În temeiul dispozițiilor art. 67 și ale art. 148 alin. (2) și (3) din Constituția României, republicată, precum și ale Protocolului nr. 1 anexat Tratatului de la Lisabona de modificare a Tratatului privind Uniunea Europeană și a Tratatului de instituire a Comunității Europene, semnat la Lisabona la 13 decembrie 2007, ratificat prin Legea nr. 13/2008,în baza Raportului Comisiei pentru afaceri europene nr. LXII/57 din 24.03.2021,Senatul adoptă prezenta hotărâre. +
Articolul 1Senatul României constată că propunerea de Regulament al Parlamentul European și al Consiliului privind guvernanța datelor la nivel european (Legea privind guvernanța datelor) – COM(2020) 767 final respectă principiile subsidiarității și proporționalității. +
Articolul 2Senatul României:1.salută lansarea propunerii de Regulament privind guvernanța datelor și consideră că instituirea acestui cadru normativ va duce la creșterea volumului de date disponibile pentru reutilizare în spațiul Uniunii Europene, prin creșterea nivelului de încredere și prin consolidarea mecanismelor de partajare de date în Uniunea Europeană; … 2.atrage atenția că, în condițiile în care economia bazată pe date și valoarea economică a partajării de date vor crește la o valoare estimată, cuprinsă între 510 și 544,4 miliarde EUR (între 3,92% și 3,95% din PIB), deschiderea accesului la datele din sectorul public pentru reutilizare este echivalentă cu un proces de privatizare gratuită a unui bun public și ar trebui luată în considerare legislația specifică din fiecare stat membru, în acest domeniu; … 3.exprimă unele rezerve și solicită:a)clarificarea compatibilității dintre DGA și GDPR în ceea ce privește componenta privind datele cu caracter personal:(i)referitor la definițiile prevăzute la art. 2, având în vedere faptul că propunerea de regulament „nu aduce atingere Regulamentului (UE) 2016/679“, ar trebui să se aplice definițiile prevăzute la art. 4 din Regulamentul (UE) 2016/679 și nu ar trebui modificate sau eliminate prin această propunere de regulament, iar noile definiții introduse, în măsura în care se referă la prelucrarea datelor cu caracter personal, nu ar trebuie să conțină reguli care sunt incompatibile cu Regulamentul (UE) 2016/679. Spre exemplu, referitor la punctul (4) de la art. 2, „metadatele“ pot include și date cu caracter personal; … (ii)de asemenea, la punctul (5) este definit „deținătorul de date“ care are dreptul de a acorda acces la anumite date cu caracter personal, aflate sub controlul său, sau de a partaja astfel de date. În acest context se evidențiază faptul că Regulamentul (UE) 2016/679 nu menționează acest drept, ci garantează fiecărei persoane dreptul la protecția datelor cu caracter personal care o privesc, care se referă la un set de reguli pentru prelucrarea datelor cu caracter personal, ce sunt obligatorii pentru operator/operatori asociat/asociați/persoana împuternicită de operator; … (iii)un alt aspect se referă la faptul că propunerea de regulament ar trebui să specifice, în mod clar, temeiul legal pentru prelucrarea datelor cu caracter personal, așa cum este prevăzut de Regulamentul (UE) 2016/679; … (iv)se remarcă utilizarea, în cuprinsul propunerii, a termenilor de „date cu caracter personal“ și „date nepersonale“. În acest sens se recomandă existența unei distincții clare între date cu caracter personal și date nepersonale, pentru a evita confuzia cu privire la modul în care propunerea de regulament s-ar aplica cu respectarea prevederilor Regulamentului (UE) 2016/679; … (v)în ceea ce privește condițiile de reutilizare prevăzute la art. 5 din propunere, în conformitate cu principiul legalității prelucrării, stabilit la art. 5 alin. (1) lit. a) dinRegulamentul (UE) 2016/679, se recomandă clarificarea faptului că un temei legal corespunzător, potrivit Regulamentului (UE) 2016/679, trebuie prevăzut în legislația Uniunii sau a statelor membre și identificat cu atenție de către organismele din sectorul public, cu privire la orice reutilizare ulterioară a datelor cu caracter personal; … (vi)de asemenea, la art. 5 nu se regăsește, printre condițiile reutilizării, obligația