvescu: Eu n-am prea înțeles întrebarea, dar sunt curios de răspuns.

Simona Șandru: E într-adevăr un lanț destul de complicat al relațiilor pe care le-ați descris dumneavoastră. N-am înțeles exact cine sunt persoanele vizate? Persoanele vizate sunt salariații agenției sau sunt persoanele care au câștigat un premiu? Nu am înțeles exact.

Participant: Sunt salariații unei agenții de turism care încheie un proces verbal pentru înmânarea unui premiu unui participant, unei persoane care a participat la un concurs organizat de un producător de bere. Producătorul vrea să dea ca premiu o excursie la New York. Premiul va fi dat de agenția de turism. Procesul verbal prin care se înmânează premiul se plimbă pe la agenția de turism, la agenția de comunicare, la agenția de marketing și la producătorul de bere.

Simona Șandru: Cine este operatorul în toată această poveste?

Participant: Din punctul meu de vedere, producătorul de bere, pentru că el stabilește scopul și mijloacele prelucrării.

Simona Șandru: Celelate entități ce calitate au în relația cu operatorul?

Andrei Săvescu: Ei sunt împuterniciți. Cum să fie? Sunt asociați. Cum? Agenția de publicitate nu e asociat? Cum să fie împuternicit?

Participant: Eu consider că sunt împuterniciți, pentru că operatorul, adică producătorul de bere spune agenției că vrea să prelucreze aceste date în vederea oferirii acestui premiu. Aceasta este opinia mea. Dar, vă rog, să mă contraziceți.

Andrei Săvescu: Mie mi se pare că este un operator asociat. Are scopuri proprii și comune. Ei vor același lucru.

Participant: Adică în marketing?

Andrei Săvescu: Dar agenția de publicitate cum să fie împuternicită? Împuternicit este providerul de internet și soft-ul saga sau ce era în care operezi faci chestiuni tehnice și faci prelucrarea. Dar agenția de publicitate este un operator asociat.

Participant: În acest caz concret?

Andrei Săvescu: Face companii. După părerea mea este un operator asociat, nu împuternicit.

Participant: Dar nu face ea campania. Campania este executată la solicitarea producătorului de bere.

Andrei Săvescu: Eu sunt convins că este agenția de publicitate și cel care face comanda n-o să ne poată spune aici în public, dar presupun că nu se poate pronunța în legătură cu aceasta, dar sunt convins că sunt operatori asociați. Agenția de publicitate și cu cel care face comanda. Probabil dumneavoastră sunteți pentru agenția de publicitate. Bineînțeles, că persoana vizată se poate adresa dacă apar probleme atât agenției, cât și celui care a făcut comanda.

Participant: Problema e că nu știe, trebuie informată.

Andrei Săvescu: Păi fiind operatori asociați… Tocmai aceasta este diferența. Faptul că fiind operatori asociați face să fie necesară comunicarea către persoana vizată, a esenței acordului de asociere. Bineînțeles că trebuie să știe persoana vizată și cine este agenția și cine este cel care face comanda.

Participant: Persoana vizată în exemplul meu este angajatul agenției de turism, ultima din lanțul acesta, nu câștigătorul concursului. Întrebarea mea este dacă agenția de marketing trebuie să ceară date suplimentare de la agenția de turism pentru contactarea persoanei vizate? Că nu are de unde să știe, are doar (ex.)Ionuț Popescu, a semnat procesul verbal. Nu poate să asigure informarea persoanei vizate decât dacă obține date suplimentare.

Andrei Săvescu: Mie mi se pare că aceasta este o speță extrem de particulară și din acest motiv nici nu o pot înțelege ca răspunsul să fie dat în public. Mi se pare o chestiune foarte particulară. Persoanele vizate sunt salariații agenției care face campania.

Participant: Producătorul să pună condiția ca cei care se ocupă de campanie, angajații…

Participant: Nu era vorba de căștigător, îmi cer scuze. Era vorba despre angajatul agenției de turism al cărui nume apare în procesul verbal.

Andrei Săvescu: Eu propun să depășim această chestiune care este strict de speță.

Participant: Sigur, este foarte particular.

Simona Șandru: Singurul lucru pe care vreau să-l menționez… Bineînțeles că fiecare trebuie să-și stabilească ce calitate are. Dacă este operator sau persoană împuternicită în funcție de rolul care-i revine în stabilirea scopurilor și a mijloacelor de prelucrare. Și dacă are calitate de operator trebuie să informeze persoanele vizate. Cu excepția cazului în care se aplică una dintre aceste excepții. Este efectiv la atitudinea fiecărui operator să-și găsească cele mai adecvate mijloace de realizare a informării persoanelor vizate în funcție de circumstanțele prelucrării datelor personale.

Participant: Vă mulțumesc!

Simona Șandru: Puteți poate să ajungeți la concluzia că nu e necesar să figureze acel nume și prenume ale angajatului agenției de turism în procesul verbal pe care îl primește o agenție de publicitate. Chiar este necesare? Nu știu. Dacă este necesar, în tot acest lanț de raporturi juridice, undeva trebuie stabilită o răspundere. Iar obligația de informare subzistă în sarcina operatorului de date indiferent de situație, doar dacă poate să invoce una dintre aceste excepții. Prima ar fi, de exemplu persoana vizată deține deja informațiile. Dacă persoana vizată, adică angajatul agenției de turism a fost de la început informată că datele sale vor ajunge la agenția de publicitate, ceea ce așa ar fi normal.

Participant: Agenția de publicitate nu știe dacă a fost informată sau nu, pentru că informarea ar fi făcut-o angajatorul salariatului respectiv.

Andrei Săvescu: Zic să depășim speța. Colega a înțeles, eu încă n-am înțeles întrebarea, dar e bine. Altă întrebare?

Participant: Da, vă rog. Referitor la informarea persoanei vizate, mă întorc un pic la aceasta. Noi avem obligația ca și operatori, ca atunci când facem un proces automat de prelucrare, să informăm persoana vizată, să-i dăm informații pertinente privinda logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată, e art. 13 alin (2) lit. f). Ce înțelegeți dumneavoastră prin informații pertinente privind logica utilizată?  Se referă la logica prelucrării? De asemenea, prin importanța și consecințele preconizate ale unei astfel de prelucrări, eu trebuie să le dau informații, dar trebuie să îi detaliez aceste lucruri. Probabil, că n-o să mai fie un text foarte mic pe fluturașul de publicitate, o să fie…

Simona Șandru: Aici se referă strict la situația în care se folosește un proces decizional automatizat, incluzând profiluri. Deci doar dacă vă aflați în această situație. Adică realizați profilarea persoanelor vizate. Vă aflați într-o astfel de situație?

Participant: Chiar și cookies…

Andrei Săvescu: Exact aceasta face.

Simona Șandru: Logica utilizată este o traducere poate mai puțin fericită. Se referă la mecanismul de prelucrare utilizat, la tehnologia automată de prelucrare a datelor personale. Este și în prezent în Legea 677 acest termen utilizat în art. 13 la Dreptul de acces, iar importanța și consecințele preconizate a unei astfel de prelucrări. Da, bineînțeles că trebuie să știți și să comunicați persoanei vizate care este importanța și consecințele preconizate prelucrării datelor în scopul profilării, pentru că de obicei această profilare se utilizează în scopul unor anumite decizii, care pot fi devorabile persoanei vizate. Spre exemplu, o pot priva de un anumit drept, de un anumit serviciu. Dacă vorbim de folosirea scoring-ului în acordarea unui credit, către o bancă. Scoring-ul este o metodă de profilare care poate să conducă la respingerea unei cereri de credit. Aceasta ar fi consecința preconizată a utilizării lui, adică a profilării. În momentul în care ați decis să utilizați o astfel de metodă de prelucrare, respectiv profilarea, trebuie de la început să vă pună această problemă, care sunt consecințele utilizării pentru persoane vizate.

Andrei Săvescu: Haideți să discutăm despre „chestii”, domnul avocat Bogdan Halcu, Managing Associate ȚUCA ZBÂRCEA & ASOCIAȚII. Mulțumim foarte mult doamnei Simona Șandru, a răspuns la mai multe întrebări decât vă așteptam. A avut bună voința de a răspunde la întrebări.

Bogdan Halcu: La  o așa introducere, Andrei, când mi-ai spus că o să vorbesc despre niște „chestii”, nici nu știu cum să încep.

Andrei Săvescu:  Așa traduc în română, Internetul chestiilor-things.

Bogdan Halcu: Sperăm să fie vorba despre niște chestii care să ne ducă mai repede către masa de prânz. Așa că haideți să vorbim un pic despre Internet of things. Înainte să începem, să facem un pas înapoi în timp și să încercăm să ne amintim cum era internetul prin anii 1990-2000. Mai știți?

Andrei Săvescu: Eu da.

Bogdan Halcu: Mai știți sunetul acesta? Exact, Dial-Up. Cât dura până te conectai?

Andrei Săvescu: 7 secunde.

