« Flux noutăţi
Selected Top LegalVideo
JurisprudenţăCEDOCJUECCRÎCCJJurisprudenţa curentă ÎCCJDezlegarea unor chestiuni de dreptRILCurţi de apelTribunaleJudecătorii
Noutăţi legislativeProiecte legislativeMOF - Monitorul Oficial al RomânieiJOUE - Jurnalul Oficial al Uniunii Europene
Opinii

Nici GDPR nu e pentru oricine. Opinie față de un proiect de lege și față de punctul de vedere al UNBR
07.12.2020 | Silvia USCOV, Mirela MORAR

JURIDICE - In Law We Trust
Silvia Uscov

Silvia Uscov

Mirela Morar

Mirela Morar

Proiectul de lege privind organizarea profesiei de responsabil cu protecția datelor cu caracter personal a fost înregistrat la Senat sub nr. B653/2020, iar, ca urmare a acestui lucru, a fost emis și un punct de vedere al Uniunii Naționale a Barourilor din România (UNBR), înregistrat sub nr. 322-AUT-2020 din 25.11.2020.

Mai jos am dezvoltat argumente pentru care atât proiectul de lege, cât și punctul de vedere al UNBR pornesc de la niște erori fundamentale, exprimându-ne opinia în sensul că acest proiect de lege nu ar trebui adoptat:

I. Proiectul de lege încalcă dreptul Uniunii Europene, respectiv principiile liberei circulații a persoanelor și al libertății de a presta servicii în interiorul Uniunii Europene

Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – RGPD) se aplică cu prioritate față de orice dispoziție națională contrară, conform disp. art. 148 alin. (2) din Constituția României.

Mai mult decât atât, conform alin. (4) al art. 148 din Constituția României, „Parlamentul, Preşedintele României, Guvernul şi autoritatea judecătorească garantează aducerea la îndeplinire a obligaţiilor rezultate din actul aderării şi din prevederile alineatului (2)”, Parlamentul fiind obligat să respecte legislația europeană. În situația în care există dispoziții contrare în legile naționale, prevederile legislației europene cu caracter obligatoriu au prioritate.

Adoptarea RGPD a venit tocmai ca urmare a uniformizării legislației în materia protecției datelor cu caracter personal; anterior adoptării acestui Regulament fiecare stat era obligat să  transpună Directiva 95/46/CE, fapt care a dus la crearea unor situații în care legislația unor țări era mai laxă față de altele.

a. Încălcarea liberei circulații a persoanelor

Libera circulaţie a persoanelor este una dintre libertăţile fundamentale garantate de legislaţia europeană. Este probabil, cel mai important drept din legislația europeană pentru indivizi şi un element esenţial al cetăţeniei europene. Pentru lucrători, această libertate a existat încă de la întemeierea Comunităţii Europene din 1957 şi implică[1]:

– dreptul de a căuta un loc de muncă într-un alt Stat Membru;

– dreptul de a munci într-un alt Stat Membru;

– dreptul de a locui acolo;

– dreptul de a rămâne în acel stat;

– dreptul la egalitate de tratament în ceea ce privește accesul la locurile de muncă, condiții de muncă şi toate celelalte avantaje care ar putea facilita integrarea muncitorilor în statul membru gazdă.

Există limitări în domeniul securității publice, politicii publice şi în sfera sănătății publice; unele limitări privind angajarea în serviciile publice ale statelor membre gazdă.

