of 15 /15
1 | Page Avizul 3/2015 Marea oportunitate a Europei Recomandările AEPD cu privire la opțiunile Uniunii Europene privind reforma în materie de protecție a datelor 28 iulie 2015

Avizul 3/2015 - European Data Protection Supervisor · Legiferarea este arta posibilului. Opțiunile disponibile, sub forma respectivelor texte preferate de Comisie, Parlament și

  • Author
    dotram

  • View
    216

  • Download
    0

Embed Size (px)

Text of Avizul 3/2015 - European Data Protection Supervisor · Legiferarea este arta posibilului....

  • 1 | P a g e

    Avizul 3/2015

    Marea oportunitate a Europei

    Recomandrile AEPD cu privire la opiunile Uniunii Europene privind reforma n materie de protecie a datelor

    28 iulie 2015

  • 2 | P a g e

    La 24 iunie 2015, cele trei instituii principale ale UE, Parlamentul European, Consiliul i Comisia European au demarat negocierile din cadrul procedurii de codecizie cu privire la propunerea de regulament general privind protecia datelor (RGPD), o procedur cunoscut ca trilog informal.1 Temeiul trilogului l constituie propunerea Comisiei din ianuarie 2012, Rezoluia legislativ a Parlamentului European din 12 martie 2014 i abordarea general a Consiliului adoptat la 15 iunie 2015.2 Cele trei instituii se angajeaz s trateze RGPD ca parte a pachetului mai amplu de reforme privind protecia datelor, care cuprinde directiva propus pentru activitile poliieneti i judiciare. Procesul ar trebui s se ncheie la sfritul anului 2015 i va permite, probabil, adoptarea oficial a ambelor instrumente la nceputul anului 2016, care va fi urmat de o perioad de tranziie de doi ani. 3

    Autoritatea European pentru Protecia Datelor (AEPD) este o instituie independent a UE. Autoritatea nu ia parte la trilog, dar rspunde, n conformitate cu articolul 41 alineatul (2) din Regulamentul (CE) nr. 45/2001, n ceea ce privete prelucrarea datelor cu caracter

    personal [...] de respectarea de ctre instituiile i organele comunitare a drepturilor i

    libertilor fundamentale ale persoanelor fizice, n special a vieii private a acestora, i [...]

    de consilierea instituiilor i organelor comunitare i a persoanelor vizate asupra tuturor

    aspectelor privind prelucrarea de date cu caracter personal. Directorul Autoritii i adjunctul acestuia au fost numii n decembrie 2014, cu misiunea specific de a fi mai constructivi i proactivi; n martie 2015, acetia au publicat o strategie pe cinci ani care stabilete modul n care intenioneaz s pun n aplicare acest mandat i s rspund pentru ceea ce ntreprind.4

    Prezentul aviz reprezint prima etap n cadrul strategiei AEPD. Bazndu-se pe discuiile cu instituiile UE, statele membre, societatea civil, reprezentanii industriei i alte pri interesate, recomandrile noastre au drept scop s ajute participanii la trilog s ajung la consens n timp util. Avizul abordeaz RGPD n dou pri:

    viziunea AEPD asupra unor norme de protecie a datelor orientate ctre viitor, cu exemple ilustrative ale recomandrilor noastre; i

    o anex (Anexa la Avizul 3/2015: Tabel comparativ al textelor RGPD cu recomandarea AEPD) care conine un tabel cu patru coloane pentru compararea, articol cu articol, a textului RGPD, astfel cum a fost adoptat de Comisie, Parlament i, respectiv, Consiliu, cu recomandarea AEPD.

    Avizul este publicat pe site-ul nostru i prin intermediul unei aplicaii pentru comunicaii mobile. Acesta va fi completat n toamna anului 2015 cu recomandri privind att considerentele RGPD, ct i protecia datelor n domeniul activitilor poliieneti i judiciare, dup ce Consiliul adopt o poziie general cu privire la directiv.

    Avizul cuprinztor al AEPD cu privire la pachetul de reforme propus de Comisie n martie 2012 rmne valabil. Dup trei ani a trebuit totui s ne actualizm recomandarea de implicare mai direct privind poziiile colegiuitorilor i s formulm recomandri precise. 5 Ca avizul din 2012, prezentul aviz este n conformitate cu avizele i declaraiile Grupului de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal, inclusiv Anexa privind Temele principale n vederea trilogului adoptat la 18 iunie, la care AEPD a contribuit ca membru titular al grupului de lucru.6

  • 3 | P a g e

    O oportunitate rar: De ce este aceast reform att de important

    UE este pe ultima sut de metri a unui maraton de reformare a normelor privind informaiile cu caracter personal. Este posibil ca Regulamentul general privind protecia datelor s afecteze, n urmtoarele decenii, toate persoanele fizice din UE, toate organizaiile din UE care prelucreaz date cu caracter personal i organizaiile din afara UE care prelucreaz date cu caracter personal referitoare la persoanele fizice din UE.7 Acum este momentul s protejm drepturile i libertile fundamentale ale persoanelor ntr-o societate a viitorului bazat pe date.

