Dreptul Fundamental la Protectia Datelor cu Caracter Personal
Contextul de cercetare și actualitatea temei
În zilele noastre, viața este practic de neconceput fără Internet. Cele mai importante activități umane – comunicarea profesională, tranzacțiile bancare, informarea și exprimarea personală – sunt efectuate pe platforme electronice și presupun un schimb vast de date personale, care generează o identitate virtuală a fiecăruia. Informația despre această identitate virtuală poate fi folosită în diverse moduri – de la acțiuni utile sau relativ benigne, cum ar fi furnizarea unor servicii publice de către stat sau oferirea publicității individualizate de către companii, și până la prejudicii serioase, cum ar furtul identității pentru delapidare de fonduri sau comiterea altor infracțiuni grave. În condițiile în care fiecare persoană lasă o amprentă tehnologică tot mai conturată, iar colectarea, stocarea și analiza datelor devine tot mai ușoară și accesibilă, apar o serie de îngrijorări legitime referitor la modul în care sunt utilizate și protejate datele personale ale fiecărui și, implicit, modul în care este garantat dreptul la viață privată.
Dreptul individului la viață privată, definit încă în 1890 într-o lucrare seminală a unor juriști americani Samuel D. Warren și Louis D. Brandeis ca și ”dreptul de a fi lăsat în pace [Eroare: nu s-a găsit sursa de referință, p. 214]” reprezintă un element de bază în funcționarea proceselor democratice și a societății deschise. Inițial, când elemente ale dreptului la viață privată au fost introduse în Constituția SUA din 1787 [Eroare: nu s-a găsit sursa de referință], dreptul la viață privată ținea în primul rând de protejarea proprietății și familiei individului împotriva unor acțiuni abuzive din partea statului. Odată cu dezvoltarea politică, economică și socială a țărilor occidentale, dreptul la viață privată a fost extins să includă protecția împotriva interferenței oricăror indivizi si organizații, iar conceptul de viață privată a fost lărgit și asupra creației, sentimentelor și încrederii individului [Eroare: nu s-a găsit sursa de referință p. 214].
Informația personală reprezintă un element indivizibil a vieții private, iar pentru a-și proteja viața privată, orice persoană trebuie să-și poată controla și proteja datele cu caracter personal. Dezvoltarea rapidă a tehnologiilor informaționale și de comunicare începând cu a doua jumătate a secolului 20, și în special în ultimele trei decenii, a generat schimbări semnificative în cantitatea și tipul de date personale cu care operează state, organizații și persoane. Colectarea, procesarea și transferul de date au devenit operațiuni accesibile și rapide, iar controlul și gestionarea datelor proprii a devenit nerealistă în absența unor reguli eficiente care ar permite protecția datelor cu caracter personal fără împovărarea persoanei cu o cantitate imensa de informații imposibil de înțeles și procesat. În aceste condiții, au apărut reguli și mecanisme care au consfințit dreptul la protecția datelor cu caracter personal per se; înrudit, dar separat de dreptul la viața privată.
Inițial, țări ca Germania, Suedia, și Franța au introdus reglementări cu privire la protecția datelor cu caracter personal în legislația națională. Însă odată cu creșterea necesității de schimb transfrontalier de date, a apărut necesitatea unor reglementări supra-naționale, care ar asigura că statele care fac schimb de date oferă același grad de protecție. Astfel, au fost elaborate un șir de instrumente europene care prevăd principiile, regulile și mecanismele de protecție a datelor cu caracter personal la nivel european. În domeniul protecției datelor personale, țările europene, în special statele-membre ale Uniunii Europene dispun de un sistem cu cel mai mare grad de protecție, în baza Convenției 108 a Consiliului Europei, instrumentele Uniunii Europene, precum și jurisprudența Curții Europene a Drepturilor Omului (CEDO) și a Curții Europene de Justiție (CEJ).
În Republica Moldova (RM), protecția datelor cu caracter personal este un domeniu nou, dezvoltarea căruia este impulsionat de dezvoltarea tehnologică pe de o parte, și de apropierea de Uniunea Europeană pe de altă parte. Procesele de integrare europeană presupun armonizarea regulilor și mecanismelor naționale la standardele europene în mai multe domenii, protecția datelor fiind unul dintre domeniile importante de cooperare. Asigurarea unui nivel adecvat de protecție a datelor cu caracter personal ține atât de asigurarea proceselor democratice și dezvoltarea dialogului politic între RM și UE, cât și de intensificarea colaborării în domenii cum ar fi dezvoltarea societății informaționale, cooperarea vamală, dezvoltarea serviciilor financiare, și activitatea polițienească [Eroare: nu s-a găsit sursa de referință].
Deși Legea privind protecția datelor cu caracter personal a intrat în vigoare în aprilie 2012 [Eroare: nu s-a găsit sursa de referință], punerea ei în aplicare practică este încă într-un stadiu incipient. Asigurarea funcționării efective a legii necesită creșterea nivelului de conștientizare cu privire la existența și conținutul dreptului la protecția datelor cu caracter personal și elaborarea mecanismelor specifice de asigurare a acestui drept în toate domeniile vieții. Dezvoltarea domeniului de protecție a datelor cu caracter personal este cu atât mai dificil în condițiile în care și în spațiul european acest drept este încă în plină evoluție, iar garantarea acestui drept se confruntă cu un șir de provocări analitice și practice.
Scopul și obiectivele tezei
În contextul celor expuse mai sus, scopul prezentei teze este de a prezenta un studiu al dreptului la protecția datelor cu caracter personal – evoluția, conținutul și perspectivele acestuia – în calitate de drept european fundamental, precum și analiza proceselor de dezvoltare a acestui drept în Republica Moldova în comparație cu reglementările relevante în UE. Principalele întrebări la care tinde să răspundă acest studiu sunt:
Cum a apărut și evoluat dreptul la protecția datelor cu caracter personal și cum a fost dezvoltat acest drept la nivel european? Care sunt elementele importante de context care au contribuit la consfințirea dreptului la protecția datelor cu caracter personal în calitate de drept fundamental, separat de dreptul la viață privată? Care este dinamica dezvoltării reglementărilor relevante în UE și statele-membri ale UE?
În ce constă dreptul fundamental la protecția datelor cu caracter personal? Care sunt principiile și regulile consfințite în principalele instrumente juridice ale UE cu privire la protecția datelor cu caracter personal? Care sunt provocările și problemele conceptuale de definire și aplicare a acestui drept la nivel european?
Care sunt principiile și regulile consfințite în principalele instrumente juridice cu privire la protecția datelor cu caracter personal în Republica Moldova? Cât de compatibile sunt regulile naționale cu legislația și jurisprudența europeana? Care sunt provocările și problemele conceptuale de definire și aplicare a acestui drept la nivel național?
Care sunt perspectivele de dezvoltare a dreptului la protecția datelor cu caracter personal în Republica Moldova, în contextul procesului de integrare europeană. Care sunt îmbunătățirile care pot fi efectuate pentru asigurarea protecției efective a datelor și respectarea deplină a acestui drept în Republica Moldova?
Aceste întrebări au fost utilizate pentru a delimita sfera de cercetare și au ghidat selectarea metodologiei și surselor de studiu.
Metodologia cercetării
Prezenta teză se bazează pe utilizarea metodelor științifice generale aplicate în activitatea de cunoaștere. Studiul se bazează pe o revizuire și analiză amănunțită a literaturii de specialitate și a actelor legislative și normative relevante. Autorul a pornit de la constatările făcute în câteva surse de bază, care prezintă o sinteză bine fundamentată a aspectelor de cercetare relevante pentru această teză. În special, au fost analizate amănunțit lucrările scrise de Gloria Gonzalez Fuster [Eroare: nu s-a găsit sursa de referință], membrii Grupului de Lucru al Art. 29 privind protecția datelor, și experții unor autorități specializate, cum ar fi Agenția UE pentru Drepturile Fundamentale. Un rol important în analiza conceptului cu privire la protecția datelor cu caracter personal îi revine jurisprudenței CEDO și CEJ. Analiza acestor surse a fost complementată de prevederile instrumentelor juridice relevante, în special Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 2005 pentru protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date și Legea RM Nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal.
Metodele principale de analiză utilizate în prezenta teză sunt:
Metoda istorică, utilizată pentru a înțelege evoluția dreptului la protecția datelor cu caracter personal și a contextualiza conceptul acestuia la nivel național și european.
Metoda comparativă, utilizată pentru a analiza principiile și reglementările cu privire la protecția datelor valabile într-un sistem de referință în relație cu cele ce funcționează într-un alt sistem. Această metoda a fost folosită în special pentru a determina corespunderea reglementărilor naționale cu cele europene.
Metoda de sinteză și triangulare, utilizată pentru analiza logică a informației colectate din diverse surse și asigurarea obiectivității judecăților și concluziilor propuse.
Limitările studiului derivă din paupertatea cercetărilor științifice în domeniu, în special în ce privește conceptualizarea, definirea și respectarea dreptului la protecția datelor în Republica Moldova. De asemenea, pot fi constatate și anumite limitări din punct de vedere lingvistic, datorate studierii surselor în trei limbi – română, engleză și franceză.
Importanța teoretică a tezei
Domeniul protecției datelor cu caracter personal este relativ nou și puțin studiat în cercetările academice din RM. În aceste condiții, prezenta teză vine să suplinească acest gol și să contribuie la dezvoltarea bazei de cunoștințe referitor la dreptul la protecția datelor cu caracter personal. În special, teza dezvoltă o viziune amplă referitor la evoluția istorică a acestui drept în spațiul european și național; definește și conceptualizează esența și conținutul acestui drept; examinează sistematic reglementările juridice cu privire la protecția datelor în UE și în RM și relevă punctele forte și deficiențele legislației în domeniu. Teza revizuie literatura științifică în domeniu atât pe plan internațional, cât și pe plan intern și identifică direcții de cercetare pe viitor.
Mai mult ca atât, teza are și valoare aplicativă. Luând în considerație aspirația RM la integrarea europeană și necesitatea de armonizare a legislației cu normele UE, analiza comparativă a reglementărilor juridice din UE cu actele normative naționale, prezentate în teză, permite evaluarea nivelului de aproximare a legislației și elaborarea unor strategii de acțiune pe viitor. Astfel, conținutul prezentei teze poate fi utilizat în creșterea capacităților umane și instituționale, în special a persoanelor și organizațiilor care se ocupă de asigurarea în practică a dreptului la protecția datelor cu caracter personal. Concluziile tezei pot servi la perfecționarea legislației în domeniu și elaborarea unor acte normative în direcții specifice, cum ar fi aspecte de asigurare a securității în activitatea organelor de ocrotire a normelor de drept. În sfârșit, ideile prezentate pot fi utilizate pentru activități de comunicare orientate spre creșterea nivelului de conștientizare a populației referitor la esența, conținutul, și modul de asigurare a dreptului fundamental la protecția datelor cu caracter personal.
Structura tezei
Prezenta teză este organizată în trei capitole. Fiecare capitol este, la rândul său, organizat în paragrafe, care reflectă principalele elemente de studiu din fiecare capitol.
Caprezentei teze poate fi utilizat în creșterea capacităților umane și instituționale, în special a persoanelor și organizațiilor care se ocupă de asigurarea în practică a dreptului la protecția datelor cu caracter personal. Concluziile tezei pot servi la perfecționarea legislației în domeniu și elaborarea unor acte normative în direcții specifice, cum ar fi aspecte de asigurare a securității în activitatea organelor de ocrotire a normelor de drept. În sfârșit, ideile prezentate pot fi utilizate pentru activități de comunicare orientate spre creșterea nivelului de conștientizare a populației referitor la esența, conținutul, și modul de asigurare a dreptului fundamental la protecția datelor cu caracter personal.
Structura tezei
Prezenta teză este organizată în trei capitole. Fiecare capitol este, la rândul său, organizat în paragrafe, care reflectă principalele elemente de studiu din fiecare capitol.
Capitolul 1 descrie evoluția dreptului fundamental la protecția datelor cu caracter personal în spațiul european din perspectivă istorică. În acest capitol este analizată relația între dreptul la viață privată și protecția datelor cu caracter personal și relevat modul în care dreptul la protecția datelor a evoluat din aspect al dreptului la viață privată, conform doctrinei americane, într-un drept sui generis consfințit în Carta Drepturilor și Libertăților Fundamentale a UE.
Capitolul 2 analizează conținutul dreptului fundamental la protecția datelor cu caracter personal, în special termenii principali în acest domeniu, principiile pe care se bazează acest drept, precum și condițiile de prelucrare a datelor în conformitate cu legislația UE. De asemenea, acest capitol scoate în evidență deficiențele existente în prevederile juridice aplicabile.
Capitolul 3 prezintă dreptul la protecția datelor cu caracter personal în Republica Moldova, trecând în revistă principalele instrumente juridice aplicabile și făcând o analiză comparativă a conformității reglementărilor naționale cu cele europene.
În sfârșit, teza formulează concluziile care derivă din analiza efectuată și prezintă câteva recomandări și direcții pentru cercetare ulterioară.
1. EVOLUȚIA DREPTULUI FUNDAMENTAL LA PROTECȚIA DATELOR
Dreptul fundamental european la protecția datelor cu caracter personal a evoluat pe parcursul mai multor decenii, întâi prin redefinirea dreptului la viață privată în doctrina americană, și apoi prin recunoașterea reglementărilor constituționale ale statelor membre ale UE, în special în jurisprudența CEDO și CEJ. Dreptul fundamental la protecția datelor cu caracter personal a fost în final recunoscut în calitate de drept sui generis odată cu consfințirea unui articol separat în Carta Drepturilor și Libertăților Fundamentale a UE. Acest capitol trece în revistă principalele etape de dezvoltare a dreptului la protecția datelor și contextualizează modul de definire a conținutului acestui drept.
1.1. Relația între dreptul la viață privată și protecția datelor cu caracter personal
Dreptul la protecția datelor cu caracter personal, deși consfințit în calitate de drept fundamental separat în instrumentele juridice europene, inițial a derivat din dreptul la viață privată. Primele reglementări juridice privind prelucrarea informațiilor referitor la persoane au apărut în SUA și anumite state europene în anii 1970, având drept scop apărarea vieții private a individului. Astfel, dreptul la protecția datelor a evoluat în procesul de redefinire a conceptului și elementelor dreptului la viață privată în contextul dezvoltării tehnologiilor informaționale și necesitatea reglementării regimului de prelucrare electronică a informațiilor. Așadar, pentru a înțelege modul în care s-a dezvoltat dreptul la protecția datelor, este necesară întâi analiza dezvoltării conceptului de viață privată.
Noțiunea de viață privată
Noțiunea de viață privată are mai multe fațete, derivate atât din semnificația termenului ”privat”, cât și din felul în care această noțiune s-a dezvoltat în sens juridic. Adjectivul „privat” derivă din latinescul privatus, care a fost utilizat în mod obișnuit în contrast cu publicus și communis, și a însemnat ca ceva ce aparține individului, propriu individului. Privatum ca substantiv latin se referă la bunuri proprii individuale, iar idiomul în privato însemna „în interiorul casei”. În consecință, viața privată poate fi înțeleasă ca protejarea a ceea ce este privat – legat de viața de familie, sau de domiciliu – opus la ceea ce este public, fie că este vorba de public referindu-se la autoritatea statului, sau la comunitate sau la societate în general, fie că este vorba de public ca ceea ce este comun, expus, împărțit celorlalți. Viața privată mai poate fi înțeleasă ca atingerea a ceea ce este privat, în sens al individului, personal, sau propriu: din acest punct de vedere, pentru a pretinde respect de la cineva pentru "viața privată", o persoană trebuie să-și afirme dreptul de a trăi așa cum își dorește, spre deosebire de a fi controlat [Eroare: nu s-a găsit sursa de referință, p. 22].
Așadar, termenii de ”viață privată” și ”privat” sunt uneori interpretați în opoziție cu ceea ce este public, dar nu întotdeauna. De fapt, viața privată ca o noțiune juridică care tinde să sporească protecția individului a fost de multe ori conceptualizată ca ceva asociat termenului de "privat", în sens de individual, personal, propriu. Într-o lucrare recentă de sinteză, cercetătoarea Gloria Gonzalez Fuster trece în revistă mai multe teorii elaborate de oamenii de știință referitor la noțiunea de viață privată [Eroare: nu s-a găsit sursa de referință, p. 22-26]:
Viața privată asociată cu libertatea: unii cercetători au descris-o ca fiind cetatea libertății personale, ceea ce asigură o libertate de a stabili căi individuale în viață, precum și potențialul de a rezista interferențelor cu această libertate, ca libertate individuală prin excelență, sau ca protecția libertății în sine.
Viața privată asociată cu noțiunea de individualitate : în acest sens, viața privată este rezultatul construcției istorice a persoanei, cu origini la începutul creștinismului, dezvoltată prin Evul Mediu, și consolidată în Iluminism și în constituționalismul modern. Viața privată în această lumină nu se referă doar la separația statului de viața privată a oamenilor, ci mai degrabă reprezintă o barieră de protecție a persoanelor fizice împotriva puterii arbitrare statului. Prin ideea de individualitate, viața privată ar fi, de asemenea, direct legată autonomie.
Viața privată cuplată cu noțiunea de demnitate umană : viața privată este inerentă condiției umane pentru a se dezvolta în mod liber, și prin urmare, demnitatea umană trebuie să presupună recunoașterea unui grad de autodeterminare. Aici, individualitatea este identificată cu dezvoltarea deplină a personalității, un concept asociat cu noțiunea de personalitate, sau calitatea de a fi o ființă umană. Viața privată, plina dezvoltare a personalității și personalitatea sunt uneori, conectate la conceptul de identitate [Eroare: nu s-a găsit sursa de referință, p. 22], noțiune cu mai multe sensuri potențiale relevante: în special, identitatea poate fi imaginată ca personalitate, sau individualitate, dar și ca ceea ce permite identificarea, în sensul de a fi suma lucrurilor care identifică.
Viața privată ca și control asupra informațiilor personale
În dreptul constituțional comparat, recunoașterea unui drept la viață privată ca un drept unitar este un fenomen tardiv [Eroare: nu s-a găsit sursa de referință, p. 23]. El a fost precedat prin consacrarea altor noțiuni, cum ar fi inviolabilitatea domiciliului [Eroare: nu s-a găsit sursa de referință, p. 62-63], sau confidențialitatea corespondenței, noțiuni juridice care au fost mai târziu considerate a fi elemente incluse într-un drept general la viață privată, înțeles ca un drept-umbrelă [Eroare: nu s-a găsit sursa de referință, p. 529]. Ramificațiile conceptuale ale diferitor înțelesuri ale termenului de viața privată, și dificultățile care apar aplicarea lor juridică au fost analizate și discutate pe larg în literatura juridică [Eroare: nu s-a găsit sursa de referință, p. 24]. În special, cercetătorii au analizat situațiile de interferență cu alte concepte cum ar fi libertatea, demnitatea, sau personalitatea. Totuși, noțiunea de viață privată mai are o semnificație importantă, care ar putea fi adăugată la categoriile menționate mai sus, din care a și derivat de fapt dreptul la protecția datelor cu caracter personal, și anume: viața privată asociată cu controlul asupra informațiilor personale.
Originalitatea conceptului de viață privată ca și control asupra informațiilor personale este cel mai bine înțeleasă prin analiza contextului istoric în care a apărut acest concept. Această semnificație a termenului de ”viață privată” s-a cristalizat în literatura juridică încă de la sfârșitul anilor 1960 în contextul apariției computerelor și progresului tehnologic. În SUA, a fost dezvoltată doctrina ”practicilor informaționale corecte [Eroare: nu s-a găsit sursa de referință, p. 48]”, care a subliniat necesitatea de a impune obligații celor care prelucrează informații despre persoane, dar și de a acorda o serie de drepturi pentru persoanele ale căror informații sunt prelucrate – în special, dreptul de a ști despre o astfel de prelucrare și de a rectifica orice inexactități. La baza acestui drept a fost pusă posibilitatea persoanei de a cunoaște ce informații despre ea sunt deținute de alții.
În aceeași perioadă, și un șir de țări europene au încercat să rafineze abordarea protecției individului în raport cu progresului tehnologic. Însă în Europa, discuțiile despre esența dreptului la viață privată au fost re-direcționate spre reglementarea practică a problemei ”protecției datelor”. Astfel, utilizarea termenului de ”viață privată” nu și-a găsit echivalentul exact în țările europene, acestea concentrându-se în mod specific pe aspectele legate de protecția individului și procesarea datelor. Franța și Suedia au fost, împreună cu Germania, printre primele țări europene să adopte instrumente juridice specifice pentru a reglementa prelucrarea datelor cu caracter personal, în scopul de a consolida protecția juridică a persoanelor fizice [Eroare: nu s-a găsit sursa de referință p. 49].
Doctrina americană
Dreptul la viață privată este un drept constituțional recunoscut în SUA. Existența acestui drept a fost pentru prima dată susținută de juriștii americani Samuel Warren și Louis Brandeis într-un celebru articol din 1890, în care au rezumat conținutul dreptului la formula „dreptul de a fi lăsat în pace [Eroare: nu s-a găsit sursa de referință, p. 199]”. Pe la mijlocul anilor 1960, atunci când dezvoltarea tehnologică a generat abordarea problemei computerelor și informațiilor personale, termenul „viață privată” dobândise în SUA două semnificații majore:
O noțiune de sinteză de drept civil, descrisă într-un articol influent în 1960, care acoperă intruziunea în afacerile private ale persoanei, divulgarea unor fapte particulare, sau utilizarea imaginii unei persoane [Eroare: nu s-a găsit sursa de referință, p. 28];
Drept constituțional, recunoscut în mod explicit de Curtea Supremă a SUA în 1965 ca urmare a interpretării extinse a Declarației Drepturilor (Bill of Rights), care se referă la dreptul persoanelor fizice de a refuza interferențe din partea autorităților publice . Din această perspectivă, dreptul la viață privată poate fi privit ca un drept de a fi liber de intervenția statului, în ideea că trebuie să existe unele libertăți dincolo de orice control al statului, mai ales într-o democrație. Acest drept la viață privată ar include și un drept la autonomie și autodeterminare (de exemplu, prin asigurarea unui drept la avort) [Eroare: nu s-a găsit sursa de referință, p. 73].
Deși mașinile de prelucrare electronică au apărut pe piața americană prin mijlocul anilor 1950, îngrijorările referitor la impactul tehnologiei asupra vieții private au început să se contureze abia în deceniul următor. Specialiști în informatică au fost primii care au avertizat că prelucrarea „rapidă și ieftină” a informațiilor prin intermediul calculatoarelor, corelată cu disponibilitatea crescândă a datelor pentru agențiile guvernamentale și organizații private, prezintă o amenințare la viața privată. Astfel, în 1961, președintele unei companii americane, a avertizat că din ce în ce mai multă informație despre persoane a fost stocată în computere fără ca acest fapt să fie observat, dar că datele într-o bună zi ar putea fi introduse într-un singur aparat, lăsând intimitatea individului la discreția celui care controlează mașina [Eroare: nu s-a găsit sursa de referință, p. 299]. În 1964, autorul american Vance Packard a publicat cartea „Societatea nudă”, în care a evidențiat pericolele stocărilor computerizate. În opinia sa, tehnologiile noi pun în pericol nu numai viața privată, dar, de asemenea, și mai ales, numeroase alte drepturi, cum ar fi „dreptul de a fi diferit”, „dreptul de a spera pentru iertare tolerantă sau trecerea cu vederea asupra prostiilor din trecut, erorilor, umilințelor, sau păcatelor minore”, sau „dreptul de a face un nou început [Eroare: nu s-a găsit sursa de referință, p. 23]”.