Astfel, în temeiul TFUE, doar activitățile legate de exercitarea autorității publice sunt excluse de la libertatea de stabilire și de la libera prestare a serviciilor (articolul 51 din TFUE). Excluderea este totuși limitată printr-o interpretare restrictivă: excluderile pot acoperi doar acele activități și funcții specifice care implică exercitarea prerogativelor de putere publică. În plus, o profesie poate fi exclusă în totalitate doar dacă întreaga sa activitate este dedicată exercitării prerogativelor de putere publică sau dacă partea care este dedicată exercitării prerogativelor de putere publică nu poate fi separată de restul. Sunt prevăzute excepții care le permit statelor membre să excludă producerea sau comercializarea de material de război (articolul 346 alineatul (1) litera (b) din TFUE) și să păstreze normele aplicabile neresortisanților în ceea ce privește ordinea publică, siguranța publică sau sănătatea publică (articolul 52 alineatul (1) din TFUE)[2].

b. Încălcarea liberei circulații a serviciilor

Societățile constituite în conformitate cu legislația unui stat membru și având sediul social, administrația centrală sau locul principal de desfășurare a activității în cadrul Uniunii sunt asimilate, în aplicarea prezentului capitol, persoanelor fizice resortisante ale statelor membre. Prin societăți se înțeleg societățile constituite în conformitate cu dispozițiile legislației civile sau comerciale, inclusiv societățile cooperative și alte persoane juridice de drept public sau privat, cu excepția celor fără scop lucrativ (art. 54 TFUE). În conformitate cu dispozițiile ce urmează, sunt interzise restricțiile privind libera prestare a serviciilor în cadrul Uniunii cu privire la resortisanții statelor membre stabiliți într-un alt stat membru decât cel al beneficiarului serviciilor. Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, pot extinde beneficiul dispozițiilor prezentului capitol la prestatorii de servicii care sunt resortisanți ai unui stat terț și sunt stabiliți în cadrul Uniunii (art. 56 TFUE). Potrivit art. 57 TFUE serviciile cuprind, în special: a) activități cu caracter industrial; (b) activități cu caracter comercial; (c) activități artizanale; (d) activitățile prestate în cadrul profesiunilor liberale.

Fără a aduce atingere dispozițiilor capitolului privind dreptul de stabilire, prestatorul poate, în vederea executării prestației, să își desfășoare temporar activitatea în statul membru în care prestează serviciul, în aceleași condiții care sunt impuse de acest stat propriilor resortisanți. Astfel, statele membre au dreptul de a aplica restricții, dar doar dacă sunt compatibile cu prezentul tratat.

În fapt, dintr-o activitate reglementată la nivel european, respectiv cea de responsabil cu protecția datelor cu caracter personal, legiuitorul român dorește să reglementeze o veritabilă profesie care nu ar putea fi exercitată în România decât de către persoanele care sunt înscrise în Corpul profesional menționat în proiect, deși responsabilul cu protecția datelor cu caracter personal poate fi orice persoană din UE care are cunoștințe juridice și tehnice. Chiar dacă ar putea fi considerat că menționarea acestor cunoștințe ar impune limitări, acestea nu ar trebui să aibă atingere asupra liberei circulații a serviciilor sau dreptului la muncă.

Spre exemplu, se ajunge la situația absurdă în care un operator de date cu caracter personal ce are sediul într-o altă țară membră UE și o subsidiară în România, să fie nevoit să aibă doi responsabili cu protecția datelor, unul pentru sediul din țara membră UE și unul pentru România, care să fie înscris în Corpul profesional reglementat prin lege și care să participe la cursurile organizate de acesta.

Prin urmare, o persoană dintr-un stat membru UE care întrunește condițiile din RGPD i-ar fi interzis să desfășoare activitate ca responsabil cu protecția datelor cu caracter personal în România deoarece ar fi o profesie reglementată printr-o lege ce impune anumite condiții suplimentare cu condiția apartenenței la un corp profesional; acest fapt creând restricții asupra liberei circulații a persoanelor și asupra libertății  de a presta servicii în spațiul UE. Acest tip de restricții este contrar dispozițiilor TFUE.

II. Proiectul de lege încalcă dispozițiile Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat

Conform art. 20 alin. (1) din proiectul de lege, „exercitarea oricărei atribuții specifice calității de Responsabil cu protecția datelor cu caracter personal de către persoane neautorizate constituie infracțiune și se pedepsește potrivit legii penale.”.