    O protecie eficient a datelor confer ncredere persoanelor i stimuleaz ntreprinderile i autoritile publice responsabile. Legile din acest domeniu sunt complexe i tehnice, necesitnd consultan de specialitate, n special din partea autoritilor independente de protecie a datelor, care neleg provocrile pe care la presupune respectarea acestora. RGPD ar putea fi unul dintre cele mai lungi din repertoriul legislativ al Uniunii; prin urmare, UE trebuie s urmreasc acum s fie selectiv, s se axeze pe dispoziiile care sunt cu adevrat necesare i s evite detaliile care, ca o consecin neintenionat, ar putea interfera n mod nejustificat cu tehnologiile viitoare. Textele fiecrei instituii promoveaz claritatea i caracterul inteligibil al prelucrrii datelor cu caracter personal: prin urmare, RGPD trebuie s respecte aceeai cerin, fiind ct mai concis i uor de neles.

    Parlamentul i Consiliul, n calitate de colegiuitori, trebuie s stabileasc textul juridic final, cu ajutorul Comisiei ca iniiator al legislaiei i gardian al tratatelor. AEPD nu ia parte la negocierile trilogului, dar avem competena legal de a oferi consiliere i de a face acest lucru n mod proactiv, n conformitate cu mandatul primit de directorul Autoritii i de adjunctul acestuia la numire, precum i cu strategia recent a AEPD. Prezentul aviz valorific mai mult de un deceniu de experien n materie de supraveghere a respectrii proteciei datelor i consiliere cu privire la politici pentru a orienta instituiile spre un rezultat care va servi intereselor persoanei.

    Legiferarea este arta posibilului. Opiunile disponibile, sub forma respectivelor texte preferate de Comisie, Parlament i Consiliu, conin fiecare numeroase prevederi demne de luat n seam, dar toate pot fi mbuntite. n opinia noastr, rezultatul nu va fi perfect, dar ne propunem s sprijinim instituiile n obinerea celui mai bun rezultat posibil. Acesta este motivul pentru care recomandrile noastre nu depesc limitele celor trei texte. Avem trei preocupri constante:

    o situaie mai avantajoas pentru ceteni,

    norme care s funcioneze n practic,

    norme care s dureze o generaie ntreag.

    Prezentul aviz reprezint un exerciiu de transparen i responsabilitate, principii duale

    care sunt probabil inovaia cea mai remarcabil a RGPD. Procedura de trilog este supus unui control mai serios dect oricnd. Recomandrile noastre sunt publice i dorim s ndemnm toate instituiile UE s ia iniiativa i s conduc prin puterea exemplului, astfel nct aceast reform legislativ s fie rezultatul unei proceduri transparente i nu al unui compromis ascuns.

  • 4 | P a g e

    UE are nevoie de noi prevederi n materie de protecie a datelor, de un nou capitol. Restul lumii ne urmrete ndeaproape. Calitatea noii legi i modul n care interacioneaz cu sistemele juridice i tendinele globale sunt extrem de importante. Prin prezentul aviz, AEPD i face cunoscute dorina i disponibilitatea de a se asigura c UE valorific n cea mai mare msur aceast oportunitate istoric.

  • 0

    I. CUPRINS

    1 O situaie mai avantajoas pentru ceteni .......................................................................................... 1

    1. DEFINIII: S CLARIFICM CE NSEAMN INFORMAII CU CARACTER PERSONAL ...................... 1

    2. TOATE PRELUCRRILE DE DATE TREBUIE S FIE ATT LEGALE, CT I JUSTIFICATE ................ 1

    3. O SUPRAVEGHERE MAI INDEPENDENT, MAI AUTORITAR ........................................................... 2

    2 Norme care vor funciona n practic .................................................................................................... 2

    1. GARANII EFICACE, NU PROCEDURI .................................................................................................... 3

    2. UN ECHILIBRU MAI BUN NTRE INTERESUL PUBLIC I PROTECIA DATELOR CU CARACTER PERSONAL ........................................................................................................................................................ 3

    3. NCREDEREA N AUTORITILE DE SUPRAVEGHERE I MPUTERNICIREA ACESTORA ............... 3

    3 Norme care s dureze o generaie ntreag .......................................................................................... 4

    1. PRACTICI COMERCIALE RESPONSABILE I INOVAII TEHNICE ....................................................... 4

    2. MAI MULTE DREPTURI PENTRU PERSOANELE FIZICE ...................................................................... 4

    3. NORME REZISTENTE N TIMP ............................................................................................................... 5

    4 Aspecte nerezolvate .................................................................................................................................. 5

    5 Un moment definitoriu pentru drepturile digitale n Europa i n afara ei .................................... 5

    Note 7

  • P a g i n a

    1 O situaie mai avantajoas pentru ceteni

    Normele UE au urmrit ntotdeauna s faciliteze fluxurile de date, att n cadrul UE, precum i cu partenerii si comerciali, demonstrnd n acelai timp o preocupare esenial pentru drepturile i libertile persoanelor fizice. Internetul permite un grad fr precedent de conectivitate, exprimare individual i cmp de manevr pentru a furniza valoare ntreprinderilor i consumatorilor. Cu toate acestea, confidenialitatea este mai important ca niciodat pentru europeni. Conform sondajului Eurobarometru privind protecia datelor din iunie 2015,8 mai mult de ase din zece ceteni nu au ncredere n ntreprinderile online, iar dou treimi din ei sunt ngrijorai de faptul c nu dein controlul complet asupra informaiilor pe care le furnizeaz online.

