UNBR: „Parlamentul European a adoptat noul pachet general privind protectia datelor personale”

Uniunea Nationala a Barourilor din Romania, condusa de avocatul Gheorghe Florea (foto), a dat publicitatii, vineri 15 aprilie 2016, un comunicat de presa privind adoptarea de catre Parlamentul European a pachetului general privind protectia datelor personale, care include un regulament cuprinzand normele generale si o directiva care se va aplica sectorului specific al cooperarii judiciare in materie penala si al cooperarii politienesti.

---

Comunicatul UNBR:

„La data de 14 aprilie 2014, Parlamentul European a adoptat pachetul general privind protectia datelor personale, care include un regulament care cuprinde normele generale si o directiva care se va aplica sectorului specific al cooperarii judiciare in materie penala si al cooperarii politienesti.

Acestea sunt:

-REGULAMENTUL PARLAMENTULUI EUROPEAN SI AL CONSILIULUI privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor)

-DIRECTIVA PARLAMENTULUI EUROPEAN SI A CONSILIULUI privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date si de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (Directiva)

A. Principalele noutati din Regulamentul general privind protectia datelor

Dreptul de a fi uitat

Atunci cand o persoana nu mai doreste ca datele sale sa fie prelucrate, acestea vor fi sterse, cu conditia sa nu existe motive legitime pentru pastrarea acestora. Este vorba despre protejarea vietii private a persoanelor, nu despre stergerea unor date privind evenimente din trecut, care limiteaza libertatea presei. Conform Regulamentului, 'persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre motivele expres mentionate la art. 17 din Regulament'. Se precizeaza ca aceste dispozitii nu se aplica in anumite cazuri expres mentionate, printre care situatia in care prelucrarea este necesara pentru exercitarea dreptului la libera exprimare si la informare sau pentru constatarea, exercitarea sau apararea unui drept in instanta etc.

Protectie specifica in cazul copiilor

Regulamentul prevede o protectie specifica in privinta copiilor, intrucat acestia pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal. In considerente se precizeaza ca aceasta protectie specifica ar trebui sa se aplice in special utilizarii datelor cu caracter personal ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor. In cazul serviciilor societatii informationale oferite direct unui copil, acordul pentru prelucrarea datelor unui copil trebuie sa fie furnizat sau autorizat de catre titularul responsabilitatii parintesti asupra copilului.

In ceea ce priveste oferirea de servicii ale societatii informationale in mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legala daca copilul are cel putin varsta de 16 ani. Daca copilul are sub varsta de 16 ani, respectiva prelucrare este legala numai daca si in masura in care consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului.

Statele membre pot prevedea prin lege o varsta inferioara in aceste scopuri, cu conditia ca acea varsta inferioara sa nu fie mai mica de 13 ani. Scopul acestei dispozitii specifice vizeaza protejarea copiilor impotriva presiunilor de a face schimb de date cu caracter personal fara sa realizeze pe deplin consecintele. Ea nu se va opri insa adolescentii sa foloseasca Internetul pentru a obtine informatii, consiliere, educatie etc.

Comitetul european pentru protectia datelor, instituit prin noul Regulament, va emite orientari, recomandari si bune practici privind procedurile de stergere a linkurilor catre datele cu caracter personal ale copiilor sau a reproducerilor acestora de care dispun serviciile de comunicatii accesibile publicului.

Consimtamantul privind prelucrarea datelor trebuie sa fie clar

Se prevede ca in cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu.

Acces mai simplu la datele personale

Persoanele fizice vor avea mai multe informatii cu privire la modul in care sunt prelucrate datele lor si aceste informatii ar trebui sa fie disponibile intr-un mod clar si usor de inteles. Un drept nou privind portabilitatea datelor prevede ca persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal.

Dreptul de a sti cand datele personale au fost piratate

Companiile si organizatiile trebuie sa notifice autoritatea nationala de supraveghere in cazul incalcarilor securitatii datelor care pun persoanele in situatii de risc si sa comunice persoanei vizate toate incalcarile de mare risc, cat mai curand posibil, astfel incat utilizatorii sa poata lua masurile corespunzatoare. In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul informeaza persoana vizata fara intarzieri nejustificate cu privire la aceasta incalcare.