Bogdan Halcu: Aproximativ 7 secunde dacă suna de prima oară. Dar dacă nu suna ocupat. Lucrurile mergeau mult mai greu. Aveți acolo un fișier, un avertisment care spune că dowloadarea fișierului dura vreo 400 și ceva de ani, 4381 de ani, era posibil. Și ce e mai frumos este că după ce consumai câteva secunde din cei 4 mii de ani îți spunea că nu ai spațiu. 4 G?Nu, dial-up. Facebook? Nicidecum. mIRC? Mai știți? Interesant, ce vremuri. Așa se întâmplau lucrurile pe atunci și întrebarea firească este ce ni s-a întâmplat? Oare realizăm ce ni se întâmplă? Oare realizăm cât de repede se schimbă lucrurile acestea? Acum putem să descărcăm o poză sau un film în câteva secunde de pe telefonul mobil. Cum de pe telefonul mobil ne putem conecta cu aproape oricine. Cum lucrurile care ne înconjoară simt chestii despre noi. Și numai că le simt, le și spun altor lucruri care ne înconjoară. Să sperăm că nu și altor oameni. Așa am ajuns la Internet of things. Dar ce înseamnă Internet of things? Având în vedere situația aceasta, avem atât de multe lucruri în jurul nostru care se conectează la internet, încât deja internetul nu mai este al oamenilor, ci este a acestor lucruri, acestor „chestii”,  device-uri. Dacă prin anii 1990-2000, internetul le folosea oamenilor să se conecteze între ei, să-ți împărtășească experiențe, acum în marea lui parte, internetul este despre a conecta aceste „chestii”, despre a conecta lucrurile, device-urile care culeg informații și le transmit mai departe. Sigur, e simplu pentru oameni. Avem văz, gust, miros, auz, simț tactil ș.a.m.d. E simplu și pentru el. Știți câte simțuri are? Știe dacă e lumină în cameră sau dacă e întuneric. Știe dacă îl țin la ureche sau nu. Știe mai bine decât mine unde mă aflu. Și poate să spună aceasta altor device-uri sau altor persoane. Toată revoluția aceasta are o grămadă de avantaje, însă vom vedea că are și dezavantaje. Paradigma se schimbă. Am aici un citat care mi s-a părut foarte interesant: „In God We Trust. All Others Must Bring Data.”. Internetul se schimba, lucrurile care se conectează la internet se schimbă. Economia este din ce în ce mai interesată de date, vorbim deja despre Big Data. Sigur vorbim de profilare în limitele GDPR-ului, însă vorbim și de profilare pe date anomizate. Profilare în care multe companii investesc foarte mult și din care multe companii scot profituri consistente. Să vedem unde ne duce aceasta. Toată lumea a văzut până acum un smartwatch, știm cum arată. Acesta este un thermostat, creat de o companie americană Nest. Companie americană pentru care Google a plătit 3,2 mld. de dolari pentru acest thermostat. Sigur că nu e vorba de acest thermostat, vorbim de o piață uriașă a device-urilor care pot fi folosite pentru casele inteligente. Acum ajungem ca de pe telefon de oriunde din lume să controlăm temperatura din casă, de oriunde din lume să aprindem sau să stingem lumina, să deschidem ușa la garaj, să pornim alarma.  În 2008, în mod oficial, s-a recunoscut că numărul device-urilor conectate la internet a depășit numărul oamenilor de pe planetă. Până în 2020, SISCO aticipează că vor fi 50 mld de device-uri conectate la internet. Acesta este ritmul cu care creștem. Deocamdată. Ritmul s-ar putea să fie din ce în ce mai accelerat. Internet of things este parte din viața noastră. Că ne place sau nu, poate acum este mai vizibil, însă dacă stăm să ne gândim la mașinile pe care le conducem, ele au deja lucruri care se conectează și care comunică între el de mult. Senzor IBS, senzor de temperatură ș.a.m.d., care se conectează la un computer și computer-ul respectiv să ia o decizie cu privire la modul de a conduce o mașină. Fie că te avertizează că e prea cald, prea frig etc. Deja suntem la un nivel mult superios. În medicină, de exemplu Internet of things are deja un impact uriaș. Dacă ați auzit de Computer Watson, un computer creat de IBM. Nu este un compter pe care îl putem crea în mână, are o grămadă se servere. Însă are o putere de procesare atât de mare încât într-un caz a reușit să diagnostigheze cancerul la un pacient și să-i dea un tratament în doar câteva minute, un tratament care s-a dovedit a fi potrivit care a făcut pacientul bine. Aceasta pentru că Watson a putut să acceseze mai multe surse de informare, mai multe lucrări. A putut să proceseze datele de acolo, eventual statisticile să sugereze medicului cea mai bună opțiune de tratament. Gândiți-vă câte lucruri se pot face. Gândiți-vă că o persoană cu probeleme cardiace de exemplu. Se trezește dimineața cu o durere în piept și atunci telefonul spune că ar trebui să stea jos. Și tot telefonul spune că a chemat deja ambulanța. Și tot el spune să ar trebui să ai două Aspirine până vine medicul. Și tot telefonul spune că i-a trimis medicului datele lui, monitorizarea cardiacă medicului, el știe ce are de făcut. Și tot telefonul spune că medicul a trimis echipajul de pe ambulanță toate datele. Ambulanța ajunge, preia pacientul, ajunge la spital, pecientul este făcut bine. Impactul pe care-l generează Internet of things este uriaș, cum spuneam mai devreme. În Tokyo a fost deja testată o cerneală care permite transmiterea de impulsuri electronice și care aplicată pe haine poate fi utilizată pentru monitorizarea contracturilor musculare și a bătăilor inimilor. Doar o cerneală. Deja wi-fi-ul nu va mai fi ce este. Impulsurile pe care le emit router-urile, impulsurile de wi-fi pare că pot di deja convertite în curent continuu, astfel încât device-urile noastre să se încarce de la wi-fi. Avem device-ul conectat la wi-fi, el se încarcă. Bateria generația descărcată, aveți grijă! Sigur că toate lucrurile acesta vin și cu riscuri asociate. Primul risc este în mod evident securitatea datelor, despre care a vorbit și doamna Șandru mai devreme. Conform unui studiu al lui HP, 70% din Internet of things prezintă vulnerabilități de securitate. De curând în Germania și în Norvegia au fost interzise niște smartwatch-uri, zisese de jucărie, pe care părinții le-au cumpărat copiilor pentru a monitoriza tot timpul unde se află aceștia. Existau două probleme. Prima, că datele privind locația copiilor se duceau în niște servere nu tocmai securizate și puteau foarte ușor fi vixtima unor tentative de haking. Ca părinte nu cred că ți-ai dorit ca cineva rău inteționat să știe tot timpul unde este copilul tău. O a doua problemă a acestor device-uri este că ele puteau fi apelate în mod silentios de către un terț, eventual de către un părinte și folosite ca aparate de ascultare în mediul ambiental. Astfel, că părinții le apelau silentios și ascultau ce se întâmplă în clasă, la ore. Scopul fiind acela de a-i asculta pe profesori probabil. În Germania, autoritatea a interzicerea, comercializarea acestor smartwatches și distrugerea lor și chiar autoritatea a mers cu un sfat către părinți să distrugă aceste device-uri. Un brânci de securitate despre care am citit săptămânile trecut și mi s-a părut pe cât de interesant, pe atât de periculos. Este cel din 2015 când baza de date AshleyMadison, un site de dating, a fost spartă de niște hakeri și astfel a fost dezvăluite mai multe usernames și parole ale unor clienți a acestui site de dating. Acum sigur că te-ai fi putut înscrie în site-ul acesta cu user-ul X, dar mulți dintre clienți s-au încris cu adresele lor reale, gen prenume.nume și o bună parte din aceștia s-au înscris cu adresele oficiale de la locurile de muncă, private sau de la stat. Au existat chiar motoare de căutare care facilitau persoanelor interesate căutarea în baza de date descoperite de hakeri pentru a vedea dacă o anumită persoană a apelat la serviciile AshleyMadison și erau gratuite. Aceasta e partea hazlie a lucrurilor. Partea nu tocmai hazlie a lucrurilor este că unii dintre utilizatorii acestui serviciu locuiau în țări în care relațiile dintre persoane de același sex se piedepseau cu moartea. Și existau persoane care apelau la aceste servicii pentru a întreține astfel de relații. Iată de ce brânciul de securitate este o chestiune importantă. Și de aceea este adresată de GDPR într-o cheie mult mai restrictivă, dacă vreți, decât o face legislația actuală. Nu insist asupra a ceea ce trebuie să facă utilizatorii atunci când se confruntă cu un brânci de securitate, a spus antivorbitorul meu, vreau doar să menționez un lucru. Pentru că s-a pus întrebarea mai devreme. Ce trebuie să facem din punct de vedere tehnic? Și așa cum s-a și răspuns nu avem un benchmark obiect. Sigur că în funcție de ceea ce prelucrăm și cum prelucrăm trebuie să ne gândim care sunt cele mai bune tehnici pe care le putem aplica. Dar dincolo de aceasta, nu neglijați factorul uman. Cele mai multe din brânciurile de securitate se produc datorită erorilor umane. Degeaba ai pus antivirus dacă un angajat primește un  e-mail care e o tentativă de phishing și de click unde nu trebuie. Și aceasta nu o poți rezolva printr-un soft, printr-o măsură tehnică, ci doar prin trening, prin creșterea wearnes-ului, prin a-i oferi anagajatului suport și astfel el își va da seama ce trebuie să facă și ce nu trebuie să facă, astfel încât el să-și dea seama când trebuie să fie mult mai atent când deschide un document sau un fișier, sau un link. Aceasta sunt problemele puse din perspectiva GDPR-ului vis-a-vis de Internet of things. Dincolo de ceea ce spune GDPR-ul, o chestiune foarte interesantă este cum reglementăm în viitor evident, răspunderea pentru daunele cauzate de device-urile inteligente. Aici a fost un studiu comandat de Parlamentul European, studiu care este public și care a pus câteva puncte de reflexie pe hârtie pentru modurile în care vom încerca să reglementăm răspunderea device-urilor inteligente. Și când spun device-urilor inteligente, nu mă refer la numai la ceea ce ne înconjoară deja, telefonul, smartwatch ș.a.m.d., ci merg mai departe spre zona de robotics. Prima chestiune care s-a pus este dacă acordăm acestor roboți o personalitate juridică electronică astfel încât ei să fie răspunzători pentru propriile fapte. În mod evident, nu. Recomandarea este să nu face lucrul acesta. Primul răspuns care îmi vine în minte, ele nu au patrimoniul și nu pot să răspundă. Așa că ne îndreptăm către zona în care cineva, o persoană fizică sau juridică trebuie să răspundă pentru faptele lor. Pe ce ne întemeiem răspunderea? La momentul actual, actul normativ care se apropie cel mai mult de ceea ce ne-am dori de la o astfel de reglementare are Legea 240/2004 privind daune cauzate de produse defecte. De ce? Pentru că această lege vorbește despre răspunderea producătorului pentr daunele cauzate de produse defecte în condiții în care utilizatorul trebuie să probeze doar prejudiciul, legătura de cauzalitate și defectul. Nu trebuie să probeze și vinovăția. Așadar, avem de-a face cu o răspundere obiectivă, așa cum este și în Codul Civil, răspunderea pentru fapta lucrului. Aceasta este cheia în care ar trebuie să judecăm răspunderea pentru daunele cauzate de device-urile inteligente. Sigur răspunderea ar putea să fie diferită, după cum cel care suferă un prejudiciu este chiar cumpărătorul bunului în care răspunderea este contractuală sau cel care suferă un prejudiciu este un terț față de cumpărător. Și în ultimul rând, cum judecăm în viitor răspunderea penală? Să presupun un self driving car. Acesta vine cu un program preinstalat de producător, dar are și o opțiune de învățare. Opțiune de învățare de la proprietar. Să spunem  că proprietarul este un șofer mai agresiv, mașina învață de la proprietar și la un moment dat mergând cu un pasager fără să aibă șofer face o manevră riscantă și produce un accident. Cine răspunde? Cine este vinovat? Cum analizăm vinovăția din punct de vedere al legii penale? Și mai ales a laturii subiective privind răspunderea penală? Este răspunzător producătorul? Este răspunzător proprietarul pentru că el are un comportament mai impulsiv și foarte probabil și dacă el era la volan ar fi făcut aceeași manevră riscantă și ar fi cauzat același accident? Sunt răspunzători amândoi? Greu de zis, însă sunt provocări la care la un moment dat societatea va trebui să răspundă. Cam aceasta voiam să vă spun… Rețineți doar că lumea se schimbă. Lumea se schimbă și cred că nu ne dăm seama de viteza cu care se schimbă. Iar aceste schimbări nasc provocări inclusiv de ordin legal pe care noi, ca profesioniști ai dreptului va trebui să le adresăm la un moment dat. Sper că am fost suficient de scurt. Mulțumesc!

Andrei Săvescu: Dacă nu mai sunt întrebări o să profit de acest prilej să vă spun ce vreau. Mulțumesc speaker-ilor din acest panel că au fost alături de noi și sper să regidivăm. A fost dificil să organizăm acest panel, în special. Problema cu aceste date personale, cu Data Privacy, este că toate informațiile sunt cunoscute. Nu e vorba de informații secrete. Totul este știut. Cauza pentru care este necesară reglementarea pe Data Privacy este fluiditatea informației, ea curge foarte repede dintr-o parte în alta. Prea multă informație. De aceasta este nevoie să fie reglementat, să fie restricționat accesul la informație, pentru că această fluiditate a informațiilor în legătură cu persoane fizice are două consecințe: una, mai psihologică, mai abstractă, mai frumoasă și una cea mai urâtă și mai materialistă este că doar unii oameni vor putea valorifica bogăția de informație, pe când alții vor avea bogăție de informație, dar nu vor putea valorifica. Ceea ce crează un decalaj economic între cei care utilizează sau nu informațiile. Unii sunt mai curioși și mai puși pe afaceri, alții nu. Și atunci e nevoie de limitare. Chestiunea mai abstractă și mai legată de Drepturile omului este contradicția între accesul la informație și demnitatea umană, pentru că difuzarea informației, accesibilitatea informațiilor în legătură cu datele personale afectează uneori grav, serios și dramatic demnitatea umană, în sensul că împiedică oamenii să fie foarte demni. Oamenii de multe ori nu-și doresc să se știe de toată lumea despre ei. Firește că toate lumea știe, apropo de ce spunea Bogdan de site-uri respectiv, că uneori era pedeapsa cu moartea. Firește că se știe și prietenii știau. Ideea este că nu toți oamenii au fost  educați sau învățați de acasă să se comporte ca și cum ar fi în public. Demnitate înseamnă ca să pretindem celorlalți să se comporte cu noi ca și cum am fi respectabili. Oamenii nu sunt întotdeauna respectabili mai ales în privacy-ul lor. Această reglementare era necesară printre altele și pentru ca să se respecte demnitatea umană. Nu degeaba Dreptul la Protecția Datelor este unul dintre drepturile fundamentale prevăzute în cartea UE. Este drept fundamental, părerea mea, că este strâns legat de asigurarea demnității umane. Vă mulțumim foarte mult!

 

Panel 3

Andrei Săvescu: Bună seara, deja! Bine ați revenit la panelul 3 care începe la scurtă vreme după închiderea oficială a conferinței, adică după ora de închidere a conferinței, din pricină că această temă de conferință, cu Regulamentul, cu Data Protection, a stârnit un interes limitat, dar foarte mare. Nelimitat ar fi însemnat să murim de somn. Limitat, dar foarte mare, ceea ce ne bucură foarte mult și sunt convins că pe dumneavoastră nu. Acest panel din urmă leagă cumva Regulamentul de chestiunile de dreptul muncii, care este una dintre cele mai nesuferite materii, ca și munca în general. După ce că trebuie să muncim, mai avem și reglementări de dreptul muncii. Mă bucur că sunt alături de noi dna av. Monica Livescu, binecunoscută dumneavoastră, și domnul av. Dan Curiciuc, Senior Associate la Zamfirescu Racoți & Partners, o firmă printre cele mai mari și cele mai prestigioase din România. Doamna av. Monica Livescu o să se refere la supravegherea electronică la locul de muncă, un subiect foarte plăcut, iar domnul av. la DPO-ul salariat, dacă ar fi să fie salariat. Dați-mi voie să o invit să ne prezinte tema mai întăi pe doamna av. Monica Livescu. Vă rog.

