Mituri si adevaruri despre GDPR
Mitul: orice incalcare a securitatii datelor cu caracter personal va trebui notificata Autoritatii de supraveghere in 72 de ore.
Adevarul: Regulamentul Parlamentului European si al Consiliul Uniunii Europene nr. 679/27.04.2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei nr. 94/45/CE (denumit in continuare in mod generic “Regulamentul”) a provocat numeroase dezbateri si interpretari contradictorii, inca dinainte de intrarea sa in vigoare (25.05.2018).
Una dintre opiniile cu care ne-am confruntat in practica sustine necesitatea notificarii Autoritatii Nationala de Supraveghere a Datelor cu Caracter Personal (“Autoritatea de supraveghere”), asupra oricarei incalcari a securitatii datelor cu caracter personal, notificare care ar trebui sa intervina in maxim 72 de ore de la producerea mentionatei incalcari.
Realitatea este departe de aceasta opinie, care porneste, din pacate, dintr-o traducere in limba romana extrem de proasta a art. 33 din Regulament.
Atentie, vorbim aici de traducerea oficiala a unei legi aplicabile la nivel european, traducere asa cum apare in Jurnalul Oficial al Uniunii Europene!
In cadrul cursurilor de GDPR pe care le-am sustinut in ultimele luni am insistat ca cea mai buna metoda de a intelege legislatia este de a citi efectiv litera legii, cu precizarea ca uneori nu este suficient sa citim versiunea in limba romana, ci e necesara si o comparatie cu textul in limba engleza. Articolul 33 este cel mai bun exemplu.
Redam in continuare dispozitiile art. 33 din Regulament, asa cum au fost tranduse in mod oficial:
“Articolul 33: Notificarea autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal
(1)In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul notifica acest lucru autoritatii de supraveghere competente in temeiul articolului 55, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice. In cazul in care notificarea nu are loc in termen de 72 de ore, aceasta este insotita de o explicatie motivata din partea autoritatii de supraveghere in cazul in care. [sic!]
La o prima citire a textului mai sus citat, am putea intelege, in mod eronat, ca trebuie anuntata Autoritatea de supraveghere in 72 de ore pentru orice incalcare de securitate a datelor, cu exceptia cazului in care exista riscul sa se genereze riscuri pentru drepturile si libertatile persoanelor fizice. Evident, ramane neclar ce s-ar intampla daca incalcarea de securitate ar fi generatoare de riscuri. Mai mult, finalul reglementarii citate este echivoc si banuim doar ca logica frazei este aceea ca, daca in 72 de ore nu este anuntata Autoritatea de supraveghere, atunci ar trebui prezentate explicatii cu privire la motivul intarzierii.
In realitate insa, textul din care provine traducerea (din limba engleza) este urmatorul:
“Article 33: Notification of a personal data breach to the supervisory authority 1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.”
Din analiza versiunii de limba engleza observam ca sensul real al reglementarii este cu totul altul, unul absolut logic: NUMAI IN CAZUL IN CARE INCALCAREA DE SECURITATE ESTE DE NATURA SA GENEREZE RISCURI pentru libertatile fundamentale ale persoanelor fizice, atunci trebuie anuntata Autoritatea in 72 de ore daca se poate, iar daca nu se poate, atunci trebuie oferite explicatii.
Acum, important este sa intelegem ca GDPR are in centrul atentiei persoana fizica, ale carei drepturi si libertati fundamentale sunt stipulate in Declaratia Universala a Drepturilor Omului si, evident, in Constitutie. Ne gandim aici la: dreptul la viata, la integritate fizica si psihica, la libertate individuala, la libera circulatie, la viata intima, familiala si privata, la secretul corespondentei, inviolabilitatea domiciliului, etc…
Cu alte cuvinte, daca un angajat a pierdut o lista cu numele colegilor de munca si cu adresele de mail ale acestora, este cam greu de argumentat ca divulgarea catre un necunoscut a acestora ar fi de natura sa genereze riscuri pentru libertatile fundamentale ale persoanelor vizate. Daca insa in lista figurau si parolele de acces la emailurile respective, atunci putem lua in calcul ipoteza riscului ca secretul corespondentei sa fie violat pentru persoanele de pe lista. Chiar si asa, daca in 72 de ore operatorul remediaza problema intr-un mod sau altul, astfel incat sa inlature riscul (de ex. daca schimba rapid parolele de acces la email cu ajutorul departamentului IT), nu mai este necesara notificarea Autoritatii…
Consultat GDPR,
Dr. Valentin Militaru
0 Comments