Proceduri şi autorităţi în Noul Drept European al protecţiei datelor cu caracter personal (I)
Călina Jugastru - iunie 1, 2017Sarcinile responsabilului cu protecţia datelor sunt concepute de manieră a asigura câteva direcţii esenţiale: informare şi consiliere, monitorizare şi cooperare. Enumerarea legală este enunţiativă, responsabilul cu protecţia datelor având posibilitatea să îşi asume şi alte sarcini, cu evitarea conflictelor de interese (art. 38 alin. 6, art. 39). Paleta largă de atribuţii conferă responsabilului cu protecţia datelor rolul unui veritabil „chef d’orchestre” al conformităţii, în materie de protecţie a datelor personale în cadrul entităţii respective[20].
Informarea şi consilierea sunt destinate responsabilului cu protecţia datelor, persoanei împuternicite, angajaţilor care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecția datelor. Unul dintre aspectele sensibile priveşte consilierea în raport cu realizarea studiului de impact, aflat în relaţie directă cu ocrotirea vieţii private.
Monitorizarea vizează respectarea prevederilor Regulamentului. Exemplificativ, între activităţile specifice pot fi reţinute: colectarea informaţiilor în vederea identificării operaţiunilor de prelucrare; analiza şi verificarea conformităţii acestor operaţiuni; informarea, consilierea, emiterea de recomandări adresate operatorului sau împuternicitului acestuia[21].
Cooperarea cu autoritatea de supraveghere decurge din rolul conferit responsabilului cu protecţia datelor – acela de a fi punct de contact pentru aspectele legate de operaţiunile de prelucrare. Cooperarea cu autoritatea de supraveghere trebuie configurată ca o constantă a preocupărilor responsabilului cu protecţia datelor şi ca o garanţie a respectării drepturilor persoanelor vizate.
Ne oprim la una dintre ipotezele în care Regulamentul nr. 679/2016 impune, în mod explicit, linia de cooperare între responsabilul numit cu protecţia datelor şi autoritatea de supraveghere. Potrivit art. 35 alin. 2, la realizarea unei evaluări a impactului asupra protecției datelor, operatorul (responsabil cu prelucrarea datelor) solicită avizul responsabilului cu protecția datelor. Este în discuţie situaţia în care studiul de impact obligatoriu precede operaţiunile de prelucrare, datorită naturii sensibile a datelor personale, datorită domeniului de aplicare ori datorită contextului sau scopurilor prelucrării (conform art. 35 alin. 1).
Avizul responsabilului cu protecţia datelor este obligatoriu, ţinând seama de riscul ridicat pentru drepturile şi libertăţile persoanelor, generat de operaţiunile de prelucrare. Avizul va fi cerut ori de câte ori sunt prezente următoarele situaţii: crearea de profiluri, consecutivă evaluării sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată (și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă); prelucrarea pe scară largă a unor categorii speciale de date (cum sunt datele arătate la art. 9 alin. 1 sau a unor date cu caracter personal privind condamnări penale ori infracțiuni; monitorizarea pe scară largă a unei zone accesibile publicului etc.
Atunci când evaluarea impactului asupra protecției datelor speciale indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului, operatorul consultă autoritatea de supraveghere anterior prelucrării. Consultarea autorităţii de resort este însoţită de furnizarea, de către responsabilul prelucrării, a datelor de contact ale responsabilului cu protecţia datelor (art. 36 alin. 1, alin. 3 lit. d).
Recomandarea Grupului 29 este solicitarea obligatorie a avizului, de către responsabilul prelucrării, în legătură cu următoarele aspecte: dacă să efectueze sau nu evaluarea impactului operaţiunilor de prelucrare; metodologia care urmează a fi utilizată pentru evaluare; efectuarea unei evaluări interne a impactului/externalizarea procedurii; garanțiile (inclusiv măsuri tehnice și organizaționale) reducerea oricăror riscuri la adresa drepturilor și intereselor persoanelor vizate; corectitudinea efectuării evaluării impactului şi conformitatea concluziilor studiului cu prevederile Regulamentului. Se recomandă ca, în situația în care operatorul nu este de acord cu opinia responsabilului cu protecţia datelor, documentația aferentă evaluării impactului operaţiunilor de prelucrare să conţină motivaţia pentru care nu a fost urmat avizul[22].
