Marieta Avram: Bună seara, stimați invitați, dragi colegi. Ne revedem la o nouă emisiune, la o nouă dezbatere. În această seară – GDPR in banking, și nou și vechi aș putea spune, pentru că primăvara anului 2018 probabil că o să rămână în amintirea noastră a tuturor ca fiind primăvara GDPR. Foarte multe dezbateri pe această temă, au apărut deja lucrări, articole de specialitate, ca să nu mai spun de activitatea curentă a noastră, a tuturor, legată de prelucrarea datelor cu caracter personal. Mai sunt două zile, 25 mai 2018 este ziua care marchează aplicarea Regulamentului 679/2016, cu precizarea că așteptăm adoptarea în Parlamentul European a rectificărilor la acest Regulament. Câteva cuvinte, înainte de a prezenta invitații, despre cadrul legal. Pentru că suntem încă pe nisipuri mișcătoare, aș putea spune, avem acest regulament care se va aplica de la 25 mai 2018. El va fi însoțit de două acte normative importante, cel dintâi – o lege privind modificarea și completarea Legii 102/2005 privind organizarea și funcționarea autorității naționale de supravegherea prelucrării datelor cu caracter personal, și de abrogarea Legii 677/2001. Vestea este că această propunere legislativă a devenit deja Legea 260/2018, a fost adoptată ieri și de Senat, așa încât o așteptăm în Monitorul Oficial. A doua propunere legislativă este încă în dezbatere la Senat, cea privind măsurile de punere în aplicare a Regulamentului 679/2016. Dar dincolo de acest prim plan legislația primară internă, urmează cel de-al doilea plan – legislația secundară, aici lucrurile sunt încă într-o formă incipientă. Sunt în curs de elaborare procedurile la nivelul autorității naționale de supraveghere. Ceea ce a făcut totuși autoritatea, a publicat și s-a publicat în MF Decizia 99/2018 privind încetarea aplicabilității unor decizii emise de autoritate, inclusiv Decizia 105/207 care interesează sectorul bancar. Mergând și mai adânc, am putea vorbi și de al treilea plan, dacă aceasta a fost reglementarea secundară pe care o așteptăm ar fi reglementarea terțiară la nivelul codurilor de conduită, coduri elaborate și aflate în curs de avizare la autoritate în diferite sectoare. Și iată că, până la urmă, vorbim astăzi despre GDPR in banking, dar practic vorbim despre Regulamentul 679/2016 pentru că restul reglementării este încă în curs fie de adoptare, fie de publicare în Monitorul Oficial. Până la urmă nu ne miră că suntem în acest stadiu al legislației. Nu e pentru prima dată când se întâmplă în un asemenea fenomen cu reglementările europene, dar în materia aceasta când e vorba de directive, când este vorba de regulamente, ele sunt ca zăpada, știm că vin, știm că se aplică, dar se pare că nu suntem niciodată pe deplin pregătiți în momentul în care trebuie să le punem în aplicare. Păi cum spuneau și la Timisoara – ”festina lente”, și un poet spunea: „ Festina lente – trucu-i evindet, trăiască melcul să murim mai lent.” Așadar, ne grăbim, dar ne grăbim și noi încet astăzi și discutăm despre acest Regulament 679/2016. Specificul acestei dezbateri cred că este de faptul că vom încerca să abordăm problematica Regulamentului într-un anumit sector de activitate, sau cu predilecție într-un anumit sector de activitate. Mulți invitați avem ca speakeri, încep cu doamnele. Doamna Oana Frățilă, Manager Departament Juridic ING Bank, bună seara! Bine ați venit la noi pentru prima dată.

Oana Frățilă: Bună seara! Da, trebuie să fie și prima dată, GDPR este prima oară, eu sunt prima oară aici.

Marieta Avram: Perfect. Doamna Adina Elena Popescu, avocat.

Adina Elena Popescu: Bună seara!

Marieta Avram: Domnul Daniel Nicolaescu, Director executiv juridic Raiffeisen Bank, bună seara! Nu este prima dată?

 Daniel Nicolaescu: Bună seara! Nu este prima dată, este a treia oară și deci cu noroc.

Marieta Avram: Perfect. Domnul Valentin Vidrighin, șef serviciu litigii BCR, bună seara! Tot prima dată, primadar nu ultima.

 Valentin Vidrighin: Bună seara! Nu, sper.

Marieta Avram: Domnul Cătălin Giulescu, specialist responsabil privind protecția datelor personale, bună seara și vă mulțumim că ați acceptat invitația!

Cătălin Giulescu: Bună seara! Cu mare plăcere! Mulțumesc pentru invitație!

Marieta Avram: Intrăm în dezbaterea propriu-zisă și vă propun pentru început să punctăm elementele de noutate pe care le aduce regulamentui, pentru a vedea în acest context cum se reflectă ele în sectorul bancar.

Daniel Nicolaescu: Dacă-mi dați voie, am să încep eu prin a prezenta ceea ce apreciez eu că reprezint elementele de noutate, desigur îi rog pe colegii de panel să intervină, să adauge, să mă corecteze, să mă contrazică, să facem prezentarea cât mai interesată. Oricum, având în vedere câți specialiști în juridic sunt prezenți, ar trebui să fie suficient de vie prezentarea și discuția. Aș începe prin a comenta un pic despre ce-și propune regulamentul și ce impact va avea, și sunt convins că toți cei care sunt interesați, dar și cei care nu sunt neapărat interesați, au auzit cumva despre intrarea în vifoare a acestui Regulament, și probabil într-o notă nu tocmai optimistă. Eu am auzit tot felul de chestii, primesc inclusiv pe mail-ul personal și va trebui să mă gândesc cum e cu prelucrarea acestei date. Tot felul de informații, intră în vigoare regulamentul, pe de o parte se spune „atenție operatori sau agenți economici, vă paște o chestie absolut periculoasă, gravă, se schimbă fundamental regulile”, ”persoanele fizice, atenție, aveți tot felul de drepturi noi, există un cadru nou care vă protejează mult mai bine”. Pare că totul este schimbat sau pare că n-am fi avut înainte ceva care să protejeze datele cu caracter personal. Și în opinia mea lucrurile nu stau chiar așa. Dacă ar trebui să ne gândim la scopul regulamentului, el cred că este suficient de bine detaliat, în special în considerente, așa cum se întâmplă mai întotdeauna. Și chiar aș putea să dau câteva exemple, se spune că Regulamentul își propune să asigure o protecție a drepturilor și libertăților fundamentale ale persoanelor, inclusiv dreptul la protecția datelor cu caracter personal, însă în egală măsură regulamentul spune, și spunea și directiva, pentru că dacă ar fi să ne gândimla cadru legal existent sau nu, avem Legea 677/2001, avem în egală măsură Directiva 95/46, deci Regulamentul nu vine pe un teren complet nou, sau pe un teren liber. Deci regulamentul spune, așa cum spunea și directiva, că are ca scop asigurarea protecției drepturilor și libertăților fundamentale ale persoanelor, în legală măsură spune că protecția datelor nu poate să constituie un motiv de interzicere a circulației datelor în cadrul Uniunii Europene. Deci este clar că nu acesta este scopul, ci că se recunoaște nevoia de circulația acestor date în cadrul unei pieți unice cum este cea din Uniunea Europeană, ba chiar în anumite circumstanțe și către state terțe, către statedin afară în anumite condiții. Și deci se transmite cumva ideea că ar trebui asiguratului echilibru în nevoia de a proteja datele și nevoia de a nu pune o piedică activităților economice printr-o protecție excesivă, sau dacă protecția datelor ar fi prin ea un scop în sine.

Marieta Avram: Altfel spus, principiul este acela al liberei circulații a informației, informația nu poate fi oprită, trebuie sp circule, și cu atât mai mult circulă prin toate mijloacele într-o economie digitală, informatizată, acesta este principiul. Regulamentul ce reglementează? Cum trebuie să circule, astfel încât să nu fie prejudiciate drepturile fundamentale ale persoanelor, și în principal dreptul la viața privată și de familie. Principiul acesta este totuși inversat în cazul datelor sensibile. Acolo principiul este acela al interzicerii circulării datelor, dar numai în cazul datelor cu caracter sensibil. Și în mod excepțional se permite prelucrarea acestora în anumite condiții.

