Punerea in aplicare a dizpozitiilor specifice ale Regulamentului General privind Protectia Datelor (GDPR)

Article Punerea in aplicare a dizpozitiilor specifice ale Regulamentului General privind Protectia Datelor  (GDPR) | Decalex

Raportul Comisiei Europene: statele membre au adoptat abordărilor diferite în aplicarea dispozițiilor specifice prevăzute de GDPR

Comisia Europeană a publicat ieri (6 ianuarie 2021), raportul Direcției Generale Justiție și Consumatori privind punerea în aplicare a dispozițiilor specifice ale Regulamentului (UE) 2016/679

Ce sunt dispozițiile specifice?

Prevederile Regulamentului (UE) 2016/679 (GDPR) sunt aplicabile direct pe teritoriile statelor membre UE, fără ca, în principiu, să mai fie necesare măsuri de transpunere ori implementare. Totuși, în anumite situații, Regulamentul a lăsat posibilitatea statelor membre să adopte condiții suplimentare, restricții sau derogări de la anumite prevederi ale Regulamentului. Astfel, există mai multe dispoziții în GDPR care permit statelor membre să legifereze sau să furnizeze propriile specificații.

 

În special, raportul își propune să prezinte punerea în aplicare de către statele membre ale UE a articolelor 8 (1), 9 (4), 23 (1) (c) și (e), 23 (2), 85 (1) și (2) și 89 (2), (3) și (4) din Regulamentul (UE) 2016/679 („GDPR”). Mai precis, raportul abordează, printre alte dispoziții, punerea în aplicare a condițiilor aplicabile consimțământului copiilor în legătură cu serviciile societății informaționale, prelucrarea categoriilor speciale de date cu caracter personal, restricțiile la exercitarea drepturilor persoanelor vizate. 

Această evaluare se bazează pe legile naționale în vigoare la 19 decembrie 2019.

Care sunt articolele vizate de raport?

Articolul 8 alineatul (1) GDPR se referă la vârsta pe care trebuie să o aibă un copil pentru ca consimțământul său să fie valid pentru prelucrarea datelor sale personale în legătură cu serviciile societății informaționale. 

Articolul 9 (4) GDPR permite statelor membre să mențină sau să introducă condiții suplimentare, inclusiv limitări, în ceea ce privește prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. 

Articolul 23 alineatul (1) literele (c) și (e) GDPR permite legislației Uniunii și naționale să limiteze sfera obligațiilor și drepturilor prevăzute la articolele 5, 12 - 22 și articolul 34 GDPR, în cazul în care astfel de restricții respectă drepturile fundamentale și sunt necesare și proporționale pentru a proteja securitatea publică și alte obiective importante de interes public general. 

Articolul 23 alineatul (2) GDPR stipulează o serie de condiții și garanții însoțitoare, atunci când se aplică restricțiile prevăzute la articolul 23 alineatul (1) literele (c) și (e) GDPR. 

Articolul 85 alineatul (1) GDPR impune statelor membre să reconcilieze dreptul la protecția datelor cu caracter personal cu dreptul la libertatea de exprimare și informare

Articolul 85 alineatul (2) GDPR impune statelor membre să prevadă, acolo unde este cazul, derogări de la Capitolele II-VII și IX GDPR pentru prelucrarea efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.

Articolul 89 alineatele (2), (3) și (4) GDPR oferă statelor membre opțiunea de a deroga de la anumite drepturi ale persoanelor vizate în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică, în scopuri statistice, ori în scopuri de arhivare în interes public, sub rezerva anumitor condiții și garanții. 

Tendințe comune, dar abordări diferite

Deși au fost identificate unele tendințe comune, Raportul a evidențiat lipsa unei abordări consecvente, abordările juridice diferite adoptate de statele membre și gradul de specificare a dispozițiilor relevante din GDPR având o plajă vastă de variații.

Poate cel mai interesant aspect relevat de aceasta analiza, este modalitatea în care statele membre au ales să adopte derogările și reacțiile permise de GDPR, fără ca acestea să fie însoțite de condiții sau garanții.

