Proceduri şi autorităţi în noul drept european al protecţiei datelor cu caracter personal (II)
Călina Jugastru - iulie 1, 2017Atunci când operaţiunile de prelucrare implică atât operatorul, cât și persoana împuternicită de operator, autoritatea de supraveghere principală competentă este autoritatea de supraveghere a statului membru în care operatorul își are sediul principal, iar autoritatea de supraveghere a persoanei împuternicite de operator este considerată ca fiind o autoritate de supraveghere vizată și acea autoritate de supraveghere ar trebui să participe la procedura de cooperare prevăzută de prezentul regulament. În situaţia unei prelucrări efectuate de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul este sediul principal al grupului de întreprinderi, cu excepția cazului în care scopurile și mijloacele aferente prelucrării sunt stabilite de o altă întreprindere[5].
Demersul de determinare a autorităţii principale de supraveghere este important, în condiţiile plasării sediilor pe arii teritoriale aparţinând unor state diferite. În acelaşi timp, este firesc ca imperativul monitorizării întregii activităţi a unui operator, să fie în sarcina unei singure autorităţi de supraveghere. Ghidul exemplifică, arătând că pot exista situaţii în care un sediu, altul decât locul administraţiei centrale, să ia decizii autonome referitoare la scopurile şi mijloacele unei anumite activităţi de prelucrare. Ceea ce înseamnă că, în unele cazuri, s-ar putea stabili cel puţin două autorităţi de supraveghere principale, de pildă, atunci când o companie multinaţională stabileşte centre de luare a deciziilor diferite, situate pe teritoriile unor state diferite, pentru activităţi de prelucrare diferite. Se menţionează că, pentru multinaţionale, este esenţial să stabilească exact care este locul în care se iau deciziile privind scopul şi mijloacele prelucrării. De determinarea precisă a sediului principal depinde identificarea corectă a autorităţii de supraveghere principale, căreia îi revin o serie de responsabilităţi, conform Regulamentului (poate fi vorba, concret, de desemnarea unui responsabil cu protecţia datelor, de consultarea pentru o activitate de prelucrare ce prezintă risc şi pe care operatorul nu o poate diminua prin mijloace rezonabile ş.a.)[6].
Autoritate de supraveghere vizată. „Autoritatea de supraveghere vizată” este acea autoritate de supraveghere care este avută în vedere de operaţiunile de prelucrare a datelor personale, fie întrucât responsabilul prelucrării/împuternicitul este stabilit pe teritoriul statului membru al acelei autorităţi, fie pentru că persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare, fie pentru că s-a depus o plângere la autoritatea în cauză (art. 4 pct. 22).
Statutul independent
Autoritatea de supraveghere este o entitate care funcţionează pe principiul independenţei. Independenţa trebuie înţeleasă ca palier pe care converg două imperative: independenţa autorităţii constituie o garanţie pentru persoanele fizice, în ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date; permite controlul (inclusiv jurisdicţional)/ monitorizarea, în ceea ce privește cheltuielile efectuate de autorităţile de supraveghere.
Conţinutul principiului independenţei autorităţii de supraveghere este identificabil pe următoarele direcţii (art. 52):
- 1. fiecare autoritate de supraveghere beneficiază de independenţă deplină în realizarea sarcinilor care îi revin conform Regulamentului şi în exercitarea competenţelor sale;
- 2. în cadrul îndeplinirii sarcinilor/exercitării competenţelor, membrii autorităţii de supraveghere îşi păstrează independenţa faţă de orice influenţă externă directă sau indirectă (se menţionează faptul că aceştia nu primesc instrucţiuni de la o parte externă);
- 3. membrii autorităţii de supraveghere se vor abţine să întreprindă acţiuni incompatibile cu atribuţiile lor, iar pe durata mandatului, nu vor desfăşura activităţi incompatibile, remunerate sau nu;
- 4. fiecare autoritate de supraveghere dispune de resurse umane, tehnice şi financiare, de sediu şi de infrastructura necesare pentru îndeplinirea sarcinilor şi exercitarea efectivă a competenţelor sale. Sunt avute în vedere inclusiv activităţile desfăşurate în contextul asistenţei reciproce, al cooperării şi al participării în cadrul Comitetului;
- 5. fiecare autoritate de supraveghere selectează personalul propriu (personal aflat sub conducerea exclusivă a autorităţii de supraveghere respective);
- 6. fiecare autoritate de supraveghere dispune de buget anual, distinct, public, ce poate face parte din bugetul general de stat sau naţional.