Daniel Nicolaescu: Da. Altfel, în considerentul 4 se spune dreptul la protecția datelor cu caracter personal nu este un drept absolut. Acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi în conformitate cu principiul proporționalității. Deci cum spunem, nu este ceva complet nou, pe de altă parte nu este un drept absolut așa cum se și spune, ci trebuie luat în considerare circumstanțele și până la urmă cu principiul proporționalității. Revenind la ce este sau ce nu este nou, după ce am spus că regulamentul nu vine pe un teren complet nou, făcând o sinteză care probabil poate fi discutată sau la care se mai pot adăuga sau scoate lucruri, am structurat sa m-am gândit cumva la trei concepte. Există concepte care sunt noi introduce de regulament, și aici pot să dau exemplu de responsabil cu protecția datelor sau DPO, cum îi spune deja lumea, conceptul de Privacy by Default și Privacy by Design, adică tradus asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Și am spus eu la un concept nou, pentru că apare acum cuvântuls au noțiunea, deși legătura este făcută cu reglementările anterioare pentru că semnificația lui o aveam și anterior, este vorba de conceptul de profilare și de profil. În câteva cuvinte despre Privacy by Deign & Default, pentru că nu vreau să intru în toate să nu anticipez celelalte precizări. Un concept care spune că protecția datelor cu caracter personal trebuie avută în vedere atât în faza de design, de când se concepe un produs sau un serviciu se schimb normele, deci de la bun început trebuie avut în vedere necesitatea de protecția datelor cu caracter personal, asta înseamnă asigurarea protecției în momentul conceperii. Și în mod implicit este un concept care înseamnă că atunci când un operator se gândește ce grad de protecție a datelor să asigure, trebuie să se gândească de la început să asigure gradul cel mai mare de protecție pe care o poate oferi pentru datele respective, asta înseamnă Privacy by Default. Ceea ce privește profilarea este doar conceptul de profil aparent, semnificația lui o aveam și în Legea 677, și în directivă, și este vorba despre dreptul persoanei de a nu fi supus unei decizii automate, numai că acum apare conceptul de profil și profilare. Acestea sunt conceptele noi. Am găsit și câteva principii care sunt noi în opinia mea, sau apar reglementate astfel, și anume principiul responsabilității și extraneitate. Dacă la principiul responsabilității cred că lucrurile sunt un pic mai simple și probabil că acest principiu am putea spune că nu este chiar atât de nou pentru că și anterior, deci ce spune, spune în esență că operatorul este responsabil pentru activitățile pe care le face de prelucrarea datelor, că trebuie să respecte regulamentul în mod evident. Și de asemenea este important că trebuie să fie în măsură să dovedească faptul că l-a respectat. Și aș accentua aici că a devenit deja evident pentru toată lumea că nu mai este nevoie să respecți o anumită prevedere, trebuie să poți fi și în măsură să dovedești că ai respectat-o, ceea ce este cumva o sarcină în plus. Deci din responsabilitatea care apare ca un principiu nou, însă responsabilitatea exista și înainte, în timp ce extrateritorialitatea chiar este nouă, și aceasta spune că în anumite circumstanțe regulamentul se poate aplica, se poate întinde dincolo de granițele fizice ale Uniuii Europene sau ale spațiului economic european, și spună că regulamentul se aplică ți prelucrărilor de date care sunt aferente activităților, sediului unui operator, chiar dacă activitatea de prelucrare în sine nu se petrece pe teritoriul Uniunii. Dacă prelucrarea se face în legătură cu activitățile unui operator de pe teritoriul Uniunii, chiar dacă prelucrarea efectivă se face în afara Uniunii Europene, Regulamentul se aplică și de asemenea spune că se aplică prelucrării datelor persoanelor vizate de pe teritoriul Uniunii chiar dacă este făcută de operatori care nu își au sediul în Uniune. Cum se va aplica regulamentul unor operatori care n-au sediu în Uniune este o problemă mult mai complicată și nu cred că o putem dezbate aici. Probabil că ar merita o cu totul o altă discuție. Și, deci am spus câteva concepte noi, principii noi, și foarte pe scurt aș vrea să spun despre drepturi sau obligații noi unde în mod evident toată lumea a vehiculat dreptul de a fi uitat, pentru că sună și așa un pic interesant.

Marieta Avram: Foarte interesant, toată lumea vrea să fie în memorie, istorie, dar iată că…

Daniel Nicolaescu: De regulă când se prezintă noutățile, dreptul de a fi uitat apare așa, cumva este regele drepturilor. Dreptul de a fi uitat nu este nou, exista și înainte chiar dacă nu este reglementat distinct, dreptul de a fi uitat era dreptul la ștergere practic, dacă despre asta este vorba. Apărea în dreptul de intervenție asupra datelor pe care îl aveam în Legea 677, care era un pic mai larg, dreptul de intervenție, rectificare, actualizare, blocare și ștergere. Modul în care este reglementat acum dreptul de a fi uitat, deci ștergerea este un pic mai larg decât în Legea 677, dar el nu este cu totul și cu totul nou. Și am să mă opresc aici ca să nu anticipez discuția despre acest drept. Ceva care într-adevăr nu este, dreptul la portabilitatea datelor, care spune că o persoană vizatăse poate adresa operatorului și solicita acestea ca operatorul să transfere datele unui alt operator ales de către persoana vizată, ceea ce este o măsură menită să ușureze tranzitul și mutarea persoanei fizice, persoanei vizate de la un operator la altul, acesta este un drept nou.

Marieta Avram: Dacă-mi permiți, integrându-ne puțin și în specificul temei, aș spune că acest drept deja își găsește o aplicație în legislația noastră, Legea 258/2017. Nu ne ia prin surprindere în sectorul bancar. În legătură cu transferul conturilor, contabilitatea a conturilor, adică posibilitatea unui client de a obține transferulsau mutarea conturilor de la o bancă la altă bancă, solicitând în acest sens toate datele pentru a fi transferate băncii.

Oana Frățilă: Doar să intervin, nu putem să privim în mod absolut că poate solicita transferul tuturor datelor, cum nu se poate nici în cazul portabilității datelor cu caracter personal. Și în cazul acestei legislații specifice care derivă tot dintr-o directivă europeană privind accesul la contul de bază, clientul unei bănci are posibilitatea fie de a solicita transferul contului de la o bancă la alta, fie transferul anumitor servicii, cum sunt serviciile de plăți programate ș.a., care implică transfer de date cu caracter personal. Deci nu este un element de noutate complet, ceea ce este un avantaj pentru bănci.

Daniel Nicolaescu: Nu mai sunt foarte multe drepturi noi, avem dreptul și obligația corelată a operatorului de a notifica eventualele încălcări ale securității datelor, deci operatorii în situația în care constată că există încălcări, scurgeri de date, și acestea sunt de natură să creeze riscuri pentru persoanele vizate. Operatorii sunt obligați să notifice autoritatea în termen de 72 de ore, obligația pe care nu o aveau anterior.

Oana Frățilă: Numai băncile nu aveau, pentru că jucători de pe piață o aveau. În societățile de telecom sau în alte state europene exista deja o astfel de obligație.

Daniel Nicolaescu: Acum este obligați pentru că erau toți operatorii. Și în egală măsură atunci când intervin astfel de eveniment, obligația de a notifica și persoanele vizate ale căror securitatea datelor a fost dintr-un motiv sau altul încălcat. Ajungem să vedem cum se manifestă.

Marieta Avram: Există asemenea incidente. În ceea ce privește temeiurile prelucrării datelor cu caracter personal, sub imperiul legii 677/2001 consimțământul era temeiul principal, era suveran. Aș vrea să discutăm puțin, sub imperiul regulamentului avem o marjă mai mare de libertate? Din acest punct de vedere? Adică o paletă mai largă de asemenea temeiuri? Și cum se reflectă acestea în activitatea bancară. Instituțiile de credit vor face prelucrarea datelor personale pe baza consimțământului sau pe baza altor temeiuri considerate mult mai potrivite, mai adecvate acestui sector de activitate?

Oana Frățilă: O să intervin eu aici pe zona de consimțământ un pic, pentru că-mi place subiectul, și pentru că tot așa a fost una dintre vedetele GDPR-ului, modului în care s-a scris în literatura de specialitate până acum despre el. Eu aș spune că consimțământul nu vine cu mari elemente de noutate, și nici  GDPR-ul nu vine cu alte temeiuri de prelucrare decât cele care erau cu față de cele care erau consacrate și până acum de directivă și de legislația locală. Ce se întâmpla înprincipal pe plan loca, aș spune, era o apetență în pecial autorității locale de a împinge toate prelucrările de date pe temeiul consimțământului. Cam tuturor ne era teamă să prelucrăm datele cu caracter personal pe baza unui alt temei decât în afara consimțământului.

Marieta Avram: Iată cât de important este modul în care înțelegi și aplici.

