Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC




 1 comentariu

Protecția datelor cu caracter personal în Uniunea Europeană
20.05.2020 | Anca-Teodora HRIȚCU

JURIDICE - In Law We Trust
Anca-Teodora Hrițcu

Anca-Teodora Hrițcu

Abstract

Scopul acestei lucrari este analiza modificarilor aduse de Uniunea Europeana in domeniul protectiei datelor cu caracter personal. Va fi analizata fiecare modificare in parte, punand accentul pe cele mai importante dintre ele. Obiectivul acestei lucrari este de a dezvalui ce s-a schimbat si ce alte schimbari ar putea fi facute in viitor in domeniul protectiei datelor personale.

1. Introducere

Aceasta lucrare urmareste analiza modificarilor aduse protectiei datelor cu caracter personal la nivelul Uniunii Europene.

In data de 4 mai 2016, au fost publicate in Jurnalul Oficial al Uniunii Europene doua acte normative care compun pachetul legislativ privind protectia datelor cu caracter personal la nivelul Uniunii Europene, si anume: Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor – RGPD), care actualizeaza principiile stabilite de Directiva 95/46/CE care si-a incetat aplicabilitatea si Directiva (UE) 2016/680 referitoare la protectia datelor personale in cadrul activitatilor specifice desfasurate de autoritatile de aplicare a legii.

Am ales sa analizez aceasta tema, deoarece consider ca schimbarile intervenite in mai 2016 cu privire la protectia datelor cu caracter personal sunt semnificative, iar cetatenii din statele membre ale Uniunii Europene trebuie sa se adapteze schimbarilor, pentru a nu fi sanctionati cu amenzile prevazute de noua legislatie in vigoare.

Lucrarea va urmari analiza Regulamentului General privind Protectia Datelor Personale prin modificarile aduse cu privire la protectia datelor cu caracter personal si, punand accentul pe noile elemente aduse de acesta. Analiza se va limita la cele mai importante schimbari, cum ar fi: definirea datelor cu caracter personal, consimtamantul, principiile si conditiile legate de prelucrarea datelor cu caracter personal, sfera materiala si teritoriala si transferul de date cu caracter personal in afara UE, principalele elemente de noutate aduse de Regulament, Carta drepturilor fundamentale a UE si RGPD, exceptii de la prelucrare, drepturile persoanelor vizate, precum si rolul si responsabilitatile responsabilului cu protectia datelor (DPO).

Incepand cu 4 mai 2016, cand a fost publicat Regulamentul General privind Protectia Datelor Personale in Jurnalul Oficial al Uniunii Europene, au existat numeroase discutii pe aceasta tema si, cel mai important, cu privire la modificarile aduse legislatiei privind protectia datelor cu caracter personal. In literatura de specialitate, exista multe teze despre aceasta reglementare, majoritatea bazandu-se pe analiza schimbarilor esentiale, asemanator prezentei lucrari.

2. Cadrul general al datelor cu caracter personal. Definitia datelor personale

Regulamentul (UE) 2016/679 (RGPD) defineste expres notiunile de ”date cu caracter personal” si ”prelucrare”.

„Date cu caracter personal”[1] inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

„Prelucrare”[2] inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.

Un aspect important este faptul ca datele personale nu se mai limiteaza la elemente precum CNP, adresa, nume si prenume etc., ci aria este mult mai extinsa in noul regulament, cuprinzand si informatii legate de localizarea prin GPS, adrese IP, asigurari, adresa de email de la locul de munca.

NU sunt date personale (Legea nr. 677/2001[3] – abrogata) grilele de salarizare, organigrama, contractele, costurile administrative, numele si prenumele functionarilor publici in legatura cu activitatea pe care o desfasoara, programele, strategiile, costurile suportate pentru organizarea unor sarbatori publice etc.

RGPD nu se aplica in cazul in care datele se refera la o persoana decedata, daca datele se refera la o persoana juridica sau daca procesarea datelor este realizata de o persoana care actioneaza in scopuri aflate in afara activitatii sale comerciale sau profesionale.

