Studii, opinii, interviuri ⁞⁞ RNSJ ⁞⁞ ESSENTIALS
 
 
Opinii
Transmisiunile live, înregistrarile video şi transcripturile conferinţelor şi dezbaterilor JURIDICE.ro sunt accesibile pentru membri şi parteneri. Cheltuială deductibilă fiscal. Reducere 39,6 euro pentru avocaţii din barourile Bucureşti, Ilfov, Dolj şi Timiş. 20 de puncte de pregătire profesională. UNBR încurajează extinderea naţională, detalii aici. Reducere 19,8 euro pentru executorii Camerei Executorilor Bucureşti şi membrii UNELM.
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Protecția datelor cu caracter personal în cadrul Uniunii Europene/Personal data protection within European Union

15.06.2018 | Sabin Alexandru TACLIT
Sabin Alexandru Taclit

Sabin Alexandru Taclit

Abstract (en): Due to the many means of communication used today, most of them involving various authentications and presentations of the personal data, the need to protect personal data is the subject of intense debate among specialists globally. This situation is due to the accelerated development of communication, storage capacity and data processing capabilities, interconnectivity, which characterize the technological products, but especially because of the way they are all used. Romania adopted the first law on the processing of personal data in 2001, namely Law 677/2001, as a result of the obligations assumed for accession to the European Union in connection with the transposition of the european acquis into the national law. Reiterating the need for a clearer legal framework, the processing of personal data was also regulated in the New Civil Code at art. 77 in the Personality Rights section. On 2 February 2016, the EU Working Group adopted an action plan for 2016 to set priorities for the reform of the legal framework on personal data protection at Union level and, at the same time, to facilitate the transition to the adoption of the Data Protection Package. The latter includes two legislative proposals: a general data protection regulation and a directive on the protection of personal data processed for law enforcement purposes. As a matter of principle, all normative acts start from the premise of informational transparency, in the sense that in order to be able to process its personal data, a person must know that the information about himself is collected and kept in different databases. On the other hand, the doctrine has also expressed the view that „the right of access is consistently a significant administrative and financial burden on data controllers”.

I. Introducere:

Cadrul de reglementare a Uniunii Europene privind problematica protecției persoanelor fizice cu ocazia prelucrării datelor personale este unul mai amplu, excedând domeniile de aplicare a noilor propuneri legislative care fac obiectul acestui studiu. Astfel, sediul materiei se regăsește atât în dispozițiile de drept primar (Carta drepturilor fundamentale, Tratatul privind Uniunea Europeana, Tratatul privind funcționarea Uniunii Europene și Convenția europeană privind protecția drepturilor soi libertăților fundamentale), cât şi într-o serie de reglementări de drept secundar, mai cu seamă directive soi decizii ale instituţiilor Uniunii, care se completează cu o succesiune de hotărâri ale Curţii de Justiţie a Uniunii Europene, extrem de semnificative pentru înţelegerea domeniului în cauză, dar şi cu normele de tip soft law, respectiv codurile de conduită în materie, existente atât la nivelul statelor membre, cât şi la nivelul Uniunii.

O abordare cronologică a acestor acte ne trimite în primul rând la Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Obiectivul declarat al acestei directive este acela de a crea pentru statele membre obligaţia de a asigura protejarea drepturilor şi libertăţilor fundamentale ale persoanei şi în special a dreptului la viaţă privată, în ceea ce priveşte prelucrarea datelor cu caracter personal. Aceleași act normativ stabileşte însă şi principiul conform căruia statele membre nu pot limita sau interzice libera circulaţie a datelor cu caracter personal între statele membre din motive legate de protecţia vieţii private.

În sensul acestei directive, datele personale cuprind toate informaţiile referitoare la o persoană fizică identificată sau identificabilă direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale. Totodată, sintagma de prelucrare a datelor cuprinde toate operațiunile care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, exemplificativ dar nu limitativ colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea. Actul normativ al Uniunii Europene stabileşte în continuare condiţiile generale de legalitate a prelucrării datelor cu caracter personal, enumerând principiile referitoare la calitatea datelor, criteriile de legitimitate a prelucrării acestora, condiţiile de prelucrare a unor categorii speciale de date, categoriile de informaţii care se comunică persoanei vizate, drepturile acesteia din urmă (accesul la date şi dreptul la opoziţie), excepţiile şi restricţiile care pot fi impuse de statele membre.