Oana Frățilă: Exact, pentru că este o chestiune de frazare până la urmă la nivel de regulament, și într-adevăr cred că declanșatorul a fost un dintre caracteristicile nou afirmate de regulament, aceea a revocabilității consimțământului care ne-a făcut pe toți să fim mai atenți de fapt la temeiurile în baza cărora prelucrăm, și de fapt ne-a ajutat să așezăm mai bine temeiurile de prelucrare. Și ne-am dat astfel seama cu toții că de fapt prelucrăm foarte puțin pe bază de consimțământ, vorbesc în numele băncilor în momentul de față. Și de ce spun asta? Prelucrăm în baza unei obligații legale, suntem niște entități super reglementate, avem obligații legale de cunoașterea clientelei, avem obligații legale de a realiza tot felul de raportări către tot felul de autorități și entități. Îmi amintesc doar raportările care se fac către ANAF cu privire la conturile deschise și închise de către clienți, sau raportările care se fac pe baza standardelor Fatca și CRS. De asemenea obligatorii la nivel european și pe baza protocoalelor pe care le avem încheiate cu SUA, un client vine să-și ia un credit, am obligația conform normelor de creditare, obligație legală să-i fac o analiză a solvabilității, să-i colectez anumite date. Dacă cad din temeiul acesta al obligației legale, ajung, sau nici nu știu cu care trebuie să încep, cu obligație legală sau sau cu executare contract. Îți dai seama de asemenea că ai nevoie de datele respective ca să prestezi serviciile pe care clientul ți le-a solicitat. Ai nevoie de un credit, avem nevoie să încheiem un contract, trebuie să ne cunoaștemîn primul rând, trebuie să ne identificăm, datele sunt necesare executprii contractului, vrei să închei un contract de credit cu o garanție ipotecară acordată de un terț. avem nevoie de datele terțului, avem nevoie de datele garanției care vor fi aduse în ipotecă. Vrei un mandat de direct debit? Trebuie să transferăm în baza acordului și contractelor pe care le încheiem date cu furnizorul de servicii care va transmite instrucțiunile de plată către noi. Vrei o alertă ISMS pentru incasări care îți intră cu o anumită recurență în cont. Trebuie să procesăm numărul de telefon mobil în acest scop. Și o mulțime de alte exemple. Un alt temei este interesul legitim care de asemenea a fost un fel de cenușăreasă pe vremuri temeiurilor de prelucrare în mod incorect, pentru că dacă faci o analiză corectă și balansată, îți dai seama că interesul legitim este un temei absolut valabil. Și aș da doar ca exemplu situațiile în care băncile, și nu doar ele, externalizează anumite servicii. Este o activitate permisă de însăși legislația bancară și este în beneficiul băncilor de pe o parte, pentru că șefii centizează costurile, procesele, aspectele administrative, dar pe de altă parte este și în interesul clienților, pentru că calitatea serviciilor pe care le oferim sunt mult mai competitive, mai bune din punct de vedere al costurilor. Și în final, dacă nu trecem de niciunul dintre aceste temeiuri, ajungem la consimțământ într-adevăr. Din experiența instituției noastre, trebuie să recunosc că ne-am oprit la consimțământ exclusivpe zona de marketing direct până acum, pentru că toate celelalte prelucrări de date și-au găsit temei în cele anterior discutate.

Marieta Avram: Regulamentul nu permite prelucrarea datelor cu caracter personal pe acest temei ai interesului legitim? Nu este un interes legitim marketingul direct?

Oana Frățilă: Aici este o discuție, și cred că practica care se va reflecta peste două zile va fi un pic neunitară, neomogenă la nivelul operatorilor și în domeniul bancar…

Marieta Avram: Regulamentul pare să sugereze și această posibilitate…

Oana Frățilă: Dacă erai mai curajos, personal cred că interesul legitim poate reprezenta un temei de prelucrare, inclusiv pentru marketing direct. Aici cred că ar trebui să fie avută în vedere însă și legislația conexă, nu doar regulamentul, nu doar GDPR, ci și Legea 504 care există în acest moment, și care nu a fost abrogată, va continua să existe, și care transpune în legislația locală actualului privacy, și care instituie niște reguli speciale în zona aceasta de marketing și de contactare pe canale electronice. Bineînțeles că aici am putea intra într-o discuție legată de care dintre legi are prioritatea? Avem o lege specială anterioară legii generale care este GDPR, neabrogată în mod expres. Și cred că va fi un aspect care se va clarifica în timp. Cred că și dumneavoastră ați primit o grămadă de mail-uri de la o grămadă de operatori care vă cereau acordul în mod explicit pentru a continua să vă contacteze în scop de marketing direct pentru trimiterea de newsletter.

Daniel Nicolaescu: În legătură cu prelucrarea în marketing cred că într-adevăr se poate susține că prezintă un interes legitim, probabil că sunt și păreri care spun că poate că n-ar fi tocmai așa, sunt de acord cu colega nostru de panel că putem susține că este așa, într-adevăr se va pune problema curajului pe care-l au operatorii. Și, într-adevăr, deși principiile sau legalitatea prelucrării, nu este nimic nou, avem consimțământ, contracte, obligația legală și interes legitim, toate acestea existau și înainte. Cumva toată lumea s-a ferit să fie cât mai responsabil sau să riște cât mai puțin și toată lumea a migrat către consimțământ. Una dintre schimbările pe care le aduce regulamentul este că centrul acesta de greutate se va muta mai degrabă, cel puâin în banking unde se furnizează atâtea servicii și unde nu se pot face lucrurile acestea fără prelucrarea datelor, se va muta către contract și către interes legitim. În ceea ce privește interesul legitim, aș mai spune două lucruri din regulament, pentru că ne dă o imagine despre ce poate să însemne. Și avem în considerentul 47 unde spune „acest interes „legitim ar putea exista atunci când există relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului”.

Marieta Avram: Deci am înțeles mitul consimțământului a cam trecut, dar revocarea consimântului vulnerabilizează foarte mult acest temei de prelucrare, dar și interesul legitim are vulnerabilitățile lui pentru că se poate exercita dreptul de opoziție.

Cătălin Giulescu: Dacă-mi permiteți, această problemă reliefează niște aspecte eliptice ale Legii 677/2001. La momentul transpunerii unul dintre principiile esențiale a fost preluat în art. 4 alin. (1) lit. b), datele pot fi colectate doar în scopul determinat explicite și legitime după care urmează explicația în ceea ce privește prelucrările suplimentare în scopuri privilegiate în Legea 677. Totuși principiul european este cel reliefat atât de directiva care a fost deja abrogată, dar și de GDPR care spune „datele pot fi colectate în scopuri determinate explicite și legitime, și nu pot fi prelucrate ulterior în scopuri incompatibile cu acestea. Dacă Directiva din 1995 doar introducea această interdicție de a nu prelucra suplimentar datele în scopul lui incompatibile, GDPR vine cu un mecanism, este introdus de acel considerente pe care l-ați relevat mai devreme. Este vorba de art. 6 alin. (4) din Regulament care stabilește o serie de cinci criterii pe care orice operator le poate avea în vedere pentru prelucrarea suplimentară a datelor pe care le-a colectat într-un scop, și pe care dorește să le prelucreze într-un alt scop. În ce măsură acest nou scop este compatibil? Trebuie să ținem cont pentru a determina în ce măsură acest scop nou este compatibil, trebuie să ținem cont  de acele 5 criterii. Revenind la cele 6 temeiuri legale, aufost stabilite n mare măsură în aceeași formă și în Directiva din 1995, GDPR chiar limitează. Sunt 3 situații, consimțământ, contract, dispoziții legale exprese, după care vin 3 interese, interesul vital, interesul public, și interesul legitim. Într-adevăr, din evaluările pe care personal le-am făcut, vă pot spune că de regulă interesul legitim este cel mai des întâlnit temei legal al prelucrării, pentru că toți avem interese legitime, indiferent că suntem persoane fizice sau vorbim de persoane juridice. Acest temei legal este oarecum specific pentru că atât Directiva 95/46, cât și GDPR stabilește obligația operatorului de a pondera. Interesul legitim al său sau al terțului care solicită accesul la date, sau o anumită prelucrare, cu interesul legitim al persoanei vizate de a fi lăsat în pace. În ceea ce privește limitarea adusă de GDPR o ipoteză distinctă de la art. 6 alin. (1) spune foarte clar că interesul legitim nu poate fi invocat de autoritățile publice în exercitarea competențelor cu care au fost investite. Este foarte important, până acum aveam foarte multe autorități publice care spuneau „interesul meu legitim să dispun anumite măsuri”. Nu, aceste măsuri pot fi dispuse dacă există dispoziție legală expresă, sau există interes public. Interesul legitim nu există în exercitarea funcțiilor pentru care o autoritate publică a fost creată. Totuși și autoritățile publice pot avea interese legitime, spre exemplu să-și supravegheze, să-și monitorizeze sediile, spre exemplu. Supravegherea video poate avea ca temei legal interesul legitim, atât în ceea ce privește persoanele juridice, dar și în ceea ce privește persoanele fizice nu este nici un fel de problemă. Cam atât despre temeiurile prelucrării.