3. RGPD – Principii si conditii pentru prelucrarea datelor personale

Datele cu caracter personal sunt[4]:
a) prelucrate in mod legal, echitabil si transparent fata de persoana vizata („legalitate, echitate si transparenta”);
b) colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri; prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice nu este considerata incompatibila cu scopurile initiale, in conformitate cu articolul 89 alineatul (1) („limitari legate de scop”);
c) adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate („reducerea la minimum a datelor”);
d) exacte si, in cazul in care este necesar, sa fie actualizate; trebuie sa se ia toate masurile necesare pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere („exactitate”);
e) pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi in masura in care acestea vor fi prelucrate exclusiv in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), sub rezerva punerii in aplicare a masurilor de ordin tehnic si organizatoric adecvate prevazute in prezentul regulament in vederea garantarii drepturilor si libertatilor persoanei vizate („limitari legate de stocare”);
f) prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate si confidentialitate”).

Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii[5]:
a) persoana vizata si-a dat consimtamantul[6] pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil[7].

4. RGPD – Sfera de aplicare. Transferul datelor personale in afara UE

Sfera de aplicare materiala include Regulamentul (UE) 2016/679 (aplicabil incepand cu data de 25 mai 2018), Legea nr. 190/2018 privind masuri de punere in aplicare a RGPD (nu se poate deroga de la prevederile Regulamentului decat acolo unde Regulamentul permite acest lucru), Legea nr. 102/2005 privind Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), Carta Drepturilor Fundamentale a Uniunii Europene (CDFUE), care consacra dreptul la protectia datelor cu caracter personal).

Regulamentul se aplica prelucrarii datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor[8].

Regulamentul nu se aplica prelucrarii datelor cu caracter personal[9] in cadrul unei activitati care nu intra sub incidenta dreptului Uniunii; de catre statele membre atunci cand desfasoara activitati care intra sub incidenta capitolului 2 al titlului V din Tratatul UE; de catre o persoana fizica in cadrul unei activitati exclusiv personale sau domestice; de catre autoritatile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor, sau al executarii sanctiunilor penale, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora.

Sfera de aplicare teritoriala se refera la legea nr. 677/2001 abrogata de Regulament, care prevedea anumite reglementari cu privire la protectia datelor cu caracter personal.

In momentul de fata avem doar RGPD, care se aplica acelor operatori sau persoane imputernicite care au sediul pe teritoriul unui stat membru, indiferent daca aceasta prelucrare de date are loc pe teritoriul UE sau nu; operatorilor/persoanelor imputernicite care nu sunt stabiliti in UE, dar care prelucreaza date ale unor persoane vizate care se afla in UE, iar prelucrarea este legata de oferirea de bunuri sau servicii unor astfel de persoane vizate sau de monitorizarea comportamentului acestor persoane vizate, daca monitorizarea are loc pe teritoriul UE; operatori care nu sunt stabiliti in UE, dar RGPD (dreptul intern) se aplica in temeiul dreptului international public.

In ceea ce priveste domeniul material, RGPD nu a adus modificari importante fata de cadrul juridic anterior. Acesta se refera in continuare la prelucrari de date cu caracter personal efectuate, total sau partial, prin mijloace manuale sau automatizate, precum si la prelucrari prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor.

Cu privire la domeniul teritorial, RGPD a adus modificari importante. Acesta se aplica pentru prelucrari de date efectuate de: operatori sau persoane imputernicite care au sediul pe teritoriul unui stat membru, operatori sau persoane imputernicite care nu sunt stabiliti in UE, dar care prelucreaza date ale unor persoane vizate care se afla in UE, iar prelucrarea este legata de oferirea de bunuri sau servicii sau de monitorizarea comportamentului acestor persoane vizate, daca monitorizarea are loc pe teritoriul UE.

In cauza Google Spain SL, Google Inc. (CJUE C-131/12) a fost extinsa aplicabilitatea dreptului la protectia datelor cu privire la aceste societati care desi nu isi au sediul pe teritoriul UE au infiintat pe teritoriul unui stat membru al UE o sucursala pentru desfasurarea de activitati comerciale in UE. Astfel, Curtea de Justitie a Uniunii Europene (CJUE) a decis ca operatorul unui motor de cautare pe internet raspunde pentru prelucrarea pe care o efectueaza in ceea ce priveste datele cu caracter personal care apar pe pagini web publicate de terti.