Chiar dacă apreciem că avocatul poate exercita activități specifice persoanei responsabile cu protecția datelor în virtutea atribuțiilor prevăzute la art. 3 alin. (1) lit. a), b), c), e) din Legea nr. 51/1995 republicată, din formularea proiectului de lege, avocatul nu ar putea exercita această profesie.

Analizând atribuțiile ”specifice” calității de responsabil cu protecția datelor (a se vedea spre exemplu art. 4 lit. a) și c) din proiectul de lege: informarea organizației și persoanelor vizate cu privire la drepturile și obligațiile lor în baza legislației privind protecția datelor cu caracter personal, emiterea de recomandări și oferirea asistenței de specialitate organizației cu privire la interpretarea și aplicarea prevederilor legislației privind protecția datelor cu caracter personal), se poate observa că acestea se suprapun consultanței juridice pe care o poate acorda doar un avocat în baza Legii nr. 51/1995, ceea ce nu ar face contrară această activitate cu profesia de avocat.

Conform Art. 25 din Legea nr. 51/1995 pentru organizarea și exercitarea profesiei de avocat prevede următoarele:

„(2) Exercitarea, fără drept, a oricărei activităţi specifice profesiei de avocat constituie infracţiune şi se pedepseşte potrivit legii penale.

(3) Fapta unei persoane care exercită activităţi specifice profesiei de avocat în cadrul unor entităţi care nu fac parte din formele de organizare profesională recunoscute de prezenta lege constituie infracţiune şi se pedepseşte potrivit legii penale.

(4) Actele specifice profesiei de avocat, efectuate în mod public de o persoană care nu a dobândit calitatea de avocat în condiţiile prezentei legi, sunt nule.”

Avocatul are nu numai un titlu profesional protejatla nivelul tuturor statelor europene, ce poate fi echivalat pentru a se înscrie să practice chiar și în alte state membre UE, ci și un obiect de activitate protejat, și nu pot fi impuse restrângeri în exercitarea acesteia prin prevederi dintr-un astfel de proiect de lege ce impun specializarea avocaților prin înscrierea și participarea la cursuri organizate de un alt corp profesional constituit în premieră la nivelul UE.

Din cauza proiectului legislativ menționat, în ciuda prevederilor art. 25 din Legea nr. 51/1995, avocatul ar fi cel incompatibil să desfășoare această activitate, ceea ce nu ar fi just întrucât este singura persoană autorizată de către legislația română căreia îi este permis să acorde consultanță juridică (alături de consilierul juridic, bineînțeles).

De asemenea, chiar dacă conform art. 37 alin. (5) RGPD este impusă doar „condiția cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor”, fără a fi restricționată în mod expres activitatea de responsabil cu protecția datelor în privința persoanelor cu studii de licență în alte domenii decât drept, este de la sine înțeles că o persoană cu alte studii de licență nu va putea să invoce cunoștințe de specialitate în dreptul unional oricâte cursuri de specializare ar urma.

Prin urmare, atâta timp cât profesia de avocat (sau de consilier juridic) nu și-a arogat competențe exclusive în domeniu, deși ar fi fost îndreptățită conform celor mai sus expuse, nu poate fi reglementată o altă profesie care să interfereze tocmai cu obiectul de activitate al avocaturii prin limitarea acestuia sub sancțiunea săvârșirii unei infracțiuni. Oricare avocat poate, de drept, să exercite această activitate de responsabil cu protecția datelor cu caracter personal.

Analizând cele două texte legislative enunțate anterior, am ajunge în situația absurdă în care avocatul oferă consultanță juridică privind legislația protecției datelor personale, conform prerogativelor prevăzute de lege, dar să fie tras la răspundere că oferă acea consultanță juridică fără să fie înscris într-un corp profesional. Care prevederi legislative ar prevala?

Dar ce facem cu situația în care persoane care nu au calitatea de avocat oferă consultanță juridică, fiind înscriși doar în acel corp profesional? Am putea crede că ar deveni inaplicabile dispozițiile art. 25 alin. (3) și (4) din Legea nr. 51/1995?

