Autoritățile publice au drepturi și obligații specifice în domeniul GDPR, uneori diferite de cele pe care le au entitățile private. În administrația publică responsabilitatea este mai mare și datele cu caracter personal nu sunt doar stocate dar sunt, de cele mai multe ori și transferate. În plus există și legislația specifică care trebuie integrată cu principiile GDPR.
Prof. univ. dr. Daniel-Mihail Șandru analizează în revista Pandectele Române nr. 2/2019, editată de Wolters Kluwer România, principalele probleme cu care se confruntă sectorul public în domeniul GDPR: colectarea și transferul datelor, drepturile persoanelor vizate, desemnarea responsabilului cu protecția datelor (DPO), proceduri specifice autorităților și organismelor publice, regimul sancționator.
Operatorii de date personale din sectorul public
Potrivit autorului: „pentru operatorii definiți prin legislație națională ca fiind autoritate sau organism public se aplică unele reguli specifice, reguli care au în vedere poziția entităților publice.”
Potrivit Legii nr. 190/2018 prin autorități și organisme publice se înțelege:
– Camera Deputaților și Senatul
– Administrația Prezidențială
– Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale
– autoritățile și instituțiile publice autonome
– autoritățile administrației publice locale și deja la nivel județean
– alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora.
– unitățile de cult și asociațiile și fundațiile de utilitate publică (asimilate autorităților/organismelor publice în sensul legii).
Pentru domeniul penal, se aplică o lege specială și anume Legea nr. 363 din 28 decembrie 2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date.
Principalele probleme din sectorul public în domeniul GDPR
Daniel-Mihai Șandru precizează care sunt, în prezent, principalele probleme în sectorul public:
– Colectarea de date și transferul de date, întrucât încă există dispoziții legale care obligă aceste entități să colecteze și să transfere date.
– Demonstrarea consimțământului persoanelor vizate: „Chiar dacă cele mai multe date sunt prelucrate în temeiul legii și eventual al contractului, rămân situații în care entitățile publice trebuie să demonstreze consimțământul persoanelor vizate. Este necesar consimțământul și nu este suficientă informarea pentru site (cookies, chestionare și alte sondaje, dacă nu sunt anonime, software, apps, transferul datelor în afara scopului pentru care au fost stocate/ colectate).”
– Verificarea surselor fizice pe care sunt stocate datele: „Entitățile publice trebuie să verifice, precum orice operator, într-o măsură rezonabilă, sursele fizice pe care sunt stocate datele, mai ales mediile informatice utilizate. Verificarea este, desigur, intelectuală, la nivelul clauzelor contractuale pentru a se asigura că încălcarea securității datelor este limitată la maxim.
– Problema licitațiilor: „Pentru a obține un preț scăzut la licitație sau pentru a stoca gratuit date personale uneori se apelează la cloud, pentru care, dacă nu este încheiat un contract riscurile rămân la entitățile publice. Licitațiile reprezintă o problemă când sunt achiziționate produse ieftine, care nu au implementat GDPR (sub forma impactului asupra vieții private pentru produs) și care pot conduce la incidente și încălcări de securitate a datelor.”
– Minimizarea prelucrării datelor: „Entitățile publice trebuie să justifice de ce prelucrează anumite date și să ia măsurile tehnice și organizatorice pentru eliminarea riscurilor.”
– Transparența prelucrării datelor: «este esențială pentru conformarea cu GDPR, având în vedere că potrivit Orientărilor GL29, „transparența este o obligație atotcuprinzătoare potrivit GDPR și se aplică în trei domenii de bază: (1) norma juridică prin care se stabilește informarea persoanelor vizate cu privire la prelucrarea echitabilă; (2) cum anume operatorii de date comunică cu persoanele vizate în ceea ce privește drepturile lor potrivit GDPR; (3) cum anume operatorii de date facilitează exercitarea drepturilor persoanelor vizate.” »
Drepturile persoanelor vizate – GDPR sector public
În articolul publicat în Pandectele Române nr. 2/2019 se precizează că în sectorul public există două riscuri, care cu greu se regăsesc în cel privat:
1. multitudinea de situații în care sunt prelucrate date ale unor persoane vizate vulnerabile
2. imposibilitatea utilizării temeiului prevăzut de art. 6 lit. f), interesul legitim (nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor).
Potrivit autorului: „Exercitarea drepturilor persoanelor vizate prin solicitări va crește.” În acest context există următoarele probleme:
– managementul informației și verificarea identității solicitantului
– solicitările abuzive: „Trebuie verificate toate modalitățile legale prin care să fie descurajate solicitările abuzive cu mențiunea că operatorul, inclusiv autoritate sau organism public, este cel care trebuie să demonstreze caracterul abuziv. Cereri repetitive, solicitări anonime, solicitări ale datelor pe care persoana vizată le cunoaște deja sunt modalități de hărțuire a entităților publice, dar pe care acestea trebuie să le demonstreze”. Excepțiile, prevăzute în art. 12 GDPR, nu trebuie să încalce dreptul la informare și dreptul la exprimare, precizează autorul, întrucât dreptul la protecția datelor nu este un drept absolut: „În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate, fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.”