II. Evaluarea impactului şi consultarea prealabilă
Noua procedură a evaluării impactului riscului anumitor tipuri de prelucrări a fost iniţiată pe fondul constatării lipsei de eficienţă a vechii proceduri de notificare, pe care o reglementa Directiva nr. 1995/46/CE. În decursul aplicării Directivei, a funcţionat obligația generală de a notifica prelucrarea datelor cu caracter personal autorităților de supraveghere. Totuşi (şi cu toate că obligația respectivă a generat sarcini administrative și financiare), notificarea nu a contribuit întotdeauna la îmbunătățirea protecției datelor cu caracter personal.
Prin urmare, noul Regulament de protecţie a datelor personale a optat pentru un sistem structurat pe proceduri și mecanisme care să pună accentul pe acele operațiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice prin factori diverşi (natura datelor, domeniul lor de aplicare ş.a.). Astfel de tipuri de operațiuni de prelucrare pot fi cele care presupun, în special, utilizarea unor noi tehnologii sau care reprezintă un nou tip de operațiuni, pentru care nicio evaluare a impactului asupra protecției datelor nu a fost efectuată anterior de către operator ori care evaluarea devine necesară dată fiind perioada de timp care s-a scurs de la prelucrarea inițială. Pentru astfel de situaţii, se instituie procedura prealabilă a evaluării impactului asupra protecţiei datelor, procedură concepută a include, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu Regulamentul.
Considerentele 89-90 din Regulament indică şi scopul noii proceduri – evaluarea gradului specific de probabilitate a materializării riscului ridicat și gravitatea acestuia. În concret, în funcţie de măsurile, garanţiile şi mecanismele preconizate pentru atenuarea riscului, evaluarea impactului se poate dovedi a fi un proces care implică uneori resurse financiare consistente, pe care operatorul, responsabil al prelucrării, trebuie să le pună în operă.
Operaţiunile supuse evaluării impactului
Procedura evaluării impactului este determinată de factori cum sunt natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal – în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.
Aşadar, într-o selecţie a operaţiunilor pentru care apare necesitatea efectuării studiului de impact, sunt reţinute cele care, în raport cu criteriul riscului, trebuie analizate anterior prelucrării. Întocmirea şi publicarea listei tipurilor de operațiuni de prelucrare care fac obiectul cerinței evaluării asupra protecției datelor revine în sarcina autorităţii de supraveghere din statul membru (se înţelege, autoritatea de supraveghere care joacă rolul de „one-stop-shop”). Mai departe, lista se transmite Comitetului european pentru protecţia datelor, organ cu personalitate juridică al Uniunii Europene. Comitetul are, între îndatoririle curente, sarcina monitorizării aplicării corecte a Regulamentului în statele Uniunii – ceea ce presupune ca indispensabilă, evidenţa operaţiunilor de prelucrare supuse evaluării prealabile a impactului asupra protecţiei datelor. Operaţiunile care nu necesită evaluarea impactului intră în componenţa unei liste pe care autoritatea naţională de supraveghere o poate pune la dispoziţia publicului (şi pe care o comunică, de asemenea, Comitetului).
Potrivit Regulamentului, evaluarea impactului se impune, mai ales, în cazul:
a. evaluării sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă.
Profilajul sau crearea de profiluri implică utilizarea unei cantităţi semnificative de date referitoare la persoanele fizice, motiv pentru care această activitate este imperativ a se regăsi pe listele obligatorii de evaluare prealabilă a impactului. În accepţiunea Regulamentului nr. 679/2016, prin „creare de profiluri” se înţelege orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia. Crearea profilului pe baza datelor personale presupune colectarea şi prelucrarea unor categorii de date personale ce acoperă nu numai activitatea profesională a persoanei vizate, dar şi aspecte sensibile de viaţă personală şi chiar de intimitate;
b) prelucrării pe scară largă a unor categorii speciale de date, menționată la art. 9 alin. 1 sau a unor date cu caracter personal privind condamnări penale sau infracțiuni, conform art. 10. Un exemplu menţionat introductiv în Regulament (considerentul 91) este cel în care operaţiunile au ca obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional, ce ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat – de pildă, în cazul în care, în conformitate cu nivelul atins al cunoștințelor tehnologice, se folosește la scară largă o tehnologie nouă;
c) prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă, în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecției datelor nu ar trebui să fie obligatorie;
d) monitorizării sistematice pe scară largă a unei zone accesibile publicului. Natura sensibilă a datelor şi, respectiv, datele referitoare la condamnări penale/infracţiuni, reclamă evaluarea prealabilă şi obligatorie a impactului asupra protecţiei datelor. Se oferă exemplul utilizării dispozitivelor optoelectronice sau pentru orice alte operațiuni în cazul în care autoritatea de supraveghere competentă consideră că prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor vizate, deoarece acestea împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract (considerentul 91).
