Accesul la Informațiile de Interes Public Vs. Protecția Datelor cu Caracter Personal. Studiu de Caz Reglementarea Accesului Liber la Informația de Interes Public în Legislația Uniunii Europene
CUPRINS
ABREVIERI
INTRODUCERE
CAPITOLUL I. Cadrul legal international si comunitar privind protectia intimitatii si a datelor cu caracter personal.
Datele cu caracter personal – notiuni generale
Aspecte principale ale conceptului de date cu caracter personal
Dreptul la protecția datelor
Convenția europeană a drepturilor omului
Convenția 108 a Consiliului Europei
Legislația Uniunii Europene privind protecția datelor
CAPITOLUL II. Instituții care se ocupă cu prelucrarea de date cu caracter personal
2.1. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
2.1.1. Prezentare generală
2.1.2. Principalele constatări rezultate din activitatea de soluționare a plângerilor și sesizărilor
2.2. Autoritatea Europeană pentru Protecția Datelor
CAPITOLUL III. Inițiative legislative la nivelul Uniunii Europene
3.1. Propunerea de Regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice față de prelucrarea datelor cu caracter personal și libera circulație a acestor date
3.2. Propunerea de Regulament al Parlamentului European și al Consiliului de stabilire a unui sistem de Intrări/Ieșiri (EES) pentru a înregistra datele privind intrările și ieșirile pentru resortisanții statelor terțe care traversează frontierele externe ale statelor membre ale Uniunii Europene
3.3. Propunerea de Directivă a Parlamentului European și a Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor, inclusiv al finanțării terorismului
CAPITOLUL IV. Reglementarea accesului liber la informatia de interes public in legislatia UE
4.1. Accesul liber la informația de interes public și transferul acesteia către state din afara Uniunii Europene cu respectarea reglementărilor ȋn vigoare
4.2. Rolul instituțiilor de protecție a datelor cu caracter personal la nivelul Uniunii Europene si reglementarea acestora conform Regulamentului (EC) 45/2001
4.3. Cazul Bavarian Lager
4.4. Cazul Google
CONCLUZII
BIBLIOGRAFIE
ABREVIERI
AEPD : Autoritatea Europeană pentru Protecția Datelor
AUE : Actul Unic European
Art. : Articolul
CE : Comunitatea europeană
CECO : Comunitatea europeană a cărbunelui și oțelului
CEE : Comunitatea economică europeană
CJCE : Curtea de Justiție a Comunităților europene
JOCE : Jurnalul Oficial al Comunităților europene
LPS : Libertatea prestării de servicii
Op. cit.: Opera citată
p. : Pagina
par. : Paragraful
SEE : Spațiul economic european
SIS : Sistemul de Informații Schengen
TCE : Tratatul instituind Comunitatea europeană
TCEE : Tratatul instituind Comunitatea economică europeană
UE : Uniunea Europeană
INTRODUCERE
Potrivit legii cadru (Legea nr. 677/2001), operatorul de date cu caracter personal – poate fi orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, care stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal sau care este astfel desemnat printr-un act normativ.
Ȋn temeiul dreptului european, precum și în temeiul legislației CoE, „datele cu caracter personal” sunt definite ca fiind informațiile referitoare la o persoană fizică identificată sau identificabilă, și anume, informații despre o persoană a cărei identitate este fie clară în mod evident, fie poate fi, cel puțin, stabilită prin obținerea unor informații suplimentare. În cazul în care datele despre o astfel de persoană sunt prelucrate, această persoană este denumită „persoană vizată”.
Dreptul la protecția datelor decurge din dreptul la respectarea vieții private. Conceptul de viață privată este asociat ființelor umane. Prin urmare, persoanele fizice sunt beneficiarii principali ai protecției datelor. În plus, potrivit avizului Grupului de lucru Articolul 29, numai ființele umane sunt protejate de legislația europeană privind protecția datelor.
Jurisprudența CEDO cu privire la articolul 8 din Convenția europeană a drepturilor omului arată că separarea completă a aspectelor legate de viața privată și cea profesională poate fi dificilă.
Mai mult, în cazul în care și aspectele legate de viața profesională pot face obiectul protecției datelor, pare discutabil că numai persoanele fizice ar trebui să beneficieze de protecție. Drepturile prevăzute în Convenția europeană a drepturilor omului sunt garantate tuturor, nu doar persoanelor fizice.
Dreptul de a proteja sfera privată a unei persoane fizice împotriva intruziunii din partea altora, în special din partea statului, a fost prevăzut pentru prima dată în cadrul unui instrument juridic internațional în articolul 12 din Declarația Universală a Drepturilor Omului (DUDO) din 1948 a Organizației Națiunilor Unite (ONU) privind respectarea vieții private și de familie. DUDO a influențat dezvoltarea în Europa a altor instrumente pentru drepturile omului.
Deoarece multe dintre nume nu sunt unice, stabilirea identității unei persoane poate necesita elemente de identificare suplimentare pentru a garanta că o persoană nu este confundată cu altcineva. Data și locul nașterii sunt deseori utilizate. În plus, în unele țări au fost introduse numere personalizate pentru o mai bună diferențiere a cetățenilor. Datele biometrice, cum ar fi amprentele, fotografiile digitale sau scanarea irisului, devin din ce în ce mai importante pentru identificarea persoanelor în era tehnologică.
Cu toate acestea, în sensul aplicabilității legislației europene privind protecția datelor, nu este necesară o identificare de înaltă calitate a persoanelor vizate; este suficient ca persoana în cauză să fie identificabilă. O persoană este considerată identificabilă în cazul în care o parte dintre informații conțin elemente de identificare prin intermediul cărora persoana poate fi identificată direct sau indirect.
Capitolul I
Cadrul legal internațional și comunitar privind protecția intimității și a datelor cu caracter personal
Datele cu caracter personal – noțiuni generale
Potrivit definiției date de art. 1 lit. b) din Regulamentul (CE) 45/2001 "prelucrarea datelor cu caracter personal" înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automatizate sau neautomatizate, cum ar fi organizarea, stocarea, adaptarea, colectarea, înregistrarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau în orice alt mod, alăturarea ori combinarea, precum și blocarea, ștergerea sau distrugerea.
În România a luat ființă o autoritate centrală abilitată cu atribuții de control și de utlizare a acestui sistem de evidență a datelor cu caracter personal precum și prelucrare a datelor cu caracter personal, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Înființată prin Legea nr.102/2005, Autoritatea își exercită competența reglementată de Legea nr.677/2001, în condiții de independență față de orice altă autoritate publică sau entitate de drept privată.
Prelucrarea datelor cu caracter personal reprezintă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, prin colectarea, organizarea, înregistrarea, stocarea, adaptarea, utilizarea, extragerea, consultarea, dezvăluirea prin transmitere sau în orice alt mod, blocarea, ștergerea sau distrugerea.
Prin Legea nr. 677/2001 pentru protecția persoanelor cu privire la libera circulație a datelor cu caracter personal și prelucrarea lor a fost transpus acquis-ul reprezentat de Directiva 95/46/EC, care reglementează cadrul juridic general al protecției datelor personale la nivelul Uniunii Europene.
Atribuțiile Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal sunt specifice oricărei instituții de control, putând investiga prelucrările de date cu caracter personal care se supun reglementărilor Legii nr.677/2001 și aplica sancțiuni, dacă se constată încălcarea dispozițiilor legale de către operatorii de date cu caracter personal, în urma sesizărilor din oficiu sau pe baza unor plângeri depuse de persoanele lezate în drepturile lor.
Toate datele sunt prelucrate de către un operator, și vorbim aici inclusiv despre autoritățile publice, instituțiile și structurile teritoriale ale acestora, operator care stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal. Dacă scopul și mijloacele sunt determinate printr-un act normativ sau în baza unuia, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza lui. Daca datele nu pot fi prelucrate de către un operator, acesta din urmă poate fi înlocuit de către o persoană împuternicită de către operator.
Toate datele prelucrate ajung la destinatar. Acesta din urmă este orice persoană fizică sau juridică, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terț. Trebuie menționat faptul că autoritățile publice cărora li se comunică date în cadrul unei competențe speciale de anchetă nu vor fi considerate destinatari.
Pentru că aplicarea corectă a unui act normativ nou presupune o cunoaștere corespunzătoare a prevederilor sale, considerăm că prin intermediul informațiilor furnizate prin intermediul site-ului atât operatorii de date cu caracter personal, cât și persoanele fizice ale căror date personale sunt prelucrate, vor avea ocazia de a aprofunda și înțelege care sunt obligațiile și, respectiv, drepturile reglementate.
Aspecte principale ale conceptului de date cu caracter personal
Ȋn temeiul dreptului european, precum și în temeiul legislației CoE, „datele cu caracter personal” sunt definite ca fiind informațiile referitoare la o persoană fizică identificată sau identificabilă, și anume, informații despre o persoană a cărei identitate este fie clară în mod evident, fie poate fi, cel puțin, stabilită prin obținerea unor informații suplimentare. În cazul în care datele despre o astfel de persoană sunt prelucrate, această persoană este denumită „persoană vizată”.
Dreptul la protecția datelor decurge din dreptul la respectarea vieții private. Conceptul de viață privată este asociat ființelor umane. Prin urmare, persoanele fizice sunt beneficiarii principali ai protecției datelor. În plus, potrivit avizului Grupului de lucru Articolul 29, numai ființele umane sunt protejate de legislația europeană privind protecția datelor.
Jurisprudența CEDO cu privire la articolul 8 din Convenția europeană a drepturilor omului arată că separarea completă a aspectelor legate de viața privată și cea profesională poate fi dificilă.
Mai mult, în cazul în care și aspectele legate de viața profesională pot face obiectul protecției datelor, pare discutabil că numai persoanele fizice ar trebui să beneficieze de protecție. Drepturile prevăzute în Convenția europeană a drepturilor omului sunt garantate tuturor, nu doar persoanelor fizice.
Există o jurisprudență a CEDO care se pronunță asupra cererilor entităților juridice care invocă încălcarea dreptului la protecție împotriva utilizării datelor lor, în conformitate cu articolul 8 din Convenția europeană a drepturilor omului. Cu toate acestea, Curtea a examinat cauza în baza dreptului la respectarea domiciliului și a corespondenței, și nu în baza vieții private.
Conform Convenției 108, protecția datelor vizează, în principal, protecția persoanelor fizice; cu toate acestea, părțile contractante pot extinde protecția datelor la persoanele juridice, cum ar fi societățile și asociațiile comerciale care se supun dreptului lor intern. Legislația europeană privind protecția datelor nu reglementează, în general, protecția persoanelor juridice cu privire la prelucrarea datelor care le vizează. Autoritățile naționale de reglementare au libertatea de a reglementa acest subiect.
În temeiul dreptului european, precum și în temeiul legislației Co, stabilită prin obținerea unor informații suplimentare. În cazul în care datele despre o astfel de persoană sunt prelucrate, această persoană este denumită „persoană vizată”.
Dreptul la protecția datelor decurge din dreptul la respectarea vieții private. Conceptul de viață privată este asociat ființelor umane. Prin urmare, persoanele fizice sunt beneficiarii principali ai protecției datelor. În plus, potrivit avizului Grupului de lucru Articolul 29, numai ființele umane sunt protejate de legislația europeană privind protecția datelor.
Jurisprudența CEDO cu privire la articolul 8 din Convenția europeană a drepturilor omului arată că separarea completă a aspectelor legate de viața privată și cea profesională poate fi dificilă.
Mai mult, în cazul în care și aspectele legate de viața profesională pot face obiectul protecției datelor, pare discutabil că numai persoanele fizice ar trebui să beneficieze de protecție. Drepturile prevăzute în Convenția europeană a drepturilor omului sunt garantate tuturor, nu doar persoanelor fizice.
Există o jurisprudență a CEDO care se pronunță asupra cererilor entităților juridice care invocă încălcarea dreptului la protecție împotriva utilizării datelor lor, în conformitate cu articolul 8 din Convenția europeană a drepturilor omului. Cu toate acestea, Curtea a examinat cauza în baza dreptului la respectarea domiciliului și a corespondenței, și nu în baza vieții private.
Conform Convenției 108, protecția datelor vizează, în principal, protecția persoanelor fizice; cu toate acestea, părțile contractante pot extinde protecția datelor la persoanele juridice, cum ar fi societățile și asociațiile comerciale care se supun dreptului lor intern. Legislația europeană privind protecția datelor nu reglementează, în general, protecția persoanelor juridice cu privire la prelucrarea datelor care le vizează. Autoritățile naționale de reglementare au libertatea de a reglementa acest subiect.
În temeiul dreptului european, precum și în temeiul legislației CoE, informațiile con- țin date cu privire la o persoană dacă:
• o persoană fizică este identificată prin aceste informații sau
• în cazul în care o persoană fizică, deși neidentificată, este descrisă în aceste informații într-un mod care face posibilă identificarea persoanei vizate prin efectuarea de cercetări ulterioare.
