Acquis Ul Uniunii Europene Privind Protectia Datelor cu Caracter Personal

LUCRARE DE DISERTAȚIE

Acquis-ul Uniunii Europene privind protecția datelor cu caracter personal

Cuprins

Listă abrevieri

Introducere

Capitolul 1. Considerații introductive

1.1. Evoluția Uniunii Europene

1.2. Conceptul de date cu caracter personal

1.3 Acquis-ul comunitar al Uniunii Europene

Capitolul II. Legislația Uniunii Europene privind protecția datelor cu caracter personal

2.1. Temeiul juridic

2.2. Cadrul instituțional – Tratatul de la Lisabona

2.3. Instrumente legislative în materie de protecție a datelor

Capitolul III. Transpunerea acquis-ului european privind protecția datelor personale în legislația internă românească

Capitolul IV. Drepturile de care beneficiază persoanele fizice ale căror date sunt prelucrate de instituții sau organe comunitare

4.1.Dreptul la informare

4.2.Dreptul de acces la propriile date

4.3.Dreptul de acces la datele privind starea de sănătate

4.4.Dreptul de intervenție

4.5.Dreptul de a nu fi supus unei decizii individuale

4.6.Dreptul de opoziție

4.7.Dreptul de a se adresa justiției

Capitolul V. Tendințe și perspective europene în reglementarea domeniului protecției datelor cu caracter personal

Capitolul VI. Autoritatea Europeană pentru Protecția Datelor – autoritatea independentă de supraveghere europeană

Concluzii

Bibliografie

Webgrafie

Introducere

Conceptul de viață privată își are originea în latinescul privatus. În cultura occidentală, el este cunoscut sub denumirea de privacy, semnificând separarea de ceilalți, prin posibilitatea individului de a se exclude sau de a exclude informații despre sine, cu opțiunea de a le dezvălui în mod selectiv.

Sfera conceptului variază în funcție de particularitățile naționale, culturale și individuale ale unui stat sau regiune și implică mai multe componente precum: informațională, fizică, emoțională, intelectuală, organizațională, în raport cu domeniul pe care îl vizează. Componenta fizică a conceptului de viață privată acoperă aspecte de prevenire a intruziunilor asupra spațiului fizic a unei persoane, cea informațională vizează sfera informațiilor pe care o persoană nu vrea să le dezvăluie, cum ar fi cele despre situația financiară, medicală, convingeri politice, religie sau etnie, iar cea organizațională implică adoptarea măsurilor organizatorice necesare asigurării securității bazei de date existente la nivelul fiecărei entități.

Curtea Europeană a Drepturilor Omului a reținut că „viața privată” este o noțiune largă care nu se pretează unei definiții exhaustive, arătând că aceasta protejează dreptul la identitatea și la dezvoltarea personală, și dreptul fiecărei persoane de a lega și dezvolta relații cu semenii.

Pe plan juridic, corespunzător expresiei de viață privată a apărut dreptul de viață privată (the right to privacy), utilizat pentru prima oară, în anul 1890 în Statele Unite ale Americii, de către avocatul Samuel Warren, care împreună cu profesorul Louis Brandeis de la Universitatea Harvard au scris un eseu intitulat „Dreptul la viață privată”. Ei au oferit fundamentul științific pentru conturarea ideii asupra vieții private, ca drept distinct de dreptul de proprietate și față de libertățile individuale.

Dreptul la viață privată reprezintă, într-o altă opinie, „dreptul de a ne păstra o zonă în jur, care să includă acele lucruri ce fac parte din noi, precum casa, corpul, sentimentele, secretele și identitatea. Dreptul la viață privată ne dă posibilitatea de a alege care părți din această zonă sunt accesibile celorlalți, precum și de a controla modalitatea și perioada în care sunt folosite acele părți pe care alegem să le punem la dispoziția altora”.

Alain Westin consideră dreptul la viață privată ca o perogativă a oamenilor de a putea decide singuri când, cum și ce informații comunică despre ei, arătând că acest drept poate fi dscris de patru caracteristici: singurătate, intimitate, anonimitate și rezervă.

Într-o altă perspectivă, se consideră că există o legătură profundă între libertate, egalitate, democrație, demnitate și privacy. Astfel, s-a trecut la dreptul de a controla propriile date și s-au impus reguli comportamentale tuturor celor care operează cu date cu caracter personal, fapt ce a permis o aplicare concretă a principiilor de egalitate și demnitate socială.

Dreptul la viață privată este considerat un element fundamental al societății, libertății și demnității umane, iar în condițiile evoluțiilor informaționale ale societății moderne din prezent, dreptul la viață privată a devenit un concept complex din care s-a desprins o componentă specifică, și anume dreptul la protecția datelor personale. Acest drept a dobândit o existență distinctă și a fost recunoscut la nivelul Uniunii Europene.

În absența unei protecții a propriilor informații, indivizii ar risca să fie discriminați pentru opiniile lor, credințele religioase ori condițiile de sănătate.

Consacrat ca drept fundamental prin art. 16 al Tratatului de Funcționare a Uniunii Europene, dreptul la protecția datelor cu caracter personal urmărește protejarea persoanelor fizice față de tendințele tot mai accentuate de creare de sisteme de evidențăce conțin date cu caracter personal și de intensificare a circulației acestora, în contextul extinderii utilizării tehnologiei de supraveghere și al interesului actual de creare de profile ale persoanelor fizice.

Pornind de la importanța recunoscută pe plan european a dreptului protecției datelor cu caracter personal, lucrarea își propune să abordeze cele mai importante concepte și drepturi instituite în domeniul protecției datelor cu caracter personal din prespectiva reglementărilor europene și naționale pe parcursul a șase capitole teoretice privind istoria Uniunii Europene și a conceptului de date personale, cadrul legislativ european, transpunerea acquis-ului comunitar privind protecția datelor cu caracter personal în cadrul intern, drepturile personalor vizate cu privire la prelucrarea datelor cu caracter personal ale acestora precum și tendințele și perspectivele europene privind acest domeniu. Ultimul capitol detaliază atribuțiile și competențele autorității independente de supraveghere.

În contextul procesului de revizuire al cadrul normativ de la nivelul Uniunii Europene (adoptat de către Parlamentul European în luna martie și aflat în discuții în vederea implementării de către toate statele membre), ca urmare a proiectelor inițiate și publicate ale Comisiei Europene, încă de la începutul anului 2012, referitoare la adoptarea unui Regulament al Parlamentului European și al Consiliului privind protecția datelor cu caracter personal și la adoptarea unei Directive a Parlamentului European și a Consiliului privind protecția persoanelor față de prelucrările efectuate de autorități, lucrarea prezintă schimbările preconizate de proiectul de Regulament ce va înlocui Directivele-cadru în vederea alinierii normelor la contextul cerințelor actuale.

Capitolul I.

Considerații introductive

1.1. Evoluția Uniunii Europene

Uniunea Europeană (UE) reprezintă un proiect de integrare europeană înființat în 1993, odată cu intrarea în viguare a tratatului semnat la Maastricht (Olanda) în 1992 (tratatul de instituire a Uniunii Europene) de mai multe state occidentale, cu scopul de a întări legăturile economice, sociale și politice dintre statele participante pentru a realiza o uniune din ce în ce mai strânsă între popoarele europene.

Obiectivele Uniunii Europene sunt:

– promovarea progresului economic și social;

– afirmarea identității Uniunii Europene pe scena internațională;

– instituirea cetățeniei europene;

– dezvoltarea unei zone de libertate, securitate și justiție;

– existența și consolidarea relațiilor în baza dreptului comunitar.

Apariția Uniunii Europene este un proces îndelungat care poate fi împărțit în două perioade:

Perioada eforturilor pentru realizarea integrării europene (până în 1992);

Perioada implementării regulilor refeitoare la integrarea europeană și Uniunea Europeană ( 1993 până în prezent).

Întreaga istorie a construcției europene poate fi sintetizată pornind de la confruntarea a două forțe: voința de integrare și interesul păstrării suveranității naționale.Conștiința unui declin economic, politic, chiar și cultural al Europei, a dat naștere imediat după sfârșitul celui de-al doilea război mondial, în statele din Europa occidentală, la un important curent de opinie în favoarea unei Uniuni Europene.

Uniunea Europeană continuă cooperarea la nivel european inițiată prin crearea, în anii 1950, a trei organizații internaționale: Comunitatea Europeană a Cărbunelui și Oțelului (CECO), Comunitatea Economică Europeană (CEE, din 1992 cunoscută sub numele de Comunitatea Europeană – CE) și Comunitatea Europeană a Energiei Atomice (CEEA sau EUROATOM).

Fondată pe principiul libertății, democrației, drepturilor omului, libertăților fundamentale și statului de drept, precum și respectând identitatea națională a statelor membre, Uniunea Europeană își propune să ofere cetățenilor săi un spațiu de libertate, securitate și justiție fără frontiere interne, unde să funcționeze o piață liberă care să permită un grad ridicat de protecție socială și a mediului înconjurător.

Până la crearea Comunității Europene, următorii pași mai importanți s-au făcut în vederea punerii în practică a ideii unei unității europene:

Discursul lui Winston Churchill de la 19 decembrie 1946, ținut la Universitatea din Zurich, discurs urmat de constituirea în numeroase țări a mișcărilor europene: Uniunea Europeană a Federaliștilor, Mișcarea Socialistă pentru Statele Unite ale Europei, Uniunea Parlamentară Europeană; urmarea imediată a fost constituirea, în decembrie 1947, a unui comitet internațional de coordonare a Mișcărilor pentru Unitatea Europeană, care a organizat mai multe congrese, dintre care o influență decisivă a avut-o Congresul de la Haga din 7-10 mai, ale cărei inițiative au condus la crearea Consiliul Europei, în 1949, cu sediul la Strasburg.

Prin Tratatul de la Bruxelles, din 17 martie 1948, a fost creată Uniunea Occidentală, tratat încheiat între Franța și Marea Britanie, pe de-o parte, și statele care au constituit Benelux (Belgia, Olanda, Luxemburg), pe de altă parte.

La 16 aprilie 1948, 16 țări europene au semnat la Paris, Tratatul instituind Organizația Europeană de Cooperare Economică (OECE) care, prin Tratatul încheiat la Paris pe 30 noiembrie 1961, a fost înlocuit prin Organizația pentru Cooperare și Dezvoltare Economică (OCDE.)

Crearea Organizației Atlanticului de Nord (N.A.T.O.), în baza Tratatului de la Washington din 4 aprilie 1949.

La 5 mai 1949 s-a creat Consiliul Europei, organizație interguvernamentală, având drept obiectiv apărarea într-un cadru instituționalizat a valorilor democrate considerate ca fiind amenințate prin divizarea Europei în blocuri, respectiv, principiile libertății individuale, ale libertății politice și promeniența dreptului, pe care se bazează orice democrație adevărată.

Începutul procesului de integrare europeană, care stă la baza actualei structuri a Uniunii Europene, poate fi considerat anul 1950, atunci când Robert Schuman, ministrul francez al afacerilor externe, a propus implicarea câtorva state europene într-un proiect de cooperare, proiect care presupunea transferul de suveranitate către o organizație cu puteri de constrângere asupra membrilor acesteia. Inițiativa a constat în integrarea producției de cărbune și oțel a Germaniei și Franței, în cadrul unei organizații deschise participării și altor state europene.