Monica Livescu: Bună seara! Mulțumesc pentru răbdarea de a fi așteptat o astfel de temă la o astfel de oră, vineri. Sper ca în scurtul timp pe care îl mai avem la dispoziție să reușim măcar să deschidem o ușă, dacă nu mai multe, către un subiect extrem de delicat. Propunerea inițială de a o aborda din partea domnului Săvescu a venit ca o idee în urma unei dezbateri juridice legate de cauza Bărbulescu contra României. Chiar dacă inițial ideea de a discuta despre ce înseamnă și care sunt consecințele în plan juridic ale supravegherii la locul de muncă erau inițial limitate la o astfel de abordare din perspectiva viziunii Curții Europene asupra acestei probleme, tematica conferinței de astăzi m-a obligat să am o dublă perspectivă asupra acestui subiect. Am să încerc să fac un balans și o dublă verificare a acestei problematici atât din perspectiva jurisprudenței Curții Europene, cât și din perspectiva Cartei Drepturilor Fundamentale a Uniunii Europene, precum și din perspectiva Regulamentului ce constituie tema principală a dezbaterilor de astăzi. Am să rog să se dea curs slide-urilor pe care le-am pregătit pentru dumneavoastră, încercând să dublăm informația orală de cea scrisă și vizuală. Mi-am propus să pun această temă sub auspiciile unui motto, ce se vrea nu numai un motto, ci poate, să sperăm, la sfârșit, să fie și o concluzie. Citând dintr-un paragraf al cauzei Bărbulescu contra României, al hotărârii Marii Camere, trebuie să subliniez, și care probabil multora dintre dumneavostră este deja cunoscută, dar ca orice hotărâre, cu cât o citești, cu atât îi mai indentifici niște nuanțe. Ar părea aparent banal acest motto, dar după ce am analizat această hotărâre și gândindu-mă la subiectul pe care astăzi ar trebui să îl tratăm, am considerat că această apreciere chiar a Curții Europene, a Marii Camere, legată de încrederea reciprocă pe care ar trebui să se bazeze relațiile de muncă este cumva un semnal și o recomandare a Curții. Dincolo de hotărârea punctuală dintr-o cauză, dincolo de toate încorsetările legale, știm cu toții că, fie că am fi în situația angajatorului sau să apărăm interesele angajatorului, fie că am fi în situația angajatului și să apărăm, ca avocați, interesele angajatului, întotdeauna chestiunea asta de a asigura un echilibru între drepturile și interesele concurente este un exercițiu foarte dificil. Cred că în acest semnal al Curții este transmisă și ideea că dincolo de soluția în cauza Bărbulescu, nici Curtea nu și-ar dori să rămână neapărat o astfel de soluție, ci până la urmă raporturile dintre părți să se bazeze pe acest principiu al încrederii reciproce. Altfel, avem o serie de lucruri extrem de delicate, de dificile, în gestionarea lor. După cum vedeți, mi-am propus să punctăm, cel puțin, pentru că volumul de informație este extrem de vast și nu îl vom putea epuiza în această seară. M-am gândit că, înainte de a aborda această problemă, a supravegherii la locul de muncă, să definim care ar fi totuși, unde ne cantonăm, unde e sediul materiei ca să zicem așa pentru ceea ce ar însemna drepturile si interesele în dispută într-o astfel de situație a supravegherii la locul de muncă. Nu putem să mergem să analizăm ce se întâmplă într-o astfel de ipoteză dacă nu pornim de la ceea ce consacră Carta Drepturilor Fundamentale a Uniunii Europene, în ceea ce privește respectarea vieții private și de familie, art. 7 și art. 8, protecția datelor cu caracter personal, pentru că aceste două articole, așa cum veți constata în continuare, reprezintă o premisă de la care trebuie să pornim în analiza oricărei chestiuni care ține de această supraveghere a angajaților la locul de muncă. Evident că doar Carta în sine nu este unicul document, singurul act cu consecințe în plan juridic din perspectiva dreptului european, ci am încercat să mergem la explicațiile date cartei pe aceste două drepturi și în care, după cum observați, e vorba de trimiterile pe care Carta le face, până la urmă, la noțiunea de viață privată și la dreptul fundamental la intimitate, la viață privată, pe care CEDO îl consacră în egală măsură, astfel încât  restrângerile la care pot fi supuse în mod legal dreptul la viață privată, și vom vedea, și dreptul la protecția datelor cu caracter personal, sunt identice cu cele admise și în cadrul art. 8 și reflectate în jurisprudența Curții Europene. În privința art. 8, el are un temei și în art. 16 din Tratatul de Funcționare a Uniunii Europene. Avem, de asemenea, corespondența cu Regulamentul, cu art. 8 din Convenția Europeană a Drepturilor Omului și Convenția Consiliul Europei pentru protecția persoanelor față de prelucrarea automata a datelor cu caracter personal. Cred că atunci când m-am gândit să analizăm acest concept al protecției pentru că evident, drepturile concurente într-o astfel de ipoteză implică în mod necesar analiza dreptului la viață privată, vom vedea și care sunt drepturile și limitele ingerinței un astfel de drept din partea angajatorului pentru că, după cum știm, orice drept fundamental poate să comporte și o restrângere în condițiile prevăzute de lege și în condițiile pe care jurisprudența Curții Europene a Drepturilor Omului le-a consolidat în jurisprudența sa. Însă, nu putem vorbi, și aici fac trimitere și la Regulament, astăzi s-a discutat înainte de această chestiune mult mai în detaliu pe diverse chestiuni ce prevede Regulamentul, dar nu putem vorbi de cum este protejat dreptul la viață privată și până unde poate merge ingerința în dreptul la viață privată al angajatului din perspectiva angajatorului, fără să analizăm și un alt drept consacrat de Carta Drepturilor Fundamentale a Uniunii Europene, și anume dreptul lucrătorilor la informare și la consultare în cadrul întreprinderii. Am făcut trimiteri în acest sens și puteți să rețineți ca corelații și izvoare de drept în raport de care avem un astfel de temei și cele două carte care vizează drepturile lucrătorilor în Uniunea Europeană, astfel încât atunci când vom analiza în concret ce presupune sau în ce condiții poate fi făcută o astfel de supraveghere, în mod corelativ va trebui să analizăm și modul în care s-a îndeplinit de către angajator respectarea acestui alt drept fundamental, respectiv dreptul la informare și, în mod corelativ, consimțământul angajatului la o astfel de situație. Cred că din perspectiva aceasta trebuie avut în vedere că există și o directivă europeană 2002/14, care consacră cadrul general pentru informarea și consultarea lucrătorilor care are o serie de principii în această materie și pe care în mod necesar va trebui să le urmărim, cel puțin sub aspectul modalității în care ele au fost și implementate în legislația internă, directiva consacră o serie de definiții ale termenilor care au relevanță în subiectul analizat, și anume dreptul la informare. Avem o transpunere în legislația internă, în Legea  nr. 467/2006 privind stabilirea cadrului general de informare și consultare a salariaților, și în care cumva se limitează aplicabilitatea, modalitatea de transpunere a fost doar prin raportare la întreprinderile care au cel puțin 20 de angajați. Din această perspectivă, avem o clarificare, din punct de vedere al legislației interne, în ce ipoteze o astfel de obligație este absolut obligatorie. Rămâne, într-adevăr, în discuție și nu o să epuizez acum subiectul, ce se întâmplă totuși în celelalte situații în care, chiar dacă nu sunt 20 de salariați, se produce o astfel de încălcare. Acolo poate că trebuie să ne ducem în zona Regulamentului, înainte de ce prevede această lege internă, și să vedem în ce măsură Regulamentul ar avea prioritate și ar impune și alte situații decât cele ale unităților cu până la 20 de salariați să existe și acolo în mod necesar consimțământul persoanei angajate la o eventuală supraveghere și vom vedea modalitățile de supraveghere. S-ar putea să constatăm, și aici cred că autoritățile cu putere de reglementare în România să se uite puțin în această legislație internă, în ce măsură ea ar trebui reconfigurată în raport de aceste noi cerințe pentru că legea aceasta e deja puțin depășită în raport de noile prevederi. În mod necesar trebuie să avem în vedere art. 52 din Cartă pentru că aici ni se definesc și conceptele legate de modul în care atunci când e vorba de o restrângere a unui drept fundamental dintre cele protejate de Cartă trebuie să fie respectate principiul proporționalității, după cum vedeți, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general, recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. Însă, trimiterea din alin. (3), în sensul că înțelesul și întinderea drepturilor și a modalităților în care este permisă această restrângere, evident că ne uităm și în zona Convenției Europene a Drepturilor Omului, către care Carta face o astfel de trimitere. În ceea ce privește raportul dintre Carta Drepturilor Fundamentale a Uniunii Europene și CEDO, am identificat o cauză Volker și Markus Schecke și Hartmut Eifert v Land Hessen, cauză germană C-92/09, în care cumva această raportare pe care o face Curtea, în sensul că respectarea dreptului la viață privată în raport cu prelucrarea datelor cu caracter personal recunoscută prin art. 7 și 8 vizează orice informație privind o persoană fizică identificată sau identificabilă, iar pe de altă parte restrângerile care pot fi impuse în mod legitim dreptului la protecția datelor cu caracter personal corespund celor circumscrise art. 8 din CEDO. De ce am făcut aceste trimiteri? Pentru că vom vedea într-un punct următor care este această jurisprudență a Curții Europene în aplicarea protecției conferite de art. 8 din Convenție și atunci practic tot ce înseamnă jurisprudență CEDO pe această zonă, inclusiv cauza Bărbulescu, atunci când vom analiza modalitatea de aplicare și de interpretare a acestor drepturi apărate și de Cartă, ne vom raporta la jurisprudența CEDO. Înainte însă de această chestiune, mi s-a părut esențial să vedem care este totuși viziunea Uniunii Europene, și vorbesc aici pentru că subiectul și tema principală este Regulamentul cu privire la protecția datelor. În acest an a fost emisă o opinie a grupului de lucru din cadrul directoratului Drepturi Fundamentale a Comisiei Europene, opinia 2/2017 privind prelucrarea datelor la locul de muncă. Ea vine cumva în continuarea unei opinii anterioare care s-a raportat la directiva aprobată prin noul regulament și oferă date valoroase, zicem noi, mai ales pentru practicieni, din perspectiva viziuni pe care Comisia și acest grup de lucru al Comisiei o are cu privire la modalitatea în care în cadrul raporturilor de muncă trebuie urmărită protecția pe de o parte a dreptului la viață privată și a dreptului la protecția datelor cu caracter personal ale angajaților, pe de altă parte să fie sigurante și suficiente garanții pentru angajator, că va avea o previzibilitate cu privire la modalitatea în care va fi evaluată activitatea sa, astfel încât să nu riște sancțiuni. Evident că aceste interpretări, poate specialistul în dreptul european, prezentă astăzi în sală, ne va spune care va fi efectul juridic sau gradul de opozabilitate al unor astfel de opinii ale Comisiei Europene cu privire la modalitatea concretă de aplicare, până la urmă, a acestui regulament ne va edifica. Cert este, însă, că el conține foarte multe chestiuni concrete. După cum vedeți, se definesc mult mai concret astfel de situații în care angajatorii în niciun caz nu se vor putea baza doar pe consimțământul angajatului. Aici vorbim de un raport de subordonare. Evident că s-a avut în vedere raportul de subordonare care există între un angajat și angajator, între angajator și angajat, cum doriți, dar este clar că nu se poate face abstracție de această situație premise și că în raport de această chestiune, după cum vedeți, nu poate fi suficient doar exprimarea consimțământului sau vom vedea și acel consimțământ cam în ce condiții ar trebui să fie dat ca să justifice această ingerință în dreptul la viață privată pe care l-ar avea angajatul la locul de muncă încât să nu fie supravegheat prin mijloace electronice de toate felurile. Vom ajunge să le detaliem și pe acelea. Din această perspectivă Regulamentul vorbește și el de necesitatea asigurării unor norme specifice care să protejeze drepturile și libertățile în ceea ce privește prelucrarea datelor cu caracter personal în contextul ocupării forței de muncă. Avem menționate ca riscuri operațiunile de procesare rezultate din monitorizarea utilizării comunicațiilor de la locul de muncă. În mod cert se apreciază că această monitorizare a comunicării și chiar a comportamentului că, până la urmă, când ești înregistrat, filmat sau supravegheat sub toate modalitățile, probabil și pe baza unor studii de ordin sociologic, psihologic, s-a constatat că această monitorizare exercită o presiune asupra angajaților pentru a se conforma unei astfel de supravegheri și în acest mod practic angajații se simt ca la o televiziune cu circuit închis în care ei sunt personajele principale, chestiune care generează în mod evident o reacție nu tocmai conformă și evident este afectat într-o măsură mai mare sau mai mică acest drept la intimitate. Aici chiar aș vrea să facă o clarificare, nu neapărat a termenilor, cât a faptului că se utilizează concomitent atât noțiunea de drept la viață privată, cât și noțiunea de drept la intimitate care cumva are o nuanțare față de sferă mai largă a chestiunii legată de viață privată și care, în contextul unei astfel de supravegheri, poate că este mult mai apropiată de ceea ce trebuie protejat. Opinia Comisiei Europene este că această utilizarea excesivă a tehnologiilor de monitorizare limitează chiar și dorința angajaților de a fi ei niște senzori de avertizare pentru chestiunile neconforme. În momentul în care, chiar dacă observă anumite activități ilegale sau neconforme cu anumite reguli interne, atunci când există această super monitorizare s-ar putea ca efectul să nu fie tocmai cel pe care și l-ar dori un angajator. Se dă în această opinie emisă în acest an diverse exemple pentru a se înțelege în concret ce ar presupune această chestiune legată de supraveghere. După cum vedeți, în exemplul pe care îl aveți pe slide, angajatorul intenționează să implementeze un dispozitiv de inspecție pentru a decripta și inspecta traficul securizat, cu scopul de a detecta ceva rău intenționat, dar aparatul respectiv poate, de asemenea, să înregistreze și întreaga activitate online a unui angajat în rețea organizației. De aceea am vorbit de drepturi și interese concurente, pentru că nu poate fi negat și dreptul angajatorului de a avea certitudinea securității informațiilor pe care le gestionează în propria unitate. De aceea limitele sau modalitatea în care un astfel de drept la viață privată și la intimitate al angajatului poate fi limitat, restricționat, să existe o ingerință în limitele acestui drept în măsura în care s-ar ajunge la vătămarea intereselor angajatorului, într-o proporție în care, într-adevăr, să se pună și problema încălcării unor drepturi ale acestuia. Recomandarea Comisiei este ca angajatorul să utilizeze mijloace mai puțin invazive sau cel puțin nu într-o primă etapă. Deci de la început să mergi pe ideea că totul este supraurmărit cu mijloacele tehnologice actuale, extrem de sofisticate, dar și costisitoare, cum zicea dl. Săvescu, și într-adevăr aici e și o problemă de costuri ale angajatorului, dar în măsura în care aparatul ar putea fi, și aici se dau tipuri de exemple în care angajatorul are putea să ia niște măsuri mai puțin invazive, cum ar fi aceea de a nu urmări permanent activitatea angajatului, ci făcând doar blocaje de trafic la intrare sau ieșire, să redirecționeze utilizatorul către un portal de informații unde doar acesta ar putea cere revizuirea unei decizii automate. De asemenea, cea mai recomandată, cea mai la îndemână alternativă pentru a respecta și dreptul la viață privată și intimitate ale angajatului, dar și nevoia de protecție al angajatorului ar fi această ultimă soluție ca o bună practică recomandată ca angajatorul să ofere un acces alternativ, nemonitorizat, pentru angajați. Poate să fie un acces la o rețea wifi, în care angajatorul nu are nicio intervenție pe modalitatea datelor, pe traficul de date sau alte metode din acestea în care practic să nu mai ai obligatoriu accesul la mediul online, doar prin rețeaua angajatorului. Și atunci, practic știi că în acel program de muncă, dacă are o problemă, o nevoie, o comunicare urgentă, totuși angajatul să poată să utilizeze astfel de rețele în care nu se produce intervenția sau supravegherea directă a angajatorului. O altă chestiune pe care o analizează opinia și care apare tot mai des în practică în raport de schimbare a modului de lucru, respectiv locul muncii să fie la domiciliu, este această chestiune a monitorizării activității prestate la domiciliu. Zona de risc pe care o identifică comisia în această problemă este că angajatorii, chiar și într-o astfel de situație, ar dori să înregistreze, după cum vedeți, intrări de tastatură, mișcări de mouse, captare a ecranului, niște chestiuni care sincer pe mine tehnic, când le-am lecturat m-am simțit puțin depășită. Este limpede că evoluția tehnologică va duce în foarte scurt timp la mai mult decât ceea ce aici dă cu titlu exemplificativ acest grup de lucru al Comisiei. Și atunci, prelucrarea implicată în astfel de tehnologii este considerată disproporționată de grupul de lucru al Comisiei și se consideră că, într-o astfel de situație este puțin probabil ca angajatorul să poată dovedi că are un temei, un interes legitim, să facă o monitorizare într-atât de mare încât să verifice și ceea ce ar face acasă, lucrând acasă un angajat al său. Alte câteva situații analizate în opinia aceasta, care mi se pare foarte utilă, mai ales pentru practicieni, pentru a putea vedea modalități concrete în care această chestiune a monitorizării și a limitelor în care un angajator poate să o facă trebuie urmărită și, eventual, dat sfatul potrivit din punct de vedere legal, atunci când angajatul își folosește echipamentul propriu sau atunci când este vorba de managementul dispozitivelor mobile, fiind o practică extrem de curentă ca angajatorii să furnizeze telefoanele, laptopuri și alte astfel de chestiuni în activitatea angajaților. În toate situațiile, problema informării angajatului despre tipurile de urmărire pe care le face angajatorul prin astfel de mijloace tehnologice, tehnice este esențial, de aceea în preambulul acestei expuneri am făcut trimitere la acele reglementări care vizează informarea angajatului. Avem, pe urmă, o serie de operațiuni de prelucrare a datelor pe chestiuni legate de prezență. După cum știți, sunt o serie de instituții, entități private sau neprivate, în care se face o monitorizare continuă a ieșirilor, intrărilor personalului, după cum observați în slide-ul pe care îl urmăriți, evident că pot fi, de asemenea, niște aprecieri nuanțate. Cât poți să urmărești și să stochezi astfel de informații care nu ar avea legătură strict cu o chestiune legată de, să zicem, evaluarea performanței angajaților? Monitorizarea video, vehiculele, aici iarăși e o chestiune, majoritatea, dacă nu toate firmele care utilizează în mod curent sau fac activității de transport au autovehiculele monitorizate. Ori, aici sunt foarte multe explicații pe care Comisia le da pe această problemă, în sensul că, de exemplu, s-a pus problema: Domne, dacă și filmează în timp ce șofează, să vadă dacă a respectat regulile de circulație. Limitele în care această urmărire a autovehicului, dar și a șoferului să se facă iarăși sunt circumscrise unor situații care să nu genereze o încălcare a dreptului la intimitate. Se dă exemplul opririi șoferului în trafic în timpul serviciului, se oprește că are o urgență, trebuie să meargă la medic. La un moment dat chestiunile astea se apreciază și de la caz la caz, dar în mod cert ele trebuie urmărite sub aspectul limitelor în care un angajator poate să facă o astfel de urmărire și stocare, colectare ale unor informații despre ceea ce a făcut, nu bunul, mașina, care este proprietatea sa, ci în legătură cu angajatul care a utilizat un astfel de bun. Și ajungem, trecând prin această, nu zic nu reglementare, m-am ferit să spun reglementare, dar am pornit de la Regulament, am trecut prin această opinie a Comisiei și ajungem la ceea ce tot am discutat a fi dreptul la viață privată, la intimidate, trimiterile Cartei la jurisprudența CEDO și aș vrea să punctăm, pentru că nu mai avem foarte mult timp la dispoziție, ar fi mai multe, am să merg direct la jurisprudența Curții. Trecând printr-o serie de, să zic așa, evoluții ale acestei jurisprudențe, mai mult sau mai puțin unitare, în mod cert Curtea a reținut că înregistrarea apelului telefonic este o încălcare a dreptului la viață privată, mă refer strict la situația angajator-angajat. Am selectat strict numai astfel de cauze pe care le vedeți, nu le mai citesc ca să economisim timp, le aveți punctate. Însă am ținut să mergem puțin în istoricul acestor rețineri ale ingerinței în dreptul la viață privată pentru a vedea cum s-a ajuns la cauza Bărbulescu. Aș cita o singură remarcă legată de cauza …. împotriva Germaniei, s-a reținut că nu a fost încărcat art. 8 din CEDO, după cum vedeți, situația faptică era supravegherea video a unei casiere la un supermarket suspectată de furt. Curtea a spus că a fost o măsură limitată, nu privea decât zonele accesibile publicului, în jurul casei de marcat, și s-a reținut că nu a fost o ingerință în viața privată a angajatei. Ar mai fi și acea cauză împotriva Islandei, dar acolo era o situație puțin mai diferită, în sensul că societatea care stocase niște date cu caracter personal ale angajatului dăduse faliment. Acele date au fost preluate de o persoană necunoscută și au ajuns undeva în mass-media. Din această perspectivă s-a reținut că nu s-a depășit, de asemenea, marja de apreciere a statului în a reține că nu a fost încălcare. O altă cauză, Niemietz contra Germaniei, este importantă din perspectiva modului în care au fost incluse în noțiunea de viață privată, activitățile de natură profesională, întrucât se reține că în timpul vieții lor active majoritatea oamenilor au o oportunitate semnificativă de a dezvolta relații cu lumea exterioară, spune Curtea și atunci extinde cumva această noțiune de viață privată și în zona activității de serviciu și a locului de muncă. Ajungem la cauza Bărbulescu contra României, probabil nu vreau să… poate că mulți dintre dvs. deja au analizat-o în detaliu, însă cauza, mai ales că este hotărâre a Marii Camere, a venit și a trasat niște principii foarte importante. Nu am să vă rețin, doar vă trimit la paragrafele de la 70 până la 77, 78 ale Curții. Aș vrea să subliniez că s-a reținut de către Curte, la fel, foarte important, chestiunea legată de informarea înainte de monitorizarea comunicărilor angajatului. De asemenea, s-a reținut că instrucțiunile unui angajator nu pot reduce la zero, chiar dacă l-ai informat, trebuie să existe o marjă în care acel angajat trebuie să aibă posibilitatea chiar și la locul de muncă să aibă o minimă comunicare, și de aceea respectarea vieții private și a confidențialității corespondenței să existe, chiar dacă acestea pot fi restricționate, în măsura în care este necesar. Vorbeam de principii, de niște principii pe care Curtea le-a stabilit în a aprecia situațiile în care se produce această ingerință. Mergem la paragraful 121 în care se reține că este esențială în aprecierea proporționalității unei astfel de limitări a dreptului la viață privată următorii factori relevanți pentru Curte și pe care autoritățile naționale, când s-ar confrunta într-un litigiu de muncă cu astfel de situații trebuie să le urmărească. Se punctează: dacă angajatul a fost notificat cu privire la faptul că angajatorul ia măsuri de monitorizare a corespondenței și altor comunicări, amploarea monitorizării, așa cum vedeam și anterior, cât îl urmărești, poate să fie doar pe durată determinată, nu înseamnă că trebuie să asigure o monitorizare cu un grad de intruziune foarte mare în viața privată a angajatului, dacă au existat motive legitime pentru a justifica această monitorizare a comunicărilor, dacă exista posibilitatea unor alte metode de verificare decât cele de a verifica, cum a fost cazul în speță, corespondența făcută de angajat în timpul programului de pe aparatul aflat în posesia lui și pe conexiunea angajatorului, consecințele monitorizării și așa mai departe. Din această perspectivă, Curtea a stabilit niște reguli destul de clare care ar trebui urmărite de orice angajator atunci când ia o astfel de decizie. Bănuiesc că toți suntem juriști în sală, pentru cei care dau ei, nu? Atunci, cu atât mai mult, învățăm și în alte zone, recomandările cel puțin din perspectivă legală pe astfel de situații este că angajatorii care iau decizia să aplice astfel de măsuri de monitorizare la locul de muncă, evident că ar trebui să aibă și o astfel de opinie cu privire la limitele în care poate să decidă o astfel de situație și în care, mergem și încercăm să conchidem acest subiect, mergând și ajungând la obligația de informare și la consimțământul angajatului. Aici referirile la legislația muncii, am simțit nevoia să plec din zona CEDO și să mă duc să văd ce zice și codul muncii la noi, că noi vorbim acum și de modul în care în plan intern vom aplica astfel de reguli. Am constatat că avem și aici suficiente garanții de reglementare pe care ar trebui să le urmărim, mă refer la art. 40 alin. (1) și (2), care consacră atât drepturile, cât și obligațiile angajatorului, cu sublinierea pe care aș face-o că, atunci când e vorba de angajator, în virtutea dreptului său de a organiza activitatea societății, include și această exercitare a controlului cu privire la modul de îndeplinire a sarcinilor de serviciu, pentru că altfel ar însemna să anihilăm total un astfel de drept al angajatorului. Cred că nu poate fi dus la absurd și absolutizat modul în care, într-o situație de speță, Curtea a decis cum ar fi în cauza Bărbulescu. Însă acest echilibru, cum ziceam, între cele două, între dreptul angajatului la intimitate și dreptul angajatorului de a exercita acest control asupra modului în care îți îndeplinești atribuțiile, asiguri securitatea, confidențialitatea datelor pe care le gestionezi în cadrul serviciului, trebuie să fie asigurat un astfel de echilibru încât nici angajatorul să nu fie pus într-o situație în care până la urmă ce să fie, ca în piața publică, în care oricine face ce vrea și el să nu poată să facă nimic de teamă că va fi sancționat că a încălcat dreptul la intimitate al angajatului. De aceea, cred că trebuie avut în vedere și regulamentul 679/2016 care reglementează aspecte privitoare la un astfel de consimțământ al angajatului și care trebuie să se concretizeze într-o…, aici cred că depinde de creativitatea fiecăruia atunci când gândește un sistem de… până la urmă și probatoriul, cu privire la titlul de declarație pe care ajunge să o dea un angajat sau declarație dublată de reglementări în regulamentul intern, negociate chiar cu sindicatul, acolo unde este cazul să fie prevăzute niște reglementări concrete în contractul colectiv de muncă, dacă există, sau în regulamentul de ordine internă, astfel încât să nu se poate aprecia la un moment dat, când apar situațiile de conflict pe o astfel de problemă, că ar fi fost un consimțământ viciat prin raportul acesta de subordonare care implică, evident, niște limite ale modalități în care consimțământul angajatului poate să fie exprimat. Punctul 155 din această recomandare se referă și la aceste acorduri colective de muncă, în care pot fi prevăzute norme specifice care să reglementeze prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, astfel încât și în mod special cu privire la modalitatea în care s-ar obține un astfel de consimțământ. Ce aș putea să vă mai spun, sunt foarte multe lucruri, de ce nu îmi propun să epuizez subiectul. Cred că ar fi cazul să închei cu o trimitere și la un alt document cu caracter internațional, chiar dacă nu are puterea unei reglementări, dar mi s-a părut esențial să vă aduc în atenție și raportul Biroului Înaltului Comisariat al Națiunilor Unite pentru Drepturile Omului, intitulat acest raport Dreptul la intimitate în era digitală în care se apreciază că, tocmai datorită acestei creșteri a tendinței de supraveghere a maselor, bazată și pe faptul că suntem într-o eră digitală, în mod cert trebuie să existe o analiză aprofundată a chestiunilor care țin de protecția eficientă a legii, de garanții procedurale, de supraveghere eficientă, dar nu în ultimul rând și de căi de atac, și numai într-un astfel de context să se asigure un echilibru între ceea ce ziceam a fi drepturile concurente ale angajatului pe de o parte, și ale angajatorului, pe de altă parte. Vă mulțumesc pentru că ați avut răbdarea și atenția să mă ascultați și sunt convinsă că vom mai discuta, poate și după ce colegul nostru ne va da și perspectiva celui care ar trebui să urmărească în cadrul angajatorului, să urmărească modul în care s-ar respecta aceste drepturi.