În contextul acestor tendințe și a preocupărilor generale referitor la impactul tehnologiei moderne asupra vieții private, în 1962 Comitetul Special pentru Știință și Drept al Asociației Baroului orașului New York a propus să efectueze o anchetă oficială cu privire la acest subiect. Ancheta a culminat în 1967 cu publicarea cărții „Confidențialitate și libertate” de conducătorul cercetării Alan F. Westin. În carte, Westin constată faptul că noile tehnologii reprezintă o problemă gravă în sensul vieții private și oferă o nouă definiție a acestui concept, care a fost calificată mai târziu ca o viziune de pionierat referitor la viața privată ”informațională”. Astfel, Westin definește viața privată ca fiind dreptul indivizilor, grupurilor sau instituțiilor de a stabili pentru când, cum și în ce măsură informațiile despre ei sunt comunicate altora [Eroare: nu s-a găsit sursa de referință, p. 7]. Această definiție este centrată pe conceptul de informație, iar caracteristica de bază a vieții private în acest sens constă în capacitatea persoanelor de a exercita un anumit control asupra folosirii informațiilor personale.
Cercetările referitor la controlul indivizilor asupra informațiilor personale au început să influențeze și autoritățile publice în SUA. La începutul anilor 1970, Congresul SUA a adoptat Legea cu privire la raportarea echitabilă a situației financiare (Fair Credit Reporting Act [Eroare: nu s-a găsit sursa de referință]), care prevedea clauze împotriva utilizării abuzive a informațiilor financiare deținute de agențiile de creditare. În același context, în 1973, un comitet consultativ creat de Ministrul Sănătății, Educației și Protecției Sociale a emis un raport în care se conținea o analiză detaliată cu privire la modul de soluționare a problemelor legate de procesarea automată a datelor.
Raportul comitetului consultativ a stat la baza creării doctrinei de ”practici echitabile de informare”. Raportul a pornit de la definiția lui Westin, centrată pe utilizarea informațiilor personale, și s-a concentrat pe prelucrarea automată a „datelor cu caracter personal”, o categorie definită ca fiind compusă din „toate datele care descriu ceva despre un individ”, sau „informații identificatoare”, sau „informații în formă identificabilă despre o persoană [Eroare: nu s-a găsit sursa de referință]”. Raportul a stabilit cinci principii fundamentale de prelucrare a datelor, calificate ca și aspecte diferite a practicilor echitabile de informare, inclusiv posibilitatea persoanelor de a ști ce tip de informații referitor la ele există și de a corecta orice inexactități, precum și responsabilitatea organizațiilor de a preveni abuzul de date.
Raportul comitetului consultativ, dar și un șir de anchete parlamentare cu privire la problemele legate de colectarea, stocarea și utilizarea datelor cu caracter personal de către guvernul federal, au contribuit la adoptarea Legii cu privire la viața privată [Eroare: nu s-a găsit sursa de referință] la sfârșitul anului 1974. Această lege a prevăzut garanții pentru protecția vieții private prin adoptarea a opt principii prevăzute pentru utilizarea înregistrărilor despre persoane: principiul prelucrării legale, limitării și specificității scopului, calității datelor, pertinența datelor, exactitatea datelor, limitarea duratei de păstrare a datelor, excepții pentru cercetare științifică, principiul prelucrării corecte și principiul responsabilității [Eroare: nu s-a găsit sursa de referință, p. 63-64]. Un detaliu important este că legea se aplica tuturor înregistrărilor despre persoane, nu doar celor computerizate. În plus, legea a descris dreptul la viața privată ca un drept ce privește în mod direct colectarea, menținerea, utilizarea, și difuzarea de informații personale, consfințind astfel protecția datelor cu caracter personal ca fațeta modernă a dreptului la viață privată [Eroare: nu s-a găsit sursa de referință, p. 36].
Evoluțiile social-juridice descrise mai sus au avut repercusiuni semnificative nu doar în SUA, dar și în restul lumii. Îngrijorările legate de efectul tehnologiilor informaționale asupra vieții private creșteau și în Europa. Totuși, abordările europene referitoare la computere și securitatea informațiilor personale nu au generat re-definirea imediată a dreptului la viață privată, ci explorarea domeniului specific de protecție a datelor cu caracter personal.
Dreptul la viață privată în dreptul internațional
Analiza evoluției dreptului la viață privată, ca noțiune juridică cu semnificațiile propuse în literatura de specialitate americană prezintă o serie de provocări de drept comparat. Aceste provocări țin de terminologia utilizată în diverse limbi, precum și de schimbarea abordărilor în timp. Aceste aspecte au fost cu atât mai dificile în Europa, în special atunci când a fost nevoie de elaborarea unui concept european unic.
Spre sfârșitul anilor 1960, atunci când în america se activizau dezbaterilor despre impactul tehnologiilor informaționale asupra vieții privat, dreptul internațional conținea deja câteva prevederi de bază care puteau servi drept referință în discuțiile cu privire la dreptul la viață privată. Declarația Universală a Drepturilor Omului (DUDO), adoptată în 1948, stabilește în Art. 12 că nimeni nu poate fi supus la imixtiuni arbitrare în viața sa personală, de familie, acasă sau în corespondența sa, nici la atingeri aduse onoarei și reputației lui [Eroare: nu s-a găsit sursa de referință]. DUDO, însă, nu definește niciuna dintre aceste noțiuni. În 1966, Adunarea Generală a ONU a adoptat Pactul internațional cu privire la drepturile civile și politice (PIDCP), al cărui Art. 17 a reflectat aproape cuvânt cu cuvânt conținutul Art. 12 din DUDO, fără a oferi vreo definiție a vieții private [Eroare: nu s-a găsit sursa de referință]. Convenția Europeană a Drepturilor Omului (CEDO) [Eroare: nu s-a găsit sursa de referință], semnată în 1950, se bazează pe DUDO, dar în ce privește viața privată, nu susține exact aceeași abordare terminologică. Deși Art. 8 al CEDO reflectă conținutul Art. 12 din DUDO, textul nu include nici o mențiune de „onoare” și „reputație”, cuvinte care au fost respinse de redactorii CEDO din cauza neclarității lor. În plus, aceste și alte instrumente de drept internațional utilizează termeni diferiți în limbile engleză și franceză, făcând și mai dificilă interpretarea conținutului dreptului [Eroare: nu s-a găsit sursa de referință, p. 7].
Pe fundalul discuțiilor cu privire la semnificația vieții private în SUA, și luând în considerație neclaritățile terminologice din dreptul internațional, la sfârșitul anilor 1960, Comisia Internațională a Juriștilor (CIJ), o organizație neguvernamentală dedicată promovării drepturilor omului, a început cercetarea mai profundă a noțiunii de viața privată. În 1967, secțiunea suedeză a organizației a găzduit în Stockholm o reuniune specială, denumită Conferința Nordică a Juriștilor cu privire respectarea dreptului la viața privată. Un raport extins, ce conținea și un studiu comparativ pregătit în mod special pentru Conferință a constatat discrepanțe terminologice majore în domeniu, stabilind că multe țări oferă elemente de protecție vieții private prin diferite noțiuni și mecanisme [Eroare: nu s-a găsit sursa de referință, p. 21].
Însă studiul CIJ din 1967 nu s-a referito în mod specific la problema vieții private în lumina dezvoltării tehnologiilor informaționale. Totuși, la sfârșitul anilor 1960 și începutul anilor 1970, agențiile specializate ale ONU au început să studieze această problemă, iar UNESCO a angajat CIJ să pregătească o nouă cercetare comparativă. În 1972, CIJ a publicat studiul final, bazat în mare parte pe lucrările lui Westin și pe un studiu propriu al secției britanice a CIJ, care a inclus o anexă separată referitor la problema interacțiunii computerului și vieții private. Studiul a remarcat faptul că utilizarea tehnologiei pentru colectarea, stocarea și de publicarea datelor cu caracter personal este una din cele mai grave amenințări la viața privată, iar protejarea dreptului la viață privată necesită nu reglementări generale, ci legislație ad-hoc, care să garanteze persoanelor dreptul de a ști ce date despre ele sunt prelucrate, de a rectifica datele eronate și de a deține controlul asupra accesului la această informație. Un element important al studiului este recomandarea de a crea o autoritate analogică cu instituția de ombudsman, cu mijloace tehnice care să îi permită să monitorizeze respectarea regulilor, și care ar avea puterea de a primi și de a examina plângeri [Eroare: nu s-a găsit sursa de referință, p. 578]. Astfel, în căutare de o abordare modernă la protecția vieții private, CIJ a interpretat dreptul la viață privată ca control asupra utilizării datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință, p. 41].
Răspândirea gândirii lui Westin care a definit dreptul la viață privată ca și capacitatea de a controla informațiile personale în țările europene s-a manifestat prin discuții și cercetări cu privire la semnificația termenilor și noțiunilor engleze utilizate în literatura americană. Deși unele țări, cum ar fi Olanda, au adoptat terminologia engleza [Eroare: nu s-a găsit sursa de referință, p. 45], în multe țări aceste cercetări s-au concentrat pe elemente specifice legate de procesarea datelor personale. Astfel, Germania, Franța și Suedia au fost printre primele țări europene care au adoptat instrumente juridice specifice pentru reglementarea gestiunii de date cu caracter personal și consolidarea protecției juridice a indivizilor.
1.2. Evoluția conceptului de ”drepturi fundamentale” ale UE
Dezvoltarea actelor normative și a drepturilor fundamentale ale UE a decurs progresiv. Ele au fost stimulate în mod direct de o rezistență a sistemelor juridice naționale la impactul legislației UE, care se pretindea a fi legea supremă [Eroare: nu s-a găsit sursa de referință, p. 924]. Statele-membre reticente au acceptat supremația dreptului UE în cele din urmă doar cu condiția că legislația UE va respecta drepturile fundamentale prevăzute de legislația lor internă. La rândul său, UE a dezvoltat un sistem propriu de protecție a drepturilor fundamentale care a promis să facă acest lucru, dar indirect: nu garanta asigurarea drepturilor fundamentale la nivel național, ci mai degrabă a drepturilor fundamentale ale UE, inspirate din tradițiile naționale comune ale statelor membre.
Noțiunea de ”drepturi fundamentale”
Noțiunea de ”drepturi fundamentale” nu are o semnificație uniformă pe plan internațional. Drepturile protejate și recunoscute în dreptul internațional sunt mai des denumite "drepturile omului", distincte de ”drepturile civile”. Mai mult ca atât, însăși expresia”drepturi fundamentale” nu este folosită frecvent în instrumentele juridice internaționale. Spre exemplu, Declarația Universală a Drepturilor Omului (DUDO) menționează în mod explicit drepturile fundamentale, dar nu pentru a se referi la drepturile prevăzute în propriile sale dispoziții, ci pentru a face referință la drepturile fundamentale garantate de Constituția unui stat sau legile naționale [Eroare: nu s-a găsit sursa de referință].
În UE, însă, evoluția relațiilor între țările-membre și Uniune a dictat definirea termenului și crearea unui sistem european de protejare a drepturilor fundamentale. Astfel, în contextul UE, expresia ”drepturi fundamentale” se referă de obicei la drepturile protejate de legislația UE, în timp ce expresia ”drepturile omului” desemnează în mod obișnuit drepturi recunoscute în dreptul internațional. Legislația UE este foarte influențată și de expresia "libertățile fundamentale", care se referă în mod tradițional la libertățile fundamentale ale pieței comune: libera circulație a mărfurilor, persoanelor, serviciilor și capitalului [Eroare: nu s-a găsit sursa de referință, p. 166].
Expresia "drepturi fundamentale" este frecvent utilizat pentru a face aluzie la drepturi cărora le sunt acordate un statut special de către o ordine juridică. Această ordine juridică poate fi națională sau de altă natură. Statutul special al drepturilor fundamentale constă într-un grad mai mare de protecție, prevăzut de obicei printr-o normă constituțională, dar nu întotdeauna. În plus, protejarea acestor drepturi poate fi garantată prin dezvoltare unor institute procedurale speciale [Eroare: nu s-a găsit sursa de referință, p. 359]. Utilizarea expresiei ”drepturi fundamentale” pentru a descrie drepturile special protejate de ordinile juridice naționale este frecvent asociată cu influența doctrinei germane cu privire la Grundrechte ("drepturi fundamentale"), care recunoaște anumite drepturi ca având un „conținut esențial” ce nu poate fi restricționat și le conferă un control sporit de constituționalitate [Eroare: nu s-a găsit sursa de referință, p. 165].
Sintagma ”drepturi fundamentale” a câștigat popularitate în țările-membre ale UE în ultimele decenii. Această noțiune a fost încorporată în constituțiile Portugaliei, Spaniei, Țărilor de Jos și Finlandei și a devenit în zilele noastre o referință răspândită, în ciuda varietății de concepte și denumiri utilizate în diverse țări pentru a desemna drepturile cu un statut special. Expresia drepturile fundamentale este, de asemenea, utilizată pe larg în jurisprudența diferitelor Curți Constituționale ale statelor-membre UE, inclusiv în cele de dreptul comun [Eroare: nu s-a găsit sursa de referință, p. 142].
Convenția Europeană pentru Apărarea Drepturilor Omului și a Libertăților Fundamentale din 1950 nu include nici o referire la drepturile fundamentale, însă această expresie a fost utilizată tot mai mult de Curtea Europeană a Drepturilor Omului (CEDO), interpretul suprem al prevederilor Convenției. Începând cu anul 2000, Curtea a folosit relativ frecvent acest termen în motivarea hotărârilor sale [Eroare: nu s-a găsit sursa de referință, p. 166].
Evoluția drepturilor fundamentale în dreptul comunitar
Tratatele originale de constituire a Comunităților Europene nu conțineau nici o referire explicită la drepturile omului sau la drepturile fundamentale. Mai mult ca atât, pe parcursul multor ani, Curtea Europeană de Justiție (CEJ), instanța supremă de interpretare a legilor Comunității Europene (CE), s-a arătat indiferentă față de această categorie de drepturi. De exemplu, în cazul Stork & Cie. v High Authority din 1959, CEJ a considerat că nu avea competența de a examina dacă o decizie a Comunității Europene a Cărbunelui și Oțelului constituie o încălcare a drepturilor fundamentale recunoscute de Constituția unui stat membru [Eroare: nu s-a găsit sursa de referință].
Refuzul inițial al CEJ de a se pronunța cu privire la compatibilitatea legislației comunitare cu drepturile fundamentale naționale a fost perceput ca fiind extrem de problematic de un număr de state membre, și până la sfârșitul anilor 1960, CEJ a decis să renunțe la poziția sa controversată. CEJ a început să afirme că drepturile fundamentale sunt parte integrantă a principiilor generale ale dreptului comunitar pe care Curtea care este obligată să le asigure. Trei hotărâri au marcat această schimbare jurisprudențială: Stauder [Eroare: nu s-a găsit sursa de referință] în 1969; Internationale Handelsgesellschaft [Eroare: nu s-a găsit sursa de referință] în 1970; și Nold II [Eroare: nu s-a găsit sursa de referință], în 1974. În aceste trei hotărâri de referință, CEJ a stabilit doctrina potrivit căreia drepturile fundamentale sunt o parte integrantă din principiile generale ale dreptului comunitar, și că aceste drepturi derivă din tradițiile constituționale comune statelor membre, precum și din tratatele internaționale de protecție a drepturilor omului la care statele membre la care statele membre au colaborat sau la care au aderat [Eroare: nu s-a găsit sursa de referință]. Convenția Europeană a Drepturilor Omului are o semnificație specială în acest sens.
Cu toate acestea, Curtea Constituțională Federală Germană a precizat în 1974 că, din punctul său de vedere, explicația CEJ nu este satisfăcătoare. Curtea Constituțională Federală a declarat că va continua să trateze legile fundamentale germane ca fiind superioare dreptului comunitar, până când CE nu va emite un catalog în scris al drepturilor fundamentale [Eroare: nu s-a găsit sursa de referință]. Instituțiile CE aveau două soluții posibile pentru depășirea situației: fie să adere în mod formal și oficial la un instrument în domeniul drepturilor omului, cum ar fi CEDO, fie să elaboreze un instrument juridic propriu cu privire la drepturile fundamentale [Eroare: nu s-a găsit sursa de referință, p. 169].
Deși posibila creare a unei noi liste de drepturi a fost avansată într-un document de discuție privind viitorul Uniunii Europene deja în 1975, a trecut mai mult de un deceniu până când UE a adoptat un instrument juridic propriu cu privire la drepturile fundamentale. Între timp, în 1977, Parlamentul, Consiliul și Comisia Europeană au semnat o declarație oficială comună favorabilă doctrinei CEJ, declarându-și angajamentul pentru protejarea drepturilor fundamentale ca principii generale ale dreptului comunitar. Ei au subliniat importanța majoră pe care o acordă protecției drepturilor fundamentale, astfel cum reiese în special din constituțiile statelor membre și Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale [Eroare: nu s-a găsit sursa de referință, p. 169].
1.3. Consfințirea dreptului fundamental la protecția datelor în UE
Dreptul fundamental al UE la protecția datelor a fost consfințit în timp, întâi prin aplicarea doctrinei CEJ cu privire la drepturile fundamentale și apoi prin prevederea expresă inclusă în Carta UE a Drepturilor Fundamentale. După cum este menționat în paragraful precedent, conform doctrinei CEJ, acest drept a derivat din tradițiile constituționale comune ale statelor membre, și din tratatele internaționale privind drepturile omului, printre care CEDO este considerată ca având o semnificație specială.
Dreptul la protecția datelor cu caracter personal în statele-membre ale UE
Reglementările cu privire la procesarea informațiilor despre persoane au fost adoptate de țările europene în câteva etape. Primele state care au adoptat legi cu privire la protecția datelor cu caracter personal au fost statul federal german Hesse în Germania, Suedia și Franța. Aceste legi au inițiat un prim val de reglementări în acest domeniu, care a început în 1970 și s-a încheiat în 1981 odată cu adoptarea Convenției Consiliului Europei pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal (Convenția 108), care a devenit apoi principala referință pentru toți legiuitorii europeni [Eroare: nu s-a găsit sursa de referință, p. 56].
Prima lege menită să reglementeze protecția datelor cu caracter personal a fost legea landului Hesse din Republica Federativă Germană, adoptată în octombrie 1970. Legea reglementa utilizarea informațiilor stocate în dosarele guvernamentale și prevedea modul de utilizare, stocare și prelucrare a datelor cu caracter personal din aceste dosare. Legea obliga înregistrarea, transmiterea și stocarea datelor într-un mod care nu permitea consultarea, modificarea, extragerea sau distrugerea acestor date de o persoană neautorizată. Legea prevedea, de asemenea, norme de confidențialitate obligatorii pentru autoritățile responsabile, precum și pentru personalul utilizator. În plus, legea din Hesse conținea dispoziții privind drepturile persoanelor vizate în informațiile stocate, și introducea controlul instituțional instituționale sub forma unui comisar pentru protecția datelor [Eroare: nu s-a găsit sursa de referință, p. 5]. Această lege a fost pe larg apreciată în spațiul european.
Prima lege națională din Europa referitoare la protecția datelor personale a fost cea suedeză adoptată în 1973. Protecția datelor a fost rezultatul direct al preocupării publice generate de recensământul public din 1969, precum și publicarea ulterioară în 1972 a raportului privind integritatea datelor de către Comisia parlamentară suedeză. Scopul legii a fost de preveni invaziunea nejustificată asupra integrității persoanei ale cărei date au fost înregistrate în baze de date electronice publice sau private. Prin lege a fost creat un Consiliul de inspecție pentru a reglementa colectarea și difuzarea datelor identificabile cu caracter personal în format electronic. Conform legii, orice registru de date cu caracter personal trebuia aprobat de Consiliul de inspecție. Deși autoritatea națională a fost imediat supraîncărcată cu cereri de licențe, ideea de stabilire a unui mecanism de înregistrare a operatorilor de date cu caracter personal, împreună cu o procedură de autorizare, a fost exportată cu succes [Eroare: nu s-a găsit sursa de referință, p. 7].
Legea franceză din 1978 a extins drepturile individului în procesul de procesare a datelor cu caracter personal. Legea a interzis colectarea de oricăror date care permit identificarea persoanei într-un mod fraudulos, nedrept sau ilicit [Eroare: nu s-a găsit sursa de referință], și a acordat un drept general de a refuza prelucrarea. Legea a detaliat conținutul dreptul de a primi informații referitor la colectarea datelor, precum și dreptul de a accesa și rectifica datele colectate. Mai mult decât atât, legea a impus cerința ca „informațiile nominale” să nu fie păstrate mai mult decât a fost prevăzut inițial și să fie mereu ținute în condiții de strictă securitate. Prelucrarea automată a datelor nominale capabile să dezvăluie, în mod direct sau indirect, informații despre rasă, opinii politice, filozofice sau religioase, sau apartenența la un sindicat, a fost în general interzise, deși au fost permise în mod excepțional pe baza consimțământului persoanei în cauză sau prin autorizație juridică specială [Eroare: nu s-a găsit sursa de referință].
Legile descrise mai sus au fost primele din multe altele care au început să apară în Europa. Astfel, Danemarca a adoptat norme speciale cu privire la prelucrarea datelor cu caracter personal în anul 1978, iar Luxemburg – în 1979. Mai mult ca atât, subiectul prelucrării datelor a început să devină într-atât de important, că anumite țări europene au decis să ofere legilor relevante un statut constituțional, cum este cazul Austriei, sau să includă prevederi în acest sens în Constituția țării, cum este cazul Portugaliei și Spaniei.
În prezent, toate statele membre ale UE au legi privind protecția datelor cu caracter personal. Aceste legi sunt, în general, întotdeauna într-un fel conectate la drepturile considerate ca fiind de importanță constituțională sau echivalentă acesteia[Eroare: nu s-a găsit sursa de referință, p. 5]. Există, totuși, diferențe substanțiale în modul în care statele membre concep această încadrare. În unele cazuri, dimensiunea drepturilor fundamentale a datelor cu caracter personal este strict derivată din legăturile acestor state cu drepturile și instrumente internaționale și europene la care sunt asociate, cum ar fi Convenția 108, sau Directiva 95/46/CE. În altele, dimensiunea drepturilor fundamentale este asigurată prin legătura cu alte drepturi protejate prin instrumente naționale. Într-un al treilea grup, aceasta ia forma unui drept specific sui generis, uneori, dar nu întotdeauna, denumit ”dreptul la protecția datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință, p. 174]”.