La 18 aprilie 1951, la Paris, reprezentanții a șase țări au semnat Tratatul instituind Comunitatea Europeană a Cărbunelui și Oțelul, Tratat încheiat pe o perioadă de 50 de ani. Tratatul a intrat în vigoare la data de 23 iulie 1952 cu sediul la Luxrmburg și a încetat să mai producă efecte la 23 iulie 2002.

Negocierile desfășurate în 1951, între Belgia, Franța, Germania, Italia, Luxemburg și Olanda au condus la semnarea Tratatului de la Paris, prin care se înfii fiind amenințate prin divizarea Europei în blocuri, respectiv, principiile libertății individuale, ale libertății politice și promeniența dreptului, pe care se bazează orice democrație adevărată.

Începutul procesului de integrare europeană, care stă la baza actualei structuri a Uniunii Europene, poate fi considerat anul 1950, atunci când Robert Schuman, ministrul francez al afacerilor externe, a propus implicarea câtorva state europene într-un proiect de cooperare, proiect care presupunea transferul de suveranitate către o organizație cu puteri de constrângere asupra membrilor acesteia. Inițiativa a constat în integrarea producției de cărbune și oțel a Germaniei și Franței, în cadrul unei organizații deschise participării și altor state europene.

La 18 aprilie 1951, la Paris, reprezentanții a șase țări au semnat Tratatul instituind Comunitatea Europeană a Cărbunelui și Oțelul, Tratat încheiat pe o perioadă de 50 de ani. Tratatul a intrat în vigoare la data de 23 iulie 1952 cu sediul la Luxrmburg și a încetat să mai producă efecte la 23 iulie 2002.

Negocierile desfășurate în 1951, între Belgia, Franța, Germania, Italia, Luxemburg și Olanda au condus la semnarea Tratatului de la Paris, prin care se înființa Comunitatea Europeană a Cărbunelui și Oțelului (CECO). Elementul principal de noutate, comparativ cu alte organizații internaționale existente, îl constituia transferul de competențe către o instituție responsabilă cu luarea deciziilor, independent de consensul statelor membre.

În anul 1955, inițiativa europeană este relansată în cadrul conferinței de la Messina, când miniștrii afacerilor externe ai CECO au căzut de acord asupra înființării unei uniuni economice bazată pe o piață comună și asupra unei organizații pentru energia atomică. O comisie de experți condusă de Paul-Henry Spaak, ministrul belgian al afacerilor externe, a elaborat două proiecte ce au dus la semnare, în 1957, a celor două tratate de la Roma, cel prin care se înființa Comunitatea Economică Europeană (CEE) și tratatul Comunității Europene pentru Energie Atomică (EURATOM).

Obiectivul Tratatului de la Roma, semnat la 25 martie 1957 și intrat în vigoare în 1958, era reprezentat de crearea unei „piețe comune” și de abordarea progresivă a politicilor economice ale statelor membre. Crearea pieței comune însemna eliminare barierelor existente în calea liberei circulații a bunurilor și stabilirea unei taxe vamale unice, liberalizarea sectoarelor precum: circulația liberă a persoanelor, capitalului și serviciilor, și stabilirea unor politici în domenii strategice în vederea creșterii performanței activității economice.

La doar câțiva ani de la adoptare, Tratatul de la Maastricht necesita unele modificări datorate extinderilor deja existente și celor preconizate. Dezbaterile privind aceste modificări au avut loc la Conferința de la Torino (1996) și încheiată la Amsterdam (1997) prin semnarea unui tratat de modificare și renumerotare a Tratatului de la Maastrich, și anume Tratatul de la Amsterdam, intrat în vigoare în 1999.

Datorită problemelor rămase nerezolvate au dus la necesitate inițierii unei noi Conferințe interguvernamentale (2000) și semnarea unui nou tratat de revizuire, Tratatul de la Nisa, intrat în vigoare la 1 februarie 2003. Tratatul de la Nisa consemnează în mod oficial decizia statelor de a pune capăt, conform Tratatului de la Roma, a Comunității Europene a Cărbunelui și a Oțelului.

Tratatul de la Lisabona din 2007, intrat în vigoare în anul 2009, modifică tratele privind Uniunea Europeană și Comunitatea Europeană, dar și tratatul de instituire a Comunități Europene a Energiei Atomice. Acesta conferă Uniunii cadrul legislativ și instrumentele necesare pentru a face față provocărilor viitoare și pentru a răspunde cerințelor cetățenilor.

1.2.Conceptul de date cu caracter personal

Conceptul de protecție a datelor cu caracter personal reprezintă dreptul persoanei fizice de a îi fi apărate acele caracteristici care conduc la identificarea sa și obligația corelativă a statului de a adopta măsuri adecvate pentru a asigura o protecție eficientă. Prin date cu caracter personal se înțeleg acele informații care pot fi puse direct sau indirect în legătură cu o persoană fizică identificabilă, cum ar fi: numele, prenumele, cod numeric personal, adresa, telefonul, imaginea, vocea, situația economico-financiară, profesia.

Conceptul de date cu caracter personal este definit în mod similar în mai multe documente.

Convenția Consiliului Europei nr. 108/1981 pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal definește conceptul de „date cu caracter personal” ca fiind orice informație referitoare la o persoană fizică identificată sau identificabilă.

Potrivit art. 2 lit. a) din Directiva 95/46/CE pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, datele cu caracter personal reprezintă orice informație referitoare la o persoană fizică identificată sau identificabilă. În aceeași reglementare se precizează că o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziolgice, psihice, economice, culturale sau sociale.

Grupul de Lucru Art. 29 consideră într-o opinie că: „datele cu caracter personal sunt date, referitoare, în principiu, la persoanele în viață identificate sau identificabile, stabilind în același timp că datele privind persoana decedată ar trebui să beneficieze indirect de o anumită protecție. Potrivit Grupului de Lucru Art. 29 „persoana decedată poate beneficia indirect de dispozițiile privind protecția datelor”.

Protecția datelor cu caracter personal este prevăzută în Constituția Europeană la articolul I-50:

Toate persoanele au dreptul la protecția datelor cu caracter personal.

Legea europeană stabilește regulile cu privire la protecția persoanelor fizice în ceea ce privește procesarea datelor cu caracter personal de către instituțiile, organismele și agențiile Uniunii, dar și de către statele membre în exercitarea activităților din aplicarea dreptului Uniunii, și regulile privind libera circulație a acestor date. Respectarea acestor reguli este supusă controlului unei autorități independente.

Conform art. 8 din Carta drepturilor fundamentale a UE: Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământul persoanei interesate sau în temeiul unui motiv legitim prevăzut de lege. Orice persoană are dreptul de a accesa datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora. În general, instituțiile și organismele Uniunii Europene nu au permisiunea de a prelucra datele cu caracter personal care comunică informații despre originea rasială sau etnică, opiniile politice, convingerile religioase sau calitate de membru a unui sindicat.

Dreptul de protecție a datelor cu caracter personal se întemeiază pe art. 16 din Tratatul privind funcționarea Uniunii Europene și art. 39 din Tratatul privind Uniunea Europeană și pe prevederile Directivei 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestora, precum și pe art. 8 din Convenția Europeană a Drepturilor Omlui și pe Convenția Consiliului Europei pentru protecția persoanelor față de prelucrarea automată a datelor cu caracter personal din 28 ianuarie 1981, ratificată de toate statele membre. De asemenea, relevant în materie este și Regulamentul (CE) nr. 45/2001 al Parlametului European și al Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și libera circulație a acestora.

Directiva și Regulamentul prevăd condițiile și restrângerile aplicabile exercitării dreptului la protecția datelor cu caracter personal. Astfel prin date cu caracter personal se înțelege orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare sau la mai mulți factori specifici identității fizice, fiziologice, economice, culturale sau sociale. Prin prelucrarea datelor cu caracter personal este definită legislația europeană ca fiind orice operațiune care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea înregistrarea, extragerea, consultarea, utilizarea, dezvăluirea către terți spre transmitere, diseminare sau blocarea, ștergerea sau distrugerea acestora. Orice prelucrare de date cu caracter personal, cu anumite excepții, poate fi efectuată numai dacă persoana vizată și-a dat consimțământul și numai de operatori de date personale autorizați.

În vederea asigurării respectării dreptului persoanelor la confidențialitatea datelor cu caracter personal, articolul 8 din Cartă prevede expres că prelucrarea acestor date se supune controlului unei autorități independente. În România, s-a înființat în acest sens, prin Legea nr. 102/2005, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Atribuțiile Autorității sunt specifice oricărei instituții de control, aceasta investigând prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001. Și aplicând sancțiuni, în cazul în care constată încălcarea dispozițiilor legale de către operatorii de date cu caracter personal. La nivel comunitar Autoritatea Europeană pentru Protecția Datelor este, în principal, responsabilă cu monitorizarea operațiunilor de prelucrare derulate de instituțiile sau de organismele comunitare și cu soluționarea plângerilor formulate împotriva acestora.

1.3. Acquis-ul comunitar al Uniunii Europene

Acquisul comunitar reprezintă ansamblul legislației și jurisprudenței comunitare, conține totalitatea reglementărilor și politicilor Uniunii Europene elaborate până în prezent. Datorită evoluției instituțiilor și politicilor, Uniunea Europeană se află într-un proces de permanentă schimbare, însă derogările la nivel național sunt permise numai în situații excepționale, statele membre angajându-se să accepte și să dezvolte în totalitate acquisul comunitar. Unul din criterile de aderare la Uniunea Europeană este adoptarea și transpunerea în legislația națională a acquisului. Statele candidate la aderarea la Uniune negociază perioade de tranziție pentru implemetarea acestuia și foarte rar unele derogări, însă nu se pot pronunța în privința conținutului.

Legislația europeană se constituie din trei tipuri diferite de legislații care se află într-o relație de inderdependență și care cuprind acquis-ul comunitar:

Legislația primară cuprinde în principal Tratatele și alte acorduri cu un statut similar și este consimțită prin negocierea directă dintre guvernele statelor membre.

Legislația secundară este întemeiată pe Tratate și implică o serie de proceduri definite în diferite articole. În Tratatul de instituire a Comunităților Europene, dreptul comunitar ia următoarele forme:

Regulamente direct aplicabile și cu caracter obligatoriu în toate statele membre excluzând necesitatea aplicării legislației interne.

Directivele care leagă statele membre de obiectivele ce urmează a fi atinse până la o anumită dată-limită, lăsând la latitudinea autorităților naționale alegerea formei și a mijloacelor ce urmează a fi folosite. Directivele trebuie șă fie încorporate în legislația internă conform rocedurilor specifice fiecărui stat.

Decizii care au caracter obligatoriu în toate aspectele lor pentru cei cărora li se adresează. O decizie poate fi adresată unui stat membru sau tuturor statelor mrmbre, persoanelor fizice sau persoanelor juridice.

Recomandări și avize care nu au caracter obligatoriu.

Jurisprudența include hotărârile Curții de Justiție și ale Tribunalului de Primă Instanță.

Acquisul din domeniul protecției datelor cuprinde reglementări privind protecția persoanelor față de prelucrarea datelor cu caracter personal și libera circulație a acestor date, respectiv norme privind prelucrarea datelor cu caracter personal, protecția vieții private în sectorul telecomunicațiilor, categoriile speciale de date, precum și regulile fluxului trans-frontalier de date în cadrul cooperării internaționale.

