Proceduri şi autorităţi în noul drept european al protecţiei datelor cu caracter personal (II)
Călina Jugastru - iulie 1, 2017Preliminarii
Cele două niveluri la care se regăsesc autorităţile de protecţie a datelor identifică autoritatea independentă/autorităţile independente din statele membre şi Comitetul european de protecţie a datelor. La nivel naţional, statutul autorităţilor de supraveghere a datelor cu caracter personal se caracterizează prin independenţă în exercitarea atribuţiilor pe care Regulamentul (UE) 2016/679 le pune în sarcina acestora. La nivelul Uniunii, responsabilitatea revine Comitetului european de protecţie a datelor – entitate nou creată prin dispoziţiile Regulamentului, cu rol de coordonare a autorităţilor independente din statele membre. Sistemul instituit de actul normativ european este structurat de manieră a asigura protecţia optimă a drepturilor şi libertăţilor persoanelor fizice, în special a dreptului la respectarea vieţii private. Statele membre au la dispoziţie un termen rezonabil, care se întinde până în luna mai 2018, pentru a finaliza demersurile de transpunere în practică a prevederilor Reglamentului. Dificultăţi pot să apară în statele membre care au instituit mai multe autorităţi de supraveghere, în condiţiile în care o singură autoritate va avea atribuţii de reprezentare la nivel european. Autoritatea principală de supraveghere are atribuţii delimitate de atribuţiile autorităţilor de supraveghere vizate – în cadrul naţional.
-
I. Autorităţile de supraveghere independente
Statele membre instituie una sau mai multe autorităţi de supraveghere, care reflectă structura lor constituţională, organizatorică şi administrativă.
Tipuri de autorităţi de supraveghere
Regulamentul operează cu noţiuni care desemnează autorităţi de supraveghere ce se determină după criterii distincte şi care au propriul rol, în ansamblul operaţiunilor de prelucrare a datelor. Noul act normativ european conţine un „dicţionar” util în precizarea termenilor – demersul de identificare a autorităţilor fiind indispensabil şi prealabil discutării competenţelor şi sarcinilor conferite fiecăreia dintre acestea (autoritatea principală, autoritatea vizată). Un sprijin semnificativ este oferit de Ghidul pentru stabilirea autorităţii de supraveghere principale a operatorului sau a persoanei împuternicite de operator, revizuit şi adoptat de Grupul 29, la 5 aprilie 2017[1].
Autoritate de supraveghere. „Autoritatea de supraveghere” este autoritatea publică independentă instituită de statul membru, în scop de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea şi în vederea facilitării liberei circulaţii a datelor cu caracter personal în Uniune (art. 4 pct. 21).
Rolul autorităţii de supraveghere este de a contribui la aplicarea coerentă a prevederilor Regulamentului în spaţiul european, utilizând mecanismul cooperării, între autorităţi şi cu Comisia. Principiul independenţei caracterizează activitatea fiecărei autorităţi de supraveghere, în îndeplinirea sarcinilor trasate de Regulament.
Competenţa autorităţii de supraveghere se exercită pe teritoriul statului membru de care aparţine autoritatea. Autoritatea naţională nu este abilitată să supravegheze operaţiunile de prelucrare ale instanţelor care acţionează în exerciţiul funcţiei lor judiciare. În aria de competenţă a autorităţii de supraveghere se includ (cu tilu de exemplu): efectuarea auditului privind protecţia datelor; notificarea responsabilului prelucrării/împuternicitului, în ce priveşte presupusa încălcare a Regulamentului (competenţe de investigare); emiterea avertizărilor adresate responsabilului prelucrării/împuternicitului cu privire la posibilitatea ca operaţiunile pe care acesta le desfăşoară să încalce dispoziţiile Regulamentului; obligarea responsabilului prelucrării/împuternicitului la informarea persoanei vizate cu privire la încălcarea protecţiei datelor; obligarea la rectificarea/ştergerea datelor/restricţionarea prelucrării şi la notificarea acestei conduite destinatarilor cărora le-au fost divulgate datele cu caracter personal (competenţe corective); consilierea responsabilului prelucrării cu privire la procedura de consultare prealabilă; avizarea/aprobarea codurilor de conduită, în condiţiile stabilite de Regulament; acreditarea organismelor de certificare; aprobarea regulilor corporatiste obligatorii (competenţe de autorizare şi de consiliere).
Statul membru de care aparţine autoritatea poate să reglementeze competenţe suplimentare, sub rezerva ca acestea să nu aducă atingere modului de operare eficientă prevăzut de Regulament.