Oana Frățilă: M-aș mai opri eu un pic dacă tot suntem la temeiurile prelucrării, pentru că ați și amintit un pic de ANSPDCP înainte. Și spuneam că autoritatea noastră locală avea o înclinație spre consimțământ. Înclin să văd că o să mai existe așa niște reminișcențe ale vremurilor de demult pe zona aceasta. Și aș veni cu un exemplu concret, chiar de la nivel legislativ unde cred că în mod eronat a fost tratat temeiul prelucrării datelor. Și mă refer, colegii mei din banking sunt familiarizați, la proiectul de lege OUG pentru transpunerea în legislația națională a directivei privind serviciile de plată, cunoscută sub denumirea de PSD 2 care are o prevedere pe care eu o consider în mod flagrant în contradicție cu spiritul GDPR-ului, cu scopul GDPR-ul, și cu felul în care GDPR-ul consacră temeiul și consimțământul, și care spune: „prestatorii de servicii de plată accesează, prelucrează și păstrează datele cu caracter personal necesare pentru furnizarea serviciilor lor de plată doar cu consimțământul explicit al utilizatorilor. Deci, pe de o parte, în același articol consacru faptul că este vorba de niște date necesare furnizării serviciilor de plată, deci executării contractului de plată dintre mine și client. Iar în paragraful imediat următor vorbesc despre necesitatea existenței unui consimțământ. Cum vi se pare?

Cătălin Giulescu: Ciudat, ar trebui să existe doar obligația de a informa persoana fizică, persoana vizată. Cu privire la mecanismul de prelucrare și ce presupune acesta, nu este vorbade nici un concept.

Marieta Avram: Suntem complet de acord.

Oana Frățilă: Și în cazuri de genul acesta, de data aceasta se transpune în legislație o prevedere legală la fel de șchioapă dintr-o directivă europeană, pentru că de data aceasta nu vorbim despre o transpunere eronată, ci de o directivă europeană care conține o prevedere similară. Dar cred că ANSPDCP-ul ar trebui să intervină în mod activ și să cenzureze propagarea unor astfel de prevederi care în practică vor crea foarte multe probleme, extraordinar de multe probleme. Și aici așteptăm rolul activ al autorității.

Marieta Avram: Asteptăm rolul activ al autorității într-adevăr la nivelul acesta legislativ, dar ceea ce mi-ați spus mă duce cu gândul că după atâta timp în care într-adevăr consimțământul a fost considerat principalul temei al prelucrării datelor cu caracter personal, înseamnă că avem o mnetalitate, și înseamnă oare că această mentalitate există și la nivelul clienților. Și dacă există această mentalitate, într-adevăr este nevoie de explicații pentru a înțelege că într-adevăr centrul de greutate s-a deplasat de la consimțământ la interesul legitim. Și mai mult decât atât, de a putea fundamenta acest interes legitim pe reglementările specifice în acest sector. Sunt reglementări ale Băncii Naționale a României privind cunoașterea clientelei numai dacă luăm Regulamentul BNR 9 din 2008, avem lista tuturor informațiilor cu caracter personal a datelor pe care băncile sunt obligate să le solicite, să le colecteze și să le prelucreze. Regulamentul privind condițiile de creditare, atunci când evaluezi riscul de credit, regulamentul privind organizarea și funcționarea centralei riscului de credit ș.a. Instituții, cum ar fi centrala riscului de credit, este un exemplu. De asemenea organism căruia instituțiile de credit îi transferă informații privind creditele, privind informații pozitive, negative, privind creditele și clienții. Și intrăm pe un tărâm, aș putea spune sensibil, dar de interes pentru toată lumea, în special pentru clienții persoanei fizice, clienții băncilor, consumatori. Această problemă care a existat și sub imperiul Legii 677/2001, sub imperiul Deciziei Autorității de Supraveghere 105/2007, problema legată de Birourile de Credit, să le spun în general, adică aceste entități cărora li se transferă informații privind riscul de credit, informații pozitive, informații negative. Cum vedem sub imperiul regulamentului această problemă?

Oana Frățilă: Nu vedem sub imperiul regulamentului această problemă. Eu aș zice că și aici lucrurile sunt în același timp vechi și noi. Cred că este un subiect sensibil pentru toată lumea, și pentru clienți, și pentru bănci, pe de o parte din cauza naturii datelor care sunt colectate de aceste sisteme de evidență, și pe de altă parte, din cauza unei intoxicări care există cu privire la acest subiect. Dar în același timp cred că sunt două mesaje esențiale care trebuie să fie reținute cu privire la biroul de credit. Biroul de credit nu este o jucărie a băncilor, nu este o armă de luptă împotriva clienților, este un sistem de evidență cu privire la clienții care contractează credite, care există în orice stat civilizat, și care are beneficii atât pentru clienți, cât și pentru bănci. În spiritul acestei obligații de creditare prudente și sănătoase pe care o avem, și evitării supraîndatorării populației. Al doilea mesaj important cred că este acela că biroul de credit va continua să existe după GDPR. GDPR nu desființează biroul de credit, sau sisteme similare biroului de credit nu interzice existența unor astfel de sisteme, și nu va ajuta ștergerea mai facilă a datelor care au fost raportate în mod corect acolo. Elementul de noutate pe care aș spune că-l aduce GDPR este temeiul, ne jucăm tot cu temeiurile. Și de fapt consacră o soluție care era, din punctul meu de vedere, corectă, aceea că consimțământul clientului nu este cel care ar trebui să stea la baza interogărilor și transmiterii de date ulterioare către biroul de credit, ci interesul legitim bazat pe o obligație legală care are la bază inclusiv o obligație legală afirmată de regulamentele BNR pentru creditare, afirmată de legislația locală privind creditele de consum și creditele ipotecare care transpun tot directive europene. Deci nu sunt niște chestiuni specifice românești.

Marieta Avram: Pe sprijinul dumneavoastră, cu Regulamentul 17/2012 privind unele condiții de creditare avem art. 11 indice 4, împrumutătorii obțin informațiile prevăzute la alin. (1) de la clienți și din alte surse interne sau externe relevante, inclusiv după caz consultarea bazei de date a unui sistem de evidență de tipul birourilor de credit și de la intermediarii de credit, etc.

Oana Frățilă: Și OUG 50, și OUG 52 care reglementează creditele de consum pe de o parte, și creditele cu ipotecă impobiliară pe de altă parte, consacră același principiu și au prevederi similare. Într-adevăr ce trebuie să se întâmple, și este obligatoriu ca toate entitățile care interoghează și fac raportări către astfel de sisteme de evidență, trebuie să existe o informare corectă, transparentă, completă a persoanei care vine și dorește să contracteze un credit, sau este parte într-un contract de credit.

Marieta Avram: Și când trebuie să se realizeze această informare? La mumentul încheierii contractului sau și la momentul raportării?

Oana Frățilă: Aici lucrurile sunt un pic discutabile. Dacă ar fi fost să ne raportăm la defunct a două zile Deciziei 105, informarea trebuia să fie făcută pe de o parte la momentul solicitării creditului dacă transmiteam date pozitive, în momentul în care începeam să transmit date negative, era o obligație specifică de informare înainte de transmiterea acestor date. În momentul de față, dat fiind că avem în față la nivel legislativ doar regulamentul, trebuie să ne raportăm la obligațiile de informare din art. 13 noi participanții la biroul de credit, respectiv art. 14 pentru biroul de credit, pentru că el obține indirect datele. Și aș spune că aceste articole vorbesc despre momentul colectării datelor. Când colectez datele? În momentul în care clientul își manifestă intenția de a contracta un credit, client sau non-client pentru că eu pot să fiu în situația în care am non-clienți care vin și fac solicitări de credit, vor să știe dacă se încadrează sau nu, și vor niște oferte de credit care să fie adaptate situației lor, vor să știe exact pot să contractezi suma, iar noi băncile avem o astfel de obligație legală tot în baza acestor legislații care reglementează creditele de consum și creditele ipotecare.

