Protectia Datelor cu Caracter Personal Si Organismele de Prelucrare a Datelor
Abrevieri și acronime
AFIS – Automated Fingerprint Identification System, Sistemul Automat de Identificare a Amprentelor
AIS – Automatic Identification System, Sistem de Identificare Automată
APIS – Advanced Passenger Information System, Sistem avansat de informații privind pasagerii
BLNI – Backup Local National Interface, Interfață națională locală de rezervă
CAGRE – Consiliului Afaceri Generale și Relații Externe al Uniunii Europene
CDMS – Content Document Management System, Sistem de management al conținutului documentelor
CE/EC – Comunitatea Europeană sau Comunitățile Europene
CECA/ECSC – Comunitatea Europeană a Cărbunelui și Oțelului
CECO – Comunitatea Europeană a Cărbunelui și Oțelului
CED/EDC – Comunitatea Europeană de Apărare
CEE/EEC – Comunitatea Economică Europeană
CEEA – Comunitatea Europeană a Energiei Atomice
CIRAM – Common Integrated Risk Analysis Model, Modelul Comun al conceptului de analiză de risc
CIREFI – Centre for Information, Discussion and Exchange on the Crossing of Frontiers and Immigration, Centrul de Informare, discuții și schimburi de date în materie de trecerea frontierelor și imigrație
CIS – Commonwealth of Independent States, Comunitatea Statelor Independente
CNI – Central National Interface, Interfață națională centrală
COREPER – Comitetul Reprezentanților Permanenți
CPT – Curricular Practical Trening, Formare practică curriculară
DEX – Dicționar Explicativ Român
EADS – European Aeronautic Defence And Surveillance, Compania Europeană Aeronautică de Apărare și Supraveghere
ECTS – European Credit Transfer and Accumulation System, Sistemul European de Transfer și Acumulare de Credite
EDC – European Defence Community, Comunitatea Europeană de Apărare
EPC – European Political Community, Comunitatea Politică Europeană
EPN – European Patrol Network, Rețeaua Europeană de Patrule
ESDU – European Security and Defence Union, Uniunea Europeană de Securitate și Apărare
EUBAM – European Border Assistance Mission, Misiunea de Asistență la Frontierele Europene
EUFOR – European Union Force Althea in Bosnia and Herzegovina
EULEX – European Union Rule of Law Mission, Misiune în domeniul supremației legii
EUMC – European Union Military Committee, Comitetul Militar al Uniunii Europene
EUMM – The European Union Monitoring Mission, Misiune de monitorizare
EUMRRC – European Union Military Rapid Response Concept, Conceptul european de reacție rapidă
EUMS – EU Military Staff, Personalul Militar al Uniunii Europene
EUNAVFOR – European Union Naval Force, Misiunea navală a Uniunii Europene
EUPM – European Union Police Mission, Misiunea Uniunii Europene
EUPOL – European Union Police Mission, Misiune civilă a Uniunii Europene
EUROSUR – European Border Surveillance System, Sistemul European de Supraveghere a Frontierelor
FADO – False and Authentic Documents Online, Baza de date on-line de documente false și autentice
FJST – Frontex Joint Support Team, Echipe comune Frontex pentru sprijin la frontiera externă
FRAN – Frontex Risk Analysis Network, Rețeaua de analiză de risc Frontex
FRONTEX – European Agency for the Management of Operational Cooperation at the External Borders of the Member States of the European Union, Agenția Europeană pentru Managementul Cooperării Operaționale la Frontierele Externe ale Statelor Membre ale Uniunii Europene
FYROM – Former Yugoslav Republic of Macedonia, Fosta Republică Iugoslavă a Macedoniei
GIRMIFS – Grupul Interministerial Român pentru Managementul Integrat al Frontierei de Stat
GIS – Geographic Information System, Sistem de Informații Geografice
GPS – Global Positioning System, Sistem de Poziționare Global
ICMPD – International Centre for Migration Policy Development, Centrul Internațional pentru Dezvoltarea Politicii de Migrație
INFOSEC – Information Society of the European Commission, Societatea Informațională a Uniunii Europene
IOM – International Organization for Migration, Organizația Internațională a Migrației
IT – Information Technology, Tehnologie Informatică
IT Backup – Information Technology Backup, Tehnologie Informatică de rezervă
JAI/JHA – Justiție și Afaceri Interne, Justice and Home Affaires
JSA – Joint Supersivory Authority, Autoritatea Comună de Control a Sistemului de Informații Schengen (SIS)
KEDO – Korean Peninsula Energy Development Organization, Organizația de dezvoltare a energiei Korea
LLDS – Legal Library Documentation System, Biblioteca de Documentare în Domeniul Juridic
LNI – Local National Interface, Interfață națională locală
MAI – Ministerul Administrației și Internelor
MDC – Main Developer Contractor, Dezvoltator Principal al Contractului
MERCOSUR – Mercado Común del Sur, Piața comună a sudului
NATO – Organizația Tratatului Atlanticului de Nord
NSIS II – Secțiunea națională în fiecare stat membru
OCDE – Organizația de Cooperare și Dezvoltare Economică
OECE/OEEC – Organizația Europeană de Cooperare Economică
OLAF – European Antifraud Office, Biroul European de Luptă Antifraudă
OMC – Organizația Mondială a Comerțului
ONU – Organizația Națiunilor Unite
OSCE – Organizația pentru Securitate și Cooperare în Europa
PCTF – Punct de control al trecerii frontierei
PE/EP – Parlamentul European, European Parliament
PECOS – Statele Europei Centrale și Orientale
PESC/CFSP – Politica Externă și de Securitate Comună
PESTEL – Political, Economical, Social, Technological Environmental
PFR – Poliția de frontieră română
PHARE – Plan de Acțiune pentru Ajutorarea Coordonată a Poloniei și Ungariei
PRADO – Public Register of Authentic Identity and Travel Documents Online
PSC – Permanent Structured Cooperation
PTF – Punct de Trecere a Frontierei
RABIT – Rapid Border Intervention Team, Echipă de Intervenție Rapidă la Frontieră
RI – Regulament Interior
SCOD – Sistemul Complex de Observare pe Dunăre
SCOMAR – Sistemul Complex de Observare la Marea Neagră
SECI – Southeast European Cooperative Initiative, Inițiativa de Cooperare în Sud-Estul Europei
SIENA – Secure Information Exchange Network Application, Aplicația de rețea a Europol pentru schimbul de informații securizate
SINS – Sistemul Informatic Național de Semnalări
SIRENE – Suplimentary Informations Request on National Entry, Biroul de Informații suplimentare cerute la intrarea pe teritoriul național
SIS – Schengen Information System, Sistemul Informatic Schengen
SIS II – Sistemul de informații Schengen de generația a II-a
SISF – Sistemul Integrat pentru Securitatea Frontierei de stat a României
SME/EMS – Sistem Monetar European
SPF – Sector al Poliției de Frontieră
S-TESTA – Secure Trans-European Services for Telematics between Administrations, Servicii transeuropene securizate de telematică între administrații
SWOT – Strengths, Weaknesses, Opportunities and Threats, Puncte tari, puncte slabe, oportunități și amenințări
TETRA – Terrestrial Trunked Radio, Standard de Telecomunicații Radio Terestre
TJCE/ECJ – Curtea de Justiție a Comunității Europene, Curtea de la Luxembourg
TUE – Tratatul constitutiv al UE sau Tratatul de la Maastricht
UE/EU – Uniunea Europeană, European Union
UEO – Uniunea Europei Occidentale
UNHCR – United Nations High Commissioner for Refugee, Înaltul Comisariat al Națiunilor Unite pentru Refugiați
VET – Vocational Education and Trening, Educație și Pregătire Vocațională
VIS/SIV – Visa Information System, Sistemul Informatic de Vize
VTS – Vessel Traffic Service, Sistem de Monitorizare a Traficului Mari
INTRODUCERE
În contextul unei lumi în care modul de gestionare a informațiilor a suferit o continuă schimbare, trăind într-o societate în care confidențialitatea este tot mai greu de asigurat datorită dezvoltării tehnologiei informaționale, prezenta lucrare își propune să trateze diferite aspecte
CAPITOLUL I – PROTECȚIA DATELOR CU CARACTER PERSONAL ÎN PLAN NAȚIONAL ȘI EUROPEAN
1.1 Definirea principalelor concepte și elemente ale protecției datelor cu caracter personal
Un cunoscut scriitor contemporan, Alvin Toffler, spune despre tehnologie: “Competențele noastre tehnologice cresc, iar odată cu acestea efectele secundare și potențialele pericole, de asemenea, se intensifică”.
Preluând această idee vedem importanța dezvoltării tehnologiei informaționale și impactul comunicațiilor asupra societății.
Ritmul în care tehnologia evoluează reprezintă unul dintre aspectele care a ajuns să ne schimbe viața, modul în care gândim, relaționăm și ducem la îndeplinire anumite sarcini.
Trebuie să recunoaștem faptul că în prezent depindem de informație rapidă, iar aceasta a devenit omniprezentă ân activitățile umane. Fie că vorbim de calculatorul personal sau de telefonul mobil, permanent conectat la rețeaua de Internet, tehnologia este în plină dezvoltare și ne transformă viața.
Păstrarea confidențialității într-o societate liberă este deosebit de importantă. Definiția clasică dată confidențialității de Alan Westin (1967) în studiul Confidențialitatea și libertatea, rămâne și astăzi actuală: Confidențialitatea este pretenția indivizilor, a grupurilor sau a instituțiilor de a hotărî singure când, cum și în ce măsură informațiile despre ele sunt comunicate altora, stabilind păstrarea confidențialității într-o societate liberă.
Este nevoie de o definire a principalilor termeni utilizați în domeniul protecției datelor cu caracter personal.
Protecția datelor cu caracter personal reprezintă un domeniu nou pentru spațiul legislativ european și național.
Într-o scurtă analiză, din punct de vedere juridic, putem spune, referindu-ne la conținut, că protecția datelor cu caracter personal reprezintă dreptul persoanei fizice de a-i fi apărate acele caracteristici care conduc la identificarea sa și obligația corelativă a statului de a adopta măsuri adecvate pentru a asigura o protecție eficientă.
Prin date cu caracter personal înțelegem orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Interferența unei autorități publice cu dreptul persoanelor la viață privată poate fi necesară în interesul securității naționale, siguranței publice sau al prevenirii criminalității.
În ceea ce privește sistemul de evidență a datelor cu caracter personal distingem orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii; funcționale ori geografice.
Operatorul, în cadrul conceptului de protecție a datelor cu caracter personal, este identificat ca orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, care stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal; dacă scopul și mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ.
La elaborarea de noi instrumente care se bazează pe utilizarea tehnologiei informațiilor, Comisia se va strădui să urmeze abordarea cunoscută sub sintagma luarea în considerare a vieții private începând cu momentul conceperii. Aceasta înseamnă includerea protecției datelor cu caracter personal în baza tehnologică a unui instrument propus, limitând prelucrarea datelor la cele necesare pentru un scop propus și acordând accesul la date numai acelor entități care trebuie să le cunoască.
Destinatarul este orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terț; autoritățile publice cărora li se comunică date în cadrul unei competențe speciale de anchetă nu vor fi considerate destinatari.
Persoană împuternicită de către operator este o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului.
Prin terț distingem orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, alta decât persoana vizată, operatorul ori persoana împuternicită sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date.
Datele anonime sunt acelea care, datorită originii sau modalității specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă.
Garantarea drepturilor fundamentale ale persoanelor astfel cum sunt consacrate în Carta drepturilor fundamentale a Uniunii Europene, în special a dreptului acestora la viață privată și la protecția datelor cu caracter personal, este o preocupare principală a Comisiei la elaborarea de noi propuneri care implică prelucrarea de date cu caracter personal în domeniul securității interne și a al gestionării migrației. Art. 7 și 8 din cartă proclamă dreptul oricărei persoane la respectarea vieții private și de familie și la protecția datelor cu caracter personal care o privesc. Art. 16 din Tratatul privind funcționarea Uniunii Europene (TFUE), care are un caracter obligatoriu în ceea ce privește activitățile statelor membre, ale instituțiilor Uniunii, ale agențiilor și ale organismelor, reafirmă dreptul fiecărei persoane la protecția datelor cu caracter personal care o privesc.