Direcției Generale Justiție și Consumatori a atras atenția în mod deosebit asupra a două situații:

  1. În timp ce majoritatea covârșitoare a statelor membre au implementat diferite restricții la drepturile persoanelor vizate în temeiul articolului 23 alineatul (1) literele (c) și (e) și articolului 23 alineatul (2) GDPR în scopul securității publice, administrația publică, sănătate publică, impozitare și migrație, în principiu nu au implementat condițiile prevăzute la articolul 23 alineatul (1) GDPR (inclusiv testul necesității și proporționalității) sau garanțiile prevăzute la articolul 23 alineatul (2) GDPR (scopul prelucrării, categoriile de date cu caracter personal), sfera de aplicare a restricțiilor introduse etc.).
  2. Deși un număr considerabil de state membre au adoptat diferite scutiri / derogări de la normele stabilite în capitolele II, III, IV, V, VI, VII și IX GDPR în legătură cu prelucrarea efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, doar câteva state membre prevăd o evaluare de la caz la caz pentru scutirile / derogările.

Observațiile generale menționate în raport

articolul 8 alineatul (1): majoritatea statelor membre au stabilit o limită de vârstă mai mică de 16 ani pentru validitatea consimțământului unui minor în legătură cu serviciile societății informaționale. Nouă state membre stabilesc limita de vârstă la vârsta de 16 ani, în timp ce opt state membre au optat pentru cea de 13 ani, șase pentru cea de 14 ani și trei pentru 15 ani.

articolul 9 alineatul (4): majoritatea statelor membre prevăd condiții / limitări în ceea ce privește prelucrarea datelor genetice, a datelor biometrice sau a datelor referitoare la sănătate.

Astfel de limitări / condiții constau de regulă în listarea categoriilor de persoane care au acces la astfel de date, asigurarea faptului că sunt supuse obligațiilor de confidențialitate sau supunerea prelucrării la autorizarea prealabilă a autorității naționale competente.

Nu a fost identificată nicio dispoziție națională care să restricționeze sau să interzică libera circulație a datelor cu caracter personal în Uniunea Europeană.

articolul 23 alineatul (1) (c) și (e): (care se referă la securitate publică, administrație publică, sănătate publică, impozitare și migrație) unele state membre prevăd restricții în domeniul (i) securității sociale; sau (ii) supravegherea participanților la piața financiară, funcționarea sistemelor de garanție și analizele de rezoluție și macroeconomice. În ceea ce privește articolul 23 alineatul (1) litera (c) GDPR, majoritatea statelor membre permit restricții ale diferitelor dispoziții menționate la articolul 23 alineatul (1) GDPR. În mod normal, există o referință generală la securitatea publică, în timp ce domeniile mai specifice de prelucrare includ prelucrarea datelor cu caracter personal pentru investigarea și urmărirea penală a infracțiunilor și utilizarea camerelor video pentru supraveghere. Cel mai frecvent, restricțiile se aplică numai acolo unde sunt îndeplinite anumite condiții. În unele state membre, testul de proporționalitate și necesitate nu este deloc luat în considerare, în timp ce în majoritatea statelor membre este stabilit prin lege, mai degrabă decât lăsat la dispoziția operatorului de date. Majoritatea covârșitoare a statelor membre nu implementează suficient condițiile și garanțiile prevăzute la articolul 23 alineatul (2) GDPR.

articolul 23 alineatul (1) litera (e): în ceea ce privește administrația publică, jumătate din statele membre prevăd restricții în acest scop. În mod normal, există o referință generală la interesul public general sau administrația publică, în timp ce domeniile mai specifice de prelucrare includ discuțiile Consiliului de Miniștri și anchetarea autorităților de poliție judiciare sau „administrative” în legătură cu săvârșirea unei infracțiuni sau a unei încălcări administrative. Cel mai frecvent, restricțiile se aplică numai acolo unde sunt îndeplinite anumite condiții. În unele state membre, testul de proporționalitate și necesitate nu este deloc luat în considerare, în timp ce în alte state membre testul este stabilit prin lege sau lăsat în sarcina operatorului de date. Niciun stat membru nu pune în aplicare toate condițiile și garanțiile prevăzute la articolul 23 alineatul (2) GDPR.

articolul 23 alineatul (1) litera (e): în ceea ce privește sănătatea publică, o mică parte dintre statele membre prevede restricții în acest scop. În mod normal, există o referință generală la sănătatea publică sau interesul public general, în timp ce domeniile mai specifice de prelucrare includ securitatea lanțului alimentar și a fișelor medicale. În majoritatea statelor membre, restricțiile aplicabile se aplică numai atunci când sunt îndeplinite anumite condiții. Testul de proporționalitate și necesitate este stabilit în general de lege. Niciun stat membru nu pune în aplicare toate condițiile și garanțiile prevăzute la articolul 23 alineatul (2) GDPR.