Daniel Nicolescu: Aș mai face o completare apropo de biroul de credit și de utilitatea lui pentru clienți, lucru care poate să fie surprinzător să spunem că: „Biroul de credit îi ajută și pe clienți.” Îi ajută și nu aș vrea să intru într-o zonă în care să discutăm filosofia sau ce-și dorește statul până la urmă să protejeze sau să reglementeze. Dar ne aducem cu toții aminte discuții care au avut loc cu prilejul discutării unor acte normative sau proiecte în care s-a spus că băncile au dat credite prea ușor. De multe ori s-a spus că băncile au permis ca populatia să se îndatoreze într-o măsură excesivă și că aceasta a dus la anumite tensiuni sau la anumite probleme sociale. Biroul de credit și dacă este adevarat sau cel puțin parțial adevărat atunci ar trebui adresată într-un fel printr-o creditare mai responsabilă în care băncile să se uite mai atent la posibilitatea clientului de a rambursa. Este o discuție filosofică în care dacă ne dorim un nanny state în care statul să trateze pe toată lumea ca pe un bebeluș căruia trebuie să-i stabilește programul când mănânci, când dormi, ce faci și să nu l lași singur să ia nicio decizie sau ne îndreptăm către o zonă în care persoanele fizice să-și asume niște riscuri. Este o discuție filosofică pe care n-o s-o reglemăm aici în nici un caz, dar ceea ce voiam să spun este că inexistența unui biroul de credit ar face practic imposibilă o astfel de abordare în măsura în care adică să vedem dacă un client își poate permite sau nu să se îndatoreze într-un anumit mod. Deci biroul de credit  are un rol inclusiv pentru clienți, în special în contextul pe care l-am discutat. Și atunci este evident, pe de o parte există obligația băncilor de a verifica situația financiară a clientului inclusiv în astfel de baze de date, sigur că legea nu spune la biroul de credit, dar avem obligația legală de a verificare și avem solicitarea clientului de a obține un credit. Este evident că avem cel puțin un interes legitim de a verifica acest lucru la biroul de credit.

Marieta Avram: Regulamentul a intrat ca să zic așa în mentalitatea noastră și cred că ați punctat la început și ca un document destul de controversat. \pe de o parte și îmi amintesc acum de dezbaterea de luni din această sătpămână de la JURIDICE.ro, maestrul Andrei Săvescu spunea: „Regulamentul acesta parcă este o poezie.” Și eu am avut la început o asemenea percepție – o poezie, dar parcă nu se mai termina, adică nu ca într-o poezie, un poem destul de amplu e de o parte, pe de altă parte însă el vine, nu prea este poezie, pentru că poezia inofensivă, ne place, nu ne place, dar în sfârșit putem să trecem. Peste acest regulament oricum nu putem trece, pentru că conține sancțiuni foarte serioase, foarte drastice. Un element de noutate, dar l-am lăsat la mascat așa puțin, să nu începem cu partea represivă a reglementării. Sancțiunile sunt foarte serioase, față de sancțiunile pe care noi le cunoaștem aplicabile potrivit Legii 677 din 2001. Vorbim serios despre aceste sancțiuni, este o sabie a lui Damucles deasupra noastră și poate ar fi bine din acest punct de vedere să discutăm puțin și despre modul în care până la regulament autoritatea a exercitat controlul, sacțiunile aplicabile și în perspectivă să vedem ce va fi. Dacă privim cutezător înainte… .

Valentin Vidrighin: Dacă-mi permiteți aș vrea să intervin eu. Referitor la instituții bancare, am avut foarte multe să spun verificări din partea autorității, urmare a petițiilor formulate de către clienți, petiții care din punctul nostru de vedere mai mult sau mai puțin au fost întemeiate atât în fapt, cât și în drept. Nu pot să nu exemplific câteva situații pe care le-am avut din jurisprudența pe care o avem până acum, pentru că la nivelul instituției bancare, decizia a fost ca să contestăm în mare parte numai în cazurile în care nu într-adevăr s-a dovedit că nu aveam sorți de izbândă, nu am ajuns în instanță. Am avut o situație în care instituția bancară a fost sancționată de către Autoritate pentru faptul că un client s-a prezentat la bancă, iar evident colegul din front-office, conform dispozițiile BNR, era obligat să identifice atât pentru a ști exact dacă este persoana respectivă, cât și din perspectiva cunoașterii clientelei și a spălării banilor și terorismului. Partea deranjantă a fost că actul de identitate al clientului a fost scanat pe aparatul care îl avea colegul din front-office, neexprimându-și în nici un fel nici acordul, nici dezacordul, colegul a făcut acea operațiune și ulterior ne-am trezit cu acea sesizare la Autoritate. Autoritatea, evident, s-a prezentat la unitatea unde a fost făcută acea operațiune, a constatat și a aplicat amenda. Pentru că Autoritatea a motivat în procesul-verbal de control că banca nu a solicitat expres consimțământul clientului. Clientul avea un credit în derulare.

Daniel Nicolescu:  Consimțământul pentru prelucrarea datelor în scopul efectuării plății sau operațiunii pe care o cerea clientul.

Valentin Vidrighin: Exact! Dar la acel moment, clientul nu s-a manifestat în nici un fel, nici acordul, nici dezacordul. Cu toate acestea, instanța de judecată în primă fază, în primă instanță a respins plângerea formulată de instituția de credit, urmează să vedem ce se întâmplă în faza de recurs, pentru că suntem curioși, nu avem să zic vină în această situație întrucât am probat și în fața instanței de fond toate aspectele inclusiv cu acel consimțământ pe care l-am avut inițial de către client. O altă situație pe care o avem în mai multe cazuri… .

Daniel Nicolescu:  Scuzați-mă că intervin, probabil că este interesant pentru toată lumea. Deci faptul că la un moment să zicem când și-a deschis contul sau cu altă ocazie, clientul și-a dat consimțământul și a spus că este de acord cu prelucrarea datelor dacă fac o plată, nu a fost suficient și a trebuit de fiecare dată să mai semneze un formular când cineva face o plată și în care să spună că este de acord cu prelucrarea datelor lui.

Valentin Vidrighin: Cealaltă situație pe care le-am avut și le-am contestat au fost pe lipsa notificării, aceasta este așa-zisa constatare a autorității, lipsa notificării clientului cu cincisprezece zile înainte de a fi transmis la biroul de credit. Aici discutăm despre clienți în general rău-platnici. Îmi pare rău să spun, dar aceasta este situația, toată lumea se lovește de asemena clienți, însă pe cele două petite care au fost constate de către autoritate, un prim aspect a fost acest al notificării în termen de 15 zile și prelucrarea nelegală a datelor cu caracter personal o dată cu comunicare acestuia la biroul de credit. Autoritatea invocă faptul că la fiecare transmitere, deci dacă un client spre exemplu înregistrează restanțe pe o perioadă mai lungă de timp să zic 6-8 luni sau un an de zile, instituția de credit este obligată ca înainte de fiecare comunicarea la biroul de credit cu 15 zile trebuie să notifice clientul. Pe baza acestor situații, deci noi am combătut și am făcut dovada să zic a comunicării, a notiificării clientului, însă instanța a apreciat că fiecare transmitere nu a fost făcută cu confirmarea de primire și că clientul nu a avut cunoștință de aceste notificări privind înregistrarea a datelor negative la biroul de credit. Am avut o parte să zic din spețe, au fost câștigate, pentru că am invocat atât prescrpția dreptului de a aplica sancțiunea contravențională întrucât faptele au fost constatate în anii din urmă, deci 2012-2014 și controlul a fost efectuat în 2016-2017. Și după cum bine știm, aplicarea sancțiunilor contravenționale se fac în intervalul de 6 luni. Instanțele în mare parte au invocat faptul că ar fi fost fapte continue că banca nu a făcut demersuri necesare pentru a notifica și a informa clientul în aceste intervale de timp sau în intervalul acesta de timp și soluțiile au fost pe măsură, soldate cu respingerea atât în fond, cât și în apel. Trei instanțe de judecată a dat câștig de cauză pe exceția invocată, în rest soluțiile au fost în aceeași direcție.

