Prezentarea Regulamentului general al Uniunii Europene privind protecţia datelor

Prezentarea Regulamentului general al Uniunii Europene privind protecţia datelor

316

Adoptat la data de 27 aprilie 2016, acest regulament ambiţios și orientat spre viitor va fi direct aplicabil în fiecare stat membru al Uniunii Europene începând cu 25 mai 2018. Conţine 99 de articole și e structurat în zece mari capitole, în care se prevăd dispoziţii generale, principii aplicabile, drepturile persoanei vizate, problema operatorilor și a persoanelor împuternicite de operatori, transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale, autorităţile de supraveghere independente, regulile de cooperare și coerenţă, căile de atac, răspunderea și sancţiunile, dispoziţiile referitoare la situaţiile specifice de prelucrare, actele delegate și actele de punere în aplicare și, în fine, dispoziţiile finale. Articolul de faţă prezintă esenţialul acestui regulament, așa cum reiese din partea introductivă a documentului care precede articolele propriu-zise. Pentru completare, au fost făcute trimiteri la textul complet1.

autor:
Isabelle Dubois

Obiectivul regulamentului îl constituie întărirea drepturilor persoanelor fizice în materie de protecţie a datelor și de facilitare a liberei circulaţii a datelor cu caracter personal într-o piaţă digitală unică, cu precădere printr-o reducere a sarcinilor administrative.

Fundamentul acestuia îl constituie respectarea tuturor drepturilor fundamentale și a principiilor recunoscute în Carta drepturilor fundamentale a Uniunii Europene, consacrate în tratate, și în special dreptul la respectarea vieţii private și familiale, a domiciliului și a comunicărilor, dreptul la protecţia datelor cu caracter personal, dreptul la libertatea de gândire, de conștiinţă și de religie, dreptul la libertatea de exprimare și de informare, dreptul la libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și respectarea diversităţii culturale, religioase și lingvistice.

Regulamentul pornește de la o constatare: evoluţia tehnologică și globalizarea necesită „un cadru solid și mai coerent în materie de protecţie a datelor în Uniune, însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă”. Este precizat și că persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru persoane fizice, operatori economici și autorităţi publice ar trebui să fie consolidată.

Infografic explicativ al Uniunii Europene © Uniunea Europeana

Acest Regulament, ambițios și în mod decisiv pentru viitor, va fi aplicat în toate statele membre ale UE începând cu data de 25 mai 2018.

Pentru aplicarea sa, regulamentul lasă statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea datelor sensibile. Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligaţiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competenţe echivalente pentru monitorizarea și asigurarea conformităţii cu normele de protecţie a datelor cu caracter personal și sancţiuni echivalente pentru infracţiuni în statele membre. Regulamentul trebuie să permită asigurarea unui nivel omogen de protecţie a persoanelor fizice pe tot teritoriul Uniunii. Pot exista anumite derogări pentru microîntreprinderi și IMM-uri.

Domeniul de aplicare este, de asemenea, stabilit. Astfel, regulamentul va fi aplicabil:

  • persoanelor fizice, indiferent de cetăţenia sau de locul de reședinţă al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora;
  • indiferent de tehnologia folosită;
  • prelucrării datelor cu caracter personal prin mijloace automatizate, precum și prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă;
  • în cazul prelucrării de date cu caracter personal de către un organism de stat, este aplicabil Regulamentul 45/2001, căruia îi vor trebui aduse modificările necesare;
  • nu se va aplica prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială, însă se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activităţi personale sau domestice;
  • nu se va aplica prelucrării datelor cu caracter personal de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice și al prevenirii acestora, care face obiectul unui regulament specific;
  • oricărei prelucrări a datelor cu caracter personal în cadrul activităţilor unui sediu (exercitarea efectivă și reală a unei activităţi) al unui operator sau al unei persoane împuternicite de operator din Uniune, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii;
  • prelucrării datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune, în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată;
  • prelucrării datelor cu caracter personal legate de monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;
  • unui operator care nu este stabilit în Uniune, ci într-o misiune diplomatică sau într-un oficiu consular al unui stat membru, în cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional public;
  • oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă, inclusiv datelor cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, prin „mijloace pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării”, însă nu informaţiilor anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. Pseudonimizarea este încurajată;
  • nu se aplică persoanelor decedate (funcţie cedată statelor membre).

