Universul Juridic nr. 6/2017

Proceduri și autorități în Noul Drept European al protecției datelor cu caracter personal (I)
de Jugastru Calina

30 iunie 2017

În versiunea gratuită textul este afișat parțial. Pentru textul integral alegeți un abonament Lege5 care permite vizualizarea completă a documentului.

Cumpără forma completă
  •  

Preliminarii

Între materiile aflate în perpetuă evoluție, protecția datelor personale ocupă un loc privilegiat și sigur. "Privilegiat" - prin importanța cuvenită și acordată acestui domeniu, mai ales după 2000, grație naturii fundamentale a dreptului ocrotit (dreptul la protecția datelor cu caracter personal). "Sigur" - datorită unei dinamici aflate sub semnul progresului tehnologiilor moderne de comunicare - iar evoluția în ritm rapid a acestora este o certitudine.

Iată că, într-un traiect ascendent, din punctul de vedere al preocupărilor centrate pe protecția datelor personale, anul 2016 a marcat adoptarea și intrarea în vigoare a două acte normative, diferit înveșmântate, sub aspect formal. În tiparul unui regulament european(1) care se va aplica începând cu 25 mai 2018 (interval de timp necesar și rezonabil pentru ca statele membre să dispună măsurile preconizate), se găsesc regulile principale ale protecției, aplicabile cu titlu de normă-cadru. Necesitatea legiferării pe calea regulamentului este larg motivată și are ca prim fundament asigurarea unui nivel consecvent, ridicat și uniform de protecție a drepturilor și libertăților în spațiul Uniunii. Înlăturarea obstacolelor din calea circulației datelor are ca formulă optimă regulamentul. În timp ce reglementarea-cadru va înlocui aplicarea Directivei nr. 1995/46/CE începând cu mai 2018, prelucrarea datelor pe segmentul prevenirii infracțiunilor, urmăririi penale și executării sancțiunilor penale este cuprinsă în noua Directivă nr. 680/2016, în vigoare din mai 2016(2) . Aceasta din urmă înlocuiește Decizia-cadru 2008/977/JAI a Consiliului și se preocupă de aspectele specifice dreptului penal și dreptului procesual-penal. În ce măsură realitatea cotidiană a prelucrării datelor personale va concilia cele două reglementări - pe cale de regulament și pe cale de directivă - aceasta este o chestiune ce va fi dezlegată de viitorul aplicării acestora.

Dificultățile, deja conturate, ale interpretării-aplicării noilor prevederi ale dreptului european au determinat măsuri imediate. Între cele semnificative, menționăm preocuparea de elaborare a ghidurilor destinate aplicării unitare a noului Regulament. Grupul 29(3) a finalizat trei astfel de ghiduri, care concretizează propunerile ajustate în urma consultării publice din perioada decembrie 2016-ianuarie 2017: Ghidul privind dreptul la portabilitatea datelor; Ghidul privind responsabilul pentru protecția datelor (DPO); Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit(4).

Ghidurile menționate sunt un prim pas în armonizarea interpretării prevederilor regulamentare. Există o serie de noțiuni care necesită lămurire - oricum practica aplicării va aduce variabile cu repercusiuni importante, în privința domeniului de aplicare, categoriilor de date supuse prelucrării fără consimțământul persoanei vizate, drepturilor și obligațiilor responsabililor și persoanelor fizice supuse operațiunilor de prelucrare.

Ceea ce trebuie semnalat, dintru început, este faptul că Regulamentul consacră dreptul la protecția datelor cu caracter personal ca drept fundamental (considerentul 1). Beneficiarele protecției sunt persoanele fizice, pentru care Regulamentul creează spațiul de libertate, securitate și justiție necesar în raport cu activitățile de prelucrare a datelor personale și cu libera circulație a acestor date. Directiva nr. 1995/46/CE a vizat armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, fără să discute însă în termenii unui drept fundamental la protecția datelor cu caracter personal. Pasul înfăptuit de Regulament este semnificativ și tranșează dezbaterile doctrinei cu privire la (eventuala) existență a unui drept subiectiv la protecția datelor personale(5) .

Tot în rândul noutăților trebuie menționată instituirea unor obligații consolidate în sarcina responsabililor prelucrării (obligația de securitate, de exemplu), o mai riguroasă reglementare a consimțământului, suplimentarea garanțiilor oferite în cazul profilajului prin mijloace exclusiv automate, precum și noi prerogative la dispoziția persoanelor vizate de prelucrare (dreptul la portabilitatea datelor, droit à l'oubli)(6) .