Considerentele Regulamentului menţionează că ansamblul competenţelor conferite autorităților de supraveghere trebuie să se fundamenteze pe un arsenal de garanții procedurale prevăzute în dreptul Uniunii și în dreptul intern, în mod imparțial, echitabil și într-un termen rezonabil. Pentru aceasta, fiecare măsură se impune a fi adecvată, necesară și proporțională, în scopul de a asigura conformitatea cu dispozițiile Regulamentului, luând în considerare circumstanțele fiecărui caz în parte; fiecare persoană are dreptul de a fi ascultată înainte de luarea oricărei măsuri individuale ce ar putea să îi aducă atingere; se impune evitarea costurilor inutile și a inconvenientelor excesive pentru persoanele în cauză. Se recomandă ca fiecare măsură obligatorie din punct de vedere juridic, luată de autoritatea de supraveghere, să fie prezentată în scris, să fie clar formulată şi lipsită de ambiguitate, să indice autoritatea de supraveghere care a emis măsura, data emiterii măsurii, să poarte semnătura șefului sau a unui membru al autorității de supraveghere autorizat, să furnizeze motivele pentru care s-a luat măsura și să facă trimitere la dreptul la o cale de atac eficientă (împrejurări care nu exclud cerințele suplimentare, în conformitate cu dreptul procedural național)[2].
Exemplificativ, fiecărei autorităţi de supraveghere îi revin următoarele sarcini: monitorizarea aplicării dispoziţiilor Regulamentului (UE) 2016/679; promovarea acţiunilor de înţelegere, de către public (în special de către minori), a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare a datelor; oferirea consilierii adresate parlamentului naţional, guvernului, altor instituţii şi organisme, în ce priveşte măsurile legislative şi administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor în raport cu prelucrarea datelor; promovarea acţiunilor de diseminare a obligaţiilor ce revin responsabililor prelucrărilor/împuterniciţilor; furnizarea de informaţii către persoanele vizate în legătură cu drepturile conferite de Regulament, cooperând, dacă este cazul, cu autorităţi de supraveghere din alte state membre; soluţionarea plângerilor depuse de persoanele vizate, de organisme sau asociaţii şi informarea reclamanţilor cu privire la evoluţia şi rezultatul investigaţiilor; cooperarea cu alte autorităţi de supraveghere şi asistenţa reciprocă, în contextul asigurării funcţionării mecanismului coerenţei; monitorizarea evoluţiilor relevante, în măsura în care acestea au impact asupra protecţiei datelor cu caracter personal – mai ales evoluţia tehnologiilor informaţiei şi a practicilor comerciale; întocmirea şi actualizarea evidenţelor referitoare la evaluarea impactului asupra protecţiei datelor; avizarea/aprobarea codurilor de conduită, în conformitate cu prevederile regulamentare; contribuţia la activităţile Comitetului european pentru protecţia datelor.
Autoritate de supraveghere principală. Fiecare stat membru este ţinut să desemneze o autoritate de supraveghere principală, pentru prelucrarea transfrontalieră efectuată de respectivul operator sau de către împuternicitul persoanei responsabile. Utilitatea autorităţii de supraveghere principale se vădeşte în contextul prelucrărilor transfrontaliere de date, întrucât acest tip de prelucrare creează o conexiune aparte pe circuitul autorităţi naţionale – Comisie – Comitetul european.
Prelucrarea transfrontalieră. Noţiunea de „prelucrare transfrontalieră” are două accepţiuni, potrivit vocabularului terminologic al Regulamentului (art. 4 pct. 23).
- 1. Prelucrarea transfrontalieră semnifică operaţiunile de prelucrare a datelor cu caracter personal care au loc în contextul activităţilor sediilor de pe teritoriile mai multor state ale Uniunii şi care aparţin responsabilului prelucrării sau împuternicitului acestuia. Condiţia cerută de Regulament este ca sediile să fie plasate pe teritoriile a cel puţin două dintre statele membre.
- 2. Dacă responsabilul prelucrării sau împuternicitul acestuia deţin un singur sediu pe teritoriul Uniunii, prelucrarea transfrontalieră desemnează operaţiunile efectuate în contextului respectivului sediu, operaţiuni care afectează sau care sunt susceptibile să afecteze în mod semnificativ, persoane vizate din cel puţin două state membre.
Sintagma „operaţiuni care afectează în mod semnificativ” desemnează un anumit tip de efecte ale operaţiunilor de prelucrare cu privire la persoana vizată. Dintre înţelesurile termenului „semnificativ”, credem că legiuitorul a avut în vedere sinonimele „important”, „însemnat”. Operaţiuni semnificative sunt operaţiunile care au efecte importante cu privire la destinatarii prelucrărilor. Cu alte cuvinte, nu orice operaţiune de prelucrare a datelor cu caracter personal atrage aplicarea dispoziţiilor referitoare la prelucrarea transfrontalieră. Se vor lua în considerare numai operaţiunile relevante, în ceea ce priveşte efectele asupra persoanei vizate. Aceasta ar însemna că, în accepţiunea noului Regulament, suntem în prezenţa unei prelucrări transfontaliere (în varianta a doua a definiţiei) atunci când impactul prelucrării este semnificativ în raport cu persoana vizată.
