Proceduri şi autorităţi în noul drept european al protecţiei datelor cu caracter personal (II)

Atunci când operațiunile de prelucrare implică atât operatorul, cât și persoana împuternicită de operator, autoritatea de supraveghere principală competentă este autoritatea de supraveghere a statului membru în care operatorul își are sediul principal, iar autoritatea de supraveghere a persoanei împuternicite de operator este considerată ca fiind o autoritate de supraveghere vizată și acea autoritate de supraveghere ar trebui să participe la procedura de cooperare prevăzută de prezentul regulament. În situația unei prelucrări efectuate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul este sediul principal al grupului de întreprinderi, cu excepția cazului în care scopurile și mijloacele aferente prelucrării sunt stabilite de o altă întreprindere[5].

Demersul de determinare a autorității principale de supraveghere este important, în condițiile plasării sediilor pe arii teritoriale aparținând unor state diferite. În același timp, este firesc ca imperativul monitorizării întregii activități a unui operator, să fie în sarcina unei singure autorități de supraveghere. Ghidul exemplifică, arătând că pot exista situații în care un sediu, altul decât locul administrației centrale, să ia decizii autonome referitoare la scopurile și mijloacele unei anumite activități de prelucrare. Ceea ce înseamnă că, în unele cazuri, s-ar putea stabili cel puțin două autorități de supraveghere principale, de pildă, atunci când o companie multinațională stabilește centre de luare a deciziilor diferite, situate pe teritoriile unor state diferite, pentru activități de prelucrare diferite. Se menționează că, pentru multinaționale, este esențial să stabilească exact care este locul în care se iau deciziile privind scopul și mijloacele prelucrării. De determinarea precisă a sediului principal depinde identificarea corectă a autorității de supraveghere principale, căreia îi revin o serie de responsabilități, conform Regulamentului (poate fi vorba, concret, de desemnarea unui responsabil cu protecția datelor, de consultarea pentru o activitate de prelucrare ce prezintă risc și pe care operatorul nu o poate diminua prin mijloace rezonabile ș.a.)[6].

Autoritate de supraveghere vizată. „Autoritatea de supraveghere vizată” este acea autoritate de supraveghere care este avută în vedere de operațiunile de prelucrare a datelor personale, fie întrucât responsabilul prelucrării/împuternicitul este stabilit pe teritoriul statului membru al acelei autorități, fie pentru că persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare, fie pentru că s-a depus o plângere la autoritatea în cauză (art. 4 pct. 22).

 Statutul independent

Autoritatea de supraveghere este o entitate care funcționează pe principiul independenței. Independența trebuie înțeleasă ca palier pe care converg două imperative: independența autorității constituie o garanție pentru persoanele fizice, în ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date; permite controlul (inclusiv jurisdicțional)/ monitorizarea, în ceea ce privește cheltuielile efectuate de autoritățile de supraveghere.

Conținutul principiului independenței autorității de supraveghere este identificabil pe următoarele direcții (art. 52):

  1. 1. fiecare autoritate de supraveghere beneficiază de independență deplină în realizarea sarcinilor care îi revin conform Regulamentului și în exercitarea competențelor sale;
  2. 2. în cadrul îndeplinirii sarcinilor/exercitării competențelor, membrii autorității de supraveghere își păstrează independența față de orice influență externă directă sau indirectă (se menționează faptul că aceștia nu primesc instrucțiuni de la o parte externă);
  3. 3. membrii autorității de supraveghere se vor abține să întreprindă acțiuni incompatibile cu atribuțiile lor, iar pe durata mandatului, nu vor desfășura activități incompatibile, remunerate sau nu;
  4. 4. fiecare autoritate de supraveghere dispune de resurse umane, tehnice și financiare, de sediu și de infrastructura necesare pentru îndeplinirea sarcinilor și exercitarea efectivă a competențelor sale. Sunt avute în vedere inclusiv activitățile desfășurate în contextul asistenței reciproce, al cooperării și al participării în cadrul Comitetului;
  5. 5. fiecare autoritate de supraveghere selectează personalul propriu (personal aflat sub conducerea exclusivă a autorității de supraveghere respective);
  6. 6. fiecare autoritate de supraveghere dispune de buget anual, distinct, public, ce poate face parte din bugetul general de stat sau național.