Ambele tipuri de informații sunt protejate în același mod, în conformitate cu legislația europeană privind protecția datelor. CEDO a declarat în mod repetat că noțiunea de „date cu caracter personal” în conformitate cu Convenția europeană a drepturilor omului este aceeași cu cea din Convenția 108, în special în ceea ce privește condiția de referire la persoane identificate sau identificabile. Definițiile juridice ale datelor cu caracter personal nu clarifică momentul în care o persoană este considerată identificată. Identificarea în mod evident presupune elemente care descriu o persoană într-un mod în care aceasta se poate distinge de toate celelalte persoane și poate fi recunoscută ca persoană fizică. Numele unei persoane este un prim exemplu de element de descriere. În cazuri excepționale, alte elemente de identificare pot avea un efect similar ca cel al numelui. De exemplu, în cazul persoanelor publice, este suficient să se facă referire la funcția persoanei, de exemplu, Președintele Comisiei Europene
Dreptul la protecția datelor
Dreptul de a proteja sfera privată a unei persoane fizice împotriva intruziunii din partea altora, în special din partea statului, a fost prevăzut pentru prima dată în cadrul unui instrument juridic internațional în articolul 12 din Declarația Universală a Drepturilor Omului (DUDO) din 1948 a Organizației Națiunilor Unite (ONU) privind respectarea vieții private și de familie. DUDO a influențat dezvoltarea în Europa a altor instrumente pentru drepturile omului.
Deoarece multe dintre nume nu sunt unice, stabilirea identității unei persoane poate necesita elemente de identificare suplimentare pentru a garanta că o persoană nu este confundată cu altcineva. Data și locul nașterii sunt deseori utilizate. În plus, în unele țări au fost introduse numere personalizate pentru o mai bună diferențiere a cetățenilor. Datele biometrice, cum ar fi amprentele, fotografiile digitale sau scanarea irisului, devin din ce în ce mai importante pentru identificarea persoanelor în era tehnologică.
Cu toate acestea, în sensul aplicabilității legislației europene privind protecția datelor, nu este necesară o identificare de înaltă calitate a persoanelor vizate; este suficient ca persoana în cauză să fie identificabilă. O persoană este considerată identificabilă în cazul în care o parte dintre informații conțin elemente de identificare prin intermediul cărora persoana poate fi identificată direct sau indirect. Potrivit considerentului 26 din Directiva privind protecția datelor, criteriul de referință constă în posibilitatea ca utilizatorii previzibili ai informațiilor să dispună de și să administreze mijloace rezonabile de identificare; aceasta include și destinatarii terți.
În temeiul legislației CoE, identificabilitatea este înțeleasă în mod similar. Articolul 1 alineatul (2) din Recomandarea privind datele de plată, de exemplu, stipulează că o persoană nu va fi considerată „identificabilă” în cazul în care identificarea presupune o perioadă de timp, costuri sau forță de muncă excesive.
Convenția europeană a drepturilor omului
Consiliul Europei a luat ființă imediat după cel de-al Doilea Război Mondial pentru a reuni statele Europei în vederea promovării principiului statului de drept, democra- ției, drepturilor omului și dezvoltării sociale. În acest sens, a adoptat în 1950 Convenția europeană a drepturilor omului (ECHR), care a intrat în vigoare în 1953. Statele au obligația internațională de a respecta ECHR.
Toate statele membre ale CoE au integrat sau au aplicat deja Convenția europeană a drepturilor omului în legislația lor națională, fapt care le obligă să acționeze în conformitate cu dispozițiile convenției. Pentru a garanta respectarea de către părțile contractante a obligațiilor ce le revin în conformitate cu Convenția europeană a drepturilor omului, în anul 1959 a fost înființată la Strasbourg, în Franța, Curtea Europeană a Drepturilor Omului (CEDO).
CEDO se asigură că statele își respectă obligațiile ce le revin în conformitate cu convenția prin tratarea plângerilor formulate de persoane fizice, grupuri de persoane, ONG-uri sau persoane juridice, care invocă încălcări ale convenției. În anul 2013, Consiliul Europei cuprindea 47 de state membre, 28 dintre acestea fiind și state membre ale UE. Un reclamant la CEDO nu trebuie să fie resortisant al unuia dintre statele membre.
CEDO poate examina și cauzele interstatale introduse de unul sau mai multe state membre ale CE împotriva unui alt stat membru. Dreptul la protecția datelor cu caracter personal se numără printre drepturile protejate în temeiul articolului 8 din Convenția europeană a drepturilor omului, care garantează dreptul la respectarea vieții private și de familie, a domiciliului și a corespondenței și stabilește condițiile în baza cărora sunt permise limitări ale acestui drept.
Jurisprudența CEDO a examinat numeroase situații în care au apărut aspecte legate de protecția datelor, în special situații cu privire la intercepția comunicărilor, diferite forme de supraveghere și protecția împotriva stocării datelor cu caracter personal de către autoritățile publice. Aceasta a clarificat faptul că articolul 8 din Convenția europeană a drepturilor omului nu numai că obligă statele să nu întreprindă vreo acțiune care ar putea încălca dreptul prevăzut de convenție, ci prevede și că acestea sunt supuse, în anumite împrejurări, obligațiilor pozitive de a asigura în mod activ respectarea efectivă a vieții private și de familie. Multe dintre aceste cazuri vor fi analizate în detaliu în capitolele corespunzătoare.
1.3.2. Convenția 108 a Consiliului Europei
Odată cu apariția tehnologiei informației în anii 1960, a crescut tot mai mult necesitatea unor norme mai detaliate pentru protecția persoanelor fizice prin protejarea datelor acestora (cu caracter personal).
Până la mijlocul anilor 1970, Comitetul de Miniștri al Consiliului Europei a adoptat diferite rezoluții privind protecția datelor cu caracter personal, cu referire la articolul 8 din Convenția europeană a drepturilor omului.
În anul 1981, a fost deschisă spre semnare o Convenție pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (Convenția 108). Convenția 108 a fost, și rămâne încă, singurul instrument internațional obligatoriu din punct de vedere juridic în domeniul protecției datelor.
Convenția 108 se aplică tuturor prelucrărilor de date efectuate atât în sectorul public, cât și în cel privat, cum ar fi prelucrările de date efectuate de sistemul judiciar și autoritățile de aplicare a legii. Aceasta protejează persoanele împotriva abuzurilor care pot însoți colectarea și prelucrarea datelor cu caracter personal și, totodată, urmă- rește să reglementeze fluxul transfrontalier de date cu caracter personal.
În ceea ce privește colectarea și prelucrarea datelor cu caracter personal, principiile stabilite în convenție se referă, în special, la colectarea și prelucrarea automatizată corectă și legală a datelor, stocarea în scopuri determinate și legitime, utilizarea numai în scopuri compatibile cu acestea și păstrarea într-o formă care să permită identificarea persoanelor în cauză pe o durată ce nu o depășește pe cea necesară scopurilor pentru care datele sunt înregistrate.
Principiile vizează, de asemenea, calitatea datelor, în special faptul că acestea trebuie să fie adecvate, pertinente și neexcesive (principiul proporționalității), precum și exacte Pe lângă faptul că oferă garanții pentru colectarea și prelucrarea datelor cu caracter personal, convenția interzice, în absența unor garanții juridice adecvate, prelucrarea datelor „sensibile”, precum cele referitoare la originea rasială, opiniile politice, starea de sănătate, convingerile religioase, viața sexuală sau condamnările penale.
Convenția consacră, de asemenea, dreptul unei persoane fizice de a fi informată cu privire la stocarea informațiilor sale cu caracter personal și, dacă este cazul, de a solicita corectarea acestora. Limitarea drepturilor prevăzute în convenție este posibilă numai atunci când sunt în joc interese prioritare, cum ar fi securitatea statului sau apărarea.
Deși convenția prevede libera circulație a datelor cu caracter personal între statele semnatare ale convenției, aceasta impune și unele restricții asupra fluxurilor de date către statele în care reglementările juridice nu prevăd o protecție echivalentă.
Pentru a dezvolta în continuare principiile generale și normele prevăzute de Conven- ția 108, Comitetul de Miniștri al CoE a adoptat mai multe recomandări fără caracter obligatoriu din punct de vedere juridic.
Toate statele membre ale UE au ratificat Convenția 108. În 1999, Convenția 108 a fost modificată pentru a permite UE să devină parte la aceasta. În 2001, a fost adoptat un Protocol adițional la Convenția 108, care introduce dispoziții privind fluxurile transfrontaliere de date către țările care nu sunt parte la convenție, așa-numitele țări terțe, și cu privire la înființarea obligatorie a autorităților naționale de supraveghere a protecției datelor.
Ca urmare a deciziei de modernizare a Convenției 108, o consultare publică desfășurată în 2011 a făcut posibilă confirmarea celor două obiective principale ale acestei lucrări: sporirea protecției vieții private în domeniul digital și consolidarea mecanismului de urmărire al convenției.
Convenția 108 este deschisă pentru aderare statelor non-membre ale CoE, inclusiv țărilor din afara Europei. Potențialul convenției ca standard universal și caracterul său deschis pot servi drept bază pentru promovarea protecției datelor la nivel mondial. Până în prezent, 45 dintre cele 46 de părți contractante ale Convenției 108 sunt state membre ale CoE. Uruguay, prima țară din afara Europei, a aderat în luna august a anului 2013, iar Maroc, care a fost invitat de Comitetul de Miniștri să adere la Convenția 108, se află în proces de oficializare a aderării.
Legislația Uniunii Europene privind protecția datelor
Dreptul UE este format din tratate și legislație europeană secundară. Tratatele, și anume Tratatul privind Uniunea Europeană (TUE) și Tratatul privind funcționarea Uniunii Europene (TFUE), au fost aprobate de toate statele membre ale UE și sunt, de asemenea, denumite „legislația europeană primară”.
Regulamentele, directivele și deciziile UE au fost adoptate de instituțiile UE care au primit această autoritate în baza tratatelor; deseori, acestea sunt denumite „legislația europeană secundară”. Principalul instrument juridic al UE pentru protecția datelor este Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Directiva privind protecția datelor). A fost adoptată în anul 1995, într-un moment în care mai multe state membre adoptaseră deja legisla- ții naționale privind protecția datelor.
Libera circulație a mărfurilor, capitalurilor, serviciilor și persoanelor în cadrul pieței interne necesita un flux liber de date, care nu se putea realiza dacă statele membre nu se puteau baza pe un nivel uniform ridicat de protecție a datelor. Întrucât scopul adoptării Directivei privind protecția datelor a fost armonizarea legislației privind protecția datelor la nivel național, directiva își permite un grad de specificitate comparabil cu cel al legislațiilor naționale privind protecția datelor existente (la acel moment).
Pentru CJUE, „Directiva 95/46 urmărește să asigure că nivelul de protecție a drepturilor și libertăților persoanelor în ceea ce privește prelucrarea datelor cu caracter personal este echivalent în toate statele membre. Apropierea legislațiilor naționale în acest domeniu nu trebuie să ducă la scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce șă asigure un nivel înalt de protecție în cadrul UE. Așadar, armonizarea acestor reglementări naționale nu se limitează la o minimă concordanță, ci înseamnă o armonizare completă.”
În consecință, statele membre au limitat doar libertatea de acțiune în momentul implementării directivei Directiva privind protecția datelor este concepută astfel încât să concretizeze principiile dreptului la viață privată incluse deja în Convenția 108 și să le extindă.
Faptul că toate cele 15 state membre ale UE din 1995 erau și părți contractante ale Convenției 108 exclude adoptarea unor norme contradictorii în cadrul acestor două instrumente juridice. Cu toate acestea, Directiva privind protecția datelor se sprijină pe posibilitatea, prevăzută la articolul 11 din Convenția 108, de adăugare a unor instrumente de protecție. În special, introducerea supravegherii independente ca instrument de îmbunătățire a conformității cu normele privind protecția datelor sa dovedit a fi o contribuție importantă la funcționarea eficientă a legislației europene privind protecția datelor. În consecință, această caracteristică a fost preluată în cadrul legislației CoE în 2001 prin Protocolul adițional la Convenția 108.
Aplicarea teritorială a Directivei privind protecția datelor se extinde dincolo de cele 28 de state membre ale UE, incluzând și statele non-membre ale UE care fac parte din Spațiul Economic European (SEE) – și anume, Islanda, Liechtenstein și Norvegia.
CJUE de la Luxemburg are jurisdicția de a stabili dacă un stat membru și-a îndeplinit obligațiile în conformitate cu Directiva privind protecția datelor și de a adopta decizii preliminare cu privire la valabilitatea și interpretarea directivei, pentru a asigura aplicarea eficientă și uniformă a acesteia în statele membre.
O excepție importantă de la aplicabilitatea Directivei privind protecția datelor este așa-numita excepție referitoare la activitățile domestice, și anume prelucrarea datelor cu caracter personal de către o persoană fizică în cursul unei activități exclusiv personale sau domestice. Acest tip de prelucrare este considerat, în general, ca făcând parte din libertățile persoanelor fizice.