Tot în vederea asigurării condiţiilor de legalitate, directiva instituie principiile confidenţialităţii şi al securităţii prelucrărilor de date cu caracter personal, precum şi obligaţia operatorilor de date de a notifica autoritatea de supraveghere. Directiva reglementează totodată principiile aplicabile transferului datelor cu caracter personal către ţări terţe, precum şi condiţiile de derogare de la acestea. Supravegherea modului de aplicare a dreptul intern în materie cade în sarcina unei autorităţi independente, special instituite la nivelul fiecărui stat membru şi înzestrate cu competenţe de investigare, de intervenţie şi de acţionare în justiţie.

De asemenea, directiva a pus bazele instituirii la nivelul Consiliului Uniunii a grupului de lucru DAPIX[1] cu rol în asigurarea schimbului de informaţii între statele membre.În dreptul intern românesc, Directiva 95/46/CE a fost transpusă prin Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracte personal şi libera circulaţie a acestor date, cu modificările ulterioare şi prin Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările ulterioare. Pentru ca actul normativ al Uniunii la care ne-am referit anterior să poată fi pus pe deplin în aplicare de către statele membre, mai cu seamă sub aspectul asigurării dreptului la confidenţialitate, legiuitorul european a adoptat, în completarea sa, Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice. Aceasta din urmă a abrogat Directiva 97/66/CE cu acelaşi titlu, fără a aduce schimbări majore de conţinut, preferând să adapteze şi să aducă la zi dispoziţiile existente în funcţie de noile evoluţii tehnologice din cadrul serviciilor de comunicaţii electronice. În vederea realizării obiectivelor propuse, Directiva 2002/58/CE vizează, printre altele: armonizarea cerinţelor în materia protecţiei datelor în vederea asigurării liberei circulaţii a datelor şi a echipamentelor şi serviciilor de comunicaţii electronice; alinierea definiţiilor existente la cele noi introduse prin această directivă (noţiuni precum „apel”, „comunicaţie”, „date de transfer”, „date de localizare”); limitarea sferei de aplicare a serviciilor de comunicaţii electronice accesibile publicului şi crearea posibilităţii de derogare pentru centralele analogice; instituirea răspunderii furnizorilor pentru asigurarea securităţii serviciilor şi reţelelor şi a obligaţiei acestora de a informa abonaţii în cazul în care ar exista riscuri în materie de securitate; garantarea confidenţialităţii comunicaţiilor şi interzicerea ascultării sau a altor forme de supraveghere exercitate de terţi; interzicerea utilizării de date cu privire la trafic, cu excepţia celor utilizate în scopul facturării; instituirea dreptului la facturi detaliate; crearea de garanţii pentru abonaţi şi utilizatori în scopul ocrotirii vieţii private în cadrul utilizării serviciilor de identificare a liniilor apelante şi conectate; crearea dreptului de acces la informaţiile de identificare a liniilor apelante pentru a facilita intervenţia serviciilor de urgenţă şi pentru a detecta apelurile răuvoitoare; instituirea de garanţii pentru ca argumentele în favoarea protecţiei datelor personale să nu blocheze piaţa unică şi libera circulaţie a echipamentelor proprii terminalelor. Trebuie menționat faptul că odată cu intrarea în vigoare a Tratatului de la Lisabona în luna decembrie a anului 2009, Carta Drepturilor Fundamentale a Uniunii Europene a devenit obligatorie din punct de vedere juridic şi astfel, dreptul la protecţia datelor cu caracter personal a fost ridicat la statutul de drept fundamental individual. O mai bună înţelegere a Convenţiei 108 a Consiliului Europei şi a instrumentelor UE, care au pregătit drumul pentru protecţia datelor în Europa, precum şi a jurisprudenţei CJUE şi a CEDO este esenţială pentru protecţia acestui drept fundamental.