articolul 23 alineatul (1) litera (e): în ceea ce privește impozitarea, un număr considerabil de state membre prevăd restricții pentru astfel de scopuri. Există tendința unei referințe generale la impozitare sau interes public general, în timp ce domenii mai specifice de prelucrare includ recuperarea impozitelor, precum și proceduri automate de transfer al datelor fiscale. În mod normal, restricțiile aplicabile se aplică numai atunci când sunt îndeplinite anumite condiții. Testul de proporționalitate și necesitate este, în general, lăsat la dispoziția operatorului de date. Niciun stat membru nu pune în aplicare toate condițiile și garanțiile prevăzute la articolul 23 alineatul (2) GDPR.

articolul 23 alineatul (1) litera (e): în ceea ce privește migrația, o mică parte dintre statele membre prevede restricții în acest scop. În mod normal, există o referință generală la migrație sau interes public general. Restricțiile aplicabile tind să se aplice numai acolo unde sunt îndeplinite anumite condiții. Testul de proporționalitate și necesitate este, în general, lăsat la dispoziția operatorului de date. Niciun stat membru nu pune în aplicare toate condițiile și garanțiile prevăzute la articolul 23 alineatul (2) GDPR.

articolul 85 alineatul (1): majoritatea statelor membre prevăd dispoziții care vizează concilierea dreptului la protecția datelor cu caracter personal cu dreptul la libertatea de exprimare și informare.

Aceste prevederi sunt, de obicei, în actul național de protecție a datelor care implementează GDPR, cu toate acestea, în unele cazuri există, de asemenea, dispoziții specifice în legile mass-media în acest sens.

articolul 85 alineatul (2): majoritatea statelor membre prevăd scutiri / derogări de la normele stabilite în capitolele II, III, IV, V, VI, VII și IX GDPR. Cel mai adesea, în legislația națională nu este identificat niciun test specific de echilibrare sau reconciliere. 

Un raport detaliat al scutirilor / derogărilor poate fi găsit în Anexa 2 a Raportului - Punerea în aplicare a articolului 85 alineatul (2) GDPR.

Punerea în aplicare a dispozițiilor specifice ale Regulamentului în România

În virtutea dreptului acordat statelor membre de a adopta şi implementa măsuri suplimentare faţă de Regulament, Parlamentul României a adoptat Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679. Această lege stabilește măsurile necesare punerii în aplicare la nivel naţional, în principal, a prevederilor art. 6 alin. (2), art. 9 alin. (4), art. 37-39, 42, 43, art. 83 alin. (7), art. 85 şi ale art. 87-89 din Regulament.

Astfel, au fost introduse o serie de prevederi, cele mai importante dintre acestea referindu-se la: prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea; prelucrarea unui număr de identificare naţional; prelucrarea datelor cu caracter personal în contextul relaţiilor de muncă, prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public, prelucrarea datelor de către partidele politice și organizațiile cetățenilor aparținând minorităților naționale, organizațiilor neguvernamentale.

Măsurile de punere în aplicare a Regulamentului (UE) 2016/679 prevăzute prin această lege nu s-au bucurat de aprecierea specialiștilor din domeniu protecției datelor, întrucât acestea nu puteau garanta respectarea esenței drepturilor și libertăților fundamentale. 

Legea nr. 190/2018 a făcut obiectul unei Reclamații înaintată Comisiei Europene de către ApTI (Asociația pentru Tehnologie și Internet), la data de 14 februarie 2019, prin care semnala faptul că derogările pe care le introduce Legea nr. 190/2018 ridică probleme grave în ceea ce privește respectarea principiilor de prelucrare a datelor, asigurarea protecției individului și respectarea valorilor democratice. ApTI a indicat în special articolele 7, 9, 13 și 14 din legea română ca ridicând îngrijorări cu privire la implementarea corectă a GDPR, menționând însă că „o critică considerabilă poate fi adresată legii în ansamblu”.

Mai mult, Senatul României a adoptat un Proiect de Lege pentru abrogarea art. 6 şi 9 din Legea nr.190/2018 privind unele măsuri de punere în aplicare a Regulamentului (UE) 2016/679.