Corespunzător legislației primare a UE în vigoare la data adoptării Directivei privind protecția datelor, domeniul de aplicare material al directivei se limitează la aspectele pieței interne. În afara domeniului său de aplicare se situează, cel mai important, aspectele legate de cooperarea polițienească și judiciară în materie penală. Protecția datelor în aceste privințe rezultă din diferite instrumente juridice.
Având în vedere că Directiva privind protecția datelor se adresa numai statelor membre ale UE, era necesar un instrument juridic suplimentar pentru a stabili protecția datelor pentru prelucrarea datelor cu caracter personal de către instituțiile și organismele UE. Regulamentul (CE) nr. 45/2001 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (Regulamentul privind protecția datelor de către instituțiile europene) îndeplinește această atribuție.
În plus, chiar și în domeniile vizate de Directiva privind protecția datelor, sunt deseori necesare dispoziții mai detaliate privind protecția datelor în scopul obținerii clarității necesare pentru echilibrarea altor interese legitime. Două astfel de exemple sunt Directiva 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) și Directiva 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (Directiva privind păstrarea datelor) (declarată invalidă la 8 aprilie 2014).
Aceste dispoziții trebuie să fie în conformitate cu Directiva privind protecția datelor. Carta Drepturilor Fundamentale a Uniunii Europene Tratatele inițiale ale Comunităților Europene nu conțineau referiri la drepturile omului sau la protecția acestora. Întrucât înaintea Curții Europene de Justiție (CEJ) ajungeau la acea vreme cauze în care erau invocate încălcări ale drepturilor omului în domenii din sfera de aplicare a legislației europene, aceasta a elaborat o nouă abordare. Pentru a oferi protecție persoanelor fizice, a inclus drepturile fundamentale în așanumitele principii generale de drept european.
Conform CJUE, aceste principii generale reflectă conținutul protecției drepturilor omului în constituțiile naționale și tratatele privind drepturile omului, în special în Convenția europeană a drepturilor omului. CJUE a declarat că va asigura conformitatea dreptului european cu aceste principii.
Recunoscând faptul că politicile sale pot avea impact asupra drepturilor omului și într-un efort de a face cetățenii să se simtă „mai aproape” de UE, în anul 2000 UE a proclamat Carta Drepturilor Fundamentale a Uniunii Europene (Carta). Această Cartă încorporează întreaga gamă de drepturi civile, politice, economice și sociale ale cetățenilor europeni, sintetizând tradițiile constituționale și obligațiile internaționale comune statelor membre. Drepturile descrise în Cartă se împart în șase secțiuni: demnitate, libertate, egalitate, solidaritate, drepturile cetățenilor și justiție.
Deși inițial a fost doar un document politic, Carta a dobândit caracter juridic obligatoriu ca legislație primară a UE odată cu intrarea în vigoare a Tratatului de la Lisabona la 1 decembrie 2009. Legislația primară a UE include, de asemenea, competența generală a UE de a legifera în materie de protecție a datelor (articolul 16 din TFUE).
Carta nu numai că asigură respectarea vieții private și familială (articolul 7), dar stabilește și dreptul la protecția datelor (articolul 8), ridicând în mod explicit nivelul acestei protecții la acela de drept fundamental în temeiul legislației europene. Instituțiile UE și statele membre trebuie să respecte și să garanteze acest drept, care este, de asemenea, valabil în cazul statelor membre atunci când pun în aplicare legislația Uniunii (articolul 51 din Cartă). Formulat la câțiva ani după Directiva privind protecția datelor, articolul 8 din Cartă trebuie înțeles ca încorporând legislația europeană preexistentă privind protecția datelor.
Prin urmare, Carta nu numai că menționează explicit dreptul la protecția datelor la articolul 8 alineatul (1), dar face referire și la principiile-cheie privind protecția datelor la articolul 8 alineatul (2).
În cele din urmă, articolul 8 alineatul (3) din Cartă garantează că o autoritate independentă va controla respectarea acestor principii. Perspective În luna ianuarie 2012, Comisia Europeană a propus un pachet de reformă privind protecția datelor, declarând că normele actuale privind protecția datelor trebuie modernizate prin prisma evoluțiilor tehnologice rapide și a globalizării. Pachetul de reformă constă într-o propunere de Regulament general privind protecția datelor, destinat să înlocuiască Directiva privind protecția datelor, precum și într-o nouă Directivă privind protecția datelor, care să prevadă protecția datelor în domeniile cooperării polițienești și judiciare în materie penală. La data publicării prezentului manual, discuția referitoare la pachetul de reformă era în plină desfășurare.
CAPITOLUL 2
Instituții care se ocupă cu prelucrarea de date cu caracter personal
2.1. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Carater Personal
2.1.1. Prezentare generală
În exercitarea atribuțiilor prevăzute de lege, Autoritatea națională de supraveghere a primit și soluționat, în cursul anului 2013, plângeri și sesizări legate de prelucrarea datelor cu caracter personal în diverse domenii de activitate, un număr considerabil vizând sfera financiar-bancară, a comunicațiilor electronice și mediului on-line, precum și cea a monitorizării și securității spațiilor publice sau private prin mijloace de supraveghere video.
În fiecare dintre aceste domenii au fost identificate obiecte diferite ale plângerilor și sesizărilor, în funcție de aspectele reclamate de către petenți. Astfel, în domeniul financiar – bancar, în care operatorii sunt în principal bănci sau instituții financiare nebancare, petenții au sesizat, cu precădere, raportarea datelor cu caracter personal către sisteme de evidență de tip birou de credit, dezvăluirea datelor personale către societăți de recuperare creanțe sau prelucrarea datelor personale prin reținerea copiilor după actele de identitate.
În urma investigațiilor realizate, s-a constatat, în principal, faptul că operatorii nu au respectat prevederile Legii nr. 677/2001 și ale Deciziei emise de Autoritatea națională de supraveghere nr. 105/2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidență de tipul birourilor de credit, în ceea ce privește termenul de transmitere a datelor către Biroul de Credit, termenul de înștiințare prealabilă a persoanelor vizate, transmiterea unui răspuns în termen de 15 zile la cererile petenților de exercitare a drepturilor prevăzute de Legea nr. 677/2001.
O pondere importantă din numărul total al petițiilor înregistrate în anul 2013 este reprezentată de plângerile și sesizările având ca obiect comunicațiile electronice și mediul online. Petenții au reclamat, în principal, transmiterea de mesaje comerciale nesolicitate, vânzarea unor baze de date conținând adrese de e-mail și dezvăluirea unor date cu caracter personal pe Internet. În acest domeniu vast de activitate, operatorii reclamați sunt, în principal, societăți care desfășoară activități de comerț on-line, agenții de turism, precum și furnizori de servicii de telefonie și Internet.
În urma investigațiilor efectuate, s-a remarcat faptul că datele personale ale persoanelor vizate au fost prelucrate fără consimțământul acestora și nu s-a dat curs cererilor de exercitare a drepturilor persoanelor vizate, în special a dreptului de opoziție ce viza obținerea ștergerii datelor. Față de anii anteriori, s-a înregistrat o creștere semnificativă a plângerilor și sesizărilor având ca obiect prelucrarea datelor personale prin mijloace de supraveghere video, în majoritatea cazurilor operatorii reclamați fiind asociații de proprietari.
Nu au lipsit însă petițiile prin care Autoritatea națională de supraveghere a fost sesizată în legătură cu prelucrările de date efectuate prin intermediul sistemelor de supraveghere video de către unități de învățământ, primării, societăți comerciale sau persoane fizice. În urma investigațiilor realizate, s-a constatat că operatorii nu cunosc și nu respectă dispozițiile legale aplicabile prelucrărilor de date prin mijloace de supraveghere video (ale Legii nr. 677/2001 și ale Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video), în special cele cu privire la drepturile persoanelor vizate, condițiile în care se poate efectua prelucrarea imaginilor, notificarea prelucrărilor la Autoritatea națională de supraveghere.
În cazurile considerate ca fiind întemeiate au fost aplicate sancțiuni contravenționale și, după caz, s-au dispus măsuri de încetare, ștergere sau suspendare a prelucrării datelor personale. În ceea ce privește inadmisibilitatea petițiilor primite, și în anul 2013 principalul motiv de respingere a plângerilor rămâne neîndeplinirea procedurii legale prealabile de către petenți. Astfel, nu se respectă dispozițiile art. 25 din Legea nr. 677/2001 care prevăd faptul că plângerea către Autoritatea națională de supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu același conținut către operator. Pentru remedierea acestei situații, în a doua parte a anului 2013, secțiunea privind procedura de adresare a unei plângeri și modelele ce pot fi utilizate de cei interesați a fost modificată, pentru a spori vizibilitatea acestor informații pe pagina de Internet a Autorității naționale de supraveghere (www.dataprotection.ro).
În același timp, instituția noastră a afișat pe site procedura și formularele de adresare a unei cereri de acces și/sau intervenție/rectificare, ștergere sau blocare a datelor personale stocate în cadrul Programului SUA de Urmărire a Finanțărilor în scopuri Teroriste, în conformitate cu Acordul dintre Statele Unite ale Americii și Uniunea Europeană privind Prelucrarea și Transferul Datelor de Mesagerie Financiară din Uniunea Europeană către Statele Unite ale Americii în cadrul Programului de Urmărire a Finanțărilor în scopuri Teroriste.
Alte motive de respingere ca inadmisibile sau neîntemeiate a plângerilor transmise de persoanele vizate au fost: neprezentarea de dovezi în susținerea plângerii, sesizarea unor aspecte în legătură cu care Autoritatea națională de supraveghere nu avea competența materială sau teritorială să intervină, nu a fost posibilă identificarea exactă a entității reclamate (spre exemplu, expeditorul unei comunicări comerciale electronice nesolicitate) sau introducerea în prealabil a unei acțiuni în justiție.
Autoritatea națională de supraveghere a primit în cursul anului 2013 un număr considerabil de petiții, raportat la anul anterior, respectiv 721 plângeri, 156 sesizări.
Figura 1 – Numărul plangerilor și sesizărilor ȋn perioada 2012-2013
Pentru soluționarea plângerilor și sesizărilor primite, au fost efectuate 151 de investigații pe teren și 44 de investigații în scris, în urma cărora au fost aplicate sancțiuni contravenționale constând în 61 amenzi și 119 avertismente. Cuantumul total al amenzilor aplicate în 2013 în cadrul investigațiilor efectuate pentru soluționarea plângerilor și sesizărilor este de 122.000 lei, în creștere față de anul 2012 cu peste 300%.
Figura 2 – Cuantumul amenzilor aplicate ȋn activitatea de soluționare a plangerilor și sesizărilor ȋn perioada 2012-2013
Totodată, s-au emis 5 decizii de ștergere a datelor cu caracter personal prelucrate, 1 decizie de încetare a prelucrării datelor personale și ștergere a datelor prelucrate și 1 recomandare.
2.1.2. Principalele constatări rezultate din activitatea de soluționare a plângerilor și sesizărilor
Prelucrarea datelor personale, prin reținerea copiilor de pe actele de identitate
În anul 2013 a crescut numărul plângerilor și sesizărilor adresate Autorității naționale de supraveghere prin care au fost semnalate aspecte referitoare la încălcarea dispozițiilor legale privind prelucrarea datelor personale, prin reținerea copiilor după actele de identitate. În urma investigațiilor efectuate, s-a constatat că operatorii reclamați nu au solicitat obținerea unui aviz de la instituția noastră, anterior introducerii procedurii de colectare a copiilor de pe actele de identitate, așa cum prevede Decizia nr. 132/2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală, în acele cazuri în care nu s-a făcut dovada existenței consimțământului persoanelor vizate sau a existenței unui act normativ care să permită colectarea copiilor după actele de identitate.
În cursul anului 2013, mai mulți petenți s-au adresat Autorității de Supraveghere semnalând faptul că, începând cu luna aprilie 2013, o societate de transport în comun a condiționat reîncărcarea abonamentelor eliberate cu scutiri sau reduceri pe diverse motive, de obținerea copiei scanate a actului de identitate și a altor documente ale beneficiarilor. Petenții au susținut că anterior acestei date, societatea de transport nu stoca copii de pe actele de identitate.
În urma investigației efectuate, s-a constatat că s-a luat decizia scanării documentelor de identitate și a altor documente justificative ce fac dovada calității de beneficiar al abonamentelor cu tarif redus, după cum urmează: – pentru elevi și studenți: carnet/legitimație student vizate la zi, certificat de naștere/carte de identitate/pașaport/carte de rezidență, certificat căsătorie/hotărâri judecătorești sau alte acte ale unor instituții publice; – pentru pensionari cu domiciliul în provincie: talon de pensie, CI/BI, certificat căsătorie/hotărâri judecătorești/alte acte. Aceste documente erau solicitate la centrele de emitere și reîncărcare carduri, la prima emitere a cardului de abonament, la începutul anului școlar/universitar sau atunci când intervin modificări ce nu reies din documentele prezentate.