Elena-Adina Popescu: Dacă-mi permiteți să intervin pe același aspect al jurisprudenței anterioare, până acum majoritatea jurisprudenței conturate  în această materie bancarăa avut la bază Decizia autorității 105 din 2007. Cu obligațiile specifice reglementate prin această decizie și în special obligația informării punctuale de fiecare dată a clientului în momentul în care se decidea transmiterea de date negative către biroul de credit, mai exact era vorba despre restanțe. Jurisprudența a perpetuat ca să spun așa, spiritul exigent al deciziei, în sensul că spre exemplu, una dintre obligațiile pe care le prevedea decizia pentru instituția de credit era de a aștepta un termen de 30 de zile de la împlinirea scadenței ratei creditului respectiv înainte de a face informarea consumatorului, în sensul că va fi raportat la biroul de credit. Instanțele de judecată au considerat că în măsura în care informarea consumatorului și notificarea transmisă către biroul de credit s-ar realizat înainte de împlinirea termenului de 30 zile de la scadență, dar totuși consumatorul nu și-a îndeplinit obligațiile nici după împlinirea acestui termen de 30 de zile de cadență. \cu toate aceastea banca era în culpă chiar dacă informarea era corectă și oricum urma să fie făcută prin aplicarea dispozițiilor din decizie. De asemenea, jurisprudența este neunitară în ce privește un aspect care din punctul meu de vedere cel puțin ar trebui să fie destul clar și de bine conturat și anume cel al caracterului de faptă cu executare dintr-o dată sau continuă a raportărilor la biroul de credit. Există instanțe care consideră că în momentul în care se face raportarea, fapta continuă să producă efecte juridice. Prin urmare este o faptă continuă, astfel încât se respinge excepția prescripției dreptului de a aplica amenda contravențională. Există instanțe care dimpotrivă consideră că fapta se epuizează în momentul în care se face raportarea la biroul de credit, din acel moment curge termenul de prespcripție și nu mai poate fi constatată nici fapta subsecventă care de regulă se constată prin procesele verbale întocmite de autoritate, respectiv încălcarea dreptului de intervenție al consumatorilor în sensul ștergerii acelor date. Instanțele care abordau această soluție considerau că atât timp cât nu pot să constat că s-a făcut o raportare nelegală, nu am nici fapta subsecventă de încălcarea a dreptului de intervenție. Să sperăm că dată fiind abrogarea Deciziei 105/2007 se va relaxa puțin jurisprudența și în această materie, mai ales având în vedere noul proiect legislativ de modificare a Legii 102/2005 care a fost adoptat ieri de Camera Deputațiilor și care prevedere faptul că în partea referitoare la dispozițiile tranzitorii și finale pentru faptele care au fost desăvârșite înainte de intrarea în vigoare a regulamentului și care fie nu au fost investigate până la momentul intrării sale în vigoare, fie sunt în curs de investigare la acel moment, faptele vor fi examinate din perspectiva regulamentului. Ceea ce înseamnă cî deși raportările la biroul de credit au fost realizate în contra Deciziei 105 în spiritul, litera acestei legi, analizarea ți fancționarea ei ar trebui să se realizeze din perspectiva regulamentului care nu mai instituie aceste obligații suplimentare pentru bănci în ce privește raportările negative.

Marieta Avram: Într-adevăr, Decizia 105 din 2007 nu va mai fi, însă discuția și analiza jurisprudenței prezintă interes, din ce punct de vedere? Arată că problematica este foarte sensibilă. Și dacă în contextul legii 677/2001 și acestei Decizii 105/2007 aveam asemenea soluții la nivelul instanțelor judecătorești, sub imperiul regulamentul vom avea de asemenea norme de procedură emise de Autoritatea de Supraveghere, vom raveam regulamentul, vom avea legea și va trebui să ne pregătim din acest punct de vedere, având în vedere sancțiunile mult mai drastice pe care le instituie regulamentul față de reglementarea anterioară.

Elena-Adina Popescu: Dacă-mi permiteți, am privit trecutul, zic să privim și viitorul. Voi puncta puțin aspectele de noutate pe care legea de modificare a Legii 102/2005 le aduce din punct de vedere al căilor de acțiune pe care le are persoana vizată împotriva operatorului în măsura în care consideră că prelucrarea datelor cu caracter personal s-a realizat în mod nelegal. Firește că această lege detaliază căii de acțiune pe care instituie cu titlul generic regulamentul. Mai întâi, ca și în vechea reglementare persoana vizată are posibilitatea de a formula o plângere către autoritate fie personal, fie prin reprezentant, autoritatea are obligația asemeni instanței de judecată să parcurgă o oarecare procedură de filtru acestei plângeri în sensul că trebuie să verifice într-un termen stabilit de lege dacă este admisibilă și completă plângerea completă, plângerea urmând să pună părții în caz contrar să o completeze și de asemenea are obligația care într-un termen de 3 luni de transmiterea plângerii astfel completate să își spună punctul de vedere fie cu privire la soluție, fie cu privire la stadiul investigației. Un alt aspect de noutate zic eu destul de important, este acela al detalierii procedurii de investigație pe care o poate realiza autoritatea și care poate fi comparat cu cel specific domeniului concurenței. Autoritatea poate să facă investigații, chiar și inopinate. Are posibilitatea de a audia persoanele care au implicate în procedul de prelucrare a datelor cu caracter personal, iar în măsura în care nu i se permite accesul la sediul operatorului sau este impiedicat în vreun fel investigația, are posibilitatea de a obține autorizarea judiciară în acest scop de la președintele Curții de Apel București. De asemenea, această atitudine nu rămâne nesancționată nici din punct de vedere pecuniar, pentru că autoritatea poate să dispună prin decizie aplicarea unor amenzi cominatorie operatorului de  3 mii de lei pe decizia de întârziere. În măsura în care autoritatea consideră că plângerea este întemeiată va emite fie proces verbal de sancționare fie după caz decizie prin care poate să aplice sancțiunea unui avertisment scris sau sancțiunea amenzii în limitele stabilite de regulament și pe baza criteriilor de individualizare pe care le indică regulamentul. Persoana interesantă care poată să fie operatorul sau persoana împuternicită, posibilitatea de a contesta acest proces verbal sau această decizie după caz în termen de 15 zile de la comunicare cu noutatea importantă și anume că formularea contestației suspendă executarea amenzii ceea ce poate să fie destul de important în anumite situații în care funcție de cuantumul amenzii.

Marieta Avram:  Dar nu și a măsurilor.

Elena-Adina Popescu:  Nu și a măsurilor de remediere.

Oana Frățilă: Consacră cumva același trend din materia protecției consumatorului în desuspendarea privește doar amenda, nu și măsurile suplimentare dispuse ceea ce din punctul meu de vedere este discutabil, dar da este consacrat în mod unitar să zicem, pe zona aceasta.

Elena-Adina Popescu: Tinde spre o protecție a consumatorilor și protecția datelor cu caracter personal. De asemenea, o noutate pe care o aduce această lege este posibilitatea pe care o are autoritatea de a sesiza în mod direct instanța de judecată în măsura în care constată încălcări ale reglementării în materia protecția datelor cu caracter personal, este  o acțiune pe care o realizează în numele persoanei vizate, aceasta dobândește de drept calitatea procesuală activă în litigiu, iar în măsura în care nu-și însusește acțiunea, cererea de chemare în judecată este anulată. Aici este puțin ciudat de ce legiuitorul a optat pentru această modalitate de reglementare dat fiind că autoritatea poate ea însăși să aplice sacnțiuni, să ia măsuri de remediere de ce a oferit această posibilitatea de a se substitui persoanei vizate. Același drept de nume propriu poate fi execitat de persoana vizată chiar și în condițiile în care aceasta a formulat plângere pe rolul autorității. Spre deosebire de reglementarea anterioară când o astfel de respingere era respinsă ca inadmisibilă de autoritate, în prezent este posibilă urmare în pararel a celor două căi, legea prevăzând în mod expres faptul că autoritatea poate, dar nu este obligată să suspunde sau să claseze plângerea cu care este investită. Există riscul în acest caz pronunțării unor soluții contradictorii de autoritate și instanța de judecată. Un alt remediu care era consacrat însă și în veche legislație pe care le are la îndemână persoana vizată este cele la acțiuni de drept comun, răspundere civilă delictuală pentru repararea prejudiciului care a fost cauzat de către operator ca urmare a prelucrării nelegale.

Marieta Avram: Sunt în această materie destul de multe soluții și pe fondul răspunderii și din punct de vedere procedural.

Oana Frățilă: Și dacă vorbim de răspundere și noutăți, cred că o noutate ar fi și aceea că persoana vizată se poate îndrepta și împotriva persoanei împuternicite, ceea ce este un element… .

Marieta Avram: Și o răspundere solidară?

Oana Frățilă: Cred că este o răspundere solidară dacă îmi amintesc eu bine, este nou.

Marieta Avram: De aceea spuneam și în planul condițiilor răspunderii, dar și din punct de vedere procedural vom vedea cum se va așeza în timp acest mecanism. Da, avem noutăți și așteptăm legea în monitorul oficial pentru a vedea într-adevăr forma finală. Avem în finalul dezbaterii noastre, avem și trei întrebări din partea publicului, îl rog pe domnul Cătălin Giulescu să ne ajute pentru a răspunde acestor întrebări.