În baza acestei relații dintre protecția datelor cu caracter personal și drepturile fundamentale, statele membre pot fi clasificate în următoarele grupe [Eroare: nu s-a găsit sursa de referință, p. 175]:
a) Statele membre în care protecția datelor cu caracter personal este concepută pentru a servi la asigurarea altor drepturi existente (de exemplu, Belgia, unde se urmărește asigurarea dreptului la viață privată);
b) Statele membre în care protecția datelor cu caracter personal este conectată la un drept fundamental sui generis, recunoscut în mod explicit în Constituție sau într-o normă cu statut constituțional (de exemplu, Ungaria, Slovacia, sau Cehia);
c) Statele membre în care există în Constituție un mandat specific de a legifera cu privire la protecția datelor cu caracter personal (cum ar fi în Țările de Jos, sau în Finlanda);
d) Statele membre în care Constituția nu abordează explicit protecția datelor cu caracter personal, dar Curtea Constituțională a stabilit existența unui drept sui generis cu un conținut relativ similar (de exemplu, în Germania);
e) Statele membre în care legătura dintre protecția datelor cu caracter personal și a drepturilor fundamentale este neclară (cum ar fi Danemarca).
Aceasta taxonomie este indicativă. În realitate, în majoritatea cazurilor, este dificil de a atribui aceste abordări naționale unui model specific.
Jurisprudența CEDO
Convenția Europeană a Drepturilor Omului, deși nu este obligatorie pentru UE ca atare, în cele din urmă a devenit sursa materială principală utilizată de către CEJ pentru identificarea drepturilor fundamentale [Eroare: nu s-a găsit sursa de referință, p. 143]. În special, CEJ face des apel la jurisprudența CEDO referitor la cazuri ce țin de implementarea prevederilor Convenției, citând expres din deciziile Curții de la Strasbourg. Totuși, CEJ interpretează cazurile CEDO în mod autonom, fapt ce poate genera diferențe de interpretare în privința unor drepturi. Unii cercetători consideră că în practică au apărut anumite discrepanțe între viziunea celor două curți [Eroare: nu s-a găsit sursa de referință, p. 2843], în special în ce privește interpretarea Art. 8 al Convenției cu privire la viața privată și de familie.
Astfel, în cauza Hoechst din 1989, CEJ a decis că prevederile Art. 8 cu privire la inviolabilitatea domiciliului se referă doar la persoane fizice, nu și juridice. Această decizie a fost criticată de specialiști, pe motiv că decizia CEDO în cauza Chappell, cu câteva luni mai devreme, extinsese protecția Art. 8 și asupra persoanelor juridice. În realitate, însă, în cauza Chappell decizia CEDO a fost ambiguă în ceea ce privește inviolabilitatea domiciliului, iar după ce CEDO și-a clarificat poziția în cauza Niemietz în 1992, CEJ și-a modificat deciziile în mod corespunzător [Eroare: nu s-a găsit sursa de referință, p. 172].
În ceea ce privește protecția datelor cu caracter personal, jurisprudența Curții de la Strasbourg pot fi rezumată ca stabilind că Art. 8 din CEDO prevede o anumită protecție împotriva prelucrării de informații despre persoane, chiar dacă gradul acestei protecții nu coincide totalmente cu sfera de aplicare a Convenției Consiliului Europei pentru protecția persoanelor cu privire la Prelucrarea Automată a datelor cu caracter personal ("Convenția 108") [Eroare: nu s-a găsit sursa de referință]. Dintr-o perspectivă ușor diferită, Curtea de la Luxemburg a susținut că în temeiul Art. 8 din Convenția Europeană a Drepturilor Omului, precum și în temeiul Convenției 108, se poate afirma că principiile generale ale Directivei 95/46/CE au fost integrate în dreptul comunitar, chiar înainte adoptarea directivei [Eroare: nu s-a găsit sursa de referință].
Carta UE a Drepturilor Fundamentale
Presate de statele-membre să prevadă expres care sunt drepturile fundamentale la nivel de UE, instituțiile europene au analizat două posibilități – fie să adere formal la Convenția Europeană pentru Drepturile Omului, fie să adopte un document separat. Totuși, fiecare organizație de state încearcă să-și consolideze rândurile prin instrumente juridice care, cel puțin formal, reprezintă ultima aspirație a umanității[Eroare: nu s-a găsit sursa de referință, Eroare: nu s-a găsit sursa de referință, Eroare: nu s-a găsit sursa de referință], și această abordare a prevalat și în UE. Discuțiile despre o listă a drepturilor fundamentale ale UE au fost strâns legate cu revizuirea tratatelor constitutive în lumina expansiunii UE și aderării noilor membri [Eroare: nu s-a găsit sursa de referință, p. 189].
De la începutul anilor 1980 și până la adoptarea Cartei Drepturilor Fundamentale a UE [Eroare: nu s-a găsit sursa de referință] în 2000, un șir de grupuri de experți s-au pronunțat în privința conținutului posibil al unei liste de drepturilor fundamentale și au propus includerea unor prevederi referitor la protecția datelor cu caracter personal.
Astfel, în 1981 Comitetul pe Afaceri Instituționale al Parlamentului European a decis să elaboreze un proiect de Tratat pentru crearea Uniunii Europene, etichetat de la bun început ca și Constituția UE. Unul din cei șase raportori numiți de comitet, Karel de Gucht, raportor pe probleme de drept, a pledat pentru elaborarea unei liste de drepturi fundamentale care ar urma să fie inclusă în Constituția UE. În pofida acestei recomandări, atunci când Parlamentul European a aprobat primul proiect al Tratatului Uniunii Europene în anul 1984, acesta a inclus o singură prevedere referitor la garantarea drepturilor fundamentale, ”derivate din principiile comune ale Constituțiilor Statelor Membre și din Convenția Europeană a Drepturilor Omului [Eroare: nu s-a găsit sursa de referință]”.
Totuși, în a doua jumătate a anilor 1980, discuțiile despre necesitatea includerii unei liste a drepturilor fundamentale în Constituția UE s-au întețit în Parlamentul European, iar de Gucht a fost însărcinat cu cercetarea mai detaliată a acestui subiect. În consecință, de Gucht a pregătit o analiză a drepturilor fundamentale care rezultă din dreptul comunitar, legislația statelor membri și jurisprudența europeană, incluzând în această listă și ”protecția vieții private”. În baza acestui raport, Parlamentul European a adoptat în 1989 o Declarație a Drepturilor și Libertăților Fundamentale, care a fost prima listă de drepturi fundamentale susținută de o instituție europeană. Declarația conținea trei prevederi ce conțineau elemente de protecție a datelor cu caracter personal: (i) protecția identității, vieții private și de familie, reputației, domiciliului și corespondenței; (ii) accesul la informație, inclusiv la date despre propria persoană; și (iii) dreptul de a nu divulga asocierea la oricare organizații legale. Deși această declarație nu avea caracter imperativ, conținutul ei declara voința Parlamentului European în favoarea adoptării unui instrument juridic de garantare a drepturilor fundamentale.
În 1994, Parlamentul European a adoptat un nou proiect de Constituție a UE, care de această dată prevedea o listă de drepturi fundamentale și includea dreptul la viața privată și accesul la informație, însă nu mai menționa elementul de nedivulgare a informației legat de dreptul de asociere.
În procesul de pregătire a Tratatului de la Amsterdam și a expansiunii UE, Consiliul European a creat un ”grup de reflecție” în 1994, iar Comisia Europeană a numit un ”comitet al celor înțelepți”, ambele având mandatul de a analiza (sub diferite aspecte) rolul drepturilor fundamentale în dreptul UE. ”Comitetul celor înțelepți” a recomandat ca noul tratat nu doar să includă o listă a drepturilor existente, dar să extindă această listă cu drepturi noi, care rezultă din schimbările mediului climateric, demografic, precum și evoluția tehnologică. Comitetul a susținut că noile tehnologii creează multe probleme în ceea ce privește drepturile fundamentale, căci aceste tehnologii amenință viața privată [Eroare: nu s-a găsit sursa de referință, p. 190].
Deși Tratatul din Amsterdam din 1997 nu a inclus până la urmă mult-discutata listă de drepturi fundamentale, totuși acesta a stabilit că, începând din 1999, actele juridice comunitare privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera lor circulație se aplică instituțiile și organismele comunitare, și că înainte de această dată se va stabili un organism independent de supraveghere pentru a monitoriza aplicarea acestor acte [Eroare: nu s-a găsit sursa de referință]. După adoptarea Tratatului de la Amsterdam și luând în vedere prevederile tratatului în legătură cu protecția datelor, Comisia Europeană a creat un nou grup de experți să analizeze în continuare oportunitatea de a crea o listă de drepturi fundamentale, una din întrebările specifice fiind noile drepturi care rezultă din provocările societății informaționale[Eroare: nu s-a găsit sursa de referință, p. 6]. Printre altele, acest grup de experți a prezentat necesitatea de a recunoaște expres dreptul de a gestiona utilizarea datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință, p. 7].
În 1999 Consiliul European, a hotărât că trebuie de adoptat o „Cartă a drepturile fundamentale ale UE [Eroare: nu s-a găsit sursa de referință]”. În septembrie 1999, Grupul de lucru pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal (Grupul de lucru al Art. 29), format din reprezentanții autorităților de protecție a datelor din Statele membre, au manifestat sprijinul pentru includerea în viitorul catalog a unui drept la protecția datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință]. Grupul de lucru a menționat că unele țări europene au incorporat deja dreptul privind protecția datelor în constituțiile lor, în timp ce în altele state aceste drepturi au dobândit un statut constituțional prin jurisprudența [Eroare: nu s-a găsit sursa de referință].
Convenția pentru elaborarea Cartei, compusă din reprezentanți de vârf a statelor membre, includea câțiva cercetători și practicieni cu experiență bogată în protecția datelor, cum ar fi Stefano Rodota, șeful autorității italiene pentru protecția datelor cu caracter personal și membru al Grupului de lucru al Art. 29 [Eroare: nu s-a găsit sursa de referință, p. 194]. După mai multe proiecte a Cartei și divergențe în ce privește reglementarea dreptului la protecția datelor în calitate de drept separat sau ca și element al dreptului la viață privată, în octombrie a fost emisă varianta oficială a Cartei, în care protecției datelor i s-a oferit un articol aparte. Parlamentul European a susținut proiectul la 14 noiembrie 2000, astfel Carta drepturilor fundamentale a Uniunii Europene a fost proclamată oficial de liderii instituțiilor UE la 7 decembrie 2000 în Nice [Eroare: nu s-a găsit sursa de referință].
Carta drepturilor fundamentale conține două articole relevante pentru protecția datelor cu caracter personal: Art. 7 cu privire la protecția vieții private și de familie și Art. 8, cu privire la protecția datelor cu caracter personal, care de fapt este o continuare a articolului precedent. Coexistența lor poate fi explicată ca un compromis între două abordări naționale constituționale distincte: cele care consideră că dreptul la viața privată include protecția datelor personale și cele care prevăd protecția datelor personale ca un drept fundamental autonom [Eroare: nu s-a găsit sursa de referință, p. 219]. Dar poate fi, de asemenea, descrisă ca rezultat al divergenței între o noțiune veche și una nouă [Eroare: nu s-a găsit sursa de referință, p. 290].
Carta Drepturilor și Libertăților Fundamentale a UE a reafirmat la scară europeană drepturile deja existente și drepturi noi care nu fusese prevăzute în mod explicit, dar considerate necesare în lumina nevoilor contemporane. Astfel, dreptul la protecția datelor cu caracter personal, a fost înființat în anul 2000 prin Art. 8 din Carta drepturilor fundamentale a Uniunii Europene.
ELEMENTELE-CHEIE ALE DREPTULUI LA PROTECȚIA DATELOR
Deși dreptul fundamental european la protecția datelor cu caracter personal a fost consfințit oficial abia în 2000 odată cu adoptarea Cartei Drepturilor și Libertăților Fundamentale a UE, conceptualizarea conținutului acestui drept a fost detaliat în numeroase cercetări juridice și reglementări naționale și internaționale. Acest capitol explică conținutul acestui drept prin prisma instrumentelor juridice europene și analizează deficiențele reglementărilor existente.
2.1. Instrumentele juridice principale
Cele mai relevante instrumente juridice la nivel european sunt Convenția Consiliului Europei Nr. 108 din 28 ianuarie 1981 pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal și Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Convenția 108 a Consiliului Europei
Unul dintre primele și cele mai importante instrumente juridice adoptate la nivel internațional în domeniul protecției datelor personale este Convenția 108 a Consiliului Europei pentru protecția persoanelor cu privire la prelucrarea automatã a datelor cu caracter personal, adoptată la 28 ianuarie 1981. Deși vine din afara spațiului UE, Convenția a avut o mare influență în dezvoltarea protecției datelor personale ca drept fundamental al UE.
În adoptarea Convenției, scopul Consiliului Europei a fost de a promova un grad mai mare de unitate între membrii săi, bazată pe respectarea statului de drept, a drepturilor omului și a libertăților fundamentale. Astfel, Consiliul a constatat dezirabilitatea extinderii garanțiilor pentru drepturile tuturor și, în special, a dreptului la respectarea vieții private ținând cont în special de creșterea fluxului tranfrontalier de date cu caracter personal care fac obiectul prelucrării automate.
Prin urmare, statele membre ale Consiliului Europei au semnat Convenția 108 cu obiectivul de a asigura, pe teritoriul fiecărei națiuni pentru fiecare individ, indiferent de naționalitate sau de reședință, respectarea drepturilor sale și a libertăților fundamentale, în special dreptul la viață privată, în ceea ce privește prelucrarea automată a datelor cu caracter personal care o privesc.
Astăzi, Convenția rămâne singurul instrument juridic internațional obligatoriu cu un domeniu de aplicare la nivel mondial în domeniul confidențialității datelor, deschis pentru orice țară, inclusiv pentru țările care nu sunt membre ale Consiliului Europei. În plus, această Convenție a rezistat testului timpului fiind adaptivă și destul de riguroasă. Astăzi, principiile acestui acord sunt examinate pentru aplicabilitatea lor la colectarea și prelucrarea datelor biometrice.
Convenția are la bază câteva principii importante care reglementează protecția datelor cu caracter personal:
Datele trebuie să fie prelucrate automat, prelucrarea trebuie să se efectueze corect și legal;
Datele trebuie să fie înregistrate pentru scopuri clar stabilite și legitime;
Datele nu trebuie să fie utilizate în alte scopuri decât cel pentru care au fost colectate;
Datele trebuie să fie stocate numai pentru perioada de timp, pentru care este necesar îndeplinirea lor;
Datele trebuie să fie înregistrate într-o formă adecvată, pertinentă și neexcesivă (proporțională) în raport cu scopurile pentru care au fost colectate;
Datele trebuie să fie exacte.
Pentru a mări aria de referință a principiilor menționate în Convențiea 108, a fost adoptat Protocolul Adițional la Convenție [Eroare: nu s-a găsit sursa de referință]. Protocolul Adițional a intrat în vigoare pentru Republica Moldova din 01 ianuarie 2012. Protocolul obligă statele semnatare să instituie pe teritoriul fiecăruia o autoritate de supraveghere independentă pentru îndeplinirea monitorizării și respectării principiilor de protecție a datelor personale. Au fost adăugate și noi prevederi pentru a reglementa transferul internațional de date cu caracter personal în scopul asigurării creșterii schimburilor de date cu caracter personal între statele semnatare, în condițiile de respectare a unor criterii minime. În scopul asigurării unei protecții eficiente a vieții private și a datelor cu caracter personal, acestea nu pot fi trimise către țările terțe, dacă nu asigură un nivel adecvat de protecție a datelor.
Directiva 95/46/CE
La începutul anilor 1990, statele membre ale UE aveau reglementări neuniforme în ceea ce privește protecția datelor cu caracter personal – unele state aplicau limitări și proceduri stricte, pe când altele nu aveau nici un fel de instrumente juridice în acest sens. Această diversitate crea anumite bariere în dezvoltarea pieții interne a UE și în consecință, a fost luată decizia de a elabora instrumente juridice specifice pentru îmbunătățirea regimului de comerț transfrontalier pe piața unică prin armonizarea legislației cu privire la protecția datelor.
UE a adoptat câteva directive cu privire a protecția datelor cu caracter personal. Prima și cea mai importantă este Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (în continuare – Directiva 95/46/CE). Această Directivă este obligatorie pentru statele membre ale UE, cu o excepție importantă că ea nu este aplicabilă activităților ce țin de ordinea publică, apărare, securitatea statului și activitățile statului în materie de drept penal. Deși Directiva este în primul rând un instrument european creat pentru țările UE; ea exercită o influență considerabilă și asupra altor state, în special pentru că impune interzicerea transferului de date țărilor care nu asigură un nivel adecvat de protecție a datelor. De aceea, multe țări non-Europene adoptă legislație pentru a se conforma, cel puțin parțial, acestui criteriu de nivel adecvat de protecție.
Directiva 95/46/CE este compusă din 34 articole, prevederile cărora se referă la calitatea datelor, categorii speciale de prelucrare, drepturile persoanelor ale căror date sunt prelucrate, confidențialitate și securitate, răspundere și sancțiuni, reguli de conduiră și autorități de supraveghere. Această Directivă se aplică datelor prelucrate prin mijloace automate (de exemplu, o bază de date de clienți în calculator) și a datelor conținute sau destinate să facă parte din sisteme de evidență non automatizate (fișiere tradiționale pe hârtie).
Directivă 95/46/CE nu se aplică datelor cu caracter personal prelucrate:
de către o persoană fizică în cursul activităților exclusiv personale;
în cadrul unei activități care nu intră în domeniul de aplicare a dreptului comunitar, cum ar fi operațiunile privind siguranța publică, securitatea statului.
Directiva are ca scop protejarea drepturilor și libertăților persoanelor cu privire la prelucrarea datelor cu caracter personal, stabilind orientări care determină când prelucrarea este legală. Principalele orientări se referă la:
Calitatea datelor: datele cu caracter personal trebuie să fie prelucrate în mod corect și legal, și colectate în scopuri determinate, explicite și legitime. Ele trebuie să fie, de asemenea, exacte și, dacă este necesar, actualizate;
Legitimitatea prelucrării datelor: prelucrarea datelor cu caracter personal se face doar cu consimțământul subiectului, și dacă se prelucrează în cadrul:
executării unui contract unde subiectul este parte;
îndeplinirii unei obligații legale care îi revine operatorului;
protejării interesului vital al subiectului;
îndeplinirii unei sarcini de interes public;
realizării interesului legitim urmărit de operator.
Interzicerea prelucrării datelor speciale: datele personale care arată originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală. Această interzicere prevede și excepții cum ar fi prelucrarea datelor pentru protejarea intereselor vitale ale subiectului sau în scopuri legate de medicina preventivă sau de stabilirea diagnosticelor medicale;
Informarea subiecților de prelucrarea datelor: Operatorul trebuie să informeze subiectul despre identitatea operatorului, scopul prelucrării datelor, destinatarii datelor, condițiile de transmitere și de securitate, etc.;
Dreptul de acces la date al subiecților: subiecții au dreptul de a obține de la operator:
confirmarea dacă datele care îi privesc sunt prelucrate și care date concret sunt prelucrate;
rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile directivei, în special datorită caracterului incomplet sau inexact al datelor, precum și notificarea acestor modificări terților cărora le-au fost comunicate datele;
Excepții și restricții: principiile privind calitatea datelor personale, informarea subiecților, dreptul de acces la datele prelucrate și publicitatea prelucrării pot fi restrânse pentru a proteja siguranța statului, apărarea, securitatea publică, urmărirea infracțiunilor, un interes economic sau financiar important al unui stat membru sau al UE ori pentru a proteja pe subiect;
Dreptul de opoziție în ceea ce privește prelucrarea datelor: subiectul trebuie să aibă dreptul de a se opune, din considerente legitime, prelucrării datelor. De asemenea, aceasta trebuie să se poată opune, la cerere și gratuit, prelucrării datelor care îl privesc în scopul prospectării. Totodată, subiectul trebuie să fie informat înainte ca datele sale să fie comunicate terților în scopul prospectării și trebuie să i se ofere dreptul de a se opune informări;
Confidențialitatea și securitatea prelucrării datelor: orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator, care are acces la datele cu caracter personal nu trebuie să trebuie să urmeze doar instrucțiunile operatorului. Operatorul trebuie să elaboreze și să stabilească măsuri adecvate pentru protecția datelor cu caracter personal împotriva distrugerii accidentale sau intruziunii ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat;
Notificarea autorității de supraveghere cu privire la prelucrarea datelor: operatorul trebuie să notifice autoritatea de supraveghere înainte de a efectua prelucrarea datelor. Astfel de verificări prealabile privind eventualele riscuri de distrugere accidentală sau intruziune ilegală, modificare, dezvăluire se efectuează de către autoritatea de națională după primirea cererii. Trebuie să se asigure publicitatea prelucrărilor, iar autoritățile de naționale trebuie să țină registrul prelucrărilor.
Conform Directivei 95/46/CE, orice persoană trebuie să aibă dreptul de a ataca în justiție în caz de încălcare a drepturilor sale protejate de dispozițiile legislației interne. De asemenea, orice persoană căreia i-au fost aduse prejudicii ca urmare a unei prelucrări ilegale a datelor sale personale are dreptul să obțină reparații de la operator pentru prejudiciul provocat.
Transferul datelor cu caracter personal efectuat de un stat membru către o țară terță este admis, numai dacă aceasta asigură un nivel adecvat de protecție a datelor. Însă, transferurile nu pot fi efectuate către o țară terță care nu asigură un nivel de protecție adecvat, cu excepția derogărilor limitate enumerate în Directivă.
Directiva urmărește să încurajeze elaborarea unor coduri de conduită naționale și comunitare destinate să contribuie la buna aplicare a dispozițiilor de legislație internă și europeană.
În temeiul Directivei 95/46/CE, fiecare stat membru trebuie să prevadă cel puțin o autoritate publică independentă responsabilă cu supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre. În plus, Directiva instituie un grup de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, format din reprezentanți ai autorităților naționale de supraveghere, reprezentanți ai autorităților de supraveghere ale instituțiilor și organismelor comunitare și dintr-un reprezentant al Comisiei (Grupul de lucru Art.29).
2.2. Concepte și terminologie de bază
Reglementările juridice cu privire la protecția datelor cu caracter personal operează cu o serie de noțiuni comune, dar care au o semnificație specifică atunci când este vorba despre protecția datelor. Astfel, înainte de a analiza conținutul dreptului la protecția datelor și modul de aplicare a acestuia, este important de trecut în revistă principalii termeni utilizați și semnificația lor.
Date cu caracter personal
Conform Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (în continuare – Directiva 95/46/CE), „date cu caracter personal” înseamnă „orice informație referitoare la o persoană fizică identificată sau identificabilă [Eroare: nu s-a găsit sursa de referință]”. În alți termeni, chiar dacă informația despre persoană nu permite identificarea ei clară, însă permite restrângerea numărului de persoane printre care ar fi o persoană concretă, atunci această informație poate fi considerată informație identificabilă. Art. 2 din Directivă spune în continuare că „o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii”. Prin urmare, în cazul unei persoane fizice, chiar dacă aceasta nu a fost identificată, informația care rezultă din descrierea sau caracterizarea ei este considerată ca informație identificabilă, deci care ajută la identificarea ei.