Obiectivul prevederilor acquis-ului comunitar privind prelucrarea datelor cu caracter personal, avut în vedere cu ocazia transpunerii acestora în legislația națională, este reprezentat de garantarea și protejarea drepturilor și libertățior fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială și privată.

Dreptul fundamental viață intimă și privată este garantat de:

Tratatul privind instituirea Uniunii Europene (TUE), articolul 6;

Carta UE a Drepturilor Fundamentale, 7 decembrie 2000;

Convenția Europeană pentru Protecția Drepturilor și Libertăților Fundamentale ale Omului (ECHR), articolul 8.

Protecția datelor cu caracter personal este prevăzută de următoarele acte normative:

Convenția de Aplicare a Acordului Schengen – art. 126-130- protecția datelor cu caracter personal;

Convenția Consiliului Europei 108/1981 privind protecția persoanlor cu privire la procesarea automată a datelor personale (Strasbourg, 28 ianuarie 1981);

Protocolul adițional al Convenției privind autoritășile de supraveghere și fluxurile de date trans-frontaliere (4 octombrie 2001);

Directiva Consiliului 1995/46/CE a Parlamentului European și a Consiliului European din 24 octombrie 1995 cu privire la protecția persoanelor referitoare la procesarea datelor personale și la libera circulație a acestor date;

Regulamentului (EC) nr. 45/2001 al Parlamentului European și a Consiliului privind la protecția persoanelor referitoare la procesarea datelor personale d către instituțiile și organismele comunitare și la libera circulație a acestor date;

Directiva 2002/58/EC a Parlamentului European și a Consiliului din 12.07.2007 privind procesarea datelor personale și protecția intimității în sectorul comunicațiilor electronice.

Legislația română din domeniul protecției datelor a fost aliniată la acquis-ul comunitar, instituția Avocatului Poporului fiind autoritatea națională însărcinată cu monitorizarea și controlul activităților de prelucrare a datelor cu caracter personal, până la înființarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Prevederile acquis-ului comunitar din acest domeniu sunt transpuse prin Legea 682/2001 de ratificare a Convenției europene privind protecția persoanelor împotriva prelucrării automate a datelor personale, de Legea 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date precum și de Legea privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor.

Capitolul II.

Legislația Uniunii Europene privind protecția datelor cu caracter personal

2.1. Temeiul juridic

Conceptul de viață privată ca drept fundamental apare după cel de-al doilea război mondial, când este inclus în Declarația Universală a drepturilor Omului adoptată de Asunarea Generală a Organizației Națiunilor Unite la 10 septembrie 1948, care prevede în articolul 12: „Nimeni nu va fi supus la imixtiuni arbitrare în viața sa personală, în familia sa, în domiciliul lui sau în corespondența sa, nici la atingeri aduse onoarei și reputației sale. Orice persoană are dreptul la protecția legii împotriva unor asemenea imixtiuni sau atingeri”.

Cu toate că Declarația Universală a influențat evoluția dreptului la viață privată, aceste drepturi fiind incluse în Constituțiile unor state, ea nu are caracter obligatoriu din punct de vedere juridic. Acest rol îi revine Convenției Europeanea Drepturilor Omului (CEDO) intrată în vigoare în septembrie 1953. Convenția Europeană pentru apărarea drepturilor omului și a libertăților fundamentale introduce dreptul la respectarea vieții private și a vieții de familie.

Articolul 8 din CEDO stipulează protecția dreptului la viață privată ca drept al omului prin următorul textul:

1. Orice persoană are dreptul la respectarea vieții sale private și de familie, a domiciliului său și a corespondenței sale.

2. Nu este admis amestecul unei autorități publice în exercitarea acestui drept decât în măsura în care acest amestec este prevăzut de lege și dacă constituie o măsură care, într-o societate democratică, este necesară pentru securitatea națională, siguranță publică, bunăstarea economică a țării, apărarea ordinii și prevenirea faptelor penale, protejarea sănătății sau a moralei, ori protejarea drepturilor și liberăților altora.

Dreptul la protecția datelor personale este reglementat în articolul 8 al Cartei Drepturilor Fundamentale a Uniunii Europene (CDFUE) având următorul text:

1. Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

2. Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora.

3. Respectarea acestor norme se supune controlului unei autorități independente”.

Carta are forță obligatorie în statele membre ale Uniunii Europene începând cu 1 decembrie 2009, data la care a intrat în vigoare Tratatul de la Lisabona. Articolul 6 al acestui Tratat prevede că „Uniunea recunoaște drepturile, libertățile și principiile prevăzute în Carta drepturilor fundamentale a Uniunii Europene din 7 decembrie 2000, în modul în care a fost adoptată la 12 decembrie 2007, la Strasbourg, care are aceeași valoare juridică cu cea a tratatelor”.

2.2. Cadrul instituțional – Tratatul de la Lisabona

Înainte de intrarea în vigoare a Tratatului de la Lisabona, legislația privind protecția datelor în spațiul de libertate, securitate și justiție a fost împărțită între primul pilon (protecția datelor în scopuri private și comerciale, pentru care era utilizată metoda comunitară) și cel de-al treilea pilon (protecția datelor în scopul aplicării legii, la nivel interguvernamental) . O dată cu Tratatul de la Lisabona structura pe bază de pilon a dispărut, acesta consolidând temeiul juridic necesar pentru dezvotarea unui sistem mai eficace de protecție a datelor cu caracter personal. Articolul 16 din Tratutul privind funcționarea Uniunii Europene (TFUE) prevede că Parlamentul și Consiliul stabilesc normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către toate instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele membre, în exercitarea activităților care fac parte din domeniul de aplicarea a dreptului Uniunii.

Tratatul de la Lisabona a modificat cadrul general al Uniunii, inclusiv domeniul protecției datelor personale și a vieții private prin includerea Cartei drepturilor fundamentale a Uniunii Europene.

2.3. Instrumente legislative în materie de protecție a datelor

Carta drepturilor fundamentale ale Uniunii Europne

Articolele 7 și 8 din Cartă recunosc că respectarea vieții private și protecția datelor cu caracter personal sunt drepturi fundamentale stâns legate, dar separate. Carta este integrată în Tratatul de la Lisabona și are forță juridică obligatorie asupra instituțiilor și organelor Uniunii Europene, precum și asupra statelor membre atunci când pun în aplicare dreptul Uniunii.

Consiliul Europei

Convenția 108 a Consiliului Europeipentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal din 28 ianuarie 1981 este primul instrument internațional cu forță juridică obligatorie adoptat în domeniul protecției datelor. Scopul acesteia este de „a garanta fiecărei persoane fizice respectarea drepturilor și libertăților sale fundamentale, și în special, dreptul la viață privată, față de prelucrarea automatizată a datelor cu caracter personal care îl privesc”.

Convenția a instituit principiile prelucrării datelor cu caracter personal (garanții privind calitatea datelor), potrivit cărora datele trebuie să fie:

obținute și prelucrate în mod corect și legal;

colectate în scopuri determinate, explicite și legitime și nu pot fi utilizate în mod incompatibil cu aceste scopuri;

adecvate, pertinente și neexcesive în raport cu scopurile pentru care sunt colectate;

exacte, și după caz, actualizate;

păstrate strict pentru o perioadă care nu o depășește pe cea necesară scopurilor pentru care au fost colectate.

Având în vedere prejudiciile pe care o persoană le poate suporta prin prelucrarea datelor de către terți, Convenția a reglementat noțiunea datelor cu caracter personal speciale și a interzis prelucrarea acestor date. Potrivit Convenției sunt considerate categorii speciale de date cele referitoare la originea rasială, date referitoare la starea de sănătate, convingeri religioase sau de altă natură, opinii politice, sau date referitoare la datele cu caracter personal privind condamnările penale.

Convenția a fost completată prin intermediul Protocolului adițional cu privire la autoritățile de control și fluxul transfrontalier al datelor, adoptat la Strasbourg la 18 noiembrie 2001 și ratificat prin Legea nr. 55/2005.

Protocolul adițional la Convenția 108

Protocolul adițional a adăugat noi prevederi menite să completeze dispozițiile inițiale, în vederea lărgirii ariei de aplicabilitate a principiilor prevăzute în capitolele II și III ale Convenției 108. Protocolul 181 obligă statele semnatare să inființeze pe teritoriul fiecăruia o autoritate de supraveghere care va avea parte de o independență reală în îndeplinirea atribuțiilor de monitorizare și respectare a principiillor protecției datelor cu caracter personal. Adițional, Protocolul 181 a adăugat noi prevederi pentru a reglementa transferul internațional de date cu caracter personal în scopul asigurării creșterii schimburilor de date cu caracter personal între statele semnatare în condițiile respectării unor criterii minime. Prin urmare, în scopul de a asigura o protecție eficientă a vieții private și a datelor cu caracter personal, acestea nu pot fi transmise către terți fără a asigura un nivel adecvat de protecție.

Recomandări sectoriale adoptate de către Comitetul de Miniștri

Prevederile Convenției 108 au fost completate cu dispozițiile supletive adoptate de Comitetul de Miniștri a Consiliului Europei concretizate prin Recomandări.

Recomandarea (83)10 cu privire la protecția datelor cu caracter personal utilizate în scopuri de cercetări științifice și statisticea Comitetului de Miniștri a Consiliului Europei, statuează faptul că respectarea vieții private se impune în derularea oricărui proiect de cercetare în cadrul căruia se prelucrează date cu caracter personal.

Recomandarea (89)15 cu privire la reglementarea prelucrării datelor cu caracter peronal în sectorul polițienesc a Comitetului de Miniștri a Consiliului Europei, stabilește principiile de utilizare ale datelor cu caracter personal raportat la specificul activități desfășurate de poliție, derogările necesare și limitele, precum și rolul de control al autorităților naționale de protecție a datelor cu caracter personal.

Recomandarea (98)2 privind prelucrarea datelor cu caracter personal utilizate în scopul angajării a Comitetului de Miniștri a Consiliului Europei, subliniază faptul că viața privată și demnitatea umană a angajaților trebuie respectate atunci când se colectează și se utilizează datele cu caracter personal în scopul angajării, punându-se accent special pe importanța informării și consultări salariaților de către angajator.

Recomandarea (97)5 privind protecția datelor medicale a Comitetului de Miniștri a Consiliului Europei, prevede reguli de colectare, stocare și transmitere a datelor personale, statuând necesitatea de a se garanta dreptul la viață privată în prelucrarea acestora.

Recomandarea (99)5 pentru protecția vieții private pe internet a Comitetului de Miniștri a Consiliului Europei, conține o serie de principii de prelucrare adecvată destinate furnizorilor de servicii de internet și utilizatorii acestora.

Rezoluția 116(1998) privind dreptul la viață privată, adoptată de Adunarea Parlamentară a Consiliului Europei, reafirmă importanța dreptului fiecărei persoane la viața privată și a dreptului la libertatea de exprimare, ca valori fundamentale pentru o societate democratică, subliniându-se faptul ca acste drepturi sunt de valoare egală.

Instrumente legislative ale Uniunii Europene actuale în vigoare în materie de protecție a datelor.

Directiva 95/46/CE din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date este actul legislativ care reglementează legalitatea prelucrării datelor, stabilește drepturile persoanelor vizate și prevede autorități naționale de supraveghere independente. Directiva stipulează că informațiile cu caracter personal pot fi prelucrate numai dacă persoana fizică în cauză și-a exprimat acordul explicit față de această prelucrare a datelor, asupra căreia a fost informat anterior.