Transferul datelor personale in afara UE are la baza principiul general al transferurilor care se refera la verificarea nivelului adecvat de protectie in statul de destinatie si garantarea drepturilor persoanelor vizate.

Orice date cu caracter personal care fac obiectul prelucrarii sau care urmeaza a fi prelucrate dupa ce sunt transferate intr-o tara terta sau catre o organizatie internationala pot fi transferate doar daca, sub rezerva celorlalte dispozitii ale prezentului regulament, conditiile prevazute in prezentul capitol sunt respectate de operator si de persoana imputernicita de operator, inclusiv in ceea ce priveste transferurile ulterioare de date cu caracter personal din tara terta sau de la organizatia internationala catre o alta tara terta sau catre o alta organizatie internationala. Toate dispozitiile din prezentul capitol se aplica pentru a se asigura ca nivelul de protectie a persoanelor fizice garantat prin prezentul regulament nu este subminat[10].

Transferul datelor personale are un dublu obiectiv, si anume protejarea datelor personale si asigurarea liberei circulatii a acestor date.

Transferul datelor personale in strainatate (in state nemembre) se realizeaza prin decizii ale Comisiei Europene privind caracterul adecvat al nivelului de protectie asigurat de statul tert; clauze standard de protectie a datelor adoptate de Comisie (pe anumite sectoare de activitate); reguli corporatiste obligatorii in conformitate cu articolul 47 RGPD; alte modalitati prevazute de articolele 46 si 49 RGPD.

5. Principalele elemente de noutate aduse de Regulamentul General privind Protectia Datelor Personale (RGPD)

Prevederile RGPD se completeaza cu articolele 7 si 8 din Carta Drepturilor Fundamentale a UE (CDFUE). Carta Drepturilor Fundamentale a Uniunii Europene a devenit drept primar al UE cu forta juridica obligatorie, echivalenta cu cea a Tratatelor UE si reprezinta principala sursa normativa care garanteaza si protejeaza drepturile fundamentale la nivelul UE (incepand cu 1 decembrie 2009)[11].

Noul statut al Cartei este recunoscut pe deplin si de Curtea de Justitie a Uniunii Europene in cauzele Google Spain si Digital Rights Ireland.

Articolul 8[12] din Carta este primul act normativ care consacra un drept fundamental distinct privind protectia datelor cu caracter personal. Dreptul la protectia datelor face parte dintr-o categorie noua de drepturi funamentale, drepturi aparute ca urmare a unor evolutii stiintifice si sociale[13], recunoscute printr-un act normativ de drept primar al UE.

Dreptul la protectia datelor cu caracter personal are aceeasi valoare juridica cu tratatele Uniunii Europene, iar caracterul de drept fundamental atrage necesitatea ca toate actele normative ale UE sa respecte prevederile stabilite de Carta.

In timp ce articolul 8 din Carta constituie drept primar si are un continut identic cu cel al articolului 16 alin. (1) din Tratatul privind Functionarea Uniunii Europene[14], Regulamentul reprezinta drept secundar.

6. Relatia dintre Carta Drepturilor Fundamentale a Uniunii Europene, RGPD, Regulamentul (CE) 2001/45[15] si Directiva 2016/680[16]

Articolul 8 din Carta Drepturilor Fundamentale a Uniunii Europene stabileste un drept fundamental de care trebuie sa tina seama toate actele adoptate de autoritatile statelor membre si ale UE, iar in caz contrar, actele pot fi anulate. RGPD se aplica prelucrarii datelor cu caracter personal ale unei persoane fizice de catre un operator (cadru general). Regulamentul (CE) 2001/45 se aplica prelucrarii de date cu caracter personal de catre institutiile, agentiile si oficiile UE (cadru special). Directiva 2016/680 asigura protectia persoanelor fizice in ce priveste prelucrarea datelor cu caracter personal in anumite cazuri.