În măsura în care un stat membru instituie mai multe autorităţi de supraveghere, obligaţiile ce îi revin sunt prevăzute de Regulament (51-54):
- 1. statul va fi ţinut să reglementeze mecanisme care să asigure participarea efectivă a autorităților de supraveghere respective la asigurarea coerenței. Mecanismul pentru asigurarea coerenţei este reglementat expres şi presupune cooperarea autorităţilor de supraveghere, între ele şi cu Comisia;
- 2. statul este obligat să desemneze, dintre autorităţile de supraveghere independente, instituite pe teritoriul său, acea autoritate de supraveghere care îndeplinește funcția de punct unic de contact pentru participarea efectivă a acestor autorități la mecanism. Scopul identificării autorităţii care joacă rolul de punct de contact este asigurarea cooperării rapide și armonioase cu alte autorități de supraveghere, cu Comitetul și cu Comisia;
- 3. statul membru este obligat să se asigure că fiecare autoritate de supraveghere beneficiază de resurse financiare și umane, de spațiile și de infrastructura necesare îndeplinirii eficace a sarcinilor;
- 4. statul este ţinut să se asigure că fiecare autoritate de supraveghere beneficiază de un buget public anual separat;
- 5. statul are obligaţia să se asigure că numirea membrilor autorităţilor de supraveghere are loc cu respectarea unei proceduri transparente, conform dispoziţiilor legale în vigoare;
- 6. fiecare stat membru reglementează aspecte privind autorităţile de supraveghere: calificările membrilor autorităţii şi condiţiile de eligibilitate ale membrilor acesteia; procedurile de numire a membrilor autorităţii; durata mandatului membrilor autorităţii (minimum 4 ani, cu excepţia primei numiri, după data de 24 mai 2016, din care o parte poate fi pe o durată mai scurtă, în cazul în care acest lucru e necesar pentru a proteja independenţa autorităţii de supraveghere prin intermediul unei proceduri de numiri eşalonate); obligaţiile membrilor autorităţii (interdicţii privind acţiunile, ocupaţiile şi beneficiile incompatibile cu acestea în cursul mandatului şi după încetarea mandatului). Distinct, este reglementată obligaţia de confidenţialitate ce revine membrilor autorităţii de supraveghere, conform dreptului intern sau dreptului european. Secretul profesional priveşte informaţiile de care aceştia au luat cunoştinţă cu prilejul îndeplinirii sarcinilor sau exercitării competenţelor conferite prin lege. Obligaţia de păstrare a secretului incumbă membrilor autorităţii pe durata mandatului şi subzistă după încetarea mandatului.
Cooperarea între autoritatea de supraveghere principală şi autorităţile de supraveghere vizate
Cooperarea între autorităţi are la bază comunicarea reciprocă pe care o impune Regulamentul, aşa încât autoritatea principală şi autorităţile vizate (aflându-se în posesia informaţiilor relevante) să ajungă la un consens. Scopul cooperării este aplicarea coerentă a prevederilor Regulamentului şi instituirea asistenţei reciproce. Asistenţa reciprocă are ca obiect cererile de informaţii şi măsurile de supraveghere (de exemplu, cereri privind autorizări şi consultări prealabile, controale şi investigaţii)[7].