Reprezentanții operatorului au susținut că înainte de aplicarea acestei proceduri, se solicita o copie de pe CI/BI și de pe celelalte documente doveditoare. Reprezentanții operatorului au susținut că s-a recurs la procedura scanării pentru reducerea fraudelor în eliberarea acestor tipuri de abonamente care ar putea fi comise de angajați ai operatorului sau de beneficiari. Până la data efectuării investigației, societatea de transport nu a solicitat obținerea unui aviz de la Autoritatea națională de supraveghere, anterior introducerii procedurii de colectare a copiilor de pe CI/BI, așa cum prevede Decizia nr. 132/2011 și nu s-a făcut dovada existenței consimțământului persoanelor vizate sau a unui act normativ care să permită colectarea copiilor de pe CI/BI.
Ca atare, operatorul a fost sancționat pentru contravenția prevăzută de art. 31 din Legea nr. 677/2001, pentru notificare incompletă, întrucât operatorul, până la data efectuării investigației, nu a notificat toate datele personale pe care le prelucrează în scopul emiterii abonamentelor gratuite sau cu tarif redus și persoana împuternicită pentru aceste prelucrări, contrar art. 22 din Legea nr. 677/2001 și pentru contravenția prevăzută de art. 32 din Legea nr. 677/2001, respectiv prelucrarea nelegală a datelor cu caracter personal.
De asemenea, în urma investigației, s-a dispus prin decizie încetarea reținerii copiilor după actele de identitate și ștergerea copiilor actelor de identitate deja colectate, în situația emiterii și reîncărcării abonamentelor cu tarif redus și gratuite. Societatea de transport a adus la cunoștința Autorității naționale de supraveghere că a luat măsuri în vederea respectării deciziei date și a încetat reținerea copiilor după actul de identitate, procedând la ștergerea informatică, respectiv distrugerea copiilor deja colectate.
Transmiterea de comunicări comerciale prin mijloace de comunicație electronica
În cursul anului 2013, a crescut considerabil numărul plângerilor și sesizărilor având ca obiect primirea de comunicări comerciale nesolicitate, transmise prin telefon (apeluri telefonice ori SMS) sau prin poșta electronică, fiind înregistrat un număr de 253 de astfel de petiții. Majoritatea acestora au privit aspecte legate de protecția vieții private în sectorul comunicațiilor electronice prin primirea de mesaje comerciale nesolicitate prin poșta electronică, fără consimțământul expres și neechivoc al destinatarului în acest sens.
În cazul plângerilor admisibile, Autoritatea națională de supraveghere a efectuat o serie de investigații pentru a verifica dacă persoanele care au transmis mesaje comerciale către petent au avut consimțământul acestuia pentru a expedia astfel de mesaje pe adresa sa de poștă electronică și dacă i-au oferit posibilitatea de a se opune ca pe viitor să mai primească mesaje comerciale. În unele cazuri investigate, s-a constatat că expeditorii mesajelor comerciale nu au respectat prevederile legale sub aspectul obținerii consimțământului prealabil, al asigurării unei informări complete cu privire la identitate și scop, al funcționării mecanismelor de dezabonare.
Prelucrarea datelor personale prin mijloace de supraveghere video
În anul 2013 a crescut numărul plângerilor și sesizărilor având ca obiect instalarea și funcționarea unor sisteme de supraveghere video fără respectarea prevederilor legale și a Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, emisă de Autoritatea națională de supraveghere. Cele mai vizate categorii de operatori sunt asociațiile de proprietari și diverse entități în calitatea acestora de angajatori. În urma efectuării investigațiilor în aceste cazuri, încălcările cele mai frecvent constatate privesc omisiunea de a notifica în prealabil la Autoritatea națională de supraveghere astfel de prelucrări, instalarea de mijloace de supraveghere în birourile angajaților fără un temei legal și fără avizul instituției noastre, precum și nerespectarea dreptului de informare în sensul furnizării tuturor mențiunilor impuse de lege și de Decizia nr. 52/2012.
Raportarea datelor personale către sisteme de evidență tip birou de credit
În anul 2013 s-a mai diminuat numărul plângerilor ce vizează transmiterea datelor personale către Biroul de Credit; cu toate acestea, investigațiile desfășurate în acest domeniu au relevat în continuare o serie de aspecte privind tipul de informații raportate de către bănci sau modalitatea și termenul de realizare a informării prealabile impuse de Legea nr. 677/2001 și de Decizia nr. 105/2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidență de tipul birourilor de credit, care denotă neînsușirea corespunzătoare a acestor obligații de către respectivii operatori.
Dezvăluirea datelor personale către diverse entități
Prin mai multe plângeri adresate Autorității naționale de supraveghere, au fost semnalate aspecte referitoare la încălcarea dispozițiilor legale privind condițiile în care date personale au fost dezvăluite către terți (angajatori, societăți de recuperări creanțe), fără să fi fost obținut în prealabil acordul persoanelor vizate ori fără să se fi acordat suficientă importanță dreptului la informare al acestora, în cazurile în care divulgarea poate fi justificată de realizarea interesului legitim al operatorului ori terțului-destinatar. De asemenea, în anumite cazuri, s-a constatat în urma investigațiilor întreprinse că dezvăluirea datelor personale s-a efectuat fără să existe un temei legal sau în mod disproporționat față de scopul urmărit.
Dezvăluirea datelor personale pe Internet
Autoritatea națională de supraveghere a înregistrat un număr considerabil de plângeri și sesizări având ca obiect dezvăluirea datelor personale pe Internet, fie pe pagini aparținând unor instituții publice sau societăți comerciale, fie de către persoane fizice pe bloguri personale sau în cadrul rețelelor ce permit transferul fișierelor între utilizatori. În cazul plângerilor și sesizărilor considerate admisibile, au fost efectuate investigații pentru soluționarea aspectelor semnalate, în toate cazurile încălcările constatate fiind remediate în scurt timp de către operatori, prin ștergerea sau transformarea în date anonime a informațiilor divulgate.
Nerespectarea măsurilor de securitate și confidențialitate a prelucrării datelor personale
În cursul anului 2013, Autoritatea națională de supraveghere a fost sesizată de către unele instituții publice cu privire la faptul că au fost încălcate măsurile de securitate și confidențialitate a datelor cu caracter personal colectate de unii operatori prin intermediul actelor și contractelor încheiate (agenție de turism, notar public), ca urmare a neglijenței manifestate în manipularea unor documente sau a neadoptării cerințelor minime de securitate care să prevină dezvăluirea neautorizată a datelor personale.
În urma investigațiilor efectuate, s-a constatat că operatorii nu au aplicat măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, date colectate prin diverse documente întocmite în derularea activității curente a operatorilor, inclusiv copii de pe actele de identitate, pașapoarte, permise de conducere.
2.2. Autoritatea Europeana pentru Protecția a Datelor
Autoritatea Europeană pentru Protecția Datelor este autoritatea independentă de protecție a datelor Uniune stabilită în conformitate cu Regulamentul (CE) nr 45/2001, dedicată protejării informațiilor personale și a vieții private și promovării bunelor practici în instituțiile UE și ȋn organisme. Aceasta monitorizează și asigură protecția datelor personale și a vieții private, atunci când instituțiile UE și organismele aferente prelucrează informații cu caracter personal. Ea monitorizează totodată noua tehnologie care ar putea afecta protecția informațiilor cu caracter personal.
Au fost situații când Autoritatea Europeană pentru Protecția Datelor a intervenit în fața Curții de Justiție a Uniunii Europene și a furnizat consultanță de specialitate cu privire la interpretarea protecției datelor. De asemenea, instituția a colaborat cu autoritățile naționale de supraveghere și cu alte organisme de supraveghere pentru a îmbunătăți coerența în protejarea informațiilor personale.
Valorile și principiile Autorității Europene pentru Protecția Datelor:
Valori:
Imparțialitatea – lucrul în cadrul legislativ și politic, fiind independent și obiectiv, a determinat instituția să găsească un echilibru corect al intereselor aflate ȋn joc.
Integritate – menținerea celor mai înalte standarde de comportament și să facă ceea ce este corect, chiar dacă aceasta este nepopular.
Transparență – explicarea a ceea ce face și de ce, într-un limbaj clar, care este accesibil tuturor.
Pragmatismul – înțelegerea părților interesate, a nevoilor și soluțiilor lor.
Principii:
Instituția servește interesului public pentru a se asigura că instituțiile din Uniunea Europeană se conformează cu politica de protecție a datelor și contribuie ȋn același timp la extinderea acestei politici atâta timp cât ea influențează protecția datelor cu character personal la nivel European
Autoritatea Europeană pentru Proteția Datelor ȋși utilizează experiența, autoritatea și puterile formale pentru a construi un grad de conștientizare mai mare a protecției datelor, ca drept fundamental și ca parte vitală a administrației publice și a instituțiilor UE
Autoritatea ȋși concentrează atenția și eforturile pe domenii de politică sau administrație care să prezinte cel mai mare risc de nerespectare sau impact asupra vieții private și acționează selectiv și proportional
La 11 ani după înființare, Autoritatea Europeană pentru Protecția Datelor este o organizație matură, cu posibilitatea de a aborda mai multe provocări ȋn ceea ce privește protecția într-un mediu extrem de dinamic. Principala provocare operațională în 2013 a fost că activitățile au continuat să se diversifice în timp ce restricțiile bugetare și măsurile aferente ca urmare a crizei financiare erau încă în vigoare.
Strategia pentru 2013-2014, împreună cu Regulile de Procedura și Planul anual de gestionare au fost surse de îndrumare, de articulare a viziunii și de metodologie necesare pentru a îmbunătăți capacitatea de a lucra eficient și într-un climat de austeritate.
Mediul legal în care acționează Autoritatea Europeană pentru Protecția Datelor prevede o serie de sarcini și competențe ȋn cadrul cărora se disting cele trei roluri principale de supraveghere, consultare și cooperare. Aceste roluri continuă să servească drept platforme de strategie pentru activitățile instituției și sunt reflectate în misiunea acesteia:
un rol de supraveghere pentru a monitoriza și a se asigura că instituțiile și organismele UE lucrează în conformitate cu garanțiile juridice existente ori de câte ori prelucrează informații personale;
un rol consultativ pentru a consilia instituțiile UE și organismele aferente cu privire la toate aspectele relevante, în special cu privire la propunerile legislative care au un impact privind protecția informațiilor cu caracter personal;
un rol de cooperare pentru a lucra cu autoritățile naționale de supraveghere și de altă natură, în vederea îmbunătățirii consecvenței în protecția personală a informațiilor.
Capitolul III
Inițiative legislative la nivelul Uniunii Europene
3.1. Propunerea de Regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice față de prelucrarea datelor cu caracter personal și libera circulație a acestor date
Pachetul legislativ propus de Comisia Europeană cuprinde două propuneri de acte normative:
propunere de Regulament privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date;
o propunere de Directivă privind protecția datelor prelucrate în scopul prevenirii, detectării, investigării și punerii sub urmărire a infracțiunilor și a altor activități judiciare.
În principiu, România susține adoptarea noului pachet legislativ privind protecția datelor, în scopul asigurării unei protecții efective și unitare a dreptului la viață privată la nivelul Uniunii Europene. Autoritatea națională de supraveghere s-a pronunțat în favoarea consolidării drepturilor persoanelor fizice ale căror date cu caracter personal sunt utilizate în domeniul public și privat, inclusiv în ceea ce privește instituirea unor noi drepturi, cum sunt dreptul de a fi uitat și dreptul la portabilitatea datelor, în concordanță cu evoluțiile tehnologice ale societății contemporane.
Referitor la natura instrumentului juridic, Comisia Europeană a propus un regulament, act normativ de aplicabilitate directă, cu intenția declarată de a asigura o unitate de reglementare și abordare a domeniului protecției datelor personale la nivelul Uniunii Europene.
În contextul dezbaterilor din cadrul Grupului de Lucru Dapix de la nivelul Consiliului Uniunii Europene, un aspect semnalat de multe state membre a fost acela al numărului mare de acte delegate și acte de implementare ce ar urma să fie emise de Comisia Europeană, pentru punerea în aplicare a regulamentului. Ca urmare a dezbaterilor, cazurile în care Comisia ar adopta astfel de acte au fost reduse, statele membre optând pentru eliminarea definitivă a actelor delegate ori s-au exprimat în favoarea înlocuirii actului delegat cu prevederi concrete în textul propunerii de regulament.
Referitor la creșterea sarcinilor administrative ale operatorilor, în special asupra microîntreprinderilor și întreprinderilor mici și mijlocii, România a semnalat că vor crește obligațiile și costurile pentru acestea, iar majoritatea statelor membre au susținut introducerea abordării bazate pe riscurile implicate de anumite prelucrări de date.