Nu este necesară evaluarea impactului asupra protecţiei datelor personale, pentru acele operaţiuni de prelucrare ce sunt incluse pe lista autorităţii de supraveghere (lista cu operaţiunile care nu fac obiectul evaluării, conform art. 35 alin. 5).
Ambele categorii de liste presupun aplicarea mecanismului pentru asigurarea coerenței (mecanism la care face referire art. 63) în cazul în care listele implică activități de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii către persoane vizate sau monitorizarea comportamentului acestora în mai multe state membre ori care pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii.
Ghidul privind evaluarea impactului menţionează încă două situaţii în care evaluarea nu este obligatorie[23]:
a) natura/contextul/finalitatea prelucrării sunt asemănătoare cu cele ale operaţiunilor pentru care s-a efectuat deja evaluarea impactului, astfel că se va recurge la rezultatele anterioare ale evaluării. În ce priveşte această ipoteză, credem că este util să se verifice data la care a fost efectuat studiul anterior de impact. Un interval de timp mai îndelungat sau o perioadă în care au intervenit modificări ale datelor cunoscute la nivel naţional/internaţional, necesită evaluare de impact, pentru a evita atingerea drepturile şi libertăţile persoanelor vizate;
b) atunci când prelucrarea în temeiul art. 6 alin. 1 lit. c) sau lit. e) are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidența căruia intră operatorul, iar dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de operațiuni specifice în cauză și deja s-a efectuat o evaluare a impactului asupra protecției datelor, ca parte a unei evaluări a impactului general în contextul adoptării respectivului temei juridic, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare (alin. 10, art. 35 din Regulament).
Obiectul evaluării impactului
Minimal, activitatea de evaluare a impactului cuprinde elementele ce urmează: descrierea sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, precum şi a interesului legitim urmărit de operator; evaluarea necesităţii și proporționalităţii operațiunilor de prelucrare în legătură cu aceste scopuri; evaluarea riscurilor pentru drepturile și libertățile persoanelor fizice vizate; măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.
Aspecte privind procesul de evaluare a impactului şi consultarea prealabilă
Evaluarea impactului asupra protecţiei datelor
Procesul de evaluare a impactului asupra protecţiei datelor este reglementat în detaliu în Regulament, iar unele precizări utile se regăsesc în considerentele acestuia.
a) procesul evaluării impactului precede operaţiunile de prelucrare a datelor cu caracter personal. Procedura evaluării impactului are scopul de a identifica garanţiile optime pentru a evita lezarea drepturilor şi libertăţilor persoanelor fizice (între care dreptul la respectarea vieţii private ocupă un loc primordial).
b) evaluarea impactului necesită avizul responsabilului cu protecţia datelor/avizul persoanelor vizate sau al reprezentanţilor acestora. Firesc şi logic, exprimarea opiniei cu privire la impactul prelucrării este una dintre atribuţiile responsabilul desemnat cu protecţia datelor în cadrul organizaţiei în care se intenţionează prelucrarea. Solicitarea avizului persoanelor vizate se cere să nu aducă atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare. Grupul 29 subliniază necesitatea motivării refuzului de a ţine seama de avizul responsabilului cu protecţia datelor sau, după caz, de avizul celui vizat de prelucrare/reprezentantului acestuia.
[20] A se vedea, Commission Nationale Informatique et Liberté, Règlement européen, material disponibil la adresa https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes, consultată la data de 3 aprilie 2017.
[21]Ibidem, p. 17.
[22] Ghidul privind responsabilul pentru protecţia datelor (DPO), op. cit., p. 17.
[23] O. Guerguinov, T. Léonard, GDPR: le Groupe 29 (G29) dévoile ses lignes directrices concernant «l’analyse d’impact», informaţii disponibile pe pagina https://www.droit-technologie.org/actualites/gdpr-groupe-29-g29-devoile-lignes-directrices-concernant-lanalyse-dimpact/ (accesată la data de 3 mai 2017).
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.