II. Coordonatele juridice ale Uniunii Europene privind protecția datelor cu caracter personal

Dreptul Uniunii Europene este format din tratate şi legislaţie europeană secundară. Tratatele. şi anume Tratatul privind Uniunea Europeană (TUE) şi Tratatul privind funcţionarea Uniunii Europene (TFUE), au fost aprobate de toate statele membre ale Uniunii Europene fiind  denumite „legislaţia europeană primară”. Regulamentele, directivele şi deciziile Uniunii Europene au fost adoptate de instituţiile europene care au primit această autoritate în baza tratatelor; deseori, acestea sunt denumite „legislaţia europeană secundară”.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal  a acestor date şi de abrogare a Directivei 95/46/CE, reprezintă ultimul act normativ ce reglementează protecția datelor personale, la nivelul Uniunii Europene. Anterior acestui Regulament, la nivelul Uniunii Europene, protecția datelor personale a fost realizată de catre  Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 Octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal si libera circulatie a acestor date (Directiva privind protecția datelor)[2]. Această directivă a fost adoptată în anul 1995, într-un moment în care mai multe state membre aveau adoptate deja legislaţii naţionale privind protecţia datelor. Libera circulație a mărfurilor, capitalurilor, serviciilor şi persoanelor în cadrul pieţei interne necesită un transfer liber de date, care nu se putea realiza dacă statele membre nu se bazau pe un nivel uniform ridicat de protecţie a datelor.  Întrucât scopul adoptării Directivei privind protecţia datelor a fost acela de a se armoniza legislaţia[3] privind protecţia datelor la nivel naţional, directiva impune un grad de specificitate comparabil cu cel al legislaţiilor naţionale privind protecţia datelor existente.

Pentru CJUE, „Directiva 95/46 urmăreşte să asigure că nivelul de protecţie a drepturilor şi libertăţilor persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal este echivalent în toate statele membre. […] Apropierea legislaţiilor naţionale în acest domeniu nu trebuie să ducă la scăderea protecţiei pe care o oferă, ci trebuie, dimpotrivă, să încerce şă asigure un nivel înalt de protecţie în cadrul UE. Aşadar, […] armonizarea acestor reglementări naţionale nu se limitează la o minimă concordanţă, ci înseamnă o armonizare completă.”[4] Față de aceste considerente, se poate deduce fără putință de tăgadă faptul că  statele membre au limitat doar libertatea de acțiune în momentul implementării directivei.

Directiva privind protecţia datelor este concepută astfel încât să concretizeze şi să  extindă principiile dreptului la viaţă privată incluse deja în Convenţia 108. Faptul că toate cele 15 state membre ale Uniunii Europene din 1995 erau şi părţi contractante ale Convenţiei 108 exclude adoptarea unor norme contradictorii în cadrul acestor două instrumente juridice. Cu toate acestea, Directiva privind protecţia datelor se sprijină pe posibilitatea, prevăzută la articolul 11 din Convenţia 108, de adăugare a unor instrumente de protecţie. În special, introducerea supravegherii independente ca instrument de îmbunătăţire a conformităţii cu normele privind protecţia datelor sa dovedit a o contribuţie importantă la funcţionarea eficientă a legislaţiei europene privind protecţia datelor cu caracter personal, această caracteristică fiind astfel preluată în cadrul legislaţiei CoE în 2001 prin Protocolul adiţional la Convenţia 108. Aplicarea teritorială a Directivei privind protecția datelor se extinde dincolo de cele 28 de state membre ale Uniunii Europene, fiind incluse si statele non-membre care fac parte din Spaţiul Economic European (SEE)[5] respectiv Islanda, Liechtenstein şi Norvegia. Curtea de Justiție a Uniunii Europene are competența de a stabili dacă un stat membru şi-a îndeplinit obligațiile asumate în conformitate cu Directiva privind protecția datelor şi de a adopta totodată decizii preliminare cu privire la valabilitatea și interpretarea directivei, asigurând astfel  aplicarea eficientă și uniformă a acesteia în statele membre.

Cu titlu de excepție  de la aplicabilitatea Directivei privind protecţia datelor cu caracter personal, se impun excepţiile referitoare la activităţile domestice şi anume prelucrarea datelor cu caracter personal de către o persoană zică în cursul unei activităţi exclusiv personale sau domestice[6]. Acest tip de prelucrare a datelor este considerat, în general, ca făcând parte din libertățile deținute de persoanelor fizice. Conform legislaţiei primare a Uniunii Europene în vigoare la data adoptării Directivei privind protecţia datelor cu caracter personal, domeniul de aplicare material al directivei se limitează la aspectele pieţei interne.