– dreptul la ștergere: „atât de cunoscut și de (a)clamat aproape că nu se aplică în sectorul public, având în vedere excepțiile prevăzute de regulament, și anume nu poate fi exercitat cu privire la aplicarea dreptului la liberă exprimare și la informare, pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul, din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță [art. 17 alin. (3)]. Desigur, acest drept s-ar putea exercita în situația în care datele sunt prelucrate de autoritatea sau organismul public în scopuri de marketing, când persoana vizată și-a dat consimțământul pentru prelucrare. Entitățile publice trebuie să pună în practică dreptul la ștergere fără solicitarea persoanelor vizate în situația în care aplică alte reglementări, cum ar cele referitoare la liberul acces la informațiile de interes public sau din Legea nr. 109/2007 privind reutilizarea informațiilor din instituțiile publice.
– răspunsul la cereri: „Operatorul trebuie să răspundă într-o lună de la formularea cererii, însă trebuie observat cu atenție temeiul cererii. Dacă solicitantul formulează cererea în temeiul unei alte legi, de exemplu, a Legii nr. 544/2001 privind liberul acces la informațiile de interes public dar solicitarea se referă la exercitarea drepturilor asupra datelor cu caracter personal ale persoanei vizate, atunci cererea va fi corect încadrată și se va răspunde potrivit legislației proprii.
Exercitarea anumitor drepturi, nu pun doar probleme de calificare din punctul de vedere al termenelor dar și din punctul de vedere al exercitării drepturilor. Aceasta are influență și asupra activității responsabilului cu protecția datelor care nu trebuie să avizeze toate contractele doar pentru că, evident, conțin date cu caracter personal. Dreptul la rectificare are conotații specifice pentru că poate infera cu reglementări speciale care privesc drepturi civile.”
Desemnarea responsabilului cu protecția datelor (DPO) – GDPR sector public
Referitor la desemnarea DPO în cadrul autorităților publice, Daniel Mihai Șandru precizează care sunt elementele specifice: «Pentru toate entitățile publice, fără excepție, desemnarea unui responsabil cu protecția datelor (DPO) este obligatorie, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.
Anumite dispoziții din Regulament facilitează desemnarea responsabilului însă mai rămân elemente necunoscute la nivelul legislației naționale dar și probleme de ordin practic privind desemnarea unui DPO pentru mai multe autorități și organisme publice, în conformitate cu art. 37 alin. (3) din GDPR: „În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura organizatorică și dimensiunea acestora.”
Proceduri specifice autorităților și organismelor publice în domeniul GDPR
În ceea ce privește procedurile specifice autorităților publice în domiul GDPR, Daniel Mihai Șandru expune câteva recomandări, necesare în contextul actual al reglementărilor naționale:
– Coduri de conduită: „Din punctul de vedere al procedurilor, este necesar să se discute prin organizațiile reprezentate, în special asociații, elaborarea de coduri de conduită pentru anumite tipuri de entități din administrația publică, de exemplu, pentru primării. Dacă entitatea are pagini pe rețele sociale, va trebui să informeze în mod corespunzător persoanele avizate despre aceasta pe pagina web proprie dar și pe rețelele sociale.”
– Actualizarea constantă a informațiilor importante: „Chiar dacă a trecut un an de la punerea în aplicare, toate entitățile trebuie să evalueze constant datele, să actualizeze registrul activităților (art. 30), impactul asupra vieții private (art. 35) și să depună un efort suficient de coerent pentru conștientizarea întregului personal în privința aplicării regulamentului, dar și a sancțiunilor sau daunelor pe care persoanele vizate le pot solicita.”
– Tratarea posibilelor încălcări de securitate a datelor: acestea „trebuie să se facă în condițiile legii, prin solicitarea ajutorului instituțiilor abilitate sau cu competențe. Angajații trebuie instruiți în direcția informării imediate a responsabilului cu protecția datelor a oricărui incident de securitate și asupra faptului că aceștia nu trebuie să acționeze individual pentru a înlătura posibilele consecințe. Trebuie documentate toate monitorizările pe scară largă pe care unele dintre entități sau împuterniciți se realizează pentru acestea.”
Regimul sancționator în domeniul GDPR – sector public
Regimul sancționator în domeniul GDPR este, potrivit autorului Daniel Mihail Șandru unul derogator, principalele elemente fiind expuse mai jos:
„Într-unul din puținele comunicate ale autorității române de supravegherea datelor cu caracter personal, din cele 15 exemple, niciunul nu se referă la o entitate publică. Cu toate acestea, după intrarea în vigoare a GDPR, una dintre sancțiunile cunoscute, este un avertisment pentru Primăria Cluj-Napoca (din păcate decizia nu este disponibilă, până în prezent pe site-ul autorității) pentru utilizarea e-mailului personal al funcționarului în comunicările oficiale cu petenții.
Regimul sancționator derogator pentru autorități și organisme publice pare discriminatoriu. În afara sancțiunilor aplicate de autoritatea de supraveghere trebuie luată în considerare posibilitatea persoanelor vizate de a introduce acțiune în instanță pentru daune morale.