    Cadrul reformat trebuie s menin i, dac este posibil, s mbunteasc standardele aplicabile persoanelor fizice. Pachetul de reform privind protecia datelor a fost propus n primul rnd ca vehicul pentru consolidarea drepturilor la confidenialitate pe internet, asigurndu-se c oamenii sunt mai bine informai cu privire la drepturile lor i au mai mult control asupra informaiilor care i privesc.9 Reprezentanii organizaiilor societii civile s-au adresat n scris Comisiei Europene n aprilie 2015 pentru a solicita instituiilor s rmn fidele acestor intenii.10

    Principiile existente stipulate n Cart, dreptul primar al UE, trebuie s fie aplicate n mod consecvent, dinamic i inovator, astfel nct s fie eficiente n practic pentru ceteni. Reforma trebuie s fie cuprinztoare i, de aceea, este necesar s existe un angajamentul fa de un pachet, dar, deoarece este probabil ca prevederile privind prelucrarea datelor s fie cuprinse n instrumente juridice separate, este nevoie de claritate cu privire la domeniul de aplicare concret i modul n care acestea conlucreaz, fr portie pentru compromisuri cu privire la garanii.11

    Pentru AEPD, punctul de plecare este demnitatea persoanei, care transcende chestiunile privind simpla respectare a legislaiei.12 Recomandrile noastre se bazeaz pe o evaluare a fiecrui articol din RGPD, n mod individual i cumulat, n funcie de posibilitatea sa de a consolida poziia persoanei fizice n raport cu cadrul actual. Punctul de referin l constituie principiile care stau la baza proteciei datelor, adic articolul 8 din Carta drepturilor fundamentale.13

    1. Definiii: s clarificm ce nseamn informaii cu caracter personal

    Persoanele fizice ar trebui s i poat exercita mai eficient drepturile cu privire la orice informaie care le poate identifica sau individualiza, chiar dac informaia este considerat devenit pseudonim.14

    2. Toate prelucrrile de date trebuie s fie att legale, ct i justificate

    Cerinele ca prelucrarea tuturor datelor s se limiteze la scopuri specifice i s aib un temei juridic sunt cumulative, nu alternative. Recomandm evitarea oricrei contopiri care ar nsemna i o atenuare a acestor principii. n schimb, UE ar trebui s pstreze, s simplifice i s operaionalizeze teza instituit potrivit creia datele cu caracter personal ar trebui s fie folosite numai n moduri compatibile cu scopurile iniiale ale colectrii.15

  • P a g i n a

    Consimmntul reprezint un posibil temei juridic pentru prelucrare, dar nu trebuie s fie permise casetele care impun bifarea atunci cnd nu exist nicio alegere semnificativ pentru persoana respectiv i atunci cnd nu este deloc necesar ca datele s fie prelucrate. Recomandm s se permit oamenilor s i acorde consimmntul limitat sau amplu pentru cercetarea clinic, de exemplu, care s fie respectat i s poat fi retras.16

    AEPD susine soluii judicioase i inovatoare pentru transferurile internaionale de informaii cu caracter personal care s faciliteze schimburile de date i s respecte principiile privind protecia i supravegherea datelor. Recomandm insistent s se evite permiterea transferurilor pe baza intereselor legitime ale operatorului, din cauza proteciei insuficiente oferite persoanei, iar UE nu ar trebui s permit accesul direct al autoritilor din ri tere la datele din UE. Orice solicitare de transfer emis de autoritile dintr-o ar ter ar trebui s fie recunoscut numai dac respect normele prevzute n tratatele de asisten judiciar reciproc, acordurile internaionale sau alte canale legale de cooperare internaional.17

    3. O supraveghere mai independent, mai autoritar

    Autoritile pentru protecia datelor din UE ar trebui s fie pregtite s i exercite rolurile n momentul n care intr n vigoare RGPD, iar Comitetul european pentru protecia datelor ar trebui s fie pe deplin operaional imediat ce Regulamentul devine aplicabil.18

    Autoritile ar trebui s poat primi i examina plngerile i cererile naintate de persoanele vizate sau organisme, organizaii i asociaii.