Participant: Fiți amabilă, am o singură întrebare. Într-unul din slide-uri, cred că pe la jumătate, era prevăzut acolo o cerință cu privire la monitorizarea angajaților. Acolo, în slide-ul respectiv, în cerință, spunea așa, să se asigure că datele colectate nu sunt utilizate pentru prelucrarea ulterioară ilegitimă și în ceea ce privește evaluarea angajatului. Aici există o problemă și vreau să vă întreb cum vedeți dumneavoastră această cerință vs următoarea situație reală: există foarte mulți furnizori de utilități, în special de exemplu de energie electrică, care au contracte de furnizare a energiei electrice cu clienții. Prin contract se obligă furnizorul să trimită o mașină de intervenție care să soluționeze o problemă tehnică apărută într-un timp maxim de intervenție. Mașinile de intervenție sunt monitorizate GPS, oricum 24 din 24, inclusiv din motive de protecție la furturi pentru combustibil, materiale, echipamente și așa mai departe, și nu în ultimul rând, angajatorul respectiv, furnizorul de utilități, în special de energie electrică, el fiind obligat prin contractul de furnizare să răspundă cu echipa de intervenție într-un timp maxim de … el prin această monitorizare de vehicul își practic supraveghează angajatul, în cât timp răspunde angajatul, în cât timp ajunge și se deplasează cu mașina la o anumită distanță. Având în vedere că el practic își evaluează angajații, în cât timp ajung și intervin, cum priviți dumneavoastră aceasta versus cerința de mai devreme?

Monica Livescu: Cred că e totuși o chestiune, dacă vizează doar această reacție a timpilor de reacție ai angajaților, până la urmă ține de această atribuție de control al modului în care se desfășoară activitatea în întreprindere, fără să constituie în mod necesar o încălcare a dreptului la viață privată. Până la urmă, testarea modalității în care angajatul răspunde unei solicitări care are la bază chiar și o obligație contractuală a angajatorului față de un terț beneficiar nu cred că ar constitui o astfel de ingerință.

Participant: Eu v-am întrebat pentru că, practic ultima parte a acelei cerințe exact la asta se referea, la eventuala evaluare ulterioară a angajatului. Era o cerință, undeva în ultimul paragraf, pe pagina…

Monica Livescu: Da, am văzut la ce vă referiți. Este aprecierea mea. Personal, pentru o astfel de ipoteză, este adevărat că soluțiile pot fi circumstanțiate de la caz la caz  sau cât a contat o astfel de evaluare ulterioară, de prelucrare ulterioară a celor date de monitorizare, să zicem, dacă ajungi să faci o reducere de personal, și zici: ia să vedem, din 10 șoferi, tu ai avut tot timpul întârzieri, uite că rezultă din monitorizare, te dau pe tine afară că cealălalt a fost mai performant și de fiecare dată ajuns în timp util, să zicem, într-o ipoteză. Cam la asta s-ar referi o evaluare ulterioară a performanței angajaților.

