Proceduri şi autorităţi în noul drept european al protecţiei datelor cu caracter personal (II)

Preliminarii

Cele două niveluri la care se regăsesc autoritățile de protecție a datelor identifică autoritatea independentă/autoritățile independente din statele membre și Comitetul european de protecție a datelor. La nivel național, statutul autorităților de supraveghere a datelor cu caracter personal se caracterizează prin independență în exercitarea atribuțiilor pe care Regulamentul (UE) 2016/679 le pune în sarcina acestora. La nivelul Uniunii, responsabilitatea revine Comitetului european de protecție a datelor – entitate nou creată prin dispozițiile Regulamentului, cu rol de coordonare a autorităților independente din statele membre. Sistemul instituit de actul normativ european este structurat de manieră a asigura protecția optimă a drepturilor și libertăților persoanelor fizice, în special a dreptului la respectarea vieții private. Statele membre au la dispoziție un termen rezonabil, care se întinde până în luna mai 2018, pentru a finaliza demersurile de transpunere în practică a prevederilor Reglamentului. Dificultăți pot să apară în statele membre care au instituit mai multe autorități de supraveghere, în condițiile în care o singură autoritate va avea atribuții de reprezentare la nivel european. Autoritatea principală de supraveghere are atribuții delimitate de atribuțiile autorităților de supraveghere vizate – în cadrul național.

  1. I. Autoritățile de supraveghere independente

Statele membre instituie una sau mai multe autorități de supraveghere, care reflectă structura lor constituțională, organizatorică și administrativă.

Tipuri de autorități de supraveghere

Regulamentul operează cu noțiuni care desemnează autorități de supraveghere ce se determină după criterii distincte și care au propriul rol, în ansamblul operațiunilor de prelucrare a datelor. Noul act normativ european conține un „dicționar” util în precizarea termenilor – demersul de identificare a autorităților fiind indispensabil și prealabil discutării competențelor și sarcinilor conferite fiecăreia dintre acestea (autoritatea principală, autoritatea vizată). Un sprijin semnificativ este oferit de Ghidul pentru stabilirea autorității de supraveghere principale a operatorului sau a persoanei împuternicite de operator, revizuit și adoptat de Grupul 29, la 5 aprilie 2017[1].

Autoritate de supraveghere. „Autoritatea de supraveghere” este autoritatea publică independentă instituită de statul membru, în scop de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în Uniune (art. 4 pct. 21).

Rolul autorității de supraveghere este de a contribui la aplicarea coerentă a prevederilor Regulamentului în spațiul european, utilizând mecanismul cooperării, între autorități și cu Comisia. Principiul independenței caracterizează activitatea fiecărei autorități de supraveghere, în îndeplinirea sarcinilor trasate de Regulament.

Competența autorității de supraveghere se exercită pe teritoriul statului membru de care aparține autoritatea. Autoritatea națională nu este abilitată să supravegheze operațiunile de prelucrare ale instanțelor care acționează în exercițiul funcției lor judiciare. În aria de competență a autorității de supraveghere se includ (cu tilu de exemplu): efectuarea auditului privind protecția datelor; notificarea responsabilului prelucrării/împuternicitului, în ce privește presupusa încălcare a Regulamentului (competențe de investigare); emiterea avertizărilor adresate responsabilului prelucrării/împuternicitului cu privire la posibilitatea ca operațiunile pe care acesta le desfășoară să încalce dispozițiile Regulamentului; obligarea responsabilului prelucrării/împuternicitului la informarea persoanei vizate cu privire la încălcarea protecției datelor; obligarea la rectificarea/ștergerea datelor/restricționarea prelucrării și la notificarea acestei conduite destinatarilor cărora le-au fost divulgate datele cu caracter personal (competențe corective); consilierea responsabilului prelucrării cu privire la procedura de consultare prealabilă; avizarea/aprobarea codurilor de conduită, în condițiile stabilite de Regulament; acreditarea organismelor de certificare; aprobarea regulilor corporatiste obligatorii (competențe de autorizare și de consiliere).

Statul membru de care aparține autoritatea poate să reglementeze competențe suplimentare, sub rezerva ca acestea să nu aducă atingere modului de operare eficientă prevăzut de Regulament.