1.2. Legislația relevantă în domeniul protecției datelor cu caracter personal
În cadrul Programului Haga, Consiliul European și-a exprimat convingerea că este necesar un concept inovator al schimbului transfrontalier de date cu privire la combaterea criminalității, pentru a întări zona de libertate, securitate și justiție în Uniunea Europeană. Astfel, a fost adoptat principiul disponibilității, care se traduce în practică prin crearea unei rețele de informații (obiectiv realizat la 1 ianuarie 2008). Scopul este ca organele de aplicare a legii din fiecare stat membru să poată accesa informațiile necesare din oricare alt stat pentru a se achita de sarcinile lor.
În fiecare zi, în cadrul Uniunii Europene se prelucrează informații cu caracter personal. Activitățile de recrutare, evaluarea personalului, colectarea în dosare medicale a datelor privind starea de sănătate, instituirea unor sisteme de gestionare a timpului și de supraveghere video reprezintă doar câteva exemple în acest sens. Deși în majoritatea cazurilor informațiile cu caracter personal stocate sunt folosite numai în scopuri legitime, fără alte consecințe, există și anumite riscuri.
Respectarea normelor privind protecția datelor cu caracter personal va face, în toate cazurile, obiectul controlului de către o autoritate independentă la nivel național sau la nivelul UE.
Legislația primară, adoptată de România în domeniul protecției datelor cu caracter personal, are o evoluție impusă de schimbările survenite în plan european, dar și în plan internațional.
În domeniul protecției datelor personale, în România au fost adoptate legi, elaborate în conformitate cu Directiva 95/46/EC a Parlamentului European și a Consiliului European din 24 octombrie 1995, pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
1.3 Procedura de efectuare a controalelor și a investigațiilor prealabile
Art. 1 În exercitarea atribuțiilor de control prevăzute de Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările și completările ulterioare, denumită în continuare Legea nr. 677/2001, și de Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare, denumită în continuare Legea nr. 102/2005, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, efectuează investigații și controale prealabile, cu respectarea prevederilor prezentei proceduri.
Art. 2 (1) Serviciul investigații propune în cursul ultimei săptămâni a fiecărei luni un plan minimal de investigații pentru luna următoare, iar până la data de 25 decembrie a fiecărui an un plan general de investigații pentru următorul an calendaristic.
(2) În afara investigațiilor planificate, pot fi efectuate și alte investigații, în funcție de cazurile care impun verificarea fără amânare a unor prelucrări de date cu caracter personal. Investigațiile efectuate pentru soluționarea unor plângeri sau sesizări au prioritate față de cele planificate din oficiu. În cazul investigațiilor efectuate pentru soluționarea unor plângeri sau sesizări, pot fi verificate și alte aspecte care se constată la fața locului ca fiind încălcări ale Legii nr. 677/2001.
(3) Planurile de investigații prevăzute la alin. (1) se supun spre aprobare președintelui ANSPDCP.
Art. 3 Serviciul investigații ține evidența investigațiilor și a controalelor prealabile efectuate.
Secțiunea 1: Reguli comune
Art. 4 (1) Investigațiile se efectuează la propunerea:
a) Serviciului evidență operatori și prelucrări date, conform art. 12 lit. d) din Regulamentul de organizare și funcționare a ANSPDCP;
b) Serviciului investigații, conform art. 13 lit. a) din Regulamentul de organizare și funcționare a ANSPDCP;
c) Biroului autorizații, conform art. 14 lit. c) din Regulamentul de organizare și funcționare a ANSPDCP;
d) altor persoane interesate.
(2) Sesizarea Serviciului investigații în cazurile prevăzute la alin. (1) se face printr-o notă motivată, aprobată de președintele ANSPDCP și comunicată sau, după caz, avizată de șeful Serviciului investigații."
(3) Serviciul investigații propune persoanele care vor efectua investigația sau controlul prealabil, data sau perioada efectuării acestora, precum și obiectivele acțiunii de control, prin proiectul de împuternicire avizat de șeful Serviciului investigații și înaintat spre aprobare președintelui ANSPDCP. Împuternicirea este semnată de către președintele ANSPDCP sau de către persoana anume desemnată de aceasta.
(4) Persoanele desemnate să facă parte din echipa de control au obligația de a anunța în prealabil conducerea ANSPDCP în cazul existenței unor motive ce ar putea determina un conflict de interese, potrivit Legii nr. 102/2005, în legătură cu controlul prealabil/investigația pentru care au fost nominalizate, în vederea schimbării componenței echipei de control.
(5) Este interzisă efectuarea de investigații și controale prealabile în afara limitelor prevăzute de împuternicire.
(6) Modelul legitimației de control și al împuternicirii sunt prevăzute în anexa nr. 1 și anexa nr. 2 la prezenta procedură.
Art. 5 (1) În executarea controlului prealabil sau a investigației, echipa de control a ANSPDCP întreprinde următoarele activități:
a) deplasarea la sediul entității supuse controlului;
b) prezentarea legitimației de control și a împuternicirii reprezentanților entității controlate, care vor desemna persoanele competente să dea relații în domeniul controlat. Persoanele desemnate participă la efectuarea controlului, prin furnizarea informațiilor și documentelor solicitate de către echipa de control și semnează pentru conformitate actele de control încheiate;
c) înscrierea în registrul de control al entității controlate, a datelor prevăzute la art. 3 alin. (2) din Legea nr. 252/2003 privind registrul unic de control;
d) verificarea tuturor aspectelor prezentate în împuternicire prin solicitarea oricăror informații legate de obiectivele controlului;
e) verificarea oricărui document sau înregistrare referitoare la prelucrarea datelor cu caracter personal, care are legătură cu obiectul controlului;
f) ridicarea documentelor sau a înregistrărilor relevante care au legătură cu obiectul controlului;
g) întocmirea procesului-verbal de constatare/sancționare contravențională;
h) aplicarea de sancțiuni, dacă este cazul, de către persoana împuternicită în acest sens;
i) înmânarea/comunicarea către contravenient, a copiei procesului-verbal de constatare/sancționare contravențională și a înștiințării de plată;
j) formularea recomandărilor necesare pentru remedierea deficiențelor constatate, după caz;
k) propunerea emiterii unor decizii sau instrucțiuni, conform art. 8 din prezenta procedură;
l) urmărirea respectării măsurilor dispuse în urma efectuării controalelor prealabile/investigațiilor;
m) comunicarea rezultatelor controalelor prealabile/investigațiilor către persoana sau către persoana/compartimentul care a propus efectuarea acțiunii de control, conform art. 4 alin. (1) din prezenta procedură.
(2) Membrii echipei de control au următoarele obligații:
a) să solicite înregistrarea și ștampilarea, după caz, a împuternicirii și a ordinului de deplasare;
b) să țină legătura cu autoritatea de supraveghere și să comunice orice situație deosebită intervenită care are legătură cu realizarea controlului;
c) să aibă un comportament decent;
d) să păstreze secretul profesional pe termen nelimitat asupra informațiilor confidențiale sau clasificate la care au avut acces;
e) să completeze procesul-verbal de constatare/sancționare contravențională, prin evidențierea situațiilor prezentate de entitatea controlată, a declarațiilor reprezentanților acesteia și a constatărilor proprii, dacă este cazul;
f) să confrunte mențiunile din procesul-verbal de constatare/sancționare cu documentele existente în evidențele autorității de supraveghere, dacă este cazul;
g) să anexeze la procesul-verbal de constatare/sancționare contravențională mijloacele de probă necesare pentru dovedirea constatărilor consemnate;
h) să utilizeze pe teren mijloacele informatice puse la dispoziție de ANSPDCP, constând în calculator și imprimantă portabile, în vederea redactării procesului-verbal de constatare/sancționare contravențională. În cazurile excepționale în care deplasarea nu se efectuează cu un autoturism al ANSPDCP, procesul-verbal se întocmește olograf; în această situație, echipa de control are obligația de a tehnoredacta un document conținând principalele constatări și sancțiunile aplicate, în termen de 10 zile lucrătoare după efectuarea acțiunii de control, pentru a se asigura acuratețea înregistrărilor existente în aplicația internă de gestionare al documentelor.
(3) În cazurile în care acțiunea de control nu se desfășoară inopinat, controlul prealabil/investigația se efectuează la data și ora anunțată de ANSPDCP.
(4) Prin excepție de la prevederile alin. (1), controlul prealabil sau investigația se pot desfășura la sediul ANSPDCP, în cazuri justificate printr-o notă înaintată șefului Serviciului investigații, în baza împuternicirii prevăzute la art. 4 alin. (3). În această situație, reprezentanții entității controlate sunt convocați la sediul ANSPDCP.
(5) În anumite situații, controlul prealabil sau investigația se pot efectua printr-o procedură scrisă, în condițiile prevăzute la art. 4. Aceasta constă în solicitarea unor informații, date și documente necesare soluționării cazului supus investigației sau controlului prealabil, în scris și în cadrul unui termen stabilit de ANSPDCP.
(6) Finalizarea controlului prealabil sau a investigației efectuate conform alin. (4) sau (5) poate să constea în întocmirea procesului-verbal de constatare/sancționare contravențională în condițiile prevăzute la art. 15 din prezenta procedură.
Art. 6 În situația în care persoanele vizate, entitatea controlată sau reprezentanții lor solicită efectuarea unor expertize, acestea se realizează pe cheltuiala persoanelor în cauză, cu respectarea condițiilor prevăzute de actele normative privind organizarea activității de expertiză tehnică judiciară și extrajudiciară.
Art. 7 (1) Echipa de control poate propune, când este necesar, printr-o notă prezentată șefului Serviciului investigații, audierea persoanei vizate, a operatorului și, dacă este cazul, a persoanei împuternicite sau a asociației ori fundației care reprezintă interesele persoanei vizate.
(2) Audierea efectuată în condițiile alin. (1) se consemnează de echipa de control într-o notă de audiere semnată inclusiv de persoanele audiate care se înregistrează și face parte din dosarul acțiunii de control.
(3) Rezultatul audierii se consemnează în raportul întocmit în cazurile prevăzute de prezenta procedură.
Art. 8 (1) În toate situațiile în care se consideră necesar, echipa de control propune printr-un raport înaintat spre aprobare președintelui ANSPDCP, cu avizul șefului Serviciului investigații, emiterea unor recomandări, avize, decizii, instrucțiuni obligatorii sau a altor măsuri de înlăturare a unor deficiențe constatate, cu respectarea termenelor legale.
(2) În cazuri excepționale, actele prevăzute la alin. (1), precum și procesele-verbale de constatare/sancționare contravențională, însoțite de înștiințările de plată, se pot comunica entității controlate, prin intermediul executorilor judecătorești.
SECȚIUNEA a 2-a: Reguli specifice privind efectuarea controalelor prealabile
Art. 9 (1) ANSPDCP efectuează controale prealabile în cazurile în care sunt notificate operațiuni de prelucrare a datelor personale, care sunt susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor, stabilite potrivit deciziei președintelui ANSPDCP.
(2) Controlul prealabil este obligatoriu și anterior începerii prelucrării datelor, realizându-se în condițiile art. 4 alin. (3)-(6) din prezenta procedură. Efectuarea controlului prealabil este propusă de Serviciul evidență operatori și prelucrări date ori de Biroul autorizații, printr-o notă înaintată șefului Serviciului investigații, cu respectarea deciziei președintelui autorității de supraveghere prevăzute la alin. (1).
(3) Entitățile la care se efectuează controlul prealabil sunt anunțate despre efectuarea acestuia, în termen de 5 zile de la data înregistrării notificării la ANSPDCP prin poștă, cu confirmare de primire, poștă electronică sau prin fax, după caz. Anunțul conține data la care se va efectua controlul prealabil și obligația de a nu începe prelucrarea datelor personale, notificată la ANSPDCP.
(4) Echipa de control verifică operațiunile prevăzute la alin. (1), sub următoarele aspecte:
a) respectarea prevederilor legale referitoare la prelucrarea datelor cu caracter personal susceptibile de risc;
b) adoptarea unor măsuri suplimentare de securitate.
(5) În cazul în care se constată săvârșirea unei contravenții, persoanele împuternicite în acest sens aplică sancțiunea prin procesul-verbal de constatare/sancționare contravențională.
Art. 10 (1) În funcție de constatările consemnate în procesul-verbal încheiat cu ocazia controlului prealabil conform art. 15 din prezenta procedură, echipa de control poate propune prin raportul înaintat spre aprobare președintelui ANSPDCP, cu avizul șefului Serviciului investigații, următoarele:
a) emiterea unei decizii privind începerea prelucrării datelor cu caracter personal, în condițiile declarate în notificare;
b) emiterea unei decizii privind începerea prelucrării datelor cu caracter personal, în alte condiții decât cele declarate în notificare;
c) emiterea unei decizii privind interzicerea începerii prelucrării datelor cu caracter personal;
d) autorizarea transferului în străinătate sau a prelucrării datelor cu caracter personal, în cazul în care controlul a avut un astfel de obiect, în condițiile prevăzute la lit. a) sau b), după caz.