În măsura în care un stat membru instituie mai multe autorități de supraveghere, obligațiile ce îi revin sunt prevăzute de Regulament (51-54):

  1. 1. statul va fi ținut să reglementeze mecanisme care să asigure participarea efectivă a autorităților de supraveghere respective la asigurarea coerenței. Mecanismul pentru asigurarea coerenței este reglementat expres și presupune cooperarea autorităților de supraveghere, între ele și cu Comisia;
  2. 2. statul este obligat să desemneze, dintre autoritățile de supraveghere independente, instituite pe teritoriul său, acea autoritate de supraveghere care îndeplinește funcția de punct unic de contact pentru participarea efectivă a acestor autorități la mecanism. Scopul identificării autorității care joacă rolul de punct de contact este asigurarea cooperării rapide și armonioase cu alte autorități de supraveghere, cu Comitetul și cu Comisia;
  3. 3. statul membru este obligat să se asigure că fiecare autoritate de supraveghere beneficiază de resurse financiare și umane, de spațiile și de infrastructura necesare îndeplinirii eficace a sarcinilor;
  4. 4. statul este ținut să se asigure că fiecare autoritate de supraveghere beneficiază de un buget public anual separat;
  5. 5. statul are obligația să se asigure că numirea membrilor autorităților de supraveghere are loc cu respectarea unei proceduri transparente, conform dispozițiilor legale în vigoare;
  6. 6. fiecare stat membru reglementează aspecte privind autoritățile de supraveghere: calificările membrilor autorității și condițiile de eligibilitate ale membrilor acesteia; procedurile de numire a membrilor autorității; durata mandatului membrilor autorității (minimum 4 ani, cu excepția primei numiri, după data de 24 mai 2016, din care o parte poate fi pe o durată mai scurtă, în cazul în care acest lucru e necesar pentru a proteja independența autorității de supraveghere prin intermediul unei proceduri de numiri eșalonate); obligațiile membrilor autorității (interdicții privind acțiunile, ocupațiile și beneficiile incompatibile cu acestea în cursul mandatului și după încetarea mandatului). Distinct, este reglementată obligația de confidențialitate ce revine membrilor autorității de supraveghere, conform dreptului intern sau dreptului european. Secretul profesional privește informațiile de care aceștia au luat cunoștință cu prilejul îndeplinirii sarcinilor sau exercitării competențelor conferite prin lege. Obligația de păstrare a secretului incumbă membrilor autorității pe durata mandatului și subzistă după încetarea mandatului.

Cooperarea între autoritatea de supraveghere principală și autoritățile de supraveghere vizate

Cooperarea între autorități are la bază comunicarea reciprocă pe care o impune Regulamentul, așa încât autoritatea principală și autoritățile vizate (aflându-se în posesia informațiilor relevante) să ajungă la un consens. Scopul cooperării este aplicarea coerentă a prevederilor Regulamentului și instituirea asistenței reciproce. Asistența reciprocă are ca obiect cererile de informații și măsurile de supraveghere (de exemplu, cereri privind autorizări și consultări prealabile, controale și investigații)[7].

Actul normativ european instituie un mecanism detaliat al cooperării între autoritatea de supraveghere principală și autoritățile de supraveghere vizate, precum și al asistenței reciproce între autoritățile de supraveghere. De asemenea, reglementează operațiunile comune ale autorităților de supraveghere, inclusiv investigații comune sau măsuri comune de aplicare a legii, ce implică personal din autoritățile de supraveghere ale altor state membre.

Distinct, este prevăzut mecanismul pentru asigurarea coerenței, destinat să asigure aplicarea riguroasă și corelată a Regulamentului în spațiul Uniunii. Complexul mecanismului coerenței are două componente: cooperarea între autoritățile de supraveghere și cooperarea autorităților de supraveghere cu Comisia.

 II. Comitetul european pentru protecția datelor

În cuprinsul Regulamentului(UE) 2016/679, acest organ cu personalitate juridică este desemnat prin termenul „Comitetul”. Reprezentarea Comitetului este asigurată de către președinte[8], iar componența include șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor. Pentru statul membru în care funcționează mai multe autorități de supraveghere, responsabile de monitorizarea aplicării Regulamentului, există obligația de a numi un reprezentant comun, potrivit dreptului intern. Fără drept de vot, Comisia are dreptul de a participa la activitățile Comitetului; președintele Comitetului comunică acesteia activitățile desfășurate de Comitet (art. 68). Secretariatul Comitetului este asigurat de Autoritatea Europeană pentru Protecția Datelor. Sprijinul oferit Comitetului de către secretariat este analitic, logistic, administrativ și presupune, în principal: gestiunea curentă a activităților Comitetului; comunicarea între membrii Comitetului, comunicarea cu publicul și cu instituțiile; pregătirea și monitorizarea acțiunilor ulterioare reuniunilor Comitetului; redactarea și publicarea avizelor, deciziilor privind soluționarea litigiilor dintre autoritățile de supraveghere, redactarea și publicarea altor texte adoptate de către Comitet (art. 75).

Principiul care guvernează activitatea Comitetului este independența în realizarea sarcinilor și exercitarea competențelor. Comitetul nu solicită și nu acceptă instrucțiuni de la o parte externă, în îndeplinirea atribuțiilor ce îi revin.

La nivelul Uniunii, Comitetul asigură aplicarea riguroasă a Regulamentului, iar multiplele sale sarcini sunt menționate în art. 70. Între cele semnificative, se înscriu: consilierea Comisiei cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la propunerile de modificare a Regulamentului; prezentarea avizului pentru evaluarea caracterului adecvat al nivelului de protecție într-o țară terță sau o organizație internațională, inclusiv pentru a determina dacă o țară terță, un teritoriu, unul sau mai multe sectoare specificate din acea țară terță sau o organizație internațională nu mai asigură un nivel de protecție adecvat; promovarea cooperării și schimbului eficient bilateral și multilateral de informații și bune practici între autoritățile de supraveghere.

