Ro
En
Рy
președintele Asociației pentru Protecția Vieții Private
La 11 noiembrie 2021, Parlamentul a votat proiectul de lege nr. 199, numit digitizarea, care vine să aducă modificări la circa 30 de acte normative. Una dintre principalele se referă la anularea obligației de înregistrare și autorizare în calitate de operator de date cu caracter personal, schimbare care vizează în mod direct și instituțiile mass-media care, în activitatea lor zilnică, operează cu astfel de date.
CUM ARĂTAU LUCRURILE LA MODUL PRACTIC
Reamintesc despre faptul că această obligativitate a fost instituită încă în anul 2012 și presupunea ca fiecare persoană juridică să se înregistreze în calitate de operator de date. Pentru înregistrare, erau necesare cunoștințe cu adevărat „speciale”:
-
Elaborarea unei Politici de securitate, conform Hotărârii Guvernului nr. 1123/2010, care stabilea cerințe organizatorice și tehnice de securitate (cerințe care au fost elaborate de către colaboratorii SIS, pentru sectorul civil, dar în esență reprezentau un copy-paste al celor din domeniul cerințelor față de secretul de stat, care s-au adeverit a fi exorbitante). Această politică trebuia să cuprindă câte un regulament pentru fiecare din bazele de date gestionate precum: resurse umane, contabilitate, supraveghere video, corespondență, pagina web etc.
-
Completarea pentru fiecare dintre aceste baze de date a câte un formular pe pagina www.registru.datepersonale.md.
În cei 9 ani, aproximativ 3,5 milioane de cereri de înregistrare au fost depuse de solicitanți care doreau să obțină statutul de operator de date. Dintre ele, s-a dat curs doar pentru 3.400. Cu titlu de exemplu, pentru a completa un formular de înregistrare în Registrul de evidență al operatorilor de date cu caracter personal sunt necesare circa 45 de minute, cu condiția că sistemul nu va da eroare pe parcursul completării, fapt care se întâmplă adesea. Pentru comparație, în Republica Moldova sunt înregistrați aproximativ 57.000 de agenți economici. Având în vedere media statistică, pentru înregistrarea lor ar fi fost nevoie de mai bine de 150 de ani…
Cifrele vorbesc de la sine, iar înțelegerea adevărată despre cât de dificilă era obținerea calității de operator înregistrat o cunosc doar cei care au trecut prin acest proces cap-coadă.
Menționez și faptul că Registrul de evidență al operatorilor de date cu caracter personal conține mai multe erori în funcționare. Cea mai gravă deficiență, care reprezintă un pericol iminent pentru securitatea datelor, este că informațiile din acest Registru - politicile de securitate și documentele anexate de solicitanții înregistrării - pot fi extrase/copiate de către orice doritor, printre care Parlamentul și ministerele, inclusiv instituțiile specializate precum Centrul Național Anticorupție, Serviciul de Informații și Securitate, Procuratura Generală etc.
Chiar dacă art. 23 alin. (5) din Legea privind protecția datelor cu caracter personal excepta mass-media de la înregistrarea în calitate de operator de date, la mijlocul anului 2019, Agenția Servicii Publice a reziliat unilateral contractele de prestare a serviciilor de acces la Registrul bunurilor imobile și la alte resurse informaționale de stat cu toate instituțiile media care nu erau înregistrare în calitate de operator de date.
Doar în urma mai multor presiuni și dezbateri publice, ASP a revenit la formula danterioară, însă, la solicitarea presei de a avea acces spre exemplu la Registrul de stat al populației, ASP refuza din motiv că lipsește autorizația de la Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP). A se menționa că, în trecut, această abordare era total nejustificată: cum se explică faptul că orice SRL, care poate fi înregistrat într-o zi, putea avea acces la Registrul de stat al populației, în bază de contract, fără a avea o limită a numărului de accesări (inclusiv instituțiile statutului, care fac sute de mii de accesări), iar cele mass-media nu ar avea dreptul (?!).