Participant: Însuși business-ul respectiv, angajatorul, utilizatorul, el încearcă să își maximizeze profitul. Este evident că, în caz de restrângere a afacerii el va pune pe liber, ca să zic așa, pe angajații care au avut un timp răspuns în acest caz, de exemplu, mai prost. Pur și simplu, în felul ăsta limitezi existența business-ului, într-un fel. Pe ce criterii atunci să te bazezi atunci când îți restrângi business-ul și trebuie, ești pus în situația în care trebuie să elimini o parte din angajați? Pe ce criterii?

Monica Livescu: Acuma, eu v-am prezentat ceea ce am identificat a fi opiniile acestui grup de lucru a Comisiei Europene în aplicarea Regulamentului și a chestiunilor care țin de această supraveghere. Evident că asta nu înseamnă că are caracter de lege, dar poate fi o nuanță de interpretare, care în practică într-adevăr să genereze o vătămare pentru un angajator, cum puneți dvs situația, care este excesivă.

Participant: Pare excesivă…Până la urmă, în principiu, mai toată lumea o să devină angajat, fiindcă angajatorii o să fie nevoiți să răspundă la foarte, foarte multe cerințe și practic business-ul în sine cine îl va mai face, dacă aia nu, aia nu, aia nu…

Monica Livescu: Da, are și doamna o întrebare, să vedem poate e în legătură și ne mai dă o sugestie legată de o astfel de interpretare.

Participant: Nu neapărat de interpretare, legat de monitorizare. Am să vă expun o situație foarte pe scurt, care de altfel, cred că o să vă și pară amuzantă pentru creativitatea conaționalilor noștrii. Într-o companie, la sediul central, unde patronul era socotit de salariați că are un comportament meschin, i s-a aranjat în așa fel ca să i se pună patronului un GPS pe mașină, deci o monitorizare, situația inversă din partea salariaților de data asta față de patronul angajator. Îi interesa foarte mult, făcând deplasări de serviciu prin țară, bietul patron este monitorizat prin GPS și salariații știu tot timpul unde este și profită într-un fel sau altul despre chestia asta. Cum putem califica această atitudine, dacă este să o luăm juridic?

Monica Livescu: Acum trebuie să clarificăm dacă acel GPS făcea parte din ceea ce însuși patronul dispusese să fie pus pe toate autovehiculele.

Participant: Da, erau mașini, nu toate mașinile, dar mașinile de serviciu care făceau un soi de, mă rog, în atribuții de serviciu erau niște agenți de vânzări care umblau cu niște dubițe mai mici și într-o conspirație oarecare, patronul fiind un cetățean străin, v-am spus, al cărui comportament a fost socotit meschin, să zic, în ghilimele, de către salariați.

Monica Livescu: Și ce au făcut angajații cu aceste informații? Înțeleg că le-au folosit, ei  în calitate de angajați au luat cunoștință de ele, după care …ce au făcut?

Participant: Le-au folosit în sensul că știau tot timpul unde este patronul și își rezolvau probabil niște probleme personale în timpul programului, știind unde el a plecat. Cum calificăm totuși acest lucru, monitorizarea aceasta? Mulțumesc.

Andrei Săvescu: Este firesc să fie interesați unde este pisica și, nu-i așa, orice om este interesat să știe unde este pisica. Remarc cuvântul dumneavoastră, ați folosit cuvântul meschin, adică patronul era meschin. Putea să fie meschin de-adevăratelea, că mă uit în dex, zice lipsit de generozitate, de noblețe sufletească. Sigur că sunt niște chestiuni, adică e frumos să ai generozitate și noblețe sufletească, dar probabil nu este specific business-ului. Adică, patronii nu au chiar în fișa postului generozitatea și noblețea sufletească, și pe bună dreptate că l-au monitorizat, bine i-au făcut. Păi, de ce ia bani din firmă la fel ca și salariații? Cred că nu prezintă pericol social, dacă mai era 181 nu era nicio problemă. Acum s-ar renunța la urmărire.

Participant: Da, dar să știți că situația este reală.

Andrei Săvescu: Dar sunt convins că este reală, și ei îl monitorizează oricum. Monitorizează pisica și cu ochii și zic: psst… vine! Nu e nevoie de GPS.

Participant: Dacă îmi permiteți o ultimă remarcă, dacă angajații au utilizat sau ar utiliza în anumite scopuri neortodoxe, să le numesc așa, astfel de informații legate de traseele patronului, poate că într-adevăr patronul s-ar putea la un moment dat să se plângă într-un context de această încălcare a dreptului la viață privată, dacă între atribuțiile angajatului, care avea, să zic, în atribuțiile de serviciu, să monitorizeze toate mașinile, indiferent că o folosea patronul sau un angajat, dar poate le folosește în alte scopuri decât cele pentru care era abilitat să fac această monitorizare. Și atunci putem vorbi de o încălcare a dreptului la viață privată chiar și al patronului.

Andrei Săvescu: Dar ce viață privată…Patronul nu are viață privată! Nu ai ce să îi încalci…

Participant: Dar pot interveni sancțiunile disciplinare pe codul muncii în situația respectivă. Altă întrebare?  Moment, o clipă.

Alt participant: În situația în care avem în cadrul companiei, magazine care comercializează bijuterii scumpe…

Andrei Săvescu: Felicitări!

Același participant: Ceasuri scumpe…

Andrei Săvescu: Wow!

Același participant: Suntem obligați să avem camere de luat vederi în magazinele respective.

Andrei Săvescu: Sunteți obligați de…?

Același participant: De autorități, de poliție, de asigurator ca să putem să… Cu ajutorul acestor camere monitorizăm, ca să zic așa, și de la sediu prezența salariaților în magazine, sediul fiind în altă parte, magazinul în altă parte. Trebuie să știm cine a venit, cine nu a venit. Considerați o intruziune în viața privată a salariatului?

Monica Livescu: Consider că nu, pentru că vorbim de acel interes legitim al angajatorului care poate fi justificat datorită obiectului specific de activitate, care impune o necesitate de protecție sporită pentru a-și putea desfășura activitatea. Din punctul meu de vedere și în raport de toate elementele pe care le-am prezentat, consider că nu este o încălcare a dreptului la viață privată al acelor angajați.

Același participant:  Mulțumesc!

Andrei Săvescu: Oricum, o soluție contrară ar însemna că dacă avem o cameră de supraveghere al unui seif în fața căruia patrulează personalul de pază să fie încălcat dreptul la viață privată al personalului de pază care stă și păzește seiful. Nu, glumeam, firește! Alte întrebări? Am o considerațiune de 30 de secunde, 40 de secunde, înainte de a trece la subiectul cel mai fierbinte al zilei probabil, DPO. Am remarcat, puteți remarca și dumneavoastră, pe Carta Drepturilor Fundamentale, am remarcat că primul articol se numește demnitatea umană. Primul dintre drepturile fundamentale este demnitatea umană, ca să nu mai zic că face parte din titlul 1, primul articol, în mod firesc. Nu o să ghiciți titlul primului titlu…Demnitatea! În titlu 1, Demnitatea, avem art.1 demnitatea umană, apoi dreptul la viață, apoi dreptul la integritate, interzicerea torturii și  a pedepselor inumane și degradante și art. 5 – interzicerea sclaviei. Apropo de dispozițiile, că asta voiam să vă spun, apropo de dispozițiile art. 82 alin. (3), de la răspundere, din Regulament, în sensul că operatorul este exonerat dacă nu are niciun fel de culpă pentru evenimentul care a cauzat prejudiciul, în Carta, n-o să credeți pe ce poziție este prezumția de nevinovăție…ați ghicit! Este vorba de art. 48. Demnitatea umană despre care e vorba în Regulament este la art. 1 din titlu 1, care se cheamă la fel – Demnitatea. Prezumția de nevinovăție este la art. 48 din Cartă.

Participant: Dar nu au aceeași valoare juridică?

Andrei Săvescu: Bineînțeles că au aceeași valoare juridică, e doar o simbolistică, asta cu ce articol, vă dați seama. Începe cu demnitatea doar așa ca să…mai mult de imagine. Bineînțeles că au valoare juridică egală, se interpretează unele prin altele, se pot face restrângeri și trebuie să fie proporționale și așa mai departe, doar că sunt într-o anumită ordine. Asta era considerațiunea pe care voiam să v-o spun, care se regăsește de altfel și în art. 39 din Codul muncii, Principalele drepturi și obligații ale salariatului, respectiv la drepturi, salariatul are dreptul la salarizare, putea să lipsească, este atât de esența, firește că are drept la salariu, apoi urmează repausul zilnic și săptămânal și este o literă separată, de fapt e același lucru, e vorba tot de repaus, concediu de odihnă. Deci are, în primul rând, dreptul să primească bani, apoi are dreptul să stea, nu se lucreze în permanență, să stea zilnic, să stea săptămânal, să stea anual, după care are dreptul la egalitate de șanse și tratament – Revoluția franceză – și urmează, ați ghicit, dreptul la demnitate în muncă, pe poziția 4 din 14, adică foarte top, dar în realitate nu sunt chiar 4, că sunt la fel primele, deci e undeva pe poziția 3-4, demnitatea în muncă, între drepturile menționate de Codul muncii pentru salariat. Revin la ideea cu demnitatea, că am un fix, după cum ați observat, aș vrea să o subliniez, pentru că altminteri este greu de înțeles de ce este atât de importantă protecția datelor, din motive care țin de demnitatea umană, fiindcă altfel costă mult, e greu de lucrat cu chestiunea asta. Demnitatea umană este o chestiune foarte importantă. Adică să ne prefacem, pardon, adică să ne comportăm unii cu alții ca și cum de aceea este… de aceea CEDO are dreptate, că nu înțelesesem când a fost Bărbulescu prima oară, nu înțelegeam, cum Dumnezeu, și nici nu judecătorii CEDO nu au înțeles, știți că au fost foarte la cuțite, nu înțelegeam de ce să spună CEDO: Domnule, lasă-l să aibă  viață privată la serviciu, pe calculatorul angajatorului, în timpul de lucru, pe softul angajatorului, viață privată? De fapt, nu e vorba de viața privată, e vorba de faptul că oamenii trebuie să aibă demnitate, să li se asigure demnitatea în orice împrejurare, chiar și la serviciu în timpul lucrului. Sigur că unii ar putea să profite de chestiunea asta și să facă niște lucruri care nu ar fi chiar în regulă, adică noi ne facem că îi respectăm, dar ei nu se comportă la nivelul așteptărilor noastre. Asta este, o să renunțăm, o să găsim alt salariat cu un profil moral corespunzător. Dar ideea generală este că oamenii trebuie respectați și pe cât posibil lăsați să facă așa cum simt ei. Nu simt conform cerințelor angajatorului, mulțumim pentru colaborare! Poate o să găsească un angajator căruia îi convine ca el să stea să fure sau, eu știu, să facă… așa. Ideea este că oamenii trebuie să aibă demnitate inclusiv la locul de muncă pentru că militarii sunt puțini. Nu toți reacționează pozitiv la o regim militarizat. Asta voiam să spun. Haideți să-i facem fișa postului responsabilului pentru protecția datelor personale.Vă rugăm, domnule avocat!