(2) Actele emise în aplicarea alin. (1) se semnează de președintele ANSPDCP, cu avizul șefului compartimentului competent, după caz și se vor face mențiunile corespunzătoare în registrele ținute de ANSPDCP.
(3) În toate cazurile, actele emise în aplicarea alin. (1) se transmit entității controlate în maxim 30 de zile de la data înregistrării notificării la autoritatea de supraveghere.
Reguli specifice privind efectuarea investigațiilor
Art. 11 (1) ANSPDCP efectuează investigații în cazurile în care este necesară verificarea prelucrărilor de date cu caracter personal, indiferent dacă în cazul respectiv a fost efectuat sau nu un control prealabil.
(2) Investigația poate fi efectuată din oficiu ori pentru verificarea unor plângeri sau sesizări.
(3) În cadrul investigației se va urmări respectarea legii de către operatori, împuterniciții acestora, reprezentanții și persoanele care acționează sub autoritatea operatorilor, în ceea ce privește asigurarea caracteristicilor datelor prelucrate, a legitimității prelucrării datelor personale, a confidențialității sau securității datelor personale prelucrate, precum și a drepturilor persoanelor vizate.
Art. 12 (1) Investigația din oficiu se efectuează pentru verificarea unor date și informații cu privire la prelucrarea datelor cu caracter personal, obținute de către ANSPDCP din alte surse decât cele care fac obiectul unor plângeri sau sesizări.
(2) Datele și informațiile menționate la alin. (1) pot fi culese din notificări, mass-media, accesarea rețelei de internet, din documentele de constatare întocmite în urma efectuării altor controale prealabile sau investigații, din activitățile de cooperare cu entități de drept public sau privat ori cu autorități de supraveghere din străinătate, precum și din alte surse.
(3) Investigația din oficiu se poate declanșa în conformitate cu condițiile prevăzute la art. 4 din prezenta procedură.
Art. 13 (1) În afara situațiilor prevăzute la art. 12, investigația se poate efectua și pentru verificarea unor date și informații cu privire la prelucrarea datelor cu caracter personal, obținute de către ANSPDCP din plângerile sau sesizările adresate autorității de supraveghere.
(2) Soluționarea plângerilor și a sesizărilor se realizează în conformitate cu procedura aprobată prin decizie a președintelui ANSPDCP.
Art. 14 (1) În cazul în care, înainte sau în timpul efectuării investigației, se constată că există o acțiune în justiție introdusă în prealabil, care are ca obiect săvârșirea aceleiași încălcări a drepturilor persoanei vizate și opune aceleași părți, se întocmește o notă prezentată spre aprobare președintelui ANSPDCP, pe cale ierarhică.
(2) Prin nota prevăzută la alin. (1) sunt explicate motivele pentru care nu poate fi efectuată investigația sau prin care se propune suspendarea ori încetarea, după caz, a investigației, în situația în care incidentul prevăzut la alin. (1) se constată după declanșarea procedurii de investigare.
Art. 15 (1) Rezultatul investigației se consemnează în procesul-verbal de constatare/sancționare contravențională al cărui model este prevăzut în anexa nr. 3 la prezenta procedură, precum și în raportul întocmit în cazurile în care acesta este necesar potrivit prezentei proceduri sau a cărui redactare este solicitată de președintele, vicepreședintele ANSPDCP ori de șeful Serviciului Investigații.
(2) În procesul-verbal de constatare/sancționare contravențională încheiat conform alin. (1), echipa de control consemnează obligatoriu următoarele:
a) data și locul încheierii procesului-verbal de constatare/sancționare contravențională;
b) datele de identificare și funcțiile membrilor echipei de control, inclusiv numărul legitimației de control;
c) numărul și data împuternicirii aprobate de președintele ANSPDCP;
d) obiectul controlului;
e) datele de identificare ale entității controlate;
f) datele de identificare și funcțiile reprezentanților entității controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenționale, cu indicarea datei și locului în care a fost săvârșită fapta, precum și a actului normativ prin care se stabilește și se sancționează contravenția, precum și sancțiunea aplicată;
i) termenul de exercitare a căii de atac și organul la care se depune plângerea, în cazul aplicării unei sancțiuni contravenționale;
j) dacă s-au ridicat documente sau alte materiale, felul și natura acestora;
k) obiecțiile reprezentanților entității controlate, care au participat la activitatea de control, după caz;
l) mențiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancționare contravențională, în copie, reprezentanților entității controlate, în cazul aplicării unei sancțiuni contravenționale de către persoanele împuternicite; în situația aplicării sancțiunii cu amendă de către persoanele împuternicite în acest sens, procesul-verbal va cuprinde și mențiuni referitoare la înmânarea/comunicarea înștiințării de plată;
m) motivele pentru care reprezentanții entității controlate nu au semnat procesul-verbal de constatare/sancționare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.
(3) În cazul aplicării sancțiunii cu amendă de către persoanele împuternicite în acest sens, echipa de control completează înștiințarea de plată, al cărei model este prevăzut în anexa nr. 4 la prezenta procedură. Înștiințarea de plată se înmânează, se comunică contravenientului ori se afișează împreună cu fotocopia procesului-verbal de constatare/sancționare, după caz.
(4) Procesul-verbal de constatare/sancționare se datează și se semnează pe fiecare pagină completată de către membrii echipei de control, reprezentanții desemnați ai entității controlate și după caz, de către martor, la rubrica corespunzătoare.
(5) În cazul în care contravenientul nu este prezent sau, deși prezent, nu poate sau refuză să semneze procesul-verbal, copia acestuia împreună cu înștiințarea de plată a amenzii, după caz, se comunică în termen de o lună de la încheierea procesului-verbal, prin poștă, cu confirmare de primire sau se afișează la domiciliul/sediul contravenientului. În acest ultim caz, se întocmește un proces-verbal de afișare, semnat de cel puțin un martor, conform modelului din anexa nr. 5 la prezenta procedură. În cazuri excepționale, se poate face aplicarea art. 8 alin. (2) din prezenta procedură.
(6) Serviciul investigații ține evidența sancțiunilor contravenționale aplicate.
Art. 16 Echipa de control comunică Biroului juridic și comunicare, în original, procesul-verbal de constatare/sancționare contravențională, înștiințarea de plată și documentele de comunicare a acestora, după caz, în baza unei note avizate de șeful Serviciului investigații, în vederea declanșării procedurii de executare silită, conform legii.
Art. 17 (1) În urma efectuării investigațiilor, ANSPDCP, pe lângă aplicarea sancțiunilor contravenționale prevăzute de lege, poate dispune și măsuri obligatorii care au rolul să întrerupă o încălcare a drepturilor persoanei vizate prin prelucrarea ilegală a datelor cu caracter personal.
(2) Măsurile prevăzute la alin. (1) se dispun prin decizii întocmite în formă scrisă, motivate și semnate de președintele ANSPDCP și pot avea ca obiect următoarele:
a) interzicerea efectuării unor prelucrări de date personale;
b) suspendarea provizorie a unora sau a tuturor operațiunilor de prelucrare a datelor cu caracter personal;
c) încetarea prelucrării datelor cu caracter personal;
d) ștergerea parțială ori integrală a datelor prelucrate;
e) sesizarea organelor de urmărire penală, în cazul în care se constată că faptele săvârșite de entitatea controlată întrunesc elementele constitutive ale unor infracțiuni;
f) introducerea acțiunilor în instanță pentru apărarea drepturilor garantate de lege persoanelor vizate;
g) alte măsuri accesorii pentru intrarea în legalitate.
(3) Măsurile prevăzute la alin. (2) se propun printr-un raport întocmit de către echipa de control, avizat de șeful Serviciului investigații. După aprobarea raportului de către președintele ANSPDCP, copia acestuia se transmite la Biroul juridic și comunicare, în vederea elaborării proiectului de decizie.
(4) Deciziile aprobate și semnate se transmit entității controlate în termen de maxim 30 de zile calendaristice de la data înregistrării plângerii, în cazul investigațiilor efectuate pentru verificarea unor plângeri și în maxim 30 de zile calendaristice de la data efectuării investigațiilor din oficiu. Serviciul investigații este înștiințat în legătură cu transmiterea deciziei.
(5) Deciziile conțin prevederi referitoare la termenul în care entitatea controlată trebuie să aducă la îndeplinire măsurile dispuse de președintele ANSPDCP.
(6) După expirarea termenului dispus prin decizie, în cazul în care entitatea controlată nu a făcut dovada îndeplinirii măsurilor, se efectuează o nouă investigație pentru verificarea modului în care au fost executate măsurile dispuse, cu respectarea prezentei proceduri.
(7) Măsurile prevăzute la alin. (2) pot fi modificate, înlocuite sau revocate, după caz, numai prin decizia președintelui ANSPDCP, în condițiile prezentei proceduri.
Art. 18 Nerespectarea prevederilor prezentei proceduri poate atrage răspunderea disciplinară.
1.4 Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Ca urmare a dorinței de aliniere a politicilor statului Român, membru al Uniunii Europene, la politicile de securitate europene, a luat ființă în România o entitate capabilă să supravegheze prelucrarea datelor cu caracter personal, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDP). Autoritatea își exercită competența stabilită în condiții de independență față de orice autoritate publică sau entitate de drept privat. Legislația națională în acest domeniu se oglindește în acquis-ul din cadrul european.
Operatorilor din sectorul public sau privat le revine obligația respectării regulilor de protecție a datelor personale, în special: obligația de informare a persoanelor fizice cu privire la datele personale colectate și utilizate; obligația de respectare a dreptului de acces, intervenție și opoziție al fiecărei persoane fizice față de prelucrarea datelor sale personale; obligația de asigurare a confidențialității și securității datelor personale utilizate; obligația de notificare către Autoritatea națională de supraveghere.
Atribuțiile Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal sunt specifice oricărei instituții de control, putând investiga prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001 și aplica sancțiuni, în cazul în care constată încălcarea dispozițiilor legale de către operatorii de date cu caracter personal, în urma sesizărilor din oficiu sau pe baza unor plângeri depuse de persoanele lezate în drepturile lor.
Autoritatea națională de supraveghere are dreptul să facă investigații și controale prealabile, să ceară autorităților administrației publice orice informații sau documente necesare investigației, să audieze și să ia declarații de la conducătorii autorităților administrației publice și de la orice funcționar public sau personal contractual care poate da informațiile necesare soluționării unei cereri adresate Autorității naționale de supraveghere în legătură cu prelucrarea datelor cu caracter personal și libera circulație a acestor date. Președintele autorității de supraveghere este numit de Senatul României pentru un mandat de 5 ani care poate fi reînnoit o singură dată. Procedura de numire este prevăzută de art. 7 din Legea nr. 102/2005.
Independența autorității de supraveghere este asigurată și prin modalitatea de finanțare, întrucât Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal are buget propriu, care face parte integrantă din bugetul de stat.
În anul 2013 ANSPDP a emis 32 de avize și 625 de puncte de vedere și în urma investigațiilor a aplicat sancțiuni contravenționale constând în avertismente și amenzi în cuantum de 134.000 lei.
1.5 Prelucrarea datelor în cadrul Sistemului Informatic Național de Semnalări
Sistemul Informatic Național de Semnalări reprezintă sistemul de informații creat la nivel național care, la data aderării României la Convenția de punere în aplicare a Acordului Schengen, va furniza date către Sistemul Informatic Schengen (SIS), în conformitate cu reglementările europene în materie.
Obiectivul prevederilor acquis-ului comunitar privind prelucrarea datelor cu caracter personal, avut în vedere cu ocazia transpunerii acestora în legislația națională, este reprezentat de garantarea și protejarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială și privată.
Persoanele ale căror date se introduc în SINS: persoanele care fac obiectul unor proceduri de extrădare sau de predare în baza unui mandat european de arestare; străinii împotriva cărora s-a dispus măsura nepermiterii intrării/ieșirii; străinii împotriva cărora a fost dispusă măsura expulzării, returnării sau împotriva cărora a fost dispusă o măsură de îndepărtare de pe teritoriul României; persoanele dispărute sau persoanele care, în interesul propriei protecții sau pentru prevenirea amenințărilor, trebuie plasate în mod provizoriu într-un loc sigur, la cererea autorității competente sau a autorității judiciare competente; persoanele citate pentru a se prezenta în fața autorităților judiciare, în cadrul unei proceduri penale care antrenează răspunderea cu privire la fapte pentru care au fost urmărite, în scopul comunicării locului unde își au reședința sau domiciliul; persoanele cărora trebuie să li se comunice o hotărâre penală ori o cererea de a se prezenta pentru a executa o pedeapsă privativă de libertate, introduse, la cererea autorităților judiciare competente, în scopul comunicării locului unde își au reședința sau domiciliul.
