Protecția datelor personale: un nou început?

feature photo

Prof. univ. dr. Daniel-Mihail Șandru
Coordonatorul Centrului de Studii de Drept European al Institutului de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române

Dr. Irina Alexe
Cercetător științific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române

„Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental”. Aceasta este prima propoziție a unui act normativ devenit celebru de câteva luni, deși a intrat în vigoare acum aproape 2 ani. După intrarea în vigoare a Regulamentului legiuitorul european a consacrat un termen de 2 ani pentru pregătirea punerii în aplicare.

Una dintre cele mai cunoscute și dezbătute reglementări ale Uniunii Europene a devenit un regulament[1] care se referă la protecția cetățenilor europeni din punctul de vedere al datelor personale ale acestora, dar și la asigurarea garanțiilor care conduc la o liberă circulație a acestor date. Protecția cetățenilor se realizează oriunde ar fi situat operatorul de date (societatea care prelucrează datele). Acesta ar fi un prim motiv de celebritate. Regulamentul (în România se mai numește și GDPR, de la acronimul englez), în realitate, se aplică oricui are legătură cu cetățenii europeni, inclusiv Facebook, Google.

Noul Regulament nu este o noutate absolută: a existat o directivă[2] care includea cele mai multe dintre instituțiile și mecanismele prezente în Regulament. Regulamentul a fost adoptat ca urmare a dispozițiilor Tratatului de la Lisabona, în primul rând art. 16 TFUE și Carta Drepturilor Fundamentale a Uniunii Europene (în special, art. 7 și 8), tocmai pentru a pune în acord principiile vechii reglementări cu evoluția tehnologică. De altfel, în România instanțele au aplicat principiile și normele directivei[3], iar, printr-o trimitere preliminară, au avut o contribuție la dezvoltarea dreptului Uniunii Europene în materia protecției datelor[4]. Unele dispoziții sunt influențate de jurisprudența Curții de Justiție, cum ar fi dreptul la ștergerea datelor (dreptul de a fi uitat). Cadrul juridic este completat de Directivele 2016/680[5] și 2016/681[6], publicate în același timp cu Regulamentul și al căror termen de transpunere este tot luna mai 2018. Câteva instrumente de soft-law deosebit de importante pentru interpretarea și aplicarea GDPR sunt avizele (sau documentele de lucru ori ghidurile) elaborate de Grupul de lucru pentru art. 29[7]. Acestea din urmă trebuie citite primele. Fără forță juridică extrinsecă, dar cu o forță moral-juridică, documentele Grupului de lucru sunt cele care detaliază aplicarea Regulamentului: primul document care ar trebui citit este „Ghidul privind Responsabilul cu protecția datelor (‘DPOs’)”[8]. Și tot printre primele necesar a fi citite și înțelese sunt considerentele Regulamentului: cele 32 de pagini de Jurnal Oficial ce conțin cele 117 considerente incluse în preambulul Regulamentului oferă indicii cu privire la interpretarea și aplicarea GDPR.

Principiile noului act normativ european sunt asemănătoare cu cele ale directivei[9]. O modificare esențială provine din obligația operatorilor și a împuterniciților de a proba respectarea acestor principii. Și nu sunt vorbe în vânt, ci ele cuprind însuși Regulamentul… de la consimțământ la drepturile persoanei vizate. Persoana vizată este în centrul preocupării de protecție, în timp ce responsabilul cu protecția datelor trebuie să fie preocupat de continua conformare a organizației publice sau private la cerințele de acțiune în raport cu datele personale.

Responsabilul cu protecția datelor: pentru entitățile care prelucrează datele este o primă problemă cine poate fi DPO. Dincolo de calitățile profesionale sau cunoștințele de specialitate (existente sau nu… de unde atâția specialiști în protecția datelor?) organizațiile trebuie să aibă încredere în aceste persoane. Mai ales în cazul în care vor decide ca DPO să nu fie desemnat din rândul angajaților proprii, ci să își îndeplinească sarcinile pe baza unui contract de servicii. Iar după încredere urmează proceduri, care necesită mult timp, apoi mai multe proceduri… birocrație în slujba cetățeanului, dar ordine în prelucrarea datelor și o mai bună protecție a acestora. Organizațiile care se plâng de această birocrație trebuie să se gândească că au monetizat sau cel puțin au beneficiat timp îndelungat  (de) datele personale fără ca să fie deranjate în mod real. Și să aleagă, în final, în ce investesc resursele: în proceduri pentru conformarea cu dispozițiile Regulamentului sau în plata eventualelor amenzi administrative ori a despăgubirilor pentru persoanele vizate.