III. Proiectul de lege încalcă dispozițiile Legii nr. 200/2004 privind recunoașterea privind recunoașterea diplomelor și calificărilor profesionale pentru profesiile reglementate din România care transpune Directiva 2005/36/CR a Parlamentului European și a Consiliului din 7 septembrie 2005 privind recunoașterea calificărilor profesionale

Legea nr. 200/2004 este cea care stabilește ce activitate poate fi considerată activitate profesională reglementată și ce reprezintă o profesie reglementată – art. 2 și 3 –, lista profesiilor reglementate fiind prevăzută în anexa nr. 2, Or, în Anexa nr. 2 nu se regăsește profesia de responsabil în protecția datelor cu caracter personal, iar o astfel de activitate profesională nu întrunește condițiile prevăzute la art. 2 din Legea nr. 300/2004 pentru a putea fi considerată activitate profesională reglementată.

IV. Proiectul de lege nu poate trece testul de proporționalitate prevăzut de disp. Legii 245/2020 privind efectuarea unui test de proporţionalitate anterior adoptării unor noi reglementări referitoare la profesii, care transpune dispoziţiile Directivei (UE) 2018/958 a Parlamentului European şi a Consiliului din 28 iunie 2018 privind efectuarea unui test de proporţionalitate înainte de adoptarea unor noi reglementări referitoare la profesii, publicată în Jurnalul Oficial al Uniunii Europene (JOUE), seria L, nr. 173 din 9 iulie 2018)

Conform art. 5 Legea nr. 245/2020:

(1) Autorităţile publice cu drept de iniţiativă legislativă în a căror arie de competenţă se circumscrie profesia reglementată sau care urmează a se reglementa şi coordonatorul naţional pentru recunoaşterea calificărilor profesionale, desemnat conform Legii nr. 200/2004, efectuează o evaluare a proporţionalităţii în conformitate cu prevederile art. 7 înainte de a introduce noi dispoziţii legislative care restricţionează accesul liber la profesiile reglementate sau exercitarea acestora ori înainte de a modifica dispoziţiile existente.

(2) În cazul actelor normative iniţiate de Parlamentul României, obligaţia prevăzută la alin. (1) revine deputaţilor şi/sau senatorilor iniţiatori.”

De asemenea, conform art. 7 din Legea nr. 245/2020:

„(2) În acest scop, înainte de a adopta dispoziţiile prevăzute la alin. (1), autorităţile publice cu drept de iniţiativă legislativă în a căror arie de competenţă se circumscrie profesia reglementată sau care urmează a se reglementa şi coordonatorul naţional pentru recunoaşterea calificărilor profesionale iau în considerare:

a) natura riscurilor legate de obiectivele de interes public urmărite, în special riscurile pentru destinatarii serviciilor, inclusiv consumatori, profesionişti şi părţi terţe;

b) dacă normele în vigoare, de natură specifică sau mai generală, cum ar fi legislaţia din domeniul siguranţei produselor sau legislaţia în materie de protecţie a consumatorilor, sunt insuficiente pentru a atinge obiectivul urmărit;

c) caracterul adecvat al dispoziţiei în ceea ce priveşte aptitudinea sa de a atinge obiectivul urmărit şi dacă dispoziţia răspunde cu adevărat nevoii de a realiza acest obiectiv în mod coerent şi sistematic şi, prin urmare, abordează riscurile identificate în acelaşi mod ca în activităţi comparabile;

d) impactul asupra liberei circulaţii a persoanelor şi a serviciilor la nivelul statelor membre ale Uniunii Europene, asupra alegerilor consumatorilor şi asupra calităţii serviciilor prestate;

