Proceduri şi autorităţi în Noul Drept European al protecţiei datelor cu caracter personal (I)
Călina Jugastru - iunie 1, 2017Abstract
Regulation (EU) No. 679/216 concerning the protection of individuals with regard to the
processing of personal character data and the free movement of such data brings some novelty
provisions. One of these has the role to designate the responsible with data protection – in cases
specifically regulated; its appointment is an obligation of the entity where the personal data are
processed. The importance of the new institution introduced by the Regulation can also be read in
light of the consequences of the omission to appoint such a person responsible until 28 May 2018 (in
cases where the law obliges the appointment), the sanction of the administrative fine being consistent.
The impact assessment procedure, in conjunction with the prior consultation, has the role of
highlighting the risks of processing, in relation to the rights and freedoms of the persons concerned.
Insofar as the activities requiring risk assessment will be rigorously identified (by the supervisor
authorities), and the complex mechanism of safeguards, measures, mitigation / annihilation remedies
will prove viable, the new impact assessment procedure can be converted into a useful and effective
tool for all individuals involved in the processing of personal data.
Keywords: personal character data, Regulation no. 679/2016, international cooperation, DPO
Preliminarii
Între materiile aflate în perpetuă evoluţie, protecţia datelor personale ocupă un loc privilegiat şi sigur. „Privilegiat” – prin importanţa cuvenită şi acordată acestui domeniu, mai ales după 2000, graţie naturii fundamentale a dreptului ocrotit (dreptul la protecţia datelor cu caracter personal). „Sigur” – datorită unei dinamici aflate sub semnul progresului tehnologiilor moderne de comunicare – iar evoluţia în ritm rapid a acestora este o certitudine.
Iată că, într-un traiect ascendent, din punctul de vedere al preocupărilor centrate pe protecţia datelor personale, anul 2016 a marcat adoptarea şi intrarea în vigoare a două acte normative, diferit înveşmântate, sub aspect formal. În tiparul unui regulament european[1] care se va aplica începând cu 25 mai 2018 (interval de timp necesar şi rezonabil pentru ca statele membre să dispună măsurile preconizate), se găsesc regulile principale ale protecţiei, aplicabile cu titlu de normă-cadru. Necesitatea legiferării pe calea regulamentului este larg motivată şi are ca prim fundament asigurarea unui nivel consecvent, ridicat şi uniform de protecţie a drepturilor şi libertăţilor în spaţiul Uniunii. Înlăturarea obstacolelor din calea circulaţiei datelor are ca formulă optimă regulamentul. În timp ce reglementarea-cadru va înlocui aplicarea Directivei nr. 1995/46/CE începând cu mai 2018, prelucrarea datelor pe segmentul prevenirii infracţiunilor, urmăririi penale şi executării sancţiunilor penale este cuprinsă în noua Directivă nr. 680/2016, în vigoare din mai 2016[2] . Aceasta din urmă înlocuieşte Decizia-cadru 2008/977/JAI a Consiliului şi se preocupă de aspectele specifice dreptului penal şi dreptului procesual-penal. În ce măsură realitatea cotidiană a prelucrării datelor personale va concilia cele două reglementări – pe cale de regulament şi pe cale de directivă – aceasta este o chestiune ce va fi dezlegată de viitorul aplicării acestora.
Dificultăţile, deja conturate, ale interpretării-aplicării noilor prevederi ale dreptului european au determinat măsuri imediate. Între cele semnificative, menţionăm preocuparea de elaborare a ghidurilor destinate aplicării unitare a noului Regulament. Grupul 29[3] a finalizat trei astfel de ghiduri, care concretizează propunerile ajustate în urma consultării publice din perioada decembrie 2016-ianuarie 2017: Ghidul privind dreptul la portabilitatea datelor; Ghidul privind responsabilul pentru protecţia datelor (DPO); Ghidul privind identificarea autorităţii de supraveghere lider a unui operator sau împuternicit[4] .
Ghidurile menţionate sunt un prim pas în armonizarea interpretării prevederilor regulamentare. Există o serie de noţiuni care necesită lămurire – oricum practica aplicării va aduce variabile cu repercusiuni importante, în privinţa domeniului de aplicare, categoriilor de date supuse prelucrării fără consimţământul persoanei vizate, drepturilor şi obligaţiilor responsabililor şi persoanelor fizice supuse operaţiunilor de prelucrare.
Ceea ce trebuie semnalat, dintru început, este faptul că Regulamentul consacră dreptul la protecţia datelor cu caracter personal ca drept fundamental (considerentul 1). Beneficiarele protecţiei sunt persoanele fizice, pentru care Regulamentul creează spaţiul de libertate, securitate şi justiţie necesar în raport cu activităţile de prelucrare a datelor personale şi cu libera circulaţie a acestor date. Directiva nr. 1995/46/CE a vizat armonizarea nivelului de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice, fără să discute însă în termenii unui drept fundamental la protecţia datelor cu caracter personal. Pasul înfăptuit de Regulament este semnificativ şi tranşează dezbaterile doctrinei cu privire la (eventuala) existenţă a unui drept subiectiv la protecţia datelor personale[5] .