Conform interpretării Grupului de lucru pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal (Grupul de lucru al Art. 29), format din reprezentanții autorităților de protecție a datelor din statele membre ale UE, numai ființele umane sunt protejate de legislația europeană privind protecția datelor [Eroare: nu s-a găsit sursa de referință]. Însă jurisprudența CEDO cu privire la Art. 8 din Convenția Europeană a Drepturilor Omului arată că și persoanele juridice se bucură de protecția datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință].
Prelucrarea datelor cu caracter personal
Potrivit Directivei 95/46/CE, ”prelucrarea datelor cu caracter personal” (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea [Eroare: nu s-a găsit sursa de referință].
Astfel, literatura juridică și reglementările relevante operează cu o serie de termeni care au în vedere prelucrarea:
înregistrarea este consemnarea datelor cu caracter personal într-un sistem de evidență automat ori manual, care poate fi registru, fișier automat, bază de date sau orice altă formă de evidență organizată, structurată ori ad-hoc sau într-un text, înșiruire de date ori document, indiferent de modalitatea în care se înscriu datele;
organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuțiilor legale ale operatorului, în scopul eficientizării/optimizării activităților de prelucrare a acestora;
stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal colectate, inclusiv prin efectuarea copiilor de siguranță;
colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale și din orice sursă;
adaptarea – transformarea datelor cu caracter personal colectate inițial, conform criteriilor prestabilite și scopurilor pentru care au fost colectate;
modificarea – actualizarea, completarea, schimbarea, corectarea datelor cu caracter personal, în scopul menținerii caracteristicilor de exactitate, realitate, actualitate;
extragerea – scoaterea unei părți din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat și distinct de prelucrarea inițială;
consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operațiuni sau set de operațiuni de prelucrare ulterioară;
utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de către și în interiorul operatorului, persoanelor împuternicite de către operator ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare;
dezvăluirea – a face disponibile date cu caracter personal operatorilor, persoanelor împuternicite de către acești și terților prin comunicare, transmitere, diseminare sau în orice alt mod;
alăturarea – adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică;
combinarea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate inițial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
blocarea – întreruperea prelucrării datelor cu caracter personal;
ștergerea – eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidențe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistența, inexactitatea;
transformarea – operațiunea efectuată asupra datelor cu caracter personal având ca scop depersonalizarea ori utilizarea acestora în scopuri exclusiv statistice;
distrugerea – aducerea la stare de neîntrebuințare, în condițiile legii, definitivă și irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.
Sistem de evidență a datelor cu caracter personal
Conform Directivei 95/46/CE, „sistem de evidență a datelor cu caracter personal” (sistem de evidență) înseamnă „orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice [Eroare: nu s-a găsit sursa de referință]. În calitate de sistem de evidență a datelor cu caracter personal sunt considerate, inter alia, bazele de date, sistemele informaționale și informatice, în care sunt stocate și prelucrate automatizat sau manual date cu caracter personal. Modele clasice de sisteme de evidență a datelor cu caracter personal reprezintă: registrul de evidență a angajaților procuraturii sau a numerelor telefoanelor corporative ale angajaților procuraturii, registrul de evidență a vizitatorilor; registrul de evidență a petițiilor și altor adresări; informațiile personalizate referitoare la instruirea specializată a angajaților procuraturii ori a altor subiecți implicați în procesul instrucțional; precum și alte serii structurate de date cu caracter personal, cum ar fi imaginile video colectate printr-un sistem de supraveghere video instalat în incinta sau pe perimetrul sediului procuraturii [Eroare: nu s-a găsit sursa de referință].
Operator
”Operator” este persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituție ori organizație care, în mod individual sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință]. De exemplu: în toate cazurile când Procuratura Generală va reglementa printr-un act normativ departamental scopurile și procedurile de colectare, stocare și prelucrare în continuare a careva date cu caracter personal în sisteme de evidență automatizate, manuale ori mixte, se va constitui în calitate de operator al acestor date.
Definiția „operatorului” de mai sus presupune că pot exista și mai multe instituții separate din punct de vedere juridic, care, împreună sau în comun cu altele, acționează în calitate de operator. Înseamnă că acestea decid împreună să prelucreze date pentru un scop comun. Totuși, acest lucru este posibil din punct de vedere juridic numai în cazul în care există un temei juridic special care să prevadă prelucrarea în comun a datelor pentru un scop comun. De exemplu: o bază de date administrată în comun de mai multe țări pentru traficanți de arme. Atunci când o persoană va trece frontiera unei țări, țara respectivă va consulta baza de date pentru a putea lua decizii informate cu privire la călător.
Legislația UE rămâne neclară referitor la scopurile în comun ale părților unui sistem de evidență cu date personale. Cu toate acestea, nici o jurisprudență relevantă nu este încă disponibilă la nivel european și nu există claritate cu privire la consecințele asumării răspunderii. Grupul de lucru Art. 29 în urma unui caz, în care un grup de instituții bancare din Europa au împuternicit organizația americană SWIFT în calitate de operator să asigure transferurile de date ale clienților acestor bănci, informații despre care au ajuns la Trezoreria Statelor Unite, a concluzionat că ambii (atât grupul de bănci ca operator, cât și SWIFT ca împuternicit de către operator) sunt responsabili pentru acest transfer ilegal de date [Eroare: nu s-a găsit sursa de referință].
Persoana împuternicită de către operator
Directiva 95/46/CE spune că „persoana împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal pe seama operatorului [Eroare: nu s-a găsit sursa de referință]. Conceptul de persoană împuternicită de către operator nu este prevăzută în Convenția 108. În aceeași măsură ca în cazul operatorului, persoanele împuternicite pot fi diverse: persoana fizică sau juridică, autoritatea publică, agenția sau alte instituții. Existența unei persoane împuternicite de către operator depinde de operator, care poate decide fie să prelucreze datele în cadrul propriei sale organizații, de exemplu prin intermediul personalului autorizat să prelucreze datele sub directa sa supraveghere, fie să delege toate activitățile de prelucrare sau o parte dintre acestea unei alte organizații. Prin urmare, persoana împuternicită de operator trebuie să satisfacă două condiții principale – pe de o parte, să fie o entitate juridică diferită față de operator și, pe de altă parte, să prelucreze datele personale în numele acestuia. Activitatea sa poate fi redusă la o sarcină foarte restrânsă sau la un context foarte specific, sau poate fi mai largă. Mai mult, rolul persoanei împuternicite de către operator nu depinde de tipul entității care prelucrează datele, ci de activitățile sale concrete dintr-un anumit context. Altfel spus, aceeași entitate, în același timp poate fi operator pentru o anumită prelucrare de date și rolul de persoană împuternicită pentru alta, însă calificarea ei ca operator sau persoană împuternicită trebuie luată în raport cu anumite operațiuni de date sau categorii de date [Eroare: nu s-a găsit sursa de referință].
Persoana terță
”Persoana terță” este o persoană alta decât operatorul. Astfel, transmiterea datelor spre un terț se va efectua în temeiul juridic specific. Conform Art. 2 lit. (f) din Directiva 95/46/CE, un terț este „persoana fizică sau juridică, autoritatea publică, agenția sau orice organism, altul decât persoana vizată, operatorul, persoana împuternicită și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date [Eroare: nu s-a găsit sursa de referință]”. Aceasta înseamnă că persoanele care lucrează pentru o organizație diferită din punct de vedere juridic de operator – chiar dacă aparține aceluiași grup sau societăți vor fi terț. Pe de altă parte, filialele unei bănci care prelucrează conturile clienților sub autoritatea directă a sediului lor central nu este terț [Eroare: nu s-a găsit sursa de referință].
În mod notabil, Directiva 95/46/CE definește „terțul” ca și conceptul de terț din codul civil, unde terțul este de obicei o persoană care nu este parte a unui acord. În domeniul protecției datelor, „terțul” trebuie văzut ca orice persoană care nu este autorizată, care poate fi un salariat al operatorului sau a împuternicitului de către operator [Eroare: nu s-a găsit sursa de referință].
Destinatar
Destinatar este mai mult decât un terț. Prevederile Art. 2 litera (g) din Directiva 95/46/CE stabilesc că destinatar este „persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele, indiferent dacă este sau nu terț [Eroare: nu s-a găsit sursa de referință]”. Astfel destinatarul poate fi o persoană din afara operatorului sau a persoanei împuternicite de către operator – în acest caz un terț – sau cineva din cadrul operatorului sau al persoanei împuternicite de către operator, cum ar fi un angajat sau o altă filială din cadrul aceleiași societăți sau autorități.
Angajații unui operator sau ai unei persoane împuternicite de către operator pot fi, fără nici o altă dispoziție juridică, destinatari ai datelor cu caracter personal, în cazul în care sunt implicați în operațiunile de prelucrare ale operatorului sau persoanei împuternicite de către operator. Pe de altă parte, un terț, separat din punct de vedere juridic de operator și de persoana împuternicită de către operator, nu este autorizat să utilizeze datele cu caracter personal prelucrate de operator, cu excepția cazului în care există temeiuri juridice într-o anumită situație. Prin urmare, „destinatarii terți” ai datelor vor avea întotdeauna nevoie de un temei juridic pentru primirea legală a datelor cu caracter personal.
Consimțământul
”Consimțământul” presupune orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc [Eroare: nu s-a găsit sursa de referință]. Un individ își oferă acordul atunci când există o comunicare activă între părți. O persoană poate da acordul altei părți de a-i prelucra datele sale personale doar în scris, dar organizațiile nu ar trebui să deducă acordul în cazul în care o persoană nu răspunde la o comunicare. Consimțământul trebuie să fie, de asemenea, adecvat vârstei și capacității individului la circumstanțele particulare ale cauzei. De exemplu, în cazul în care organizația intenționează să continue să dețină sau să utilizeze datele cu caracter personal, după întreruperea relației cu un client sau alt tip de contractant, acest fapt trebuie confirmat din nou de către acesta din urmă. Chiar și atunci când consimțământul a fost dat, aceasta nu va dura pentru totdeauna. Deși în cele mai multe cazuri prelucrarea va dura atâta timp cât acordul a prevăzut, în acord trebuie să se prevadă faptul că individul poate fi în măsură să-și retragă consimțământul, în funcție de natura acordului dat și a circumstanțelor. Retragerea consimțământului nu afectează valabilitatea celor consumate în urma acordului.
Consimțământul obținut prin constrângere, sau pe baza de informații înșelătoare sau neclare nu îndeplinește în mod adecvat condiția de prelucrare. În cazul prelucrării datelor cu caracter special, acordul trebuie să fie explicit. Această prevedere imperativă presupune că acordul persoanei ar trebui să fie absolut clar. Acesta ar trebui să acopere detaliile specifice de prelucrare; tipul de informații (sau chiar informațiile specifice); scopul prelucrării; și orice aspecte speciale care pot afecta individul.
Chiar și consimțământul valabil poate fi retras în anumite circumstanțe dacă persoana nu a avut nici o alegere reală. Existența consimțământului liber exprimat este valabilă numai „în cazul în care persoana vizată poate într-adevăr alege și nu sunt riscuri ascunse [Eroare: nu s-a găsit sursa de referință]”. Din aceste motive o organizație nu trebuie să se bazeze exclusiv pe consimțământul persoanei pentru a legitima prelucrarea, dar și pe lege. Consimțământul liber exprimat poate fi amenințat și în situații de subordonare, în cazul în care există un dezechilibru semnificativ economic sau de altă natură între operatorul care asigură consimțământul și persoana vizată care acordă consimțământul [Eroare: nu s-a găsit sursa de referință]. Consimțământul este primul în lista de condiții de prelucrare prevăzute în lege, dar fiecare condiție oferă o bază la fel de valabilă pentru prelucrarea datelor cu caracter personal.
2.3. Principiile dreptului fundamental la protecția datelor cu caracter personal
Cele mai importante principii în protecția datelor cu caracter personal se regăsesc atât în Directiva 95/46/CE Art. 6, cât și în Convenția 108 Art. 5. Aceste principii trebuie să fie respectate în reglementările subordonate cu privire la protecția datelor și să ghideze interpretarea unor asemenea reglementări. Orice derogare de la aceste principii-cheie pot fi prevăzute la nivel național doar prin lege, să urmărească un scop legitim și să constituie o măsură necesară într-o societate democratică [Eroare: nu s-a găsit sursa de referință].
Principiul prelucrării legale
Potrivit Cartei Drepturilor și Libertăților Fundamentale a UE, dreptul la protecția datelor cu caracter personal nu este unul absolut, la fel ca și dreptul la viață privată. Ele trebuie echilibrate și conciliate cu interesele legitime, atât a subiecților, cât și ale altor persoane. Conform Art. 52 al Cartei și Art. 8 alin 2 al Convenției Europene a Drepturilor Omului, statul poate interveni prin limitarea acestui drept dacă:
este prevăzut de lege. Conform jurisprudenței CEDO, intervenția este potrivit legii dacă se bazează pe o prevedere a legislației interne. Legea trebuie să fie „accesibilă persoanelor în cauză și previzibilă în ceea ce privește efectele [Eroare: nu s-a găsit sursa de referință]”. O normă este previzibilă „numai atunci când este redactată cu suficientă precizie, în așa fel încât să permită oricărei persoane fizice, care, la nevoie, poate apela la consultanță de specialitate să își corecteze conduita [Eroare: nu s-a găsit sursa de referință]”. „Gradul de precizie impus legii în legătură cu acest aspect va depinde de finalitatea specifică [Eroare: nu s-a găsit sursa de referință]”;
urmărește un scop legitim. Aceasta înseamnă de fapt scopul de respectare a drepturilor și libertăților altora;
este necesară într-o societate democratică pentru atingerea unui scop legitim. CEDO a declarat că „noțiunea de necesitate presupune ca intervenția să corespundă unei nevoi sociale stringente și, în special, să fie proporțională cu scopul legitim urmărit [Eroare: nu s-a găsit sursa de referință]”.
Carta este redactată diferit de Convenția Europeană a Drepturilor Omului. Carta nu menționează despre imixtiuni în drepturile garantate, dar conține o dispoziție privind limitarea exercitării drepturilor și libertăților prevăzute de Cartă. Însă Carta prevede că, „în măsura în care prezenta cartă conține drepturi care corespund unor drepturi garantate prin Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, înțelesul și sfera lor sunt aceleași ca și cele prevăzute de Convenția menționată [Eroare: nu s-a găsit sursa de referință]”. Potrivit aceluiași articol, legislația UE poate să extindă o protecție mai largă drepturilor în raport cu legislația Consiliului Europei”. Prin urmare, prelucrarea legală a datelor cu caracter personal presupune ca, potrivit legislației UE, cel puțin condițiile Art. 8 alineatul (2) din Convenția Europeană a Drepturilor Omului să fie îndeplinite. Cu toate acestea, dreptul european poate stabili prevederi suplimentare. De asemenea Tratatul UE asigură că drepturile din Convenție se consideră drepturi fundamentale europene în aceeași măsură cu drepturile prevăzute de Carta Drepturilor și Libertăților Fundamentale a UE [Eroare: nu s-a găsit sursa de referință].
Principiul prelucrării în limita scopului
Acest principiu presupune că pentru a fi legitimă, prelucrarea datelor cu caracter personal trebuie să aibă un scop clar definit [Eroare: nu s-a găsit sursa de referință]. Scopul trebuie să fie indicat de operator în cererea înaintată autorității de supraveghere care are competența de a monitoriza prelucrarea datelor personale [Eroare: nu s-a găsit sursa de referință]. Prelucrarea datelor personale fără a specifica scopul prelucrării datelor este ilegală. Un scop nou de prelucrare a datelor trebuie să aibă propriul temei juridic. Este de asemenea ilegală prelucrarea datele personale într-un alt scop, fie el legitim, dacă ele au fost colectate anterior pentru un alt scop legitim. Prelucrarea legitimă este limitată la scopul specificat inițial și orice scop nou de prelucrare va necesita un nou temei juridic aparte. Transmiterea datelor către terți va trebui analizată foarte atent, pentru că transmiterea va constitui, un nou scop și, astfel, va fi necesar un alt temei juridic.
Analizând întinderea și limitele unui anumit scop, Directiva 95/46/CE și Convenția 108 cer utilizarea datelor în scopuri compatibile cu scopul inițial instituit, chiar dacă, „compatibilitatea” nu este definită, fapt care poate crea ambiguități.
Directiva 95/46/CE prevede în mod clar că „prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este incompatibilă în măsura în care statele membre prevăd garanțiile adecvate [Eroare: nu s-a găsit sursa de referință]”, adică depersonalizarea datelor (modificarea datelor cu caracter personal astfel încât detaliile privind circumstanțele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile ori să permită atribuirea doar în condițiile unei investigații care necesită cheltuieli disproporționate de timp, mijloace și forță de muncă.
Principiul calității datelor
Datele personale pot fi prelucrate doar dacă datele sunt „adecvate, pertinente și neexcesive în raport cu scopurile pentru care sunt colectate și ulterior prelucrate [Eroare: nu s-a găsit sursa de referință]”. Categoriile de date care urmează a fi prelucrate trebuie să fie necesare pentru a atinge scopul declarat la autoritatea care supraveghează protecția datelor personale, astfel operatorul trebuie să reducă colectarea de date doar pentru informațiile care au legătură cu scopul specificat și urmărit prin prelucrare.
Pentru a respecta acest principiu, este necesar de:
a lua măsuri rezonabile pentru a asigura exactitatea datelor personale obținute;
a asigura că sursa de date cu caracter personal este clară;
a analiza cu atenție orice provocări pentru acuratețea informațiilor;
a examina dacă este necesar pentru a actualiza informațiile.
Principiul exactității datelor
Operatorul care prelucrează date cu caracter personal trebuie să asigure exactitatea și actualitatea datelor personale în sistemele sale de evidență. Această obligație de a păstra exactitatea datelor trebuie privită în raport cu scopul prelucrării datelor. Însă, în acest caz, dacă o societate vrea să-și actualizeze datele deținute despre un client, pe care le-a colectat în urma unei afaceri cu el, această societate nu are dreptul să ceară de la alți deținători de sisteme de date, cum ar fi instituții de stat care duc evidența populației informații, informații adiționale, cum ar fi noul loc de domiciliu al clientului.
Pe de altă parte, sunt situații în care verificarea constantă a exactității și actualității datelor personale constituie o necesitate absolută luând în vedere daunele potențiale care pot fi aduse persoanei vizate în cazul în care datele ar rămâne neactualizate. Mai mult ca atât, datele asociate unor suspiciuni, și nu unor fapte, cum ar fi cercetările penale, pot fi colectate și stocate atâta timp cât operatorul are un temei juridic pentru colectarea acestor informații și are suficiente justificări pentru formarea unei astfel de suspiciuni.
Principiul termenului de păstrare a datelor
Art. 6 alin. (1) lit. (e) al Directivei 95/46/CE și, de asemenea, Art. 5 lit. (e) al Convenției 108 obligă statele membre să se asigure că datele cu caracter personal sunt „păstrate într-o formă care permite identificarea persoanelor o perioadă nu mai mare decât este necesar în vederea atingerii scopurilor pentru care au fost colectate datele sau pentru care vor fi prelucrate ulterior”. Astfel, datele trebuie șterse după atingerea scopurilor propuse.
CEDO a arătat în unul din cazurile sale că principiile fundamentale ale instrumentelor relevante ale Consiliului Europei, precum și jurisprudența părților contractante presupune proporționalitatea păstrării datelor în raport cu scopul colectării și limitarea duratei de păstrare [Eroare: nu s-a găsit sursa de referință].
Cu toate acestea, limitarea duratei de păstrare a datelor personale se aplică numai datelor păstrate într-o formă care permite identificarea persoanelor vizate. Prin urmare, păstrarea legală a datelor care nu mai sunt necesare se poate realiza prin anonimizare sau pseudonimizare.
În Directiva 95/46/CE, păstrarea datelor pentru viitoare utilizări științifice, istorice sau statistice este exceptată în mod explicit de la principiul limitării duratei de păstrare a datelor [Eroare: nu s-a găsit sursa de referință]. Cu toate acestea, o astfel de stocare și utilizare continuă a datelor cu caracter personal trebuie să fie însoțită de garanții speciale în legislația națională.
Principiul prelucrării corecte
Când vorbim de acest principiu ne referim la transparență și la stabilirea unei relații de încredere, care privește relația dintre operator și persoana vizată. Transparența stabilește obligația operatorului de a informa persoanele vizate cu privire la felul în care le datele sunt prelucrate. În cauza Haralambie/România, reclamantul a cerut accesul la dosarul său pe care-l dețineau autoritățile statului. Acest acces i-a fost oferit doar după cinci ani. În această cauză, CEDO a stabilit că persoanele, dosarele cărora sunt deținute de autoritățile publice trebuie să fie accesibile. CEDO a considerat că sistemul deficient de arhivare nu justifică o întârziere de cinci ani în acordarea accesului reclamantului la dosarele sale. Astfel, CEDO a stabilit încălcarea Art. 8 din Convenția Europeană a Drepturilor Omului [Eroare: nu s-a găsit sursa de referință].
Operațiunile de prelucrare trebuie să fie explicate persoanelor vizate într-o manieră accesibilă, care să garanteze că aceștia înțeleg ceea ce se va întâmpla cu datele lor. O persoană vizată are dreptul, de asemenea, să i se comunice de către un operator, la cerere, dacă îi sunt prelucrate datele și, dacă da, care sunt acestea.
Operatorii trebuie să arate că, în raport cu persoanele vizate și cu publicul larg, prelucrarea este legală și transparentă. Prelucrarea nu trebuie făcută în secret și nu trebuie să aibă efecte imprevizibile. Operatorii trebuie să informeze cetățenii cu privire la utilizarea datelor lor. Mai mult, operatorii trebuie să acționeze, în măsura posibilității, astfel încât să răspundă prompt cerințelor persoanelor vizate, mai ales atunci când consimțământul lor constituie temei juridic pentru prelucrarea datelor personale.
În legătură cu serviciile de internet, caracteristicile sistemelor de prelucrare a datelor trebuie să permită persoanelor vizate să înțeleagă efectiv ce se întâmplă cu datele lor.
Prelucrarea corectă înseamnă, de asemenea, că operatorii sunt pregătiți să depășească cerințele juridice minime obligatorii de serviciu pentru persoanele vizate, în cazul în care interesele legitime ale persoanelor vizate impun acest lucru.
Principiul responsabilității
Organizația pentru Cooperare și Dezvoltare Economică (OCDE) a adoptat în 2013 îndrumări privind viața privată care au subliniat faptul că operatorii au un rol important în respectarea protecției datelor personale. Aceste îndrumări au detaliat principiul responsabilității având în vedere că „un operator de date trebuie să fie responsabil pentru conformitatea cu măsurile care dau efect principiilor susmenționate [Eroare: nu s-a găsit sursa de referință]”.
În timp ce Convenția 108 nu face referire la responsabilitatea operatorilor, lăsând acest subiect, în esență, în seama dreptului intern al membrilor, Art. 6 alin. (2) din Directiva 95/46/CE prevede că operatorii trebuie să asigure conformitatea cu principiile referitoare la calitatea datelor incluse la alineatul 1.