Dan Curiciuc: Bună seara și mulțumesc tuturor celor care au mai rămas până la această oră să avem această discuție. E un subiect de maxim interes pentru persoanele interesate, cu precădere conducătorii de departamente de HR și viitorii DPO pentru că se naște, mulțumită Uniunii Europene, o nouă funcție, atât ca poziție internă în cadrul operatorilor, dar și funcție ca ansamblu de drepturi, obligații, răspunderi și prerogative. Nu e prima dată când, ca urmare a unei directive europene sau a unui regulament, se implementează sau se creează un nou tip de funcție. Am mai avut astfel de situații, în multe dintre domeniile reglementate, cum ar fi sectorul financiar, sectorul bancar sau de asigurări. Am avut ocazia să ne întâlnim cu funcții și cu instituții juridice care, în cele din urmă, au condus la dezvoltarea unor noi poziții în cadrul entităților reglementate. De această dată, nu ne aflăm în prezența unui regulament targetat pe un anumit domeniu de activitate, ci targetat pe un anumit domeniu de practică și de cazuistică. Dintre toate funcțiile și dintre toate ocupațiunile pe care le-au creat directivele și regulamentele europene, poate aceasta, DPO, este acum cea mai mediatizată și cea mai discutată. Conform unor estimări, se preconizează că o dată cu aplicabilitatea Regulamentului, undeva între 85.000 și 100.000 DPO vor fi necesari. Aici cred că s-a avut în vedere și acele situații în care Data Protection Officer nu este un salariat, ci este un terț prestator de servicii și poate asigura funcția aceasta de DPO pentru mai mulți beneficiari. Deci această estimare de 85-100.000 se referă doar la numărul de DPO, nu și la numărul efectiv de întreprinderi, de profesioniști care în cele din urmă vor avea nevoie să implementeze această funcție la nivel intern. Tot cu titlu de introducere, Regulamentul nu s-a născut din neant, el este, în cele din urmă, rezultatul practicii și rezultatul cazuisticii, la fel instituția DPO nu este una nouă și necunoscută la nivel european. Germania are de mulți ani impletementat la nivel intern posibilitatea numirii de DPO și nu doar posibilitatea, ci obligativitatea în anumite cazuri și colegii noștri din Uniune sunt deja obișnuiți cu această nouă instituție. O să încercăm să abordăm doar câteva chestiuni – trei chestiuni principale sau care merită o atenție specială. E doar o picătură într-un ocean pentru că pe cele trei articole care nu au dimensiuni extraordinare, putem să discutăm multe ore. Vom aborda posibilitatea numirii unui DPO atunci când nu este obligatorie o astfel de acțiune, fișa postului DPO-ului pentru că ne vom raporta strict la acest responsabil când are calitatea de salariat și nu cea de terț prestator de servicii și în cele din urmă, vom aborda puțin și subiectul conflictului de interese pentru că Regulamentul prevede și posibilitatea cumulului de funcții la nivel intern. Și când discutăm de cumul de funcții, putem discuta foarte simplu și despre conflictul de interese, mai ales în cazul acelor operatori sau împuterniciți, la fel de bine discutăm și despre aceștia, care nu au număr mare de salariați și dintre cei existenți trebuie să numească un DPO. Discuțiile sunt nenumărate. bugetul pe care-l va avea DPO-ul la dispoziție, răspunderea acestuia, numirea unui DPO la nivel de grup – din nou o posibilitate, toate acestea sunt laturi ale unei noi funcții introduse de către Regulament și vom avea prilejul în practică să ne întâlnim cu toate acestea. O să rămân concis și la subiect. Poate vom avea după aceea posibilitatea de a discuta unele aspecte practice. Și să începem cu posibilitatea numirii unui DPO când nu este obligatoriu conform Regulamentului. Avem menționate în Regulament acele situații în care e obligatoriu. La articolul 37 se menționează aceste situații. Cu mai multă sau mai puțină ușurință se pot determina și se pot determina operatorii care vor avea nevoie de un DPO sau care vor fi obligați să numească un DPO. De altfel, Grupul de Lucru pe articolul 29 a și emis o serie de instrucțiuni sau un ghid pentru a defini și ajuta la definirea situațiilor în care e necesară numirea unui DPO. Dar ne ce facem pentru acele situații în care nu încadrăm. nu suntem clar pe cele trei ipoteze, prevăzute de Regulament și cu toate acestea vrem să numim un DPO? E important de spus că nu ne interzice nimeni să facem acest lucru. Aderarea benevolă la instituția juridică a DPO-ului este posibilă și prin prisma prevederilor Regulamentului și mai ales nici legislația internă nu are prevederi care ar conduce la o interpretare că este interzis acest lucru. Deci oricine este operator și dorește să numească un DPO poate să facă acest lucru. De ce am numi un DPO dacă nu suntem obligați? Care este justificarea? Care este motivația de a ne asuma un astfel de rol și de a ne asuma în cele din urmă obligații suplimentare și de a duce nivelul de conformitate la un nivel superior?  Desigur, situațiile pot diferi în practică, de la asumarea unor obligații, de corporație socială – corporate social responsibility – mulți profesioniști, în ziua de astăzi, chiar dacă nu sunt obligații să implementeze anumite obligații, le fac benevol tocmai pentru a dat un model de a se plia pe noile nevoi ale societății civile și desigur e și un capital de imagine în unele cazuri. O altă situație, solicitarea unui partener contractual, mai ales în cazurile în care discutăm de împuterniciți. Solicitarea unui partener contractual care poate fi formulată în acest sens pentru a avea și el, la rândul său, care putem la fel de bine să presupunem că este obligat să aibă un astfel de DPO, solitică numirea la nivel intern a unui DPO, tocmai pentru a se putea corela și a avea o abordare unitară la nivel contractual. Abordarea unitară la nivel intern este un astfel de motiv pentru că deși se procesează și se utilizează date cu caracter personal, din dorința de a le procesa în condiții de legitimitate și în condiții de siguranță, pot permite adoptarea modelului de DPO. Totuși, aderarea convențională la sistemul Data Protection Officer nu trebuie să fie făcută cu jumătate de măsură, în sensul că, o dată numit, chiar dacă nu erai obligat să faci acest lucru, va trebui să respecți toate acele drepturi, obligații și prevederi referitoare la instituția DPO-ului. În caz contrar, se poate ajunge foarte ușor la situația unor DPO hibrizi, care împrumută anumite caracteristici, însă nu duc la bun sfârșit misiunea și rolul pe care Regulamentul le-a avut în vedere pentru un DPO, să fie un liant între operator și persoanele vizate. Dacă mergem pe ipoteza contrară, în care este obligatorie numirea DPO-ului, dar totuși se dorește adoptarea unui set de reguli interne și adoptarea unei funcții similare, recomandarea practică în acest caz, dacă nu se dorește conformarea totală la prevederile Regulamentului, este ca acea persoană să nu poarte titulatura de Data Protection Officer. În caz contrar, autoritățile și toți terții vor fi tentați să creadă că sunt în prezența unei astfel de persoane. Și când discutăm despre autorități, cu precădere Autoritatea de supraveghere în domeniu, ea va considera că trebuie să ofere același tratament, ca unei entități care se conformează întru-totul pe Regulament. La fel, se poate avea în vedere crearea unui departament intern care să îndeplinească aceste funcții, fără ca, în cele din urmă, rezultatul final să fie numirea unui DPO. Cum spuneam la început, e la latitudinea fiecărui profesionist dacă vrea să facă acest lucru și motivele din spate variază de la caz la caz. Important este că se poate, însă la fel de bine, trebuie analizate de la bun început oportunitatea și urmările pentru că în caz contrar, pot fi afectate drepturile persoanelor vizate. Mergem la departe pe situația în care suntem în unul dintre cazurile în care trebuie să numim un DPO și se alege opțiunea unui salariat și nu cea a unui terț prestator de servicii. Regulamentul prevede un set minim de atribuții specifice ale unui astfel de responsabil. Paleta de atribuții în cele din urmă pe care DPO va trebui să și le asume va crește proporțional cu scara la care prelucrările de date cu caracter personal au loc la nivelul operatorului. Dimensiunile și resursele aferente unui DPO ca funcție internă, nu doar ca salariat, vor trebui să fie proporționale cu nivelul prelucrării. Regulamentul prevede deja câteva atribuții esențiale. Este setul minim pe care orice DPO îl va avea de îndeplinit și le am notate: informarea și consilierea operatorului, monitorizarea respectării Regulamentului, probabil cheia de boltă a activității unui DPO, furnizarea de consiliere în ceea ce privește evaluarea impactului asupra protecției datelor, cooperarea și legătura cu Autoritatea de supraveghere pentru că DPO-ul va fi punctul de contact pentru Autoritatea de supraveghere și nu doar atunci când va fi un incident de securitate, ci pentru orice fel de situație și, la fel, punctul de contact pentru persoanele vizate. În viziunea Regulamentului, DPO-ul este o persoană și nu un departament. Este o persoană individualizată, care poate fi individualizată și identificată. Nimic nu preîntâmpină ca orice operator să își organizeze la nivel intern o structură de sine stătătoare în cadrul căreia DPO-ul să activeze și această structură să asigure DPO-ului acele resurse umane necesare îndeplinirii funcției sale. În cele din urmă, restul membrilor compartimentului nu vor acționa ca DPO adjuncți, ei vor asigura sprijinul necesar pentru îndeplinirea sarcinilor pe care le are responsabilul. Pentru că responsabilul este responsabil față de angajatorul său, dar în cele din urmă este un garant al respectării drepturilor persoanelor vizate. Este cel care veghează ca operatorul să respecte prevederile Regulamentul și obligațiile pe care le are la nivel intern. Utilizarea unor compartimente interne care să asigure logistica și sprijinul necesar unui DPO, nu absolvă de răspundere și nici nu lipsește de competențe DPO-ul. În colaborare cu operatorul, angajatorul său, el trebuie să se asigure că-i sunt respectate propriile drepturi și privilegii și instrumente pe care le are la îndemână – DPO-ul trebuie să aibă la îndemână un buget și trebuie să aibă la dispoziție acele mijloace asigurate de angajator să ducă la îndeplinire politicile de securitate în materia protecției datelor cu caracter personal și angajatorul său să-i urmărească și să-i respecte îndatoririle specifice. În practică, activitatea operațională pe care o are DPO-ul, aceea de a fi punctul de contact pentru persoanele vizate, ne putem lesne închipui o situație a unui operator, fusese exemplul de mai devreme, de furnizor de utilități – operator care procesează datele a mii sau poate chiar zeci de mii de clienți persoane fizice – persoane vizate. Fiecare dintre acestea are dreptul de a contacta DPO-ul, în măsura în care dorește să discute sau să sesizeze o încălcare a drepturilor sale sau să îi exercite unul dintre drepturi – dreptul la portabilitate sau dreptul de a fi uitat, că tot discutăm despre noile instituții create de Regulament. DPO-ul poate delega în practică aceste atribuții operaționale către subalternii săi, rămânând responsabil ca punct de contact și ca persoană mijlocitoare între persoanele vizate și angajator. Aici am discutat inițiale despre unele dintre atribuțiile DPO-ului. Când discutăm despre fișa postului, ne raportăm și la acea formă relativ standardizată, așa cum e ea prevăzută de legislația muncii. Dincolo de acest set minim de responsabilități, DPO-ul va avea și sarcina de a răspunde altor nevoi ale angajatorului în materie direct legată sau conexă din protecția datelor cu caracter personal. Funcția sa are și o componentă de reprezentativitate, nu doar cea referitoare la punctul de contact cu autoritățile sau cu persoanele vizate, ci o funcție de reprezentativitate când este necesară detalierea politicii de securitate și de prelucrare a datelor de către operator sau în cadrul relațiilor cu partenerii contractuali. În aceea ce privește un alt aspect al fișei postului responsabilului cu protecția datelor cu caracter personal, obiectivele de performanță individuală, pentru că și acestea trebuie completate și trebuie avute în vedere: este obligatoriu și în multe cazuri au loc confuzii sau abordări imprecise. Raportarea în privința obiectivelor de performanță individuală, raportarea la Regulament, este necesară, însă nu și suficientă. De ce? Regulamentul nu impune studii specifice sau certificări aparte pentru DPO, dar menționează, fără echivoc, că acesta va fi desemnat pe baza calităților profesionale și în special a cunoștințelor de specialitate în drept și în practicile din domeniul protecției datelor. Stabilirea obiectivelor de performanță și alegerea sa trebuie să urmărească un anumit număr de criterii de competență și de etică. Nivelul de cunoștințe tehnice și a reglementărilor aplicabile trebuie să îi permită DPO-ului, raportat la scara prelucrărilor de date de la nivelul organizației să răspundă conform cu natura și complexitatea procesărilor. În mod evident, o bună cunoaștere a Regulamentului este necesară, nu este suficientă și trebuie completată cu cunoașterea inclusiv a practicilor locare și internaționale în materie de protecția datelor cu caracter personal. În cele din urmă, aș putea să conchid, referitor la acest aspect din fișa postului a DPO, că o bună cunoaștere a modului de funcționare a organizației, în special la nivel IT, este în mod egal intrinsecă a funcției de DPO. Nu poți asigura conformitatea și nu poți verifica existența conformității și a respectării Regulamentului dacă nu știi, la nivel de detaliu poate, modul în care funcționează organizația. Din nou, nu ne referim doar la acei operatori cu activitate de prelucrare redusă. Discutăm și despre acele situații în care un volum mare de date trece prin mâinile operatorului și DPO-ul este cel responsabil să cunoască atât modul în care aceste informații intră în posesia operatorului, cum sunt prelucrate, în ce condiții sunt prelucrate, destinația și scopul final al acestora. Acționează ca un mijlocitor, un liant între drepturile persoanei vizate și angajatorul său operator. Trecem la cumulul de funcții al DPO-ului. Regulamentul, din nou, în cele trei articole care tratează funcția DPO-ului sunt suficient de precise și suficient de clare încât să deschidă și această posibilitate a unui cumul de funcții. De ce? Pentru că nu toți operatorii vor avea capacitatea financiară sau operațională de a angaja serviciile unui terț prestator de servicii sau de a angaja o nouă persoană care să intre în organigrama societății. O astfel de prevedere se completează și cu Codul muncii din România care prevede la fel posibilitatea cumulului de funcții și lasă la opțiunea angajatorului și a salariatului modalitatea în care acest cumul de funcții să fie realizat. Totuși, e recomandabil în cazul unui DPO care îndeplinește și alte atribuții la nivelul angajatorului, cumulul să fie realizat în baza unor contracte de muncă individuale distincte și cu fișa postului separate. De ce este această recomandare? Din rațiuni de precizie și obiectivitate. Atribuții în acest mod pot fi clar identificate, clar definite, se pot identifica de sine stătător și nu prin raportare sau în conjuncție cu celelalte funcții cumulate sau prin crearea unor posturi care să combine atât drepturile, responsabilitățile și prerogativele specifice DPO cu ale unor alte funcții. O astfel de distincție prezintă avantaje practice și pentru angajator și pentru salariatul DPO, mai ales în ipoteza în care s-ar pune în discuție atragerea răspunderii disciplinare a unui DPO salariat. Regulamentul prevede în mod expres faptul că DPO-ul nu poate fi tras la răspundere sau sancționat pentru acele acțiuni săvârșite în exercitarea funcției sale în măsura în care sunt conforme cu Regulamentul. DPO-ul care cumulează mai multe funcții și beneficiază de această diferențiere și individualizare precisă a atribuțiilor, în acest caz este mai ușor să se identifice circumstanțele care conduc la o astfel de răspundere disciplinare sau la o potențială atragere a răspunderii disciplinare. Diferențierea clară a sarcinilor și a atribuțiilor ajută la individualizarea precisă și a atribuțiilor încălcate posibil, fiind un instrument util tocmai pentru evitarea intercalărilor care ar conduce la încălcarea acelei reguli stabilite de Regulament. Când discutăm de cumul de funcții în acest context, discutăm și de posibilitatea unui conflict de interese între atribuțiile specifice unui DPO și atribuțiile funcției cumulate. Este atribuția și responsabilitatea operatorului angajator să se asigure că nu există un conflict de interese. E prevăzută explicit o astfel de obligație, o astfel de sarcină stabilită pentru angajator pentru că el este operatorul, stabilește mijloacele și scopul prelucrărilor și în aceeași măsură este obligat să se asigure că drepturile persoanei vizate sunt respectate. Conflictul de interese când apare? Apare exclusiv în acele situații când în exercitarea atribuțiilor cumulate între DPO și cealaltă funcție, DPO-ul poate avea interese și scopuri diferite. Legitime, dar diferite, care influențează sau la fel de bine pot influența, avem în vedere acel potențial al conflictului de interese, îndeplinirea atribuțiilor sale cu imparțialitate și obiectivitate. Doar cu titlu de exemplu, e greu în practică de închipuit cum ar putea un DPO care îndeplinește și funcția de coordonator al departamentului de resurse umane să verifice și să fie verificat dacă sunt respectate drepturile și îndatoririle cu privire la prelucrarea datelor salariaților sau ale potențialilor salariați – persoane care trimit CV-uri și care doresc să devină angajați. Absența unui astfel de conflict de interese e strâns legată și de caracterul independent al DPO-ului, acesta nefiind subordonat decât managementului și trebuind să ducă la îndeplinire misiunea ce-i este acordată nu de operator, ci însăși de Regulament. Așa cum și fosta Directivă lăsa posibilitatea, instituirea acestei funcții a DPO-ului transferă din sarcina legislatorului obligația de notificare și înregistrare în sarcina operatorului. Activitatea nu mai este supravegheată și verificată de Autoritatea de Supraveghere fără ca prin  aceasta să fie văduvită de drepturile sale de verificare și control și se transferă în sarcina DPO-ului acea obligație de monitorizare a prelucrărilor datelor cu caracter personal. La fel, conflictul de interese apare în situațiile în care DPO-ul se monitorizează pe sine însuși, activitatea ce corespunde funcției cumulate ar trebui verificată chiar de DPO. O astfel de monitorizare nu poate conduce în niciun fel la acea așteptare de independență. Într-o oarecare manieră se poate face o comparație între DPO și avertizorul de integritate care este implementat în multe corporații multinaționale, la fel de bine și în instituțiile publice. Dar el este un avertizor de integritate, un whistle blower, nu în materie de respectare și de raportare către Autoritatea de Supraveghere, ci și cu privire la drepturile și interesele persoanei vizate. Prevenirea conflictului de interese se realizează în viziunea aceluiași grup de lucru pe articolul 21 care a emis acest set de instrucțiuni (în modul în care este formulat pare destul de simplu): prevenirea implică faptul că DPO-ul nu va putea ocupa în paralel o funcție ce ar trebui să determine scopurile și mijloacele de prelucrare datelor cu caracter personal și funcția de DPO. Grupul stabilește ca regulă generală faptul că anumite funcții din cadrul organizației sunt prezumate implicit că intră în conflict cu atribuțiile. Ele de regulă sunt funcții de conducere: director, director executiv sau operațional financiar, directorul de marketing sau de resurse umane. Nu trebuie excluse acele funcții cu rang inferior, ce nu sunt funcții de conducere, dar care la fel de bine pot reprezenta sau pot genera un conflict de interese, dar este necesar să se conchidă că aceste funcții inferioare conduc la posibilitatea de a stabili scopurile și mijloacele de prelucrare. Nu este relevantă aici titulatura postului cumulat, ci atribuțiile pe care le are acea persoană în cadrul său. E răspunderea angajatorului-operatorul să determine cazurile de conflicte de interese și să se asigure că DPO-ul nu se află într-un astfel de conflict de interese. Ca să concluzionăm, rolul de DPO, având în vedere specificul care i-a fost atribuit prin Regulament, implică un set variat de competențe pe care DPO-ul trebuie să le prezinte, trebuie să fie orientat în același timp și către detaliu, să înțeleagă aspectele tehnice ale activităților de prelucrare de date cu caracter personal la nivel organizațional, dar la fel de bine să fie o persoană cu viziune de ansamblu, să înțeleagă toate procesele și mecanismele și să aibă posibilitatea de a anticipa schimbările ce ar putea interveni. Și în cele din urmă, recunoașterea importanței funcției DPO-ului și a supravegherii efectuată de acesta la nivel intern e o cerință de bază în ceea ce privește abordarea pe care Regulamentul a adus-o, cea de stabilire a unei responsabilități accentuate a operatorului. În cele din urmă, către acest deziderat se înclină Regulamentul. Mulțumesc!