Tot în rândul noutăţilor trebuie menţionată instituirea unor obligaţii consolidate în sarcina responsabililor prelucrării (obligaţia de securitate, de exemplu), o mai riguroasă reglementare a consimţământului, suplimentarea garanţiilor oferite în cazul profilajului prin mijloace exclusiv automate, precum şi noi prerogative la dispoziţia persoanelor vizate de prelucrare (dreptul la portabilitatea datelor, droit à l’oubli)[6] .
Dintre procedurile şi autorităţile prevăzute de Regulamentul adoptat în anul 2016, ne vom opri la: desemnarea responsabilului cu protecţia datelor, evaluarea impactului/consultarea prealabilă, autorităţile (naţionale) de supraveghere independente şi Comitetul european pentru protecţia datelor. Rolul autorităţilor nou instituite este major în ce priveşte menţinerea nivelului de protecţie a drepturilor şi libertăţilor fundamentale în ţările Uniunii, în condiţiile în care protecţia naţională a acestora şi, în mod special, ocrotirea vieţii private, sunt fragile.
Directiva nr. 680/2016 reglementează, de asemenea, responsabilul pentru protecţia datelor, evaluarea impactului şi consultarea prealabilă. Întrucât reglementarea noii Directive este similară celei din noul Regulament, vom dezvolta problematica, aşa cum se regăseşte în Regulamentul nr. 679/2016. Ca element particular, reţinem că dispoziţiile Directivei sunt adresate exclusiv protecţiei persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date.
Analizele dedicate responsabilului cu protecţia datelor şi evaluării impactului fac obiectul primei părţi a studiului (modalităţile de desemnare a responsabilului; cerinţele pentru numirea acestuia; funcţia şi sarcinile încredinţate de Regulament; operaţiunile supuse evaluării impactului; procedura consultării prealabile a autorităţii de supraveghere). Cea de a doua parte detaliază particularităţile desemnării şi statutul autorităţilor de supraveghere la nivelul statelor membre, respectiv structura şi atribuţiile Comitetului european pentru protecţia datelor.
I. Responsabilul cu protecţia datelor (DPO)
„Data protection officer” este reglementat cu titlu de noutate în dreptul european al prelucrării datelor cu caracter personal. Regulamentul stabileşte cazurile în care numirea responsabilului cu protecţia datelor este obligatorie, cerinţele legale cu privire la persoana responsabilului, funcţia şi sarcinile responsabilului cu protecţia datelor (art. 37-39). Sugestiv, responsabilul este indicat ca fiind noul „gardian” al prelucrărilor de date cu caracter personal[7] .
Desemnarea responsabilului pentru protecţia datelor
Potrivit Regulamentului, numirea unui responsabil cu protecţia datelor este obligatorie, în cazurile expres menţionate:
a) atunci când prelucrarea este efectuată de o autoritate sau un organism public.
„Autoritate”, „organism public” sunt termeni a căror accepţiune este determinată în conformitate cu dreptul intern. Sunt exceptate instanţele care acţionează în exerciţiul funcţiei lor jurisdicţionale.
b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă. Împrejurarea că activităţile principale ale responsabilului prelucrării[8] /împuternicitului[9] au în conţinut operaţiuni de prelucrare ce necesită monitorizare periodică şi sistematică a persoanelor vizate pe scară largă, este de natură să atragă obligativitatea numirii unui responsabil cu protecţia datelor. Demersul explicării vocabularului se circumscrie sintagmelor: „activităţi principale”, „monitorizare periodică şi sistematică”, „persoane vizate pe scară largă”.
Activităţile principale se raportează la obiectul de activitate al responsabilului prelucrării. În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază și nu la prelucrarea datelor cu caracter personal drept activități auxiliare (considerentul 97). Precizarea Ghidului privind responsabilul pentru protecţia datelor (DPO) este aceea că „activităţile principale” „nu ar trebui interpretate ca excluzând activitățile în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator”. Exemplificarea vizează domeniul medical, mai exact activitatea desfăşurată în unităţile spitaliceşti. În principal, spitalul oferă asistenţă medicală, însă eficienţa şi calitatea îngrijirilor medicale presupun şi activitatea de prelucrare a datelor privind starea de sănătate a pacienţilor (prelucrarea dosarelor medicale). Pe cale de consecinţă, prelucrarea acestor date ar trebui să fie considerată a fi una dintre activitățile principale în orice spital, iar spitalele trebuie să desemneze un responsabil cu protecţia datelor.
Monitorizarea periodică şi sistematică are unele repere, în ce priveşte lămurirea terminologiei, în partea introductivă a Regulamentului (considerentul 24 face referire la monitorizarea comportamentului persoanelor fizice). Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca monitorizare a comportamentului persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta, de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile sale.