Ghidul pentru stabilirea autorităţii de supraveghere principale a operatorului sau a persoanei împuternicite de operator reţine că prelucrarea întruneşte cerinţele definiţiei legale «dacă există posibilitatea unui efect semnificativ, nu doar a unui efect semnificativ concret […] „probabil” nu înseamnă că există o posibilitate îndepărtată a unui efect semnificativ. Efectul semnificativ trebuie să fie mai mult decât probabil. Pe de altă parte, aceasta înseamnă, de asemenea, că persoanele fizice nu trebuie să fie realmente afectate: probabilitatea unui efect semnificativ este suficientă pentru a încadra prelucrarea în definiţia „prelucrării transfrontaliere”». Între liniile de recomandare se înscrie sugestia de a lua în considerare contextul prelucrării, tipul de date, scopul prelucrării, precum şi factori cum sunt: prelucrarea are consecinţe neprevăzute sau nedorite pentru persoanele fizice; prelucrarea generează sentimente de jenă sau alte efecte negative, inclusiv un prejudiciu de imagine; prelucrarea implică analiza unor categorii de date cu caracter special sau a altor date intruzive, în special referitoare la minori; prelucrarea permite ca persoanele fizice să fie vulnerabile la discriminare/tratament inechitabil; prelucrarea afectează ori este de natură a afecta statutul sau resursele financiare/economice ale persoanelor fizice; prelucrarea este de natură să afecteze sănătatea fizică sau mentală a persoanelor fizice; prelucrarea este aptă să genereze restrângerea drepturilor persoanei fizice[3].
Identificarea autorităţii de supraveghere principale. În ipoteza existenţei mai multor autorităţi de suraveghere pe teritoriul statului membru, autoritatea de supraveghere principală este „autoritatea care are responsabiliattea principală în activitatea de prelucrare transfrontalieră a datelor, de exemplu, în cazul în care persoana vizată depune o plângere referitoare la prelucrarea datelor sale personale”[4].
Punctul de legătură la care face apel Regulamentul este sediul principal al responsabilului prelucrării: „[…] autoritatea de supraveghere a sediului principal sau a sediului unic al responsabilului sau al persoanei împuternicite de acesta este competentă să acţioneze în calitate de autoritatea de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită, în conformitate cu procedura prevăzută la articolul 60” (art. 56 alin. 1 din Regulament).
Explicaţiile privind accepţiunea „sediului principal”, conform Regulamentului, sunt oferite de art. 4 pct. 16. Dacă operaţiunile sunt efectuate de responsabilul prelucrării, care dispune de sedii în cel puțin două state membre, sediul principal este „locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal”. Dacă prelucrarea este efectuată de împuternicit, iar acesta are sedii în cel puțin două state membre, sediul principal este „locul în care se află administrația centrală a acestuia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligații specifice în temeiul prezentului regulament”.
Ceea ce rămâne de identificat este administraţia centrală a responsabilului/persoanei împuternicite. Ghidul precizează că, în mod implicit, Regulamentul abordează administraţia centrală pe teritoriul Uniunii, prin prisma locului în care se iau decizii cu privire la scopurile şi mijloacele de prelucrare a datelor cu caracter personal. Este avut în vedere considerentul 36, care aduce lămuriri: „Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept sediul principal”.
Într-adevăr, determinarea administraţiei centrale trebuie să fie subordonată unor criterii obiective – iar reperul este locul în care sunt luate deciziile principale cu privire la scopurile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Locul în care sunt situate mijloacele tehnice și tehnologiile de prelucrare a datelor cu caracter personal şi, respectiv, locul unde se derulează activitățile de prelucrare, nu constituie sedii principale și, prin urmare, nu sunt criterii determinante, în acest sens. Considerentul 36 conţine şi câteva explicaţii utile pentru ipoteze care se pot ivi în practica prelucrării transfrontaliere a datelor. Sediul principal al persoanei împuternicite este reprezentat de locul în care se află administrația centrală a acesteia în Uniune sau, în cazul în care nu are o administrație centrală în Uniune, locul în care se desfășoară principalele activități de prelucrare în Uniune.
[1] Ghidul poate fi consultat pe pagina Autorităţii Naţionale de Supraveghere a Prelucrării datelor cu Caracter Personal, http://www.dataprotection.ro/servlet/ViewDocument?id=1382, accesată la data de 14 mai 2017.
[2] Potrivit considerentului 129, adoptarea unor decizii obligatorii din punct de vedere juridic implică faptul că se poate da naștere unui control jurisdicțional în statul membru al autorității de supraveghere care a adoptat decizia.
[3] A se vedea, cu privire la interpretarea art. 4 pct. 23 din Regulament, Ghidul pentru stabilirea autorităţii de supraveghere principale a operatorului sau a persoanei împuternicite de operator, op. cit.
[4] Ibidem.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.