 

Andrei Săvescu: Mulțumim și noi. Întrebări!

 

Participant: Am mai adresat această întrebare și o să revin asupra ei, dacă responsabilul conform acestui Regulament poate fi totuși tras la răspundere o dată ca salariat, nu doar disciplinar, dar eventual pentru necorespundere profesională și în cazul în care este un serviciu externalizat, dacă poate fi tras la răspundere în baza contractului? Iar în cazul avocaților, disciplinar, dacă se poate. Iar a doua întrebare ar fi dacă responsabilul DPO poate avea la rândul său un împuternicit în sensul în care să se numească în interiorul societății – până acum noi speram să fie administratorul, dar înțeleg că în baza acestui aviz al grupului de lucru nu ar fi indicat să fie administratorul – o persoană din cadrul societății să fie totuși reprezentată, dacă merge la Autoritate, de către un avocat sau de către consilierul juridic care nu dorește să fie DPO dar tot trebuie să asiste DPO-ul, cel puțin pe aspecte legale. Mulțumesc!

 

Dan Curiciuc: Ok, să răspundem în ordine. Responsabilitatea și posibilitatea de a atrage răspunderea DPO-ului este posibilă. Avem o astfel de posibilitate. Regulamentul nu stabilește o imunitate sau o clauză de impunitate a DPO-ului. El nu poate fi tras la răspundere pentru îndeplinirea acelor sarcini care sunt stabilite prin Regulament sau așa cum ele pot fi detaliate prin fișa postului ori la nivel contractual. Regulamentul lasă deschisă această posibilitate, nu introduce nicio barieră în posibilitatea operatorului de a urmări. Chiar nerespectarea obligațiilor pe care le are, fie conform Regulamentului, conform setului minim de obligații sau conform obligațiilor suplimentare stabilite pentru DPO poate reprezenta o cauză de atragere la răspundere disciplinară, contractuală. Să nu privim DPO-ul ca o persoană nepedepsibilă. El rămâne în cele din urmă responsabil pentru buna îndeplinire a obligațiilor ce-i revin, nu poate fi tras la răspundere dacă și le îndeplinește fie cum prevede Regulamentul, fie cum au convenit părțile la început, pentru că până la urmă și raportul de muncă e un raport contractual, stabilirea conținutului fișei postului – la fel – poate fi corelată sau asemănată oricărui contract în care se stabilesc drepturile și obligațiile părților. În momentul în care un DPO a  încheiat un contract de muncă și cu fișa postului anexată, a înțeles care sunt obligațiile ce-i revin și pe care trebuie să le ducă la bună îndeplinire. Nerespectarea lor poate conduce la atragerea răspunderii disciplinare. Îndeplinirea lor așa cum e prevăzută fie acolo, fie în Regulament, nu dă dreptul angajatorului sau a operatorului de a solicita atragerea la răspundere. Și la fel, răspunsul este același și în cazurile terțului prestator de servicii, la fel de bine cum e și pentru salariat.

 

Andrei Săvescu: Eu sunt absolut de acord cu ce spuneți dumneavoastră, dar colega noastră ne întreba cum putem să-l îndepărtăm pe un DPO când textul ne spune acesta nu este demis sau sancționat de operator pentru îndeplinirea sarcinilor lui. Înțelesul articolului este că bineînțeles nu poate fi înlăturat pentru îndeplinire necorespunzătoare. Și mai mult de atât, teza I de la art. 38 spune că DPO nu primește niciun fel de instrucțiuni în ce privește îndeplinirea sarcinilor lui. Adică, nu asta era întrebarea? Ce facem cu acest DPO? El sarcini nu primește, adică răspundere disciplinară n-are și mai mult decât atât, nu poate fi înlăturat dacă pentru felul în care își îndeplinește sarcinile se înțelege că ar fi vorba de o necorespundere în legătură cu modalitatea în care își îndeplinește sarcinile. Dacă el este salariat, cum depășim, întreabă colega care ar vrea să angajeze la firmă un DPO sau să promoveze pe cineva sau să-i dea o fracțiune de normă sau să-i facă un contract separat, măcar dacă ar fi cu jumătate de normă și cu sarcini multiple, zici că-l dai afară disciplinar, dacă a fost indisciplinar pe partea cealaltă. Dacă-i faci contract separat, tu poți să-l dai afară din poziția respectivă, dar din funcția de DPO nu-l dai afară, așa pare potrivit Regulamentului. Și ăsta mi se pare sensul întrebării. Dacă pleacă acasă și nu mai dă niciun semn… Dar ipoteza este că el nici nu pleacă acasă, ci stă pe loc.

 

Participant: Nu poate fi dat afară pentru că i se oferă foarte multă credibilitate.

 

Andrei Săvescu: Acum, serios, aceasta este o întrebare pentru colegul nostru. Eu am reformulat întrebarea pentru că sunt mai obișnuit cu chestiunile didactice, dar presupun că ăsta era sensul întrebării.

 

Participant: Și le îndeplinește stricto senso pe Regulament, dar nu corect. Se aplică sancțiuni. El spune că a citit tot ce se putea citi și uite, eu consider că dacă tu îți ții toate datele acolo și numai le pui și o cheie la ușă, e suficient, el și-a îndeplinit atribuția, dar este greșit sfatul pe care mi l-a dat, pentru că teoretic este deținătorul informației pe care doar el o știe și cuvântul căruia trebuie îl luăm ca atare.

 

Alt participant: Dumneavoastră cum ați vrea să-l dați afară? Să prespunem că aveți un DPO, care-și îndeplinește defectuos responsabilitatea, având totuși cunoștințe relativ demonstrabile…

 

Dan Curiciuc: Dacă stăm să analizăm situația, nu diferă cu nimic față de cea a oricărui salariat care nu reușește să își îndeplinească atribuțiile sau le îndeplinește dar nu într-un mod corect. De aceea avem un document ce se cheamă fișa postului și cu determinarea activităților și criteriilor de performanță individuală. Până la urmă, aici poate fi cheia care poate conduce la încetarea raporturilor cu acest DPO. Fișa postului și obiectivele de performanță individuală sunt cele care vor determina și vor creiona activitatea lui. Conținutul activității DPO poate fi la fel de bine verificată de către un angajator, inclusiv printr-o misiune de audit. Orice departament intern, orice structură organizatorică internă poate forma obiectul unui misiuni de audit. Și la fel de bine, nimic nu preîntâmpină angajatorul să efectueze acea cercetare disciplinară în baza criteriilor de performanță individuală și a conținutului raportului de muncă și să se constate neîndeplinirea lor. El nu poate fi acuzat pentru ceva ce fie nu a făcut, fie a făcut greșit.

 

Participant: Vă dați seama că având necesitatea aceasta de a avea cunoștințe multiple de drept, de business, să cunoască foarte bine structura organizatorică a companiei, să cunoască detalii cu privire la infrastructura IT a companiei și o grămadă de alte chestii, stau și mă întreb, cine va putea face atât de bine o fișă a postului pentru un DPO astfel încât în cazul în care el își îndeplinește parțial sau nesatisfăcător atribuțiile, să poată fi pus pe liber și, pe de-o altă parte, mi se pare ușor un paradox pentru că DPO-ul din tot ce s-a spus anterior și în alte ocazii, pare a fi o persoană care nu are foarte multe responsabilități directe în sensul că nu i se pot întâmpla prea multe lucruri lui ca DPO. Și dacă tot este într-o situație atât de privilegiată din acest punct de vedere, de ce să nu fie, de exemplu, acționarul majoritar al companiei în postura de DPO pentru că el cel mai interesat ca această companie să își poată desfășura business-ului cât mai corect și să profită profit astfel încât să nu fie pus situația de a plăti amenzi Autorității. Deci el este persoana cea mai interesată sau unul dintre acționari.

 

Dan Curiciuc: Prevederile referitoare la DPO, deși sunt sumarizate în câteva articole, trebuie citite/gândite nu doar strict la cele câteva articole, ci la nivel integral. Misiunea sau scopul Regulamentului este de a stabili acel cadru general referitor la protecția drepturilor persoanei vizate. Acest DPO poate fi văzut ca o extensie în interiorul operatorului. De aceea i se acordă aceste vaste privilegii referitoare la calitatea pe care o are.

 

Andrei Săvescu: O extensie a Autorității?

 

Dan Curiciuc: Nu a Autorității, cât a viziunii Regulamentului pe care să o aplice la nivel intern.

 

Participant: Pare a fi un mic reprezentant al Autorității pe teren, în business-ul fiecăruia, adică un fel de geam deschis. Din ce spuneți, nu e chiar ok ala.

 

Dan Curiciuc: Este obligat să raporteze Autorității și să se plângă Autorității dacă drepturile sale nu sunt respectate. Dacă nu primește bugetul pentru implementarea politicii de prelucrare, el poate sesiza Autoritatea. Are și această posibilitate.

 

Participant: E absolut un paradox. Se poate plânge oricând, poate face orice că nu primește bani, nu are demnitate suficientă, la locul de muncă, dar în principiu nu pățește nimic și e greu de dat afară.

 

Monica Livescu: Dar eu aș pune în discuție reversul. Îmi este teamă de situația inversă în care ai ofițerul responsabil, vine Autoritatea, dă sancțiunea și colega a întrebat cine răspunde. Că așa tot timpul va fi găsit responsabilul DPO-ul. Și, dacă este angajat în muncă, o să spui nu ți-ai îndeplinit corespunzător atribuțiile și suporți patrimonial în ultimă instanță sancțiunea sau când e externalizat, înseamnă că va trebui firma să se îndrepte împotriva partenerului contractual. E o problemă de responsabilitate enomă. Aici mi se pare că unii vor fugi să aibă o astfel de calitate. Ca avocat îmi pun problema că atunci ar trebui să ne stabilim niște asigurări de răspundere extrem de mari ca să acoperim astfel de riscuri care sunt foarte posibile, mai ales în contextul acesta destul de interpretabil al lucrurilor. Cât poți să anticipezi modalitatea de interpretare a unei situații foarte speciale? Ați văzut câte ipoteze pot fi în practică și atunci, eu nu m-aș gândi neapărat la ipoteza în care nu pot să-l dau afară, să fim pe teza din Regulament, ci mai degrabă la situațiile în care trebuie să stabilesc responsabilități și alea sunt cuantificabile bănești. Aici mi se pare că e cel mai important.