Ce trebuie făcut până în 25 mai? Cum nu există posibilitatea amânării aplicării, a suspendării sau orice altceva care ar face inaplicabil Regulamentul, trebuie să se facă pregătiri pentru ora 0 a zilei de 25 mai 2018. Dar și după această dată. Până atunci trebuie realizată o evaluare.

Ce (mai) este nou: portabilitatea datelor, dreptul de a fi uitat, obligativitatea desemnării responsabilului cu protecția datelor, mai ales în cazul autorităților sau organismelor publice, proba consimțământului. Portabilitatea datelor este un element esențial al circulației datelor, așa cum reiese chiar din titlu. Vom vedea cum va funcționa, ca de altfel, întregul angrenaj.

72 de ore: Termenul de 72 de ore este prevăzut de considerentul (85) al preambulului pentru notificarea unei încălcări de către operator către autoritatea de supraveghere, precum și în art. 33 din Regulament, care introduce o nuanță – „dacă este posibil”. Acest termen, alături de conduita operatorului, este important, în arhitectura Regulamentului, mai ales în privința individualizării măsurilor corective, care pot fi inclusiv amenzi administrative. Conduita operatorului are o importanță deosebită nu numai în relația cu autoritatea de supraveghere, în timpul sau ulterior producerii unui incident, dar și anterior, prin prisma măsurilor dispuse în cadrul organizației, inclusiv prin prisma desemnării unui responsabil cu protecția datelor și a asigurării, pentru acesta, a resurselor necesare, dar mai ales a garanțiilor prevăzute de Regulament. Au de asemenea, o foarte mare importanță, măsurile adecvate fiecărei situații în parte, dispuse de operator sau de persoana împuternicită, pentru limitarea efectelor pe care o încălcare le poate produce, informarea persoanei vizate, precum și a autorității de supraveghere.

Subiectele GDPR

  • operatorul (are multiple obligații, poate primi sancțiuni, dar prelucrează date cu caracter personal);
  • persoana împuternicită de operator (răspunde și operatorul, dar, desigur, răspunde și împuternicitul, în temeiul GDPR, precum și contractual);
  • persoana vizată (subiectul principal ale cărui drepturi sunt protejate de Regulament; persoana juridică nu este subiect protejat de Regulament);
  • persoana vizată ce are calitatea de minor este protejată în mod special;
  • calitatea de membru de sindicat este o dată personală sensibilă;
  • responsabilul cu protecția datelor (obligatoriu în unele situații, recomandat a fi desemnat în celelalte cazuri, este cel care consiliază operatorul pentru a-l proteja, dar este și punct de contact pentru autoritatea de supraveghere, precum și în legătura operatorului cu persoanele vizate);
  • autoritatea de supraveghere națională (cu multiple competențe de monitorizare, aplicare unitară, coerentă și cooperare, investigare, consiliere și autorizare, respectiv de impunere a măsurilor corective);
  • Comitetul (instituit ca organ al Uniunii, cu personalitate juridică, va înlocui Grupul de lucru);
  • Comisia Europeană (până la 25 mai 2020 va elabora un raport privind evaluarea și revizuirea Regulamentului).

Dacă acum suntem în epoca pregătirii pentru aplicarea Regulamentului privind protecția datelor, în scurt timp vor fi interesați și avocații, care probabil după modelul protecției consumatorului, vor declanșa procese colective împotriva operatorilor. Iar în această ecuație nu se poate ști care ar putea fi mai mari: sancțiunile autorității (art. 83-84) sau despăgubirile (art. 82). În plus, un rol important îl vor avea asociațiile de protecție a datelor personale[10], mai ales în temeiul art. 80 alin. (2), dacă în România se va decide în direcția că „independent de mandatul unei persoanei vizate, [asociația] are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere (…) și de a exercita drepturile menționate la art. 78 și 79, în cazul în care consideră că drepturile unei persoane vizate (…) au fost încălcate ca urmare a prelucrării”.

Necesitatea ca statele membre să aloce resursele necesare, umane și materiale, pentru desfășurarea activităților, inclusiv pentru profesionalizarea și specializarea personalului este stringentă, luând în considerare multitudinea sarcinilor autorităților de supraveghere, dar și a altor organisme publice, însă până în acest moment nu am sesizat, cel puțin în România, o preocupare majoră în acest domeniu. Sunt mult mai conștiente și interesate organismele private, care participă la dezbateri reale, care alocă deja resurse pentru conformarea activității proprii cu cerințele Regulamentului, care participă inclusiv la sesiuni de instruire și care sunt foarte active tocmai pentru a evita regimul sancționator sever.