e) posibilitatea de a utiliza mijloace mai puţin restrictive pentru atingerea obiectivului de interes public; în cazul în care dispoziţiile se justifică doar din motive de protecţie a consumatorilor şi în cazul în care riscurile identificate sunt limitate la relaţia dintre profesionist şi consumator, neafectând astfel în mod negativ părţile terţe, este evaluat, în special, dacă obiectivul poate fi atins prin mijloace mai puţin restrictive decât rezervarea activităţilor;

f) efectul dispoziţiilor noi sau modificate, când sunt combinate cu alte cerinţe care restricţionează accesul la o profesie sau exercitarea acesteia, şi în special modul în care dispoziţiile noi sau modificate, combinate cu alte cerinţe, contribuie la acelaşi obiectiv de interes public şi dacă sunt necesare pentru îndeplinirea sa.

(4) În sensul alin. (2) lit. f), autorităţile publice cu drept de iniţiativă legislativă evaluează efectele dispoziţiei noi sau ale celei modificate atunci când se combină cu una sau mai multe cerinţe, ţinând seama de faptul că pot exista atât efecte pozitive, cât şi negative şi îndeosebi următoarele:

a) activităţi rezervate, titlu profesional protejat sau orice altă formă de reglementare în sensul art. 3 alin. (1) din Legea nr. 200/2004;

b) obligaţii de a se supune unei dezvoltări profesionale continue;

c) norme referitoare la organizarea profesiei, la etica profesională şi la supraveghere;

d) apartenenţa obligatorie la o anumită organizaţie profesională sau la un anumit organism, regimurile de înregistrare sau autorizare, în special în cazul în care cerinţele menţionate presupun deţinerea unei calificări profesionale specifice;

e) restricţii cantitative, în special cerinţele care limitează numărul de autorizaţii pentru exercitarea unei profesii sau care stabilesc un număr minim sau maxim de salariaţi, de cadre de conducere sau de reprezentanţi care deţin calificări profesionale specifice;

f) cerinţe privind o formă juridică specifică sau cerinţe care se referă la deţinerea de capital sau la conducerea unei societăţi, în măsura în care aceste cerinţe sunt legate în mod direct de exercitarea profesiei reglementate;

g) restricţii teritoriale, dacă este cazul;

h) cerinţe care restricţionează exercitarea în comun sau în parteneriat a unei profesii reglementate, precum şi normele în materie de incompatibilitate;

i) cerinţe privind asigurarea sau alte mijloace de protecţie personală sau colectivă în ceea ce priveşte răspunderea civilă profesională;

j) cerinţe privind cunoştinţele lingvistice, în măsura în care acestea sunt necesare pentru a exercita profesia;

k) cerinţe privind tarifele minime şi/sau maxime;

l) cerinţe privind publicitatea.

Proiectul de lege nu a fost supus încă testului de proporționalitate, dar este evident, din cuprinsul acestuia, că nu l-ar putea trece în condițiile încălcărilor prezentate la pct. anterioare.

 V. Opinie raportată la Punctul de vedere emis de UNBR în data de 25.11.2020

Raportat la Punctul de vedere din 25.11.2020 emis de UNBR raportat la proiectul de lege pus în discuție în acest articol, considerăm că scopul este bun, dar metodele de expunere a motivației nu au fost cele mai bine alese și au dat dovadă de o greșită interpretare a legislației privind protecția datelor, ce implică aceasta și care e rolul unui responsabil cu protecția datelor.

Potrivit UNBR ”se poate observa că tehnologia presupune aptitudinea de a utiliza calculatorul, programele și aplicațiile informatice, necesare unei prelucrări rapide, eficiente și legale a datelor cu caracter personal. Condiția este îndeplinită de orice avocat român, având în vedere particularitățile activității profesionale, respectiv tehnoredactarea actelor specifice procesului judiciar ori activităților de consultanță juridică acordată în diferite domenii, utilizarea programelor informatice, utilizarea portalului instanțelor de judecată și a dosarului electronic, utilizarea diferitelor rețele informatice pentru desfășurarea activității. Profesia de responsabil cu protecția datelor nu presupune cunoștințe avansate de tehnologie, care nu ar fi la îndemâna avocatului.”

