Daniel-Mihail Șandru, Irina Alexe, Protecția Datelor. Editorial Protecția datelor personale: un nou început? [Personal data protection: a new begining?], Curierul judiciar, nr. 2/2018, p. 63-65 – Revista Afaceri juridice europene
Skip to content


Daniel-Mihail Șandru, Irina Alexe, Protecția Datelor. Editorial Protecția datelor personale: un nou început? [Personal data protection: a new begining?], Curierul judiciar, nr. 2/2018, p. 63-65

Daniel-Mihail Șandru, Irina AlexeProtecția Datelor. Editorial Protecția datelor personale: un nou început? [Personal data protection: a new begining?], Curierul judiciar, nr. 2/2018, p. 63-65

Prof. univ. dr. Daniel-Mihail Şandru
Coordonatorul Centrului de Studii de Drept European al Institutului de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române

Dr. Irina Alexe
Cercetător ştiinţific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române

 

„Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental”. Aceasta este prima propoziţie a unui act normativ devenit celebru de câteva luni, deşi a intrat în vigoare acum aproape 2 ani. După intrarea în vigoare a Regulamentului legiuitorul european a consacrat un termen de 2 ani pentru pregătirea punerii în aplicare.

Una dintre cele mai cunoscute şi dezbătute reglementări ale Uniunii Europene a devenit un regulament[1] care se referă la protecţia cetăţenilor europeni din punctul de vedere al datelor personale ale acestora, dar şi la asigurarea garanţiilor care conduc la o liberă circulaţie a acestor date. Protecţia cetăţenilor se realizează oriunde ar fi situat operatorul de date (societatea care prelucrează datele). Acesta ar fi un prim motiv de celebritate. Regulamentul (în România se mai numeşte şi GDPR, de la acronimul englez), în realitate, se aplică oricui are legătură cu cetăţenii europeni, inclusiv Facebook, Google.

Noul Regulament nu este o noutate absolută: a existat o directivă[2] care includea cele mai multe dintre instituţiile şi mecanismele prezente în Regulament. Regulamentul a fost adoptat ca urmare a dispoziţiilor Tratatului de la Lisabona, în primul rând art. 16 TFUE şi Carta Drepturilor Fundamentale a Uniunii Europene (în special, art. 7 şi 8), tocmai pentru a pune în acord principiile vechii reglementări cu evoluţia tehnologică. De altfel, în România instanţele au aplicat principiile şi normele directivei[3], iar, printr-o trimitere preliminară, au avut o contribuţie la dezvoltarea dreptului Uniunii Europene în materia protecţiei datelor[4]. Unele dispoziţii sunt influenţate de jurisprudenţa Curţii de Justiţie, cum ar fi dreptul la ştergerea datelor (dreptul de a fi uitat). Cadrul juridic este completat de Directivele 2016/680[5] şi 2016/681[6], publicate în acelaşi timp cu Regulamentul şi al căror termen de transpunere este tot luna mai 2018. Câteva instrumente de soft-law deosebit de importante pentru interpretarea şi aplicarea GDPR sunt avizele (sau documentele de lucru ori ghidurile) elaborate de Grupul de lucru pentru art. 29[7]. Acestea din urmă trebuie citite primele. Fără forţă juridică extrinsecă, dar cu o forţă moral-juridică, documentele Grupului de lucru sunt cele care detaliază aplicarea Regulamentului: primul document care ar trebui citit este „Ghidul privind Responsabilul cu protecţia datelor (‘DPOs’)”[8]. Şi tot printre primele necesar a fi citite şi înţelese sunt considerentele Regulamentului: cele 32 de pagini de Jurnal Oficial ce conţin cele 117 considerente incluse în preambulul Regulamentului oferă indicii cu privire la interpretarea şi aplicarea GDPR.

Principiile noului act normativ european sunt asemănătoare cu cele ale directivei[9]. O modificare esenţială provine din obligaţia operatorilor şi a împuterniciţilor de a proba respectarea acestor principii. Şi nu sunt vorbe în vânt, ci ele cuprind însuşi Regulamentul… de la consimţământ la drepturile persoanei vizate. Persoana vizată este în centrul preocupării de protecţie, în timp ce responsabilul cu protecţia datelor trebuie să fie preocupat de continua conformare a organizaţiei publice sau private la cerinţele de acţiune în raport cu datele personale.

Responsabilul cu protecţia datelor: pentru entităţile care prelucrează datele este o primă problemă cine poate fi DPO. Dincolo de calităţile profesionale sau cunoştinţele de specialitate (existente sau nu… de unde atâţia specialişti în protecţia datelor?) organizaţiile trebuie să aibă încredere în aceste persoane. Mai ales în cazul în care vor decide ca DPO să nu fie desemnat din rândul angajaţilor proprii, ci să îşi îndeplinească sarcinile pe baza unui contract de servicii. Iar după încredere urmează proceduri, care necesită mult timp, apoi mai multe proceduri… birocraţie în slujba cetăţeanului, dar ordine în prelucrarea datelor şi o mai bună protecţie a acestora. Organizaţiile care se plâng de această birocraţie trebuie să se gândească că au monetizat sau cel puţin au beneficiat timp îndelungat  (de) datele personale fără ca să fie deranjate în mod real. Şi să aleagă, în final, în ce investesc resursele: în proceduri pentru conformarea cu dispoziţiile Regulamentului sau în plata eventualelor amenzi administrative ori a despăgubirilor pentru persoanele vizate.