Conform Expunerii de motive din inițiativa legislativă, inițiatorii au concluzionat că „articolele 6 și 9 din această lege nu sunt în concordanță cu Regulamentul (UE) 2016/679 și încalcă dispozițiile acestuia, astfel că se impune abrogarea lor”.

În acest moment, propunerea legislativă este înscrisă pe ordinea de zi a plenului Camerei Deputaților, care este for decizional.

Impactul măsurilor de punere în aplicare a GDPR

Efectele măsurilor de punere în aplicare a Regulamentului (UE) 2016/679, deși dificil de anticipat, pot avea un impact extrem de puternic asupra drepturilor și libertăților persoanelor. 

Acest lucru ne-a fost demonstrat cu ocazia alegerilor pentru desemnarea Președintelui României, care au avut loc în 10 și 24 Noiembrie când datele înscrise pe listele suplimentare (semnătura, numele și prenumele, codul numeric personal, domiciliul, seria și numărul actului de identitate) au fost solicitate de partidele politice în baza „interesului legitim conferit de art. 9 alin (2) din legea 190/2018”. 

Astfel, art. 9 din legea 190/2018 a constituit pârghia de care s-au folosit partidele politice pentru a accesa datele votanților înscriși pe listele suplimentare. Datele personale a zeci sau poate chiar sute de mii de români au putut altfel fi accesate de partidele politice, fără a se oferi niciun fel de garanții cu privire la securitatea și confidențialitatea lor. 

 

Ce înseamnă acest raport pentru organizațiile din România?

„Trebuie să monitorizăm în mod activ modul în care statele membre implementează GDPR în legislația lor națională pentru a ne asigura că principiul un continent, o lege este acolo”, declara Vera Jourova, vicepreședintele Comisiei Europene pentru valori și transparență, cu ocazia adoptării primului raport al Comisiei Europene privind evaluarea și revizuirea GDPR (Iunie 2020).

Pentru companiile care își desfășoară activitatea în mai multe state membre, cea mai mare provocare apare atunci când legislația mai multor state membre se aplica aceluiași operator sau împuterniciților săi. 

Cele mai evidente exemple de potențial conflict sunt vârsta consimțământului pentru copii, prelucrarea categoriilor speciale de date sau scutirile pentru drepturile persoanelor vizate, însă lista poate continua. 

Așa cum am remarcat în momentul izbucnirii pandemiei de coronavirus, inclusiv autoritățile de supraveghere naționale au o apreciere diferită asupra modului în care GDPR-ul trebuie implementat. Spre exemplu, în timp ce unele țări permiteau angajatorului să colecteze date despre infectarea cu coronavirus de la angajați, altele au interzis această practică. 

Pentru organizațiile active în mai multe țări ale UE, aceasta fragmentare a legislațiior statelor membre va îngreuna procesul de implementare a GDPR în întreg fluxul operațional, astfel încât să fie respectate legislațiile fiecărei țări. Mai mult, monitorizarea schimbarilor legislative la nivelul statelor membre va fi un alt capitol care va da mari bătăi de cap operatorilor.

Deși GDPR oferă un punct central al aplicării printr-un sistem de proceduri de cooperare și coerență denumit „one stop shop”, nu considerăm ca ar trebui să ne așteptăm ca Autoritatea Națională din România (ANSPDCP) să facă față situațiilor care necesită aplicarea legislației statelor membre. 

Prin urmare, dacă o organizație multinațională trebuie să abordeze respectarea confidențialității în mai multe țări, organizația trebuie să se familiarizeze cu regulile și să abordeze procedurile diferite din toate statele membre în care sunt prelucrate date. 

Piața unică digitală este un concept care poate funcționa eficient doar dacă legislațiile statelor membre nu depășesc marjele stabilite de GDPR și nu introduc cerințe suplimentare atunci când nu există limite. 

În concluzie, dacă activitatea companiei tale implică prelucrări transfrontaliere a datelor sau ați subcontractat o parte dintre activități unor imputerniciți care își au sediul principal în alte state din Spațiul Economic European, trebuie să luați în calcul faptul că este necesar să vă puneți la punct cu dispozițiile specifice adoptate de fiecare țară în parte și să monitorizați continuu modificările legislative ale statelor membre respective. Pentru suport în gestionarea acestor situații ne puteți scrie la office@decalex.ro.

Share:
Cristian Donciu
Autor: Cristian Donciu

Junior Privacy & Data Protection Consultant

PUNE O INTREBARE