Categoriile de date care se introduc în SINS: numele și prenumele, pseudonimele care au fost eventual înregistrate separat; semnele fizice particulare, obiective și inalterabile; data și locul nașterii; sexul; cetățenia; mențiunea că persoanele în cauză sunt înarmate, violente sau evadate; motivul semnalării; măsura care trebuie luată.
Este interzisă prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.
La data aplicării în totalitate de către România a dispozițiilor acquis-ului Schengen în temeiul deciziei Consiliului emisă în acest sens, SINS asigură transmiterea semnalărilor de interes Schengen în SIS. Prin Hotărârea Guvernului României nr. 1411/2006 au fost aprobate Normele de aplicare a OUG nr. 128/2005.
De asemenea, Ministerul Administrației și Internelor și autoritățile competente sunt obligate să adopte măsuri de securitate în legătură cu gestionarea și utilizarea SINS, care vizează: controlul accesului la echipamente, controlul suportului de date, controlul stocării, controlul utilizării, controlul accesului la date, controlul comunicațiilor, controlul introducerii de date, controlul transportului de date.
1.6 Protecția datelor personale în SIS – art. 102-118 din Convenția Schengen
În prezent, sistemul normativ este în curs de modificare și completare pentru alinierea legislației naționale la acquis-ul Schengen din domeniul Sistemului Informatic Schengen și, totodată, pentru a asigura participarea României la mecanismul de cooperare polițienească prin Sistemul Informatic Schengen, în condițiile actuale de dezvoltare a acestuia și ținând cont de întârzierile legate de operaționalizarea SIS II.
România a desemnat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, ca autoritate de supraveghere responsabilă, în conformitate cu legislația națională, cu derularea unei supravegheri independente a datelor personale conținute în SINS.
Ministerul Administrației și Internelor și autoritățile competente vor adopta măsuri tehnice, operative și de procedură, potrivit următoarelor principii: confidențialitate (informațiile sunt accesibile numai pentru persoanele autorizate în funcție de competențe), integritate (asigurarea exactității și caracterului complet al informațiilor, precum și a metodelor de prelucrare), disponibilitate (asigurarea accesului la informații în termenul solicitat), identificare și autentificare (toți utilizatorii sunt identificați și autentificați în mod corespunzător, în funcție de competențe, înainte de orice tranzacție), autorizare.
Autoritățile competente sunt obligate să prevină pierderea informațiilor și să asigure recuperarea acestora în cadrul producerii de dezastre naturale. În ce privește prelucrarea datelor cu caracter personal la nivelul MAI, în prezent, această problematică este reglementată.
Pentru aplicarea unitară a acestei legi a fost elaborat proiectul de Instrucțiuni privind măsurile de natură organizatorică și tehnică pentru asigurarea securității prelucrărilor de date cu caracter personal efectuate de către structurile/unitățile Ministerului Administrației și Internelor, proiect care a fost aprobat de ministrul administrației și internelor la data de 27.03.2010 și publicat în Monitorul Oficial nr. 98/12.02.2010.
Conform instrucțiunilor menționate anterior, fiecare operator de date cu caracter personal din cadrul MAI, va elaborează și implementează proceduri proprii privind măsurile de protecție a persoanelor cu privire la prelucrarea datelor cu caracter personal în termen 90 de zile de la intrarea în vigoare a instrucțiunilor.
În vederea respectării drepturilor persoanei în materia protecției datelor personale și asigurarea legalității prelucrărilor de date cu caracter personal în cadrul MAI., a fost numit un responsabil cu protecția datelor personale la nivelul ministerului, ajutat în îndeplinirea atribuțiilor sale de un aparat de lucru denumit Oficiul Responsabilului cu Protecția Datelor Personale (la nivel de serviciu în cadrul Direcției Schengen). De asemenea, la nivelul fiecărui operator de date cu caracter personal din cadrul MAI a fost numit un responsabil /compartiment cu protecția datelor personale.
CAPITOLUL II: AGENȚII EUROPENE RESPONSABILE CU PROTECȚIA DATELOR VEHICULATE ÎN CADRUL SISTEMELOR
2.1 Autoritatea Europeană independentă de supraveghere pentru Protecția Datelor
Dreptul fundamental la viață intimă și privată este garantat de: Tratatul privind instituirea Uniunii Europene (TUE), art. 6; Carta UE a Drepturilor Fundamentale, 7 decembrie 2000; Convenția Europeană pentru protecția Drepturilor și Libertăților Fundamentale ale Omului (ECHR), art. 8.
La începutul anului 2010, comisarul Reding a anunțat intenția sa de a schimba mozaicul actual de norme UE privind protecția datelor într-un instrument juridic modern și cuprinzător. Comisia este implicată activ în aceste discuții în curs de desfășurare.
Autoritatea Europeană pentru Protecția Datelor este o autoritate independentă, fiind singura cu competențe privind datele prelucrate de către instituțiile și organele comunitare. Aceasta nu are competențe la nivel național și, prin urmare, nu are competențe de supraveghere în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile naționale sau de către întreprinderile private.
Obiectivul general al Autorității Europene pentru Protecția Datelor este acela de a se asigura că instituțiile și organele comunitare respectă dreptul la viață privată atunci când prelucrează date cu caracter personal sau elaborează noi politici. Autoritatea își desfășoară activitatea între trei coordonate bine stabilite: supraveghere, consiliere, cooperare.
Supravegherea constă în monitorizarea procesului de prelucrare a datelor cu caracter personal în instituțiile și organele comunitare. Autoritatea Europeană pentru Protecția Datelor desfășoară această activitate în cooperare cu persoanele responsabile de protecția datelor din fiecare instituție sau organ comunitar. Audierea și anchetarea plângerilor înaintate de persoanele ale căror date sunt prelucrate de către instituțiile și organele la nivel european, inclusiv ale plângerilor înaintate de membri ai personalului administrației Uniunii Europene. Desfășurarea de anchete și de inspecții la fața locului, la inițiativa Autorității Europene pentru Protecția Datelor sau pe baza unei plângeri.
Consilierea instituțiilor și organelor comunitare cu privire la toate aspectele care au efecte asupra protecției datelor cu caracter personal. Autoritatea Europeană pentru Protecția Datelor emite avize cu privire la propunerile legislative privind protecția datelor cu caracter personal. Monitorizarea noilor evoluții ale tehnologiei care pot avea efecte asupra protecției datelor. Intervenția în dosarele înaintate Curții de Justiție a Comunităților Europene.
Cooperarea cu autoritățile naționale pentru protecția datelor, pentru a promova protecția consecventă a datelor pe teritoriul Europei. Cooperarea cu organismele de supraveghere instituite în contextul unor baze de date pe scară largă precum Eurodac – o bază de date care conține amprente digitale ale solicitanților de azil. Orice informație despre o persoană fizică (adică o ființă umană) pot fi date cu caracter personal.
Înregistrări sonore sau imagini sunt, de asemenea, date cu caracter personal – în cazul în care o persoană poate fi identificată. Unele categorii de date necesită o atenție specială. Acestea sunt: date care dezvăluie originea rasială sau etnică; opiniile politice; convingerile religioase sau filozofice; apartenența la un sindicat; date privind sănătatea sau viața sexuală.
Datele cu caracter personal sub formă de înregistrări suport de hârtie, precum și datele prelucrate prin mijloace electronice sunt supuse regulamentului. Datele cu caracter personal trebuie să fie păstrate pentru o perioadă nu mai mult decât este necesar pentru realizarea scopului pentru care au fost colectate. Colectarea, sortarea, consultanța, difuzarea de date, toate sunt exemple de tipuri de prelucrare, cum sunt ștergerea sau distrugerea datelor.
Datele prelucrate trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul prelucrării. Cu alte cuvinte, operatorul de date nu poate colecta mai multe date decât este necesar pentru scopul în cauză. În plus, datele trebuie să fie actualizate, după cum este necesar. Precum și asigurarea că datele sunt actualizate la zi, operatorul de date trebuie să permită acces la date subiecților. Operatorul de date trebuie să ofere anumite informații atunci când datele sunt colectate. Această informație include identitatea operatorului, scopul prelucrării, orice destinatari ai datelor și existența drepturilor de acces și de rectificare.
În anumite condiții, datele cu caracter personal pot fi transferate către destinatari, fie în interiorul sau în afara instituțiilor Uniunii Europene. În ceea ce privește transferurile de pe teritoriul său la alte instituții sau organisme comunitare, datele trebuie să fie necesară pentru îndeplinirea legitimă a sarcinilor care țin de competența destinatarului, printre alte condiții.
Un alt set de condiții guvernează transferurile către destinatari care intră sub incidența legislației naționale de transpunere a Directivei 95/46/CE: destinatarii pot fi autoritățile statului membru sau de organisme private. În cazul în care un transfer către un destinatar care nu face obiectul directivei (este în afara UE) sunt avute în vedere condiții speciale care se și aplică.
Persoana vizată se bucură de anumite drepturi și controlorul de date are anumite obligații în temeiul regulamentului. Drepturile acordate persoanelor vizate sunt pilon central al Regulamentului de protecție a datelor. Având acces la datele dumneavoastră se deschide posibilitatea de a exercita alte drepturi, cum ar fi rectificare.
Drepturile includ: acces la datele dumneavoastră personale, în mod gratuit și fără constrângere, în termen de trei luni; rectificare a datelor cu caracter personal inexacte sau incomplete; blocarea prelucrării datelor în anumite circumstanțe; ștergerea datelor prelucrate în mod ilegal; dreptul de a obiecta față de o operațiune de prelucrare din motive întemeiate.
2.2 Serviciul pentru Protecția Datelor a Parlamentului European
Parlamentul European se angajează într-o gamă largă de operațiuni de prelucrare a datelor. Protecția datelor este garantată la nivelul tratatelor: de la Tratatul de la Amsterdam, Tratatul de instituire a Comunității Europene a prevăzut ca protecția datelor să se aplice instituțiilor europene. Carta Drepturilor Fundamentale a Uniunii Europene recunoaște, de asemenea, dreptul la protecția datelor cu caracter personal în articolul 8 din Regulamentul CE nr. 45/2001. Serviciul pentru Protecția Datelor a Parlamentului European are misiunea de a informa persoanele vizate și operatorii de date cu privire la drepturile și responsabilitățile acestora.
Există mai multe informații despre aceste inițiative în curs de procesare. Chiar și elemente care sunt banale, în sine, pot fi angrenate și asociate cu alte elemente într-un mod în care pot fi utilizate. Regulamentul (CE) nr. 45/2001 este destinat pentru a proteja libertățile și drepturile fundamentale ale persoanelor fizice cu privire la prelucrarea datelor cu caracter personal. Regulamentul prevede ca arhitectura instituțională să se asigure că dispozițiile acesteia sunt respectate. Aceasta include o autoritate independentă de supraveghere, precum și un responsabil cu protecția datelor în fiecare instituție.
În ultimii ani, Comisia Europeană a consultat experți în ceea ce privește un număr de inițiative legislative în domeniul transporturilor care implică utilizarea tehnologiilor informației și comunicațiilor (TIC) – de exemplu, în domeniul transportului rutier, siguranța rutieră și, de asemenea pe Sistemele inteligente de transport (a se vedea avizul AEPD, 22 iulie 2009).
Deci, unul din obiectivele principale ale regulamentului este acela de a oferi drepturi garantate din punct de vedere al persoanelor ale căror date sunt prelucrate – subiecte de date. Persoanele vizate pot fi membri ai Parlamentului European, personal, vizitatori sau alte persoane despre care instituția deține date, cum ar fi petiționarii. Operatori de protecție a datelor primare în figurile centrale în arhitectura de protecție a datelor fac obiectul datelor și controlorul de date.
Așa cum am menționat anterior, operatorul de date are, de asemenea, responsabilitatea de a furniza anumite informații persoanelor vizate. Controlorul de date trebuie să faciliteze, de asemenea, accesul persoanelor vizate la datele lor și exercitarea drepturilor, cum ar fi rectificarea și ștergerea. Controlorul de date trebuie să se asigure, de asemenea, că măsurile de securitate adecvate sunt puse în practică, și emite instrucțiuni adecvate pentru a asigura confidențialitatea în cazul în care datele sunt prelucrate de alte instituții. Fiecare cetățean al UE este o persoană vizată în cazul în care toate datele personale ale sale pot fi prelucrate de către Parlamentul European. Printre persoanele vizate se numără nu numai membrii Parlamentului European și funcționarii și alți angajați, dar și alte persoane, cum ar fi vizitatori sau petiționari, despre care datele sunt colectate sau prelucrate în alt mod.