În afara domeniului de aplicare general, se regăsesc si aspectele legate de cooperarea poliţienească şi judiciară în materie penală. Având în vedere că Directiva privind protecţia datelor se adresa numai statelor membre ale Uniunii Europene, era necesar un instrument juridic suplimentar pentru a stabili proctecţia datelor pentru prelucrarea datelor cu caracter personal de către instituţiile şi organismele Uniunii. Regulamentul (CE) nr. 45/2001 privind protecţia persoanelor zice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (Regulamentul privind protecţia datelor de către instituţiile europene) îndeplineşte această atribuţie[7]. Chiar şi în domeniile vizate de Directiva privind protecția datelor, se impun adesea dispoziţii mai detaliate in ceea ce privește protecția datelor în scopul obținerii unui cadru juridic mai clar necesar pentru echilibrarea altor interese legitime. In susținerea acestor alegații, se pot aduce Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice)[8] şi Directiva 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE (Directiva privind păstrarea datelor)[9] (abrogată la data de 8 aprilie 2014). Tratatele iniţiale ale Comunităților Europene nu conţineau referiri la drepturile omului sau la protecţia acestora. Întrucât înaintea Curţii Europene de Justiţie (CEJ) ajungeau la acea vreme cauze în care erau invocate încălcări ale drepturilor omului în domenii din sfera de aplicare a legislaţiei europene, aceasta a elaborat o nouă abordare. Pentru a oferi protecţie persoanelor zice, a inclus drepturile fundamentale în aşanumitele principii generale de drept european.

Conform CJUE, aceste principii generale re ectă conţinutul protecţiei drepturilor omului în constituţiile naţionale şi tratatele privind drepturile omului, în special în Convenţia europeană a drepturilor omului. CJUE a declarat că va asigura conformitatea dreptului european cu aceste principii. Recunoscând faptul că politicile sale pot avea impact asupra drepturilor omului şi într-un efort de a face cetăţenii să se simtă „mai aproape” de UE, în anul 2000 UE a proclamat Carta Drepturilor Fundamentale a Uniunii Europene (Carta)[10]. Această Cartă încorporează întreaga gamă de drepturi civile, politice, economice şi sociale ale cetăţenilor europeni, sintetizând tradiţiile constituţionale şi obligaţiile internaţionale comune statelor membre. Drepturile descrise în Cartă se împart în şase secţiuni: demnitate, libertate, egalitate, solidaritate, drepturile cetăţenilor şi justiţie. Deşi iniţial a fost doar un document politic, Carta a dobândit caracter juridic obligatoriu[11] ca legislaţie primară a Uniunii Europene [articolul 6 alineatul (1) din TUE)] odată cu intrarea în vigoare a Tratatului de la Lisabona la 1 decembrie 2009[12].

Legislaţia primară a Uniunii Europene include și competența generală a Uniunii de a legifera în materie de protecție a datelor cu caracter personal (articolul 16 din TFUE). Carta nu numai că asigură respectarea vieţii private şi familială (articolul 7), dar stabileşte şi dreptul la protecţia datelor (articolul 8), ridicând în mod explicit nivelul acestei protecţii la acela de drept fundamental în temeiul legislaţiei europene. Instituţiile UE şi statele membre trebuie să respecte şi să garanteze acest drept, care este, de asemenea, valabil în cazul statelor membre atunci când pun în aplicare legislaţia Uniunii (articolul 51 din Cartă).

Formulat la câţiva ani după Directiva privind protecţia datelor, articolul 8 din Cartă trebuie înţeles ca încorporând legislaţia europeană preexistentă privind protecţia datelor. Prin urmare, Carta nu numai că menţionează explicit dreptul la protecţia datelor la articolul 8 alineatul (1), dar face referire şi la principiile cheie privind protecţia datelor la articolul 8 alineatul (2). În cele din urmă, articolul 8 alineatul (3) din Cartă garantează că o autoritate independentă va controla respectarea acestor principii. În luna ianuarie a anului 2012, Comisia Europeană a propus un pachet de reformă privind proctecţia datelor, declarând că normele actuale privind protecţia datelor trebuie modernizate prin prisma evoluţiilor tehnologice rapide şi a globalizării. Pachetul de reformă constă într-o propunere de Regulament general privind protecţia datelor[13] destinat să înlocuiască Directiva privind protecţia datelor, precum şi într-o nouă Directivă privind protecţia datelor[14], care să prevadă protecţia datelor în domeniile cooperării poliţieneşti şi judiciare în materie penală.