Dintre procedurile și autoritățile prevăzute de Regulamentul adoptat în anul 2016, ne vom opri la: desemnarea responsabilului cu protecția datelor, evaluarea impactului/consultarea prealabilă, autoritățile (naționale) de supraveghere independente și Comitetul european pentru protecția datelor. Rolul autorităților nou instituite este major în ce privește menținerea nivelului de protecție a drepturilor și libertăților fundamentale în țările Uniunii, în condițiile în care protecția națională a acestora și, în mod special, ocrotirea vieții private, sunt fragile.

Directiva nr. 680/2016 reglementează, de asemenea, responsabilul pentru protecția datelor, evaluarea impactului și consultarea prealabilă. Întrucât reglementarea noii Directive este similară celei din noul Regulament, vom dezvolta problematica, așa cum se regăsește în Regulamentul nr. 679/2016. Ca element particular, reținem că dispozițiile Directivei sunt adresate exclusiv protecției persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date.

Analizele dedicate responsabilului cu protecția datelor și evaluării impactului fac obiectul primei părți a studiului (modalitățile de desemnare a responsabilului; cerințele pentru numirea acestuia; funcția și sarcinile încredințate de Regulament; operațiunile supuse evaluării impactului; procedura consultării prealabile a autorității de supraveghere). Cea de a doua parte detaliază particularitățile desemnării și statutul autorităților de supraveghere la nivelul statelor membre, respectiv structura și atribuțiile Comitetului european pentru protecția datelor.

I. Responsabilul cu protecția datelor (DPO)

"Data protection officer" este reglementat cu titlu de noutate în dreptul european al prelucrării datelor cu caracter personal. Regulamentul stabilește cazurile în care numirea responsabilului cu protecția datelor este obligatorie, cerințele legale cu privire la persoana responsabilului, funcția și sarcinile responsabilului cu protecția datelor (art. 37-39). Sugestiv, responsabilul este indicat ca fiind noul "gardian" al prelucrărilor de date cu caracter personal(7) .

Desemnarea responsabilului pentru protecția datelor

Potrivit Regulamentului, numirea unui responsabil cu protecția datelor este obligatorie, în cazurile expres menționate:

a) atunci când prelucrarea este efectuată de o autoritate sau un organism public.

"Autoritate", "organism public" sunt termeni a căror accepțiune este determinată în conformitate cu dreptul intern. Sunt exceptate instanțele care acționează în exercițiul funcției lor jurisdicționale.

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă. Împrejurarea că activitățile principale ale responsabilului prelucrării(8) /împuternicitului(9) au în conținut operațiuni de prelucrare ce necesită monitorizare periodică și sistematică a persoanelor vizate pe scară largă, este de natură să atragă obligativitatea numirii unui responsabil cu protecția datelor. Demersul explicării vocabularului se circumscrie sintagmelor: "activități principale", "monitorizare periodică și sistematică", "persoane vizate pe scară largă".

Activitățile principale se raportează la obiectul de activitate al responsabilului prelucrării. În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază și nu la prelucrarea datelor cu caracter personal drept activități auxiliare (considerentul 97). Precizarea Ghidului privind responsabilul pentru protecția datelor (DPO) este aceea că "activitățile principale" "nu ar trebui interpretate ca excluzând activitățile în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator". Exemplificarea vizează domeniul medical, mai exact activitatea desfășurată în unitățile spitalicești. În principal, spitalul oferă asistență medicală, însă eficiența și calitatea îngrijirilor medicale presupun și activitatea de prelucrare a datelor privind starea de sănătate a pacienților (prelucrarea dosarelor medicale). Pe cale de consecință, prelucrarea acestor date ar trebui să fie considerată a fi una dintre activitățile principale în orice spital, iar spitalele trebuie să desemneze un responsabil cu protecția datelor.

Monitorizarea periodică și sistematică are unele repere, în ce privește lămurirea terminologiei, în partea introductivă a Regulamentului (considerentul 24 face referire la monitorizarea comportamentului persoanelor fizice). Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca monitorizare a comportamentului persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta, de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile sale.

..........


În versiunea gratuită textul este afișat parțial. Pentru textul integral alegeți un abonament Lege5 care permite vizualizarea completă a documentului.

;
se încarcă...