Ce trebuie făcut până în 25 mai? Cum nu există posibilitatea amânării aplicării, a suspendării sau orice altceva care ar face inaplicabil Regulamentul, trebuie să se facă pregătiri pentru ora 0 a zilei de 25 mai 2018. Dar şi după această dată. Până atunci trebuie realizată o evaluare.

Ce (mai) este nou: portabilitatea datelor, dreptul de a fi uitat, obligativitatea desemnării responsabilului cu protecţia datelor, mai ales în cazul autorităţilor sau organismelor publice, proba consimţământului. Portabilitatea datelor este un element esenţial al circulaţiei datelor, aşa cum reiese chiar din titlu. Vom vedea cum va funcţiona, ca de altfel, întregul angrenaj.

72 de ore: Termenul de 72 de ore este prevăzut de considerentul (85) al preambulului pentru notificarea unei încălcări de către operator către autoritatea de supraveghere, precum şi în art. 33 din Regulament, care introduce o nuanţă – „dacă este posibil”. Acest termen, alături de conduita operatorului, este important, în arhitectura Regulamentului, mai ales în privinţa individualizării măsurilor corective, care pot fi inclusiv amenzi administrative. Conduita operatorului are o importanţă deosebită nu numai în relaţia cu autoritatea de supraveghere, în timpul sau ulterior producerii unui incident, dar şi anterior, prin prisma măsurilor dispuse în cadrul organizaţiei, inclusiv prin prisma desemnării unui responsabil cu protecţia datelor şi a asigurării, pentru acesta, a resurselor necesare, dar mai ales a garanţiilor prevăzute de Regulament. Au de asemenea, o foarte mare importanţă, măsurile adecvate fiecărei situaţii în parte, dispuse de operator sau de persoana împuternicită, pentru limitarea efectelor pe care o încălcare le poate produce, informarea persoanei vizate, precum şi a autorităţii de supraveghere.

Subiectele GDPR

  • operatorul (are multiple obligaţii, poate primi sancţiuni, dar prelucrează date cu caracter personal);
  • persoana împuternicită de operator (răspunde şi operatorul, dar, desigur, răspunde şi împuternicitul, în temeiul GDPR, precum şi contractual);
  • persoana vizată (subiectul principal ale cărui drepturi sunt protejate de Regulament; persoana juridică nu este subiect protejat de Regulament);
  • persoana vizată ce are calitatea de minor este protejată în mod special;
  • calitatea de membru de sindicat este o dată personală sensibilă;
  • responsabilul cu protecţia datelor (obligatoriu în unele situaţii, recomandat a fi desemnat în celelalte cazuri, este cel care consiliază operatorul pentru a-l proteja, dar este şi punct de contact pentru autoritatea de supraveghere, precum şi în legătura operatorului cu persoanele vizate);
  • autoritatea de supraveghere naţională (cu multiple competenţe de monitorizare, aplicare unitară, coerentă şi cooperare, investigare, consiliere şi autorizare, respectiv de impunere a măsurilor corective);
  • Comitetul (instituit ca organ al Uniunii, cu personalitate juridică, va înlocui Grupul de lucru);
  • Comisia Europeană (până la 25 mai 2020 va elabora un raport privind evaluarea şi revizuirea Regulamentului).

Dacă acum suntem în epoca pregătirii pentru aplicarea Regulamentului privind protecţia datelor, în scurt timp vor fi interesaţi şi avocaţii, care probabil după modelul protecţiei consumatorului, vor declanşa procese colective împotriva operatorilor. Iar în această ecuaţie nu se poate şti care ar putea fi mai mari: sancţiunile autorităţii (art. 83-84) sau despăgubirile (art. 82). În plus, un rol important îl vor avea asociaţiile de protecţie a datelor personale[10], mai ales în temeiul art. 80 alin. (2), dacă în România se va decide în direcţia că „independent de mandatul unei persoanei vizate, [asociaţia] are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere (…) şi de a exercita drepturile menţionate la art. 78 şi 79, în cazul în care consideră că drepturile unei persoane vizate (…) au fost încălcate ca urmare a prelucrării”.