    Protejarea drepturilor persoanelor fizice necesit un sistem eficient de rspundere i acordare de despgubiri pentru prejudiciile cauzate prin prelucrarea ilegal a datelor. Avnd n vedere obstacolele evidente existente n calea obinerii de reparaii n practic, persoanele ar trebui s poat fi reprezentate de organisme, organizaii i asociaii n cadrul procedurilor judiciare.19

    2 Norme care vor funciona n practic

    Garaniile nu ar trebui s fie confundate cu formalitile. Detaliile excesive sau tentativele de microgestiune a proceselor de afaceri risc s devin depite n viitor. Putem deschide o fil din manualul UE n materie de concuren n care un corpus relativ limitat de legislaie secundar este aplicat riguros i ncurajeaz o cultur a responsabilitii i a sensibilizrii n rndul ntreprinderilor.20

    Fiecare dintre cele trei texte necesit o mai mare claritate i simplitate din partea celor responsabili de prelucrarea informaiilor cu caracter personal.21 De asemenea, obligaiile tehnice trebuie s fie, la rndul lor, concise i uor de neles pentru a putea fi puse n aplicare n mod corespunztor de ctre operatori.22

    Procedurile existente nu sunt btute n cuie: recomandrile noastre au scopul de a identifica modaliti de debirocratizare, reducnd la minim solicitrile de documente i formalitile irelevante. Recomandm legiferarea numai n cazul n care acest lucru este

  • P a g i n a

    cu adevrat necesar. Aceasta ofer un cmp de manevr pentru companii, autoriti publice sau autoriti de protecie a datelor: este nevoie de o rspundere mai mare i de consiliere din partea autoritilor pentru protecia datelor. n ansamblu, recomandrile noastre ar avea drept rezultat un text al RGPD cu aproape 30% mai scurt dect dimensiunea medie a textelor celor trei instituii.23

    1. Garanii eficace, nu proceduri

    Documentele ar trebui s fie un mijloc de realizare a conformitii, nu un obiectiv al acesteia; reforma trebuie s se concentreze pe rezultate. Recomandm o abordare ajustabil care s reduc obligaiile operatorilor cu privire la documente la o politic unic referitoare la modul n care va fi respectat regulamentul, innd seama de riscuri, conformitatea fiind demonstrat transparent, indiferent dac este vorba despre transferuri, contracte cu persoanele mputernicite de ctre operatori sau notificri privind nclcrile.24

    Pe baza unor criterii explicite de evaluare a riscurilor i bazndu-ne pe experiena noastr de supraveghere a instituiilor UE, recomandm impunerea transmiterii de notificri privind nclcarea securitii datelor la autoritatea de supraveghere i a evalurilor impactului asupra proteciei datelor numai n cazul n care drepturile i libertile persoanelor vizate sunt n pericol.25

    Ar trebui ncurajate n mod activ iniiativele din partea mediului de afaceri, fie prin reguli corporatiste obligatorii, fie prin mrci de protecie a vieii private.26

    2. Un echilibru mai bun ntre interesul public i protecia datelor cu caracter personal

    Normele n materie de protecie a datelor nu ar trebui s mpiedice cercetarea istoric, statistic i tiinific de interes public real. Cei responsabili trebuie s ia msurile necesare pentru a mpiedica utilizarea informaiilor cu caracter personal contrar intereselor persoanei, acordnd o atenie deosebit normelor care reglementeaz informaiile sensibile cu privire la sntate, de exemplu.27

    Cercettorii i arhivitii ar trebui s poat stoca datele ct timp este necesar, cu respectarea acestor garanii.28

    3. ncrederea n autoritile de supraveghere i mputernicirea acestora

    Recomandm s se permit autoritilor de supraveghere s emit orientri pentru operatorii de date i s elaboreze propriile reguli de procedur n spiritul unei aplicri simplificate i mai uoare a RGPD de ctre o autoritate de supraveghere unic (conceptul ghieului unic) aproape de ceteni (proximitate). 29

    Autoritile ar trebui s poat stabili sanciuni corective i administrative eficiente, proporionale i cu efect de descurajare, pe baza tuturor circumstanelor relevante.30

  • P a g i n a

    3 Norme care s dureze o generaie ntreag

    Principalul pilon al cadrului actual, Directiva 95/46/CE, a servit drept model pentru legislaia ulterioar privind prelucrarea datelor n UE i n ntreaga lume i chiar a constituit baza pentru formularea dreptului la protecia datelor cu caracter personal din articolul 8 din Carta drepturilor fundamentale. Aceast reform va reglementa prelucrarea datelor pentru o generaie care nu tie cum ar fi viaa fr internet. Prin urmare, UE trebuie s neleag pe deplin implicaiile acestui act pentru persoanele fizice i durabilitatea acestuia n raport cu dezvoltarea tehnologic.

    n ultimii ani s-a nregistrat o cretere exponenial n ceea ce privete generarea, culegerea, analiza i schimbul de informaii cu caracter personal, rezultatul inovaiilor tehnologice, cum ar fi internetul obiectelor, cloud computing, volumele mari de date i datele deschise, a cror exploatare Uniunea European o consider esenial pentru competitivitatea sa.31 Avnd n vedere longevitatea Directivei 95/46/CE, este rezonabil s ne ateptm la un interval de timp asemntor pn la urmtoarea revizuire major a normelor privind protecia datelor, poate nu mai devreme de sfritul anilor 2030. Cu mult nainte de acest moment, este de ateptat ca tehnologiile bazate pe date s se ndrepte spre sistemele de inteligen artificial, de procesare a limbajului natural i sistemele biometrice, permind crearea unor aplicaii cu o capacitate de nvare automatizat pentru inteligen avansat.