Emiterea de orientări, recomandări și bune practici este una dintre sarcinile Comitetului și funcționează pentru aspecte cum sunt: procedurile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora, de care dispun serviciile de comunicații accesibile publicului; detalierea criteriilor și condițiilor pentru deciziile bazate pe crearea de profiluri; stabilirea încălcării securității datelor cu caracter personal, circumstanțele speciale în care un operator sau o persoană împuternicită de către operator are obligația de a notifica încălcarea securității datelor cu caracter personal; circumstanțele în care o încălcare a securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice; detalierea criteriilor și cerințelor pentru transferurile de date cu caracter personal; stabilirea procedurilor comune de raportare de către persoanele fizice a încălcărilor Regulamentului.

Activitatea Comitetului include și informarea publicului, Parlamentului European, Consiliului și Comisiei, privind protecția persoanelor și prelucrarea datelor în Uniune și, dacă este relevant, în țări terțe și organizații internaționale. Informațiile sunt diseminate prin intermediul raportului anual al Comitetului, redactat conform art. 71 din Regulament (raportul cuprinde și revizuirea aplicării practice a orientărilor, recomandărilor, bunelor practici pe care acest organism le elaborează în îndeplinirea sarcinilor sale).

III. Concluzii

Articulat, mecanismul cooperării instituit prin Regulamentul (UE) 2016/679 este destinat consolidării protecției drepturilor și libertăților persoanelor fizice, în raport cu prelucrarea datelor care le privesc. Buna funcționare a relațiilor între autoritățile de supraveghere naționale, Comisie și Comitet este esențială pentru asigurarea circuitului transfrontalier de prelucrare a datelor personale. Este imperios necesară urgentarea demersurilor de adoptare/aplicare a actelor normative ce conțin norme speciale în sectorul comunicațiilor electronice, precum și actualizarea – inclusiv corelarea unora dintre regulamentele în vigoare cu noul Regulament (UE) 2016/679, care constituie cadrul comun de reglementare europeană a prelucrării datelor.

[5] Întreprinderea este persoana (fizică sau juridică) ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriatele sau asociațiile care desfășoară în mod regulat o activitate economică; grup de întreprinderi înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta [art. 4 pct. 18-19 din Regulamentul (UE) 2016/679].

[6] Notăm două exemple oferite de Ghid, edificatoare pentru determinarea autorității de supraveghere principale: «„Un distribuitor de produse alimentare are sediul principal (adică „locul administrației centrale”) în Rotterdam, Olanda. Acesta are sedii în diferite alte state UE, care sunt în legătură cu persoane fizice de acolo. Toate sediile utilizează același software pentru a prelucra datele personale ale consumatorilor în scop de marketing. Toate deciziile privind scopurile și mijloacele de prelucrare a datelor personale ale consumatorilor în scop de marketing se iau în cadrul sediului principal din Rotterdam. Aceasta înseamnă că, în cazul companiei, autoritatea de supraveghere principală pentru activitatea de prelucrare transfrontalieră este autoritatea de supraveghere din Olanda”; „O bancă are sediul principal al corporației în Frankfurt și toate activitățile sale de prelucrări bancare sunt organizate de acolo, dar departamentul său de asigurări este situat în Viena. Dacă sediul din Viena are competența de a decide asupra întregii activități de prelucrare a datelor în scop de asigurări și de a dispune punerea în aplicare a acestor decizii pentru întreg teritoriul UE, atunci, așa cum prevede art. 4 (16) al RGPD, autoritatea de supraveghere din Austria va fi autoritatea principală privind prelucrările transfrontaliere de date cu caracter personal în scopuri de asigurări, iar autoritățile germane (autoritatea de supraveghere din Hessen) vor supraveghea prelucrarea datelor cu caracter personal în scopuri bancare, indiferent unde se află clienții».

[7] Se prevede că autoritatea de supraveghere principală poate solicita asistență reciprocă autorităților vizate și poate desfășura activități comune cu acestea, în vederea efectuării de investigații sau pentru monitorizarea punerii în aplicare a unei măsuri referitoare la un responsabil al prelucrării sau o persoană împuternicită aflată pe teritoriul altui stat membru (art. 60 alin. 2 din Regulament).

[8] Sarcinile președintelui sunt circumscrise convocării reuniunilor Comitetului, stabilirii ordinii de zi, notificării deciziilor autorităților de supraveghere naționale, asigurării îndeplinirii la timp a atribuțiilor Comitetului, inclusiv în ce privește mecanismul coerenței.

Proceduri și autorități în noul drept european al protecției datelor cu caracter personal (II) was last modified: septembrie 4th, 2017 by Călina Jugastru

Numai utilizatorii autentificați pot scrie comentarii