Directiva 95/46/CE reprezintă cadrul de referință, la nivel european, în materie de protecție a datelor cu caracter personal. Acesta instituie un cadru legal de reglementare menit să stabileascăun echilibru între un nivel ridicat de protecție a vieții private a persoanelor și libera circulație a datelor cu caracter personal din cadrul Uniunii Europene. În acest sens, directiva stabilește limite stricte în ceea ce privește colectarea și utilizarea datelor cu caracter personal și solicită ca fiecare stat membru să creeze un organism național independent responsabil cu protecția acestor date.

Articolul 29 din Directiva 95/46/CE a creat Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.

Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind perotecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală reglementează protecția datelor în cadrul fostului al treilea pilon. Decizia-cadru se referă doar la date polițienești și judiciare schimbate între statele membre, autoritățile și sistemele asociate ale Uniunii Europene și nu include datele interne.

Obiectivul Deciziei-cadru îl constituie „asigurarea unui înalt nivel de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice și în special dreptul acestora la o viață privată, în ceea ce privește prelucrarea datelor cu caracter personal în cadrul cooperării polițienești și judiciare în materie penală, prevăzute la titlul VI din Tratatul privind Uniunea Europeană, cu garantarea, în același timp, a unui înalt nivel de securitate publică”.

Convenția de Aplicare a Acordului Schengen din 14 iunie 1985 privind eliminarea graduală a controalelor la frontierele comune, adoptată la 19 iunie 1990, stabilește condițiile circulației persoanelor și cooperarea autorităților în spațiul Schengen.

Directiva 2002/58/EC privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice, adoptată de Parlamentul European și Consiliul Europei, urmărește respectarea drepturilor persoanlor fizice ți a intereselor legitime ale persoanlor juridice, în calitate de abonați ai serviciilor de comunicații electronice, venind în completarea prevederilor Directivei 95/46/CE.

Directiva 2006/24 privind reținerea datelor generate sau prelucrate de furnizorii de servicii de comunicații electronice destinate publicului sau de rețele publice de comunicații, adoptată de Parlamentul European și Consiliu, prevede obligația furnizorilor de servicii de comunicații electronice destinate publicului sau de rețelepublice de comunicații de a asigura crearea unor baze de date ale utilizatorilor, în care datele de trafic și de localizare să fie stocate pe o perioadă cuprinsă între 6 luni și 2 ani, din considerente ce țin de cercetare și urmărire a infracțiunilor grave.

Decizia 2007/533/JHA a Consiliului privind înființarea, funcționarea și utilizarea Sistemului Informatic Schengen de a doua generație (SIS II), contituie cadru legal pentru funcționarea sistemului, înlocuind unele dispoziții din Convenția de Aplicare a Acordului Schengen.

Regulamentul nr. 767/2008 al Parlamentului European și a Consiliului privind Sistemul de informații privind vizele și schimbul de date între statele membre cu privire la vizitele de scurtă durată, definește modalitatea de funcționare și reponsabilitățile cu privire la Sistemul de informații privind vizele între statele membre ale Uniuni Europene și statele asociate care aplică la politica comună privind vizele.

Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date. În conformitate cu acest Regulament, instituțiile Uniunii Europene sunt obligate să asigure protecția drepturilor și libertăților fundamentale, în special dreprul la viață privată în ceea ce privește prelucrarea datelor și libera circulație a acestora în Uniune. Regulamentul stabilește norme generale cu privire la legalitatea prelucrării datelor: principii privind calitatea datelor, categoriile speciale de date, drepturile persoanei vizate, excepții și restricții, confidențialitatea și securitatea prelucrărilor, responsabilul cu protecția datelor, verificarea prealabilă efectuată de Autoritatea europeană pentru Protecția Datelor.

Directiva 2009/136/CE a Parlamentului European și a Consiliului de modificare a Directivei 2002/22/CE privind serviciul universal și drepturile utilizatorilor cu privire la rețelele și și serviciile de comunicații electronice, a Directivei 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice și a Regulamentului (CE) nr. 2006/2004 privind cooperarea dintre autoritățile naționale însărcinate să asigure aplicarea legislației în materie de protecție a consumatorului, reprezintă actul normativ prin care Comisia Europeană a finalizat procedura de revizuire a cadrului european în domeniul comuniațiilor eletronice. Una din principalele obiective ale directivei 2009/136/CE o constituie promovarea intereselor utilizatorilor, prin asigurarea unui nivel înalt de protecție a datelor cu caracter personal și vieții private și prin asigurarea integrității și securității rețelelor și serviciilor de comunicații electronice.

Decizia nr. 371/2009/JAI a Consiliului de înființare a Oficiului European de Poliție, stabilește sfera de competență, sarcinile și regulile ce guvernează activitatea Europol, inclusiv condițiile de prelucrare a datelor cu caracter personal.

Categoriile de date colecate și introduse de Europol pot include doar:

numele de familie, numele de dinaintea căsătoriei, numele de botez, și după caz, pseudonimul sau orce alt nume utilizat;

data și locul nașterii;

naționalitatea;

sexul;

dacă este necesar, orice alte caracteristici care pot fi utlizate pentru identificare, inclusiv orice caracteristici fiziologice obiective și inalterabile.

În conformitate cu prevederile Deciziei Consiliului 2009/371/JAI a fost înființat Organismul Comun de Supraveghere al Europol – Joint Supervisory Body (JSB) of Europol, care are ca rol principal verificarea respectării principiilor referitoare la protecția datelor, sau de verificare a modului în care sunt prelucrate datele personale la nivelul Europol.

Autoritatea Europeană pentru Protecție Datelor și Grupul de Lucru „Articolul 29”

Autoritatea Europeană pentru Protecția Datelor (AEPD) este o autoritate de supraveghere independentă care se asigură că instituțiile și organele Uniunii Europene își respectă obligațiile în materie de protecție a datelor care sunt prevăzute în Regulamentul (CE) nr. 45/2001 privind protecția datelor. Principalele atribuții ale Agenției Europene pentru Protecția Datelor sunt supravegherea, consultarea și cooperarea. De asemenea, agenția consiliază instituțiile și organele Uniunii Europene cu privire la toate aspectele care au efecte asupra protecției datelor cu caracter personal.

Grupul de lucru „Articolul 29” este un organ consultativ independent din domeniul protecției datelor și al vieții private, înființat în conformitate cu articolul 29 din Directiva privind protecția datelor. Acest grup este alcătuit din reprezentanți ai autorităților naționale de protecție a datelor din Uniune, ai Autorității Europene pentru Protecția Datelor și ai Comisiei. Grupul emite recomandări, avize și documente de lucru, iar Secretariatul grupului de lucru este asigurat de Comisie.

Grupul de lucru articolul 29 examinează orice chestiune referitoare la punerea în aplicare a dispozițiilor de drept intern adoptate în temeiul Directivei 95/46/CE, pentru a contribui la aplicarea unitară a dispozițiilor legale. Grupul are rolul de a elabora un Raport anual privind situația protecției persoanelor fizic în ceea ce privește prelucrarea datelor cu caracter personal în Uniunea Europeană și în țările terțe pe care îl remite Comisiei Europene, Parlamentului European și Consiliului.

Grupul de Lucru:

emite opinii, la cererea Comisiei, asupra nivelului de protecție a datelor în statele membre și cele nemembre;

emite avize consultative asupra proiectelor de modificare a Directivei, asupra tuturor proiectelor de măsuri adiționale sau specifice luate pentru apărarea drepturilor și libertăților persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, precum și asupra altor proiecte de măsuri comunitare având incidență asupra acestor drepturi și libertăți;

emite avize asupra codurilor de conduită elaborate la nivel comunitar;

emite recomandări, precum și alte documente asupra tuturor problemelor referitoare la protecția persoanelor cu privire la prelucrarea datelor cu caracter personal în cadrul Comunității, în vederea aplicării unitare a actelor normative naționale care transpun dispozițiile comunitare în materie.

Capitolul III.

Transpunerea acquis-ului european privind protecția datelor personale în legislația internă românească

Acquis-ul comunitar reprezintă totalitatea izvoarelor/surselor dreptului Uniunii Europene. Acesta înglobează atât tratatele comunitare și legislația secundară adoptată de instituțiile Uniunii, cât și jurisprudența Curtții de Justiție a Comunității Europene, actele internaționale la care Comunitatea este parte, precum și celelalte acte încheiate între statele membre ale Uniunii Europene.

Prelucrarea acquis-ului are loc prin intermediul procesului de armonizare legislativă, proce prin care legislația nou-adoptată este pusă în conformitate cu cerințele acquis-ului comunitar.

Procesul de armonizarea a legislației naționale cu reglementările comunitare reprezintă un obiectiv esențial ce se regăsește în strategia de aderare la Uniunea Europeană, al oricărui stat candidat la calitatea de membru, fiind în același timp o obligație juridică ce decurge din Acordul European de asociere România-Uniunea Europeană, ratificat prin Legea nr. 20/1993. Capitolul III din Titlul V din Acord este consacrat exclusiv al armonizării legislativ. Potrivit art. 70 din Acord, armonizarea legislației a urmărit domeniile: legea vamală, legea bancară, proprietatea intelectuală, securitatea socială, protecția sănătății și vieții oamenilor, protecția consumatorilor, legile și reglementările în domeniul nuclear, transport și mediu, protecția forței de muncă i a locurilor de muncă, serviciile financiare.

În cadrul procesului de negociere a aderării României la structurile Uniunii Europene, domeniul protecției datelor personale a fost o componentă a acquis-ului comunitar, în legătură cu îndeplinirea criteriilor economice (Libera circulație a serviciilor) și cu capacitatea de asumare a obligațiilor ce revin unui stat membru (Cooperarea în domeniul justiției și afaceri interne).

În sistemul legislativ din România, art 26 din Constituția României garantează dreptul la viață intimă, familială și privată, în capitolul Drepturi și libertăți fundamentale, prevăzând că „1) Autoritățile publice respectă și ocrotesc viața intimă, familială și privată. 2) Persoana fizică are dreptul să dispună de ea, dacă nu încalcă drepturile și libertățile altora, ordinea publică sau bunele moravuri”. Dreptul la viață privată se află în strânsă corelație cu principiul libertății individuale prevăzut în art. 21, principiul inviolabilității domiciliului prevăzut în art. 27 și principiul secretului corespondenței prevăzut în art. 28 din Constituția României.

Prevederile Directivei 95/46/CE a Parlamentului European și a Consiliului au fost transpuse în legislația românească prin adoptarea Legii nr. 667/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, lege ce reglementează regulile generale și speciale de colectare, stocare și utilizare a datelor cu caracter personal. Actul normativ constituie nucleul unui sistem normativ consacrat protecției vieții private și a protecției datelor cu caracter personal, reprezentând legea-cadru în materia protecției datelor cu caracter personal. Legea 677/2001 a conferit autorității de supraveghere independență deplină și a investit-o cu atribuții de investigare, control și intervenție, de consultare, reglementare și informare publică, preluând atribuțiile încredințate inițial instituției Avocatului Poporului, aducând la îndeplinire solicitărilor prevăzute în Directiva 95/46/CE, referitor la înființarea unor autorități naționale de supraveghere care să poată îndeplini atribuții specifice de monitorizare și control în domeniul protecției datelor cu caracter personal.

