[CUM A FOST] Dezbaterile RRPSDCP, ediția a IV-a: GDPR în administrația publică

La cea de-a patra ediție a Dezbaterilor Revistei Române pentru Protecția și Securitatea Datelor cu Caracter Personal, desfășurată marți, 17 noiembrie 2020, Grupul editorial Universul Juridic și partenerii evenimentului – Compania Romprest Service SA și firma Argo Security – au adus în fața participanților o temă foarte interesantă, GDPR în administrația publică.

Evenimentul a fost transmis LIVE pe portalul www.universuljuridic.ro, cu acces full acordat abonaților, fiind discutate subiecte interesante legate de:

• Măsurile de protecție a datelor cu caracter personal la nivelul instituțiilor publice, cu accentul pe constrângerile și oportunitățile specifice mediului public
• Sarcinile și rolul Responsabilului cu protecția datelor în instituțiile publice
• Limitarea dreptului de acces prin prisma Regulamentului General privind Protecția Datelor
• Transparența prelucrărilor de date cu caracter personal – considerații cu privire la elementele esențiale impuse de GDPR
• Derapaje ale instituțiilor publice din România în privința respectării GDPR

Dezbaterea moderată de dr. Doru Dorobanțu, lector asociat, Universitatea Politehnica din București, și av. Raul-Felix Hodoș, lector la Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș, a avut ca speakeri invitați pe:

• Lector univ. dr. Adrian Vasile Cămărășan, CIPP/E, Universitatea Babeș-Bolyai din Cluj-Napoca, Facultatea de Istorie și Filosofie, Departamentul de Studii Internaționale și Istorie Contemporană
• univ. dr. Nicolae Ploeșteanu, Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș, directorul Centrului de Studii pentru Protecția Datelor
• Cătălin Giulescu, Specialist în protecția datelor, Director D.E.P.A.B.D.
• Ionuț Savu, Șeful Oficiului Responsabilului cu Protecția Datelor din cadrul Ministerului Afacerilor Interne
• Marius Dumitrescu, Data Management and Compliance Solutions Specialist, NeoPrivacy România

Vom expune câteva fragmente relevante din dezbatere în cele ce urmează:

Lector univ. dr. Doru Dorobanțu

„Prelucrarea datelor cu caracter personal de către instituțiile publice are, de cele mai multe ori, un temei legal conținut în acte normative, în vederea respectării unei obligații legale sau a  îndeplinirii unei sarcini care servește unui interes public ori care rezultă din exercitarea autorității publice cu care este învestit operatorul, încadrându-se în prevederile art. 6 alin. (1) lit. c) și e) din Regulament.

De principiu, instituțiile publice prelucrează cantități mari de date cu caracter personal.

Prin urmare, aceste instituții trebuie și ele să se asigure că datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.”

Lector univ. dr. Adrian Vasile Cămărășan

„Administrația publică este o permanentă sursă de provocări și domeniul acesta al protecției datelor cu caracter personal nu face excepție.

În ceea ce privește aceste măsuri tehnice și organizatorice, trebuie să le vedem între constrângeri și oportunități și, până la urmă, unul dintre rolurile DPO-ului este de a depăși acele constrângeri sau de a le transforma în oportunități. Pe de o parte, beneficiem în administrația publică de o anumită «îngăduință legislativă», dar tot acolo, în ce privește temeiurile de prelucrare, există un spațiu mai mare de manevră. Din această perspectivă, ar trebui să fie mai ușor să fii responsabil cu protecția datelor în administrația publică decât în mediul privat, unde riscul de a merge spre un incident este ușor mai crescut.

Atunci când vorbim de datele cu caracter personal, trebuie să avem în vedere că vorbim de protecția drepturilor si intereselor legitime ale persoanelor vizate, care pot fi colegi, parteneri sau beneficiari ai serviciilor instituției publice.

Măsurile de protecție a datelor cu caracter personal la nivelul instituțiilor publice le văd grupate pe trei paliere distincte, și anume: în primul rând, măsurile preliminare, constând în acea analiză inițială și în numirea Responsabilului cu protecția datelor, apoi partea structurală, unde vorbim de politicile și procedurile de protecția datelor, de măsuri dinamice, continue (cartografierea fluxurilor, implementarea de analize de risc etc.), iar ultimul palier, care este o provocare în administrația publică, este acela al implementării la nivelul fiecărui domeniu a unor standarde minime de protecție, a unor coduri de conduită.”