Dreptul fundamental la protecţia datelor cu caracter personal în temeiul articolului 8 din Cartă „nu este totuşi o prerogativă absolută, ci trebuie să e luat în considerare în raport cu funcţia sa în societate”[15]. Articolul 52 alineatul (1) din Cartă admite, astfel, că pot impuse restrângeri ale exerciţiului unor drepturi, precum cele consacrate la articolele 7 şi 8 din aceasta, în măsura în care aceste restrângeri sunt prevăzute de lege, respectă substanţa acestor drepturi şi libertăţi şi, prin respectarea principiului proporţionalităţii, sunt necesare şi răspund efectiv obiectivelor de interes general recunoscute de Uniunea Europeană sau necesităţii protejării drepturilor şi libertăţilor altora. În cadrul  Convenţiei europene a drepturilor omului, protecţia datelor este asigurată prin articolul 8 (dreptul la respectarea vieţii private şi familiale) şi, la fel ca în cadrul sistemului Cartei, acest drept trebuie să e aplicat cu respectarea domeniului de aplicare al altor drepturi concurente.

În conformitate cu articolul 8 alineatul (2) din Convenţia europeană a drepturilor omului, „nu este admis amestecul unei autorităţi publice în exercitarea acestui drept decât în măsura în care acesta este prevăzut de lege şi constituie, într-o societate democratică, o măsură necesară […] pentru protecţia drepturilor şi a libertăților altora”. Față de importanța deosebită jucată totuși de Convenție, unii autori consideră că legislația privind dreptul la protecția datelor cu caracter personal in Europa își are ca temei cele două drepturi reglementate de articolele 8 si 10 din acest act normativ.[16] În consecință̆, atât CEDO cât şi CJUE au declarat în mai multe rânduri că este necesar un exercițiu de echilibrare cu alte drepturi în momentul aplicării şi interpretării articolului 8 din Convenția europeană a drepturilor omului şi articolului 8 din Cartă[17].

III. Impactul juridic al noilor reglementări privind protecția datelor cu caracter personal în ceea ce privește mediul de afaceri

Poate cel mai important act normativ care a intrat în vigoare în anul 2016, cu aplicabilitate din 25 mai 2018 este Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE[18] (denumit în continuare Regulamentul general privind protecția datelor). Conform dispozițiilor art. 1 alin. (1) din Regulament, rolul actului normativ este acela de a  stabili normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal, fiind aplicabil tuturor organizațiilor care prelucrează date cu caracter personal. Definiția dată de către Regulament operatorilor se regăsește la articolul 4 punctul 7, fiind expres determinat că operatorul reprezintă orice persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur ori împreună cu altele, stabilește scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Altfel spus, operatorul este în fapt beneficiarul pentru care se realizează prelucrarea datelor, indiferent dacă acesta realizează el însuși o prelucrare sau nu. Conform dispozițiilor art. 2 punctul 2 din Regulament, prelucrarea reprezintă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. Importanța pe care o are acest nou Regulament este dată si de sancțiunile extrem de drastice pe care acesta le conține.

Astfel, în concepția Regulamentului General privind protecția datelor, sancțiunile civile (răspunderea civilă) pot coexista cu cele administrative. Sancțiunile administrative sau amenzile pot fi aplicate de către autoritatea națională de protecție a datelor cu caracter personal, fiind extrem de mari comparativ cu sancțiunile care pot fi aplicate astăzi de către autoritățile naționale. Regulamentul conține criterii de individualizare a sancțiunilor, care vor fi aplicate de autoritatea națională, criterii care se vor regăsi si în legislația națională a statelor membre. Încălcările obligațiilor prevăzute de Regulament pot atrage amenzi administrative până la 20 milioane de Euro, dar nu mai mult de 4% din cifra de afaceri la nivel mondial. Această din urmă sancțiune este aplicabilă și în cazul încălcării unui ordin emis de autoritatea de supraveghere, astfel cum rezulta din dispozițiile articolului  83 alin. 6. Întrucât individualizarea sancțiunile, astfel cum acestea sunt prevăzute in  Regulament, este una destul de generală, putem considera că autoritățile naționale ale statelor membre vor avea o marjă de apreciere destul de mare. Cu alte cuvinte, statele au deplina capacitate să reglementeze individualizarea sanctiunilor atat din prisma Regulamentului cat si din prisma unor alte acte normative interne.