Cătălin Giulescu: Mulțumesc, o să le reproduc pe rând. Prima întrebare: Un operator care nu are obligația de a ține evidențe, care prelucrează sporadic date personale din contracte sau date administrative ale salariaților de la ITM, ANAF are obligația informării persoanelor vizate se face referire la art. 12, 14 din Regulament?  Un operator care nu are obligația de a ține evidențe, probabil se face referire laaea cifră de 250 de angajați relevate de art. 30 din Regulament care stabilește că operatorul care are sub 250 de angajați nu trebuie să țină să întocmească acel registru al prelucrărilor. Probabil la o astfel de situație se referă întrebarea. Trimitere la acea cifră – în mare măsură da. Obligația de transparență prevăzută la art. 12, transparența a fost ridicată la nivel de principiu potrivit art. 5 din Regulament, iar art. 12 impune o transparență a prelucrărilor, este obligatorie pentru orice fel de situație. Pe de altă parte, informarea / dreptul la informare este reglementat la art.13 și art. 14 din regulament, sunt avute în vedere două situații: în primul rând, când colectezi – art. 13, când colectezi direct datele de la persoana vizată – art. 14, când le colectezi indirect, nu le colectezi de la persoanele vizate. Există obligația informării, totuși fiecare dintre cele două aliniate dintre cele două articole atât art. 13 are spre final un aliniat care stabilește că această informare nu este obligatorie în măsura în care se poate face dovada faptului că persoana a fost deja informată. În ceea ce privește situațiile acestea concrete, prelucrări de date cu caracter personal referitoare la proprii salariați, se presupune în mod rezonabil că pe parcursul derulării procedurilor, se exemplu de angajare, persoana vizată este informată cu privire la condițiile prelucării. Pe de altă parte vorbim de un domeniu extrem de reglementat- domeniul muncii. Avem Codul muncii, avem niște proceduri exprese. Se presupune în mod rezonabil că aceste proceduri se derulează potrivit legii, aceasta înseamnă că fiecare dintre noi avem o obligația să cunoaștem ceea ce s-a publicat astăzi în monitorul oficial se presupune în mod rezonabil că persoana vizată este eja informată, dar Monitorul Oficial presupune o informarea pe scară largă a publicului, se presupune în mod rezonabil că trebuie să informezi persoana vizată numai asupra acelor proceduri interne pe care le impui la nivel intern. Spre exemplu există situații în care pontajul se face sub o anumită formă prin introducerea unor noi tehnologii. Am descoperit în piață pontaj pe bază amprentă, pontaj pe bază de sistem de supraveghere video cu recunoaștere facială, pontaj pe bază de cartele. Aceste sisteme există cu privire la aceste prelucrări, persoana vizată trebuie să fie informată, în mare măsură temeiul legal al prelucrării este interesul legitim al operatorului, totuși acesta trebuie să fie proporțional, nu trebuie să fie disproporțional prin raportarea la interesele persoanei vizate. La fel și art. 14 reglementează patru situații în care persoana vizată nu trebuie să fie informate în măsura în care aceasta se presupune unor rezonabil că a fost informată cu privire la prelucrarea respectivă, totuși operatorul este obligat să facă dovada faptului că persoana a fost informată. Deci informarea este obligatorie de la caz la caz, dacă vorbim de prelucrări realizate în temeiul unui act normativ se presupune în mod rezonabil că persoana vizată că persoana vizată este informată dacă este vorba de prelucrări pe care le impune operatorul intern, este vorba de niște prelucrări specifice, atunci persoanele vizate trebuie să fie informate. Repet, nu este vorba de consimțământ, este vorba doar că persoana vizată trebuie să fie informată. Spre exemplu există situații în care pontajul se face sub o anumită formă prin introducerea unor noi tehnologii. Am descoperit în piață pontaj pe bază amprentă, pontaj pe bază de sistem de supraveghere video cu recunoaștere facială, pontaj pe bază de cartele. Aceste sisteme există cu privire la aceste prelucrări, persoana vizată trebuie să fie informată, în mare măsură temeiul legal al prelucrării este interesul legitim al operatorului, totuși acesta trebuie să fie proporțional, nu trebuie să fie disproporțional prin raportarea la interesele persoanei vizate. La fel și art. 14 reglementează patru situații în care persoana vizată nu trebuie să fie informate în măsura în care aceasta se presupune unor rezonabil că a fost informată cu privire la prelucrarea respectivă, totuși operatorul este obligat să facă dovada faptului că persoana a fost informată. Deci informarea este obligatorie de la caz la caz, dacă vorbim de prelucrări realizate în temeiul unui act normativ se presupune în mod rezonabil că persoana vizată că persoana vizată este informată dacă este vorba de prelucrări pe care le impune operatorul intern, este vorba de niște prelucrări specifice, atunci persoanele vizate trebuie să fie informate. Repet, nu este vorba de consimțământ, este vorba doar că persoana vizată trebuie să fie informată. Spre exemplu un afiș în care orice persoană care intră în acel spațiu este informată că intră într-un spațiu supravegheat video. Sper că am răspuns… .

Marieta Avram:  A doua întrebare.

Cătălin Giulescu: „Cine îi va ține evidențele prelucării de date unor operatori care au obligația prelucrării evidențelor, dar nu are obligația de a avea un DPO și nu numește unul?”  Mi-am adus aminte de o chestie, responsabilul cu protecția datelor personale este o noutate potrivit GDPR. Totuși, nu trebuie să uităm faptul că și veche directivă stabilea la art. 18 faptul că în măsura în care se adresau unui anumite gen de operator de date cu caracter personal, în special instituții publice. În măsura în care realizai prelucrări pentru care erai abilitat să depui doar notificarea simplificată, directiva spunea că trebuie să desemnezi un pseudo responsabil cu protecția datelor cu caracter personal. Din nefericire iarăși Legea 677 a fost eliptică, nu a transpus și această obligația cu toate că a transpus acea posibilitate pentru anumiți operatori de a notifica simplificat prelucrările de date cu caracter personal. Oricum notificarea a fost eliminată de GDPR, nu mai vorbim de notificări. La ce concluzie vreau să ajung? DPO-ul are o natură juridică specifică, nu el se ocupă de respectarea condițiilor prelucrării la nivelul operatorului, ce este sarcina operatorului. Deci orice măsură procedurală impusă de GDPR nu este în mod automat în sarcina responsabilului cu protecția datelor personale. Potrivit principiului responsabilității, operatorul, pentru că în mare măsură el  generează prelucrarea, are și obligația asigurării conformității cu GDPR. Este foarte posibil ca o parte dintre aceste obligații să le poată delega DPO-ului fără a produce însă conflictele de interese. Concluzie: întrebarea este una de organizare internă,. GDPR-ul impune adoptarea unor măsuri tehnice și organizatori adecvate la nivelul oricărui operator. Aceasta este o problemă de organizare internă, fiecare dintre operatori trebuie să-și rezolve problema prin raportare la schema internă, prin raportare la posibilități, dar pe de altă parte fără a crea anumite conflicte de interes.

Marieta Avram:  Și următoarea întrebare.

Cătălin Giulescu: „Cum poate fi sigură persoanele vizate cu operatorul și destinatarii finali ai datelor? Au operat ștergerea la cererea persoanei vizate? Cum probează operatorul că s-a efectuat ștergerea?” Este o întrebare foarte ciudată, specifică spațiului românesc. GDPR-ul așa cum îl cunoaștem noi, este doar o colecție de principii. N-o să-l înțelegem niciodată decât dacă avem sau plecăm de la prezumția de bună – credință a tuturor actorilor implicați indiferent că sunt operatori, că sunt persoana împuternicite sau persoane vizate. Totul pleacă de la crearea acestui regulament, a avut în vedere buna – credință a tutoror actorilor implicați. În piață au început să circule fel de fel de soluții tehnice prin care un operator achiziționează o soluție tehnică, la final primește și un raport care generează o dovadă că acele date au fost șterse. Procedura pe care GDPR-ul fără să o numească, fără să o listeze în mod explicit, este ștererea prin procedee ireversibile. Astfel încât informația să nu mai poată fi reconstituită. Aici este vorba de măsurile tehnice pe care fiecare dintre operatori le-a adoptă în funcție de tehnologia pe care o utilizează în funcție de costurile presupuse de astfel de tehnologie și totul pleacă de la acea necesitate de a nu prelucra ulterior acele date sau a nu produce incidente de securitate. Deci pe de o parte în măsura în care un operator atestă ca șters acele date, să presupunem rezonabil ca acest lucru chiar s-a întâmplat, iar prelucrarea nu mai poate continua, da? Pe de altă parte mecanismele de la nivelul operatorului presupun ștergerea efectivă. O ștergere presupune chiar distrugerea unui document sau ștergerea unor informații despre un suport de stocare prin procedee specifice, astfel încât suportul de stocare să poată fi folosit în continuare, dar informația să fi fost ștearsă. V-am spus, există proceduri tehnice de ștergerea informațiilor. În ce măsură este fezabil pentru un operator să-și achiziționeze astfel de soluții ține efectiv de mecanismele de prelucrare, de raportul cost beneficiu.