Marius Dumitrescu

„În calitate de practician, sunt un bun cunoscător al provocărilor cu care se confruntă operatorii, nu doar cei din domeniul administrației publice. Am ales să folosesc, în prezentarea mea, termenul derapaje întrucât acesta presupune revenirea la carosabil, mai devreme sau mai târziu. Este adevărat că, din păcate, unele derapaje pot fi încadrate la accidente și atunci nu mai putem vorbi despre o revenire. În 2019, la un eveniment desfășurat la Târgu Mureș, prezentam rezultatele unui studiu la care au participat 195 de respondenți din sistemul sanitar românesc și trăgeam un semnal de alarmă cu privire la faptul că peste 70% dintre aceștia foloseau încă adrese de email @yahoo și @gmail în interes profesional, că 37,44% s-au confruntat cu incidente de securitate și, cu toate acestea, 73% nu au implementat un plan de reacție la incidentele de securitate, 11% dintre operatori nu au implementat sisteme de protecție antivirus. Din păcate, acest studiu nu a prezentat interes pentru autorități decât în luna iulie 2019, atunci când sistemele informatice a 5 spitale din România au fost atacate, fiind victimele unui ransomware. Vreau să subliniez faptul că se depun eforturi în rândul organizațiilor neguvernamentale și ar fi foarte bine dacă autoritățile publice s-ar folosi de aceste date.”

Conf. univ. dr. Nicolae Ploeșteanu

„Limitarea dreptului de acces al persoanei vizate reprezintă una dintre cele mai delicate probleme, deoarece tendința din partea persoanei vizate este aceea de a crede că i se cuvine orice informație pe care o deține operatorul, iar, de cealaltă parte, operatorul, de frica vreunei posibile sancțiuni, va face tot posibilul să-i comunice orice fel de date, cu toate că spiritul GDPR nu este să avem nici prizonieri și nici învinși. Regula dreptului de acces este stabilită la art. 15 din GDPR, însă, evident, acest acces poate fi limitat.

O parte dintre cazurile considerate utile pe care le voi aduce în atenție sunt cele referitoare la existența unui privilegiu legal, transmiterea datelor unor terți, opiniile date în regim de confidențialitate, cercetare penală sau disciplinară, datele sensibile din punct de vedere comercial, datele privind sănătatea care sunt prejudiciate, efortul disproporționat, solicitările repetate care sunt vădit nefondate sau excesive în special din cauza caracterului lor repetitiv sau cererile făcute de terți în numele altei persoane. Le-am enumerat tocmai pentru a observa în cât de multe situații, în realitate, putem restrânge accesul persoanei.”

Cătălin Giulescu

„În ceea ce privește acest veritabil conflict care este între protecția datelor și liberul acces la informațiile de interes public, aș recomanda să fie avute în vedere concluziile Curții de Justiție a Uniunii Europene din cauza Bavarian Lager. Eu cred că acolo au fost lămurite foarte multe dintre problemele iscate de acest conflict. Prelucrarea datelor cu caracter personal și, mai degrabă, protecția datelor cu caracter personal presupune asumarea unor responsabilități. În mare măsură, când primești o cerere, indiferent că se invocă Legea nr. 554/2004 sau se invocă un eventual drept de acces la propriile date, operatorul, de fapt, conducerea operatorului, trebuie să fie pregătit să-și asume niște responsabilități. În orice situație are ca marjă de apreciere inclusiv limitarea accesului la informații chiar și pentru persoana vizată, dacă ne uităm la restricțiile reglementate de art. 23 din GDPR.

Transparența este, în opinia mea, elementul esențial al GDPR-ului. Persoana vizată trebuie să dețină un control real asupra modului în care datele lui cu caracter personal îi sunt prelucrate.”

Ionuț Savu

„Responsabilul cu protecția datelor este piatra de temelie în ceea ce privește respectarea principiului responsabilității, lucru care la noi nu s-a înțeles foarte bine. În concret, este vorba despre numirea acestui Responsabil cu protecția datelor. Există o obligație legală de numire a acestui responsabil la nivelul instituțiilor publice, dar, cu toate acestea, cineva a primit această atribuție în fișa postului și atât a rămas. Este foarte trist să vedem în prezentarea domnului Dumitrescu că aproximativ 30.000 de instituții la nivelul anului 2019 nu au desemnat un responsabil cu protecția datelor.

Este important să înțelegem că responsabilul cu protecția datelor este linia de comunicare a operatorului cu persoanele vizate, cu autoritatea națională de supraveghere, inclusiv cu angajații.”

Dezbaterea GDPR în administrația publică a avut un parcurs de două ore și a atras, prin subiectele abordate, interesul participanților, consemnând nu mai puțin de 1.600 de vizualizări doar pe platforma Facebook.