In Jurnalul Oficial al Uniunii Europene seria L 119/1 din data de 4 mai 2016 a fost publicat Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (“Regulamentul” sau “Regulamentul general privind protectia datelor”).
Regulamentul a intrat in vigoare la data de 24 mai 2016, urmand a se aplica la nivelul statelor membre ale Uniunii Europene incepand cu data de 25 mai 2018.
Astfel, operatorii de date cu caracter personal (e.g. persoane fizice sau juridice, autoritati publice) au obligatia ca pana la aceasta data sa isi alinieze activitatea de prelucrare a datelor cu caracter personal la noile cerinte ale Regulamentului. Acesta impune noi obligatii importante in sarcina operatorilor, menite sa asigure protectia drepturilor si libertatilor fundamentale ale persoanelor fizice si in special a dreptului acestora la protectia datelor cu caracter personal.
Adoptarea Regulamentului se impunea in contextul actual al evolutiei tehnlogice si cresterii substantiale a fluxurilor transfrontaliere de date cu caracter personal in vederea asigurarii unui climat de incredere care sa permita economiei digitale sa se dezvolte pe piata interna.
Principalele elemente de noutate aduse de Regulament vizeaza, inter alia, urmatoarele aspecte:
- aplicabilitatea teritoriala;
- conditiile privind consimtamantul persoanei vizate;
- noi obligatii ale operatorului;
- responsabilul cu protectia datelor;
- impunerea unor amenzi administrative seminificative.
De asemenea, recent au fost publicate mai multe ghiduri cu privire la interpretarea si implementarea Regulamentului.
APLICABILITATEA TERITORIALA
Regulamentul se aplica prelucrarii datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, indiferent daca prelucrarea are loc sau nu pe teritorul Uniunii.
Regulamentul se aplica inclusiv prelucrarii datelor cu caracter personal ale unor persoane vizate care se afla in Uniune de catre un operator sau o persoana imputernicita de operator care nu este stabilit(a) in Uniune, atunci cand activitatile de prelucrare sunt legate de:
- oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plati de catre persoana vizata;
- monitorizarea comportamentului lor daca acesta se manifesta in cadrul Uniunii.
In acelasi timp, Regulamentul se aplica si prelucrarii datelor cu caracter personal de catre un operator care nu este stabilit in Uniune, ci intr-un loc in care dreptul intern se aplica in temeiul dreptului international public.
CONDITIILE PRIVIND CONSIMTAMANTUL PERSOANEI VIZATE
De principiu, prelucrarea datelor cu caracter personal poate avea loc atunci cand operatorul obtine consimtamantul persoanei vizate, iar operatorul este in masura sa demonstreze ca aceasta si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.
Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul si sa fie informata cu privire la acest drept in prealabil.
(i) Conditii generale
In preambulul Regulamentului se stabilesc urmatoarele conditii generale privind consimtamantul:
- sa fie acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal (e.g. o declaratie facuta in scris, inclusiv in format electronic, sau verbal, bifarea unui casute atunci cand persoana viziteaza un site);
- sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri; daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii;
- in cazul in care consimtamantul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara si concisa si sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul.
(ii) Conditii speciale
Regulamentul stabileste urmatoarele cerinte speciale cu privire la consimtamant atunci cand acesta este dat in contextul unei declaratii scrise care se refera si la alte aspecte:
- sa fie prezentat intr-o forma care o diferentiaza in mod clar de celelalte aspecte;
- sa fie prezentat intr-o forma intelegibila si usor accesibila;
- sa utilizeze un limbaj clar si simplu.
In plus, Regulamentul stabileste conditii speciale aplicabile copiilor sub varsta de 16 ani in legatura cu serviciile societatii informationale.
NOI OBLIGATII IN SARCINA OPERATORILOR
(i) Obligatia de a asigura protectia datelor incepand cu momentul conceperii si in mod implicit
Printre obligatiile cu caracter de noutate introduse prin Regulament este si obligatia operatorului de a asigura protectia datelor incepand cu momentul conceperii si in mod implicit.
In acest sens, in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, operatorul are obligatia de a pune in aplicare masuri tehnice si organizatorice adecvate, cum ar fi pseudonomizarea (notiune introdusa prin Regulament), masuri destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru respectarea Regulamentului si protejarea drepturilor persoanelor vizate.
Operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Respectiva obligatie se aplica volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare si accesibilitatii lor. In special, astfel de masuri asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara interventia persoanei, de un numar nelimitat de persoane.
(ii) Obligatia de a notifica autoritatea de supraveghere in cazul incalcarii securitatii datelor cu caracter personal
Regulamentul introduce si obligatia operatorilor de a notifica autoritii de supraveghere orice incalcare a securitatii datelor cu caracter personal, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care operatorul a luat cunostinta de o astfel de incalcare. Regulamentul precizeaza elementele obligatorii pe care trebuie sa le cuprinda notificarea.