În dreptul intern românesc, Directiva 2002/58/CE privind preluarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice, a fost transpusă prin Legea nr. 506 /2004 privind protecția vieții private în domeniul comunicațiilor electronice. Prin Legea nr. 506/2004 s-a urmărit stabilirea unor condiții specifice aplicabile furnizorilor de rețele publice de comunicații electronice și furnizorilor de servicii de comunicații electronice destinate publicului, precum și furnizorilor de registre ale abonaților care prelucrează date cu caracter personal, în cadrul activității lor comerciale.

Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a prelucrării Datelor cu Caracter Personal, a consfințit crearea unei autorități naționale independente și autonome a protecției datelor cu caracter personal, atribuțiile și aria de acțiune a acesteia. Legea nr. 102/2005 a adus câteva modificări prevederilor Legii nr. 677/2001, prin referiri exprese la Autoritatea Națională de Supraveghere a Prelucrării datelor cu Caracter Personal. Parlamentul României a adoptat Legea nr. 102/2005 care reglementează înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a prelucrări Datelor cu Caracter Personal din care reiese că Autoritatea Națională de supraveghere a prelucrării Datelor cu Caracter Personal este o autoritate publicăcu personalitate juridică, autonomă și independentă față de orice altă autoritate publică, precum și față de orice persoană fizică sau juridică din domeniul privat. O altă modificare produsă de Legea nr. 102/2005 este aceea a abrogării art. 27 alin. (5) din legea 677/2001 care prevedea necesitatea obținerii acordului prealabil al organului de urmărire sau al instanței judecătorești, în vederea inițierii unei investigații referitoare la o prelucrare de date cu caracter personal din sfera activităților specifice dreptului penal.

În perspectiva aderării României la spațiul Schengen a fost adoptată Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministterului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice. Legea nr. 238/2009 a stabilit reguli specifice de utilizare a datelor cu caracter personal, având ca punct de plecare Recomandarea (87)15 a Comitetului de Miniștri a Consiliului Europei, ce reglementează prelucrarea datelor cu caracter personal în sectorul polițienesc, precum și dispozițiile Deciziei-Cadru 2008/977/JAI a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală.

Totodată, în contextul aderării la spațiul Schengen, cadrul legislativ românesc a fost completat cu Legea nr. 141/2010 privind înființarea, organizarea și funcționarea Sistemului Informatic Național de Semnalări și participarea României la Sistemul de Informații Schengen și Legea nr. 271/2010 pentru înființarea, organizarea și funcționarea Sistemului național de informații privind vizele și participarea României la Sistemul de informații privind vizele.

Prin Legea 506/2004 privind protecția vieții private în domeniul comunicațiilor electronice s-a transpus Directiva 2002/58/CE a Parlamentului European și a Consiliului Europei privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Legea 506/2004 a fost modificată prin O.U.G. nr. 13/2012 pentru modificarea și completarea Legii nr. 506/2004 privind protecția vieții private în domeniul comunicațiilor electronice, izvorâtă din necesitatea transpunerii Directivei 2009/138/CE. Elementul de noutate al noului act normativ constă în obligația furnizorilor de servicii de comnicații electronice de a notifica, fără întârziere, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în cazul apariției unei încălcări a securității datelor cu caracter personal.

Transpunerea prevederilor Deciziei 2009/371/JAI a Consiliului privind înființarea Oficiului european de poliție s-a realizat prin adoptarea Legii nr. 55/2012 privind cooperarea României cu Oficiul European de Poliție (Europol), reglementându-se astfel regimul juridic aplicabil cooperării dintre Europol și autoritățile judiciare române.

O ultimă reglementarea apărută în domeniul protecției datelor cu caracter personal este Legea nr. 82/2012 privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului, precum și pentru modificarea și completarea Legii nr. 506/2004 privind ptotecția vieții private în domeniul comunicațiilor electronice, prin care au fost transpuse prevederile Directivei 2006/24/CE. Legea nr. 298/2008 ce reprezenta reglementarea națională anterioară a Directivei menționate a fost declarată neconstituțională de către Curtea Constituțională, prin Decizia 1258/2009.

Capitolul IV.

Drepturile de care beneficiază persoanele fizice ale căror date sunt prelucrate de instituții sau organe comunitare

Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date este menită să protejeze drepturile și libertățile în acest domeniu, stabilind orientări pentru a determina caracterul ilicit al prelucrării datelor.

Conform legii europene, articolul 12 din Directiva 95/46/CE privind protecția datelor garantează dreptul de acces al persoanelor vizate de a obține de la operator: „confirmarea că datele care o privesc sunt sau nu prelucrate, precum și informații referitoare la scopul prelucrării, categorii de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele” și „după caz, rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile prezentei directive, în special datorită caracterului incomplet sau inexact a datelor”.

În dreptul Consiliului Europei, aceste drepturi există și trebuie să fie prevăzute de legislația internă a statelor membre, conform articolului 8 din Convenția 108. În mai multe recomandări ale Consiliului, termenul „acces” este folosit iar diferite aspecte de drept de acces sunt descrise și propuse pentru punerea în aplicare în dreptul intern în același mod precedent subliniat.

În conformitate cu articolul 9 al Convenției 108 și articolul 13 din Directiva 95/46/CE privind protecția datelor, obligația operatorilor de a răspunde cererii de acces poate fi limitată datorită intereselor legale imperative ale altora. Prioritatea intereselor legale poate implica interesele publice, securitatea națională, siguranța publică și urmărirea penală a infracțiunilor, precum și interesele private, care sunt mai importante decât protecția datelor, precum cele economice sau financiare ale statelor membre sau Uniunii Europene. Orice derogări sau restricții sunt necesare într-o societate democratică și trebuie să fie proporționate cu obiectivul urmărit. În situații excepționale, ca de exemplu din cauza unor indicații medicale, protecția vizată poate necesita în sine o restricție de transparență. Acesta se referă la restricționarea dreptului de acces al oricărei persoane vizate.

Ori de câte ori datele sunt prelucrate în scopul cercetării sau în scopuri statistice, Directiva 95/46/CE permite ca drepturile de acces să fie restricționate de legile naționale „în cazul în care nu există clar riscuri de încălcare a vieții private a persoanei vizate”. Dispoziții similare sunt incluse și în articolul 9 aliniatul (3) din Convenția 108.

1. Dreptul la informare

Conceput din rațiuni de asigurare a unei relații de deschidere a operatorului față de persoanele fizice ale căror date cu caracter personal le prelucrează, dreptul de informare a fost consacrat prin articolul 8 lit. a) al Convenției Consiliului Europei nr. 108/1981, care stipulează că orice persoană trebuie să aibă cunoștință de existența unui fișier automatizat de date cu caracter personal, de scopurile sale principale, precum și de identitatea și de locul de reședință obișnuit sau de sediul principal al operatorului.

Directiva 95/46/CEcuprinde dispoziții generale din care reiese că persoanele vizate trebuie să fie informate cu privire la drepturile lor în materie de protecție a datelor personale. Articolul 10 din Directiva 95/46/CE precizează informațiile ce trebuie furnizate persoanei vizate atunci când datele care o privesc sunt colectate în mod direct de la acesta, iar articolul 11 prevede informațiile ce trebuie furnizate persoanei vizate atunci când datele care o privesc sunt colectate de la un terț.

Cerințele Directivei disting două tipuri de informații:

informații principale privind identitatea operatorului sau a reprezentatului acestuia, scopul prelucrării, cu excepția cazului în care persoana vizată este deja informată cu privire la aceste date;

informații adiacente privind destinatarii datelor, caracterul obligatoriu sau facultativ al furnizării datelor, existența dreptului de acces și de intervenție, atunci când aceste informații suplimentare sunt necesare în vederea asigurării unei prelucrări corecte a datelor cu caracter personal față de persoanele vizate.

În legislația națională, dreptul la informare este consacrat prin art. 12 din Legea nr. 677/2001, drept ce reprezintă posibilitatea recunoscută persoanei vizate de a cunoaște elementele esențiale și minime legate de prelucrarea datelor sale cu caracter personal.

Potrivit art. 12 alin. (1) din Legea nr. 677/2001, operatorul are obligația să aducă la cunoștiința persoanelor de la care colectează direct date cu caracter personal, următoarele informații:

identitatea sa și a reprezentantului său, dacă este cazul;

scopul în care se face prelucrarea datelor;

informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;

orice alte informații ale căror furnizare este impusă prin dispoziție a Autorității Naționale de Supraveghere, ținând seama de specificul prelucrării.

Potrivit art. 12 alin (2) din Legea nr. 677/2001, în cazul în care datele nu sunt obținute diret de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenționează dezvăluirea acestora către terți, cel mai tarziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puțin următoarele informații, cu excepția cazului în care persoana vizată posedă deja informațiile respective:

identitatea sa și a reprezentantului său, dacă este cazul;

scopul în care se face prelucrarea datelor;

informații suplimentare, precum: categoriile de date vizate, destinatarii sau categorile de destinatari ai datelor, existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;

orice alte informații ale căror furnizare este impusă prin dispoziție a Autorității Naționale de Supraveghere, ținând seama de specificul prelucrării.

Dovada operatorilor că și-a îndeplinit obligația de a informa persoana vizată poate fi făcută: în scris, prin afișare la sediu, pe pagina web a operatorului sau verbal, doar în situații excepționale.

Excepțiile de la obligația de a informa persoana vizată sunt limitativ prevăzute de art. 12 alin. (3) și (4) din Legea nr. 677/2001 și sunt aplicabile numai în cazul colectării indirecte a datelor cu caracter personal, în unul dintre cazurile:

când prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau științifică;

dacă furnizarea de informațiise dovedește imposibilă sau ar implica un efort disproporționat față de interesul legitim care ar putea fi lezat;

când prelucrarea datelor se efectuează în mod exclusiv în scopuri jurnalistice, literare sau artistice, și aplicarea acestora ar da indicii asupra surselor de informare.

2. Dreptul de acces la propriile date

Potrivit Consiliului European, dreptul de a accesa propriile date este recunoscut în mod explicit de articolul 8 din Convenția 108. Curtea Europeană a Drepturilor Omului a susținut în numeroase rânduri faptul că dreptul de a accesa informațiile despre datele personale proprii sau utilizate de alții s-a născut din nevoia de a respecta viața privată. Conform art. 8 lit.b) a Convenției Consiliului Europei nr. 108/1981, orice persoană are dreptul să obțină, la intervale rezonabile și fără întârziere sau cu cheltuieli excesive, confirmarea existenței sau inexistenței în fișierul automatizat de date cu caracter personal care o privesc, precum și comunicarea acestor date sub o formă intangibilă.

Conform legislației europene, dreptul de a accesa propriile date este reunoscut de articolul 12 din Directiva 95/46/CE, și ca drept fundamental, prin articolul 8 aliniatul (2) al Cartei.

Articolul 12, litera a) din Directiva 95/46/CE prevede că statele membre trebuie să garanteze oricărei persoane vizate dreptul de acces la datele lor personale. În special, orice persoană are dreptul de a obține de la operator confirmarea dacă datele referitoare la propria persoană sunt sau nu prelucrate și dacă acestea acoperă următoarele informații:

scopul prelucrării;

categoriile de date în cauză;

datele ce fac obiectul prelucrării;

destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;

informațiile disponibile cu privire la originea datelor;

informații cu privire la principiile de funcționare a mecanismului prin care se efectuează prelucrarea automată a datelor.