În conformitate cu avizul Grupului de lucru Art. 29, esența responsabilității este obligația operatorului de a:
pune în aplicare măsurile care – în condiții normale – garantează respectarea normelor de protecție a datelor în contextul operațiunilor de prelucrare;
pregăti documentația care dovedește persoanelor vizate și autorităților de supraveghere ce măsuri au fost luate în vederea respectării normelor de protecție a datelor [Eroare: nu s-a găsit sursa de referință].
Principul responsabilității obligă astfel operatorii să demonstreze activ conformitatea datelor și să nu aștepte ca persoanele vizate sau autoritățile de supraveghere să scoată în evidență deficiențele existente.
2.4. Condițiile prelucrării datelor cu caracter personal
Principiile au sine qua non un caracter general. Aplicarea lor la anumite situații concrete presupune un anumit grad de interpretare. Convenția 108 lasă la latitudinea părților semnatare clarificarea unor reguli de aplicare a principiilor, în legislația lor internă. Directiva 95/46/CE are o altă abordare, dictată de necesitatea armonizării legislației cu privire la protecția datelor în spațiul intern al UE, detaliind un șir de condiții pentru prelucrarea datelor cu caracter personal. Astfel, dacă terminologia și principiile enumerate mai sus au fost analizate atât prin prisma Convenției 108 și a Directivei 95/46/CE, atunci regulile aplicate regimului de prelucrare a datelor ține în mod specific de legislația UE.
Regimul prelucrării datelor
Directiva 95/46/CE prevede condiții pentru două categorii de date: normale (obișnuite) și date sensibile (la care se referă Art. 8).
În ce privește datele obișnuite, acestea pot fi prelucrate legal dacă sunt îndeplinite trei condiții de bază:
prelucrarea se bazează pe consimțământul persoanei vizate, sau
interesele vitale ale persoanelor vizate necesită prelucrarea datelor lor, sau
interesele legitime ale altora constituie motivul prelucrării, însă numai în măsura în care nu prevalează interesele de protejare a drepturilor fundamentale ale persoanelor vizate [Eroare: nu s-a găsit sursa de referință].
Directiva 95/46/CE prevede că, sub rezerva excepțiilor prevăzute de Art. 13, toate prelucrările de date cu caracter personal trebuie să fie conforme, în primul rând, cu principiile referitoare la calitatea datelor. De asemenea, prelucrarea datelor trebuie să fie efectuată în cel puțin unul din temeiurile de prelucrare stabilite în Art. 7 al Convenției și descrise mai jos.
Consimțământul persoanei ai cărei date sunt prelucrate nu este prevăzut în Convenția Europeană a Drepturilor Omului, și nici în Convenția 108. Totuși, această condiție este menționată în jurisprudența CEDO și în mai multe recomandări ale Consiliului Europei. În dreptul UE, pe de altă parte, consimțământul, ca temei pentru prelucrarea legitimă a datelor, este menționat explicit în Art. 8 al Cartei Drepturilor și Libertăților Fundamentale a UE și stabilit ferm în Art. 7 lit. (a) al Directivei 95/46/CE.
Un alt temei pentru prelucrarea legitimă a datelor cu caracter personal în dreptul UE, prevăzut de Art. 7 lit. (b) al Directiva 95/46/CE, este legat de ”necesitatea executării unui contract la care subiectul datelor este parte”. Această prevedere reglementează și relațiile la încheierea contractului. Astfel, dacă contractul încă nu a fost încheiat, dar se poate stabili intenția de încheiere a contractului, aceasta poate servi drept temei pentru prelucrarea datelor.
„Protecția drepturilor și libertăților altora” este un motiv pentru intervenția legitimă în dreptul la protecția datelor, prevăzut de Art. 8 alin. (2) al Convenției Europene a Drepturilor Omului. În consecință, acest temei de prelucrare a datelor este aplicabil nu doar în spațiul UE, ci tuturor statelor semnatare a Convenției.
Dreptul UE menționează în continuare în mod explicit un alt criteriu privind legitimizarea prelucrării datelor, și anume „necesitatea îndeplinirii unei obligații legale care îi revine operatorului [Eroare: nu s-a găsit sursa de referință]”. Această dispoziție se referă la operatorii care își desfășoară activitatea în domeniul privat; obligațiile legale ale operatorilor de date din sectorul privat intră sub incidența Art. 7 litera (e) din Directiva 95/46/CE. Există multe cazuri în care operatorii din sectorul privat sunt obligați prin lege să prelucreze date despre alte persoane, de exemplu, instituțiile medicale au obligația legală de a prelucra date privind tratamentul pacienților pe o perioadă mai lungă de timp, întreprinderile trebuie să prelucreze datele angajaților din motive de securitate socială și fiscală, iar datele clienților – din motive de impozitare.
Art. 7 litera (d) din Directiva 95/46/CE prevede că prelucrarea datelor cu caracter personal este legală dacă este „necesară în scopul protejării interesului vital al persoanei vizate”. Acest interes, este legat de starea de sănătate a persoanei și de riscurile pentru viața ei. Deși în legislația Consiliului Europei aceste temei nu este menționat explicit ca motiv pentru intervenția legitimă asupra dreptului la protecția datelor, în recomandările Consiliului pentru completarea Convenției 108, interesul vital al persoanei vizate este menționat explicit ca bază pentru prelucrarea legitimă a datelor.
Luând în considerație multitudinea de posibilități de organizare a afacerilor publice, Art. 7 litera (e) din Directiva 95/46/CE prevede că datele cu caracter personal pot fi prelucrate legal dacă acest lucru „este necesar pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din atribuțiile autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele [Eroare: nu s-a găsit sursa de referință]. În unul din cazurile sale, CEJ susține că „ținând seama de obiectivul care constă în asigurarea unui nivel de protecție echivalent în toate statele membre, noțiunea de necesitate, astfel cum rezultă aceasta din Art. 7 litera (e) din Directiva 95/46 nu poate fi diferit în funcție de statele membre, ci trebuie interpretat în așa fel încât să reflecte pe deplin obiectul acestei Directive [Eroare: nu s-a găsit sursa de referință]”.
Art. 7 litera (f) din Directiva 95/46/CE prevede că datele cu caracter personal pot fi prelucrate legal dacă „este necesar pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție”. Într-un caz cu privire la criteriile de prelucrare legitimă a datelor, Curtea a decis că Spania nu a transpus corect Art. 7 litera (f) din Directivă, impunând ca în lipsa consimțământului persoanei vizate, orice date prelucrate ar trebui să apară în surse publice [Eroare: nu s-a găsit sursa de referință]. Curtea a statuat de asemenea că Art. 7 alineatul (f) are efect direct. Hotărârea limitează marja de apreciere pe care statele membre au la implementarea Art. 7 alineatul (f). Ele nu trebuie să depășească linia între clarificări pe de o parte, și impunerea unor cerințe suplimentare, care ar modifica domeniul de aplicare al Art. 7 litera (f) pe de altă parte.
Datele personale speciale sunt: originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și informații privind starea de sănătate sau viața sexuală [Eroare: nu s-a găsit sursa de referință]. Pentru asemenea date Directiva 95/46/CE prevede un regim special și detaliat e prelucrare, care în principiu este interzisă [Eroare: nu s-a găsit sursa de referință]. Totuși, Directiva prezintă o serie de excepții. Acestea includ consimțământul explicit al persoanei vizate, interesele vitale ale persoanei vizate, interesele legitime ale altora și interesul public [Eroare: nu s-a găsit sursa de referință]. Legislația Consiliului Europei lasă la aprecierea legislației interne stabilirea protecției adecvate pentru utilizarea datelor speciale.
Spre deosebire de prelucrarea datelor obișnuite, o relație contractuală cu persoana vizată nu este considerată ca fiind un temei juridic general pentru prelucrarea legitimă a datelor speciale. Prin urmare, dacă datele speciale urmează a fi prelucrate în contextul unui contract, utilizarea acestor date necesită consimțământul clar al persoanei vizate, precum și acordul de a încheia contractul. Așadar pentru prelucrarea legală a oricăror date, indiferent dacă sunt date obișnuite sau speciale, este necesar consimțământul persoanei vizate. În cazul datelor speciale, acest consimțământ trebuie să fie cât mai clar. Cu toate acestea, legislațiilor naționale le este permis să stabilească că acordarea consimțământului pentru utilizarea datelor speciale nu reprezintă un temei juridic suficient pentru a permite prelucrarea acestora [Eroare: nu s-a găsit sursa de referință].
Însă, Art. 8 alineatul (2) litera (e) din Directivă 95/46/CE prevede că prelucrarea nu este interzisă atunci când se referă la date care sunt făcute publice de către persoanele vizate în mod manifest. Această dispoziție presupune în mod evident că dezvăluirea de către persoana vizată a datelor sale trebuie interpretată ca implicând consimțământul persoanei vizate pentru utilizarea acestor date. La fel ca în cazul datelor obișnuite, datele speciale pot fi prelucrate datorită intereselor vitale ale persoanei vizate [Eroare: nu s-a găsit sursa de referință].
La fel ca în cazul datelor obișnuite, interesele legitime ale altora pot servi drept temei pentru prelucrarea datelor speciale. Cu toate acestea, pentru datele speciale și în conformitate cu Art. 8 alineatul (2) din Directiva 95/46/CE, acest lucru este valabil numai în cazurile necesității prelucrării datelor, pentru că în urma prelucrării o altă persoană este interesată vital în această prelucrare; la angajarea în câmpul muncii atunci când starea de sănătate nu permite anumite posturi; în cazul asociațiilor sau alte instituții cu non-profit și cu specific politic, filozofic sau religios, care prelucrează datelor membrilor sau altor persoane (aceste date sunt speciale deoarece sunt susceptibile să dezvăluie convingerile religioase sau politice ale persoanelor în cauză); în cazul în care datele speciale sunt utilizate în procedurile juridice de către autoritățile de drept sau alte autorități publice pentru înfăptuirea justiției; atunci când datele privind starea sănătății sunt utilizate pentru controale medicale și administrarea de tratamente de către reprezentanții instituțiilor medicale [Eroare: nu s-a găsit sursa de referință].
Directiva 95/46/CE stabilește că statele membre pot introduce în legislația națională și alte temeiuri juridice pentru prelucrarea datelor, atâta timp cât sunt îndeplinite trei condiții: (i) datele sunt prelucrate dintr-un un motiv de interes public important; (ii) se prevede astfel prin legislația internă sau prin decizia autorității naționale de supraveghere; și (iii) legislația internă sau decizia autorității de supraveghere include garanții în vederea protecției adecvate a intereselor persoanelor vizate.
Securitatea prelucrării datelor
Securitatea prelucrării datelor reprezintă obligația operatorului de a adopta și întreprinde măsuri tehnice și organizatorice pentru a preveni accesul neautorizat în prelucrarea datelor personale. Securitatea datelor depinde de sensibilitatea datelor prelucrate și capacitățile operatorului, precum și de competența persoanelor împuternicite cu asigurarea securității și confidențialității datelor.
Ambele legislații, atât a UE [Eroare: nu s-a găsit sursa de referință] câr și a Consiliului Europei [Eroare: nu s-a găsit sursa de referință] prevăd măsuri de securitate minime care trebuie întreprinse de operator în prelucrarea datelor. Însă există standarde speciale pentru anumite domenii industriale sau de comunicații, elaborate pentru securizarea prelucrării datelor, precum și inițiative care presupun acordarea certificatului de conformitate cu reglementările UE. Acestea se referă în special la echipamente și programe electronice.
Însă pentru securizarea datelor nu este suficient să fie asigurat echipamentul necesar. Gestionarea corectă a proceselor de prelucrare a datelor prin măsuri organizatorice este la fel de importantă. Aceasta presupune în primul rând stabilirea obligațiilor personalului în materie de securitate a datelor, în special în privința datelor speciale. Instruirea și formarea personalului în securitatea prelucrării datelor este un alt element important pentru asigurarea efectivă a securității. În sfârșit, este nevoie de proceduri de verificare pentru a garanta că măsurile adecvate de securitate sunt nu doar prevăzute pe hârtie, dar și implementate în practică.
Măsurile organizatorice mai pot fi asigurate prin stabilirea unor instrumente specifice, cum ar fi desemnarea responsabililor de protecția datelor, efectuarea auditurilor, sau simularea situațiilor de criză. Dacă operatorul nu stabilește măsurile adecvate, acesta poate fi tras la răspundere. În cauza I. împotriva Finlandei, CEDO a considerat faptul că operatorul nu instituie un mecanism de urmărire a prelucrări datelor ca fiind o încălcare de securitate [Eroare: nu s-a găsit sursa de referință].
Confidențialitatea datelor trebuie asigurată de către toți cei implicați în prelucrarea datelor. Obligația de a păstra confidențialitatea trebuie inclusă în orice contract încheiat între operatori și persoanele împuternicite de către aceștia. Mai mult, operatorii trebuie să indice o obligație juridică de confidențialitate în contractele încheiate cu angajații. Încălcarea atribuțiilor profesionale de confidențialitate se pedepsește conform dispozițiilor codului contravențional iar în unele cazuri, în dependență de prejudiciul pricinuit, se poate aplica și codul penal.
Potrivit legislației UE și a Consiliului Europei, operatorii prelucrărilor de date au obligația să informeze în prealabil persoana vizată cu privire la intenția de prelucrare [Eroare: nu s-a găsit sursa de referință]. Informarea trebuie să conțină scopul prelucrării, precum și identitatea și datele de contact ale operatorului [Eroare: nu s-a găsit sursa de referință]. În cazul în care datele sunt colectate de la persoana vizată, informațiile trebuie furnizate, cel târziu, la momentul colectării. În cazul în care datele sunt colectate de la terți, informațiile trebuie furnizate, cel târziu, fie la momentul în care operatorul înregistrează datele, fie înaintea dezvăluirii datelor pentru prima dată unui terț. Persoana nu necesită a fi informată dacă deja deține aceste informații [Eroare: nu s-a găsit sursa de referință]. De asemenea nu se informează atunci când datele se vor prelucra în scopuri statistice și de cercetare istorică și științifică.
Legislația națională poate obliga operatorii să notifice autoritățile naționale de supraveghere referitor la procesurile de prelucrare a datelor, astfel încât acestea să poată fi făcute publice în scopul asigurării transparenței acestor operațiuni. De asemenea, operatorii pot impune aplicarea anumitor instrumente de securitate: să angajeze responsabili de protecția datelor cu caracter personal, care să răspundă de păstrarea unui registru cu operațiunile de prelucrare efectuate de operator. Registrul intern trebuie să fie pus la cerere la dispoziția publicului [Eroare: nu s-a găsit sursa de referință].
2.5. Deficiențele reglementărilor europene cu privire la protecția datelor
Acest paragraf analizează principalele neajunsuri rezultate din sistemul de protecție a datelor cu caracter personal la nivel european. Este o analiză în primul rând a provocării cu care se confruntă autoritățile pentru protecția datelor, respectarea legislației în domeniu, remedii, căi de atac împotriva sancțiunilor pentru încălcărilor posibile a drepturilor la respectarea vieții private, și activități de sensibilizare a drepturilor.
Autoritățile de protecție a datelor
Organizarea, funcționarea și activitățile autorităților pentru protecția datelor au mai multe deficiențe. Structural, o problemă majoră rezultă din lipsa de independență ale mai multor autorități de supraveghere. Într-o serie de state membre (de exemplu, Lituania, Letonia, Estonia, Irlanda și Regatul Unit), există preocupări cu privire la capacitatea personalului delegat în cadrul autorităților naționale de control pentru protecția datelor de a-și îndeplini misiunea în deplină autonomie [Eroare: nu s-a găsit sursa de referință, p. 42]. Această problemă este legată în primul rând de procedura de numire a delegaților, când guvernul are puterea exclusivă de a selecta personalul de conducere, fără preaviz, de control sau de aprobare a legiuitorului. Acestea ar putea fi eliminate prin reformarea procesului de numire. Directiva 95/46/CE ar putea fi, de asemenea, modificată pentru a defini în mod mai precis în materie de sarcini independența, (în prezent prevăzută la Art. 28, alineatul 1, din Directiva 95/46/CE).
La nivel de funcționare, o problemă majoră este lipsa de personal și resurse financiare adecvate în mai multe autorități de supraveghere. În multe state membre, autoritățile de protecție a datelor nu sunt în măsură să efectueze pe deplin sarcinile lor, din cauza resurselor financiare și umane limitate de care dispun. Acesta este cazul în Austria, Bulgaria, Cipru, Franța, Grecia, Italia, Letonia, Țările de Jos, Portugalia, România și Slovacia [Eroare: nu s-a găsit sursa de referință, p. 42]. Pentru autoritățile de supraveghere, capacitatea de a avea o autonomie financiară si de specialitate a personalului este esențială nu numai pentru a asigura efectiv protecția drepturilor la datele cu caracter personal, ci, de asemenea, o condiție prealabilă pentru independența reală față de alte autorități publice.
Operațional, competențele de control ale mai multor autorități generează îngrijorare. În unele state membre, autoritățile naționale pentru protecția datelor nu au autoritate deplină să efectueze investigații, intervenții în timpul operațiunilor de prelucrare a datelor, așa cum sunt prevăzute de Directiva 95/46/CE. În Austria, Ungaria și Polonia, autoritățile de supraveghere nu pot pune în aplicare deciziile lor ca operatorul să înceteze comportamentul său ilegal. În Germania și Belgia, ele nu pot ordona blocarea sau distrugerea datelor sau să impună o interdicție temporară sau definitivă a prelucrării lor. În Franța și Marea Britanie, ei nu pot intra în clădirile în care datele cu caracter personal sunt prelucrate fără a obține mai întâi un mandat. Mai mult decât atât, în multe țări (de exemplu, Austria, Franța, Grecia, Ungaria, Irlanda, Italia, Lituania, Malta, Polonia, Republica Cehă, România, Marea Britanie, și Slovenia) autoritățile de supraveghere sunt consultate numai aleatoriu de legislatură la elaborarea de legi care ar putea avea un impact asupra chestiunilor legate de respectarea vieții private și protecția datelor deoarece legiuitorul nu consimte necesar să facă acest lucru [Eroare: nu s-a găsit sursa de referință, p. 42]. Punerea în aplicare incompletă a prevederilor Directivei 95/46/CE nu doar este o încălcare a dreptului comunitar, ci și reprezintă un decalaj semnificativ în sistemul național pentru protecția datelor cu caracter personal care ar putea compromite eficiența sistemului. Din moment ce dreptul comunitar este deosebit de clar în ceea ce privește puterea autorităților de protecție a datelor, ar trebui aduse modificări în legislațiile naționale pentru a aduce normele naționale, în conformitate cu cerințele stabilite la UE.
Respectarea legislației
Diverse lacune apar atunci când se ia în considerare nivelul real de conformitate cu legislația privind protecția datelor, în special în ceea ce privește obligația de înregistrare la care sunt supuși operatorii publici și privați responsabil pentru operațiunile de prelucrarea datelor. În timp ce în unele state membre, este dificil de a evalua aplicarea efectivă a legislației privind protecția datelor din cauza lipsei de informații exacte, se pare că în mai multe țări (de exemplu, Bulgaria, Danemarca, Letonia, Țările de Jos, Portugalia, România și Slovacia), există un decalaj între protecția drepturilor la viață privată la nivel de legislație, care se poate conforma în mod oficial cu cerințele stabilite de legislația europeană și internațională, și protecția acestor drepturi în practică. De exemplu, nivelul de conformitate cu legislația privind protecția datelor este surprinzător de mic în instituțiile publice din Estonia și România [Eroare: nu s-a găsit sursa de referință, p. 43].
Mai mult decât atât, în majoritatea țărilor, lipsa de concepte clare (sau interpretări comune) pe concepte relevante (cum ar fi „date personale”, „fișier”, „tratament”, etc.) creează incertitudini cu privire la activitățile ce cad sub incidența legislației privind datele personale. Grupul de lucru Art. 29 joacă un rol esențial în eforturile de a stabili o înțelegere comună a acestor termeni vagi, dar acest proces depinde și de acceptarea și aplicarea acestor interpretări în statele membre. Dispersia legislației privind protecția datelor în diferite legi sectoriale specifice, cum este cazul în Finlanda și Grecia, este, de asemenea, o sursă de complexitate și inconsecvență [Eroare: nu s-a găsit sursa de referință, p. 43]. Prin urmare, o aplicație de bune practici a standardelor de protecție a datelor de către părțile interesate ar putea fi suficientă pentru a face față problemei: legi suplimentare și dispoziții vagi. Cele mai multe dintre golurile rezultate din natura complexă și imprecisă a legislației privind protecția datelor sunt legate în mare măsură de modul de redactare a Directivei 95/46/CE; în acest sens, trebuie găsite soluții la nivelul UE.
Sancțiuni, reparare și efecte juridice
Din sistemele naționale provin anumite probleme în ceea ce privește căile de atac, sancțiunile și reparațiile, precum și aplicarea normelor de protecție a datelor în contextul ocupării forței de muncă. Câteva țări au deficiențe în ceea ce privește sancțiunile care pot fi impuse de autoritatea responsabilă de protecția datelor cu caracter personal, fie pentru că amenzile au un efect limitat sau sunt rareori aplicate, sau pentru că, pur și simplu, autoritățile de supraveghere nu au pus în aplicare practici pentru a le impune (Austria, Belgia, Danemarca, Finlanda, Ungaria, Lituania, Polonia și Regatul Unit) [Eroare: nu s-a găsit sursa de referință, p. 43]. Sistemul de aplicare a legii este de asemenea afectat negativ de lipsa obligației legală ca subcontractanții să raporteze încălcările de prelucrare a datelor. În unele țări (de exemplu, Germania, Austria, Franța, Ungaria, Letonia, Țările de Jos, Polonia și Marea Britanie), urmărirea penală și sancțiunile pentru încălcările legii referitoare la protecția datele cu caracter personal sunt foarte limitate [Eroare: nu s-a găsit sursa de referință, p. 44]. În ceea ce privește daunele cu privire la reparații venite din partea entităților private, în mai multe state membre (de exemplu, Cipru, Estonia, Finlanda, Irlanda, Letonia, Malta, Țările de Jos, Polonia, Marea Britanie și Suedia), sistemul juridic național exclude posibilitatea de a solicita despăgubiri pentru încălcarea drepturilor de protecție a datelor, datorită combinației de mai mulți factori, cum ar fi sarcina probei, dificultățile în cuantificarea prejudiciului și sprijinul rar al autorităților de supraveghere care sunt în principal angajate în activități de promovare [Eroare: nu s-a găsit sursa de referință, p. 44].
Cunoașterea drepturilor
În unele state membre (cum ar fi Bulgaria, Lituania și Slovacia), autoritățile de supraveghere nu au configurat încă site-ul propriu care să permite publicului larg pentru a accesa toate informațiile privind domeniul protecția datelor și a vizualiza ușor notificările și reglementările elaborate de către autoritatea de protecție a datelor. În plus, preocupările legate de publicitate și transparență a activităților actuale a autorităților de protecție a datelor au fost suspendate în unele țări (de exemplu, Bulgaria și Malta), în special atunci când autoritatea de supraveghere negociază la amiabil cu infractorii privind protecția datelor, fără a-i pune la dispoziția publicului (de exemplu, Regatul Unit) [Eroare: nu s-a găsit sursa de referință, p. 44]. În aceste condiții, este puțin probabil ca o nouă legislație, fie la nivel european, fie național să îmbunătățească situația actuală. Autoritățile naționale de protecție a datelor ar trebui să poată mai degrabă rearanja munca lor pentru a oferi asistență în timp util pentru cei afectați. Schimbarea atitudinii ar fi necesară pentru a crește publicitatea făcută activităților lor și a sensibiliza părțile interesate în dreptul de protecție a datelor.