Mai nou, odată cu intrarea în vigoare a Legii privind schimbul de date și interoperabilitate, accesul la resursele informaționale de stat a fost pasat către Agenția Servicii Publice în calitate de instituție responsabilă. Dar și în acest caz, legea prevedea că înaintea obținerii accesului la informația din registrele de stat solicitantul urma să obțină întâi de toate o autorizație de la Centrul pentru Protecția Datelor cu Caracter Personal.
Pentru a beneficia de statutul de operator de date, o instituție media trebuia să-și asume un șir de responsabilități: să dispună de gratii la
ferestre, semnalizare, ușă metalică la intrare, alarmă anti-incendiară; să ducă evidența vizitatorilor; să semneze acorduri de confidențialitate cu fiecare angajat, să păstreze documentele și datele investigațiilor jurnalistice în seifuri metalice; să cripteze informația stocată pe calculatoare; să schimbe parolele cel puțin odată la 3 luni, iar parolele să fie compuse din cel puțin 8 variabile (cifre, litere, simboluri speciale); să fie dus auditul accesărilor cu înscrierea într-un registru pe suport de hârtie; să dispună de filtre de protecție și antivirus; să nu permită înregistrarea foto/video în interiorul încăperii și altele. În raport cu toate aceste cerințe trebuia să fie oferit angajamentul de a le respecta sub răspundere civilă, contravențională sau penală. Aceste măsuri erau tratate ca pârghii de control și limitare a libertății de exprimare a mass-mediei.
Un subiect aparte îl constituia și obligația de a cere permisiunea Centrului Național pentru Protecția Datelor cu Caracter Personal de a putea transmite transfrontalier date cu caracter personal. Asta însemna că orice expediere a unor emailul la adrese de extern precum gmail.com, yahoo.com, yandex.ru, mail.ru etc. era calificat drept transfer transfrontalier de date cu caracter personal, din motiv că servele acestor prestatori de servicii erau localizate în afara hotarelor Republicii Moldova. Mai mult, CNPDCP solicita prezentarea unor acorduri în formă scrisă, care urmau a fi încheiate cu acești prestatori de servicii, prin care aceștia să se oblige să respecte cerințele privind protecția datelor din Republica Moldova.
De reținut și faptul că în Uniunea Europeană, din 2018, a fost anulată definitiv obligația de înregistrare ca operator de date, procedură care era mult mai ușoară și mai puțin birocratică ca în Republica Moldova, însă, și în acele cazuri, a fost recunoscută ca fiind ineficientă și deloc necesară.
CE SE SCHIMBĂ
Prin proiectul de lege votat de curând s-a propus anularea înregistrării în calitate de operator de date cu caracter personal și încetarea viciilor enumerate mai sus. Acest fapt ar însemna că CNPDCP nu va mai emite acte permisive pentru a putea prelucra date cu caracter personal, iar instituțiile mass-media vor putea solicita acces la registrele de stat în care se conțin date cu caracter personal în baza art. 10 din Legea privind protecția datelor cu caracter personal, care permite accesarea datelor personale fără consimțământul persoanei vizate, în cazul în care informația care va fi accesată este realizată în scopuri jurnalistice, se referă la o persoană publică sau la chestiuni care sunt strâns legate de faptele publice în care este implicată această persoană.
Mai mult, mass-media va putea utiliza softuri, aplicații și platforme localizate în Uniunea Europeană sau în alte țări, care asigură un nivel adecvat de protecție a datelor. Totodată, Hotărârea Guvernului nr. 1123/2010 va deveni caducă[1], iar cerințele de securitate care erau exorbitante nu vor mai putea constitui temei de sancționare.
Astfel, operatorii de date (inclusiv mass-media) vor implementa de sine stătător măsuri adecvate de protecție a datelor reieșind din riscurile care pot fi generate de prelucrarea lor. Mai simplu spus, anterior, volumul cerințelor de securitate pentru un operator din domeniul comunicațiilor electronice era similar cu cerințele unei instituții mass-media, ceea ce constituia o sarcină disproporționată pentru aceste instituții mass-media, deoarece volumul de date și scopul prelucrării era diferit în cazul celor două entități.