Considerentele Regulamentului menționează că ansamblul competențelor conferite autorităților de supraveghere trebuie să se fundamenteze pe un arsenal de garanții procedurale prevăzute în dreptul Uniunii și în dreptul intern, în mod imparțial, echitabil și într-un termen rezonabil. Pentru aceasta, fiecare măsură se impune a fi adecvată, necesară și proporțională, în scopul de a asigura conformitatea cu dispozițiile Regulamentului, luând în considerare circumstanțele fiecărui caz în parte; fiecare persoană are dreptul de a fi ascultată înainte de luarea oricărei măsuri individuale ce ar putea să îi aducă atingere; se impune evitarea costurilor inutile și a inconvenientelor excesive pentru persoanele în cauză. Se recomandă ca fiecare măsură obligatorie din punct de vedere juridic, luată de autoritatea de supraveghere, să fie prezentată în scris, să fie clar formulată și lipsită de ambiguitate, să indice autoritatea de supraveghere care a emis măsura, data emiterii măsurii, să poarte semnătura șefului sau a unui membru al autorității de supraveghere autorizat, să furnizeze motivele pentru care s-a luat măsura și să facă trimitere la dreptul la o cale de atac eficientă (împrejurări care nu exclud cerințele suplimentare, în conformitate cu dreptul procedural național)[2].

Exemplificativ, fiecărei autorități de supraveghere îi revin următoarele sarcini: monitorizarea aplicării dispozițiilor Regulamentului (UE) 2016/679; promovarea acțiunilor de înțelegere, de către public (în special de către minori), a riscurilor, normelor, garanțiilor și drepturilor în materie de prelucrare a datelor; oferirea consilierii adresate parlamentului național, guvernului, altor instituții și organisme, în ce privește măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor în raport cu prelucrarea datelor; promovarea acțiunilor de diseminare a obligațiilor ce revin responsabililor prelucrărilor/împuterniciților; furnizarea de informații către persoanele vizate în legătură cu drepturile conferite de Regulament, cooperând, dacă este cazul, cu autorități de supraveghere din alte state membre; soluționarea plângerilor depuse de persoanele vizate, de organisme sau asociații și informarea reclamanților cu privire la evoluția și rezultatul investigațiilor; cooperarea cu alte autorități de supraveghere și asistența reciprocă, în contextul asigurării funcționării mecanismului coerenței; monitorizarea evoluțiilor relevante, în măsura în care acestea au impact asupra protecției datelor cu caracter personal – mai ales evoluția tehnologiilor informației și a practicilor comerciale; întocmirea și actualizarea evidențelor referitoare la evaluarea impactului asupra protecției datelor; avizarea/aprobarea codurilor de conduită, în conformitate cu prevederile regulamentare; contribuția la activitățile Comitetului european pentru protecția datelor.

Autoritate de supraveghere principală. Fiecare stat membru este ținut să desemneze o autoritate de supraveghere principală, pentru prelucrarea transfrontalieră efectuată de respectivul operator sau de către împuternicitul persoanei responsabile. Utilitatea autorității de supraveghere principale se vădește în contextul prelucrărilor transfrontaliere de date, întrucât acest tip de prelucrare creează o conexiune aparte pe circuitul autorități naționale – Comisie – Comitetul european.

Prelucrarea transfrontalieră. Noțiunea de „prelucrare transfrontalieră” are două accepțiuni, potrivit vocabularului terminologic al Regulamentului (art. 4 pct. 23).

  1. 1. Prelucrarea transfrontalieră semnifică operațiunile de prelucrare a datelor cu caracter personal care au loc în contextul activităților sediilor de pe teritoriile mai multor state ale Uniunii și care aparțin responsabilului prelucrării sau împuternicitului acestuia. Condiția cerută de Regulament este ca sediile să fie plasate pe teritoriile a cel puțin două dintre statele membre.
  2. 2. Dacă responsabilul prelucrării sau împuternicitul acestuia dețin un singur sediu pe teritoriul Uniunii, prelucrarea transfrontalieră desemnează operațiunile efectuate în contextului respectivului sediu, operațiuni care afectează sau care sunt susceptibile să afecteze în mod semnificativ, persoane vizate din cel puțin două state membre.

Sintagma „operațiuni care afectează în mod semnificativ” desemnează un anumit tip de efecte ale operațiunilor de prelucrare cu privire la persoana vizată. Dintre înțelesurile termenului „semnificativ”, credem că legiuitorul a avut în vedere sinonimele „important”, „însemnat”. Operațiuni semnificative sunt operațiunile care au efecte importante cu privire la destinatarii prelucrărilor. Cu alte cuvinte, nu orice operațiune de prelucrare a datelor cu caracter personal atrage aplicarea dispozițiilor referitoare la prelucrarea transfrontalieră. Se vor lua în considerare numai operațiunile relevante, în ceea ce privește efectele asupra persoanei vizate. Aceasta ar însemna că, în accepțiunea noului Regulament, suntem în prezența unei prelucrări transfontaliere (în varianta a doua a definiției) atunci când impactul prelucrării este semnificativ în raport cu persoana vizată.