Domenii problematice privind protecția datelor personale
Există trei aspecte care sunt exceptate de aplicarea legii privind protecția datelor, sau care nu sunt reglementate în mod eficient:
excluderea regimului de protecție a datelor pentru activitățile legate de securitatea statului (de exemplu, serviciile de informații);
protecția datelor referitoare la starea de sănătate a unei persoane; și
supravegherea video.
În ce privește protecția datelor legate de securitatea statului, Directiva 95/46/CE prevede că „statele membre pot adopta excepții și restricții în sfera de aplicare a obligațiilor și drepturilor privind prelucrarea datelor, atunci când astfel de excepții și restricții constituie măsuri necesare pentru a proteja: (a) securitatea statului; (b) de apărare; (c) siguranța publică”.
Excepțiile prevăzute la Art. 13, alineatul 1 a), c), din Directiva 95/46/CE sunt interconectate. În diferite state membre (Danemarca, Grecia, Irlanda, Luxemburg, Portugalia și România), aceste excepții sunt identificate fiind principalele domenii excluse din domeniul de aplicare al Legii cu privire la protecția datelor. Acest lucru este de așteptat din cauza modului de redactare a Art. 13 alineatul (4) din Directiva 95/46/CE. Cu toate acestea, patru probleme majore trebuie luate în considerare în interpretarea acestei dispoziții.
În primul rând, formularea prevede „restricții” în contextul problemelor de securitate. Acest lucru nu trebuie interpretat ca echivalent „excepțiilor”, la domeniul de aplicare al Directivei. Restricția este o limitare nu o excludere totală.
În al doilea rând, în conformitate cu primul considerent din Directivă, prelucrarea datelor cu caracter personal se bazează pe Convenția Europeană a Drepturilor Omului. În plus, al treilea considerent din preambul prevede în mod explicit că drepturile fundamentale ale persoanelor fizice trebuie respectate.
În al treilea rând, esența însăși a structurii generale a Directivei nu este de a delimita un domeniu fără supraveghere în care statele membre ar fi exceptate de la exigențele legale. Dimpotrivă, avându-se în vedere probleme de securitate a statului, este nevoie de un test de proporționalitate, care va cântări drepturile fundamentale și a altor interese dar nu pur și simplu ignorarea celor dintâi.
În al patrulea rând, Directiva trebuie interpretată în conformitate cu Art. 8 din Carta Drepturilor și Libertăților Fundamentale a UE, care, potrivit noului Art. 6 din Tratatul privind Uniunea Europeană are „aceeași valoare juridică ca și tratatele”. Art. 8 nu poate fi limitat decât în condițiile prevăzute de Art. 52 din Cartă care prevede că drepturile din Cartă pot fi limitate doar prin lege, respectând principiul proporționalității și în spirit democratic.. Art. 13, alineatul 1, din Directiva 95/46/CE prevede excepții și limitări în ceea ce privește siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când operațiunea de prelucrare se referă la securitatea statului) și activitățile statului în domeniul dreptului penal. Amploarea acestor excepții și limitări sunt neclare. În mai multe state membre, aceste zone sunt excluse din legislația privind protecția datelor. Acest lucru lasă un câmp foarte larg nereglementat cu consecințe grave pentru protecția drepturilor fundamentale. În conformitate cu Art. 52 din Carta Drepturilor și Libertăților Fundamentale a UE, orice restrângere a exercițiului drepturilor și libertăților recunoscute de Cartă "„trebuie să fie prevăzută de lege și să respecte substanța acestor drepturi și libertăți [Eroare: nu s-a găsit sursa de referință]”.
Protecția datelor despre sănătatea persoanelor
În mai multe țări (de exemplu, Bulgaria, Suedia și Slovenia) au apărut preocupări în ceea ce privește domeniul de aplicare al protecției informațiilor legate de sănătate. Art. 8, alin. 2 a Directivei 95/46/CE prevede că statele membre vor interzice prelucrarea datelor privind starea de sănătate a indivizilor. Art. 8, alin. 3, prevede o excepție de la alin. 2, atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, administrarea și gestionarea serviciilor de sănătate și când aceste tratamente sunt efectuate de un subiect profesionist în medicină în condițiile legii naționale sau regulamentelor adoptate de autoritățile naționale sau de către o altă persoană supusă unei obligații echivalente de confidențialitate.
Acordarea accesului la toate datele pacientului întregului personal medical poate îmbunătăți eficiența serviciului și facilita gestionarea urgențelor medicale prin economisirea timpului. Cu toate acestea, într-o asemenea situație mai mulți oameni au acces la date speciale, astfel crescând riscul de scurgeri a acestor date. În acest caz, accesibilitatea poate fi decisă pe baza poziției, specialității medicale și nivelului de cooperare stabilit.
Încercările de a oferiți o soluție forțată la aceasta problemă printr-un instrument european pot provoca un impact grav asupra sectorului de îngrijire a sănătății în statele membre. Pare mult mai plauzibil să se facă în așa fel, ca reglementările pentru personalul medical în ceea ce privește respectarea confidențialității și a vieții private să fie în concordanță cu obiectivele Directivei pentru a asigura protecția drepturilor individuale eficient, fără a compromite, de asemenea, dreptul lor de tratare [Eroare: nu s-a găsit sursa de referință].
În unele state membre, legislatorii au elaborat recent legi în acest domeniu. De exemplu, în Belgia, a fost propusă o lege pentru instituirea unei platforme „e-sănătate” prin care datele și informațiile medicale vor fi schimbate electronic între profesioniștii și instituțiile din sectorul de sănătate, în scopul de a simplifica și îmbunătăți sistemul de sănătate [Eroare: nu s-a găsit sursa de referință]. Cu toate acestea, având în vedere că medicii, spitalele, societățile de asigurări de sănătate și unele instituții de securitate socială vor avea acces la această platformă, viața privată a pacienților nu poate fi suficient de protejată.
Protecția datelor în legătură cu supravegherea video
După cum este menționat mai sus, înregistrarea video a fost recunoscută printre domeniile care ar putea provoca îngrijorare în ceea ce privește respectarea dreptului la protecția datelor. În Austria, marea majoritate a camerelor de supraveghere nu sunt înregistrate și nu se află sub supravegherea și controlul autorității naționale responsabile de protecția datelor [Eroare: nu s-a găsit sursa de referință, p. 45]. În Germania, au fost raportate cazuri de supraveghere video disimulate de angajați la locul de muncă [Eroare: nu s-a găsit sursa de referință, p. 45]. În plus, dreptul la auto-determinare personală este adesea încălcat dacă indivizii sunt insuficient informați cu privire la utilizarea sau prelucrarea datelor lor. Un exemplu notabil de supraveghere video la locul de muncă este cazul supravegherii de administrația autorității naționale de concurență din Cipru de către conducătorul autorității, care a dus în cele din urmă la demisie. În Grecia, autorității naționale competente pentru protecția datelor i-a fost refuzat accesul în comisariatele de poliție unde prelucrarea datelor evident are loc. În Marea Britanie, există unele restricții privind utilizarea de camere video pentru a monitoriza locurilor publice, iar Marea Britanie este, una dintre țările lumii, care are cele mai mare număr de camere.
Directiva 95/46/CE nu indică o regulă detaliată privind supravegherea video. Însă din prevederile pe care le oferă [Eroare: nu s-a găsit sursa de referință], este clar că aceste date corespund în mare măsură definiției „datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință]”, așa cum ele sunt descrise în legislație și, prin urmare, o persoană are dreptul la protecția oferită de dreptul UE.
Cu toate acestea, Art. 33 din Directiva 95/46/CE prevede: „Comisia examinează, în special, aplicarea prezentei directive la prelucrarea datelor constituite din sunete și imagini, referitoare la persoane fizice, și prezintă propunerile corespunzătoare care se dovedesc a fi necesare ținând seama de realizările din domeniul tehnologiei informației și având în vedere evoluția societății informaționale”. Din această referință rezultă de fapt că UE acordă o importanță deosebită supravegherii video. Trebuie de remarcat faptul că Grupul de lucru Art. 29 a furnizat o notificare în această privință [Eroare: nu s-a găsit sursa de referință]. Ținând cont de particularitățile tehnice intrinseci ale datelor de sunet și imagine și multiplele efectele potențiale asupra drepturilor persoanelor, trebuie examinată oportunitatea adoptării legislației europene separate în acest domeniu.
Problema protecției datelor în contextul supravegherii video este parte dintr-o dezbatere mai largă: necesitatea de a actualiza legislația privind protecția datelor ținând seama de progresele tehnologice. Progresele recente și actuale (cloud computing, implanturile electronice în corpul uman) reprezintă noi provocări care trebuie abordate de urgență. Interacțiunile pe Internet, în special pe site-urile sociale precum Facebook și Twitter, creează preocupări în ce privește „identitatea digitală” a fiecăruia și modul în care aceasta este protejată sub auspiciul dreptului fundamental la protecția datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință]. In zilele noastre, aceasta este o componentă esențială a identității și personalității în ansamblu a unei persoane. Ca atare, ea merită un nivel de protecție echivalent cu alte aspecte ale personalității „tradiționale”. „Identitatea digitală” este indisolubil legată de „viața digitală” a unei persoane. În marele spațiu virtual, o persoană poate stabili prezența sa și activitățile sale care anterior erau concepute doar în domeniul public real.
„Ar trebui să se acorde o atenție deosebită în acest sens lucrărilor forumului privind guvernanța internetului și „Cartei Internetului”, a menționat într-o recomandare Parlamentul European privind consolidarea securității și a libertăților fundamentale pe internet [Eroare: nu s-a găsit sursa de referință].
3. DREPTUL LA PROTECȚIA DATELOR ÎN REPUBLICA MOLDOVA
În Republica Moldova, domeniul protecției datelor cu caracter personal este la stadiul incipient de dezvoltare. Până la adoptarea primei legi în acest domeniu în anul 2007, legislația RM prevedea o anumită protecție a datelor doar ca element al dreptului la viața privată garantat de Constituție. Constituirea dreptului sui generis la protecția datelor este dictat de procesul de integrare europeană și necesitatea armonizării legislației cu prevederile europene. Dezvoltarea dreptului la protecția datelor a fost impulsionat odată cu crearea Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) și cu adoptarea unei legi noi în 2011, care în mare parte corespunde cerințelor Directivei 95/46/CE. Totuși, aplicarea în practică a reglementărilor cu privire la protecția datelor este departe de a fi efectivă și necesită un înalt nivel de conștientizare în întreaga societate.
3.1. Legislația Republicii Moldova cu privire la protecția datelor cu caracter personal
Întâi de toate, este important de menționat că în RM principiile și normele unanim recunoscute ale dreptului internațional, tratatele internaționale ratificate și cele la care RM a aderat sunt parte componentă a cadrului legal național și sunt norme ale dreptului intern. Astfel, normele dreptului intern și cel internațional sunt unitare [Eroare: nu s-a găsit sursa de referință]. Republica Moldova a aderat la Convenția 108, care a intrat în vigoare pentru RM la 1 iunie 2008. În consecință, toate prevederile Convenției 108 menționate mai sus sunt reglementări imperative pentru RM. De asemenea jurisprudența CEDO este parte a dreptului intern [Eroare: nu s-a găsit sursa de referință]. Totuși, acest paragraf va trece în revistă principalele instrumentele juridice naționale legate de protecția datelor cu caracter personal.
Constituția Republicii Moldova
Art. 28 din Constituția RM garantează dreptul la viață privată care spune că „statul respectă și ocrotește viața intimă, familială și privată”.
Interpretarea Comisiei Europene referitor la dreptul la viața privată spune că: dreptul la respectarea vieții private este dreptul la intimitate, dreptul de a trăi așa cum dorești, protejat de publicitate [Eroare: nu s-a găsit sursa de referință, p. 62]. Cunoscutul jurist Manfred Nowak a interpretat această noțiune în contextul analizei Pactului Internațional cu privire la Drepturile Civile și Politice, indicând că „respectul vieții intime și private protejează un domeniu special al existenței și autonomiei umane care nu se extinde asupra sferei libertății și vieții private ale altor persoane”. El prezintă câteva caracteristici [Eroare: nu s-a găsit sursa de referință, p. 294-299] importante legate de acest drept:
Identitatea este un aspect al existenței individuale, care presupune protejarea vieții, integrității fizice și psihice, libertatea conștiinței și gândirii și recunoașterea personalității juridice. Protejarea vieții private include și ocrotirea calităților individuale ale existenței umane, felul în care persoana se manifestă, identitatea ei (de exemplu, numele, ținuta, sexul, sentimentele și opiniile etc.).
Integritatea – protejarea contra tratamentelor inumane sau degradante. De exemplu, percheziția corporală neautorizată sau administrarea unui tratament medical contra voinței persoanei și în afara cadrului legal, deoarece integritatea este înțeleasă în sensul psihic și fizic.
Intimitatea – nedezvăluirea în fața publicului a caracteristicilor, acțiunilor și datelor personale. La determinarea gradului de caracter privat al informației, o serie de factori urmează a fi luați în considerație, inclusiv conduita specifică și sentimentele subiective trăite de persoană. În sens îngust, intimitatea este asigurată prin respectul locuinței și corespondenței, la fel și de protecția datelor personale. În sens mai larg, intimitatea se manifestă și prin respectul tainei mărturisirii1 și garanția secretului – de exemplu, caracterul secret al votului individual.
Autonomia – domeniul în care ființele umane se străduiesc să se realizeze fără ingerință în libertățile altora.
Comunicarea – dreptul la intimitate cuprinde, de asemenea, într-o anumită măsură dreptul de a stabili și întreține relații cu alte ființe umane, în special în domeniul emoțional, pentru dezvoltarea și realizarea propriei personalități.
Identitatea sexuală – autonomia sexuală este un aspect cu o importanță particulară. Reglementarea relațiilor care nu au loc în public constituie o formă de ingerință în viața intimă și în cadrul limitelor specifice. De exemplu, ingerința este permisă doar atunci când este absolut necesară pentru protecția părților afectate, de exemplu, drepturile copilului, și nu este admisibilă în cazurile în care o anumită practică sexuală este în conflict cu concepțiile generale. În temeiul acestui raționament, Curtea Europeană a Drepturilor Omului a considerat criminalizarea homosexualității3 drept violare a Convenției, cu excepția raporturilor sexuale cu minorii, unde ingerința statului a fost considerată drept permisibilă.
Aceste caracteristici ale vieții private nu ar putea fi încălcate dacă nu s-ar cunoaște identitatea persoanei în privința cărora au fost divulgate informații ce lezează oricare din aceste aspecte. Așadar protecția identității persoanei vine să sprijine dreptul la viață privată.
Prin urmare protejarea datelor personale a persoanei include dreptul la: consimțământul persoanei în divulgarea datelor; păstrarea anonimatului; respectarea confidențialității; rectificarea datelor neadecvate, incorecte, incomplete, neactualizate, nerelevante etc.; dreptul de a se adresa instanțelor de judecată. Datele cu caracter personal privind starea de sănătate sau viața intimă, precum și cele privind condamnările penale, constituie categorii speciale de date cu caracter personal [Eroare: nu s-a găsit sursa de referință].
Legea cu privire la protecția datelor cu caracter personal
Chiar dacă Convenția 108 a fost semnată în 1998, procesul de elaborare al unei legi cadru în domeniul protecției datelor personale a fost dificil. Deși Ministerul Transporturilor și Comunicațiilor a încercat încă din 2001 să promoveze o astfel de lege, această încercare a fost amânată până în 2007, din cauza lipsei de voință politică la nivel guvernamental pentru acest act normativ.
În anul 2007, Parlamentul RM a adoptat prima lege în domeniu – Legea Nr. 17 cu privire la protecția datelor cu caracter personal din 15 Februarie 2007 [Eroare: nu s-a găsit sursa de referință]. Această lege îndeplinea condițiile din Convenția 108 a Consiliului Europei. Deficiențele majore ale acestei legi au constatat în dificultatea de a aplica amenzi și lipsa mecanismelor de notificare a CDPDCP privind prelucrarea datelor cu caracter personal. Acestea nu produceau efecte sau consecințe pentru că nu era prevăzută obligativitatea creării unui registru al operatorilor, condiție prevăzută de Convenția 108.
Însă procesul de integrare europeană impune noi cerințe, iar reglementările interne urmează să fie aproximate la prevederile legale ale UE. Astfel, legea cu privire la protecția datelor cu caracter personal trebuia mai degrabă să corespundă cu normele Directivei 95/46/CE, care de altfel, sunt mai exigente decât cele prevăzute de Convenția 108 și Legea Nr. 17. Prin urmare legea Nr. 17 nu era suficientă, iar modificarea ei prea complicată. Astfel, la 08 iulie 2011, a fost adoptată o nouă lege cu privire la protecția datelor cu caracter personal. Legea Nr. 133 din 08.07.2011 se aplică prelucrării datelor cu caracter personal efectuate, în totalitate sau parțial, prin mijloace automate, precum și prelucrării prin alte mijloace decât automate.
Legea Nr. 133 transpune în legislația națională Directiva 95/46/CE și stabilește cadrul legal fundamental pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal în R. Moldova. Acesta reglementează condițiile specifice în care prelucrarea datelor cu caracter personal pot fi considerate legale. Dispozițiile sale abordează, de asemenea, factori cruciali cum ar fi prelucrarea legitimă, calitatea datelor, definițiile termenilor fundamentali (de exemplu operator, sub rezerva de date, prelucrare etc.), drepturile persoanelor vizate și obligațiile operatorilor de date cu caracter personal, desemnarea Centrului Național pentru Protecția Datelor cu Caracter Personal ca autoritate de supraveghere. În plus, furnizând garanții în ceea ce privește colectarea și prelucrarea datelor cu caracter personal, Legea interzice prelucrarea datelor „speciale” cu privire la rasa unei persoane, opiniile politice, religioase, cu privire la sănătate, viața sexuală, cazier judiciar, etc. Legea recunoaște, de asemenea, drepturi corelate pentru persoana vizată, astfel ca dreptul de a fi informat cu privire la prelucrare, dreptul de acces la informații, dreptul de a se opune în orice moment la prelucrare, cu condiția ca persoana are motive legitime în acest sens. În plus, persoana vizată are dreptul de a se opune prelucrării datelor sale personale, în cazul în care prelucrarea este îndreptată spre cercetare de marketing, pentru a obține sau de a transmite informații comerciale, publicitate sau informații legate de marketing.
Legea Nr. 133 se aplică prelucrării datelor cu caracter personal, efectuate, în totalitate sau parțial, prin mijloace automate, precum și prelucrării prin alte mijloace decât automate, care fac parte din, sau destinate, unui sistem de evidență. Datele cu caracter personal se înțelege orice informație referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în special cu referire la un număr de identificare sau la unul sau mai multe detalii ce țin de identitatea sa fizică, fiziologică, psihică, economică, culturală sau socială. Legea stipulează normele cu privire la prelucrarea datelor cu caracter personal și a principiului interzicerea prelucrării datelor cu caracter personal legate de originea etnică sau rasială, de politică, opinii religioase sau filozofice sau de altă natură similară, de aderență sindicală, și, de asemenea, de date cu caracter personal referitoare la starea de sănătate sau viața sexuală.
De asemenea, Legea stabilește normele pentru prelucrarea corectă și responsabilă a informațiilor cu caracter personal de către sectorul public și privat. Informațiile personale sunt definite ca „orice informație referitoare la o persoană fizică, persoană juridică sau grup de indivizi care dezvăluie identitatea fizică, psihologică, psihică, economică, culturală sau publică, indiferent de forma sau metoda utilizată pentru înregistrarea lor.”
Entitățile care colectează informații cu caracter personal trebuie să informeze oamenii privind temeiul colectării și în ce scop vor fi utilizate; să permită un acces rezonabil la informații despre ei înșiși și dreptul de a corecta dacă sunt greșite; să se asigure că informațiile sunt deținute în siguranță, și nu pot fi modificate, furate sau utilizate în mod necorespunzător; a limita utilizarea informațiilor cu caracter personal în alte scopuri decât în scopul inițial, fără consimțământul persoanei afectate. Informațiile speciale, inclusiv informații cu privire la rasă sau etică origine, apartenență politică sau religioasă, sănătatea, viața sexuală, și credință, este garantată o protecție specială și pot fi prelucrate numai cu acordul expres scris al unui individ.
Regulamentul Consiliului Consultativ
Un alt act normativ legat de protecția datelor personale este Regulamentul Consiliului Consultativ [Eroare: nu s-a găsit sursa de referință] pe lângă Centrul Național pentru Protecția Datelor cu Caracter Personal, care a fost elaborat chiar de Centru și care conține diverse dispoziții procedurale legate de activitatea Consiliului. Consiliul oferă opinii și propuneri în procesul de elaborare a proiectelor de legi și reglementări în domeniul protecției datelor cu caracter personal; acordă consultații CNPDCP în domeniul politicilor ce țin de controlul și supravegherea implementării practice a prevederilor legislației privind prelucrarea și transferul transfrontalier al datelor cu caracter personal, apărarea drepturilor subiecților datelor cu caracter personal și reprezentarea acestora în instanța de judecată; examinează situații problematice particulare nereglementate normativ sau legislativ, în vederea identificării barierelor existente și găsirea soluțiilor optime întru soluționarea acestora.
Președintele Consiliului Consultativ este directorul CNPDCP. În componența Consiliului Consultativ, imperativ, trebuie să fie incluși președinții Comisiei pentru securitatea națională, apărare și ordinea publică și Comisiei pentru drepturile omului ale Parlamentului, reprezentanți ai Aparatului Parlamentului, Aparatului Președintelui Republicii Moldova, Aparatului Guvernului, ai organelor administrației publice centrale și locale, ai organizațiilor obștești care se ocupă cu domeniul protecției drepturilor omului în legătură cu prelucrarea datelor cu caracter personal. În Consiliulu mai pot fi incluși și specialiști din instituțiile de cercetări științifice, de învățămînt superior, care fac cercetări sau activează în acest domeniul.
Prin vot majoritar, la ședințele Consiliului Consultativ pot fi invitate și alte persoane în calitate de experți pentru a oferi consultanță pe durata ședințelor reieșind din tematica abordată la ședință. De asemenea, pot fi invitați și reprezentanți din instituții internaționale.
Membrii Consiliului Consultativ sînt obligați să păstreze confidențialitatea informațiilor și datele cu caracter personal abordate la ședințe.
Consiliul Consultativ convoacă ședințe semestriale. În anumite cazuri, Președintele Consiliului poate convoca ședințe extraordinare la propria inițiativă sau atunci când unul sau mai mulți membri o solicită. Ședințele pot să fie desfășurate în formă deschisă sau închisă, la decizia în urma votului majoritar a Consiliului și are loc în incinta Centrului Național pentru Protecția Datelor cu Caracter Personal.