În plan național, conform prevederilor art. 13 din Legea nr. 677/2001, orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit, pentru o solicitare pe an, confirmarea faptului că datele sale personale sunt sau nu prelucrate de acesta, precum și,concomitent cu confirmarea, următoarele informații:

informațiile referitoare la scopurile prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt dezvăluite;

comunicarea într-o formă intangibilă a datelor care fac obiectul prelucrării, precum și a oricărei informații disponibile cu privire la originea datelor;

informații asupra principiilor de funcționare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;

informații privind existența dreptului de intervenție a datelor și a dreptului de opoziție, precum și condițiile în care pot fi exercitate;

informații asupra posibilității de a consulta registrul de evidență a prelucrărilor de date cu caracter personal, de a înainta plângere către autoritatea de supraveghere și de a se adresa instanței în conformitate cu dispozițiile legale.

Dreptul de acces se exercită prin formularea unei cereri în scris, datată și semnată, în care solicitantul poate indica adresa unde dorește să primească răspunsul, ori de câte ori consideră necesar, însă numai o dată pe an în mod gratuit, operatorul având posibilitatea de a impune un tarif pentru cazul mai multor solicitări. Operatorul este obligat să comunice informațiile solicitate, în termen de 15 zile de la data primirii cererii.

Dreptul de acces la datele privind starea de sănătate

Dreptul de acces la datele privind starea de sănătate poate fi exercitată de persoana vizată direct sau prin intermediul unui cadru medical desemnat de acesta, conform art. 13 alin. (4) și (5) din Legea nr. 677/2001.

Legea instituie o excepție de la obligația comunicării în termen de 15 zile a informațiilor solicitate, în cazul în care datele privind starea de sănătate sunt prelucrate în scop de cercetare științifică.

Nerespectarea dreptului de acces a persoanelor vizate poate constitui contravenție de prelucrare nelegală de date cu caracter personal și sancționează conform art. 31 cu amendă.

4. Dreptul de intervenție

Prima consacrare juridică a acestui drept s-a realizat prin art. 8 lit. c) a Convenției 108 a Consiliului Europei, care a instituit posibilitatea oricărei persoane de a obține, dacă este cazul, modificarea datelor sale personale, sau ștergerea lor, dacă au fost prelucrare fără a se respecta dispozițiile din dreptul intern.

„Întrucât orice persoană trebuie să poată beneficia de dreptul de acces la datele cu caracter personal care face obiectul prelucrării, pentru a se asigura în special de exactitatea datelor și de legalitatea prelucrării acestora”.

În conformitatea cu aceste principii,articolul 12 lit. b) din Directiva 95/46/CE dispune că persoanele vizate trebuie să aibă dreptul, în temeiul legislației interne, de a obține din partea operatorului rectificarea, ștergerea sau blocarea datelor ce îi privește, dacă aceștia consideră că prelucrarea nu respectă dispozițiile directivei, în special datorită caracterului incomplet sau inexact al datelor.

Prin art. 12 lit.c) a directivei, se consacră și posibilitatea persoanei vizate să ceară operatorului să notifice terții cărora le-a dezvăluit datele sale, cu condiția ca notificarea să nu fie imposibilă sau să nu implice un efort disproporționat față de interesul legitim care ar putea fi lezat.

În unele cazuri, va fi suficient pentru o persoană care face obiectul datelor să facă o cerere de rectificare, de exemplu, schimbarea adresei sau numărului de telefon, sau ortografia numelui. Cu toate acestea, în cazuri în care astfel de cereri sunt legate de probleme juridice, sau reședința pentru livrarea documentelor juridice, cererile pentru rectificare nu este suficientă iar operatorul poate avea dreprul de a cere dovada inexactității presupuse.

Pentru legislația română acest drept a fost preluat prinprevederile art. 14 din Legea nr. 677/2001, potrivit căreia „orice persoană vizată are dreptul de a obține, în mod gratuit, de la operator, printr-o cerere întocmită în scris, datată și semnată”:

rectificarea, actualizarea, blocarea sau ștergerea datelor a căror prelucrare nu sunt conforme, în special a datelor incomplete și inexacte;

transformarea în date anonime a datelor cărăr prelucrare nu este conformă cu Legea nr. 677/2001;

notificarea către terții cărora le-au fost dezvăluite datele, dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat față de interesul legitim care ar putea fi lezat.

Exercitarea acestui drept se realizează printr-o cerere scrisă, datată și semnată, la care operatorul are obligația de a răspunde în termen de 15 zile, în caz contar nerespectarea dreptului de intervenție poate constitui contravenție de prelucrare nelegală de date cu caracter personal și se sancționează cu amendă, conform art. 32.

Spre deosebire de celelalte drepturi prevăzute de Legea nr. 677/2001, dreptul de interveenție se exercită întotdeuna în mod gratuit, ca efect al aplicării principiului calității datelor, ce implică realizarea de prelucrări exacte și actualizate a datelor

5. Dreptul de a nu fi supus unei decizii individuale

În considerarea evoluțiilor tehnologice și a riscurilor implicate de acestea pentru viața privată, s-a considerat că orice persoană trebuie să cunoscă logica pe care se bazează o prelucrare automată de date personale.

Astfel, prin dispozițiile art. 15 din Directiva 95/46/CE, s-a recunoscut dreptul fiecărei prrsoane de a nu face oboectul unei decizii care să producă efecte juridice asupra sa ori să nu o afecteze în mod semnificativ și care să fie întemeiată numai pe prelucrarea automatizată destinată să evalueze anumite aspecte ale personalității sale, precum: conduita, randamentul profesional, credibilitatea, etc.

Potrivit art. 15 alin. 2 din directivă, o persoană poate face obiectul unei decizii automate numai dacă o astfel de decizie:

este luată în cursul încheierii sau executării unui contract, cu condiția ca cererea de încheiere sau de executare a contractului introdusă de persoana vizată să fi fost satisfăcută sau ca unele măsuri adecvate, cum ar fi posibilitatea de a-și susține punctul de vedere, să garanteze apărarea interesului său legitim;

este autorizată printr-un act cu putere de lege care stabilește măsurile de garantare a apărării interesului legitim al persoanei vizate.

În plan național, prin art. 17 din Legea nr. 677/2001 s-a stabilit dreptul de anu fi supus unei decizii individuale implică dreptul persoanei vizate de a cere și de a obține:

retragerea sau anularea oricărei decizii care produce efecte juridice în privința sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloac automate, destinate să evalueze unele aspecte ale personalității sale, precum: competența profesională, comportamentul, credibilitatea sau alte aspecte;

reevaluarea oricărei alte decizii luatee în privința sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întrunește condițiile prevăzute mai sus.

Legea nr. 677/2001 prevede două situații, prevăzute în art. 17 alin. (2), în care o persoană poate fi supusă unei decizii, cu respectarea celorlalte garanții prevăzute de lege, numai în următoarele situații:

decizia este luată în cadrul încheierii sau executării unui contract, cu condiția ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, pfrecum posibilitatea de a-și susține punctul de vedere, să garanteze apărarea propriului interes legitim;

decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.

Exercitarea acestui drept se realizează printr-o cerere scrisă, datată și semnată, la care operatorul are obligația de a răspunde în termen de 15 zile de la data primirii cererii, prin comunicarea măsurilor luate.

O excepție de la obligația de a răspunde cererii solicitantului este instituită în cazul activităților de prevenire, cercetare și reprimare a infracțiunilor, de menținere a ordinii publice, precum și alte activități din domeniul dreptului penal. După încetarea situației respective, autoritățile publice trebuie să asigure informarea persoanelor vizate.

6. Dreptul de opoziție

Dreptul de opoziție legate de situația particulară a persoanei vizate

Conform articolul 14, litera (a) din Directiva privind datele persoanale, împuternicește persoanele vizate de a ridica obiecții din considerente întemeiate și legitime, exceptând cazul când dreptul intern prevede altfel. Dacă opoziția este justificată, preluarea efectuată de operator nu se mai aplică acestor date.

Dreptul de opoziție a prelucrării datelor în scopul prospectării.

Potrivit articolului 14, litera (b) a Directivei privind protecția datelor, persoana vizată are dreptul de a se opune, la cere și gratuit, prelucrării datelor cu caracter personal care o privesc de către operator în scopul prospectării sau de a fi informat înainte ca datele cu caracter personal să fie comunicate pentru prima oară terților în scopul prospectării și de a i se oferi în mod expres dreptul de a se opune, gratuit, unei astfel de comunicări sau utilizări.

Pe plan național, dreptul de opoziție este reunoscut prin art. 15 din Legea nr. 677/2001, care prevede că persoana vizată are dreptul de a se opune în orice moment, printr-o cerere întocmită în formă scrisă, datată și semnată, din motive întemeiate și legitime legate de situația sa particulară, ca datele care o vizează să facă obiectul unei prelucrări, cu excepția cazurilor în care există dispoziții legale contrare.

În considerarea riscurilor existente în activitatea de marketing direct, articolul 15 alin. (2) a stabilit că persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nicio justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terț, sau să fie dezvăluite unor terți într-un asemenea scop.

Potrivit art. 15 alin. (4), operatorul are obligația de a comunica persoanei vizate măsurile luate și, dacă este cazul, numele terțului căreia i-au fost dezvăluite datele cu caracter personal, în termen de 15 zile de la data primirii cererii.

Nerespectarea dreptului de opoziție poate constitui contravenție de prelucrare nelegală de date cu caracter personal și se sancționează conform art. 32, cu amendă, dacă nu este săvârșită în condiții care să contituie infacțiune.

7. Dreptul de a se adresa cu plângere autorității naționale de supraveghere

Prin art.8 lit.d) al Convenției 108 a Consiliului Europei se stabilește posibilitatea oricărei persoane de a dispune de o cale de atac, dacă nu s-a dat curs la o cerere de comunicare sau dacă este cazul de comunicare, de modificare sau ștergere a datelor.

Luând în considerare rolul autorităților de protecție a datelor cu caracter personal din fiecare stat membru pe linia supravegherii prelucrării datelor, art. 28 alin. (4) din Directiva 95/46/CE prevede posibilitatea ca fiecare autoritate de supraveghere să fie sesizată printr-o plângere depusă de oric persoană cu privire la legalitatea prelucrării datelor sale.

Pe plan național, în vederea apărării drepturilor prevăzute de Legea nr. 677/2001, potrivit art. 25, persoanele ale căror date cu carater personal care fac obiectul unei prelucrări pot înainta o plângere către Autoritatea națională de Supraveghere.

În vederea soluționării unei plângeri de către Autoritatea Națională de Supraveghere sunt necesare îndeplinirea a două condiții:

persoana vizată să se fi adresat în prealabil operatorului, printr-o cerere cu același conținut, iar operatorul să nu fi satisfăcut solicitările persoanei vizate în termen de 15 zile

să nu fi fost înaintată anterior o cerere în justiție, cu același obiect și opunând aceleași părți, expresie a principiului separației și echilibrului puterilor în stat.

Dacă plângerea este găsită întemeiată, autoritatea de suptaveghere poate emite o deizie prin care dispune suspendarea provizorie sau înectarea prelucrării datelor, ștergerea parțială sau integrală a prelucrării datelor și poate să sesizeze organele de urmărire penală sau să intenteze acțiune în justiție. Decizia trebuie motivată și se comunică părților interesate în termen de 30 de zile de la data plângerii.