O cauza importanta in domeniul protectiei datelor personale, prin care a fost recunoscut statutul Cartei de drept primar al UE este cauza Digital Rights Ireland (C-293/12). In aceasta cauza, Curtea a stabilit ca actele adoptate de institutiile UE trebuie sa respecte prevederile Cartei, iar daca acestea nu sunt respectate, Curtea de Justitie a Uniunii Europene (CJUE) poate dispune anularea actelor. In speta este vorba despre o trimitere preliminara la CJUE, in cadrul careia Curtea a analizat in ce masura prevederile directivei si masurile instituite de institutiile UE respecta principiul proportionalitatii. Curtea a constatat o ingerinta nepermisa in ce priveste protectia datelor cu caracter personal si a anulat Directiva 2006/24[17] pe motiv ca institutiile UE au depasit limitele impuse de principiul proportionalitatii. Directiva nu prevedea norme clare si precise care sa stabileasca intinderea ingerintei in drepturile fundamentale consacrate la articolele 7 si 8 din Carta. Directiva avea drept scop prevenirea unor acte de terorism si a unor infractiuni (scop legitim, dar pentru atingerea acelui scop era necesara si respectarea principiului proportionalitatii).

7. RGPD – Exceptii de la prelucrare. Legea nr. 190/2018 privind punerea in aplicare a RGPD

Constituie exceptii de la prelucrare (art. 9 – 10 RGPD) datele cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filosofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice[18]. Prelucrarea datelor sensibile este permisa in cazurile si limitele prevazute de articolul 9 alin. (2) RGPD.

Datele cu caracter personal mentionate la alineatul (1) pot fi prelucrate in scopurile mentionate la alineatul (2) litera (h) in cazul in care datele respective sunt prelucrate de catre un profesionist supus obligatiei de pastrare a secretului profesional sau sub responsabilitatea acestuia, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul normelor stabilite de organisme nationale competente sau de o alta persoana supusa, de asemenea, unei obligatii de confidentialitate in temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme nationale competente. Statele membre pot mentine sau introduce conditii suplimentare, inclusiv restrictii, in ceea ce priveste prelucrarea de date genetice, date biometrice sau date privind sanatatea[19]. Prelucrarea de date cu caracter personal referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe este posibila numai in anumite conditii[20]

8. RGPD – Drepturile persoanelor vizate. Dreptul de a fi uitat

Alineatul 2 al articolului 8 din Carta recunoaste si dreptul de acces la datele personale procesate si dreptul de a fi uitat[21].

Persoanele fizice pot cere stergerea datelor personale daca acestea au fost prelucrate ilegal, fara consimtamantul acestora sau daca datele nu mai sunt necesare scopului in care au fost prelucrate initial. In cazul dreptului de a fi uitat, a fost avuta in vedere in special prelucrarea datelor in mediul on-line. Dreptul de a fi uitat nu este unul absolut – vor fi analizate intotdeauna circumstantele specifice fiecarui caz in parte. Regulamentul permite pastrarea in continuare a datelor cu caracter personal in cazul in care aceasta este necesara pentru respectarea libertatii de exprimare si a dreptului la informare, pentru respectarea unei obligatii legale, pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, din motive de interes public in domeniul sanatatii publice, in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice sau pentru constatarea, exercitarea sau apararea unui drept in instanta.

Un alt drept nou este dreptul la portabilitatea datelor, care ofera posibilitatea persoanei fizice de a cere sa se transmita datele la un alt operator sau de a primi datele personale care o privesc si pe care le-a furnizat operatorului. Inca un drept nou este dreptul la restrictionarea prelucrarii datelor care presupune dreptul de a obtine, in anumite cazuri, din partea operatorului suspendarea prelucrarii.

Securitatea prelucrarilor. Privacy by design & Privacy by default[22] se refera la masurile de securitate, respectiv: pseudonimizarea si criptarea, capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica, testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

9. RGPD – Rolul si atributiile responsabilului cu protectia datelor personale (DPO)

Un element de noutate pe care acest act normativ european il aduce in peisajul juridic romanesc il reprezinta instituirea obligativitatii desemnarii la nivelul operatorului sau persoanei imputernicite de operator, in anumite cazuri, a unui responsabil cu protectia datelor (DPO).