Celebrată pe data de 28 ianuarie 2015 de către toate statele membre ale Consiliului Europei, Ziua Europeană a Protecției Datelor marchează aniversarea a 34 de ani de la adoptarea, la Strasbourg, a Convenției 108 pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal.
2.3 Instituția Ombudsmanul-ului european în spațiul de libertate, securitate și justiție
Prerogativele înființării unui organism de protecție a cetățeanului european
La 6 septembrie 2001, Parlamentul European a aprobat rezoluția care ratifică Codul Bunei Conduite Administrative, pe care trebuie să îl respecte instituțiile și organele Uniunii Europene, serviciile lor administrative și funcționarii în contact cu persoanele individuale. Prima propunere de creare a Codului Bunei Conduite Administrative a venit din partea deputatului în Parlamentul European Roy Perry în anul 1998.
Ca o consecință a anchetei desfășurate din proprie inițiativă, mediatorul European a întocmit proiectul textului, pe care l-a prezentat apoi Parlamentului European sub forma unui raport special. Rezoluția Parlamentului European referitoare la acest Cod se bazează pe proiectul Mediatorului European împreună cu modificările introduse de către Roy Perry, raportorul Comisiei pentru Petiții a Parlamentului European. Codul ia în considerare principiile dreptului administrativ european cuprinse în hotărârile Curții de Justiție și de asemenea se inspiră din legislația diferitelor țări.
Poziția de Ombudsman European a fost înființată prin Tratatul de instituire a Uniunii Europene (Maastricht) în 1992.
Strict etimologic, termenul ombudsman derivă din legislația embrionară a vechilor triburi germanice. Acestea practicau, în cazul comiterii unei fapte care contravenea intereselor comunității, două categorii de pedepse: fie comunitatea îl declara pe cel vinovat în afara legii – și atunci oricine îl putea ucide, pentru că îndeplinea astfel voința comunității – fie, cu timpul, familia celui vinovat era obligată să achite familiei victimei o sumă de bani, cu titlu de despăgubire sau amendă. Deoarece colecționarea acestei amenzi direct de către un membru al vreuneia dintre familiile implicate ar fi dus iremediabil la noi violențe, a fost numită în acest scop o persoană neutră. În vechiul limbaj germanic, om-buds-man era cel care încasa amenda (om – despre, bud – mesager care colecționează amenda).
În legea medievală suedeză Frostathing, aceeași noțiune desemna un agent care are puterea de a acționa pentru altul, iar în suedeza modernă termenul cuprinde o arie vastă: există ombudsmani ai presei, ai sindicatelor, ai consumatorilor etc.
Administrarea defectuoasă înseamnă administrare incorectă sau incompletă – cu alte cuvinte, o instituție nu acționează în conformitate cu legislația sau nu respectă principiile de bună administrare sau încalcă drepturile omului. Iată câteva exemple: nedreptate; discriminare; abuz de putere; necomunicarea sau refuzul de a comunica informații; întârzieri nejustificate; proceduri incorecte.
Ombudsmanul acționează ca intermediar între cetățean și autoritățile Uniunii Europene. El are dreptul de a primi și investiga plângerile trimise de cetățenii, companiile și organizațiile din Uniunea Europeană și de orice persoană cu domiciliul sau sediul într-un stat membru UE. Ombudsmanul este ales de Parlamentul European pentru un mandat de cinci ani, care poate fi reînnoit; coincide cu mandatul legislativ al Parlamentului.
Emily O'Reilly a fost aleasă în funcția de Ombudsman European în 2013. Autoare, fostă jurnalistă și om de radio, Emily O’Reilly a fost prima femeie care a ocupat funcția de Ombudsman al Irlandei în 2003, iar începând cu 2007 a fost numită și Comisar pentru Informații despre Mediu și Comisar pentru Libertatea Informațiilor.
În legătură cu drepturile omului și reglementările lor în diverse constituții trebuie semnalat că mijloacele practice prin care se asigură respectul acestor drepturi sunt extrem de diverse și uneori se deosebesc de la un stat la altul. Aproape toate constituțiile lumii garantează dreptul persoanelor care au fost prejudiciate în drepturile lor să se adreseze justiției. Cu toate acestea, gama drepturilor omului nu se oprește nici pe departe aici. Într-o serie de constituții a fost recunoscută și consacrată instituția Ombudsman-ului.
2.4 Necesitatea intermedierii relațiilor între cetățenii și autoritățile Uniunii Europene
Ombudsman-ul este un control independent fundamentat pe principiul separației puterilor în stat, dar totodată, reprezintă și un control depolitizat al organelor publice, prin care se creează posibilitatea asigurării unei mai bune administrări, fără a suferi joncțiuni din partea vreunei autorități publice.
Cauza înființării instituției, precum și a răspândirii acesteia în secolul trecut, poate fi explicată prin faptul că și un act legal poate produce prejudicii pentru cetățean. Datorită prerogativelor sale, acesta are posibilități să asigure o administrație publică mai eficientă și să promoveze reforme administrative. Se prezintă ca o opțiune pentru corectarea greșelilor administrației publice, întrucât pentru cetățeni este un agent expert și imparțial, a cărui activitate nu atrage nicio cheltuială pentru reclamații, fără tergiversări, fără tensiunea de a discuta cu o parte opusă (opozantă). Mai sintetic, aș spune că apără dreptul uman al individului și cel colectiv al comunității împotriva deficienței administrative.
Ombudsmanul începe investigațiile ca urmare a unei plângeri primite sau din proprie inițiativă. El își desfășoară activitatea independent și imparțial. Ombudsmanul nu solicită și nu primește instrucțiuni de la niciun guvern sau organizație. În fiecare an, Ombudsmanul prezintă Parlamentului European un raport în care își prezintă întreaga activitate.
Rețeaua europeană a ombudsmanilor constă din aproape 90 de oficii în 31 de state europene. În cadrul Uniunii, cuprinde ombudsmanii și alte organisme similare la nivel european, național și regional, în timp ce la nivel național, include, de asemenea, Norvegia, Islanda și țările candidate la Uniunea Europeană. Fiecare ombudsman național și organism similar din statele membre ale Uniunii Europene, precum și din Norvegia și Islanda a desemnat un ofițer de legătură ca persoană de contact cu ceilalți membri ai rețelei.
Rețeaua a fost creată în 1996 și s-a dezvoltat constant devenind un puternic instrument de colaborare pentru ombudsmani și personalul lor, servind ca mecanism eficient de cooperare în soluționarea cazurilor. Exercitarea unui control eficient asupra executivului este esențială în regimurile liberale. Ea exprimă un aspect fundamental al relației dintre guvernanți și guvernați, respectiv dintre puterea executivă și cetățean. Astfel fiind, universalitatea controlului asupra administrației la inițiativa persoanelor particulare este un principiu de ordin public fundamental în regimurile liberale.
CAPITOLUL III: REFORMA UNIUNII EUROPENE ÎN MATERIA PROTECȚIEI PERSOANELOR FIZICE ÎN TIMPUL PRELUCRĂRII ȘI TRANSFERULUI DATELOR PERSONALE
3.1 Cadrul actual de reglementare a problematicii protecției datelor cu caracter personal
Cadrul Uniunii Europene de reglementare a problematicii protecției persoanelor fizice cu ocazia prelucrării datelor personale este unul mai amplu, excedând domeniile de aplicare a noilor propuneri legislative care fac obiectul acestui studiu. Astfel, sediul materiei se regăsește atât în dispozițiile de drept primar (Carta drepturilor fundamentale, Tratatul privind UE, Tratatul privind funcționarea UE și Convenția europeană privind protecția drepturilor și libertăților fundamentale), cât și într-o serie de reglementări de drept secundar, mai cu seamă directive și decizii ale instituțiilor Uniunii, care se completează cu o succesiune de hotărâri ale Curții de Justiție a Uniunii Europene, extrem de semnificative pentru înțelegerea domeniului în cauză, dar și cu normele de tip soft law, respectiv codurile de conduită în materie, existente atât la nivelul statelor membre, cât și la nivelul Uniunii.
O abordare cronologică a acestor acte ne trimite în primul rând la Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Obiectivul declarat al acestei directive (încă în vigoare) este acela de a crea pentru statele membre obligația de a asigura protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal. Aceleași act normativ stabilește însă și principiul conform căruia statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția vieții private. În sensul acestei directive, datele personale cuprind toate informațiile referitoare la o persoană fizică identificată sau identificabilă direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale. De asemenea, sintagma de prelucrare a datelor semnifică toate operațiunile care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea. Actul normativ al Uniunii stabilește în continuare condițiile generale de legalitate a prelucrării datelor cu caracter personal, enumerând principiile referitoare la calitatea datelor, criteriile de legitimitate a prelucrării acestora, condițiile de prelucrare a unor categorii speciale de date, categoriile de informații care se comunică persoanei vizate, drepturile acesteia din urmă (accesul la date și dreptul la opoziție), excepțiile și restricțiile care pot fi impuse de statele membre. Tot în vederea asigurării condițiilor de legalitate directiva instituie principiile confidențialității și al securității prelucrărilor de date cu caracter personal, precum și obligația operatorilor de date de a notifica autoritatea de supraveghere. Directiva reglementează totodată principiile aplicabile transferului datelor cu caracter personal către țări terțe, precum și condițiile de derogare de la acestea. Supravegherea modului de aplicare a dreptul intern în materie cade în sarcina unei autorități independente, special instituite la nivelul fiecărui stat membru și înzestrate cu competențe de investigare, de intervenție și de acționare în justiție.
De asemenea, directiva a pus bazele instituirii la nivelul Consiliului Uniunii a grupului de lucru DAPIX, cu rol în asigurarea schimbului de informații între statele membre.
În dreptul intern românesc, Directiva 95/46/CE a fost transpusă prin Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările ulterioare și prin Legea nr.102 din 3 mai 2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal
, cu modificările ulterioare.
Pentru ca actul normativ al Uniunii la care ne-am referit anterior să poată fi pus pe deplin în aplicare de către statele membre, mai cu seamă sub aspectul asigurării dreptului la confidențialitate, legiuitorul european a adoptat, în completarea sa, Directiva 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice. Aceasta din urmă a abrogat Directiva 97/66/CE cu același titlu, fără a aduce schimbări majore de conținut, preferând să adapteze și să aducă la zi dispozițiile existente în funcție de noile evoluții tehnologice din cadrul serviciilor de comunicații electronice. În vederea realizării obiectivelor propuse, Directiva 2002/58/CE vizează, printre altele: armonizarea cerințelor în materia protecției datelor în vederea asigurării liberei circulații a datelor și a echipamentelor și serviciilor de comunicații electronice; alinierea definițiilor existente la cele noi introduse prin această directivă (noțiuni precum „apel”, „comunicație”, „date de transfer”, „date de localizare”); limitarea sferei de aplicare a serviciilor de comunicații electronice accesibile publicului și crearea posibilității de derogare pentru centralele analogice; instituirea răspunderii furnizorilor pentru asigurarea securității serviciilor și rețelelor și a obligației acestora de a informa abonații în cazul în care ar exista riscuri în materie de securitate; garantarea confidențialității comunicațiilor și interzicerea ascultării sau a altor forme de supraveghere exercitate de terți; interzicerea utilizării de date cu privire la trafic, cu excepția celor utilizate în scopul facturării; instituirea dreptului la facturi detaliate; crearea de garanții pentru abonați și utilizatori în scopul ocrotirii vieții private în cadrul utilizării serviciilor de identificare a liniilor apelante și conectate; crearea dreptului de acces la informațiile de identificare a liniilor apelante pentru a facilita intervenția serviciilor de urgență și pentru a detecta apelurile răuvoitoare; instituirea de garanții pentru ca argumentele în favoarea protecției datelor personale să nu blocheze piața unică și libera circulație a echipamentelor proprii terminalelor.
În dreptul intern românesc, Directiva 2002/58/CE a fost transpusă prin Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, cu modificările ulterioare.