8. Dreptul de a se adresa justiției

Art. 22 din Directiva 95/46/CE menționează obligația statelor membre de a prevede dreptul oricărei persoane la o cale de atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză, fără să se aducă atingere oricărei căi administrative de atac. Această cale de atac poate fi exercitată în fața autorității naționale de supraveghere, anterior sesizării judecătorești.

Drept fundamental al omului recunoscut în instrumentele juridice internaționale și comunitare, dreptul de a se adresa justiției este consacrat constituțional prin art. 21 din Constituția României.

Legea nr. 677/2001, art. 18 alin. (1) consacră, în legislația românească, dreptul de a se adresa justiției pentru apărarea drepturilor privind protecția datelor personale.

Astfel, art. 18 din Legea nr. 677/2001 dispune că orice persoană care a suferit un prejudiciu în urma unei prelucrări ilegale de date cu caracter personal, se poate adresa instanței competente în a cărei rază teritorială domiciliază persoana reclamantul pentru repararea prejudiciului cauzat. În același articol, legiuitorul mai prevede și scutirea taxei de timbru a cereri de chemare în judecată.

Capitolul V.

Tendințe și perspective europene în reglementarea domeniului protecției datelor cu caracter personal

La sfârșitul anului 2010, Comisia Europeană a adresat Parlamentului și Consiliului o comunicare, intitulată „O abordare integrală a protecției datelor personale în Uniunea Europeană”, izvorâtă din intenția de revizuire a cadrului legal european în domeniul protecției datelor cu caracter personal și care la are la bază o consultare publică lansată în anul 2009.

Principalele obiective stabilite în acest document de poziție al Comisiei Europene au constat în:

întărirea drepturilor persoanelor fizice prin:

asigurarea unei protecții adecvate a persoanelor fizice în orice circumstanță;

creșterea transparenței față de persoanele vizate;

asigurarea controlului asupra operatorului;

creșterea gradului de informare a publicului asupra principiilor prelucrării datelor cu caracter personal;

asigurarea existenței unui consimțământ liber exprimat și informat;

protejarea datelor sensibile;

întărirea sancțiunilor contravenționale și a măsurilor obligatorii.

asigurarea dimensiunii pieței interne prin:

armonizarea regulilor de protecție a datelor personale la nivel european;

reducerea birocrației în sensul simplificării și uniformizării procedurii de notificare a operatorilor;

clarificarea legii aplicabile;

ccreșterea responsabilității operatorilor în respectarea principiilor și normelor de prelucrare a datelor cu caracter personal;

încurajarea inițiativei operatorilor de elaborare a unor coduri de conduită proprii în scopul îmbunătățirii aplicării reglementărilor din domeniul protecției datelor personale.

revizuirea regulilor de protecție a datelor personale din domeniul poliției și al cooperării judiciare în materie penală, în considerarea Deciziei-Cadru 2009/977/JHA privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală.

globalizarea protecției datelor personale prin:

clarificarea și simplificarea regulilor de transfer al datelor personale la nivelul Uniunii Europene și a Zonei Economice Europene;

promovarea principiilor universale de protecție a datelor personale în scopul asigurării unor standarde legale și tehnice de cel mai înalt nivel în domeniu.

consolidarea capacității instituționale a auorităților naționale de protecție a datelor personale în scopul aplicării adecvate a principiilor de prelucrare a acestora prin:

întărirea rolului autorităților naționale de protecție a datelor personale;

creșterea cooperării dintre autoritățile naționale de protecție a datelor personale;

creșterea rolului Grupului de Lucru Art. 29, în scopul unei aplicări uniforme a reglementărilor specifice din domeniul protecției datelor personale.

Comisia Europeană și-a exprimat intenția de revizuire a cardrului normativ european în domeniul proteției datelor în scopul creșterii gradului de peotejare a persoanelor fizice în toate domeniile. În acest context se are în vedere și adaptarea Regulametului 45/2001 al Parlamentului European și al Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

Astfel, în vederea creării unui cadru mai solid și mai coerent în materia protecției datelor personale, legiuitorul european a avansat două inițiative legislative:

o propunere de regulament privind protecția persoanelor fizice referitoare la prelucrarea datelor cu caracter personal și la libera circulație a acestor date, care vizează înlocuirea Directivei 95/46/CE.

o propunere de directivă privind protecția persoanelor fizice referitoare la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și libera circulație a acestor date, care va înlocui Decizia-cadru 2008/977/JAI.

Doamna Viviane Reding, vicepreședinte al Comisiei Europene și comisar european pentru justiție, drepturi fundamentale și cetățenie a declarat, în contextul constituirii unei modalități optime de promovare a standardelor Uniunii la nivel global, următoarele: „Protecția datelor cu caracter personal este un drepr fundamental. Pentru a garanta acest drept, avem nevoie de norme clare și coerente în materie de protecție a datelor. De asemenea, este necesar să ne adaptăm legislația la provocările generate de noile tehnologii și de globalizare”.

Comisia Europeană a motivat alegerea instrumentului juridic al Regulamentului în vederea:

asigurarea securității juridice și transparenței pentru operatorii economici;

oferirii persoanelor fizice a aceluiași nivel de drepturi garantate din punct de vedere juridic în toate statele membre;

stabilirii de responsabilități pentru operatori și persoanele împuternicite;

asigurării unei monitorizări coerente a prelucrării datelor cu caracter personal;

existența unui regim sancționator uniform la nivelul tuturor statelor membre;

favorizării cooperării eficiente a autorităților de supraveghere ale diferitelor state membre.

În contextul în care dreptul la protecția datelor cu caracter personal a fost recunoscut ca drept fundamental prin Tratatul de la Lisabona, principalele noutăți aduse de propunerile de reglementări constau în:

reglementarea „dreptului de a fi uitat”, în temeiul căruia fiecare persoană poate cere să se șteargă datele care o privesc, în mediul on-line, în cazul în care nu există motive întemeiate pentru păstrarea lor;

recunoașterea și reglementarea conținutului dreptului la portabilitatea datelor, în mediul electronic;

eliminarea obligației operatorilor de notificare a prelucrării datelor cu caracter personal la autoritatea națională de protecție a datelor cu caracter personal;

statuarea expresă a principiului responsabilității operatorilor;

stabilirea unei noi obligații a operatorilor, în cazul apariției unei încălcări a securității datelor deținute, de a anunța autoritatea națională de protecție a datelor personale, în termen de 24 de ore;

clarificarea condițiilor de existență a consimțământului, prin menționarea expresă că acesta trebuie acordat în mod explicit și nu implicit;

stabilirea modalității de numire a conducerii autorităților naționale indpendente privind protecția datelor, de către Guvern sau Parlament;

stabilirea efectivă a cuantumului amanzilor ce pot fi aplicate operatorilr de către autoritățile naționale de protecție a datelor personale, ce pot ajunge până la cifra de 2% din cifra de afaceri anuală globală realizată de un operator, persoană juridică de drept privat.

Capitolul VI.

Autoritatea Europeană pentru Protecția Datelor – autoritate independentă de supraveghere

Autoritatea Europeană pentru Protecția Datelor (AEPD) s-a înființat în anul 2001 și s-a format în conformitate cu art. 286 alin.(2) din Tratatul de Instituire a Comunității Europene și pentru a asigura aplicarea Regulamentului CE 45/2001, atât tratatul cât și regulamentul urmăresc alinierea protecției datelor în instituțiile din Comunitatea Europeană.

Autoritatea pentru Protecția Datelor este singura autoritate cu competențe privind datele prelucrate de către instituțiile și organele comunitare. Aceasta nu are competențe la nivel național și prin urmare, nu are competențe de supraveghere în ceea ce privește prelucrarea datelor cu character personal de către autoritățile naționale sau de către întreprinderile private.

Conducerea Autorității Europene pentru Protecția Datelor este asigurată de către un director și un director adjunct, ambii fiind aleși de comun acord de către Consiliul Uniunii Europene și de Parlamentul European, pentru un mandat de 5 ani, pe baza unei liste stabilite de Comisia Europeană. În structura Autorității Europene pentru Protecția Datelor intră și secretariatul, în cadrul căruia lucrează 30 de angajați.

Autoritatea Europeană pentru Protecția Datelor îndeplinește 3 funcții importante în vederea realizării obiectivului general de asigurare a respectării dreptului la viață privată de către instituțiile și organele comunitare atunci când prelucrează date cu caracter personal sau când elaborează noi politici. Prima dintre sarcini este de a asupraveghea prelucrarea datelor cu caracter personal de către instituțiile și organismele europene. Autoritatea desfășoară această activitate în cooperare cu persoanele responsabile de protecția datelor din fiecare instituție sau organ comunitar. În scopul de a monitoriza conformitatea cu prevederile Regulamentului (CE) nr. 45/2001, autoritatea se bazează pe responsabili cu protecția datelor care urmează să fie numiți în fiecare instituție/organism.

Controlorul european pentru protecția datelor este coordonatorul unei rețele de responsabili pentru protecția datelor ce își desfășoară activitatea în instituții susceptibile de neglijență în procesul de prelucrare a datelor cu caracter personal. În prezent există 16 responsabili, câte unul pentru fiecare instituție de decizie precum: Curtea Europeană de Justiție, Curtea de Conturi, Mediatorul European și pentru fiecare din organismele consultative și financiare ale Uniunii. Responsabilul pentru Protecția Datelor repezintă o persoană-cheie în procesul de informare a controlorilor și a persoanelor ale căror date sunt prelucrate în legătură cu drepturile și obligațiile acestora și cooperează cu Autoritatea Europeană pentru Protecția Datelor în domeniul respectării regulamentului privind protecția datelor. Tot Responsabilul pentru Protecția Datelor este acea persoană care transmite notificări Autorității în vederea realizării unei verificări prealabile.

Autoritatea Europeană pentru Protecția Datelor primește plângeri din partea membrilor personalului Uniunii Europene, precum și de la persoane care consideră că datele cu caracter personal care le privesc (de exemplu: adresă, număr de telefon, date medicale, venit, etc) au fost colectate, prelucrate sau utilizate în mod eronat de către o instituție sau organism european, sau au fost dobândite în mod ilegal.

Autoritatea Europeană pentru Protecția Datelor poate adopta avize privind măsurile administrative referitoare la protecția datelor adoptate de către instituțiile și organismele europene și poate efectua anchete și inspecții din propria inițiativă sau pe baza unei plângeri.

Autoritatea publică orientări tematice privind problemele critice ce servesc ca documente de referință pentru administrația europeană.

O altă funcție a Autorității Europene pentru Protecția Datelor este cea de consultare. Autoritatea consiliază instituțiile și organele comunitare cu privire la toate aspectele care au efecte asupra protecției datelor cu caracter personal.

Autoritatea monitorizează noile evoluții ale tehnologiei care pot avea efecte asupra protecției datelor cu caracter personal și poate interveni în dosarele înaintate Curții de Justiție a Comunităților Europene.

A treia funcție de bază a Autorității Europene pentru Protecția Datelor este cea de cooperare cu autoritățile naționale pentru protecția datelor, în vederea realizării unei protecții consecvente a datelor pe teritoriul european. Autoritatea Europeană pentru Protecția Datelor colaborează cu autoritățile naționle, de exemplu în cadrul Grupului de lucru al articolul 29 pentru protecția datelor, însă aceasta nu se situează deasupra autorităților naționale sau regionale.