La randul sau, persoana imputernicita de operator are obligatia sa il instiinteze pe acesta dupa ce ia cunostinta de orice incalcare a securitatii datelor cu caracter personal.
(iii) Obligatia operatorului de a efectua inaintea prelucrarii o evaluare a impactului operatiunilor de prelucrare si de a consulta autoritatea de supraveghere
Operatorul are obligatia de a efectua inaintea prelucrarii o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal, in cazul in care tipul de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice (e.g. prelucrarea pe scara larga a unor categorii speciale de date).
Autoritatea de supraveghere va intocmi liste privind tipurile de operatiuni de prelucrare pentru care este necesara evaluarea, precum si liste privind tipurile de operatiuni de prelucrare pentru care nu este necesara aceasta evaluare.
In cazul in care evaluarea indica faptul ca prelucrarea ar genera un risc ridicat in absenta unor masuri luate de operator pentru atenuarea riscului, de natura sa incalce Regulamentul, operatorul are obligatia de a consulta autoritatea de supraveghere. Autoritatea de supraveghere ofera consiliere in scris operatorului si isi poate exercita oricare dintre competentele de investigare, corective, de autorizare si consiliere prevazute in Regulament (e.g. de a impune o limitare temporara sau definitiva, inclusiv o interdictie asupra prelucrarii).
RESPONSABILUL CU PROTECTIA DATELOR
Desemnarea unui responsabil cu protectia datelor se impune exclusiv in urmatorele cazuri:
- prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
- activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga; sau
- activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal privind condamnari penale si infractiuni.
Cu toate acestea, Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal instituit prin art. 29 din Directiva 95/46/CE (”Grupul de lucru”) recomanda desemnarea unui responsabil atat la nivelul operatorilor, cat si la nivelul persoanelor imputernicite de operatori.
Regulamentul rstabileste in detaliu si principalele atributii ale responsabilului cu protectia datelor, printre care se regaseste si cooperarea cu autoritatea de supraveghere.
AMENZI ADMINISTRATIVE SEMNIFICATIVE
Regulamentul introduce amenzi administrative semnificative a caror valoare va fi stabilita luand in considerare elemente precum natura, gravitatea si durata incalcarii, gradul de vinovatie, categoriile de date cu caracter personal afectate de incalcare.
Regulamentul stabileste urmatoarele praguri maxime pentru valoarea amenzilor administrative care pot fi aplicate in cazul incalcarii dispozitiilor Regulamentului:
- 10.000.000 EUR sau, in cazul unei intreprinderi, de pana la 2% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, in functie de cea mai mare valoare – pentru incalcarile privind consimtamantul copiilor, prelucrarile care nu necesita identificare, obligatiile generale ale operatorului si persoanei imputernicite de acesta, securitatea datelor cu caracter personal, evaluarea impactului asupra protectiei datelor si consultarea prealabila, responsabilul cu protectia datelor, monitorizarea codurilor de conduita aprobate, certificarea si organismele de certificare;
- 20.000.000 EUR sau, in cazul unei intreprinderi, de pana la 4% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, in functie de cea mai mare valoare – pentru incalcarile privind principiile legate de prelucrarea datelor cu caracter personal, legalitatea prelucrarii, conditiile privind consimatamantul, drepturile persoanelor vizate, transferurile de date cu caracter personal catre un destinatar dintr-o tara terta sau o organizatie internationala, orice obligatii in temeiul legislatiei nationale cu privire la situatii specifice de prelucrare, nerespectarea unui ordin sau a unei limitari temporare sau definitive asupra prelucrarii, sau a suspendarii fluxurilor de date, emisa de catre autoritatea de supraveghere sau neacordarea accesului autoritatii de supraveghere.
In situatia incalcarii mai multor dispozitii din Regulament in mod intentionat sau din neglijenta, in cadrul aceleiasi operatiuni de prelucrare sau in cadrul unor operatiuni conexe, cuantumul total al amenzii administrative nu poate depasi suma prevazuta pentru cea mai grava incalcare.
GHIDURI CU PRIVIRE LA INTERPRETAREA SI IMPLEMENTAREA REGULAMENTULUI
La data de 5 aprilie 2017, Grupul de lucru a adoptat urmatoarele ghiduri utile cu privire la interpretarea si implementarea Regulamentului, in vederea facilitarii procesului de implementare a Regulamentului la nivelul operatorilor:
- Ghidul privind dreptul la portabilitatea datelor – include, inter alia, prevederi cu privire la implementarea mecanismului de catre operatorii economici;
- Ghidul privind responsabilii cu protectia datelor – detaliaza, inter alia, atributiile responsabilului cu protectia datelor;
- Ghidul privind identificarea autoritatii de supraveghere principale – cuprinde, inter alia, informatii cu privire la societatile care nu sunt inregistrate in UE.