    Aceste tehnologii pun sub semnul ntrebrii principiile n materie de protecie a datelor. Prin urmare, o reform orientat spre viitor trebuie s fie bazat pe demnitatea persoanei i fundamentat pe etic. Aceasta trebuie s corecteze dezechilibrul dintre inovarea n domeniul proteciei datelor cu caracter personal i exploatarea acestora, astfel nct garaniile s aib efect n societatea noastr digital.

    1. Practici comerciale responsabile i inovaii tehnice

    Reforma ar trebui s inverseze tendina recent de urmrire secret i luare a deciziilor pe baza unor profiluri ascunse persoanei. Problema nu o constituie mesajele publicitare orientate sau practica elaborrii profilurilor, ci mai degrab lipsa de informaii semnificative privind logica algoritmic care elaboreaz aceste profiluri i are un efect asupra persoanei vizate.32 Recomandm o mai mare transparen din partea operatorilor.

    Susinem insistent introducerea principiilor de protecie a datelor ncepnd cu momentul conceperii i protecia implicit a datelor ca mijloc de impulsionare a soluiilor orientate spre pia n economia digital. Recomandm o formulare mai simpl a cerinei ca drepturile i interesele persoanei s fie integrate n dezvoltarea de produse i n setrile implicite.33

    2. Mai multe drepturi pentru persoanele fizice

    n mediul digital, portabilitatea datelor este poarta de acces spre controlul utilizatorului; acum, persoanele fizice i dau seama c le lipsete acest lucru. Recomandm s se permit persoanelor vizate, la cerere, transferul direct de date de la un operator la altul i s li se acorde dreptul de a primi o copie a datelor pe care le pot transfera la un alt operator.34

  • P a g i n a

    3. Norme rezistente n timp

    Recomandm evitarea unui limbaj i a unor practici care sunt susceptibile de a deveni depite sau discutabile.35

    4 Aspecte nerezolvate

    Adoptarea de ctre UE a unui pachet de reforme orientate spre viitor privind protecia datelor va fi o realizare impresionant i totui incomplet.

    Toate instituiile sunt de acord c principiile RGPD ar trebui s se aplice n mod consecvent instituiilor UE. Am susinut securitatea juridic i uniformitatea cadrului juridic, acceptnd n acelai timp unicitatea sectorului public al UE i necesitatea de a evita orice diminuare a nivelului actual al obligaiilor (precum i necesitatea de a asigura baza legal i organizaional pentru AEPD). Prin urmare, Comisia ar trebui s formuleze o propunere n conformitate cu RGPD pentru revizuirea Regulamentului (CE) nr. 45/2001, ct mai curnd posibil dup finalizarea discuiilor privind RGPD, astfel nct ambele texte s poat deveni aplicabile n acelai timp.36

    n al doilea rnd, este clar c Directiva 2002/58/CE (Directiva privind confidenialitatea n mediul electronic) va trebui modificat. Mult mai important este ns faptul c UE are nevoie de un cadru clar privind confidenialitatea comunicaiilor, un element integrant al dreptului la via privat, care s reglementeze toate serviciile care permit comunicaii, nu numai pe cele oferite de furnizorii de comunicaii electronice accesibile publicului. Acest lucru trebuie realizat prin intermediul unui regulament armonizator i sigur din punct de vedere juridic care s prevad cel puin aceleai standarde de protecie ca Directiva privind confidenialitatea n mediul electronic n condiii echitabile.

    Prin urmare, prezentul aviz recomand asumarea unui angajament fa de adoptarea rapid a propunerilor n aceste dou domenii ct mai curnd posibil.

    5 Un moment definitoriu pentru drepturile digitale n Europa i n afara ei

    Pentru prima dat n decurs de o generaie, UE are ocazia de a moderniza i de a armoniza normele privind modul n care sunt tratate informaiile personale. Confidenialitatea i protecia datelor nu sunt n concuren cu creterea economic i comerul internaional, nici cu serviciile i produsele de calitate; acestea fac parte din propunerea privind calitatea i valoarea. Aa cum recunoate Consiliul European, ncrederea este o condiie necesar pentru produsele i serviciile inovatoare care se bazeaz pe prelucrarea datelor cu caracter personal.

    n 1995, UE era o deschiztoare de drumuri n domeniul proteciei datelor. Acum, peste 100 de ri din ntreaga lume au legi privind protecia datelor i mai puin de jumtate dintre acestea sunt ri europene.37 Cu toate acestea, UE continu s solicite o atenie deosebit din partea rilor care au n vedere constituirea sau revizuirea cadrelor lor juridice. ntr-o perioad n care ncrederea oamenilor n companii i guverne a fost zguduit de dezvluirile privind supravegherea n mas i nclcrile securitii datelor, legiuitorilor UE le revine o responsabilitate considerabil, pentru c se estimeaz c deciziile luate de ei n acest an vor avea un impact care va depi graniele Europei.