Cerințele față de asigurarea securității datelor
Hotărârea Guvernului nr. 1123 din 14.12.2010 privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal [Eroare: nu s-a găsit sursa de referință]. Este un act normativ secundar care stabilește măsurile tehnice și organizatorice necesar la implementarea de către operatorii de date cu caracter personal pentru a asigura integritatea, confidențialitatea și securitatea datelor cu caracter personal, care sunt prelucrate în cadrul sistemelor de evidență informaționale cu date cu caracter personal și registrelor îndeplinite manual, potrivit cu prevederile art. 14 al Legii cu privire la protecția datelor cu caracter personal.
Acest act normativ conține norme pentru îndeplinirea obligațiilor de asigurare a dreptului la viață privată a persoanei și înlăturării riscurilor intruziunii factorilor externi în desfășurarea activității sistemelor de date personale.
În acest context, CNPDCP recomandă operatorii de date cu caracter personal să-și elaboreze și să stabilească o politică de securitate instituțională conform prevederilor actului normativ menționat, în scopul aducerii operațiunilor de prelucrare a datelor cu caracter personal în conformitate cu prevederile legale. Acest document oferă posibilitatea operatorilor de date cu caracter personal să se ghideze de anumite reguli, în conformitate cu care să-și stabilească individual politica de securitate și să asigure un nivel înalt de securitate al prelucrărilor de date cu caracter personal împotriva intruziunii ilegale sau din întâmplare, distrugerii, ștergerii, modificării, blocării, copierii, răspîndirii, precum și a altor acțiuni ilegale.
Registrul de evidență a operatorilor
O altă Hotărâre de Guvern, Nr. 296 din 15.mai 2010 privind aprobarea Regulamentul Registrului de evidență a operatorilor de date cu caracter personal vine să contrubuie la securitatea prelucrării datelor cu caracter personal. Acest document transpune Art. 21 din Directiva 95/46 CE, astfel aplicând unul din principiile protecției datelor personale: principiul piblicității. Art. 21 din Directiva 95/46 spune că statele membre prevăd ca autoritatea de supraveghere să țină un registru cu prelucrările notificate, care va putea fi consultat de orice persoană. Prin urmare și documentul menționat își propune ca scop stabilirea procedurilor și mecanismul de înregistrare și evidență a operatorilor, a bazelor de date, a sistemelor informaționale și informatice în care sînt stocate și prelucrate date cu caracter personal, precum și de asigurare a dreptului la informare a oricărei persoane.
Alte acte normative
Prin Legea Nr. 208 din 21.10.2011 pentru modificarea și completarea unor acte legislative au fost introduse o serie de modificări în mai multe acte legislative. Cele mai importante sunt:
Modificarea Codului Muncii, astfel ca să fie acordat un nivel mai înalt de protecție a datelor angajaților. În Codul Muncii s-a introdus un întreg capitol cu privire la protecția datelor cu caracter personal. Acest capitol include 4 articole. Conținutul lor se referă la obligațiile angajatorului, la drepturile angajatului și la consecințele în urma încălcării normelor de protecție a datelor cu caracter personal.
Modificarea Codului Contravențional, astfel ca CNPDCP să i se ofere statutul de agent constatator, un instrument puternic în protecția datelor personale. În Cod au fost introduse 3 articole privind încălcarea legislației privind protecția datelor cu caracter personal, refuzul furnizării informațiilor autorității naționale în cadrul investigațiilor sale și nesupunerea față de deciziile Centrului;
Modificarea Legii Nr. 982 din 11.05.2000 cu privire la accesul la informație pentru a prevede că identitatea persoanei reprezintă informație cu acces limitat. Prin urmare, deși numele și funcția unui funcționar public reprezintă informații publice, informații cum sunt adresa de domiciliu sau data nașterii sau alte informații care nu sunt relevante solicitantului nu sunt publice. Totuși, dacă funcționarul public este subiectul unei investigații, atunci legislația aplicabilă, cum este de exemplu Codul de procedură penală, cere colectarea datelor personale, astfel servind temei legal pentru prelucrarea datelor – condiție cheie în prelucrarea datelor.
Alte reglementări ale domeniului protecției datelor cu caracter personal le putem găsi în următoarele acte normative:
Legea Nr. 71 din 22.03.2007 cu privire la registre prevede în Art.4 lit.c) că unul din principiile creării și ținerii registrelor este „protecția datelor cu caracter personal ale persoanelor fizice [Eroare: nu s-a găsit sursa de referință]”;
Legea Nr. 271 din 18.12.2008 privind verificarea titularilor și a candidaților la funcții publice precizează în Art.18 că chestionarul completat de titular, candidat la funcția publică și informațiile obținute de organul de control în cadrul verificării, cu excepția informațiilor privind elementele constitutive ale unei infracțiuni și a altor date stabilite de lege, reprezintă date cu caracter personal[Eroare: nu s-a găsit sursa de referință];
Legea Nr. 200 din 16.07.2010 privind regimul străinilor în Republica Moldova indică asupra faptului că autoritatea competentă pentru străini constituie subsistem informațional, parte componentă a Sistemului informațional integrat automatizat al Biroului migrație și azil ca sistem complex de prelucrare a datelor cu caracter personal al străinilor, necesar îndeplinirii atribuțiilor legale cu privire la permisul șederii și îndepărtării străinilor de pe teritoriul Republicii Moldova. La Art. 83 Legea prevede că prelucrarea și protecția datelor personale ale străinilor se efectuează conform legii [Eroare: nu s-a găsit sursa de referință];
Art.134 din Codul familiei al Republicii Moldova Nr. 1316 din 26.10.2000, prevede că secretul adopției este ocrotit de lege, în așa mod încât persoanele oficiale, cărora le este cunoscut faptul adopției, sunt obligate să păstreze secretul acestuia, în caz contrar, acestea poartă răspundere în conformitate cu legea [Eroare: nu s-a găsit sursa de referință];
Prevederile Art. 47 al Legii Nr. 1260 din 19.07.2002 cu privire la avocatură prevede că avocatul nu este în drept să divulge informațiile confidențiale ce i-au fost comunicate în timpul acordării asistenței juridice, precum și să transmită, fără acordul clientului, unor terți documentele legate de exercitarea delegației. Obligația de a păstra secretul profesional nu este limitată în timp [Eroare: nu s-a găsit sursa de referință];
Prevederile Art.19 lit.c) Legii Nr. 1453 din 08.11.2002 cu privire la notariat prevede că datele care au devenit cunoscute în procesul exercitării funcției trebuie păstrate în taină. Instanța de judecată poate să elibereze notarul de această obligație dacă împotriva lui a fost intentat dosar penal în legătură cu îndeplinirea actului notarial. În acest sens, dispozițiile Art. 6 al Legii stipulează că persoana care desfășoară activitate notarială are obligația să păstreze secretul cu privire la actele îndeplinite și la faptele care i-au devenit cunoscute în timpul activității sale [Eroare: nu s-a găsit sursa de referință].
3.2. Analiza comparativă a protecției datelor în UE și Republica Moldova
Protecția datelor cu caracter personal este una din prevederile-cheie în contextul angajamentului RM pentru integrare europeană. De asemenea, este un element important în lupta împotriva riscurilor pe care le aduce tehnologia informațiilor, pe lângă enormele beneficii de dezvoltare. Legea Nr. 133 cu privire la protecția datelor cu caracter personal s-a bazat pe legislația Uniunii Europene, în special pe Directiva 95/46/EC. Prin urmare, pentru determinarea și analiza standardelor actuale și a gradului de conformitate a acestora cu legislația UE, este necesar de analizat diferențele și asemănările între Directiva 95/46/EC și Legea Nr. 133.
Principii și temeiuri de prelucrare a datelor
Art. 4 al Legii Nr. 133 și Art. 6 al Directivei 95/46/EC sunt similare și prevăd practic aceleași principii generale pentru prelucrarea datelor cu caracter personal :
Datele trebuie să fie prelucrate în mod corect și legal;
Datele trebuie colectate numai în scopuri explicite și legitime;
Datele trebuie să fie adecvate și neexcesive în raport cu scopurile prelucrării;
Datele trebuie să fie exacte și corecte;
Datele trebuie să fie păstrate doar atât timp cât este necesar pentru atingerea scopului pentru care au fost colectate.
Temeiurile pentru prelucrarea datelor conform Art. 5 al Legii Nr. 13 și conform Art. 7 al Directivei 95/46/EC de asemenea au un grad înalt de asemănare:
Subiectul și-a dat consimțământul;
Prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acestuia, înainte de încheierea contractului;
Prelucrarea datelor este necesară pentru îndeplinirea unei obligații care îi revine operatorului conform legii;
Prelucrarea datelor este necesară pentru protecția intereselor vitale ale subiectului;
Prelucrarea datelor este necesară pentru realizarea unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele cu caracter personal, cu condiția ca acest interes să nu prejudicieze interesele sau drepturile și libertățile fundamentale ale subiectului datelor cu caracter personal;
Prelucrarea datelor este necesară pentru protecția unui interes public important în conformitate cu legea.
Totuși, există și anumite diferențe în ceea ce privește temeiurile pentru prelucrarea datelor. Astfel, Art. 5 al Legii Nr. 133 prevede încă un temei care poate face prelucrarea datelor legitimă:
Datele pot fi prelucrate în scopuri statistice, de cercetare istorică sau științifică, cu condiția ca identitatea persoanei să rămână anonimă, adică datele cu caracter personal să fie depersonalizate pe toată durata prelucrării. Prin depersonalizare se înțelege modificarea datelor cu caracter personal astfel, încât detaliile privind circumstanțele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile ori să permită atribuirea doar în condițiile unei investigații care necesită cheltuieli disproporționate de timp, mijloace și forță de muncă.
Această prevedere este dictată de necesitatea de reglementare expresă a unor operațiuni statistice, istorice sau științifice, astfel ca să nu existe dubii de interpretare și să fie clar indicate condițiile în care pot fi prelucrate astfel de date.
Încă un punct de notat este că în Directiva 95/46/EC (Art. 8) și în Legea Nr. 133 ( Art. 6) se spune că datele speciale pot fi prelucrate dacă ele au fost făcute publice voluntar și manifest de către subiect. Aceasta presupune, însă, că dacă se cunoaște datele personale speciale despre o persoană, atunci rezultă că se cunoaște și identitatea ei care este o dată personală obișnuită. Prin urmare dacă subiectul a exprimat în public informații ce relevă identitatea sa (date obișnuite) rezultă că ele, alături de datele sale speciale, pot fi prelucrate, astfel servind ca temei legitim de prelucrare.
Când este vorba de prelucrarea categoriilor speciale de date ar trebui să spunem că Legea Nr. 133 corespunde pe deplin cu Directiva 95/46/EC, afirmând că prelucrarea categoriilor speciale de date ar trebui să fie interzisă. Definiția „categorie specială de date”, este prevăzută în Art. 3 al Legii Nr. 133 – date referitoare la originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, starea de sănătate, viața sexuală sau condamnarea unei persoane. Excepțiile în care datele speciale pot fi prelucrate sunt:
Subiectul și-a dat consimțământul în scris la prelucrarea categoriilor speciale de date;
Prelucrarea datelor este necesară pentru îndeplinirea obligațiilor de muncă cu respectarea garanțiilor prevăzute de lege;
Prelucrarea datelor este necesară pentru protejarea intereselor vitale ale subiectului sau a unei persoane terțe sau persoana vizată este în incapacitate fizică sau juridică;
Datele sunt prelucrate în scopul protecției sănătății publice, pentru protecția sănătății unei persoane fizice de către o instituție medicală (angajat), de asemenea, în cazul în care acest lucru este necesar pentru gestionarea sau funcționarea sistemului de sănătate.
Securitatea datelor
Obligația de a asigura securitatea și protecția adecvată a datelor în timpul prelucrării datelor personale este prevăzută în Art. 16-17 ale Directivei 95/46/EC, în timp ce în RM acestui aspect i-a fost consacrată o întreagă Hotărâre de Guvern Nr. 1123 din 14.12.2010 „privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal [Eroare: nu s-a găsit sursa de referință]”. Textul acestui act urmează îndeaproape bunele practici internaționale[Eroare: nu s-a găsit sursa de referință, Eroare: nu s-a găsit sursa de referință] în ceea ce privește protecția securității informației.
Totuși, corespunderea cu bunele practici internaționale poate prezenta o serie de probleme, luând în considerație situația economică a RM. Atât din punct de vedere al operatorilor de date personale privați, dar mai ales al celor publici, acest act impune obligații costisitoare și extrem de greu de îndeplinit de către operatorii mici și mijlocii sau de instituțiile publice. Sumele care se cer investite se ridică uneori la zeci de mii de euro, lucru greu de realizat în condițiile RM. De-a lungul anilor, din cauza că prevederile Cerințelor au fost greu de realizat acest fapt a dus la ignorarea în practică a acestei Hotărâri a Guvernului. Pe lângă considerentele de finanțare, există și problema nivelului jos de conștientizare referitor la aceste cerințe. Astfel, este necesară și o explicare a cerințelor de securitate în termeni ușor de înțeles destinate persoanelor nespecializate în probleme de securitate sau protecție a datelor cu caracter personal [Eroare: nu s-a găsit sursa de referință, p. 48].
Drepturile subiectului
Analizând Capitolul 3 din Legea Nr. 133, putem afirma că drepturile unui subiect de date sunt exact în conformitate cu Directiva 95/46/EC. Legea prevede ca subiectul să poată solicita informații de la un operator de date referitor la prelucrarea datelor ce-l privesc. Un operator de date ar trebui să furnizeze următoarele informații unui subiect de date:
Care informații cu privire la el sunt în curs de prelucrare;
Scopul prelucrării datelor;
Temeiurile legitime pentru prelucrarea datelor cu caracter personal;
Metodele de colectare a datelor;
Persoanele cărora datele referitoare la subiect au fost transmise, care au fost temeiurile și scopurile transmiterii.
De asemenea, orice persoană are dreptul de a verifica datele cu caracter personal referitoare la ea, stocate într-o instituție publică, și de a obține copiile acestor date gratuit, cu excepția cazurilor în care taxele pentru eliberarea datelor sunt stabilite prin lege.
În plus, și în conformitate cu standardele UE, Art. 14 al Legii Nr. 133 prevede dreptul unei persoane vizate de a cere rectificarea, modificarea, blocarea, ștergerea și distrugerea datelor.
Ca și Directiva 95/46/EC, Legea Nr. 133 prevede, de asemenea, anumite excepții și restricții privind drepturile unei persoane vizate menționate mai sus. Excepțiile din cele două acte sunt aceleași, legate de:
Interesele de securitate sau de apărare națională a țării;
Interesele de securitate publică;
Cercetarea și prevenirea infracțiunilor;
Interesele financiare sau economice importante ale țării (inclusiv monetare, chestiuni bugetare și fiscale);
Drepturile și libertățile persoanei vizate sau altor persoane.
Autoritatea de supraveghere
Art. 28 al Directivei 95/46/EC prevede obligația de numire a autorității de supraveghere privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal. Potrivit acestui articol: „Fiecare stat membru se asigură că una sau mai multe autorități publice sunt responsabile pentru monitorizarea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei Directive. Aceste autorități acționează în condiții de independență deplină în exercitarea funcțiilor încredințate lor”.
Funcționarea CNPDCP, în calitate de instituție de protecție a datelor cu caracter personal, poate fi considerată ca o punere în aplicare directă a obligației sus-menționate în legislația RM. Principalele atribuții ale autorității sunt:
monitorizează respectarea legislației cu privire la protecția datelor cu caracter personal
autorizează prelucrările de date cu caracter personal în cazurile prevăzute de lege;
emite instrucțiunile necesare pentru a aduce prelucrările de date cu caracter personal;
oferă subiecților datelor cu caracter personal informații referitoare la drepturile lor;
dispune suspendarea sau încetarea prelucrării datelor cu caracter personal;
ține registrul de evidență al operatorilor de date cu caracter personal.
Centrul este condus de un director, numit în funcție de Parlament, cu votul majorității deputaților aleși, pentru un mandat de 5 ani. Persoana numită poate ocupa funcția de director nu mai mult de două mandate consecutive. De asemenea, conducerea poate fi demisă doar la propunerea înaintată de Președintele Parlamentului, de o fracțiune parlamentară sau de un grup de cel puțin 15 deputați în următoarele cazuri: încălcare gravă a obligațiilor funcționale prevăzute de lege și în cazul unei hotărâri de condamnare definitivă în cazul săvârșirii unei acțiuni. Acest fapt asigură un înalt nivel de independență, precum cere Directiva 95/46/CE.
Conform legislației RM, CNPDCP este autorizat să efectueze examinări oricărui operator de date și persoane autorizate, din proprie inițiativă, precum și cu privire la situația unei persoane interesate.
Examinarea efectuată de CNPDP presupune:
Stabilirea protecției principiilor privind prelucrarea datelor și existența temeiurilor legitime pentru prelucrarea datelor;
Examinarea compatibilității procedurilor aplicate și organizaționale și măsurilor tehnice, în conformitate cu cerințele stabilite de actele normative;
Examinarea conformității cerințelor stabilite de prezenta lege cu privire la sistemele de evidență;
Examinarea legalității transmiterii de date către alte state și organizații internaționale;
Examinarea conformității cu normele privind protecția datelor, stabilite de prezenta lege și alte acte normative.
Prin urmare, la nivel legislativ s-au creat condiții suficiente pentru ca autoritatea să funcționeze după principiile Directivei. Însă cel puțin prima conducere a Centrului nu a corespuns cerinței legale ca candidatul să fi activat cel puțin 5 ani în domeniul protecției drepturilor omului, deși rare instituții ale statului au fost atât de implicate cu succes în procesul de realizare a condițiilor pentru Acordul de asociere a RM cu UE. De asemenea cu un buget extrem de mic [Eroare: nu s-a găsit sursa de referință, p. 51-53] atât pentru atragerea personalului competent, cât și pentru activitățile de conștientizare nu putem vorbi de o funcționare adecvată nici la standarde minime. Autonomia Centrului este limitată și de faptul că alte autorități publice ignoră [Eroare: nu s-a găsit sursa de referință, p. 16] cerințele ei legale. Aceasta se întâmplă din cauza nefuncționării mecanismului de aplicare a unor sancțiuni directe și eficiente, prevăzute de altfel de legislația privind protecția datelor.
Transferul transfrontalier de date personale
Art. 31 al Legii Nr. 133 reglementează problema cu privire la transferul datelor cu caracter personal către țări terțe și organizații. Articolul menționat prevede că transferul de date cu caracter personal către țări terțe este permisă în cazul în care:
Temeiurile pentru prelucrarea datelor sunt prevăzute de lege;
Sunt asigurate garanții adecvate pentru protecția datelor;
Transferul de date este prevăzută de un acord internațional la care RM este parte;
Operatorul de date oferă garanții adecvate pentru protecția datelor și protecția drepturilor fundamentale ale unei persoane vizate, pe baza unui acord încheiat între un operator de date și un stat respectiv, o persoană fizică sau juridică a statului sau o organizație internațională.
Astfel, legislația RM se conformează tuturor criteriile și principiile generale din Directiva 95/46/EC care fac transferul de date cu caracter personal către țări terțe și organizații legitime și pe deplin corespunde reglementărilor UE.
ÎNCHEIERE
După cum arată analiza din capitolele precedente, dreptul fundamental european la protecția datelor cu caracter personal a evoluat pe parcursul mai multor decenii, și chiar dacă au fost introduse numeroase reglementări care ghidează principiile și condițiile de aplicare a acestui drept, încă mai există deficiențe de aplicare în statele membre UE, precum și provocări noi legate de dezvoltarea continuă a tehnologiilor informaționale.
Dreptul fundamental la protecția datelor cu caracter personal a apărut ca un drept derivat al dreptului la viață privată. Deși în doctrina americană și până acum domeniul protecției datelor este privit ca un element al dreptului la viață privată, în UE acest drept s-a dezvoltat ca un drept sui generis, care vină să susțină asigurarea vieții private, dar se extinde înafara sferei de aplicare a dreptului la viață privată.
Deși dreptul fundamental european la protecția datelor cu caracter personal a fost consfințit oficial abia în 2000 odată cu adoptarea Cartei Drepturilor și Libertăților Fundamentale a UE, conceptualizarea conținutului acestui drept a fost detaliat în numeroase cercetări juridice și reglementări naționale și internaționale. Cele mai relevante instrumente juridice la nivel european sunt Convenția Consiliului Europei Nr. 108 din 28 ianuarie 1981 pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal și Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Aceste instrumente stabilesc standardul european pentru asigurarea unui nivel adecvat de protecție a datelor cu caracter personal. Anume la acest standard tinde Republica Moldova în procesul de integrare europeană.
Istoria protecției datelor cu caracter personal în RM nu este atât de lungă. Până în anul 2007 atunci când a fost adoptată prima lege în acest domeniu, datele personale erau protejate ca o informație confidențială de natură generală. Legea Nr. 17 din 15.02.2007 a fost o tentativă eșuată de implementare a dreptului la protecției datelor în RM nu doar datorită voinței politice deficitare, ci și nivelului jos de înțelegere a naturii și esenței acestui drept. Însă cursul de integrare europeană a RM și angajamentele asumate de Guvernul RM în acordurile cu UE, inclusiv în Acordul de Asociere și Planul de acțiuni RM-UE în domeniul liberalizării regimului de viză, au impulsionat activitatea legislativă și dezvoltarea instituțională în acest domeniu. Astfel, în 2011 apare o nouă lege, Legea Nr. 133 din 08.07.2011 cu privire la protecția datelor cu caracter personal, care adoptă principiile europene noi de prelucrare a datelor și asigură o independență și o autonomie relativă a autorității naționale de supraveghere.
Analiza punctelor forte și punctelor slabe ale Legii Nr. 133 indică asupra faptului că chiar dacă legea nu e perfectă, ea în mare parte corespunde cu cerințele Directivei 95/46/EC. Legislația națională prevede un grad adecvat de protecție în privința principalelor elemente ale Directivei, inclusiv principiile și temeiurile de prelucrare a datelor cu caracter personal, asigurarea securității datelor, drepturile subiecților datele cărora sunt prelucrate, independența și eficacitatea autorității de supraveghere, precum și transferul transfrontalier de date.
Totuși, acesta nu este un motiv de complacență. Protecția datelor este un domeniu în continuă formare. Datorită dezvoltării tehnologiei informaționale cu pași extrem de rapizi, domeniul protecției datelor va trebui să fie extrem de flexibil la nivel de reglementare și să poată ține pasul cu avansarea tehnologică. Prin urmare, regulile protecției datelor vor trebui modificate încontinuu și într-un tempo rapid.
Luând în vedere sfera de cercetare a prezentei teze, care a analizat evoluția dreptului la protecția datelor cu caracter personal în spațiul european și în RM și a oferit o analiză comparativă a instrumentelor juridice principale care reglementează elementele de conținut a acestui drept, recomandările formulate mai jos țin de aspectele problematice ale Legii Nr. 133 privind protecția datelor cu caracter personal, care necesită mai multă atenție din partea legiuitorilor.