Una dintre cele mai importante sarcini de cooperare se referă la Eurodac, mecanism de identificare, prin comparare de amprente digitale, a refugiaților care solicită azil sau a persoanelor care au trecut ilegal frontiera externă a Uniunii Europene, sistem devenit operațional în anul 2003. Pentru a proteja datele cu caracter personal, informațiile cu privire la solicitanții de azil sunt păstrate doar pe o perioadă de 10 ani sau până în momentul în care este obținută cetățenia noului stat de rezidență, după care datele sunt șterse. Directorul este responsabil pentru coordonarea sistemului, în vreme ce responsabilul pentru protecția datelor trebuie să se asigure că procesul de colectare a datelor (inclusiv prelevarea de amprente) a fost legal și corect din punct de vedere al respectării drepturilor fundamentale.

Concluzii

Protecția datelor cu caracter personal reprezintă dreptul la intimitate pe care oamenii îl au împotriva utilizării neautorizate a informațiilor personale. Obiectivul acestui drept este acela de a proteja viața privată a unui persoane la riscul culegii și a abuzului de utilizarea a datelor cu caracter personal din partea operatorilor de date cu caracter personal.

Protecția datelor, permite, de asemenea, oamenilor să știe cine și în ce scopuri se prelucrează datele cu caracter personal, și se poate opune utilizării necorespunzătoare a acestora. Controlul asupra datelor cu caracter personal constă în posibilitatea obținerii, corectării și obiectării la utilizarea acestora de către un operator sau o terță parte.

În orice caz, procesarea datelor cu caracter personal trebuie să fie echitabilă, legitimă și cu un scop limitat.

Pe de o parte, protecția datelor cu caracter personal permite persoanei vizate mai mult control asupra modului în care aceștia își împărtășesc informațiile operatorilor de date. Pe de altă parte, se stabilesc obligațiile pe care operatorii de date trebuie să le îndeplinească: asigurarea măsurilor pentru garantarea integrității și confidențialității datelor, iar în cazul schimburilor de informații, trebuie să se asigure că terții respectă același nivel de protecție a datelor. În cazul unor încălcări ale datelor procesate, persoana vizată poate solicita corectarea acesteia sau ștergerea datelor personale.

Directiva privind protecția datelor cu caracter personal a stabilit o piatră de hotar în istoria de protecția a datelor cu caracter personal în cadrul Uniunii Europene. Directiva consacră două dintre ambițiile mai vechi și la fel de importante ale procesului de integrare europeană: protecția drepturilor și libertăților persoanelor, în special dreptul fundamental la protecția datelor, pe de o parte, și realizarea pieței interne prin libera circulație a datelor cu caracter personal, pe de altă parte.

Cincisprezece ani mai târziu, aceste două obiective rămân încă valabile iar principiile înscrise în această directivă rămân rezonante. Cu toate acestea, evoluțiile tehnologice rapide și globalizarea schimbă cu pași repezi lumea din jurul nostru și aduc noi provocări în domeniul protecției datelor cu caracter personal.

În prezent, evoluțiile realizate în tehnologia computerizată, medicină și biotehnologie au dus la o creștere a prelucrării datelor cu caracter personal în diverse sfere ale activității economice și sociale și la o atenție sporită din partea autorităților internaționale și naționale. Tehnologia permite persoanelor fizice de a partaja informații personale făcându-le disponibile publicului la nivel global pe o scară fără precedent, cel mai bun exemplu în acest caz îl reprezintă de rețelele de socializare, cu milioane de utilizatori.

Autoritățile publice, se asemeanea, utilizează din ce în ce mai multe date cu caracter personal în diferite scopuri, precum prevenirea și combaterea terorismului, administrarea regimurilor de securitate socială sau în scopul impozitării, ca parte a procesului de e-guvernare, etc. Din aceste considerente securitatea și utilizarea datelor cu caracter personal este necesară, la fel și îmbunătățirea normelor legale prevăzute în dreptul protecției datelor cu caracter personal.

Bibliografie

Apetrei, Alice Mariana, Drepturile omlui în Uniunea Europeană, Editura Lumen, Iași, 2010

Basarabescu, Georgeta; Săvoiu, Alina, Crearea de profiluri ale persoanelor fizice – un risc pentru viața privată, Analele Universității Constantin Brâncuși, Târgu Jiu, Seria Științe Juridice, nr. 4/2010

Bojincă, Moise; Basarabescu, Georgeta; Alina Săvoiu, Dreptul la protecția datelor cu caracter personal, Editura Universul Juridic, București, 2013

Cifaldi, Gianmarco; Sinescu, Călin, Dreptul la viață privată, în Revista Sfera Politicii nr. 135, București, 2009

Ghica, Luciana-Alexandra, Enciclopedia Uniunii Europene, Editura Merona, București, 2005

Iancu, Gheorghe, Instituții de drept constituțional al Uniunii Europene, Editura Lumina Lex, București, 2007

Fuerea, Augustin , Manualul Uniunii Europene, ediția a V-a revăzută și adăugită după Tratatul de la Lisabona(2007/2009), Editura Universul Juridic, București, 2011

Mazilu, Dumitru, Integrare europeană, drept comunitar și instituții europene, curs, ediția a V-a, Editura Lumina Lex, București, 2007

Munteanu, Roxana, Drept european. Instituții. Ordine juridică., Editura Oscar Print, 1996

Onn, Yael, Privacy in Digital Enviroment, Haifa Center of Law and Tehnology, 2005

Alina Săvoiu, Analele Universității “Constantin Brâncuși” din Târgu Jiu, Seria Științe Juridice, Nr. 1/2013

Savu, Dana Victoria, Integrare europeană, Editura Oscar Print, București, 1996

Scăunaș, Stelian, Uniunea Europeană, Editura All Beck, București, 2005

Tessaro T., Trojani F., Privacy e accesso ai documenti nell’Ente locale, Maggioli, 2006

Warren, Samuel D.; Brandeis, Louis, The right to privacy, în Harvard Law Review, IV, 1890

Westin, Alain, Privacy and Freedom, 1968, New York, USA:Atheneum

Webgrafie

Publicația oficială

http://beta.ier.ro/documente/formare/EU.pdf

http://www.schengen.mai.gov.ro

http/coe.int/Treaty

http://eur-lex.europa.eu

http://ec.europa.eu

http://www.mie.ro

http://www.onuinfo.ro/documente_fundamentale/declaratia_drepturilor_ omului/

http://www.juridice.ro/258396/argument-pentru-introducerea-dreptului-la-protectia-datelor-personale-in-constitutia-romaniei.html

http://www.europarl.europa.eu

http://www.mai.gov.ro

http://crjm.org/files/reports/Soros.studiu.protectie.date.personale_2011.pdf

http://www.acces-info.org.

https://wcr.coe.int

http://www.cdep.ro/afaceri_europene/afeur/2013/st_1302

http://www.dataprotection.ro

http://www.mdlpl.ro/_documente/info_integrare/eurodispecer/legislatie/1.pdf

http://www.oeconomica.uab.ro/upload/lucrari/820062/36.pdf

http://www.mie.ro

http://www.mdlpl.ro/_documente/info_integrare/romania_si_viit_europei/armonizarea.htm

http://www.juridice.ro/wp-content/uploads/2014/03/fra-2014-handbook-data-protection-law_en.pdf

http://ec.europa.eu

http://ec.europa.eu/justic/news/consulting_public/0006/com_2010_609_en.pdf

https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Publications/Brochures/Brochure_2009_RO.pdf

http://ori.mai.gov.ro/api/media/userfilesfile/Informare%20publica/Drepturile%20persoanelor/manual.pdf

Bibliografie

Apetrei, Alice Mariana, Drepturile omlui în Uniunea Europeană, Editura Lumen, Iași, 2010

Basarabescu, Georgeta; Săvoiu, Alina, Crearea de profiluri ale persoanelor fizice – un risc pentru viața privată, Analele Universității Constantin Brâncuși, Târgu Jiu, Seria Științe Juridice, nr. 4/2010

Bojincă, Moise; Basarabescu, Georgeta; Alina Săvoiu, Dreptul la protecția datelor cu caracter personal, Editura Universul Juridic, București, 2013

Cifaldi, Gianmarco; Sinescu, Călin, Dreptul la viață privată, în Revista Sfera Politicii nr. 135, București, 2009

Ghica, Luciana-Alexandra, Enciclopedia Uniunii Europene, Editura Merona, București, 2005

Iancu, Gheorghe, Instituții de drept constituțional al Uniunii Europene, Editura Lumina Lex, București, 2007

Fuerea, Augustin , Manualul Uniunii Europene, ediția a V-a revăzută și adăugită după Tratatul de la Lisabona(2007/2009), Editura Universul Juridic, București, 2011

Mazilu, Dumitru, Integrare europeană, drept comunitar și instituții europene, curs, ediția a V-a, Editura Lumina Lex, București, 2007

Munteanu, Roxana, Drept european. Instituții. Ordine juridică., Editura Oscar Print, 1996

Onn, Yael, Privacy in Digital Enviroment, Haifa Center of Law and Tehnology, 2005

Alina Săvoiu, Analele Universității “Constantin Brâncuși” din Târgu Jiu, Seria Științe Juridice, Nr. 1/2013

Savu, Dana Victoria, Integrare europeană, Editura Oscar Print, București, 1996

Scăunaș, Stelian, Uniunea Europeană, Editura All Beck, București, 2005

Tessaro T., Trojani F., Privacy e accesso ai documenti nell’Ente locale, Maggioli, 2006

Warren, Samuel D.; Brandeis, Louis, The right to privacy, în Harvard Law Review, IV, 1890

Westin, Alain, Privacy and Freedom, 1968, New York, USA:Atheneum

Webgrafie

Publicația oficială

http://beta.ier.ro/documente/formare/EU.pdf

http://www.schengen.mai.gov.ro

http/coe.int/Treaty

http://eur-lex.europa.eu

http://ec.europa.eu

http://www.mie.ro

http://www.onuinfo.ro/documente_fundamentale/declaratia_drepturilor_ omului/

http://www.juridice.ro/258396/argument-pentru-introducerea-dreptului-la-protectia-datelor-personale-in-constitutia-romaniei.html

http://www.europarl.europa.eu

http://www.mai.gov.ro

http://crjm.org/files/reports/Soros.studiu.protectie.date.personale_2011.pdf

http://www.acces-info.org.

https://wcr.coe.int

http://www.cdep.ro/afaceri_europene/afeur/2013/st_1302

http://www.dataprotection.ro

http://www.mdlpl.ro/_documente/info_integrare/eurodispecer/legislatie/1.pdf

http://www.oeconomica.uab.ro/upload/lucrari/820062/36.pdf

http://www.mie.ro

http://www.mdlpl.ro/_documente/info_integrare/romania_si_viit_europei/armonizarea.htm

http://www.juridice.ro/wp-content/uploads/2014/03/fra-2014-handbook-data-protection-law_en.pdf

http://ec.europa.eu

http://ec.europa.eu/justic/news/consulting_public/0006/com_2010_609_en.pdf

https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Publications/Brochures/Brochure_2009_RO.pdf

http://ori.mai.gov.ro/api/media/userfilesfile/Informare%20publica/Drepturile%20persoanelor/manual.pdf