Necesitatea ca statele membre să aloce resursele necesare, umane şi materiale, pentru desfăşurarea activităţilor, inclusiv pentru profesionalizarea şi specializarea personalului este stringentă, luând în considerare multitudinea sarcinilor autorităţilor de supraveghere, dar şi a altor organisme publice, însă până în acest moment nu am sesizat, cel puţin în România, o preocupare majoră în acest domeniu. Sunt mult mai conştiente şi interesate organismele private, care participă la dezbateri reale, care alocă deja resurse pentru conformarea activităţii proprii cu cerinţele Regulamentului, care participă inclusiv la sesiuni de instruire şi care sunt foarte active tocmai pentru a evita regimul sancţionator sever.

Comisia Europeană încă mai organizează site-ul referitor la protecţia datelor, Grupul de lucru emite avize şi orientări, autoritatea naţională a propus un proiect de lege şi a anunţat angajări. În România, din noiembrie 2017 există ocupaţia de responsabil cu protecţia datelor[11] şi, deşi este nevoie de personal specializat, abia în februarie 2018 s-a anunţat că s-a obţinut validarea standardului ocupaţional aferent rolului de responsabil cu protecţia datelor cu caracter personal (sau DPO) de la Comitetul Sectorial Administraţie şi Servicii Publice din cadrul Autorităţii Naţionale pentru Calificări, structură a Ministerului Educaţiei Naţionale. Este necesar ca anumite dispoziţii ale Regulamentului să fie detaliate în dreptul intern, însă în proiectul de lege nu se realizează acest lucru şi se prevede abrogarea legii care transpunea directiva[12].

În aceste condiţii date, precum şi în considerarea faptului că legea ar trebui să fie previzibilă, nu putem fi de acord să lăsăm toate pregătirile pe ultima sută de metri, în condiţiile în care toate statele membre au avut la dispoziţie un termen de 2 ani pentru a pregăti aplicarea Regulamentului. Dar trebuie să recunoaştem cu onestitate că doar două dintre cele 28 de state membre au comunicat Comisiei Europene măsurile naţionale adoptate în acest sens. Este evident că astfel de măsuri, care afectează până la urmă viaţa fiecăruia dintre noi, ar trebui dezbătute şi discutate în amănunt şi că, în afara propriei incapacităţi administrative, nu există niciun alt motiv valid pentru care ele ar putea fi adoptate pe calea unei ordonanţe de urgenţă a Guvernului, evitând dezbaterea parlamentară.

[1] 28 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (JO L 119, 4.05.2016).

[2] Această directivă a fost transpusă prea diferit de statele membre, iar sancţiunile erau prea mici. A se vedea şi I. Alexe, Ctin.-M. Banu, De la directivă la regulament în reglementarea, la nivelul Uniunii Europene, a protecţiei datelor cu caracter personal, în I. Alexe, N.-D. Ploeşteanu, D.-M. Şandru (coord.), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, Bucureşti, 2017, p. 14 şi urm

[3] D.-M. Şandru, D.-A. Călin, Ctin.-M. Banu, Aplicarea şi interpretarea Directivei 95/46 de către instanţe române. Tipologii şi consecinţe juridice, p. 60 şi urm., în I. Alexe, N.-D. Ploeşteanu, D.-M. Şandru (coord.), op. cit., p. 60 şi urm.

[4] D.-M. Şandru, Importanţa trimiterilor preliminare în materia protecţiei datelor cu caracter personal. Cauze semnificative şi experienţe româneşti, în Revista Română de Drept al Afacerilor nr. 4/2017, p. 160 şi urm; cauza C-201/14, Bara şi alţii, hotărârea din 1 octombrie 2015, ECLI:EU:C:2015:638.

[5] Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.05.2016).

[6] Directiva (UE) 2016/681 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave (JO L 119, 4.05.2016).

[7] Aceste documente sunt disponibile online (http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358&tpa_id=6936).

[8] Adoptat în data de 13 decembrie 2016. Revizuit şi adoptat în data de 5 aprilie 2017. Disponibil online (http://www.dataprotection.ro/servlet/ViewDocument?id=1384).

[9] Legalitate, echitate şi transparenţă; limitări legate de scop; reducerea la minim a datelor; exactitate; limitări legate de stocare; integritate şi confidenţialitate.

[10] Pentru detalii, a se vedea I. Alexe, Regimul sancţionator prevăzut de Regulamentul (UE) 2016/679 privind protecţia datelor cu caracter personal, în Curierul Judiciar nr. 1/2018, p. 41.

[11] Dar nu şi pentru instituţii publice, unde ar putea să fie şi funcţionar public. Pentru detalii, a se vedea I. Alexe, Responsabilul cu protecţia datelor (DPO) – funcţionar sau contractual?, în curs de publicare în Revista Română de Dreptul Muncii nr. 2/1018.

[12] Proiectul de lege este disponibil online (http://81.181.207.101/frontend/documente_transparenta/72_1511884221_Proiect_lege_Final_9_Noiembr.pdf).

http://www.curieruljudiciar.ro/2018/02/28/protectia-datelor-personale-un-nou-inceput/

Posted in Rubrici.