Actul normativ european instituie un mecanism detaliat al cooperării între autoritatea de supraveghere principală şi autorităţile de supraveghere vizate, precum şi al asistenţei reciproce între autorităţile de supraveghere. De asemenea, reglementează operaţiunile comune ale autorităţilor de supraveghere, inclusiv investigaţii comune sau măsuri comune de aplicare a legii, ce implică personal din autoritățile de supraveghere ale altor state membre.
Distinct, este prevăzut mecanismul pentru asigurarea coerenţei, destinat să asigure aplicarea riguroasă şi corelată a Regulamentului în spaţiul Uniunii. Complexul mecanismului coerenţei are două componente: cooperarea între autorităţile de supraveghere şi cooperarea autorităţilor de supraveghere cu Comisia.
II. Comitetul european pentru protecţia datelor
În cuprinsul Regulamentului(UE) 2016/679, acest organ cu personalitate juridică este desemnat prin termenul „Comitetul”. Reprezentarea Comitetului este asigurată de către preşedinte[8], iar componenţa include şeful unei autorităţi de supraveghere din fiecare stat membru şi din Autoritatea Europeană pentru Protecţia Datelor. Pentru statul membru în care funcţionează mai multe autorităţi de supraveghere, responsabile de monitorizarea aplicării Regulamentului, există obligaţia de a numi un reprezentant comun, potrivit dreptului intern. Fără drept de vot, Comisia are dreptul de a participa la activităţile Comitetului; preşedintele Comitetului comunică acesteia activităţile desfăşurate de Comitet (art. 68). Secretariatul Comitetului este asigurat de Autoritatea Europeană pentru Protecţia Datelor. Sprijinul oferit Comitetului de către secretariat este analitic, logistic, administrativ şi presupune, în principal: gestiunea curentă a activităţilor Comitetului; comunicarea între membrii Comitetului, comunicarea cu publicul şi cu instituţiile; pregătirea şi monitorizarea acţiunilor ulterioare reuniunilor Comitetului; redactarea şi publicarea avizelor, deciziilor privind soluţionarea litigiilor dintre autorităţile de supraveghere, redactarea şi publicarea altor texte adoptate de către Comitet (art. 75).
Principiul care guvernează activitatea Comitetului este independenţa în realizarea sarcinilor şi exercitarea competenţelor. Comitetul nu solicită şi nu acceptă instrucţiuni de la o parte externă, în îndeplinirea atribuţiilor ce îi revin.
La nivelul Uniunii, Comitetul asigură aplicarea riguroasă a Regulamentului, iar multiplele sale sarcini sunt menţionate în art. 70. Între cele semnificative, se înscriu: consilierea Comisiei cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la propunerile de modificare a Regulamentului; prezentarea avizului pentru evaluarea caracterului adecvat al nivelului de protecție într-o țară terță sau o organizație internațională, inclusiv pentru a determina dacă o țară terță, un teritoriu, unul sau mai multe sectoare specificate din acea țară terță sau o organizație internațională nu mai asigură un nivel de protecție adecvat; promovarea cooperării și schimbului eficient bilateral și multilateral de informații și bune practici între autoritățile de supraveghere.
Emiterea de orientări, recomandări și bune practici este una dintre sarcinile Comitetului și funcționează pentru aspecte cum sunt: procedurile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora, de care dispun serviciile de comunicații accesibile publicului; detalierea criteriilor și condițiilor pentru deciziile bazate pe crearea de profiluri; stabilirea încălcării securității datelor cu caracter personal, circumstanțele speciale în care un operator sau o persoană împuternicită de către operator are obligația de a notifica încălcarea securității datelor cu caracter personal; circumstanțele în care o încălcare a securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice; detalierea criteriilor și cerințelor pentru transferurile de date cu caracter personal; stabilirea procedurilor comune de raportare de către persoanele fizice a încălcărilor Regulamentului.