Apoi urmează definițiile și caracteristicile specifice. Consimțământul trebuie să aibă caracteristicile următoare:

  • este dat printr-o acţiune fără echivoc care stabilește că persoana vizată acceptă printr-o manifestare de voinţă liberă, specifică, informată și lipsită de ambiguitate ca datele cu caracter personal care o privesc să fie prelucrate (acest lucru trebuie să poată fi probat); se promovează astfel conceptul de„opt in”, prin opoziţie cu cel de„opt out”;
  • presupune cunoașterea identităţii operatorului și a persoanei împuternicite de operator și scopurile prelucrării datelor;
  • presupune „dispunerea cu adevărat de libertatea de a alege” și posibilitatea refuzului sau a retragerii consimţământului fără ca persoana să fie prejudiciată. Nu trebuie să existe un dezechilibru evident între persoana vizată și operator (ca, de altfel, nici între persoană și o autoritate publică);
  • trebuie să existe un consimţământ în funcţie de scopul preconizat, cu excepţia prelucrării datelor în scopuri de cercetare știinţifică, caz în care este de ajuns consimţământul doar pentru anumite domenii de cercetare sau părţi ale proiectelor de cercetare.

Datele cu caracter personal privind sănătatea sunt, de asemenea, definite ca fiind toate datele având legătură cu starea de sănătate a persoanei vizate „care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate, inclusiv informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză”; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice și eșantioane de material biologic, precum și orice informaţii privind, de exemplu, „o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”.

Sunt enumerate apoi principiile, după cum urmează:

  • orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă;
  • persoanele trebuie să fie informate „în mod transparent” cu privire la colectarea, utilizarea, consultarea, prelucrarea datelor, procese actuale sau viitoare. Informaţie accesibilă, ușor de înţeles, expusă în termeni simpli și clari. Același lucru cu privire la identitatea operatorului și scopul prelucrării, drepturile persoanelor, precum și riscurile și regulile în materie;
  • scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării. O prelucrare cu alte scopuri este admisibilă dacă este compatibilă” cu scopul iniţial (cum ar fi arhivarea);
  • datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Perioada pentru care datele cu caracter personal sunt stocate este „limitată strict la minimum”, astfel că sunt stabilite termene de către operatori. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit prin alte mijloace;
  • datele cu caracter personal care sunt inexacte sunt rectificate sau șterse;
  • securitatea și confidenţialitatea „adecvate” ale datelor trebuie asigurate, accesul neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare trebuie prevenite.

Se poate observa că, prin acest regulament, sunt întărite dreptul de acces a persoanei vizate, inclusiv dreptul „de a fi uitată”, voinţa ca persoana vizată să poată să reintre în posesia datelor personale, responsabilităţile operatorului și a persoanei împuternicite de operator, rolul responsabilului cu protecţia datelor și cel al autorităţilor de supraveghere, precum și sancţiunile aplicabile contravenienţilor.


1 http://eur-lex.europa.eu/search.html?textScope0=ti-te&qid=1469976055573&DTS_DOM=EU_LAW&type=advanced&lang=fr&andText0=R%C3%88GLEMENT%20(UE)%202016/679&SUBDOM_INIT=LEGISLATION&DTS_ SUBDOM=LEGISLATION

Avocat de formare și fost judecător cantonal, Isabelle Dubois a fost prima atașată în domeniul protecției datelor și al transparenței din cantonul Geneva. Din ianuarie 2014, lucrează cu organizații din postura de colaborator independent al Ad Hoc Resolution și întocmește expertize și îndrumări în materie. Predă protecția datelor în cadrul Universității din Geneva și HES-SO Lausanne.