Asigurarea protectiei datelor incepand cu momentul conceperii si in mod implicit va deveni un principiu esential

Regulamentul introduce principiul potrivit caruia protectia datelor trebuie sa inceapa chiar din momentul conceptiei, din prima faza de dezvoltare a noilor produse tehnologice cum ar fi retele sociale si aplicatii mobile. Statele membre vor introduce mecanisme de certificare a acestor produse sau servicii, care sa demonstreze indeplinirea cerintelor sub aspectul protectiei datelor. Regulamentul promoveaza tehnici pentru a proteja datele cu caracter personal, cum ar fi anonimizarea (eliminarea informatiilor de identificare personala in cazul in care nu este necesara), pseudonimizarea (inlocuirea datelor de identificare personala, cu identificatori artificiali) si criptarea mesajelor (care codifica datele astfel incat numai persoanele autorizate le pot citi).

Aplicarea mai stricta a regulilor

Autoritatile de protectie a datelor vor fi in masura sa dea amenzi de pana la 4% din cifra de afaceri anuala la nivel mondial companiilor care nu respecta normele UE.

B. Prelucrarea datelor cu caracter personal in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti

In ce priveste Directiva, domeniul de aplicare material al acesteia cuprinde prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora. Aceasta inseamna ca proiectul de directiva se aplica si prelucrarii datelor cu caracter personal la nivel national, spre deosebire de Decizia-cadru 2008/977/JAI. Cealalta componenta a pachetului privind protectia datelor, respectiv Regulamentul, exclude domeniul de aplicare al directivei din domeniul sau de aplicare. Cu alte cuvinte, Regulamentul cuprinde normele generale, in timp ce proiectul de directiva se aplica sectorului specific al cooperarii judiciare in materie penala si al cooperarii politienesti.

Obiectivul directivei este de a asigura eficacitatea cooperarii judiciare in materie penala si a cooperarii politienesti, precum si de a facilita schimbul de date cu caracter personal intre autoritatile competente ale statelor membre, garantand in acelasi timp un nivel ridicat si consecvent de protectie a datelor cu caracter personal ale persoanelor fizice. In comparatie cu Decizia – cadru 2008/977/JAI a Consiliului, pe care urmeaza sa o inlocuiasca, proiectul de directiva va acoperi, de asemenea, prelucrarea la nivel national a datelor cu caracter personal. In acest sens, se mizeaza pe armonizarea a 28 de legislatii nationale diferite. Normele comune privind protectia datelor vor permite punerea in aplicare a legii si autoritatile judiciare vor putea coopera mai eficient si mai rapid intre ele prin facilitarea schimbului de date cu caracter personal necesare pentru a preveni criminalitatea in conditii de securitate juridica, in conformitate cu Carta drepturilor fundamentale.

Categoriile de persoane vizate de aceasta directiva sunt: a) persoane in privinta carora exista motive serioase sa se creada ca au savarsit sau ca urmeaza sa savarseasca o infractiune; (b) persoane condamnate pentru savarsirea unei infractiuni; (c) victime ale unei infractiuni sau persoane in privinta carora, in baza anumitor fapte, exista motive sa se creada ca persoanele respective ar putea fi victimele unei infractiuni; si (d) alte parti care au legatura cu infractiunea, ca de exemplu persoane care ar putea fi chemate sa depuna marturie in cadrul anchetelor legate de infractiuni sau in cadrul procedurilor penale ulterioare sau persoane care pot oferi informatii cu privire la infractiuni sau persoane care sunt in legatura sau asociate cu persoanele mentionate la literele (a) si (b).

Conform acestei directive 'incalcarea securitatii datelor cu caracter personal' inseamna o incalcare a securitatii, care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod.

Spre deosebire de Regulament, Directiva nu include notiunea de 'transparenta' printre principiile legate de prelucrarea datelor cu caracter personal, deoarece, conform expunerii de motive, in domeniul aplicarii legii, transparenta ar putea aduce prejudicii investigatiilor in curs de desfasurare. In Directiva se precizeaza ca 'o prelucrare a datelor cu caracter personal trebuie sa fie legala, echitabila si transparenta fata de persoanele fizice in cauza, iar prelucrarea trebuie sa fie facuta numai pentru scopuri specifice prevazute de lege. Acest lucru nu impiedica, in sine, autoritatile de aplicare a legii sa desfasoare activitati precum investigatiile sub acoperire sau supravegherea video. Aceste activitati pot fi intreprinse in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii sanctiunilor penale, inclusiv al protectiei impotriva fraudei si al prevenirii amenintarilor la adresa securitatii publice, in masura in care sunt prevazute de lege si constituie o masura necesara si proportionala intr-o societate democratica, tinandu-se seama in mod corespunzator de interesele legitime ale respectivei persoane fizice' (Considerentul 26 din Directiva)”.