Un element de noutate constă în instituirea obligației de notificare a autorităților naționale de supraveghere de către operatorii la care apare o încălcare a condițiilor de securitate a prelucrării datelor. În această privință, Autoritatea națională de supraveghere a susținut ca notificarea să fie efectuată doar în cazul încălcărilor importante ale securității datelor personale, de natură să afecteze persoanele fizice. Corelat cu acest aspect, s-a instituit în sarcina operatorilor și obligația de informare a persoanelor fizice ale căror date sunt implicate în încălcarea de securitate semnalată autorităților de supraveghere. În această privință, Autoritatea națională de supraveghere opinează că ar trebui să fie lăsată la aprecierea acestor autorități dacă se impune informarea persoanelor implicate, pentru a evita alarmarea acestora în situații minore, eventual deja remediate de operator.
Un alt aspect important este cel referitor la numirea conducerii autorităților naționale de supraveghere cu privire la care România a susținut ca aceasta să se efectueze numai de către Parlament, în vederea asigurării unei reale independențe a acestora.
O altă prevedere propusă se referă la transmiterea proiectelor de decizii ale autorităților naționale de protecția datelor către Comitetul European pentru Protecția Datelor și Comisia Europeană, în anumite cazuri, situație care ar putea aduce atingere independenței autorităților naționale de protecția datelor în relația cu cu executivul Uniunii Europene.
O altă propunere asupra căreia s-au purtat numeroase dezbateri se referă la condițiile de desemnare a unui responsabil pentru protecția datelor la nivelul operatorilor.
Capitolul privind modalitățile de efectuare a transferurilor de date cu caracter personal a suscitat un interes deosebit, iar mecanismul „autorității-lider” propus de Comisia Europeană a fost intens dezbătut, reliefându-se aspectele pozitive, dar și implicațiile negative din perspectiva persoanei vizate.
În ceea ce privește propunerea de Directivă privind protecția datelor prelucrate în scopul prevenirii, detectării, investigării și punerii sub urmărire a infracțiunilor și a altor activități judiciare, Comisia Europeană a subliniat că scopul acesteia îl constituie asigurarea unui nivel unitar și ridicat de protecție a datelor cu caracter personal ale persoanelor fizice în domeniul cooperării polițienești și judiciare în materie penală. Astfel, se intenționează ca nivelul de protecție a drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor să fie similar în toate statele membre.
Protecția efectivă a datelor cu caracter personal la nivelul Uniunii Europene implică consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează date cu caracter personal, precum și stabilirea de competențe echivalente pentru monitorizarea și asigurarea conformității cu reglementările în materie de protecție a datelor cu caracter personal din statele membre.
În consecință, scopul propunerii este de a asigura un nivel ridicat de protecție a datelor în acest domeniu, sporind astfel încrederea reciprocă între autoritățile polițienești și cele judiciare din diferitele state membre, facilitând libera circulație a datelor și cooperarea între aceste autorități.
În privința acestei propuneri, Autoritatea națională de supraveghere a formulat rezerve față de extinderea domeniului de aplicare a Directivei la activitatea de menținere și asigurare a ordinii publice, întrucât regimul derogatoriu de la respectarea drepturilor persoanelor vizate, preconizat pentru activitățile din domeniul dreptului penal, nu se justifică și în cel al ordinii publice.
În cadrul dezbaterilor din Grupul de Lucru Dapix de la nivelul Consiliului Uniunii Europene un accent deosebit s-a pus pe reglementarea drepturilor persoanelor vizate, prin raportare la exigența stabilirii unui nivel adecvat de protecție a datelor personale și prin propunerea de Directivă.
Acest pachet legislativ se află în faza dezbaterilor la nivelul Consiliului Uniunii Europene.
3.2. Propunerea de Regulament al Parlamentului European și al Consiliului de stabilire a unui sistem de Intrări/Ieșiri (EES) pentru a înregistra datele privind intrările și ieșirile pentru resortisanții statelor terțe care traversează frontierele externe ale statelor membre ale Uniunii Europene
În data de 28 februarie 2013, Comisia Europeană a lansat un nou pachet legislativ, intitulat „Frontiere Inteligente”, care cuprinde următoarele inițiative:
Propunerea de Regulament al Parlamentului European și al Consiliului de stabilire a unui sistem de Intrări/Ieșiri (EES) pentru a înregistra datele privind intrările și ieșirile pentru resortisanții statelor terțe care traversează frontierele externe ale statelor membre ale Uniunii Europene
Scopul stabilirii unui sistem de Intrări/Ieșiri (EES) pentru a înregistra datele privind intrările și ieșirile pentru resortisanții statelor terțe care traversează frontierele externe ale statelor membre ale Uniunii Europene este acela de a îmbunătăți managementul frontierei externe și lupta împotriva migrației ilegale, punând la dispoziție un sistem, care:
va calcula perioada de ședere autorizată pentru fiecare călător,
va sprijini identificarea oricărei persoane care nu îndeplinește sau nu mai îndeplinește condițiile de intrare sau de ședere pe teritoriul statelor membre; acest lucru privește în special persoanele care sunt găsite pe timpul controalelor în interiorul teritoriului, ca nefiind în posesia unor documente de călătorie sau a unor alte documente de identitate;
va sprijini analiza intrărilor și ieșirilor terților.
Sistemul de Intrări/Ieșiri (EES) nu se va aplica terților membri de familie ai cetățenilor Uniunii Europene, aflați în posesia unui permis de ședere sau posesorilor permiselor de ședere, la care se face referire în Codul Frontierelor Schengen, deoarece șederea lor nu este limitată la 90 de zile pe parcursul a 180 de zile.
Propunerea de Regulament al Parlamentului European și a Consiliului de instituire a unui program de înregistrare a călătorilor (RTP)
Obiectivul Propunerii de Regulament al Parlamentului European și al Consiliului de instituire a programului de înregistrare a călătorilor (RTP) este acela de a:
stabili procedurile și condițiile de acces la RTP
stabili scopul, funcționalitățile și responsabilitățile unui token – Depozit Central ca un sistem de stocare a datelor despre călătorii înregistrați
conferi Agenției IT (eu – LISA) managementul operațional și dezvoltarea Depozitului Central.
Propunerea de Regulament menționată definește și procedurile și condițiile de depunere a unei cereri de acces la RTP, procedurile de examinare a cererilor și adoptarea deciziilor cu privire la acestea, gestionarea administrativă și organizarea sistemului, arhitectura tehnică a sistemului token – repertoriu central, categoriile de date și introducerea datelor de către autoritățile competente, modul de utilizare a datelor, perioada de păstrare, modificarea datelor, drepturile persoanelor vizate și supravegherea legalității prelucrării datelor cu caracter personal.
Referitor la propunerile conținute de pachetul legislativ „Frontiere inteligente”, Autoritatea națională de supraveghere a apreciat că implementarea unui sistem de colectare și prelucrare a datelor prin intermediul sistemului european de intrări/ieșiri și programul pentru înregistrarea călătorilor presupune o prelucrare pe scară largă a datelor cu caracter personal și poate reprezenta o nouă situație de risc pentru protecția datelor cu caracter personal ale persoanelor fizice și, implicit, pentru respectarea și garantarea drepturilor fundamentale ale acestora, în special a dreptului la viață privată.
Un astfel de sistem ce poate asigura un acces rapid la sistemele informaționale de control și evidență intrări/ieșiri la frontiera Uniunii Europene, precum și verificarea datelor biometrice în regim automatizat, se bazează pe prelucrarea unor categorii variate de date cu caracter personal, mai ales dintre cele sensibile (biometrice).
Autoritatea națională de supraveghere a subliniat faptul că activitățile sus menționate, desfășurate la nivel european, presupun acordarea accesului la bazele de date a mai multor autorități cu atribuții în ceea ce privește controlul la frontiere (de ex. autoritățile competente în domeniul vizelor și autoritățile de frontieră). În acest sens se ridică problema extinderii scopului inițial al creării sistemului și a impactului grav pe care îl poate avea asupra persoanelor extinderea ulterioară a utilizării bazei la alte scopuri.
Faptul că sistemul controalelor automatizate la frontiera Uniunii Europene permite excluderea „factorului uman” din procesul de control, deși aparent simplifică procedura de verificare a pașaportului, implică riscuri în ceea ce privește prelucrarea datelor cu caracter personal și respectarea drepturilor tuturor persoanelor vizate.
Autoritatea națională de supraveghere a subliniat că introducerea unor astfel de sisteme de control la frontiere implică, pentru resortisanții țărilor terțe, riscuri majore în ceea ce privește respectarea și garantarea drepturilor acestora, în condițiile în care la acest moment prin normele Codului frontierelor Schengen, spre exemplu, sunt deja instituite verificări amănunțite a tuturor resortisanților țărilor terțe, atât la intrare, cât și la ieșire.
Totodată, deși scopul principal al introducerii unui sistem de control automatizat la frontiera Uniunii Europene este acela de a îmbunătăți managementul frontierei externe a acesteia, în fapt, acesta este unul dintre mijloacele de luptă împotriva migrației ilegale.
Prin acest sistem se intenționează analizarea intrărilor și ieșirilor terților, ceea ce presupune obținerea unei imagini exacte a fluxurilor migratorii de la frontierele externe.
În acest context, este de subliniat că “sistemele de prelucrare a datelor sunt în serviciul omului; acestea trebuie, indiferent de naționalitatea sau locul de reședință al persoanelor fizice, să le respecte drepturile și libertățile fundamentale, în special dreptul la viață private”.
Astfel, în concordanță cu jurisprudența Curții Europene a Drepturilor Omului rezultată din încălcarea art. 8 din Convenția pentru apărarea drepturilor omului și libertăților fundamentale, protecția oferită de acest articol ar fi diminuată în mod inacceptabil, dacă folosirea de tehnici științifice moderne ar fi permisă cu orice preț și fără realizarea unui echilibru între beneficiile folosirii extensive a acestor tehnici și interesele importante legate de viața privată, iar orice stat care pretinde să aibă un rol de pionier în dezvoltarea noilor tehnologii poartă responsabilitatea obținerii unui echilibru corect în această problemă.
Prin urmare, Autoritatea națională de supraveghere a apreciat că, atunci când se propun și se concep noi sisteme informatice la scară largă trebuie să se respecte principiul necesității, roporționalității, „luării în considerare a vieții private începând din momentul conceperii sistemului” (așa-numitul pricipiu „privacy by design”) și principiul limitării scopului.
La analiza prevederilor propuse prin pachetul legislativ „Frontiere inteligente” Autoritatea națională de supraveghere a constatat că urmează a fi preponderent prelucrate date
cu caracter special, printre care și date biometrice, fapt pentru care a atras atenția că pentru utilizarea acestora trebuie să se ia măsuri stricte de protecție în sensul stabilirii de condiții minime pentru utilizarea datelor biometrice și să se stabilească proceduri de rezervă pentru persoanele care nu se pot înregistra.
Acest pachet legislativ se află în faza dezbaterilor la nivelul Consiliului Uniunii Europene.
3.3. Propunerea de Directivă a Parlamentului European și a Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor, inclusiv al finanțării terorismului
În luna februarie 2013, Comisia Europeană a adoptat două propuneri de consolidare a normelor Uniunii Europene existente cu privire la combaterea spălării banilor și transferurile de fonduri. Amenințările asociate spălării banilor și finanțării terorismului sunt într-o continua evoluție, iar acest lucru impune actualizări periodice ale normelor în domeniu.
Pachetul legislativ include o propunere de Directivă privind prevenirea utilizării sistemului financiar în scopul spălării banilor și al finanțării terorismului, precum și o propunere de Regulament cu privire la informațiile privind plătitorul care însoțesc transferurile de fonduri, în vederea asigurării unei „trasabilități adecvate” a acestor transferuri.
Scopul comun al adoptării celor două instrumente legislative constă în revizuirea cadrului normativ actual al Uniunii Europene în materia combaterii spălării banilor și a finanțării terorismului, cu scopul de a spori eficacitatea acestuia și de a asigura conformitatea sa cu standardele internaționale.
La nivelul Uniunii Europene, Directiva 2005/60/CE privind prevenirea utilizării sistemului financiar în scopul spălării banilor și finanțării terorismului instituie cadrul menit să protejeze soliditatea, integritatea și stabilitatea instituțiilor de credit și financiare și încrederea în sistemul financiar în ansamblu împotriva riscurilor de spălare a banilor și de finanțare a terorismului.
În ceea ce privește propunerea unui nou regulament al Parlamentului European și al Consiliului cu privire la informațiile privind plătitorul care însoțesc transferurile de fonduri, scopul acestui act este de a revizui Regulamentul (CE) nr. 1781/2006 cu privire la informațiile privind plătitorul care însoțesc transferurile de fonduri, astfel încât să se îmbunătățească trasabilitatea plăților și să se garanteze conformitatea deplină a cadrului Uniunii Europene cu standardele internaționale.