organismelor din sectorul privat de a realiza informarea persoanelor vizate (principiul transparenței), prevăzută de Regulamentul (UE) 2016/679. Astfel, se recomandă includerea unei dispoziții explicite, referitoare la obligația acestor entități din sectorul public de a realiza informarea persoanelor vizate, în temeiul Regulamentului (UE) 2016/679, astfel încât să se asigure exercitarea drepturilor conferite persoanelor vizate, în temeiul legislației în domeniul protecției datelor. În același context este necesară respectarea și a celorlalte principii prevăzute de art. 5 dinRegulamentul (UE) 2016/679, în special principiul reducerii la minimum a datelor și principiul integrității și confidențialității; … (vii)în ceea ce privește art. 9 referitor la furnizorii de servicii de partajare de date, în special cele privind intermedierea serviciilor între deținătorii de date și utilizatorii de date, servicii care pot include schimburi bilaterale sau multilaterale de date sau crearea de platforme sau baze de date care permit schimbul sau exploatarea în comun a datelor, atragem atenția asupra necesității implementării de măsuri tehnice și organizatorice adecvate, în conformitate cu art. 24 dinRegulamentul (UE) 2016/679, precum și a respectării principiului asigurării protecției datelor, începând cu momentul conceperii și în mod implicit (privacy by design and by default), statuat de art. 25 dinRegulamentul (UE) 2016/679; … (viii)în ceea ce privește serviciile de partajare a datelor, acestea vor face obiectul condițiilor pentru furnizarea serviciilor de partajare de date menționate la art. 11 din propunerea de regulament. Cu toate acestea, nu a fost identificată, printre condițiile de la art. 11, și obligația de a respecta regulile de protecție a datelor; … (ix)referitor la prevederile privind autoritățile competente și monitorizarea conformității, se consideră că acestea ar trebui să fie mai bine definite, pentru a asigura o verificare mai adecvată a furnizorilor de servicii de partajare a datelor, inclusiv cu privire la respectarea Regulamentului (UE) 2016/679; … … b)clarificarea costurilor suplimentare și responsabilitățile diferiților actori, în contextul implementării regulamentului care solicită desemnarea mai multor autorități naționale competente. Regulamentul propus va genera costuri financiare și administrative, care vor fi suportate, în principal, de autoritățile naționale, în timp ce unele costuri îi vor împovăra și pe utilizatorii de date și pe furnizorii de servicii de partajare de date, pentru a asigura respectarea obligațiilor stabilite în prezentul regulament; … c)clarificarea unor aspecte legate de „altruismul în materie de date“:(i)formularul european de consimțământ privind altruismul în materie de date (art. 22) ar trebui să permită persoanelor fizice și întreprinderilor să definească scopurile schimbului de date, iar reglementarea ar trebui să prevadă mijloace de comunicare, pentru ca aceste formulare să fie accesibile publicului, în beneficiul organizațiilor de altruism al datelor; … (ii)în plus, regulamentul ar putea investiga posibilitatea utilizatorilor de tip opt-in/opt-out la schimbul de date. Regulamentul presupune că GDPR și/sau anonimizarea datelor fac posibilă renunțarea la necesitatea examinării consimțământului persoanelor vizate, pentru reutilizarea datelor lor, într-un cadru de schimburi europene non-altruiste. Cu toate acestea, pot exista cazuri în care cetățenii să se opună folosirii datelor colectate de un organism public și apoi puse la dispoziția organizațiilor terțe, prin intermediul unui furnizor de servicii de partajare a datelor, în funcție de utilizarea acestor date (militare, companii de asigurări de sănătate). … … … +
Articolul 3Prezenta hotărâre se publică în Monitorul Oficial al României, Partea I, iar opinia cuprinsă în această hotărâre se transmite către instituțiile europene.Această hotărâre a fost adoptată de Senat în ședința din 12 aprilie 2021, cu respectarea prevederilor art. 76 alin. (2) din Constituția României, republicată.
PREȘEDINTELE SENATULUI
ANCA DANA DRAGUBucurești, 12 aprilie 2021.Nr. 49.––