În baza reglementărilor adoptate la nivel național ca urmare a transpunerii directivelor menționate anterior, statele membre adoptaseră legislații extrem de neomogene cu privire la păstrarea datelor de către furnizorii de servicii, în vederea prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor. Aceste acte normative, prin diferențele juridice și tehnice create, ridicau obstacole în calea pieței interne a comunicațiilor electronice, astfel că legiuitorul Uniunii Europene a considerat oportună armonizarea dispozițiilor statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice cu privire la păstrarea anumitor date generate sau prelucrate de către aceștia.
Astfel, Directiva 2006/24/CE din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice se aplică datelor cu privire la trafic, datelor de localizare cu privire la persoanele fizice și juridice, precum și datelor conexe necesare pentru identificarea abonatului sau utilizatorului înregistrat. Directiva nu se aplică conținutului comunicațiilor electronice, inclusiv informațiilor consultate în utilizarea rețelelor de comunicații electronice, ci numai următoarelor categorii de date: date necesare pentru urmărirea și identificarea sursei unei comunicații; date necesare pentru identificarea destinației unei comunicații; date necesare pentru identificarea datei, a orei și a duratei unei comunicații; date necesare pentru identificarea echipamentului de comunicație al utilizatorilor sau la ce servește echipamentul acestora; date necesare pentru identificarea amplasamentului echipamentului de comunicație mobilă. Datele păstrate se transmit numai autorităților naționale competente și în condițiile stabilite prin legislația națională. Ele se păstrează pentru o perioadă minimă de șase luni și maximă de doi ani începând de la data comunicării. Statele membre sunt obligate să ia măsurile necesare pentru ca accesul intenționat la datele stocate ori transferul acestora să fie pedepsit prin sancțiuni administrative sau penale eficiente, proporționale și cu efect de descurajare.
Directiva 2006/24/CE a fost transpusă în dreptul intern românesc mai întâi prin Legea nr.298 din 18 noiembrie 2008 privind reținerea datelor generate sau prelucrate de furnizorii de servicii de comunicații electronice destinate publicului sau de rețele publice de comunicații, precum și pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Ulterior, acest act normativ a fost declarat neconstituțional prin decizia Curții Constituționale nr. 1258 din 8 octombrie 2009, pe motiv că modul în care legea a fost redactată ar fi afectat (chiar și indirect) exercitarea anumitor drepturi și libertăți fundamentale, mai cu seamă dreptul la viață intimă, privată și de familie, dreptul la secretul corespondenței și libertatea de exprimare, contrar cerințelor stabilite de art. 53 din Constituția României. Obiecțiile Curții au vizat în principal lipsa unei definiții pentru sintagma „date conexe”; lipsa clarității și a previzibilității cu privire la limitarea exercitării drepturilor și libertăților în cauză; lipsa unei definiții pentru formularea „amenințări la adresa securității naționale”; instituirea regulii conform căreia datele cu caracter personal se rețin timp de șase luni de la data interceptării; nerespectarea principiului proporționalității, întrucât legea nu prevedea (cum ara și firesc) încetarea măsurii de limitare a exercitării drepturilor în momentul dispariției cauzei care a determinat luarea acestei măsuri;
În dreptul intern românesc, decizia-cadru a fost transpusă prin Legea nr. 238 din 10 iunie 2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice,cu modificările ulterioare.
Toate dispozițiile legislative ale Uniunii la care ne-am referit până acum sunt obligatorii pentru statele membre, însă nu trebuie trecut cu vederea nici Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date. În conformitate cu acesta, instituțiile Uniunii Europene sunt obligate să asigure (pentru persoanele fizice) protecția drepturilor și a libertăților fundamentale, în special dreptul la viață privată în ceea ce privește prelucrarea datelor personale, precum și libera circulație a datelor în cadrul Uniunii. Regulamentul stabilește normele generale cu privire la legalitatea prelucrării datelor: principiile referitoare la calitatea datelor; criteriile de legitimitate a prelucrării datelor; categoriile speciale de prelucrare; tipurile de informații care se comunică persoanei vizate; drepturile persoanei vizate; excepțiile și restricțiile; confidențialitatea și securitatea prelucrărilor; responsabilul cu protecția datelor; verificarea prealabilă efectuată de Autoritatea europeană pentru protecția datelor și obligația de cooperare; căile de atac; protecția datelor personale și a vieții private în contextul rețelelor interne de telecomunicații, precum și instituirea Autorității europene pentru protecția datelor (modul de alegere, independența, competențele și secretul profesional).
3.2 Propunerile de reformă
Așa cum am văzut anterior, cadrul actual de reglementare a ocrotirii persoanelor fizice în timpul prelucrării și transferului datelor personale este dominat de Directiva 95/46/CE, care a fost ulterior completată de o serie de alte directive, dar și de către Decizia-cadru 2008/977/JAI, menită să asigure protecția datelor și în fostul pilon III: cooperarea polițienească și judiciară în materie penală.
În opinia Comisiei Europene, obiectivele și principiile stabilite de către reglementările actuale rămân valabile, însă punerea lor în aplicare de către statele membre s-a făcut în mod diferit, generând insecuritate juridică și o percepție publică generală asupra existenței unor riscuri majore, legate în special de activitățile online. Ca atare, considerând oportună crearea unui cadru mai solid și mai coerent în materia protecției datelor personale în spațiul Uniunii, legiuitorul european a avansat două inițiative legislative:
• o propunere de regulament privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor), care vizează înlocuirea Directivei 95/46/CE și
• o propunere de directivă privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și libera circulație a acestor date, care va înlocui Decizia-cadru 2008/977/JAI.
A. Propunerea de regulament instituie regulile cu privire la protecția persoanelor fizice în timpul procesării datelor cu caracter personal și regulile referitoare la libera circulație a acestor date. În privința principiilor cu privire la protecția datelor personale, elementele de noutate le constituie principiul transparenței, clarificarea principiului de minimizare a datelor și instituirea unei responsabilități globale a operatorului. Se stabilesc, totodată, criteriile privind legalitatea prelucrării, fiind descrise în detaliu diverse aspecte ale acestora, cum ar fi criteriul privind echilibrul intereselor, precum și respectarea obligațiilor juridice și a interesului public. Propunerea de regulament clarifică și condițiile în care consimțământul constituie un temei juridic valabil pentru legalitatea prelucrării și stabilește condiții suplimentare pentru legalitatea prelucrării datelor cu caracter personal ale copiilor în ceea ce privește serviciile societății informaționale care sunt oferite direct acestora.
Cu privire la drepturile persoanei vizate, se instituie obligația operatorilor de a furniza informații transparente,ușor accesibile și inteligibile, dar și de a asigura proceduri și mecanisme pentru exercitarea drepturilor, inclusiv mijloacele pentru adresarea cererilor pe cale electronică, atunci când acestea necesită un răspuns într-un anumit termen ori atunci când se impune motivarea refuzului de a da curs cererii în cauză.
Cu privire la operatori, propunerea de regulament are în vedere aplicarea principiului responsabilității, aceștia fiind obligați să adopte politici și să pună în aplicare măsuri adecvate pentru a garanta și a demonstra că prelucrarea datelor cu caracter personal se efectuează în conformitate cu noul regulament. Aceste măsuri ar trebui să cuprindă: păstrarea documentației; punerea în aplicare a cerințelor privind securitatea datelor; efectuarea unei evaluări a impactului privind protecția datelor; respectarea cerințelor privind autorizarea prealabilă sau consultarea prealabilă a autorității de supraveghere; desemnarea unui responsabil cu protecția datelor.
În privința transferului de date cu caracter personal către un stat terț sau către o organizație internațională, propunerea de regulament definește criteriile, condițiile și procedurile de adoptare a unei decizii de către Comisie pentru stabilirea unui nivel adecvat de protecție. Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente: principiul statului de drept, existența unei căi de atac și a unui control independent. În situația în care Comisia nu adoptă o decizie, transferurile de date pot avea loc numai în baza unor garanții adecvate, cum ar fi regulile corporatiste și clauzele standard de protecție.
Propunerea de regulament obligă statele membre să instituie una sau mai multe autorități de supraveghere independente, responsabile cu monitorizarea aplicării noului regulament și cu asigurarea aplicării uniforme a regulamentului în întreaga Uniune. Pentru aceasta, autoritățile de supraveghere au obligația de a coopera atât între ele, cât și cu Comisia. Totodată, se clarifică condițiile de garantare a independenței autorităților de supraveghere, prin aplicarea jurisprudenței Curții de Justiție a Uniunii Europene.
B. În ceea ce privește propunerea de directivă, aceasta se justifică (în opinia Comisiei) în principal prin sfera limitată de aplicare a Deciziei–cadru 2008/977/JAI, întrucât aceasta viza numai prelucrarea transfrontalieră a datelor, nu și activitățile de prelucrare a datelor desfășurate de autoritățile polițienești și judiciare la nivel pur național. Ca atare, decizia-cadru conferă dreptului național al statelor membre o largă marjă de apreciere în punerea în aplicare a dispozițiilor sale. În plus, ea nu conține nici un mecanism de sprijinire a unei interpretări comune a dispozițiilor sale și nici nu prevede pentru Comisie atribuții de punere în aplicare în scopul asigurării unei abordări comune.
Așa cum am arătat anterior, propunerea de directivă vizează abrogarea Deciziei–cadru 2008/977/JAI, stabilind regulile cu privire la prelucrarea datelor cu caracter personal în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor. Astfel, propunerea de directivă și-a stabilit un dublul obiectiv: a) protecția drepturilor și a libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu caracter personal, garantând în același timp un nivel ridicat de siguranță publică, și b) asigurarea schimbului de date cu caracter personal între autoritățile competente în cadrul Uniunii.
Referitor la drepturile persoanelor vizate, propunerea de directivă introduce obligația statelor membre de a furniza informații ușor accesibile și inteligibile, și de a impune operatorilor să prevadă proceduri și mecanisme pentru facilitarea exercitării drepturilor de către persoana vizată. Aceasta include cerința ca exercitarea drepturilor să fie, în principiu, gratuită. Totodată, se prevede obligația statelor membre de a asigura informarea persoanei vizate și de a asigura dreptul persoanei vizate de a avea acces la datele sale cu caracter personal. Limitarea dreptului de acces rămâne posibilă dacă care acest lucru este necesar pe baza naturii specifice a prelucrării datelor în domeniul poliției și al justiției penale, precum și cu privire la informarea persoanei vizate cu privire la o limitare a accesului. Dispozițiile cu privire la rectificare, ștergere și restricționarea prelucrării datelor în cadrul procedurilor judiciare sunt menținute și clarificate în baza reglementărilor actuale.
Referitor la securitatea datelor, propunerea de directivă introduce obligația de a notifica încălcarea securității datelor cu caracter personal și de a informa, în anumite circumstanțe, persoana vizată.
Se instituie de asemenea obligația operatorului de a desemna un responsabil cu protecția datelor care să îndeplinească sarcinile cuprinse în directivă. În cazul în care mai multe autorități competente acționează sub supravegherea unei autorități centrale, care are calitatea de operator, cel puțin această autoritate centrală ar trebui să desemneze un astfel de responsabil cu protecția datelor.
Transferurile de date către țări terțe sau organizații internaționale pot avea loc numai dacă acestea sunt necesare în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor. Legiuitorul european stabilește în plus că transferurile de date către statele terțe pot avea loc pe baza unei decizii a Comisiei cu privire la caracterul adecvat al nivelului de protecție sau, în absența unei astfel de decizii, pe baza instituirii unor garanții corespunzătoare.
Autoritățile naționale de supraveghere se instituie în condiții similare regulamentului, statele membre fiind obligate să extindă misiunea acestora pentru a contribui la aplicarea uniformă a directivei în întreaga Uniune. O sarcină specială a autorităților de supraveghere în contextul directivei este aceea conform căreia, în cazul în care accesul direct este refuzat sau restricționat, exercită dreptul de acces în numele persoanelor vizate și verifică legalitatea prelucrării datelor.
Se menține de asemenea obligația generală de cooperare, Comitetul european pentru protecția datelor fiind însărcinat, în plus, cu activitățile de prelucrare care intră în domeniul de aplicare a acestei directive.
3.3 Poziția României
În notele transmise Parlamentului României de către Ministerul Afacerilor Europene se arată că România susține adoptarea noului pachet legislativ privind protecția datelor. Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită (în opinia Guvernului României) nu numai consolidarea și detalierea drepturilor persoanelor vizate, ci și a obligațiilor celor care prelucrează/procesează date cu caracter personal. În mod firesc, acest fapt conduce la o sporire a sarcinilor administrative care revin operatorilor de date cu caracter personal. Guvernul a luat notă de faptul că aceste sarcini administrative suplimentare ar putea îngreuna desfășurarea activităților marilor corporații, dar mai ales a întreprinderilor mici și mijlocii. De aceea, s-a subliniat la nivel guvernamental necesitatea găsirii unor soluții pentru a asigura un echilibru just între protecția datelor cu caracter personal și sarcinile administrative ale operatorilor de date cu caracter personal. Criteriile de care se va ține seama sunt riscurile legate de procesarea de date, mărimea operatorilor – microîntreprinderi, IMM sau mari corporații, precum și cantitatea de date cu caracter personal procesate/numărul persoanelor afectate.