Comisia Europeană încă mai organizează site-ul referitor la protecția datelor, Grupul de lucru emite avize și orientări, autoritatea națională a propus un proiect de lege și a anunțat angajări. În România, din noiembrie 2017 există ocupația de responsabil cu protecția datelor[11] și, deși este nevoie de personal specializat, abia în februarie 2018 s-a anunțat că s-a obținut validarea standardului ocupaţional aferent rolului de responsabil cu protecţia datelor cu caracter personal (sau DPO) de la Comitetul Sectorial Administraţie şi Servicii Publice din cadrul Autorităţii Naţionale pentru Calificări, structură a Ministerului Educației Naţionale. Prin Decizia nr. 74 din 19 martie 2018, Autoritatea Națională pentru Calificări a aprobat Standardul ocupațional pentru educație și formare profesională a Responsabilului cu protecția datelor cu caracter personal – cod COR 242231.

Este necesar ca anumite dispoziții ale Regulamentului să fie detaliate în dreptul intern, însă în proiectul de lege nu se realizează acest lucru și se prevede abrogarea legii care transpunea directiva[12].

În aceste condiții date, precum și în considerarea faptului că legea ar trebui să fie previzibilă, nu putem fi de acord să lăsăm toate pregătirile pe ultima sută de metri, în condițiile în care toate statele membre au avut la dispoziție un termen de 2 ani pentru a pregăti aplicarea Regulamentului. Dar trebuie să recunoaștem cu onestitate că doar două dintre cele 28 de state membre au comunicat Comisiei Europene măsurile naționale adoptate în acest sens. Este evident că astfel de măsuri, care afectează până la urmă viața fiecăruia dintre noi, ar trebui dezbătute și discutate în amănunt și că, în afara propriei incapacități administrative, nu există niciun alt motiv valid pentru care ele ar putea fi adoptate pe calea unei ordonanțe de urgență a Guvernului, evitând dezbaterea parlamentară.


[1] 28 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (JO L 119, 4.05.2016).

[2] Această directivă a fost transpusă prea diferit de statele membre, iar sancțiunile erau prea mici. A se vedea și I. Alexe, Ctin.-M. Banu, De la directivă la regulament în reglementarea, la nivelul Uniunii Europene, a protecției datelor cu caracter personal, în I. Alexe, N.-D. Ploeşteanu, D.-M. Şandru (coord.), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 14 și urm

[3] D.-M. Șandru, D.-A. Călin, Ctin.-M. Banu, Aplicarea și interpretarea Directivei 95/46 de către instanțe române. Tipologii și consecințe juridice, p. 60 și urm., în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru (coord.), op. cit., p. 60 și urm.

[4] D.-M. Şandru, Importanţa trimiterilor preliminare în materia protecţiei datelor cu caracter personal. Cauze semnificative şi experienţe româneşti, în Revista Română de Drept al Afacerilor nr. 4/2017, p. 160 și urm; cauza C-201/14, Bara şi alţii, hotărârea din 1 octombrie 2015, ECLI:EU:C:2015:638.

[5] Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.05.2016).

[6] Directiva (UE) 2016/681 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave (JO L 119, 4.05.2016).

[7] Aceste documente sunt disponibile online (http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358&tpa_id=6936).

[8] Adoptat în data de 13 decembrie 2016. Revizuit și adoptat în data de 5 aprilie 2017. Disponibil online (http://www.dataprotection.ro/servlet/ViewDocument?id=1384).

[9] Legalitate, echitate și transparență; limitări legate de scop; reducerea la minim a datelor; exactitate; limitări legate de stocare; integritate și confidențialitate.

[10] Pentru detalii, a se vedea I. Alexe, Regimul sancționator prevăzut de Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, în Curierul Judiciar nr. 1/2018, p. 41.

[11] Dar nu și pentru instituții publice, unde ar putea să fie și funcționar public. Pentru detalii, a se vedea I. Alexe, Responsabilul cu protecția datelor (DPO) – funcționar sau contractual?, în curs de publicare în Revista Română de Dreptul Muncii nr. 2/1018.

[12] Proiectul de lege este disponibil online (http://81.181.207.101/frontend/documente_transparenta/72_1511884221_Proiect_lege_Final_9_Noiembr.pdf).

Adauga un comentariu

*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Detalii

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close