 

Participant: Păi, problema este că într-o situație din asta gravă în care vine Autoritatea și îi dă o amendă suficient de mare companiei, organizației respective private, datorită unei situații la originea căreia se află poate și DPO, până una alta, pune pe butuci, trimite în insolvență compania și compania ar trebui să se îndrepte împotriva fie a propriului angajat care este o persoană foarte demnă la locul lui de muncă și face  ce face sau împotriva partenerului contractual în sensul în care DPO-ul este externalizat.

 

Monica Livescu: Ar trebui analizată și oportunitatea unor garanții materiale pentru persoana care asigură, exact ca un gestionar. Pentru că dacă riscurile de a suporta niște sancțiuni pecuniare destul de mari, trebuie să ți le asiguri, exact cum spuneați…

 

Participant: Păi cine va plăti această asigurare? Tocmai ați zis în începutul pledoariei că se estimează a fi necesar un număr de circa 85.000 până la 100.000 de DPO, la nivelul țării bănuiesc…

 

Dan Curiciuc: Nu, la nivel european și sunt avuți în vedere și terții prestatori de servicii.

 

Participant: Să zicem 100.000 la nivel european, câteva mii la nivelul românilor oricum, vă dați seama că vor trebui să existe câteva mii de persoane extrem de responsabile care ar putea în caz de-și desfășoară activitatea să pună pe butuci o grămadă de companii?

 

Andrei Săvescu: Dacă îmi permiteți, părerea mea este că în Regulament s-a strecurat o mică inexactitate, o mică inadvertență, care este de fapt singura de acest fel. La art. 37 alin. (6) care contrazice filosofia reglementării unui DPO, se spune că DPO poate fi un membru al personalului operatorului și sigur că poate fi extern, însă întreaga economie a reglementării se referă la DPO ca la un om care informează și consiliază. În realitate, DPO este un consultant, un specialist în domeniu. Vă rog să observați la art. 39 alin. (1) lit. a) zice așa DPO are cel puțin următoarele sarcini și anume informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare. DPO-ul nu face nicio prelucrare personal. El nu face așa ceva. El nu face parte din salariații care se ocupă cu prelucrarea datelor. El este în realitate un consultant și o persoană la care poate cineva, o persoană vizată, să facă o reclamație cu privire la data protection, la o încălcare de către operator a drepturilor persoanei respective, reclamație pe care o tratează acest DPO, care este în realitate un consultant. Persoana vizată nu se duce direct la directorul general al companiei și spune știți, am avut o mică problemă… DPO-ul este o placă turnantă atât între persoana vizată și organizație, cât și între organizație și autoritate. Dumneavoastră ați zis că de ce nu poate fi patronul sau directorul general care este extrem de implicat… tocmai de aceea grupul de lucru pe 29 a zis să nu fie cineva din conducerea societății. Pentru că cineva din conducerea societății nu este consultantul societății, să informeze și să consilieze operatorul. De aceea și estimarea de care vorbește colegul meu este de doar 85.000 de DPO pentru că înțeleg din presă că sunt 340 și ceva de mii de companii din România care de fapt ar avea nevoie de un DPO. Evident că va fi un DPO care face acest serviciu către mai multe persoane, dar nu este rentabil. Acesta este specializat ca un notar sau executor judecătoresc. Sigur, dacă e o companie foarte mare, este unul singur pentru companie. Dacă e o companie care are mai multe filiale cum se întâmplă la un client de-al nostru, DPO-ul lor este în Cehia și este același pe grup pentru că este specializat și lucrează în fiecare stat cu avocații, dar DPO-ul este unul la nivel de grup. Conceptul este că DPO-ul nu este un salariat.

 

Participant: Pentru a consulta și a consilia, trebuie să fie un specialist, să cunoască destul de multe particularități ale business-ului respectiv ori dacă serviciul este externalizat, vă dați seama că în clipa aia un DPO care are contracte cu 10-20-100 de IMM-uri, el va trebui să cunoască foarte bine particularitățile de business ca să poată să consilieze și să consulte și în clipa aia, nu știu cum va face față, ținând cont că trebuie să știe și niște detalii tehnice și IT și drept, pe de-o parte și, pe de altă parte, firmele în sine nu sunt atât de încântate încât să își dea informații confidențiale…

 

Andrei Săvescu: Nu trebuie să își dea informații confidențiale. După cum vă spunea la o mulțime de ateliere, nu trebuie să aibă parolă de router…

 

Participant: Mă refer la faptul că el va intra, ca să poată consilia și să dea niște indicații, în contact măcar vizual cu informații care pot fi confidențiale…

 

Andrei Săvescu: Bineînțeles. Poate intra în contact cu informații care sunt secret de serviciu. Dar este normal să fie așa. Un DPO verifică dacă firma are niște reguli, fără să fie necesar fie programator, vede că lucrurile sunt în regulă, nu trebuie să intre atât de adânc. Trebuie să vadă că lucrurile se fac…

 

Participant: Dar în situația în care firma respectivă este certificată 27.000 001, ce se va întâmpla cu cerințele pe partea 27.000? Eu mă refer la faptul că există niște cerințe extrem de clare mai stricte, unele dintre ele fiind în contradictoriu cu un DPO extern la care va trebui până la urmă să introduci în clauze contractuale…

 

Andrei Săvescu: Dar nu este așa, pentru că DPO-ul extern tocmai că nu are pentru ce să își bage nasul. Nu vine DPO-ul să vadă. Dacă dumneavostră îi dați un raport, sunteți certificat și îi spuneți că aveți o bază de date distinctă, nu trebuie să fie mare computerist DPO-ul ca să înțeleagă că baza de date este distinctă. Dumneavoastră ca operator ați putea să-l păcăliți cumva, dar trebui să aibă niște cunoștințe. Nu trebuie să fie computerist, dar poate fi extern. Dar patronul înțelege mai bine? Sau un salariat cu jumătate de normă?

 

Participant: Până la urmă responsabilitatea este de așteptat să fie mai mare a patronului, adică el să fie îngrijorat din punctul ăsta. De la caz la caz.

 

Andrei Săvescu: Ideea regulamentului e ca să nu fie de la caz la caz, ci DPO-ul să fie un om care se pricepe la problemă. Sigur că patronii se pricep de la caz la caz și au responsabilitatea cea mai mare, dar ideea este că la DPO, ca persoanele vizate să aibă un om cu mintea limpede, să meargă cu o problemă și acesta să aibă reprezentarea, care este practica autorității.

 

Participant: OK, va trebui să ne urăm oricum succes după data de 25 mai și ultima chestie, mai mult ca întrebare retorică… DPO-ul își stabilește bugetul pentru a-și desfășura activitatea, asta apropo de reclamația pe care ar putea s-o facă, teoretic, el la Autoritate, că nu i se alocă bugetul suficient. El va putea să își creeze bugetul ca valoare?

 

Andrei Săvescu: Nu face reclamație. Regulamentul spune că ar putea să facă.

 

Participant: Cine stabilește bugetul pentru a-și desfășura activitatea un DPO și cine îl aprobă?

 

Dan Curiciuc: DPO-ul nu este o instituție autonomă, de sine stătătoare în cadrul operatorului. El vine cu propuneri. El stabilește scopul misiunii pe care o are, a funcției pe care o are și se adresează. În sensul acesta sunt prevederile Regulamentului care îi trasează setul minim de responsabilități. Având posibilitatea de a-și defini misiunea pe care o are la nivelul operatorului, el poate preconiza și stabili instrumentele de care are nevoie și le poate transpune pe acestea în solicitarea de alocare a fondurilor. El este cel care stabilește ce are de făcut și de ce are nevoie pentru a face acest lucru. Va solicita angajatorului.

 

Participant: Deci el va stabili bugetul de care are nevoie.

 

Andrei Săvescu: Dar la sindicat nu este la fel? Doar că e altceva. Ce voiam să subliniez e că este foarte complicat să fie un salariat DPO. Economia reglementării este de consultant independent, expert în așa ceva. Dar Regulamentul ne lasă într-o zonă… bine, poate fi și angajat al operatorului. După care vine Comisia și spune să nu fie din management. Păi dacă nu este din management și compania este mică, cine să fie DPO specialist? Probabil că voi fi firme specializate, s-ar putea să fie un sistem strict, sever, pe care Regulamentul nu-l cere, dar s-ar putea să fie un sistem sever de certificare pentru DPO, mai ia și statul un ban. Acum nu se lucrează la așa ceva, dar nici nu trebuie mai mult de trei sferturi de pagină ca să reglementezi așa ceva, să-i spui să facă niște organisme care fac cursuri și aprobă autoritatea organismele care fac cursuri, dau certificate. Atunci se acreditează cu dosar, se depune dosarul.

 

Participant: S-a codificat ocupația?

 

Andrei Săvescu: Acuși apare. E în dezbatere publică. Săptămâna viitoare. Anul acesta vom avea. Dar vreau să vă relatez o chestiune de douăzeci de secunde: am mai spus la ateliere, merge în audit cu o persoană care urma să fie DPO, după ce am stat 4 zile să ne chinuim să-i facem fișa postului, cum să faci să-l dai afară, cum ar fi – că de fapt asta era problema – o persoană cu mult bun simț, foarte calificată. Și mergem cu șefa de Legal, șefa de HR și primele două întâlniri cât am făcut auditul prin birouri a fost în regulă. La a treia întâlnire, venea deja cu alai, cu avocați, pentru că era DPO. Și nici nu a ajuns DPO că începea să facă ordine în organizație. Dar este independent? Este. „Deci eu te plătesc și tu ești independent. E simplu.” Atunci, e evident că firmele vor dori să ia din interior. Eu personal felicit salariații care vor prinde acest job de DPO.  Dacă vor fi dați afară, eu ca avocat de dreptul muncii o să-i apăr. Sunt dosare ușoare. Dacă reușești să prinzi un job de DPO, te-ai scos. Însă cred că firmele vor avea consultanță externă pentru că le vor face contract pe termen. Asta cred că se va întâmpla.

 

Participant: Dacă îmi permiteți, lucrurile poate că stau mai bine din perspectiva unui outsourcing, fie că este o firmă, fie că este o PFA. Și mă gândesc așa să facem o asemănare, poate forțată, amuzantă, cu acele firme/PFA care se îngrijesc de protecția muncii, de PSI, au un caiețel cu niște obiective, trec după aceea din birou în birou, o dată la o lună sau o dată la două săptămâni și toată lumea semnează că a îndeplinit niște obiective sau că au luat la cunoștință…

Andrei Săvescu: Da, ceva de acest gen va fi, doar că mult mai rău pentru că amenzile sunt uriașe.

 

Participant: Adevărat, dar cred că soluția cea mai convenabilă este să contractezi un oursource. Pe de altă parte și vin la problema care ne macină, păi din moment ce este un consultant, din moment ce ne informează, din moment ce trebuie să aibă cunoștințe de drept și ceva minim de computer, un avocat ar putea, în raport de legile avocaturii să dea niște servicii similare DPO-ului?

 

Andrei Săvescu: Da, avocații pot fi DPO. Ei fac asta deja.

 

Dan Curiciuc: Doar să nu ne încadrăm în situația conflictului de interese. Nu putem fi DPO în același timp dacă am asigurat reprezentanța în spețe pe data privacy. În rest, Regulamentul ne lasă.

 

Andrei Săvescu: Unele firme asta vor face, avocați inhouse vor fi practic DPO. Da, nu mai poate reprezenta. Probabil cineva, unul dintre consilierii juridici ar putea să fie DPO, că doar este „independent”.

 

Participant: Dacă totuși nu vrem să fim DPO, dar trebuie să asigurăm reprezentanță și în acest domeniu, vom putea merge la Autoritate cu împuternicirea avocațială …?

 

Andrei Săvescu: Păi depinde pe cine reprezentați. Îl reprezentați pe operator.

 

Participant: Dar autoritatea așteaptă să vorbească cu DPO-ul. Și DPO-ul nu prea vrea să meargă. Nu a mai fost niciodată. A mers avocatul până atunci.

 

Dan Curiciuc: Aici discuția trebuie privită și din perspectiva legii avocaturii, dacă stăm să discutăm, să vedem dacă vor exista modificări ale legii astfel încât să permită. Pentru că e dificil de identificat în temeiul căreia dintre literele prevăzute în Legea nr. 51 s-ar putea include și această activitate de DPO, pentru că la o primă interpretare, excede situațiile prevăzute acolo. Este de văzut cum va fi interpretat la nivel de UNBR o astfel de situație.

 

Monica Livescu: Dacă îmi permiteți, voi răspunde eu în calitate de membru al Comisiei Permanente a Uniunii și pentru că vom avea curând o astfel de ședință, am să pun în discuție a Comisiei Permanente necesitatea unei analize, eventual a unui punct de vedere care să fie făcut public și care să clarifice o astfel de situație. Însă ca o opinie personală, în condițiile în care totuși legea noastră consacră că suntem apărători ai drepturilor și libertăților cetățeanului or, cred că această componentă a atribuțiilor DPO implică în primul rând o astfel de garanție mai ales din perspectiva unei profesii independente cum se dorește să fie și acest DPO în care tu practic să monitorizezi această activitate și să ai în vedere cu prioritate tocmai a nu se ajunge la o încălcare a dreptului la protecția datelor cu caracter personal. Și atunci, nu văd o incompatibilitate din punct de vedere al legii profesiei între calitatea de avocat și îndeplinirea unor astfel de atribuții. Dar chiar voi avea în vedere să facem o opinie pe care să o transmitem public.

 

Participant: Acum mă refer mai mult la interesul UNBR. Trebuie clarificată o astfel de situație și să fie dat un punct clar publicității și în raport de problema celorlalte pretinse barouri pentru că poate vor trata astfel încât să vină în conflict cu UNBR-ul.

 

Andrei Săvescu: Nu e vorba de interes, e vorba de realități. Această conferință a fost super în principal datorită speakerilor cărora le mulțumesc foarte mult, dar și datorită dumneavoastră care ați fost foarte prezenți cu noi.

Vă mulțumesc foarte mult pentru implicare!
[/restrict]