Rezultă fără dubiu că tehnicile care permit urmărirea conduitei utilizatorilor în mediul virtual sunt o formă de monitorizare a comportamentului persoanelor. Intră în această categorie, crearea de profiluri, publicitatea comportamentală, operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; email de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației prin aplicații mobile; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate, spre exemplu, contoare inteligente, mașini inteligente ş.a.[10] .
Credem că ipotezele arătate sunt relevante pentru spaţiul virtual, dar nu epuizează sfera comportamentului care poate fi supus monitorizării. Altfel, explicaţiile oferite de considerentul 24 al Regulamentului ar îngusta prea mult aria de aplicare a obligaţiei de desemnare a responsabilului cu protecţia datelor în raport cu primul caz în care funcţionează obligaţia legală. Monitorizarea conduitei persoanelor fizice are forme variate de manifestare, inclusiv în lumea „fizică”, astfel că obligativitatea numirii acestuia funcţionează în toate situaţiile care întrunesc parametrii menţionaţi la lit. a), art. 37 din Regulament.
Monitorizarea periodică şi sistematică face apel la modul în care se manifestă în timp activitatea de supraveghere a celor vizaţi („periodic” – la anumite intervale de timp; „sistematic” – organizat, metodic, efectuat ca parte a unui plan).
[1] Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO L119/1 din 4 mai 2016).
[2] Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L119/89 din 4 mai 2016).
[3] Intrarea în vigoare a Directivei 1995/46/CE a prilejuit constituirea Grupului 29, organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele membre ale Uniunii Europene, reprezentanţii autorităţilor create pentru instituţiile şi organismele comunitare, precum şi reprezentanţi ai Comisiei Europene. Activitatea Grupului 29 se circumscrie emiterii de opinii asupra nivelului de protecţie a datelor în statele membre şi în cele nemembre; emiterii de avize consultative asupra proiectelor de modificare a Directivei, asupra tuturor proiectelor de măsuri adiţionale sau specifice luate pentru apărarea drepturilor şi libertăţilor persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, precum şi asupra altor proiecte de măsuri la nivel european, cu incidenţă asupra acestor drepturi şi libertăţi; emiterii de avize asupra codurilor de conduită elaborate la nivel european; emiterii de recomandări, precum şi alte documente asupra tuturor problemelor referitoare la protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal în cadrul Uniunii Europene, în vederea aplicării unitare a actelor normative naţionale care transpun directivele în materie (http://www.dataprotection.ro/?page=workgroup&lang=ro).
[4] Ghidurile pot fi consultate pe pagina Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, www.dataprotection.ro. În variantă preliminară, pe aceeaşi pagină poate fi accesat Ghidul privind evaluarea impactului asupra protecţiei datelor.
[5] A se vedea O. Ungureanu, C. Munteanu, Dreptul la protecţia datelor cu caracter personal, un drept autonom?, în Revista Română de Drept Privat nr. 1/2014, p. 166-179.
[6] Drepturile persoanelor vizate constituie centrul de greutate al întregii legislaţii referitoare la protecţia datelor cu caracter personal. Avem în vedere atât legislaţia internă (de exemplu, Legea franceză din 6 februarie 1978, cunoscută sub denumirea „Legea informatică şi libertăţi”; Legea română nr. 677/2001 privind protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date), cât şi Directiva 1995/46/CE, care îşi va înceta aplicabilitatea începând cu 25 mai 2018. Pentru comentarii cu privire la drepturile persoanelor vizate în actele normative menţionate, a se vedea, C. Féral-Schuhl, Cyberdroit. Le droit à l’épreuve de l’internet, Dalloz, Paris, 2006, p. 34-36; A. Lepage, Libertés et droit fondamentaux à l’épreuve de l’internet, Litec, Paris, 2002, p. 26-31; S. Şandru, Protecţia datelor personale şi viaţa privată, Editura Hamangiu, Bucureşti, 2016, p. 208-218; D. Gărăiman, Dreptul şi informatica, Ed. All Beck, Bucureşti, 2003, p. 295-296.
[7] C. Timofte, Ofiţerul de conformitate – noul „gardian” al prelucrărilor de date cu caracter personal, material disponibil pe pagina http://dataprivacyblog.tuca.ro, accesată la data de 17 mai 2017.
[8] „Responsabilul prelucrării” este „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” (art. 4 pct. 7 din Regulament).
[9] „Persoana împuternicită de responsabilul prelucrării” este „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului” (art. 4 pct. 8 din Regulament).
[10] A se vedea, pentru exemplificări, Ghidul privind responsabilul pentru protecţia datelor (DPO), p. 8, disponibil la adresa http://www.dataprotection.ro/servlet/ViewDocument?id=1384 (valabilă la data de 3 iunie 2017).
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.