Regulamentul privind transferurile de fonduri stabilește norme conform cărora prestatorii de servicii de plată trebuie să transmită informații privind plătitorul pe tot parcursul lanțului de plăți în scopul prevenirii, investigării și depistării actelor de spălare de bani și de finanțare a terorismului.
Obiectivul primordial al revizuirii cadrului legal privind prevenirea și combaterea spălării banilor și a finanțării terorismului este acela de a proteja sistemul financiar și piața unică împotriva abuzurilor din partea infractorilor care încearcă să spele produse obținute ilicit sau din partea teroriștilor care doresc să finanțeze activități sau grupuri teroriste.
În ceea ce privește propunerea de Directivă a Parlamentului European și a Consiliului privind prevenirea utilizării sistemului financiar în scopul spălării banilor, inclusiv al finanțării terorismului, principalele modificări propuse vizează:
extinderea domeniului de aplicare al directivei (reducerea pragului pentru comercianții de bunuri de valoare ridicată care efectuează plăți în numerar, de la 15 000 EUR la 7 500 EUR și includerea în domeniul de aplicare a directivei a „furnizorilor de servicii de jocuri de noroc”);
abordarea bazată pe risc (completarea listei minime de factori care trebuie luați în considerare sau cu orientări care urmează a fi elaborate de către autoritățile europene de supraveghere);
măsuri simplificate și măsuri sporite de precauție privind clientela (înăsprirea normelor privind precauția simplificată și eliminarea unor situații în care se aplică scutiri) ;
informații privind beneficiarul real (sunt propuse măsuri noi în scopul de a face informațiile privind beneficiarul real mai clare și mai accesibile; prin aceasta, persoanele juridice sunt obligate să dețină informații referitoare la propriii beneficiari reali);
echivalența țărilor terțe (directiva revizuită va elimina dispozițiile referitoare la „echivalența”pozitivă, din moment ce regimul de precauție privind clientela este din ce în ce mai puternic bazat pe risc, iar utilizarea de scutiri pe motivul unor factori pur geografici este mai puțin relevantă);
alinierea sancțiunilor administrative;
unitățile de informații financiare;
autoritățile europene de supraveghere;
măsurile de transpunere (introducerea unei obligații pentru statele membre de a transmite un tabel de corespondență între dispozițiile legislației lor naționale și dispozițiile directivei).
Introducerea de prevederi legale referitoare la prelucrarea datelor cu caracter personal în propunerea de Directivă privind prevenirea utilizării sistemului financiar în scopul spălării banilor și al finanțării terorismului, se justifică prin chiar scopul actului normativ, ce va avea ca rezultat colectarea și prelucrarea unui volum foarte mare de informații, respectiv date cu caracter personal.
Acest fapt va avea implicații directe asupra drepturilor fundamentale ale persoanelor fizice și poate conduce, în cazul nerespectării legislației în domeniu, la grave atingeri aduse dreptului la viață privată a acestora, în ceea ce privește protecția datelor lor cu caracter personal.
Urmare a analizării textului propunerii de Directivă, pentru a conferi forță juridical sporită protecției datelor personale și drepturilor persoanelor vizate, Autoritatea națională de supraveghere a apreciat că ar trebui să existe trimiteri exprese la Directiva 95/46/CE și la legislația statului membru în domeniu referitoare la protecția datelor cu caracter personal și în cuprinsul articolelor care fac referiri la protecția datelor.
Propunerea de Directivă face referire la o perioadă de 5 ani ca termen de stocare a documentelor și informațiilor, însă nu conține și o enumerare a datelor și categoriilor de date cu caracter personal ce sunt colectate de la persoanele vizate și, ulterior, comunicate către autoritățile competente. Această lacună conduce la incertitudini privind datele prelucrate, dar și la unele posibile neclarități în procesul ulterior de implementare a Directivei de către statele membre.
Legat de acest aspect, Autoritatea națională de supraveghere a apreciat că s-ar impune, în vederea eliminării ambiguităților, stabilirea concretă a datelor și categoriilor de date colectate și care vor fi prelucrate, simpla trimitere la Directiva 95/46/CE nefiind suficientă pentru asigurarea unui nivel de protecție adecvat al datelor cu caracter personal.
De asemenea, Autoritatea de supraveghere a recomandat inserarea unor prevederi cu privire la clauzele de confidențialitate ce trebuie respectate de către angajații entităților implicate în procedurile de raportare a informațiilor, având în vedere natura sensibilă a datelor ce vor fi prelucrate.
Referitor la politicile de protecție a datelor și la politicile și procedurile privind schimbul de informații, s-a apreciat ca adecvată adăugarea unor mențiuni care să facă referire la conținutul acestor politici, respectiv la faptul că acestea trebuie să stabilească măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei alte forme de prelucrare ilegală, având în vedere și dispozițiile art. 17 alin. (1) din Directiva 95/46/CE.
Propunerea de Regulament al Parlamentului European și al Consiliului cu privire la informațiile privind plătitorul care însoțesc transferurile de fonduri revizuiește Regulamentul (CE) nr. 1781/2006 cu privire la informațiile privind plătitorul care însoțesc transferurile de fonduri în scopul îmbunătățirii urmăririi plăților și asigurării conformității legislației cadru a UE cu standardele internaționale.
Modificările propuse de Autoritatea națională de supraveghere au drept scop identificarea de soluții în domeniile în care persistă probleme legate de transparență, fiind vizate următoarele cerințe principale:
includerea unor informații privind beneficiarul plății;
extinderea domeniului de aplicare a regulamentului (includerea cărților de credit sau de debit, a telefonului mobil sau a oricărui alt dispozitiv digital sau informatic în obiectul dispozițiilor regulamentului în cazul în care acestea sunt utilizate pentru transferarea de fonduri de la o persoană la alta și clarificarea situației transferurilor de fonduri în afara Uniunii Europene a căror valoare este de mai puțin de 1 000 EUR);
introducerea unor noi obligații pentru prestatorii de servicii de plată față de beneficiarul plății (verificarea identității beneficiarului în cazul plăților provenite din afara UE a căror valoare este de peste 1 000 EUR), precum și pentru prestatorul de servicii de plată al beneficiarului plății și prestatorul intermediar de servicii de plată (instituirea unor proceduri bazate pe evaluarea riscurilor care să permită identificarea situațiilor în care trebuie executat, respins sau suspendat un transfer de fonduri pentru care nu au fost furnizate informațiile cerute și obligația de a stabili măsurile care trebuie luate în acest sens);
consolidarea competențelor de a aplica sancțiuni ale autorităților competente și impunerea cerinței coordonării acțiunilor întreprinse în cazurile transfrontaliere, publicarea sancțiunilor aplicate și instituirea unor mecanisme eficace prin care să se încurajeze semnalarea cazurilor de încălcare a dispozițiilor regulamentului.
Acest pachet legislativ se află în faza dezbaterilor la nivelul Consiliului Uniunii Europene.
Capitolul IV
Reglementarea accesului liber la informatia de interes public in legislatia UE
4.1. Accesul liber la informația de interes public și transferul acesteia către state din afara Uniunii Europene cu respectarea reglementărilor ȋn vigoare
La nivelul UE, păstrarea și utilizarea datelor în scopul aplicării legii au fost abordate pentru prima dată de Directiva 97/66/CE privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor. Această directivă a prevăzut pentru prima dată posibilitatea ca statele membre să adopte astfel de măsuri legislative dacă este necesar pentru protecția securității publice, a apărării sau a ordinii publice, inclusiv a bunăstării economice a statului, atunci când activitățile se referă la securitatea statului și la aplicarea dreptului penal.
Dispoziția respectivă a fost dezvoltată în continuare în Directiva privind confidențialitatea în mediul electronic, care prevede posibilitatea ca statele membre să adopte măsuri legislative care derogă de la principiul confidențialității comunicațiilor, inclusiv, în anumite condiții, păstrarea, accesul și utilizarea datelor în scopul aplicării legii. În temeiul articolului 15 alineatul (1), statele membre pot restrânge sfera de aplicare a drepturilor și obligațiilor în materie de confidențialitate, inclusiv prin păstrarea datelor pentru o perioadă limitată, atunci când această restrângere constituie o măsură „necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice”.
În temeiul Directivei 95/46/CE, statelor membre li se solicită să se asigure că transferul de date cu caracter personal către o țară terță poate avea loc numai dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor și dacă legile statelor membre respective, care sunt în conformitate cu celelalte dispoziții ale directivei, sunt respectate înainte de transferul datelor.
Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46/CE prevede că statele membre pot autoriza, sub rezerva anumitor garanții, transferul sau o serie de transferuri de date cu caracter personal către țări terțe care nu asigură un nivel de protecție adecvat. Aceste garanții pot rezulta mai ales din clauze contractuale corespunzătoare.
Ȋn temeiul Directivei 95/46/CE, nivelul de protecție a datelor ar trebui evaluat pe baza tuturor circumstanțelor referitoare la un transfer sau la o serie de transferuri. Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit în temeiul directivei menționate a publicat orientări pentru a facilita această evaluare.
Clauzele contractuale tip ar trebui să se refere numai la protecția datelor. Prin urmare, exportatorul de date și importatorul de date sunt liberi să includă orice alte clauze comerciale pe care le consideră relevante pentru contract, cu condiția ca acestea să nu contravină clauzelor contractuale tip.
Decizia Comisiei nu ar trebui să aducă atingere autoriza țiilor naționale pe care statele membre le pot acorda în conformitate cu dispozițiile naționale de punere în aplicare a articolului 26 alineatul (2) din Directiva 95/46/CE. Prezenta decizie ar trebui să aibă numai efectul de a impune statelor membre să nu refuze să recunoască faptul că clauzele contractuale prevăzute de aceasta oferă garanții corespunzătoare, prin urmare decizia nu ar trebui să aibă niciun efect asupra altor clauze contractuale.
Decizia 2002/16/CE a Comisiei din 27 decembrie 2001 privind clauzele contractuale tip pentru transferul de date cu caracter personal către procesatorii de date stabiliți în țări terțe, în temeiul Directivei 95/46/CE, a fost adoptată pentru a facilita transferul de date cu caracter personal de la un operator de date stabilit în Uniunea Europeană către o persoană împuternicită de către operator stabilită într-o țară terță care nu oferă un nivel corespunzător de protecție a datelor.
De la adoptarea Deciziei 2002/16/CE s-a acumulat o experiență considerabilă. În plus, raportul privind punerea în aplicare a deciziilor privind clauzele contractuale tip pentru transferurile de date cu caracter personal către țările terțe a arătat că există un interes crescând cu privire la promovarea utilizării clauzelor contractuale tip pentru transferurile internaționale de date cu caracter personal către țări terțe care nu oferă un nivel corespunzător de protecție a datelor. În plus, părțile interesate au prezentat propuneri în vederea actualizării clauzelor contractuale prevăzute de Decizia 2002/16/CE, pentru a se lua în considerare creșterea rapidă a activităților de prelucrare a datelor la nivel global, precum și pentru a se aborda anumite aspecte care nu au făcut obiectul deciziei menționate.
Autoritățile de supraveghere din statele membre joacă un rol esențial în acest mecanism contractual, asigurând că datele cu caracter personal sunt corespunzător protejate după efectuarea transferului. În cazurile excepționale în care exportatorii de date refuză sau nu sunt în măsură să-l instruiască pe importatorul de date în mod corespunzător și există un risc iminent de prejudiciere a persoanelor vizate, clauzele contractuale tip ar trebui să permită autorităților de supraveghere să efectueze un audit la importatorii de date și la subcontractanți și, după caz, să ia decizii cu caracter obligatoriu pentru aceștia. Autoritățile de supraveghere ar trebui să aibă competența de a interzice sau suspenda un transfer sau o serie de transferuri de date pe baza clauzelor contractuale tip în acele cazuri excepționale în care s-a stabilit că transferul pe bază de contract este susceptibil să aibă efecte negative asupra garanțiilor și obligațiilor care oferă persoanelor vizate protecția adecvată.
Clauzele contractuale tip ar trebui să prevadă măsurile tehnice și organizatorice de securitate pe care ar trebui să le aplice persoana împuternicită de către operator stabilită într-o țară terță care nu oferă protecția adecvată, care să asigure nivelul de securitate corespunzător pentru riscurile reprezentate de prelucrarea și natura datelor care trebuie protejate. Părțile ar trebui să prevadă în contract măsurile tehnice și organizatorice care, având în vedere legea aplicabilă privind protecția datelor, nivelul tehnologic și costul punerii în aplicare a acestora, sunt necesare pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat sau a oricăror alte forme ilegale de prelucrare.
Pentru a facilita circuitul datelor dinspre Uniunea Europeană, este de dorit să se permită persoanelor împuternicite de către operator care oferă servicii de prelucrare a datelor mai multor operatori de date din Uniunea Europeană să aplice aceleași măsuri tehnice și organizatorice de securitate, indiferent de statul membru în care își are originea transferul de date, în special în cazurile în care importatorul de date le primește, în vederea prelucrării ulterioare, de la diverse structuri ale exportatorului de date din Uniunea Europeană, situație în care ar trebui să se aplice legea statului membru de stabilire desemnat.