Din punctul nostru de vedere, într-adevăr, profesia de responsabil cu protecția datelor nu presupune cunoștințe avansate de tehnologie,  responsabilul cu protecția datelor nu trebuie să știe să programeze sau să codeze, în schimb presupune mai mult decât tehnoredactare, utilizarea programelor informatice sau utilizarea portalului instanțelor de judecată și a dosarului electronic.

În primul rând, profesia de responsabil cu protecția datelor este echivalentă cu cea a unui auditor intern. Ceea ce înseamnă că are abilitățile și cunoștințele necesare de evaluare a implementării corecte a legislației privind protecția datelor și a integrării acestui sistem în procesele operaționale și de sistem ale organizațiilor.

Dar, în aceeași măsură, trebuie să înțeleagă sistemele de management, să aibă cunoștințe ce privesc managementul securității informației, managementul riscurilor, managementul incidentelor de securitate – chestiuni care exced activității de tehnoredactare sau de folosire a programelor informatice.

Pornind de la opinia UNBR ”se poate observa că acestea (n.r. activitatea de responsabil cu protecția datelor)  pot fi atinse prin activitatea profesională de prelucrare a datelor cu caracter personal realizată de avocat”, suntem de acord cu această afirmație, avocatul este cel mai în măsură să ofere consultanță și să verifice respectarea legislației privind protecția datelor.

O persoană care nu activează sau nu are cunoștințe juridice nu va putea aprecia corect temeiurile de prelucrare pentru fiecare proces identificat. Greșita stabilire a temeiurilor stă la baza unei implementări greșite a legislației privind protecția datelor. Dar, în același timp, pentru a aprecia ce măsuri tehnice și organizatorice ar trebui implementate este importantă alegerea corectă a temeiului legal, ceea ce nu înseamnă că este și suficientă; din acest punct de vedere este necesară asimilarea unor informații care nu sunt disponibile pe piață acum, sau, cel puțin, nu în cursurile de formare a DPO-ului.

Raportat la opinia privind răspunderea operatorului, UNBR conchide că ”analizând art. 24 și 25 din regulament, se poate observa că implementarea tehnologiei în scopul prelucrării datelor cu caracter personal este obligația operatorului de date, nu a responsabilului cu protecția datelor, respectiv nu a persoanei împuternicite de operator, așa cum o denumește Regulamentul”.

Operatorul este responsabil pentru modalitatea de prelucrare a datelor. Dar, de multe ori, nu se efectuează corect atribuirea acestor denumiri persoanelor care desfășoară activități economice întrucât nu se cunoaște de către publicul larg diferența dintre operator și persoană împuternicită.

DPO-ul este obligat să monitorizeze activitatea operatorului, să îi atragă atenția asupra modificărilor legislative și asupra neconcordanțelor practicii acestuia cu legislația și cu bunele practici. În ceea ce privește prelucrarea de la momentul conceperii, în mod implicit semnifică că toți care prelucrează date, atât operatorul, cât și persoana împuternicită, au obligația respectării legislației și a securității informației de la momentul conceperii procesului/arhitecturii aplicației etc, pe tot parcursul ei până la închiderea procesului.

UNBR face, din punctul nostru de vedere, o eroare terminologică între persoana împuternicită și responsabil cu protecția datelor: ”Analizând art. 28 din Regulament, se poate observa că nu se impune încheierea unui anumit tip de contract în mod exclusiv, de muncă sau comercial, ceea ce face ca prevederea din proiectul de lege de la art. 2 a doua bulină să fie contrară Regulamentului. Apreciem că prin reglementarea internă nu se poate restrânge sfera actelor juridice care se pot încheia între operatorul de date cu caracter personal și persoana desemnată, respectiv responsabilul cu protecția datelor. Atâta vreme cât Regulamentul se referă în mod generic la contract sau alt act juridic, fără a-l numi în mod exclusiv, limitativ, singurele condiții fiind acelea de a avea caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi de a stabili obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului, apreciem că nici reglementarea internă nu poate limita categoria actelor juridice care pot fi încheiate între operatorul de date cu caracter personal și persoana desemnată, respectiv responsabilul cu protecția datelor.