Activitatea Comitetului include şi informarea publicului, Parlamentului European, Consiliului şi Comisiei, privind protecţia persoanelor şi prelucrarea datelor în Uniune şi, dacă este relevant, în ţări terţe şi organizaţii internaţionale. Informaţiile sunt diseminate prin intermediul raportului anual al Comitetului, redactat conform art. 71 din Regulament (raportul cuprinde şi revizuirea aplicării practice a orientărilor, recomandărilor, bunelor practici pe care acest organism le elaborează în îndeplinirea sarcinilor sale).
III. Concluzii
Articulat, mecanismul cooperării instituit prin Regulamentul (UE) 2016/679 este destinat consolidării protecţiei drepturilor şi libertăţilor persoanelor fizice, în raport cu prelucrarea datelor care le privesc. Buna funcţionare a relaţiilor între autorităţile de supraveghere naţionale, Comisie şi Comitet este esenţială pentru asigurarea circuitului transfrontalier de prelucrare a datelor personale. Este imperios necesară urgentarea demersurilor de adoptare/aplicare a actelor normative ce conţin norme speciale în sectorul comunicaţiilor electronice, precum şi actualizarea – inclusiv corelarea unora dintre regulamentele în vigoare cu noul Regulament (UE) 2016/679, care constituie cadrul comun de reglementare europeană a prelucrării datelor.
[5] Întreprinderea este persoana (fizică sau juridică) ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriatele sau asociațiile care desfășoară în mod regulat o activitate economică; grup de întreprinderi înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta [art. 4 pct. 18-19 din Regulamentul (UE) 2016/679].
[6] Notăm două exemple oferite de Ghid, edificatoare pentru determinarea autorităţii de supraveghere principale: «„Un distribuitor de produse alimentare are sediul principal (adică „locul administraţiei centrale”) în Rotterdam, Olanda. Acesta are sedii în diferite alte state UE, care sunt în legătură cu persoane fizice de acolo. Toate sediile utilizează acelaşi software pentru a prelucra datele personale ale consumatorilor în scop de marketing. Toate deciziile privind scopurile şi mijloacele de prelucrare a datelor personale ale consumatorilor în scop de marketing se iau în cadrul sediului principal din Rotterdam. Aceasta înseamnă că, în cazul companiei, autoritatea de supraveghere principală pentru activitatea de prelucrare transfrontalieră este autoritatea de supraveghere din Olanda”; „O bancă are sediul principal al corporaţiei în Frankfurt şi toate activităţile sale de prelucrări bancare sunt organizate de acolo, dar departamentul său de asigurări este situat în Viena. Dacă sediul din Viena are competenţa de a decide asupra întregii activităţi de prelucrare a datelor în scop de asigurări şi de a dispune punerea în aplicare a acestor decizii pentru întreg teritoriul UE, atunci, aşa cum prevede art. 4 (16) al RGPD, autoritatea de supraveghere din Austria va fi autoritatea principală privind prelucrările transfrontaliere de date cu caracter personal în scopuri de asigurări, iar autorităţile germane (autoritatea de supraveghere din Hessen) vor supraveghea prelucrarea datelor cu caracter personal în scopuri bancare, indiferent unde se află clienţii».
[7] Se prevede că autoritatea de supraveghere principală poate solicita asistenţă reciprocă autorităţilor vizate şi poate desfăşura activităţi comune cu acestea, în vederea efectuării de investigaţii sau pentru monitorizarea punerii în aplicare a unei măsuri referitoare la un responsabil al prelucrării sau o persoană împuternicită aflată pe teritoriul altui stat membru (art. 60 alin. 2 din Regulament).
[8] Sarcinile preşedintelui sunt circumscrise convocării reuniunilor Comitetului, stabilirii ordinii de zi, notificării deciziilor autorităţilor de supraveghere naţionale, asigurării îndeplinirii la timp a atribuţiilor Comitetului, inclusiv în ce priveşte mecanismul coerenţei.
Arhive
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.