  • P a g i n a

    n opinia AEPD, textele RGPD sunt pe drumul cel bun, dar nc mai exist motive de ngrijorare, unele chiar foarte grave. Exist ntotdeauna un risc n cadrul procesului de codecizie: anumite dispoziii pot fi slbite de ctre negociatori bine intenionai de dragul compromisului politic. Cu toate acestea, n domeniul reformei proteciei datelor lucrurile stau altfel, pentru c avem de-a face cu drepturi fundamentale i modul n care acestea vor fi protejate timp de o ntreag generaie.

    n acest context, prezentul aviz ncearc s sprijine principalele instituii ale UE n rezolvarea problemelor. Vrem nu doar drepturi mai solide pentru persoana vizat i o mai mare responsabilitate din partea operatorului; vrem s facilitm inovarea printr-un cadru legal neutru fa de tehnologie, dar pozitiv fa de beneficiile pe care tehnologia le poate aduce societii.

    Negocierile aflndu-se pe ultima sut de metri, sperm c recomandrile noastre vor ajuta UE s reueasc promovarea unei reforme care s rmn fidel scopului su de-a lungul anilor i deceniilor care vor urma: un nou capitol pentru protecia datelor dintr-o perspectiv global, n care UE va conduce prin puterea exemplului.

    Bruxelles, 28 iulie 2015

    Giovanni BUTTARELLI

    Autoritatea European pentru Protecia Datelor

  • P a g i n a

    Note

    1 Declaraii comune. Declaraie comun a Parlamentului European, a Consiliului i a Comisiei Europene privind aspectele practice n cadrul procedurii de codecizie (articolul 251 din Tratatul CE) (2007/C 145/02), JO C 145, 30.6.2007.

    2 COM(2012) 11 final; Rezoluia legislativ a Parlamentului European din 12 martie 2014 referitoare la propunerea de regulament al Parlamentului European i al Consiliului privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal i libera circulaie a acestor date (Regulament general privind protecia datelor), P7_TA (2014)0212; Propunerea de regulament al Parlamentului European i al Consiliului privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date (Regulament general privind protecia datelor) Pregtirea abordrii generale, documentul Consiliului 9565/15, 11 iunie 2015.

    3 Titlul complet este Propunere de directiv privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, identificrii, investigrii sau urmririi penale a infraciunilor sau al executrii pedepselor i la libera circulaie a acestor date, COM(2012) 10 final; Rezoluia legislativ a Parlamentului European din 12 martie 2014 referitoare la propunerea de directiv a Parlamentului European i a Consiliului privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, identificrii, investigrii sau urmririi penale a infraciunilor sau al executrii pedepselor i la libera circulaie a acestor date, P7_TA(2014) 0219. n ceea ce privete calendarul i sfera de aplicare a trilogului, a se vedea Concluziile Consiliului European din 25-26 iunie 2015, EUCO 22/15; o foaie de parcurs pentru trilog a fost indicat ntr-o conferin de pres comun a Parlamentului, Consiliului i Comisiei http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed [ultima accesare la 20 iulie 2015], dar nu a fost publicat oficial. RGPD va intra n vigoare la 20 de zile de la data publicrii n Jurnalul Oficial i se preconizeaz c va fi pe deplin aplicabil la doi ani de la intrarea sa n vigoare (articolul 91).

    4 Anunul privind postul vacant de director al Autoritii Europene pentru Protecia Datelor COM/2014/10354 (2014/C 163 A/02), JO C 163 A/6 28.5.2014. Strategia AEPD pentru perioada 2015-2019 a promis s caute soluii viabile care s evite birocraia, s rmn flexibile la inovaia tehnologic i fluxurile transfrontaliere de date i s permit persoanelor fizice s i exercite drepturile mai eficient att n mediul online, ct i n afara acestuia; Conducerea prin puterea exemplului: Strategia AEPD pentru perioada 2015-2019, martie 2015.

    5 Avizul AEPD referitor la pachetul de reform privind protecia datelor, 7 martie 2015.

    6 A se vedea anexa la Scrisoarea Grupului de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal ctre Vra Jourov, comisarul pentru justiie, protecia consumatorilor i egalitatea de gen, 17 iunie 2015.

    7 Domeniul de aplicare material i teritorial al RGPD este greu de sintetizat. Instituiile par s fie de acord cel puin cu faptul c domeniul de aplicare vizeaz organizaiile constituite n UE care sunt responsabile pentru prelucrarea datelor cu caracter personal fie n UE, fie n afara acesteia, organizaiile cu sediul n afara UE care prelucreaz date cu caracter personal ale persoanelor fizice din UE n cadrul furnizrii de produse sau servicii sau al monitorizrii persoanelor din UE. (A se vedea articolul 2 cu privire la domeniul de aplicare material i articolul 3 cu privire la domeniul de aplicare teritorial.)