Persoana împuternicită este asemenea unui mandatar al operatorului, desfășoară activități în numele acestuia și pentru acesta. În acest sens, este importantă stabilirea atribuțiilor fiecăruia, a modalității de desfășurare a activităților între cei doi în vederea desfășurării unui proces care ar reveni operatorului, în mod obișnuit. Trecând peste această eroare, într-adevăr, o persoană responsabilă cu protecția datelor poate să își desfășoare activitatea față de un operator în baza unui contract individual de muncă sau pe baza unui contract de antrepriză de servicii, iar contractul de asistență juridică ar trebui să fie inclus în această categorie. Totodată, DPO-ul poate să fie o persoană fizică sau o entitate juridică (PFA, II, SRL etc).

În ceea ce privește opinia UNBR raportat la articolul din proiectul de lege care vizează atribuțiile DPO-ului, acesta conchide ”analizând art. 37 din Regulament, în special alin. 6, se poate observa de asemenea că reglementarea internă restrânge categoria actelor juridice care pot conferi calitatea de responsabil cu protecția datelor. Regulamentul se referă în articolul precizat, fie la un angajat al operatorului sau al persoanei împuternicite (contract de muncă), fie la o persoană care acționează în baza unui contract de servicii (categorie în care intră și contractul de asistență juridică încheiat sub auspiciile Legii nr. 51/1995). Rezultă din același art. 37 din Regulament, că persoana responsabilă cu protecția datelor trebuie să dețină cunoștințe juridice, fără vreo specializare în tehnologie, și din această perspectivă reglementarea internă fiind restrictivă și nelegală”.

Într-adevăr, avocatul ar fi indicat să poată fi DPO, să nu i se restrângă această posibilitate, dar cum am menționat anterior, DPO-ul trebuie să știe mai mult decât să citească sau să intrepreteze prevederile legislative, dar trebuie să știe mai mult decât IT – DPO-ul, pe lângă cunoștințele juridice necesare trebuie să aibă cunoștințe de sisteme de management în special managementul securității informației.

Ca o concluzie, suntem de acord că această funcție de responsabil cu protecția datelor presupune o mare responsabilitate a persoanelor care exercită această funcție, pe de-o parte, iar cei care sunt numiți, ar trebui să aibă cunoștințe interdisciplinare pentru a fi de real folos în slujba operatorilor/persoanelor împuternicite, dar acest triaj și instruiri ar trebui să fie făcute de către Autoritatea Națională privind Protecția Datelor.

Suntem de acord că este necesară instituirea unei pregătiri continue, că nu este suficient ca orice persoană care face cursuri de câteva zile să fie pregătită și să înțeleagă însemnătatea acestei funcții pe care dorește să o ocupe.

Drept consecință, considerăm că acest proiect de lege ar trebui abandonat și regândită altă formulă de triaj, pregătire și evaluare a persoanelor care doresc să ocupe această funcție. În ceea ce privește punctul de vedere emis de UNBR, apreciem că au dorit apărarea profesiei de avocat, dar expunerile de motive nu au fost dintre cele mai fericite, și recomandăm să ofere și să pună la dispoziția avocaților cursuri pentru consolidarea cunoștințelor în acest domeniu.


[1] Libera circulaţie a lucrătorilor şi principiul egalităţii de tratament – Ministerul Muncii și protecției sociale, disponibil aici.
[2] Parlamentul European – Fișe descriptive despre Uniunea Europeană ; Libertatea de stabilire și libertatea de a presta servicii, disponibil aici.


Av. Silvia Uscov, Managing Partner USCOV | Attorneys at law
Av. drd. Mirela Morar, Senior Associate BEJENARU & PARTENERII

PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară

Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.