De asemenea, conform dispozițiilor art. 27 alin. 4, atât persoanele vizate cat si autoritățile naționale de supraveghere se pot adresa direct operatorului pentru chestiuni legate de prelucrarea datelor, întrucât prelucrarea externalizată a datelor se realizează exclusiv pe baza unor instrucțiuni documentate din partea operatorului.(conform art. 28 alin 3 lit. a) din Regulament).

O noutate absolută adusă în legislația privind protecția datelor cu caracter personal de către Regulamentul privind protecția datelor este obligația anumitor operatori să desemneze un responsabil cu protecția datelor ori de cate ori prelucrarea este efectuată de o autoritate sau un organism public, iar activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10. Responsabilul cu protecția datelor trebuie sa fie desemnat de către operator, pe baza calităților profesionale si în special a cunoștințelor de specialitate în dreptul si practicile din domeniul protecției datelor. De asemenea, acesta trebuie să aibă capacitatea de a îndeplini sarcini ce privesc informarea si consilierea operatorului a personalului operatorului sau a persoanelor împuternicite de operator cu privire la obligațiile ce le revin in temeiul Regulamentului si a altor dispoziții legislative ale Uniunii Europene sau derivate din dreptul național privind protecția datelor. Totodată responsabilul cu protecția datelor va monitoriza respectarea legislației si politicilor interne ale operatorului privitoare la protecția datelor, fiind punctul de contact si cooperare cu autoritatea națională de supraveghere privind aspectele legate de prelucrarea datelor. Actul normativ dă posibilitatea, conform art. 37 alin. 6, tuturor companiilor să numească un responsabil cu protecția datelor atât din rândul personalului propriu, cat si o persoana externalizată, cu mențiunea că această funcție nu va prelua de la operator responsabilitatea efectivă privind protecției datelor cu caracter personal, acesta rămânând direct răspunzător pentru acțiunile întreprinse.

Totodată, fiecare operator care are încadrati peste 250 de angajati are obligația de a păstra evidenta activităților de prelucrare desfășurate în cadrul activității comerciale proprii, autorităților naționale de supraveghere putand  să ceară oricând acces la aceast resgitru.

O altă noutate absolută în materia reglementării protecției datelor cu caracter personal o reprezintă operațiunea de pseudonimizare. Pseudonimizarea reprezintă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. Asigurarea securității păstrării si prelucrării datelor cu caracter personal este foarte importantă, în lumina prevederilor Regulamentului, care la alineatul 1 din preambul clasifica protecția datelor cu caracter personal ca un drept fundamental al persoanelor fizice. De asemenea si la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene se prevede dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc. Acesta este și principalul motiv pentru care noul regulament impune operatorilor intracomunitari să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate optim, conform prevederilor articolului 32.

IV. Concluzii

Așa cum am arătat, noile modificări legislative în ceea ce privește protecția datelor cu caracter personal au început deja să provoace controverse în întreaga lume de afaceri comunitară. Atât furnizorii de servicii naționali cât şi cei europenei sunt nevoiți să procedurizeze întreaga activitate sau să revizuiască fluxul de business aplicat în prezent. Totodată, nu putem să nu observăm si faptul că modificarea relevantă dată Regulamentul (UE) 2016/679 este aceea de a uniformiza practica destul de neunitară a statelor membre în ceea ce privește adresarea protecției datelor cu caracter personal. Acest aspect nu poate decât să fie binevenit, în contextulîn care libertatea de prestare a serviciilor si de comunicare în cadrul Uniunii Europene, reprezintă fundamentele unei Europe unite. Faptul că prelucrarea datelor personale în cadrul prestării serviciilor intracomunitare se realizează sub protecția aceleiași cadru legislativ, are rolul de a fluidiza şi de a facilita aplicarea principiilor europene în ceea ce privește protecția libertăților fundamentale.

