La începutul lunii mai, deputatul Anişoara Radu s-a adresat Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.), solicitând informaţii referitoare la aplicarea Regulamentului (U.E.) 2016/679. Considerând că trebuie să existe limite foarte stricte determinate cu privire la aplicarea documentului menţionat (care se aplică de câteva zile), parlamentarul apreciază că „o aplicare exhaustivă ar putea dăuna mediului de afaceri din România şi ar crea dificultăţi în ceea ce priveşte desfăşurarea activităţilor economice”. În consecinţă, Anişoara Radu adresează câteva întrebări la care instituţia a răspuns de curând în scris.

A.N.S.P.D.C.P. precizează că, potrivit Regulamentului general privind protecţia datelor (R.G.P.D.), „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern. Cf. art. 2, alin. (1), regulamentul se aplică prelucrării datelor cu caracter personal, efectuată total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor. De asemenea, „regulamentul nu se aplică prelucrării datelor cu caracter personal… de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice” (art. 2, alin. 2). R.G.P.D. nu face disticţie între mărimea companiilor, „importantă fiind încadrarea respectivei companii în condiţiile art. 2 şi 3 privind domeniul de aplicare material şi teritorial, precum şi ale art. 4 referitor la definiţi din R.G.P.D.”. În plus, obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la art. 9, alin. (1), sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, aşa cum se menţionează la art. 10. Grupul de lucru pentru protecţia datelor personale de pe lângă Comisia europeană consideră că o prelucrare poate fi considerată „ocazională” numai dacă nu este efectuată în mod regulat şi se desfăşoară în afara derulării programului obişnuit de activitate: „Spre exemplu, Grupul de Lucru menţionează că o organizaţie mică, dar care prelucrează în mod regulat datele cu privire la angajaţii săi, nu poate încadra o astfel de prelucrare în categoria «ocazională» şi trebuie, prin urmare, să întocmească evidenţele privind prelucrarea datelor stabilite în R.G.P.D.”.

Considerentul (171) din R.G.P.D. prevede că prelucrările în derulare la data aplicării prezentului regulament ar trebui să fie aduse în conformitate cu prezentul regulament în termen de doi ani de la data intrării în vigoare a prezentului regulament. În situaţia în care prelucrările se bazează pe consimţământ, nu este necesar ca persoana vizată să îşi dea încă o dată consimţământul în cazul în care acesta este în conformitate cu condiţiile din prezentul regulament. Cf. art. 24, „responsabilitatea operatorului”, „ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament; respectivele măsuri se revizuiesc şi se actualizează dacă este necesar”. În consecinţă, prelucrările în derulare la data aplicării R.G.P.D. trebuie să fie aduse de către operatori în conformitate cu acesta.

Răspunzând în continuare întrebărilor, A.N.S.P.D.C.P. specifică faptul că responsabilul cu protecţia datelor trebuie să fie „desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la art. 39”. Printre calităţile profesionale cerute: experienţă în legislaţia şi practicile de protecţie a datelor la nivel naţional şi european, precum şi o înţelegere adecvată a R.G.P.D. Responsabilul cu protecţia datelor poate îndeplini, totodată, şi alte sarcini sau atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.

Întrebat cine plăteşte amenda în cazul sancţionării unei instituţii publice, reprezentantul A.N.S.P.D.C.P. răspunde că, având în vedere definiţia operatorului şi ţinând cont că sancţionarea amenzii este acordată acestuia, respectiv autorităţii publice, agenţiei sau altui organism, plata amenzii cade în sarcina operatorului respectiv.

Deputatul Anişoara Radu a cerut să ştie cât costă implementarea unei soluţii eficiente de securitate I.T., în vederea îndeplinirii obligaţiilor prevăzute de G.D.P.R. Răspunsul este că A.N.S.P.D.C.P. nu are atribuţii legale în sensul evaluării costurilor implementării soluţiilor de securitate I.T., necesare operatorilor de a respecta cerinţele R.G.P.D. „Prin urmare, precizăm că este în sarcina fiecărei entităţi să implementeze măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, conform art. 32 din R.G.P.D.”, a răspuns Anicuţa Gianina Opre, preşedintele A.N.S.P.D.C.P.