Interesul public: Conform Legii Nr. 133, informațiile (date cu caracter personal) pot fi colectate fără un consimțământ inițial în cazul în care interesul public este în joc (Art. 5, litera d)). Problema este că legea nu prevede nici o definiție exactă a „interesului public”, ca rezultat, această informație poate fi colectată și pusă ușor sub obiectivul de interes public nedefinit, care, la rândul său, creează posibilitatea de utilizarea necorespunzătoare a datelor. Legislatorii ar trebui să se exprime mai specific și să definească ce înseamnă exact termenul „interes public” și în acest fel să reducă riscurile care ar putea apărea în procesul de aplicare a acestui articol.
Organele de ocrotire a normelor de drept: Guvernul ar trebui să stabilească un mecanism puternic de supraveghere a păstrării datelor de comunicare reținute (Legea nr. 241 cu privire la comunicațiile electronice din 15.11.2007, Art. 3 alin. (3)). Acest mecanism de supraveghere ar trebui să dispună de resurse suficiente și de un nivel ridicat de independență față de ramura executivă a guvernului. O soluție ar fi delegarea acestui mecanism autorității naționale de supraveghere a prelucrării datelor.
Serviciul de Informații și Securitate: Parlamentul ar trebui să instituie un control adecvat asupra activității SIS și de a stabili o nouă cultură a responsabilității. O comisie parlamentară ar putea monitoriza comportamentului general al angajaților SIS, inclusiv supravegherea și interceptarea convorbirilor telefonice de către ei.
Responsabilitatea persoanelor fizice: Persoanele ar trebui să preia mai multe responsabilități pentru propriile date cu caracter personal. Îndemnurile superficiale ale „campaniilor de sensibilizare” ar trebui înlocuite cu o abordare mai sofisticată, pentru a alerta persoanele privind consecințele prelucrării ilegale a datelor personale, a le educa cu privire la riscuri și a le familiariza cu instrumentele de protecție, astfel ca acestea să-și asume responsabilitatea [Eroare: nu s-a găsit sursa de referință, p. 59].
Legislația unei țări în ceea ce privește protecția datelor cu caracter personal, chiar dacă este identică cu cea a UE sau cu cea din alte țări occidentale, poate fi doar un prim pas în abordarea dreptului la viață privată și la protecția datelor cu caracter personal. Mai mult ca atât, corespunderea legii la standardele europene nu reprezintă un scop în sine în ce privește protecția de facto a dreptului la protecția datelor cu caracter personal.
Dimpotrivă, căutarea perfecțiunii la nivel legislativ în condițiile unor mecanisme slabe de implementare și nivelului jos de conștientizare a tuturor actorilor implicați, poate duce la creșterea costurilor de conformare cu reglementările juridice stabilite și reducerea nivelului de protecție a persoanelor. Astfel, prioritatea autorităților RM ar trebui să fie nu doar îmbunătățirea legislației, care de altfel este mai performantă decât în multe alte state europene, ci și comunicarea, instruirea și formarea operatorilor și cetățenilor, precum și consolidarea instituțiilor și mecanismelor de aplicare în practică a legii.
Poate mai important decât legislația în sine este decizia politică de a crea și sprijini o autoritate independentă pentru protecția datelor cu caracter personal, cu un minim de personal competent. Această autoritate ar avea atunci responsabilitatea de a crea strategia corectă pentru garantarea deplină a dreptului cu privire la protecția datelor cu caracter personal, inclusiv prin campanii de sensibilizare a cetățeanului în privința protecției datelor. Aceste campanii pot fi efectuate chiar mai eficient în colaborare cu organizațiile non-guvernamentale. Autoritatea, nu trebuie să uite scopul creației sale: pentru a proteja viața privată și oferirea protecției datelor cu caracter personal pentru cetățeni .
Analiza deficiențelor de garantare în practică a dreptului la protecția datelor cu caracter personal nu a constituit obiectul cercetării prezentei teze, dar reprezintă în mod evident un domeniu vast de cercetare pe viitor. Asemenea cercetări, pentru ca să fie utile, ar trebui să se concentreze pe anumite domenii și chiar subiecte specifice, cum ar fi protecția datelor cu caracter personal în domeniul telefoniei mobile, sau protecția datelor cu caracter personal în privința înregistrărilor video. În special sunt necesare cercetări aplicative, care ar formula recomandări cu aplicare practică imediată.
SUMMARY
Personal information is an inherent element of privacy; in order to protect his/her privacy, a person needs to be able to control and protect his/her personal. The rapid development of informational and communication technology in the second half of the 20th century has generated significant changes in the quantity and type of personal data processed by states, organisations, and individuals. The collection, processing, and transfer of data has become accessible and rapid operations, while the control and management of own data has become unrealistic in the absence of effective rules that would enable protection of data without overburdening the individual with an impossible amount of data. It is in this context that European states have developed rules and mechanisms for the protection of personal data. Through the Charter of Fundamental Rights and Freedoms, the EU has established a sui generis right to personal data protection, which is related, but separate from the right to privacy.
The area of personal data protection is relatively new, and academic research on the topic, particularly in the Republic of Moldova, is scarce. Consequently, this thesis presents a study of the fundamental European right to personal data protection, as well as an analysis of the evolution of this right in the Republic of Moldova. More specifically, the thesis provides an ample vision on the historic development of this right; defines the essence and content of this right; and analyses legal provisions on data protection.
The thesis reviews the European and national literature and legislation and presents a comparative analysis of the level of protection afforded by the EU and the Republic of Moldova. It concludes that the level of approximation of the Moldovan law to the EU norms is high and conforms to the EU standards in this area. Nevertheless, the practical application of the law is far from effective, considering the novelty of this area and the low public awareness regarding the elements of this right. In its conclusions, the thesis makes some recommendations for legislative change, mechanisms for human and institutional capacity-building, and public campaigns intended to raise awareness on the right to personal data protection.
Key words: personal data protection, privacy, right to private life, data processing, supervision authority, information society, European integration.
BIBLIOGRAFIE
Izvoare normative
Constituția Republicii Moldova din 29.07.1994. În: Monitorul Oficial al Republicii Moldova, nr. 1 din 12.08.1994. http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=311496
Codul familiei al Republicii Moldova nr. 1316 din 26.10.2000. În: Monitorul Oficial al Republicii Moldova, nr. 47-48 din 26.04.2001. http://lex.justice.md/index.php?action=view&view=doc&id=286119
Codul contravențional al Republicii Moldova nr. 218 din 24.10.2008. În: Monitorul Oficial al Republicii Moldova, nr. 3-6 din 16.01.2009. http://lex.justice.md/md/330333/
Legea Republicii Moldova nr. 1260 din 19.07.2002 cu privire la avocatură. În: Monitorul Oficial al Republicii Moldova, nr. 159 din 04.09.2010. http://lex.justice.md/md/335889/
Legea Republicii Moldova nr. 1453 din 08.11.2002 cu privire la notariat. În: Monitorul Oficial al Republicii Moldova, nr. 154-157 din 21.11.2002. http://lex.justice.md/md/311593/
Legea Republicii Moldova nr. 17 din 15.02.2007 privind protecția datelor cu caracter personal. În: Monitorul Oficial al Republicii Moldova, nr. 107-111 din 27.07.2007. http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=311675
Legea Republicii Moldova nr. 71 din 22.03.2007 cu privire la registre. În: Monitorul Oficial al Republicii Moldova, nr. 70-73 din 25.05.2007. http://lex.justice.md/md/325732/
Legea Republicii Moldova nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal. În: Monitorul Oficial al Republicii Moldova, nr. 170-175 din 14.10.2011. http://lex.justice.md/md/340495/
Legea Republicii Moldova nr. 271 din din 18.12.2008 cu privire la verificarea titularilor și a candidaților la funcții publice. În: Monitorul Oficial al Republicii Moldova, nr. 41-44 din 24.02.2009. http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=330807
Legea Republicii Moldova nr. 200 din din 16.07.2010 cu privire la regimul străinilor. În: Monitorul Oficial al Republicii Moldova, nr. 179-181 din 24.09.2010. http://lex.justice.md/md/336056/
Legea nr. 110 din 09 iunie 2011 privind ratificarea Protocolul adițional la Convenția de la Strasbourg pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, cu privire la autoritățile de control și fluxul transfrontalier al datelor, adoptat la Strasbourg la 18 noiembrie 2001 În: Monitorul Oficial al Republicii Moldova nr. 103-106 din 24.06.2011. http://datepersonale.md/md/international001/
Legea Republicii Moldova nr. 112 din 02.07.2014 pentru ratificarea Acordului de Asociere între Republica Moldova, pe de o parte, și Uniunea Europeană și Comunitatea Europeană a Energiei Atomice și statele membre ale acestora, pe de altă parte. În: Monitorul Oficial al Republicii Moldova, nr. 185-199 din 18.07.2014. http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=353829
Hotărârea Guvernului nr. 1123 din 14.12.2010 privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal. În: Monitorul Oficial al Republicii Moldova, nr. 254-256 din 24.12.2010. http://lex.justice.md/index.php?action=view&view=doc&lang=1&id=337094
Hotărârea Curții Constituționale pentru revizuirea Hotărârii Constituționale nr. 16 din 28.05.1998. nr. 10 din 16.04.2010. http://lex.justice.md/md/334342/
Tratatul de la Amsterdam de modificare a tratatului privind Uniunea Europeană, a tratatelor de instituire a Comunităților Europene și a altor acte conexe. În: Jurnalul Oficial al Uniunii Europene nr. C 30 din 10.11.1997. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:11997D/TXT
Tratatul privind Uniunea Europeană și a Tratatul privind funcționarea Uniunii Europene Nr. C 83 din 30.03.2010. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=OJ:C:2010:083:FULL&from=RO
Declarația Universală a Drepturilor Omului. New York ,10.12.1948, în vigoare pentru Republica Moldova din 12.09.1997. În ediția oficială „Tratate Internaționale”, 1998, vol. 1, http://www.ohchr.org/EN/UDHR/Documents/UDHR_Translations/rum.pdf
Carta Drepturilor Fundamentale a UE. În: Jurnalul Oficial al Uniunii Europene nr. C 83 din 30.03.2010. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0389:0403:ro:PDF
Convenția Europeană a Drepturilor Omului. Roma, 04.11.1950, în vigoare pentru Republica Moldova din 1 februarie 1998. În: Monitorul Oficial al Republicii Moldova nr. 54-55 din 21.08.1997. http://www.echr.coe.int/Documents/Convention_RON.pdf
Convenția Nr. 108 a Consiliului Europei pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal. Strasbourg, 28.01.1981, în vigoare pentru Republica Moldova din 01.06.2008. În: Monitorul Oficial al Republicii Moldova Nr. 80-82 din 29.07.1999. http://datepersonale.md/md/international003/
Directiva 95/46/CE a Parlamentului European și a Consiliului din 24.10.1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. În Jurnalul Oficial al UE L 281 http://www.justice.gov.md/file/Centrul%20de%20armonizare%20a%20legislatiei/Baza%20de%20date/Materiale%202010/Legislatie/31995L0046-Ro.PDF
Pactul Internațional cu privire la Drepturile Civile și Politice din 16.12.1966, în vigoare pentru Republica Moldova din 26.04.1996. în ediția oficială „Tratate Internaționale”, 1998, vol. 1, http://www.prigoana.ro/doc/proiect-de-lege-acsa/anexa4.pdf
Monografii, articole de specialitate
Agenția pentru Drepturi Fundamentale a Uniunii Europene. Manual de legislație europeană privind protecția datelor. Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014.
Agence des droits fondamentaux de l’Union europeenne. La protection des données à caractère personnel dans l’Union européenne: le rôle des autorités nationales chargées de la protection des données. Luxembourg: Office des publications de l’Union europeenne, 2012,
Comisia Internațională a Juriștilor. Protecția vieții private. În : Jurnal International de Științe Sociale, XXIV nr. 3, 1972,
Coudray L. La protection des données personnelles dans l’Union européenne : Naissance et consécration d’un droit fondamental. Berlin: Éditions universitaires européennes. 2010, p. 700
Craig P., Búrca G. EU Law: Text, Cases and Materials. 5th ed. Oxford: Oxford University Press, 2011,
Freedman W. The right of privacy in the Computer Age. London: Quorum Books, 1987. 173 p.
Frosini V. La Convenzione Europea sulla protezione dei dati. În : Rivista di Diritto Europeo nr. 24, 1984,
Gomien D. Short Guide to the European Convention on Human Rights. Strasbourg: Council of Europe. 1998,
Gonzalez Fuster G. The Emergence of Personal Data Protection as a Fundamental Right of the EU. Springer, 2014.
Grewe C., Ruiz Fabri H. Droits constitutionnels européens. Paris: Presses Universitaires de France, 1995.
Hondius F. Emerging Data Protection in Europe. Amsterdam: North-Holland Publishing Company, 1975.
Korff D. Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, WP nr. 2: Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. European Commission, London: Metropolitan University, 2010,
Manolea B. Protectia datelor cu caracter personal în contextul dialogului privind liberalizarea regimului de vize și negocierii viitorului acord de asociere Republica Moldova și Uniunea Europeană. Chișinău: Casa Editorial-Poligrafică “Bons Offices”, 2011,
Martínez R. Una aproximación crítica a la autodeterminación informativa. Madrid: Thomson Civitas. 2004,
Nowak M. U.N. Covenant on Civil and Political Rights: CCPR Commentary. Kehl am Rhein: Engel, 1993.
Packard V. The Naked Society. Harmondsworth: Penguin Books. 1971.
Pérez Luno E. A. Derechos Humanos, Estado de Derecho y Constitución. Madrid: Tecnos, 2010.
Prosser W. Privacy. În: California Law Review Vol. 48, nr. 3, 1960,
Robinson N., Graux H., Botterman M., ș.a. Review of the European Data Protection Directive. Cambridge: RAND Corporation, 2009.
Rodota S. Data protection as a fundamental right. In Reinventing Data Protection? Dordrecht: Springer, 2009,
Solove D. J. A taxonomy of privacy. În: University of Pennsylvania Law Review 154 (3): January 2006,
Strömholm S. Right of Privacy and Rights of the Personality: A Comparative Survey. Stockholm: Boktryckeri AB Thule, 1967.
Sudre F. Droit européen et international des droits de l’homme 7th ed. Paris: Presses Universitaires de France, 2005.
Thomas Y. Les opérations du droit. Paris: Seuil/Gallimard, 2011.
Warren S.D, Brandeis, L.D. The Right to Privacy. În: Harvard Law Review Boston Vol. IV nr. 5 din 15.12.1890,
Westin A. Privacy and Freedom. New York: Atheneum, 1970.
Wetzel J.R. Improving fundamental rights protection in the European Union: Resolving the conflict and confusion between the Luxembourg and Strasbourg courts. În: Fordham Law Review 71, 2003,
Culegeri de documente, practica judiciară
Article 29 Data Protection Working Party, Opinion 4/2004 on the Processing of Personal Data by means of Video Surveillance. WP 89 din 11.02.2004. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp89_en.pdf
CEDO. Amann v. Elveția, din 16.02.2000, nr. 27798/95, punctul 65. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-58497#{"itemid":["001-58497"]}
CEDO. I. v. Finlanda, din 17.07.2008, nr. 20511/03. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-87510#{"itemid":["001-87510"]}
CEDO. Haralambie v. România, din 27.10.2009, nr. 21737/03. http://hudoc.echr.coe.int/sites/eng-press/pages/search.aspx?i=003-2909811-3196312#{"itemid":["003-2909811-3196312"]}
CEDO. Iordachi și alții v. Moldova, din 10.02.2009, nr. 25198/02. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-91245#{"itemid":["001-91245"]}
CEDO. Kopp v. Elveția din 25.03.1998, nr. 23224/94, punctul 59. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-58144#{"itemid":["001-58144"]}
CEDO. Leander v. Suedia, din 26.03.1987, nr. 9248/81, punctul 58. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-57519#{"itemid":["001-57519"]}
CEDO. Malone v. Regatul Unit, din 02.08.1984, nr. 8691/79, punctul 66. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-57533#{"itemid":["001-57533"]}
CEDO. M.M. v. Regatul Unit, din 13.11.2012, nr. 24029/07.
http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-114517#{"itemid":["001-114517"]}
CEDO. Rotaru v. România, din 04.05.2000, nr. 28.341/95, punctul 44. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-58586#{"itemid":["001-58586"]}
CEDO. S and Marper v. Regatul Unit, din 04.12.2008, nr. 30562/04, 30566/04. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-90051#{"itemid":["001-90051"]}
CEDO. Silver și alții v. Regatul Unit, din 25.03.1983, nr. 8691/79, punctul 88. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-57577#{"itemid":["001-57577"]}
CEDO. The Sunday Times v. Regatul Unit, din 26.04.1979, nr. 6538/74, punctul 49. http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-57584#{"itemid":["001-57584"]}
CEJ. Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estado, din 24.11.2011, nr. C-468/10, C-469/10, punctul 26.
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62010CJ0468
CEJ. Cazul nr. C-369/98 din 14.09.2000. http://curia.europa.eu/juris/liste.jsf?language=en&num=C-369/98
CEJ. ERT v. DEP, din 18.06.1991, nr. C-260/89. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:61989CJ0260
CEJ. Internationale Handelsgesellschaft mbH v. Einfuhr- und Vorratsstelle für Getreide und Futtermittel , http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:61970CJ0011
CEJ. Huber v. Bundesrepublik Deutschland, din 16.12.2008, nr. C-524/06, punctul 48. http://curia.europa.eu/juris/liste.jsf?language=en&num=C-524/06
CEJ. Nold KG v. Commission, din 14.05.1974, nr. 4-73. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:61973CJ0004
CEJ. Rechnungshof v. Österreichischer Rundfunk și alții, Neukomm și Lauermann v. Österreichischer Rundfunk, din 20.05.2003, nr. C-465/00, C-138/01, C-139/01, punctul 65. http://curia.europa.eu/juris/liste.jsf?language=en&num=C-465/00
CEJ. Stauder v. Stadt Ulm,
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:61969CJ0029
CEJ. Stork & Cie v. Înalta Autoritate,
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:61958CJ0001
Draft Treaty on European Union. Official Journal of the European Communities No C 77/33, 14.02.1984 http://www.eurotreaties.com/spinelli.pdf
Grupul de lucru Art. 29. Avizul 4/2004 privind prelucrarea datelor personale în ce privește supravegherea video http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp89_en.pdf
Grupul de lucru Art. 29. Avizul 06/2013 privind reutilizarea datelor deschise și a informațiilor din sectorul public. http://www.dataprotection.ro/servlet/ViewDocument?id=1019
Grupul de lucru Art. 29. Avizul 03/2013 privind limitarea scopului. http://www.dataprotection.ro/servlet/ViewDocument?id=1019
Grupul de lucru Art. 29. Avizul 15/2011 privind conceptul de „consimțământ”. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_ro.pdf
Grupul de lucru Art. 29. Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator” http://www.datepersonale.md/file/Aviz/wp169_ro.pdf
Grupul de lucru Art. 29. Avizul nr. 3/2010 privind principiul responsabilității, WP 173
din 13.07.2010. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf
Grupul de lucru Art. 29. Avizul 4/2007 privind conceptul de date cu caracter personal. http://www.datepersonale.md/file/Aviz/wp136_ro.pdf
Grupul de lucru Art. 29. Avizul 10/2006 privind prelucrarea datelor cu caracter personal de către Societatea Internațională pentru Telecomunicații Financiare Interbancare (SWIFT), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_en.pdf
Grupul de lucru Art. 29 . Document de lucru privind interpretarea comună a Art. 26 alineatul (1) din Directiva 95/46/CE din 24.10.1995, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_en.pdf
Grupul de lucru Art. 29. Avizul 8/2001 privind prelucrarea datelor cu caracter personal în contextul ocupării forței de muncă, WP 48 din 13.09.2001. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf
69. Grupul de lucru Art. 29. Recomandarea nr. 4/99 privind introducerea dreptuui fundamental la protecția datelor cu caracter personal în Carta drepturilor fundamentale a UE WP 26 din 07.09.1999. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/1999/wp26_en.pdf
Grupul de lucru Art. 29. Document de lucru privind prelucrarea datelor personale în ce privește supravegherea video. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp67_en.pdf
Instrucțiuni privind preluerarea datelor cu caracter personal în sectorul polițienesc , Centrul Național pentru Protecția Datelor cu Caracter Personal. Chișinău, 2013. http://www.datepersonale.md/file/proecte/instructiune%2020130712.pdf
Raport de activitate pentru anul 2010, Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, Chișinău, 2011. http://www.datepersonale.md/file/raport2010.pdf
Report. Affirming Fundamental Rights in the European Union: Time to Act. European Commission. Brussels, 1999. https://infoeuropa.eurocid.pt/files/database/000038001-000039000/000038827.pdf
Report of the Secretary's Advisory Committee on Automated Personal Data Systems. No (OS)73-94, 1973. http://www.justice.gov/opcl/docs/rec-com-rights.pdf
Site internet
Commissie voor de bescherming van de persoonlijke levenssfeer, Belgique, Advies nr. 33/2008 [online]. http://www.privacycommission.be/sites/privacycommission/files/documents/advies_33_2008.pdf
European Council Decision on the drawing up of a Charter of Fundamental Rights of the European Union [online]. http://www.europarl.europa.eu/summits/kol2_en.htm#an6
Fair Credit Reporting Act USA. 1970. [online]. http://www.consumer.ftc.gov/articles/pdf-0111-fair-credit-reporting-act.pdf
Legea Federală privind Protecția Datelor Personale a Austriei din 17.08.1999 [online]. www.dsk.gv.at/DocView.axd?CobId=41936
Loi informatique et liberté France,1978, [online]. http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
Manolea B. Institutional Framework for Personal Data Protection in Romania, 19 p. [online]. http://www.apti.ro/DataProtection_ro.pdf
OECD Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data, 2013, http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf .
Overview of the Privacy Act [online]. http://www.justice.gov/sites/default/files/opcl/docs/1974privacyact-2012.pdf
Proposal for a European Parliament Recomandation to the Concil, on streghtening security and freedoms on the Internet [online]. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A6-2009-0103+0+DOC+XML+V0//EN
Regulamentul Consiliului Consultativ pe lîngă Centrul Național pentru Protecția Datelor cu Caracter Personal aprobat de către directorul Centrului la 01 iunie 2009. {online]. http://www.datepersonale.md/md/consiliul/ .
Right to Privacy Law & Legal Definition, US Legal [online]. http://definitions.uslegal.com/r/right-to-privacy/
Seuffert v. Schlabrendorff, Hirsch, Rinck, Rottmann, Wand, Curtea Constituțională Federală Germană, 1974 [online]. http://www.utexas.edu/law/academics/centers/transnational/work_new/german/case.php?id=588
Standard internațional de securitate tehnologică. ISO 17 799 [online]. http://www.iso.org/iso/catalogue_detail.htm?csnumber=28374
Standard internațional de securitate tehnologică. ISO 27 001 [online]. http://www.iso.org/iso/catalogue_detail?csnumber=54534
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Dreptul Fundamental la Protectia Datelor cu Caracter Personal (ID: 127522)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.