    8 Printre alte rezultate se numr: apte din zece persoane sunt ngrijorate c informaiile lor sunt folosite n alt scop dect cel pentru care au fost colectate, una din apte persoane consider c n orice situaie ar trebui s se solicite explicit consimmntul nainte ca datele s fie colectate i prelucrate, iar dou treimi cred c este important s i poat transfera informaiile

    http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4edhttp://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed

  • P a g i n a

    cu caracter personal de la un furnizor vechi de servicii la unul nou; Eurobarometrul special 431 privind protecia datelor, iunie 2015. Rezultate comparabile au fost furnizate n 2014 de centrul Pew Research, care a constatat c 91% dintre americani consider c au pierdut controlul asupra modului n care companiile le colecteaz i utilizeaz informaiile cu caracter personal, 80% dintre utilizatorii reelelor sociale sunt preocupai n legtur cu terii precum ageniile de publicitate sau companiile care le obin datele, iar 64% spun c guvernul ar trebui s fac mai mult pentru a reglementa activitatea celor care public reclame; Sondajul de tip panel al centrului Pew Research privind confidenialitatea, ianuarie 2014.

    9 Comisia propune o reform cuprinztoare a normelor n materie de protecie a datelor pentru a spori controlul utilizatorilor asupra datelor lor i a reduce costurile pentru ntreprinderi.

    10 Scrisoarea din partea unor ONG-uri ctre domnul preedinte Juncker, 21 aprilie 2015 https://edri.org/files/DP_letter_Juncker_20150421.pdf i rspunsul transmis de eful de Cabinet al vicepreedintelui Timmermans, 17 iulie 2015 https://edri.org/files/eudatap/Re_EC_EDRi-GDPR.pdf [accesat la 23 iulie 2015]. n mai 2015, AEPD s-a ntlnit cu reprezentanii ctorva dintre aceste ONG-uri pentru a discuta despre preocuprile exprimate; COMUNICAT DE PRES AEPD/2015/04, 1 iunie 2015, Reforma UE n domeniul proteciei datelor: AEPD se ntlnete cu grupurile internaionale pentru liberti civile; nregistrarea complet a discuiei este disponibil pe site-ul AEPD (https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Pressnews/Videos/GDPR_civil_soc).

    11 Articolul 2 alineatul (2) litera (e).

    12 Articolul 1.

    13 Articolul 8 din Cart prevede urmtoarele [sublinierea noastr]:

    1. Orice persoan are dreptul la protecia datelor cu caracter personal care o privesc.

    2. Asemenea date trebuie tratate n mod corect, n scopurile precizate i pe baza consimmntului persoanei interesate sau n temeiul unui alt motiv legitim prevzut de lege. Orice persoan are dreptul de acces la datele colectate care o privesc, precum i dreptul de a obine rectificarea acestora.

    3. Respectarea acestor norme se supune controlului unei autoriti independente.

    14 Articolul 10. Cu excepia cazului i pn n momentul n care exist o definiie clar i obligatorie din punct de vedere juridic pentru datele devenite pseudonim diferite de datele cu caracter personal, acest tip de date trebuie s rmn n sfera de aplicare a normelor de protecie a datelor.

    15 Articolul 6 alineatele (2) i (4). Avnd n vedere c au existat unele incertitudini cu privire la sensul termenului compatibilitate, recomandm, n urma Avizului Grupului de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal cu privire la limitarea scopului, criteriile generale pentru a verifica dac prelucrarea este compatibil [a se vedea articolul 5 alineatul (2)].

    16 Separarea funcional eficient constituie un mijloc de asigurare a prelucrrii legale n lipsa consimmntului, dar interesul legitim nu ar trebui s fie interpretat excesiv. Un drept necondiionat de a renuna poate fi, de asemenea, o alternativ adecvat n unele situaii. Stabilirea acordrii n mod liber a consimmntului depinde n parte de (a) existena unui dezechilibru semnificativ ntre persoana vizat i operator i (b) n cazurile de prelucrare n conformitate cu articolul 6 alineatul (1) litera (b), condiionarea sau nu a executrii unui contract sau a prestrii unui serviciu de consimmntul privind prelucrarea unor date care nu sunt necesare n aceste scopuri. [A se vedea articolul 7 alineatul (4).] Acest lucru reflect dispoziia din legislaia UE privind consumatorii: n conformitate cu articolul 3 alineatul (1) din Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive n contractele ncheiate cu consumatorii, o clauz contractual care nu s-a negociat individual se consider ca

    https://edri.org/files/DP_letter_Juncker_20150421.pdfhttps://edri.org/files/DP_letter_Juncker_20150421.pdfhttps://edri.org/files/eudatap/Re_EC_EDRi-GDPR.pdfhttps://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Pressnews/Videos/GDPR_civil_soc

  • P a g i n a

    fiind abuziv n cazul n care, n contradicie cu cerina de bun credin, provoac un dezechilibru semnificativ ntre drepturile i obligaiile prilor care decurg din contract, n detrimentul consumatorului.