Ghidul pentru stabilirea autorității de supraveghere principale a operatorului sau a persoanei împuternicite de operator reține că prelucrarea întrunește cerințele definiției legale «dacă există posibilitatea unui efect semnificativ, nu doar a unui efect semnificativ concret […] „probabil” nu înseamnă că există o posibilitate îndepărtată a unui efect semnificativ. Efectul semnificativ trebuie să fie mai mult decât probabil. Pe de altă parte, aceasta înseamnă, de asemenea, că persoanele fizice nu trebuie să fie realmente afectate: probabilitatea unui efect semnificativ este suficientă pentru a încadra prelucrarea în definiția „prelucrării transfrontaliere”». Între liniile de recomandare se înscrie sugestia de a lua în considerare contextul prelucrării, tipul de date, scopul prelucrării, precum și factori cum sunt: prelucrarea are consecințe neprevăzute sau nedorite pentru persoanele fizice; prelucrarea generează sentimente de jenă sau alte efecte negative, inclusiv un prejudiciu de imagine; prelucrarea implică analiza unor categorii de date cu caracter special sau a altor date intruzive, în special referitoare la minori; prelucrarea permite ca persoanele fizice să fie vulnerabile la discriminare/tratament inechitabil; prelucrarea afectează ori este de natură a afecta statutul sau resursele financiare/economice ale persoanelor fizice; prelucrarea este de natură să afecteze sănătatea fizică sau mentală a persoanelor fizice; prelucrarea este aptă să genereze restrângerea drepturilor persoanei fizice[3].

Identificarea autorității de supraveghere principale. În ipoteza existenței mai multor autorități de suraveghere pe teritoriul statului membru, autoritatea de supraveghere principală este „autoritatea care are responsabiliattea principală în activitatea de prelucrare transfrontalieră a datelor, de exemplu, în cazul în care persoana vizată depune o plângere referitoare la prelucrarea datelor sale personale”[4].

Punctul de legătură la care face apel Regulamentul este sediul principal al responsabilului prelucrării: „[…] autoritatea de supraveghere a sediului principal sau a sediului unic al responsabilului sau al persoanei împuternicite de acesta este competentă să acționeze în calitate de autoritatea de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită, în conformitate cu procedura prevăzută la articolul 60” (art. 56 alin. 1 din Regulament).

Explicațiile privind accepțiunea „sediului principal”, conform Regulamentului, sunt oferite de art. 4 pct. 16. Dacă operațiunile sunt efectuate de responsabilul prelucrării, care dispune de sedii în cel puțin două state membre, sediul principal este „locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal”. Dacă prelucrarea este efectuată de împuternicit, iar acesta are sedii în cel puțin două state membre, sediul principal este „locul în care se află administrația centrală a acestuia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligații specifice în temeiul prezentului regulament”.

Ceea ce rămâne de identificat este administrația centrală a responsabilului/persoanei împuternicite. Ghidul precizează că, în mod implicit, Regulamentul abordează administrația centrală pe teritoriul Uniunii, prin prisma locului în care se iau decizii cu privire la scopurile și mijloacele de prelucrare a datelor cu caracter personal. Este avut în vedere considerentul 36, care aduce lămuriri: „Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept sediul principal”.

Într-adevăr, determinarea administrației centrale trebuie să fie subordonată unor criterii obiective – iar reperul este locul în care sunt luate deciziile principale cu privire la scopurile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Locul în care sunt situate mijloacele tehnice și tehnologiile de prelucrare a datelor cu caracter personal și, respectiv, locul unde se derulează activitățile de prelucrare, nu constituie sedii principale și, prin urmare, nu sunt criterii determinante, în acest sens. Considerentul 36 conține și câteva explicații utile pentru ipoteze care se pot ivi în practica prelucrării transfrontaliere a datelor. Sediul principal al persoanei împuternicite este reprezentat de locul în care se află administrația centrală a acesteia în Uniune sau, în cazul în care nu are o administrație centrală în Uniune, locul în care se desfășoară principalele activități de prelucrare în Uniune.

DOWNLOAD FULL ARTICLE

 


[1] Ghidul poate fi consultat pe pagina Autorității Naționale de Supraveghere a Prelucrării datelor cu Caracter Personal, http://www.dataprotection.ro/servlet/ViewDocument?id=1382, accesată la data de 14 mai 2017.

[2] Potrivit considerentului 129, adoptarea unor decizii obligatorii din punct de vedere juridic implică faptul că se poate da naștere unui control jurisdicțional în statul membru al autorității de supraveghere care a adoptat decizia.

[3] A se vedea, cu privire la interpretarea art. 4 pct. 23 din Regulament, Ghidul pentru stabilirea autorității de supraveghere principale a operatorului sau a persoanei împuternicite de operator, op. cit.

[4] Ibidem.

Proceduri și autorități în noul drept european al protecției datelor cu caracter personal (II) was last modified: septembrie 4th, 2017 by Călina Jugastru

Numai utilizatorii autentificați pot scrie comentarii