Este de remarcat totodată şi faptul că, deşi vorbim de două reglementări cu aplicabilitate diferită, respectiv reglementările Consiliului Europei ce au aplicabilitate doar pentru statele care au aderat la Convenția Europeana pentru apărarea  Drepturilor Omului şi a Libertăților Fundamentale, în timp ce reglementările Uniunii Europene au caracter obligatoriu şi se aplică prioritar pentru statele membre, ambele tind să adreseze aceleaşi aspecte privind protecția datelor. Astfel, se poate observa cum reglementările Consiliului Europei reprezintă o veritabilă sursă de drept pentru ordinea juridică a Uniunii Europene, având rol de linie directoare. Această opinie vine şi în considerarea faptului că, jurisprudența CEDO joacă un rol esențial în interpretarea ingerințelor legale ce pot fi admise in legătură cu exercitarea dreptului la protecția datelor personale, ca element al vieții private garantat de dispozițiile articolului 8 din Convenție.


[1] Working Party on Information Exchange and Data Protection. În urma intrării în vigoare a Tratatului de la Lisabona acest grup a dobândit caracter permanent, cu posibilitatea de a se întruni în diferite formaţiuni şi subgrupuri;
[2] Directiva privind protecţia datelor, JO 1995 L 281, p. 31.;
[3] A se vedea, de exemplu, Directiva privind protecţia datelor, considerentele 1, 4, 7 şi 8;
[4] Hotărârea CJUE din 24 noiembrie 2011 în cauzele comune C-468/10 şi C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) şi Federación de Comercio Electrónico y Marketing Directo (FECEMD)/Administración del Estado, alineatele 28–29;
[5] Acordul privind Spaţiul Economic European, MO 1994 L 1, care a intrat în vigoare la 1 ianuarie 1994;
[6] Directiva privind protecţia datelor, articolul 3 alineatul (2) a doua liniuţă;
[7] Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor zice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date, JO 2001 L 8.;
[8] Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea con denţialităţii în sectorul comunicaţiilor publice (Directiva asupra con denţialităţii şi comunicaţiilor electronice), JO 2002 L 201;
[9] Directiva 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modi care a Directivei 2002/58/CE, (Directiva privind păstrarea datelor), JO 2006 L 105, declarată invalidă la 8 aprilie 2014;
[10] JO C 202 (2016) ;
[11] UE (2012), Carta Drepturilor Fundamentale a Uniunii Europene, MO 2012 C 326;
[12] JO 2012 C 326;
[13] Comisia Europeană (2012), Propunere de regulament al Parlamentului European şi al Consiliului privind protecţia persoanelor zice referitor la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (Regulament general privind protecţia datelor), COM(2012) 11 nal, Bruxelles, 25 ianuarie 2012;
[14] Comisia Europeană (2012), Propunere de directivă a Parlamentului European şi a Consiliului privind protecţia persoanelor zice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, identi cării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi la libera circulaţie a acestor date (Directiva generală privind protecţia datelor), COM(2012) 10 nal, Bruxelles, 25 ianuarie 2012;
[15] A se vedea, de exemplu, Hotărârea CJUE din 9 noiembrie 2010 în cauzele conexate C-92/09 şi C-93/09, Volker und Markus Schecke GbR şi Hartmut Eifert/Land Hessen, punctul 48;
[16] J.A. Cannataci, H.P. Mifsud-Bonnici, Data protection comes of age: the data protection clauses in the European Constitutional treaty, in Information & Communications Technology Law, vo. XIV, nr. 1/2005, pag. 6;
[17] Hotărârea CEDO din 7 februarie 2012 în cauza Von Hannover/Germania (nr. 2) [T], nr. 40660/08
şi 60641/08; Hotărârea CJUE din 24 noiembrie 2011 în cauzele conexate C-468/10 şi C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) şi Federación de Comercio Electrónico y Marketing Directo (FECEMD)/Administración del Estado, punctul 48; Hotărârea CJUE din
29 ianuarie 2008 în cauza Productores de Música de España (Promusicae)/Telefónica de España SAU, C-275/06, punctul 68. A se vedea, de asemenea, Consiliul Europei (2013), jurisprudenţa Curţii Europene a Drepturilor Omului în ceea ce priveşte protecţia datelor cu caracter personal, Jurisprudenţa DP (2013), disponibilă aici, accesata la data de 17.02.2018;
[18] JO L 119, 4.5.2016, p. 1-88.


Sabin Alexandru Taclit


Aflaţi mai mult despre , ,

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.


Oana Ispas


Radu Slăvoiu


Livia Dianu-Buja


Ștefania Stoica


Luminița Malanciuc


Ioana-Olivia Voicu


Eduard Toma-Apostol


Florina-Lăcrămioara Drăgan