3.4. Aspecte cu privire la cele două propuneri legislative
Analizând conformitatea celor două propuneri legislative cu principiile subsidiarității și proporționalității, în cadrul procedurilor de control parlamentar asupra procesului decizional de la nivelul Uniunii, o serie de state membre au formulat avize motivate, reliefând diferite neajunsuri: încălcări ale unor principii, lipsa clarității unor dispoziții, insuficiența ori inexistența unor definiții, inoportunitatea unor articole etc. Prezentăm în continuare cele mai semnificative observații făcute de camerele legislative ale statelor membre, precum și recomandările formulate la nivelul unor organisme consultative, cum ar fi Autoritatea Europeană pentru Protecția Datelor și Comitetul Regiunilor.
Franța – Senat
La 4 martie 2012, Senatul adoptat un aviz motivat privind propunerea de regulament, ridicând trei obiecții: necesitatea menținerii tranzitorii a unor dispoziții naționale cu un nivel de protecție mai ridicat, astfel încât armonizarea de la nivelul UE să nu conducă la o diminuare a protecției naționale; întinderea semnificativă a competențelor delegate, care ar trebui stabilite în mod direct de către legiuitorul UE (este citat exemplul dreptului de a fi uitat în privința mediului informatic); reglementarea „ghișeului unic” (art. 51 din propunere) lipsește persoanele interesate de posibilitatea tratării plângerii de către autoritatea națională, generând o asimetrie între acțiunea administrativă exercitată la autoritatea străină și acțiunea judecătorească împotriva operatorului introdusă în fața instanței naționale, astfel încât, pentru respectarea principiului subsidiarității ar trebui favorizată o procedură care să permită persoanelor interesate să se adreseze autorității din statul membru în care domiciliază.
Italia – Camera Deputaților
Avizul Camerei Deputaților din 27 martie 2012 relevă o serie de aspecte problematice din perspectiva conformității cu principiul subsidiarității. În primul rând, subiectul care face obiectul propunerii de regulament are valențe de natură constituțională sau, cel puțin, trimite la principiile fundamentale ale regimurilor juridice naționale. În al doilea rând, punerea în aplicare a criteriilor comune ar putea fi în defavoarea anumitor sisteme de drept naționale care, la ora actuală, conferă o protecție mai mare decât aceea cuprinsă în propunere și prin aceasta riscă să submineze garanțiile deja existente. Ca atare, ar trebui menționat în mod expres că excepție fac situațiile în care dreptul intern este mai favorabil protecției datelor personale. De asemenea, atribuirea unor puteri extinse Comisiei Europene prin conferirea, în baza art. 87, a unei depline autorități pentru adoptarea de acte delegate pentru aproape toate elementele esențiale ale propunerii de regulament este contrară principiului subsidiarității. Regulamentul este deficitar și în privința definirii unor termeni, cum ar fi sintagma „dreptul de a fi uitat” și, totodată, nu lămurește suficient sfera de aplicare a drepturilor și obligațiilor cu privire la prelucrarea datelor personale, caracterul general al art. 21 fiind susceptibil de a crea diferențe în punerea în aplicare la nivelul statelor.
Autoritatea Europeană pentru Protecția Datelor (AEPD)
La 7 martie 2012 AEPD a emis un aviz cu privire la pachetul de reformă al Uniunii Europene, formulând o serie de observații pe marginea ambelor propuneri legislative. Astfel, cu privire la propunerea de regulament, AEPD consideră că aceasta constituie un pas înainte pentru protecția datelor în Europa, asigurând o consolidare a drepturilor persoanelor fizice, a competențelor autorităților naționale, dar și o sporire a responsabilității operatorilor de date. Elementele negative ale propunerii de regulament sunt: noile excepții de la principiul limitării scopului; posibilitățile de restrângere a principiilor și drepturilor de bază; obligația operatorilor de a păstra documentele cu privire la toate operațiunile de prelucrare; transferul de date către țări terțe, prin derogare; rolul Comisiei în mecanismul pentru asigurarea coerenței; caracterul obligatoriu al impunerii de sancțiuni administrative. Pe de altă parte, propunerea de directivă a fost criticată pentru faptul că oferă un nivel inadecvat de protecție, mult inferior față de propunerea de regulament. În opinia AEDP, propunerea de directivă are un domeniu de aplicare mai larg decât actuala decizie-cadru, însă ea nu remediază lipsa caracterului cuprinzător al normelor UE privind protecția datelor. Numeroase instrumente ale UE privind protecția datelor rămân neschimbate, de exemplu normele privind protecția datelor pentru instituțiile și judiciare în materie penală, cum ar fi decizia Prüm și normele privind Europol și Eurojust. De asemenea, instrumentele propuse, considerate împreună, nu țin seama în totalitate de situațiile reale care se înscriu în ambele domenii de politică, de exemplu utilizarea în scopuri de aplicare a legii a datelor din registrul cu numele pasagerilor (PNR) sau a datelor din telecomunicații.
Drept urmare, AEPD a făcut o serie de recomandări, atât cu privire la întregul proces de reformă, cât și cu privire la cele două propuneri legislative, dintre care reținem următoarele:
• necesitatea detalierii noțiunii de „interes public” în fiecare dintre dispozițiile în care este utilizată;
• instituirea de măsuri adecvate și specifice privind microîntreprinderile și întreprinderile mici și mijlocii exclusiv în acte de punere în aplicare selectate și nu în actele delegate menționate de propunerea de regulament;
• introducerea unei noi dispoziții privind reprezentarea tuturor persoanelor fizice care nu au capacitatea (juridică) suficientă sau care sunt, din alte motive, incapabile să acționeze;
• includerea în categoriile speciale de date a infracțiunilor și faptelor care nu au condus la condamnări și să extinderea cerinței de control din partea autorității oficiale la toate motivele menționate la articolul 9 alineatul (2) litera (j din propunerea de regulament;
• introducerea unor garanții suplimentare cum ar fi informarea persoanelor vizate cu privire la o restricție și la dreptul acestora de a se adresa autorității de supraveghere pentru a obține accesul indirect;
• includerea rolului parlamentelor naționale în procedura de numire a membrilor autorităților de supraveghere;
• limitarea competenței Comisiei, prin eliminarea posibilității de anulare a unei decizii a unei autorități naționale de supraveghere, în legătură cu un aspect specific, printr-un act de punere în aplicare;
• introducerea în propunerea de directivă a unei noi dispoziții prin care să se i impună operatorului să informeze fiecare destinatar căruia i-au fost divulgate datele cu privire la orice rectificare, ștergere sau modificare a datelor;
• includerea mențiunii că raportul de activitate anual al autorităților de supraveghere trebuie să fie prezentat parlamentului național și să fie publicat;
Agenția pentru Drepturi Fundamentale a Uniunii Europene (FRA)
La 1 octombrie 2012, FRA a emis un aviz cu privire la cele două propuneri legislative ale Uniunii, în cadrul căruia a făcut o serie de observații și recomandări. În primul rând, aceasta a remarcat că atât regulamentul, cât și directiva stabilesc liste de drepturi fundamentale care ar putea fi afectate de pachetul de reformă propus. Prin urmare, aceste liste ar trebui puse în acord, discrepanțele necesitând justificări din perspectiva specificității și a domeniului de aplicare aparținând fiecărui instrument. Totodată, propunerile Comisiei ar trebui să cuprindă o garanție explicită cum că actele delegate și de punere în aplicare nu vor limita drepturile fundamentale într-un mod contrar cartei.
Cu privire la transferul datelor către statele terțe, pentru care nu se prevede o decizie de adecvare, propunerile legislative în cauză conferă garanții numai cu privire la protecția datelor personale, nu și a drepturilor fundamentale; de aceea, se impune introducerea unei dispoziții care să garanteze în mod solid drepturile fundamentale în cadrul transferului de informații către statele terțe.
Comitetul Regiunilor
La 10 octombrie 2012, CoR a adoptat un aviz cu privire la pachetul legislativ în materia protecției datelor, subliniind cu acest prilej o serie de deficiențe ale propunerilor Comisiei, în special cele cu privire la conformitatea cu principiile subsidiarității și proporționalității arătate anterior. Cum era și firesc, CoR a pus accentul asupra rezervelor a numeroase autorități locale și regionale europene împotriva propunerilor de reglementare, care elimină, de exemplu, particularitățile naționale în ceea ce privește protecția datelor în domeniul social sau împovărează activitatea administrațiilor publice cu cerințe privind protecția datelor, cum ar fi dreptul la transferabilitatea datelor, care pot părea adecvate doar pentru procesele de prelucrarea datelor din sectorul economic și care prevăd sancțiuni administrative severe, având în vedere resursele financiare de care dispun autoritățile locale. Totodată, acesta a recomandat ca prelucrarea de către organismele publice a datelor cu caracter personal și prelucrarea datelor din domeniul legislației muncii să fie excluse din domeniul de aplicare a regulamentului general, fiind de preferat ca acestea să fie reglementate prin directivă. Mai mult, CoR a făcut o serie de propuneri care vizează menținerea marjelor de manevră ale legislatorilor naționali, consolidarea răspunderii democratice, precum și trasarea limitelor armonizării protecției datelor în domeniul polițienesc și judiciar.
3.5. Evoluții recente ale legislației din domeniul protecției datelor cu caracter personal
a) Consiliul Uniunii Europene
Într-o notă a Președinției Consiliului din 3 decembrie 2012 se relevă faptul că, la reuniunea informală a miniștrilor JAI din iulie a.c. de la Nicosia, delegațiile statelor membre au discutat cu precădere trei chestiuni problematice cuprinse în propunerea de regulament: actele delegate și de punere în aplicare, sarcinile administrative impuse de proiectul de regulament și aplicarea în sectorul public a normelor în materie de protecție a datelor.
Referitor la sarcinile administrative și costurile de conformitate, Comisia a afirmat că propunerea sa de reformă va reduce sarcina administrativă asupra întreprinderilor cu 2,3 miliarde de euro. O serie de delegații naționale au contestat această aserțiune din punct de vedere tehnic, arătând că perspectiva trebuie să fie una mai largă care să cuprindă nu doar sarcinile administrative, ci și cheltuielile de conformitate generale, acestea din urmă depășind orice economii care pot fi realizate conform propunerii. În acest sens, statele membre au convenit ca reforma în materia protecției datelor să urmeze o abordare bazată pe risc, în care obligațiile operatorilor de date și ale persoanele împuternicite de către operator să fie adaptate, în special, la tipul prelucrării și al datelor prelucrate și în funcție de impactul lor asupra drepturilor și libertăților persoanelor. În plus, un accent mai mare ar trebui să se pună pe responsabilitatea operatorilor, deoarece aceștia sunt cel mai bine plasați pentru a evalua riscurile implicate în anumite operațiuni de prelucrare a datelor.
b) Parlamentul European
Într-un document de lucru al Comisiei pentru libertăți civile, justiție și afaceri interne din 9.10.2012 se arăta că, inițial, Parlamentul a avut ca obiectiv adoptarea unui instrument cuprinzător unic privind protecția datelor care să reglementeze întreaga problematică, însă Comisia Europeană a optat în final pentru două instrumente de legiferare, domeniul dreptului penal făcând obiectul directivei în cauză. Comisia parlamentară sus amintită a ținut totuși să precizeze că ar fi fost de preferat ca în locul directivei să se fi propus un regulament, deoarece
nivelul de armonizare printr-o directivă este întotdeauna inferior și ar putea duce la o transpunere neregulată fără a introduce o practică orizontală comună la nivelul statelor membre. În plus, nici conținutul directivei nu poate atinge același nivel de protecție ca regulamentul propus. Având în vedere și poziția critică a AEPD, Comisia pentru libertăți civile, justiție și afaceri interne a subliniat că obiectivul declarat al reformei nu este atins pe deplin, iar lipsa caracterului cuprinzător nu a fost remediată. Mai mult, existența celor două instrumente juridice ridică întrebări justificate cu privire la aplicabilitatea practică a acestora în cooperarea între autoritățile de aplicare a legii și sectorul privat sau alte entități publice. În final, în vederea asigurării securității juridice, comisia parlamentară a propus legiuitorului european să clarifice unele aspecte ce țin de: justificarea excepțiilor de la principii; conținutul principiilor protecției datelor (ex. transparență, actualizare, pertinență etc.); mecanismele de evaluare a necesității și proporționalității; slăbiciunea regimului propus pentru transferul de date către state terțe și competențele autorităților pentru protecția datelor de monitorizare a aplicării normelor în materie.