    17 Exemple de astfel de norme sunt deciziile privind gradul de adecvare pentru sectoarele i teritoriile menionate, revizuirile periodice ale deciziilor privind gradul de adecvare i regulile corporatiste obligatorii. A se vedea articolele 40-45.

    18 Articolul 73.

    19 Articolul 76. Cu privire la dificultatea obinerii de reparaii pentru nclcarea normelor n materie de protecie a datelor, a se vedea raportul Ageniei pentru Drepturi Fundamentale, Accesul la cile de atac n domeniul proteciei datelor cu caracter personal n statele membre ale UE, 2013.

    20 Normele UE pun accentul pe autoevaluarea companiilor referitor la respectarea articolului 101 din TFUE cu privire la interzicerea acordurilor anticoncureniale, n timp ce firmele dominante pe o pia au o responsabilitate special de a evita orice aciune care ar putea afecta concurena efectiv (articolul 9 din Orientrile Comisiei 2009/C 45/02); a se vedea Avizul preliminar al AEPD privind protecia vieii private i competitivitatea n epoca bazelor de date de dimensiuni foarte mari, 14 martie 2014.

    21 Cele trei texte se refer n diverse feluri la un mod i o form inteligibile, utiliznd un limbaj clar i simplu (considerentul 57, PE, articolul 19, COM i Consiliul), calitatea de a fi clar i neechivoc [considerentul 99, PE, articolul 10 litera (a) PE] i furnizarea de informaii clare i uor de neles (articolul 10 PE, articolul 11 PE) i informaii care sunt concise, transparente, clare i uor accesibile (considerentul 25, PE, COM i Consiliul, articolul 11 PE).

    22 Prevederile privind actele delegate au fost eliminate n mare msur n versiunile Parlamentului i Consiliului. Considerm c UE ar putea merge mai departe i ar putea supune aceste chestiuni tehnice evalurii unor autoriti independente.

    23 Recomandrile noastre ar avea drept rezultat un text de aproximativ 20 000 de cuvinte; dimensiunea medie a textelor celor trei instituii este de aproximativ 28 000 de cuvinte.

    24 Articolul 22.

    25 Articolele 31 i 33.

    26 Articolul 39.

    27 Articolul 83. Cercetarea i arhivarea n sine nu constituie un temei juridic pentru prelucrare, motiv pentru care recomandm eliminarea articolului 6 alineatul (2).

    28 Articolul 83a.

    29 Grupul de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal a prezentat o viziune asupra guvernrii, mecanismului coerenei i ghieului unic bazat pe ncrederea n autoritile independente de prelucrare a datelor (APD) i formulat pe trei niveluri:

    APD individual, care este puternic i are resurse complete pentru a se ocupa de cazurile din sfera sa de competen;

    cooperarea eficient ntre APD cu un avantaj clar n cazurile transfrontaliere;

    Comitetul european pentru protecia datelor, care trebuie s fie autonom, cu personalitate juridic proprie, prevzut cu mijloace suficiente, alctuit din autoriti de prelucrare a datelor care sunt egale i care lucreaz ntr-un spirit de solidaritate, cu puterea de a lua decizii cu caracter obligatoriu i avnd sprijinul unui secretariat care servete comitetul prin preedinte.

  • P a g i n a

    30 De asemenea, recomandm clarificarea competenei autoritilor de supraveghere i desemnarea unei autoriti principale n cazurile de prelucrare transnaional, pstrnd n acelai timp capacitatea autoritilor de supraveghere de a se ocupa de cazurile pur locale. Recomandm o versiune simplificat a mecanismului coerenei, care s ofere mai mult claritate cu privire la modul de identificare a cazurilor n care autoritile de supraveghere trebuie s consulte Comitetul european pentru protecia datelor i n care Comitetul trebuie s emit o decizie cu caracter obligatoriu pentru a asigura aplicarea consecvent a regulamentului.

    31 Comunicarea Comisiei referitoare la O strategie privind piaa unic digital pentru Europa, COM(2015) 192 final; Concluziile Consiliului European din iunie 2015, EUCO 22/15; Concluziile Consiliului privind transformarea digital a industriei europene, 8993/15.

    32 Articolul 14 litera (h).

    33 Articolul 23.

    34 Articolul 18. Mai recomandm ca, pentru a avea efect, dreptul la portabilitatea datelor s aib o sfer larg de aplicare i s nu fie aplicat doar n cazul operaiunilor de prelucrare care utilizeaz datele furnizate de persoana vizat.

    35 Recomandm, de exemplu, omiterea termenilor cum ar fi online, n scris i societatea informaional.

    36 O opiune pe care am prefera-o este ca acest lucru s se fac prin intermediul unei prevederi n RGPD.

    37 Greenleaf, Graham, Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority (30 ianuarie 2015); (2015) 133 Privacy Laws & Business International Report, februarie 2015; UNSW Law Research Paper Nr. 2015-21.