Marieta Avram: Anonimizarea… .

Daniel Nicolescu: Foarte interesant și perfect de acord cu tot ce ați spus. Aș vrea să lansez într-o scurtă dezbatere conceptul acesta. Regulamentul vorbește în egală măsură de pseudonimizare și de anonimizare. Diferența între cele două concepte este că și într-un caz și în altul procedeul face neatribuibile anumite date unor anumite persoane în timp, dar diferența este. Deci nu le mai putem lega datele de anumite persoane și anonimizarea, și pseudonimizarea cu diferența că la pseudonimizare procesul nu este ireversibil prin anumite chei te poți întoarce și reconstitui datele. În timp ce anonimizarea este același procedeu, dar ireversibil, nu le mai poți aduce înapoi. Întrebarea pe care o lansez, pentru că a-ți menționat foarte bine apropo de responsabiltate și apropo de faptul că să ateste până la urmă operatorul că a făcut anumită operațiune în egală măsură a-ți menționat cost – beneficii, ceea ce până la urmă este un concept la care ar trebui să ne uităm. Credeți că putem asimila anonimizarea cu ștergerea? Este doar o chestiune semantică?

Cătălin Giulescu: Există anumite categorii de date cu caracter personal cu o funcție de identificare superioară. Spre exemplu suntem de acord că numele, prenumele în asociere cu data nașterii, cu un domiciul presupun prelucrări de date cu caracter personal. Pe de altă parte sunt aceste date cu caracter personal, eu le numesc antropice, cele create de om: serii, CNP-uri, avem fel de fel de codificări ale indivizilor. Acestea în mare măsură nu-mi pierd funcția de identificare. CNP-ul nu-și pierde funcția de identificare indiferent de modul în care este prelucrat. Acum, în măsura în care asociați unui CNP foarte multe categorii de informații, toate acelea vor fi data cu caracter personal. În măsura în care ștergeți CNP-ul, adică efectiv procedura de ștergere presupune doar ștergerea CNP-ului. În funcție de relevanța datelor care rămân prin raportarea la un individ, spre exemplu numele, prenumele și data nașterii presupun o asociere fără doar și poate a unui individ. Dar spre exemplu dacă la un CNP vor mai rămâne înălțime, greutate corporală, mă înțelegeți? Acelea nu mai sunt în mare măsură date cu caracter personal, ci sunt date anonime. Presupun încadrarea în grupe de vârstă, presupun încadrarea în grupe de vârstă, prespun încadrarea în înălțimi, în greutate, în funcție de interesul fiecăruia. Pseudonimizarea totuși este un mecanism extrem de interesant, el există, este relevat foarte des de regulament și este propus la fiind o garanție. O să vă dau un exemplu oarecum șocant, dar vă spun că presupune un mecanism de pseudonimizare minim. O prelucrare pe care o tot reiau, am reluat-o în diferite dezbateri publice. Nu știu dacă ați folosit vreodată o toaletă într-un sistem public (un fast food). V-ați uitat vreodată ce este afișat pe spatele acelei uși? Sunt lisate persoanele care sunt obligate să facă curățenia în acel spațiu. Eu în inconștiența mea voi fotografia acea listă, o voi pune pe o pagină de socializare, dumneavoastră veți avea un de securitatea pe care trebuie să-l țineți sub control. Pe de altă parte, dacă același persoane le veți înlocui numele și prenumele cu o marcă,cu un număr.

Daniel Nicolescu: Numărul legitimației.

Cătălin Giulescu: Numărul legitimației. Aceasta este pseudonimizare. Funcția de identificare nu se pierde, dumneavoastră știți foarte clar despre cine este vorba, puteți să vă evaluați în ce măsură scopul prelucării dumneavoastră, adică o curățenie adecvată în acel spațiu a fost atinse, pentru mine este irelevantă acea informație, pentru că nu poți s-o interpretezi. Aceasta este pseudonimizarea. Pseudonimizarea este o măsură oarecum mai complexă și trebuie introdusă în anumite sisteme de evidență, în special în sistemele pe care le gestionează operatorii privați. Gândiți-vă că aveți un anumit nivel de ris generat de propriul utilizator și din această cauză este foarte posibil ca unui anumit nivel de utilizator, de regulă cel la baza piramidei să nu le permiteți accesul la anumite categorii de date cu caracter personal spre exemplu. Este foarte posibil ca prelucrarea realizată de dânșii să nu fie necesar CNP-ul. Din această cauză există operațiunea de mascare. Adică acel nivel nu are acces decât la anumite categorii de date. Acestea sunt operațiunile de pseudonimizare. Sunt considerate garanții, sunt linșate ca propuneri de garanții de mai multe ori în textul GDPR-ului și mare măsură trebuie avute în vedere. Din ce cauză? Diminuiază nivelul de risc, se presupunem că aveți niște date pseudonime pe care le pierdeți, le-ați pierdut. Cine intră în posesia lor, spre exemplu eu, nu pot să le interpretez, pentru că îmi sunt irelevante, dar acele date pseudonime sunt extrem de relevante pentru scopul dumneavoastră.

Marieta Avram: Mulțumim mult de tot pentru aceste precizări, pentru aceste clarificări. Mărturisesc că eu sigur rămân deschisă acestui domeniu, acestei… . Nu știu dacă o să devină o ramură de drept protecția datelor cu caracter personal. Cu siguranță sunt elemente multe, specifice acestei reglementări. Ca o concluzie mai mult metajuridică și într-o încercare de a traduce și titlul acestei dezbateri, că am vorbit de la început despre banking, dar este și partea a doua a titlului, cum i-am spus „Cea mai scumpă monedă nouă” – datele personale. Mărturisesc, pentru mine rămâne noțiunea aceasta de date personale care evocă până la urmă noțiunea de „informație”. Datele personale sunt informații. Ca jurist, noțiunea aceasta informație rămâne încă un concept atipic, nenumit. Pare că nu se supune regulilor clasice ale dreptului. Ce este informația până la urmă? Bun nu este. Aceasta este clar. Și vedem că sunt anumite elemente specifice informației care nu se amână cu ceea ce noi am creat în gândirea juridică până acum, anumite particularități, de exemplu informația. Spre deosebire de bunuri, ea prezintă acest element al obicuității. Ea poate fi posedată simulat de o cerne determinată de persoane. Acest stilou este al meu, dar informația despre faptul că eu am acest stilou poate fi podesată, stăpânită, deținută de o cerne determinat de persoane. Este altceva decât ce știm noi despre bunuri mobile / imobile, bunuri corporale sau  chiar incorporale. Ca jurist, am o dificultate în a suprinde trăsăturile acestui concept – informația.

Cătălin Giulescu:  În mediile tehnologice, teoreticienii spun că informația este noua monedă a viitorului.

Marieta Avram: Vă mulțumesc mult de tot, înseamnă că am făcut puntea de legătură intuitiv cu ei. Aș mai puncta o trăsătură legată de infromație, modul în care circulă. De regulă, bunurile corporale / incorporale, ele se transmit, dar ele nu circulă. Informația are circulația în esența ei, este făcută să circule. Și cum circulă nu prin tradiție. Nu, vă dau stiloul, dar prin comunicare. Și paradoxul este cu cât circulă, cu atât numărul de posesori, de deținători nu se reduce la nasul celorlalte bunuri, ci dimpotrivă se multiplică. Deci să deschidem fața noastră, în fața gândirii juridice, după părerea mea un domeniu nou merită explorat din punct de vedere conceptual și din punct de vedere teoretic și acum gând la gând cum s-ar spune cu bucurie. Da, am spus că datele cu caracter personal, ele sunt o parte din o specie a informației. Pot fi privite ca o nouă monedă. Banul exprimă doar valoarea economică a relațiilor, a raporturilor juridice. Datele personale, modul în care ele vor circula accesul la ratele cu caracter personal, cred că vor… . Toate aceste elemente sunt de natură să exprime nu partea economică materială, dar cred că vor fi „moneda” calității serviciilor și pe care le prestăm. Pentru că până la urmă, ele sunt atașate clientelei și poziția pe care clientela, clienții o vor avea față de prelucrarea datelor cu caracter personal de către un consumator exprimă volens nolens –  calitatea serviciilor, gradul de satisfacție și alte asemenea elemente. Rămâne să reflectăm în continuare și din punct de vedere conceptual, juridic și nu numai juridic, ci și economic în business aceste elemente. Vă mulțumesc foarte mult pentru participarea la această dezbatere. Mulțumesc invitațiilor și tuturor celor care ne-au urmărit. O seară plăcută în continuare!