Este oportun să se stabilească informațiile minime pe care părțile ar trebui să le specifice în contractul cu privire la transfer. Statele membre ar trebui să-și mențină competența de a preciza informațiile pe care trebuie să le furnizeze părțile. Aplicarea prezentei decizii ar trebui revizuită prin prisma experienței dobândite.
Importatorul de date ar trebui să prelucreze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și obligațiile cuprinse în clauze. În special, importatorul de date nu ar trebui să divulge datele cu caracter personal unei părți terțe fără acordul în scris dat în prealabil de exportatorul de date. Exportatorul de date ar trebui să-l instruiască pe importatorul de date pe toată durata serviciilor de prelucrare a datelor să realizeze această prelucrare în conformitate cu instrucțiunile sale, cu legile aplicabile privind protecția datelor și cu obligațiile cuprinse în clauze.
Raportul referitor la punerea în aplicare a deciziilor privind clauzele contractuale tip pentru transferul de date cu caracter personal către țările terțe a recomandat instituirea unor clauze contractuale tip corespunzătoare privind transferurile ulterioare de la o persoană împuternicită de către operator stabilită într-o țară terță către o altă persoană similară (subcontractare a serviciilor de prelucrare a datelor), pentru a lua în considerare tendințele și practicile comerciale pentru activitatea de prelucrare a datelor, din ce în ce mai globalizată.
Ȋn ceea ce privește ȋncasările medii anuale ce le revin marilor operatori de date. Acestea diferă de la operator la operator, cele mai mari ȋncasări ȋnsă ȋnregistrându-se ȋn cadrul Google și Xing, dupa cum o arată și graficul de mai jos.
Sursa: Online Personal Data Processing and EU data protection reform report of the CEPS Digital Forum, April 2014
4.2. Rolul instituțiilor de protecție a datelor cu caracter personal la nivelul Uniunii Europene si reglementarea acestora conform Regulamentului (EC) 45/2001
Sub incidența prevederilor Regulamentului (CE) nr. 45/2001 nu intră prelucrarea de date efectuată de instituțiile și organele Comunității în domeniile cooperării judiciare în materie penală, precum Și în domeniile cooperării polițienești Și vamale, precum și în domeniul politicii externe și de securitate comune.
In cazul în care prelucrările de date sunt efectuate de instituțiile sau organele comunitare în desfășurarea activităților care nu intră sub incidența domeniului de aplicare a prezentului regulament, în special a acelora prevăzute de titlurile V Și VI din Tratatul privind Uniunea Europeană, protecția drepturilor Și libertăților fundamentale ale persoanelor este asigurată în conformitate cu articolul 6 din Tratatul privind Uniunea Europeană. Accesul la documente, inclusiv condițiile de acces la documente conținând date cu caracter personal, este reglementat prin normele adoptate în temeiul articolului 255 din Tratatul CE sub incidența căruia intră și titlurile V Și VI din Tratatul privind Uniunea Europeană.
Dispozițiile Regulamentului (CE) 45/2001 nu se aplică organelor clin afara structurii comunitare, iar Autoritatea Europeană pentru Protecția Datelor nu are competența de a monitoriza prelucrarea datelor cu caracter personal efectuată de către aceste organe. De asemenea, regulamentul menționat anterior nu aduce atingere drepturilor Și obligațiilor statelor membre prevăzute de Directivele 95/46/CE Și 2002/5 8/CE, dar este obligatoriu în toate elementele sale și se aplică direct în toate statele membre. Cu alte cuvinte, orice cetățean al Uniunii care este lezat prin modul în care instituțiile și organele comunitare îi prelucrează datele cu caracter personal poate sesiza Autoritatea Europeană pentru Protecția Datelor.
Regulamentul (CE) 45/2001 este aplicabil prelucrării de date efectuate de instituția sau organul comunitar, direcția generală, unitatea sau orice altă entitate organizațională care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor. Instituțiile și organismele enumerate anterior sunt, în accepțiunea art. 1 lit. d) din Regulamentul (CE) 45/2001, operatori de date cu caracter personal. Aceștia pot împuternici alte persoane fizice sau juridice, o autoritate publică, agenție sau orice alt organism să prelucreze datele cu caracter personal în numele lor.
In cazul în care scopurile și mijloacele de prelucrare sunt stabilite printr-un act comunitar special, operatorul poate fi desemnat printr-un astfel de act comunitar.
Datele cu caracter personal colectate de instituțiile și organismele Comunității trebuie să fie organizate însă într-un sistem de evidență sau să fie destinate a fi incluse într-un asemena sistem, ulterior operației de colectare, pentru a intra sub incidența Regulamentului (CE) 45/2001. Un sistem de evidență a datelor cu caracter personal înseamnă orice structură de date cu caracter personal, accesibilă conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.
4.3. Cazul Bavarian Lager
La 8 noiembrie 2007, CPI a emis o hotărâre privind cazul Bavarian Lager T-194/04 care a anulat o decizie a Comisiei Europene prin care era refuzată divulgarea numelor tuturor reprezentanților din industria berii și ale altor participanți la o reuniune antitrust din 1996. Solicitantul Bavarian Lager Co. Ltd, cu sediul în Regatul Unit, un importator de bere germană a descoperit că produsele sale au fost scoase de pe piața Regatului Unit datorită legilor care impuneau barurilor și restaurantelor să cumpere de la anumite berării. Acesta a depus o plângere la Comisie, care a inițiat apoi procedura judiciară împotriva guvernului Regatului Unit pentru nerespectarea unei obligații conform articolului 226 din Tratatul CE. A fost convocată o întrunire cu reprezentanții din industria berii și oficialii englezi din care Bavarian Lager a fost exclusă.
Ulterior, Regatul Unit și-a schimbat legislația și s-a renunțat la caz. Bavarian Lager a cerut să aibă acces la întreaga listă de participanți la întrunire și Comisia, care a redactat procesul verbal al întrunirii, nu a completat cinci nume ale participanților, afirmând că două dintre persoanele implicate au refuzat în mod expres să-și dezvăluie identitatea și că nu a reușit să le contacteze pe celelalte trei.
Comisia a afirmat că divulgarea acestor cinci nume ar fi compromis protecția intimității și a integrității individului, protejată prin Regulamentul (CE) nr.45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.
Totuși, Curtea a argumentat că dreptul de acces la documentele ce conțin date cu caracter personal trebuie să fie garantat, cu condiția ca transmiterea acestor date să nu compromită protecția vieții private și a integrității persoanei implicate. Simplul fapt că un document conține date cu caracter personal, precum nume, nu înseamnă neapărat că este afectată viața privată și integritatea persoanelor implicate. Procesele verbale în cauză nu au cuprins părerile personale ale persoanelor implicate, ci pozițiile organismelor reprezentate de acestea.
Aceasta este prima hotărâre de încercare de conciliere a două interese contradictorii și diferite prin referire la Regulamentul 1049/2001 vizând acordarea celui mai mare efect posibil dreptului de acces public la documente și la Regulamentul (CE) nr.45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date. Această hotărâre a Curții are implicații foarte importante pentru chestiunile de transparență în general, deoarece de acum înainte cei care urmăresc influențarea Comisiei trebuie să înțeleagă că identitatea lor și activitățile lor de lobby pot fi făcute publice de către Comisie, în ciuda regulilor privind protecția datelor.
Regulamentul 1049/2001 a vizat creșterea gradului de transparență al Uniunii, însă speranțele și așteptările legate de acesta au fost grav afectate de interpretarea CPI. Fiecare document ar trebui examinat într-o manieră concretă și individuală, însă interpretarea a exclus anumite categorii de documente (consultanță juridică, documente sensibile); excepția oferită în cazul „sarcinii administrative”, chiar dacă nu este precizată în Regulament, dreptul de acces, precum și posibilitatea de a se acorda cel puțin accesul parțial sunt deseori limitate, documentele provenite dintr-un stat membru fiind supuse unui fel de „veto”, în timp ce datoria instituțiilor de a oferi argumente fondate este foarte limitată. Accesul la registrele administrative ar trebui să fie mai larg.
O mai mare transparență a lucrărilor Consiliului ar crește gradul de implicare a cetățeanului și a parlamentelor naționale. Jurisprudența în urma implementării Regulamentului 1049/2001 arată că există o nevoie clară și reală de revizuire a acestuia.
4.4. Cazul Google
În martie 2010, un cetățean spaniol, domnul Costeja González, s-a plans Agenției Naționale Spaniole pentru Protecția Datelor (AEPD), că, atunci când numele său a intrat în motorul de căutare Google primele afișări care au apărut au fost paginile ziarului La Vanguardia Barcelona din 19 ianuarie și 9 martie 1998, cu un anunț care menționa o proprietate ȋn cadrul căreia el era proprietar comun ȋntr-o procedură de fixare pentru recuperarea datoriilor sociale și de securitate. El a cerut, în primul rând, că La Vanguardia să șterge sau să modifice acele pagini, astfel încât datele cu caracter personal care ȋl privesc să nu mai apară, și pe de altă parte ca Google să elimine sau să ascundă datele cu caracter personal care ȋl privesc, astfel încât să nu mai fie incluse în rezultatele de căutare. El a menționat faptul că acțiunea ȋn cadrul căreia erau menționate datele sale personale fusese soluționată cu ani ȋn urmă, astfel ȋncât la momentul respectiv era complet irelevantă.
Aceasta ridică o problemă ce consider că merită subliniată. În cazul în care informația este inexactă sau incompletă, persoana vizată are dreptul de a obține de la operatorul de date rectificarea sau ștergerea sa. Dacă informațiile, deși exacte, sunt afișate pe un site cu încălcarea legii penale, operatorul are obligația de a elimina link-ul respectiv. Același lucru se aplică datelor de pe un site web care sunt defăimătoare sau contravin drepturi civile; motoarele de căutare vor primi în mod constant, și vor acționa ȋn vederea eliminării datelor care pot ȋncălca drepturile de autor. În acest caz, nu a existat nici o sugestie că informațiile ar fi inexacte; și departe de a fi ilegale, publicarea informațiilor de către La Vanguardia a avut cu aprobarea Ministerului spaniol al Muncii și Afacerilor Sociale cu scopul de a oferi publicitate maximă.
AEPD a respins plângerea, în măsura în care se referea la La Vanguardia. Cu toate acestea, plângerea împotriva Google a fost admisă. AEPD a considerat că operatorii de motoare de căutare sunt supuși legislației privind protecția datelor dat fiind faptul că efectuează prelucrarea datelor pentru care sunt responsabili și acționează ca intermediari în societatea informațională. Google a prezentat problema Ȋnaltei Curți de Justiție Spaniole, adresându-i trei ȋntrebări.
Prima întrebare făcea referire la domeniul de aplicare teritorial al directivei extins la activitățile Google din Spania. Avocatul general Jääskinen a susținut că acest lucru s-a ȋntâmplat, iar Curtea l-a aprobat. Prin urmare, legislația UE privind protecția datelor se extinde pentru a acoperi nu numai organizațiile din cadrul Uniunii Europene, ci și pe cele din afara UE, care au operațiuni în UE – chiar în cazul în care, la fel ca în cazul Google Spania SL, aceste operațiuni nu includ prelucrarea datelor. Acest lucru a fost descris de Morrison & Foerster, o firma de avocatura la nivel global ca fiind una dintre cele mai mari practici de confidențialitate și de securitate a datelor din ȋntreaga lume.
În a doua întrebare, instanța spaniolă a solicitat să afle dacă Google ȋn activitățile sale în calitate de motor de căutare pe internet, a considerat a fi un "operator" al datele cu caracter personal pe paginile web publicate de terțe părți. Noțiunea de "operator" este definită la articolul 2 litera (d) din directivă ca fiind "persoana fizică sau juridical care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal". Prin urmare, Curtea a hotărât că operatorul unui motor de căutare trebuie să fie considerat ca fiind "operatorul" acelor date cu caracter personal prelucrate de căutare motorul de căutare.
În cazul în care Curtea ar fi urmat concluziile avocatului general pe a doua întrebare, a treia întrebare privind dreptul de a fi uitat, nu ar fi apărut, deoarece dreptul de a obține rectificarea sau ștergerea de date este disponibil numai față de operatorul de date, dar din moment ce Curtea a decis că Google ar trebui să fie tratat ca un operator de date, a treia întrebare a trebuit să primească răspuns.
Expresia "dreptul de a fi uitat" este înșelătoare. Informațiile nu pot fi uitate în mod deliberat. Ele nu pot fi "expediate la uitare" (expresie utilizată de instanța spaniolă în cererea sa de pronunțare a unei hotărâri preliminare). Paginile La Vanguardia există încă pe suport de hârtie, și pot fi accesate imediat electronic prin tastarea în numele co-proprietar al bunului ce era scos la licitație. Informațiile pot fi de asemenea publicate în alte ziare. Din punctul de vedere al persoanei vizate, dreptul de a fi uitat este cel mai bun un drept de a face informațiile mai puțin accesibile; în cel mai rău caz, poate realiza opusul a ceea ce s-a dorit.
