HG-ul guvernanței de Cloud vs. GDPR 1-0
Avem în vigoare un act normativ care deja reglementează Cloudul guvernamental (e vorba de OUG 89/2022, am mai discutat despre el, fără mare succes) Teoretic, textul mai poate modificat, fiind discutat în Parlament.
În același timp, un proiect de hotărâre de Guvern (HG) care vrea sa reglementeze mai in detaliu, cum va funcționa Cloud-ul, a fost pus în dezbatere publică pe 20 septembrie. Asociația pentru Tehnologie și Internet a fost prezentă la intalnirea de dezbatere organizata pe 30 septembrie,
Problemele principale sunt încă acolo, iar din documentația proiectului de HG lipsește o analiză de impact asupra protecției datelor personale, obligatorie înainte de începerea prelucrării datelor (conform art 35 GDPR).
Printr-un HG nu se poate deroga de la normele imperative ale unui Regulament UE, iar În HG, o serie de articole propun aspecte care sunt contrare principiilor prelucrării datelor cu caracter personal din legislația actuală, conform GDPR.
Mai în concret:
Din articolul 13 (4) b) din proiectul de HG rezultă că Autoritatea pentru Digitalizarea României (ADR) este persoană împuternicită și utilizatorul (adica instituțiile publice din România care folosesc serviciile de Cloud furnizare de Cloud-ul guvernamental) serviciului de cloud (USC) este operator. Acest principiu este corect și conform GDPR, dar acest lucru înseamnă că se vor aplica pe cale de consecinta toate obligațiile din GDPR - regulamentul 679/2016. Doar ca HG-ul vrea sa schimbe GDPR-ul, ceea ce nu poate.
- In primul rand remarcam ca prin noua calificare, SRI si STS par sa devina fie imputerniciti ai USC sau sub-imputerniciti ai ADR. Cf obligatiilor din GDPR, ar insemna ca ei pot fi oricand supusi unui audit complet (de securitate si de respectare a obligațiilor legale - art 32 (3) h) "permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat:. Deci ADR sau orice institutie publica poate face oricand o inspectie sau un audit al STS și SRI. Interesant ca in dezbaterea publica reprezentantul STS a declarat ca ei nu au nicio problemă in acest sens. Raminem curioși și dacă SRI are... sa fie SRI inspectat de orice institutie publica din Cloud?!? - suntem siguri ca nu s-au gândit la asta cand au cerut noi obligații...
- Apoi clasificarea datelor pare că tot nu înțelege distincțiile între categoriile de date personale, fiind puse la grămadă, deși este evidentă nevoia de securitate suplimentare pentru datele din categoriile speciale (art 9 GDPR) sau a datelor copiilor;
- Proiectul este in mare pare lacunar cu privire la datele de trafic care rezulta ca urmare a accesării sau folosirii sistemelor de Cloud - si care probabil vor face grosul datelor care vor sa fie colectate de SRI și STS.
- Partea de "jurnalizare" - adică sa fie logata orice interacțiune cu datele personale a trecut de la o idee ok la un talmeș-balmeș, în special pentru că ADR - ca împuternicit - nu poate să stabilească propriile dorințe. Cum ar fi sa primți un email din senin de la Amazon, ca datele voastre de pe Emag au fost accesate de cineva?!?
- Aceiași problema e legată și de notificarea problemelor de securitate. Obligația legala cf GDPR e ca ADR sa notifice USC, care trebuie sa notifice Autoritatea, nu ADR sau STS sau SRI. (dar oare cum sa recunoască SRI public greșelile ?!?)
Propunerile și observațiile complete pe care Asociația pentru Tehnologie și Internet le-a susținut în dezbatere și le-a trimis Ministerului pentru Cercetare, Inovare și Digitalizare sunt detaliate in documentul atasat.
Toate propunerile de mai sus se puteau rezolva daca - chiar înainte de propunerea OUG - stăteau așezați și făceau acel audit, care oricum e obligatoriu legal și care clarifica toate aspectele de mai sus.
Add new comment