Este obligatorie desemnarea unui responsabil cu protectia datelor atunci cand prelucrarea este efectuata de o autoritate publica sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale; daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrarea care necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga; daca activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnari penale si infractiuni.

Pentru a se stabili daca o prelucrare este pe scara larga trebuie tinut cont de 4 criterii, respectiv: numarul persoanelor vizate (un numar exact ori un procent din populatia relevanta), volumul datelor si/sau gama de elemente diferite de date in curs de prelucrare, durata sau permanenta activitatii de prelucrare a datelor, suprafata geografica a activitatii de prelucrare.

Nu este necesara desemnarea unui responsabil cu protectia datelor atunci cand nu se prelucreaza pe scara larga date cu caracter personal. Spre exemplu, prelucrarea datelor pacientului de catre un cabinet medical individual, prelucrarea datelor personale referitoare la condamnarile penale si infractiuni de catre un cabinet individual de avocatura.

Responsabilul cu protectia datelor este desemnat pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 39[23]. Responsabilul cu protectia datelor poate fi angajat al operatorului/persoanei imputernicite de operator sau poate sa-si indeplineasca sarcinile pe baza unui contract de prestari servicii[24].

In domeniul public, poate fi desemnat pentru mai multe autoritati sau institutii publice, luand in considerare structura organizatorica si dimensiunea acestora[25].

Operatorul sau persoana imputernicita de operator, in ceea ce priveste raporturile cu responsabilul cu protectia datelor, este obligat sa publice datele de contact ale responsabilului (adresa postala, numar de telefon alocat special si/sau o adresa de email alocata special) si sa comunice datele de contact ale responsabilului catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

Responsabilului cu protectia datelor ii este permis sa aiba si alte functii. Acestuia ii pot fi incredintate si alte sarcini si atributii, cu conditia ca acestea sa nu dea nastere unor conflicte de interese (de exemplu: nu poate fi director executiv, director operational, director financiar, seful serviciului medical, seful departamentului de marketing, seful departamentului de resurse umane sau seful departamentului IT).

Responsabilul pentru protectia datelor nu poate fi demis sau sanctionat de operator sau persoana imputernicita de operator pentru indeplinirea sarcinilor sale. De exemplu, responsabilul nu poate fi demis pentru oferirea unui sfat conform sacinilor sale. Un responsabil cu protectia datelor ar putea fi totusi demis, in mod legal, din alte motive decat cele privind indeplinirea sarcinilor sale in aceasta calitate. De exemplu, responsabilul poate fi demis in caz de furt, hartuire ori o abatere grava similara.

Sarcinile responsabilului cu protectia datelor sunt de a informa si consilia operatorul, sau persoana imputernicita de operator, precum si angajatii care se ocupa de prelucrarile de date; de a monitoriza respectarea Regulamentului, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor; de a consilia operatorul in ceea ce priveste realizarea unei analize de impact asupra protectiei datelor si de a monitoriza executarea acesteia; de a coopera cu Autoritatea de Supraveghere si de a reprezenta punctul de contact cu aceasta; de a tine seama in mod corespunzator de riscul asociat operatiunilor de prelucrare, la indeplinirea sarcinilor sale.

10. Concluzii

Avand in vedere toate cele expuse anterior, putem concluziona prin aceea ca Regulamentul este o schimbare legislativa majora la nivelul Uniunii Europene, care a adus multe inovatii in ceea ce priveste datele cu caracter personal si protectia acestora, cele mai importante fiind cele privind domeniul de aplicare teritorial, garantarea unor drepturi noi pentru persoanele vizate, respectiv dreptul de a fi uitat si dreptul la portabilitatea datelor, introducerea obligatiei de numire a unui responsabil pentru protectia datelor, precum si crearea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDP) si stabilirea unor amenzi destul de mari pentru firmele care prelucreaza un numar mare de date cu caracter personal (magazine online, retaileri, asiguratori, banci), dar si pentru companiile care prelucreaza categorii speciale de date, cum ar fi datele privitoare la sanatate (clinici, spitale) si cele care transmit date catre tari din afara UE (companii de turism, companii aeriene, etc.) care nu se conformeaza prevederilor Regulamentului.