Aplicarea sancțiunilor are două etape, reglementate distinct de Legea nr. 190/2018:
I. Aplicarea măsurilor corective autorităților și organismelor publice (art. 13)
1. În cazul constatării încălcării prevederilor Regulamentului general privind protecția datelor și ale Legii nr. 190/2018 de către autoritățile/organismele publice, Autoritatea națională de supraveghere încheie un proces-verbal de constatare și sancționare a contravenției prin care se aplică sancțiunea avertismentului și la care anexează un plan de remediere. Situația Primăriei Cluj-Napoca este unul dintre primele exemple, menționate în mediul jurnalistic, în care unul din funcționari a răspuns petentului de pe e-mailul personal. Decizia sau măsurile autorității nu sunt disponibile public. În Norvegia, unde se aplică GDPR în temeiul apartenenței la Spațiul Economic European, o amendă a vizat Primăria Bergan pentru că nu a luat măsuri tehnice și organizatorice referitoare la datele a aproximativ 35000 de peroane, respectiv elevii si profesorii școlilor.
2. Termenul de remediere se stabilește în funcție de riscurile asociate prelucrării, precum și demersurile necesar a fi îndeplinite pentru asigurarea conformității prelucrării.
3. În termen de 10 zile de la data expirării termenului de remediere, Autoritatea națională de supraveghere poate să reia controlul.
4. Responsabilitatea îndeplinirii măsurilor de remediere revine autorității/organismului public care, potrivit legii, poartă răspunderea contravențională pentru faptele constatate.
5. Modelul planului de remediere care se anexează la procesul-verbal de constatare și sancționare a contravenției este prevăzut în anexa Plan de remediere, care face parte integrantă din prezenta lege.
II. Constatarea contravențiilor și aplicarea de sancțiuni autorităților și organismelor publice (art. 14)
1. Dacă în urma controlului se constată faptul că autoritățile/organismele publice nu au adus la îndeplinire în totalitate măsurile prevăzute în planul de remediere, Autoritatea națională de supraveghere, în funcție de circumstanțele fiecărui caz în parte, poate aplica sancțiunea contravențională a amenzii, cu luarea în considerare a criteriilor prevăzute la art. 83 alin. (2) din Regulamentul general privind protecția datelor.
2. Constituie contravenție care se sancționează cu amendă de la 10.000 lei până la 100.000 lei:
2.1. încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:
a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu prevederile art. 8, art. 11, art. 25-39, art. 42 și art. 43;
b) obligațiile organismului de certificare în conformitate cu art. 42 și art. 43;
c) obligațiile organismului de monitorizare în conformitate cu art. 41 alin. (4).
2.2. Constituie contravenție încălcarea de către autoritățile/organismele publice a dispozițiilor art. 3-9 din Legea nr. 190/2018, și anume prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea (art. 3), prelucrarea unui număr de identificare național (art. 4), prelucrarea datelor cu caracter personal în contextul relațiilor de muncă (art. 5), prelucrarea datelor cu caracter personal și de categorii speciale de date cu caracter personal, în contextul îndeplinirii unei sarcini care servește unui interes public (art. 6), prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare (art. 7), prelucrarea datelor cu caracter personal în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public (art. 8) și prelucrarea datelor de către partide politice și organizații neguvernamentale (art. 9).
3. Constituie contravenție, care se sancționează cu amendă de la 10.000 lei până la 200.000 lei, încălcarea de către autoritățile/organismele publice a următoarelor dispoziții din Regulamentul general privind protecția datelor, referitoare la:
a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu art. 5-7 și art. 9;
Prima amendă a autorității belgiene de protecția datelor se referă la o primărie care nu a respectat principiile privind scopul prelucrării datelor personale. EDPB, First Belgian GDPR fine, disponibil la adresa EDPB Europa
b) drepturile persoanelor vizate în conformitate cu art. 12-22;
c) transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu art. 44-49;
d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;
e) nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau a suspendării fluxurilor de date, emisă de către Autoritatea națională de supraveghere în temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispozițiilor art. 58 alin. (1).
f) încălcarea de către autoritățile/organismele publice a unei decizii emise de Autoritatea națională de supraveghere în conformitate cu art. 58 alin. (2) coroborat cu art. 83 alin. (2) din Regulamentul general privind protecția datelor.”
La un an de la punerea în aplicare a acestui Regulament general privind protecția datelor, în România, autoritățile și organismele publice au început și unele au și realizat conformarea cu noua legislație. Nu sunt disponibile statistici oficiale și nici măsuri sau concluzii ale autorității naționale de supraveghere a prelucrării datelor personale. Sunt încă probleme în ceea ce privește temeiurile prelucrării, în special atunci când acesta este legea, întrucât este posibil să interfereze cu unele principii, în special acela al minimizării datelor.
Adaptare după articolul Protecția datelor în cadrul autorităților și organismelor publice în România, autor Prof. univ. dr. Daniel Mihai Șandru, publicat în revista Pandectele Române nr. 2/2019.