Jurisprudența Curții de Justiție a Uniunii Europene
Cauzele conexate C-317/04 și C-318/04, Parlamentul European/ Consiliul și Comisia
Prin acțiunile introduse în fața Curții, Parlamentul European ceruse anularea a două decizii: una a Consiliului cu privire la încheierea unui acord între Comunitatea Europeană și Statele Unite ale Americii în privința prelucrării și transferului datelor din registrul nominal al pasagerilor și o decizie a Comisiei cu privire la protecția adecvată a datelor cu caracter personal din registrele nominale ale pasagerilor aerieni transferate către Biroul vamal.
În privința deciziei Comisiei, Parlamentul și-a susținut cauza invocând excesul de putere, încălcarea principiilor esențiale ale directivei, încălcarea drepturilor fundamentale și încălcarea principiului proporționalității. Cu alte cuvinte, Comisia ar fi acționat ultra vires, întrucât activitatea transportatorilor aerieni excede domeniul de competență a dreptului [Uniunii].
Curtea a apreciat că, într-adevăr, art. 3 alin. 2 din Directiva 95/46/CE exclude din domeniul său de aplicare prelucrarea datelor cu caracter personal, pusă în aplicare pentru exercitarea activităților care nu intră în domeniul de aplicare a dreptului [Uniunii], precum cele prevăzute la titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrările care au ca obiect siguranța publică, apărarea, securitatea statului și activitățile statului în legătură cu domenii ale dreptului penal. Or, decizia Comisiei viza transferul datelor cuprinse în registrul nominal al pasagerilor către Biroul vamal și de protecție a frontierelor Statelor Unite ale Americii, stabilind că aceste date trebuie utilizate cu scopul unic de a preveni și de a combate terorismul, crimele legate de terorism, alte infracțiuni grave care includ crima organizată (aceasta din urmă având, prin natura sa, un caracter transnațional), precum și fuga în caz de mandat de arestare sau de detenție pentru una dintre infracțiunile susmenționate.
Prin urmare, prelucrarea datelor nu avea ca obiect realizarea unei prestări de servicii, ci securitatea publică și activitățile statului legate de domenii ale dreptului penal, motiv pentru care instanța europeană a decis anularea deciziei în cauză.
Cu privire la decizia Consiliului de încheiere a unui acord cu Statele Unite în privința prelucrării și transferului de date, Parlamentul European a invocat șase motive de anulare: alegerea eronată a articolului 95 CE ca temei juridic al deciziei, încălcarea articolului 300 alineatul (3) al doilea paragraf CE, a articolului 8 din CEDH, a principiului proporționalității, a obligației de motivare și a principiului cooperării loiale. Referitor la temeiul juridic, într-adevăr decizia cu pricina nu avea ca scop stabilirea și funcționarea pieței interne în vederea eliminării obstacolelor în calea libertății de prestare a serviciilor și nici nu conținea dispoziții care să urmărească realizarea unui astfel de scop. Adevăratul scop era legalizarea prelucrării datelor cu caracter personal prevăzute de legislația Statelor Unite. Curtea a stabilit în final că art. 95 CE a fost în mod eronat ales ca temei juridic pentru competența [Uniunii] de a încheia acordul, deoarece acesta din urmă viza prelucrări de date excluse din domeniul de aplicare a directivei. Pe cale de consecință, fără a mai analiza celelalte argumente invocate de Parlament, Curtea a dispus anularea deciziei în cauză.
Precizăm că aceste neajunsuri cu privire la competența dreptului Uniunii au fost parțial remediate prin introducerea unor noi articole în urma reformării tratatelor la Lisabona, respectiv art. 39 TUE care instituie pentru Consiliu dreptul de a adopta o decizie de stabilire a normelor privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către statele membre, în exercitarea activităților care fac parte din domeniul de aplicare a politicii externe și de securitate comune, precum și a normelor privind libera circulație a acestor date. Acest articol constituie o derogare de la art. 16 alin. (2) TFUE, în baza căruia Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, stabilesc normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare a dreptului Uniunii, precum și normele privind libera circulație a acestor date. În acest fel, măsurile Uniunii în domeniul protecției datelor personale beneficiază de un temei juridic special consacrat în tratate. Reținem însă că securitatea națională aparține în continuare competenței exclusive a statelor membre, lucru de care noua propunere de directivă a Comisiei în materia protecției datelor a ținut seama.
Cauza C-73/07, Tietosuojavaltuutettu /Satakunnan Markkinapörssi și Satamedia
Cererea adresată Curții a avut ca obiect pronunțarea unei hotărâri preliminare, pe baza interpretării Directivei 95/46/CE, în cadrul unui litigiu între mediatorul pentru protecția datelor și comisia pentru protecția datelor din Finlanda, privind activitățile de prelucrare a datelor cu caracter personal exercitate de unele societăți de media. Și cu acest prilej, Curtea a lămurit încă o dată domeniul de aplicare a directivei în cauză, arătând că aceasta nu se aplică prelucrărilor de date puse în practică în vederea exercitării unor activități care exced competența dreptului [Uniunii], cum ar fi Titlurile V și VI din TUE și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal. De data aceasta, de interes pentru lucrarea de față este interpretarea dată de Curte art. 9 din directivă cu privire la derogările permise statelor, prin care instanța europeană a arătat că dreptul la viață privată nu este unul absolut și, ca atare, nu trebuie să se opună altor drepturi fundamentale, cum ar fi dreptul la liberă exprimare. Statelor membre le revine însă sarcina de a asigura această compatibilitate între drepturile fundamentale, reglementând anumite derogări sau limitări de la protecția datelor. Scopurile derogărilor trebuie să fie însă inerente dreptului fundamental ocrotit (libera exprimare), dar și strict necesare asigurării echilibrului.
22 Repertoriul
Într-o cauză și mai recentă, Curtea a dat o soluție similară, de data aceasta cu privire la drepturile de proprietate intelectuală, arătând că nici din Carta drepturilor fundamentale a Uniunii Europenei, nici din jurisprudența Curții nu rezultă că un astfel de drept ar fi intangibil și că, prin urmare, protecția sa ar trebui să fie asigurată în mod absolut. Și cu acest prilej, Curtea a reiterat obligația autorităților și instanțelor naționale de a asigura un just echilibru între drepturile și libertățile fundamentale.
Cauza C-518/07, Comisia/Germania
Prin cererea adresată Curții, Comisia solicita acesteia să constate că Germania nu și-a îndeplinit obligațiile care îi reveneau în temeiul Directivei 95/46/CE, trecând în subordinea statului autoritățile competente cu supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public din diferitele landuri, transpunând, în mod eronat, cerința de „independență deplină” a autorităților responsabile de garantarea protecției acestor date.
Această cauză prezintă interes din perspectiva lămuririi conceptului de independență a autorităților de supraveghere, dar și din aceea a evaluării acestei cerințe (instituite prin Directiva 95/46/CE) prin raportare la alte principii de drept, cum ar fi acela al democrației, consfințit atât în constituțiile naționale ale statelor membre, cât și în tratatele constitutive ale Uniunii Europene.
Astfel, Curtea a argumentat, contrar poziției Republicii Federale Germania, că independența nu se referă numai la relația dintre autoritățile de supraveghere și organismele supuse supravegherii acestora, ci ea implică o putere de decizie protejată de orice influență exterioară autorității de supraveghere, indiferent dacă aceasta este directă sau indirectă. Autorităților naționale în materie li se garantează independența în scopul dobândirii eficienței și fiabilității procesului de supraveghere a respectării dispozițiilor în domeniul protecției persoanelor fizice. Prin urmare, legiuitorul european nu a urmărit instituirea unui statut special pentru aceste autorități, ci consolidarea protecției persoanelor și organismelor în cauză.
Pe de altă parte, Republica Federală Germania a arătat că interpretarea în sens larg a cerinței de independență ar duce la încălcarea principiului democrației, care impune o supunere a administrației la instrucțiunile guvernului, responsabil în fața parlamentului. În acest sens, Curtea a argumentat că principiul democrației nu se opune existenței unor autorități publice situate în afara administrației ierarhizate clasice și mai mult sau mai puțin independente față de guvern. Mai mult, funcționarea acestor autorități este reglementată prin lege și supusă controlului instanțelor competente, iar parlamentele naționale sau guvernele naționale au posibilitatea să numească persoanele din conducerea acestor autorități de supraveghere. Nu în ultimul rând, parlamentele naționale pot impune autorităților de supraveghere să prezinte rapoarte de activitate. De asemenea, în opinia Germaniei, independența autorităților de supraveghere în raport cu autoritățile administrative superioare ar fi încălcat principiul atribuirii de competențe, deoarece [Uniunea] și-ar fi depășit competențele atunci când a adoptat directiva în cauză, în baza reglementărilor de drept primar privind apropierea actelor cu putere de lege și a actelor administrative ale statelor membre care au ca obiect instituirea și funcționarea pieței comune. În acest sens, Curtea a arătat că independența deplină a autorităților de supraveghere este esențială pentru și proporțională cu scopul creării, în toate statele membre, a unui nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, contribuind astfel la libera circulație a acestor date, necesară instituirii și funcționării pieței interne.
În concluziile avocatului general Ján Mazák la speța în cauză s-a susținut însă că acțiunea Comisiei ar fi trebuit respinsă, deoarece aceasta din urmă nu a dovedit consecințele negative ale tutelei cu privire la exercitarea în condiții de independență deplină a atribuțiilor autorităților de supraveghere. Or, potrivit jurisprudenței Curții, în cadrul unei proceduri în constatarea neîndeplinirii obligațiilor inițiate în temeiul articolului 226 CE, revine Comisiei obligația de a stabili existența pretinsei neîndepliniri a obligațiilor, fără a se putea întemeia pe vreo prezumție. În plus, conceptul de „independență deplină” își păstrează calitatea de a fi relativ și nu poate fi confundat cu lipsa oricărei posibilități de supraveghere. Curtea nu a ținut seama de aceste argumente, constatând în final că Republica Federală Germania nu și-a îndeplinit obligațiile conform dispozițiilor directivei.
3.6 Autoritatea Europeană pentru Protecția Datelor – priorități 2013-2014
Într-un document dat publicității la 18 ianuarie 2013, AEPD, în calitate de organism consultativ al Uniunii, a prezentat succint principalele domenii asupra cărora își va concentra atenția în 2013. Lista nu este una exhaustivă și cuprinde: noul cadru legislativ pentru protecția datelor (propunerile care vizează regulamentul general pentru protecția datelor și directiva în materia justiției penale, dar și propunerile care vor urma, în special cele cu privire la protecția datelor în cadrul instituțiilor și organismelor Uniunii); dezvoltările tehnologice și Agenda Digitală, drepturile IP și monitorizarea internetului (criminalitatea informatică, securitatea informatică, cloud computing); continuarea reformelor în domeniul spațiului de libertate, securitate și justiție (reforma Eurojust, reforma Europol, pachetul privind „frontierele inteligente”, acordurile cu statele terțe în materia protecției datelor); supravegherea piețelor și actorilor financiari (supravegherea bancară, măsurile împotriva spălării banilor); domeniul e-sănătate (propunerile privind studiile clinice și instrumentele medicale).
Pentru a-și îndeplini cât mai bine rolul consultativ, AEPD își propune ca în cursul anului 2013 să elaboreze noi orientări cu privire la fenomenele tehnice sau sociale importante care afectează protecția datelor personale ori cu privire la aspectele recurente legate de protecția datelor aparținând inițiativelor legislative ale Uniunii (cum ar fi acelea din domeniul supravegherii financiare). În acest sens, AEPD are în vedere instituirea unui instrumentar de protecție a datelor pentru legiuitori, care să cuprindă principiile de bază și criteriile, dar și organizarea de sesiuni de lucru cu personalul implicat în elaborarea proiectelor de lege. De asemenea, AEPD preconizează elaborarea de avize prospective cu privire la integrarea protecției datelor personale în alte domenii de politică a UE, cum ar fi concurența și comerțul.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Protectia Datelor cu Caracter Personal Si Organismele de Prelucrare a Datelor (ID: 123319)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.