[1] Art. 4 pct. 1 Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor).
[2] Art. 4 pct. 2 RGPD.
[3] Legea nr. 677 din 21 noiembrie 2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
[4] Art. 5 alin. (1) RGPD.
[5] Art. 6 RGPD.
[6] Art. 7 RGPD: Conditii privind consimtamantul
(1) In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.
(2) In cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Nicio parte a respectivei declaratii care constituie o incalcare a prezentului regulament nu este obligatorie.
(3) Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia.
(4) Atunci cand se evalueaza daca consimtamantul este dat in mod liber, se tine seama cat mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este conditionata sau nu de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.
[7] Litera (f) nu se aplica in cazul prelucrarii efectuate de autoritati publice in indeplinirea atributiilor lor.
[8] Art. 2 alin. (1) RGPD.
[9] Art. 2 alin. (2) RGPD.
[10] Art. 44 RGPD.
[11] Art. 6 alin. (1) Tratatul privind Uniunea Europeana.
[12] Art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene: (1) Orice persoana are dreptul la protectia datelor cu caracter personal care o privesc. (2) Asemenea date trebuie tratate in mod corect, in scopurile precizate si pe baza consimtamantului persoanei interesate sau in temeiul unui alt motiv legitim prevazut de lege. Orice persoana are dreptul de acces la datele colectate care o privesc, precum si dreptul de a obtine rectificarea acestora. (3) Respectarea acestor norme se supune controlului unei autoritati independente.
[13] Art. 3, art. 9, art. 37, art. 41 Carta.
[14] Art. 16 din Tratatul privind functionarea Uniunii Europene: (1) Orice persoana are dreptul la protectia datelor cu caracter personal care o privesc.
[15] Regulamentul (CE) nr. 45/2001 al Parlamentului European si al ConsiliuluI din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre institutiile si organele comunitare si privind libera circulatie a acestor date.
[16] Directiva (UE) 2016/680 a Parlamentului European si a Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date si de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
[17] Directiva 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 privind pastrarea datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retele de comunicatii publice si de modificare a Directivei 2002/58/CE.
[18] Art. 9 alin. (1) RGPD.
[19] Art. 9 alin. (4) RGPD.
[20] Art. 10 RGPD.
[21] Art. 8 alin. (2) CDFUE: Asemenea date trebuie tratate in mod corect, in scopurile precizate si pe baza consimtamantului persoanei interesate sau in temeiul unui alt motiv legitim prevazut de lege. Orice persoana are dreptul de acces la datele colectate care o privesc, precum si dreptul de a obtine rectificarea acestora.
[22] Art. 25 RGPD.
(1) Avand in vedere stadiul actual al tehnologiei, costurile implementarii, si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice pe care le prezinta prelucrarea, operatorul, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, pune in aplicare masuri tehnice si organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele prezentului regulament si a proteja drepturile persoanelor vizate.
(2) Operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Respectiva obligatie se aplica volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare si accesibilitatii lor. In special, astfel de masuri asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara interventia persoanei, de un numar nelimitat de persoane.
(3) Un mecanism de certificare aprobat in conformitate cu articolul 42 poate fi utilizat drept element care sa demonstreze indeplinirea cerintelor prevazute la alineatele (1) si (2) ale prezentului articol.
[23] Art. 37 alin. (5) RGPD.
[24] Art. 37 alin. (6) RGPD.
[25] Art. 37 alin. (3) RGPD.


Anca-Teodora Hritcu


Aflaţi mai mult despre , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]




Până acum a fost scris un singur comentariu cu privire la articolul “Protecția datelor cu caracter personal în Uniunea Europeană”

  1. Mi-ar fi plăcut să văd integrat și dreptul în practică, adică niște note de subsol care să confirme cele afirmate în acest articol prin raportare la practica judiciară existentă în materie.

    Ce sunt, până la urmă, normele de drept fără dovada aplicării lor? Simple fantome.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.