Articolul 6 al directive trasează principiile care reglementează colectarea și prelucrarea datelor pe care operatorul de date trebuie să le respecte. Acestea sunt:
datele persoanale trebuie prelucrate în mod corect și legal
trebuie colectate în scopuri determinate, explicite și legitime și nu prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor pentru scopuri istorice, statistice sau științifice care nu sunt considerate în conformitate cu dispozițiile sunt considerate a fi incompatibile de către statele membre ce prevăd garanții corespunzătoare;
trebuie să fie adecvate, pertinente și neexcesive în raport cu scopurile pentru care acestea sunt colectate și / sau prelucrate ulterior;
trebuie să fie exacte și, dacă este necesar, actualizate; fiecare decizie rezonabilă trebuie luată pentru a se asigura că datele care sunt inexacte sau incomplete, având în vedere scopurile pentru care au fost colectate sau pentru care sunt prelucrate ulterior, să fie ștearsă sau rectificat;
trebuie păstrate într-o formă care să permită identificarea persoanelor vizate ȋnsă nu mai mult decât este necesar pentru scopurile pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele member stabilesc garanțiile corespunzătoare pentru datele cu caracter personal stocate pentru perioade mai lungi în scopuri istorice, statistice sau științifice.
Au existat comentarii care au sugerat că "dreptul de a fi uitat" este gândit să depindă de informațiile divulgate de către motorul de căutare și că afectează persoana vizată, sau cel puțin este gândit cu scopul de a prejudicia.
Curtea a statuat că dreptul persoanei vizate de a avea informații șterse contravene interesului economic al motorului de căutare dar, de asemenea, interesului public în accesarea informațiilor prin căutarea persoanei vizate după nume.
Ȋn concluzie, la începutul anilor 1990, când World Wide Web a fost în fază incipientă și Google nici măcar în gestație, este posibil să fi părut rezonabil să se includă în legislația UE privind protecția datelor un drept pentru persoana vizată cu eticheta "Dreptul de a fi uitat ". Evoluția următorii douăzeci de ani au demonstrat faptul că dreptul este la fel de evaziv ca numele.
Ȋnalta Curte de Justiție ar fi putut și ar fi trebuit să interpreteze directiva mult mai riguros, concluzionând că o legătură între informațiile disponibile în mod legal nu prelucrează informațiile ȋn mod corect.
Nu putem spune că este imposibil ca Google să respecte hotărârea, pentru că ei încearcă să facă acest lucru dar, în opinia mea hotărârea este nefuncțional. Ea ignoră motoarele de căutare mai mici, care, spre deosebire de Google, nu pot avea resurse să ia în considerare un număr individual mare de cereri pentru eliminarea de link-uri.
CONCLUZII
Instituțiile sau organele comunitare, în calitate de operatori, trebuie să pună în aplicare măsurile organizatorice și tehnice adecvate pentru a asigura un nivel de securitate a datelor, în concordanță cu riscurile reprezentate de faptul că prelucrează date cu caracter personal și de tipul datelor cu caracter personal care trebuie protejate.
Astfel, persoanele angajate de o instituție sau un organ comunitar, precum și cele care acționează în calitate de persoană împuternicită a acestora, cu acces la date cu caracter personal, nu pot prelucra datele decât pe baza instrucțiunilor operatorului, cu excepția cazului în care legislația internă sau comunitară impune acest lucru.
Măsurile se iau în mod special pentru a preveni orice dezvăluire sau acces neautorizat, distrugerea ilegală sau accidentală, pierderea sau modificarea accidentală, sau orice altă modalitate ilegală de prelucrare .
Astfel, în cazul angajaților săi, operatorul trebuie să realizeze instruirea acestora cu privire la aplicarea și respectarea politicii de securitate a datelor, pe care este obligat să o întocmească în funcție de natura datelor pe care le prelucrează și de stadiul tehnicii utilizate în activitatea sa.
De asemenea, atunci când apelează la alte persoane, distincte de angajații săi, să prelucreze date cu caracter personal în numele său, operatorul are obligația să aleagă o persoană împuternicită care să ofere garanții suficiente în privința măsurilor de securitate tehnică și organizaționale.
La nivelul UE, păstrarea și utilizarea datelor în scopul aplicării legii au fost abordate pentru prima dată de Directiva 97/66/CE privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor. Această directivă a prevăzut pentru prima dată posibilitatea ca statele membre să adopte astfel de măsuri legislative dacă este necesar pentru protecția securității publice, a apărării sau a ordinii publice, inclusiv a bunăstării economice a statului, atunci când activitățile se referă la securitatea statului și la aplicarea dreptului penal.
Dispoziția respectivă a fost dezvoltată în continuare în Directiva privind confidențialitatea în mediul electronic, care prevede posibilitatea ca statele membre să adopte măsuri legislative care derogă de la principiul confidențialității comunicațiilor, inclusiv, în anumite condiții, păstrarea, accesul și utilizarea datelor în scopul aplicării legii. În temeiul articolului 15 alineatul (1), statele membre pot restrânge sfera de aplicare a drepturilor și obligațiilor în materie de confidențialitate, inclusiv prin păstrarea datelor pentru o perioadă limitată, atunci când această restrângere constituie o măsură „necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice”.
În temeiul Directivei 95/46/CE, statelor membre li se solicită să se asigure că transferul de date cu caracter personal către o țară terță poate avea loc numai dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor și dacă legile statelor membre respective, care sunt în conformitate cu celelalte dispoziții ale directivei, sunt respectate înainte de transferul datelor.
Cu toate acestea, articolul 26 alineatul (2) din Directiva 95/46/CE prevede că statele membre pot autoriza, sub rezerva anumitor garanții, transferul sau o serie de transferuri de date cu caracter personal către țări terțe care nu asigură un nivel de protecție adecvat. Aceste garanții pot rezulta mai ales din clauze contractuale corespunzătoare.
Ȋn temeiul Directivei 95/46/CE, nivelul de protecție a datelor ar trebui evaluat pe baza tuturor circumstanțelor referitoare la un transfer sau la o serie de transferuri. Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit în temeiul directivei menționate a publicat orientări pentru a facilita această evaluare.
Clauzele contractuale tip ar trebui să se refere numai la protecția datelor. Prin urmare, exportatorul de date și importatorul de date sunt liberi să includă orice alte clauze comerciale pe care le consideră relevante pentru contract, cu condiția ca acestea să nu contravină clauzelor contractuale tip.
Ȋn concluzie, atât globalizarea, cât și dezvoltările tehnologice sunt o provocare continuă pentru dreptul la viață privată și pentru protecția datelor. În privința globalizării, încercăm să avem un cadru legal funcțional care să asigure circulația liberă a informațiilor, transferabilitatea datelor și compatibilitatea regulilor la nivel internațional, într-o abordare convergentă cu ceea ce se întâmplă în afara Uniunii Europene, în SUA, de exemplu, sau în țările asiatice.
Dacă vorbim de transformări tehnologice în materie de protecție a datelor, trebuie să menționăm că au existat deja câteva mari schimbări, înaintea perioadei contemporane. În anii ’70, s-a trecut de la gestionarea manuală a dosarelor la o gestionare automată, apoi s-a trecut de la rețelele analogice de comunicare la rețelele digitale. Acum am ajuns să trăim într-o societate informațională, în care schimbul de informație și Internetul cuprind totul. În fața acestor transformări, soluțiile au fost fie bazate pe aplicarea prevederilor legale deja existente – în Statele Unite, un caz important legat de problema criptării datelor a fost rezolvat pe baza aplicării Constituției de la 1781, fie pe adoptarea unui nou set de prevederi care să răspundă noilor situații.
Există o anumită ambiguitate în instrumentalizarea argumentelor legate de dezvoltarea tehnologică pentru a spune că viața privată nu mai există și că e imposibil să mai construim niște prevederi serioase care să protejeze acest spațiu privat. Chiar dacă suntem martorii unei dezvoltări tehnologice explozive, cred că mai există spațiu pentru viața privată, pe baza unei abordări structurale, care să țină cont de cetățeni și care să producă un set riguros de măsuri, adaptat acestor noi tehnologii, care să ne protejeze. UE va adopta noi măsuri în această privință, în 2015.
BIBLIOGRAFIE
Radu Carp, Simona Șandru, Dreptul la intimitate și protecția datelor cu caracter personal, Ed. All Beck, București, 2004
Tescoșiu Bianca, Instituții europene. Schimbări și adaptări din perspectiva extinderii UE, Editura C.H. Beck, București 2009.
Craig Paul, De Burda Grainne, Dreptul Uniunii Europene – Comentarii, jurisprudență și doctrină, Editura Hamangiu, București 2009.
Zanfir Gabriela, Protecția datelor personale. Dreptul persoanei vizate, Ed. C.H.Beck, București, 2015
Poenaru Emil, Drept Civil. Teorie Generală. Persoanele, Ed. All Beck, București, 2002
Schutze Robert, Dreptul constitutional al Uniunii Europene, Ed. Universitară, București, 2013
http://www.europarl.europa.eu/parliament
http://www.consilium.europa.eu
http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/14.
http://www.bailii.org/eu/cases/ECHR/2007/253.html.
http://www.publications.parliament.uk/pa/ldl99798/ldiudgmt/id970612/malik01.htm.
http: //www.hrothgar.co.uk/Y A WS/frmreps/three.htm.
http://mcs.open.ac.uk/kgw9/interesting/DataProtection.html
http://www.menschenrechte.ac.at/orig/00_2/Amann.pdf.
http://www.worldlii.Org/eu/cases/ECHR/l 984/10.html
http://www.foruminternet.org
www.dataprotection.ro
INDEX LEGISLATIV
Tratatul privind Comunitatea Europeană. Versiunea consolidată a Tratatului privind Uniunea Europeană și a tratatului privind funcționarea Uniunii Europene
Carta Drepturilor Fundamentale a Uniunii Europene
Directiva 95/46/CE a Parlamentului European Și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal Și libera circulație a acestor date
Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare Și privind libera circulație a acestor date
Legea nr. 677/2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
Legea privind infiintarea, organizarea și funcționarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, legea nr. nr. 102/2005, publicată în Monitorul Oficial, Partea I nr. 391 din 09/05/2005
Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), MO 2002 L 201.
Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE, (Directiva privind păstrarea datelor), MO 2006 L 105, declarată invalidă la 8 aprilie 2014.
BIBLIOGRAFIE
Radu Carp, Simona Șandru, Dreptul la intimitate și protecția datelor cu caracter personal, Ed. All Beck, București, 2004
Tescoșiu Bianca,Instituții europene. Schimbări și adaptări din perspectiva extinderii UE, Editura C.H. Beck, București 2009.
Craig Paul, De Burda Grainne,Dreptul Uniunii Europene – Comentarii, jurisprudență și doctrină, Editura Hamangiu, București 2009.
Zanfir Gabriela, Protecția datelor personale. Dreptul persoanei vizate, Ed. C.H.Beck, București, 2015
Poenaru Emil, Drept Civil. Teorie Generală. Persoanele, Ed. All Beck, București, 2002
Schutze Robert, Dreptul constitutional al Uniunii Europene, Ed. Universitară, București, 2013
http://www.europarl.europa.eu/parliament
http://www.consilium.europa.eu
http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/14.
http://www.bailii.org/eu/cases/ECHR/2007/253.html.
http://www.publications.parliament.uk/pa/ldl99798/ldiudgmt/id970612/malik01.htm.
http: //www.hrothgar.co.uk/Y A WS/frmreps/three.htm.
http://mcs.open.ac.uk/kgw9/interesting/DataProtection.html
http://www.menschenrechte.ac.at/orig/00_2/Amann.pdf.
http://www.worldlii.Org/eu/cases/ECHR/l 984/10.html
http://www.foruminternet.org
www.dataprotection.ro
INDEX LEGISLATIV
Tratatul privind Comunitatea Europeană. Versiunea consolidată a Tratatului privind Uniunea Europeană și a tratatului privind funcționarea Uniunii Europene
Carta Drepturilor Fundamentale a Uniunii Europene
Directiva 95/46/CE a Parlamentului European Și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal Și libera circulație a acestor date
Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare Și privind libera circulație a acestor date
Legea nr. 677/2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
Legea privind infiintarea, organizarea și funcționarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, legea nr. nr. 102/2005, publicată în Monitorul Oficial, Partea I nr. 391 din 09/05/2005
Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), MO 2002 L 201.
Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE, (Directiva privind păstrarea datelor), MO 2006 L 105, declarată invalidă la 8 aprilie 2014.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Accesul la Informațiile de Interes Public Vs. Protecția Datelor cu Caracter Personal. Studiu de Caz Reglementarea Accesului Liber la Informația de Interes Public în Legislația Uniunii Europene (ID: 126141)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.