Parlamentul European a adoptat noul pachet general privind protecția datelor personale

Parlamentul European a adoptat noul pachet general privind protecția datelor personale

15 aprilie 2016

La data de 14 aprilie 2014, Parlamentul European a adoptat pachetul general privind protecția datelor personale, care include un  regulament care cuprinde normele generale și o directivă care se va aplica sectorului specific al cooperării judiciare în materie penală și al cooperării  polițienești.

Acestea sunt:

REGULAMENTUL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

DIRECTIVA PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (Directiva)

A.     Principalele noutăți din   Regulamentul general privind protecția datelor

Dreptul de a fi uitat

Atunci când o persoană nu mai dorește ca datele sale să fie prelucrate,  acestea vor fi șterse, cu condiția  să nu existe motive legitime pentru păstrarea acestora. Este vorba despre protejarea vieții private a persoanelor, nu despre ștergerea unor date privind evenimente din trecut, care limitează libertatea presei. Conform Regulamentului, ”persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre motivele expres menționate la art. 17 din Regulament”. Se precizează ca aceste dispoziții nu se aplică în anumite cazuri expres menționate, printre care situația în care prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare și la informare sau pentru constatarea, exercitarea sau apărarea unui drept în instanță etc.

Protecție specifică în cazul copiilor

Regulamentul prevede o protecție specifică în privința copiilor, întrucât aceștia pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. În considerente se precizează că această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor.  În cazul serviciilor societății informaționale oferite direct unui copil, acordul pentru prelucrarea datelor unui copil trebuie să fie furnizat sau autorizat de către titularul responsabilității părintești asupra copilului.

În ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani. Scopul acestei dispoziții specifice vizează protejarea copiilor împotriva presiunilor de a face schimb de date cu caracter personal fără să realizeze pe deplin consecințele. Ea nu se va opri însă adolescenții să folosească Internetul pentru a obține informații, consiliere, educație etc.

Comitetul european pentru protecția datelor, instituit prin noul Regulament, va  emite orientări, recomandări și bune practici privind procedurile de ștergere a linkurilor către datele cu caracter personal ale copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului.

Consimțământul privind prelucrarea datelor trebuie să fie clar

Se prevede că în  cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Acces mai simplu la datele personale

Persoanele fizice vor avea mai multe informații cu privire la modul în care sunt prelucrate datele lor și aceste informații ar trebui să fie disponibile într-un mod clar și ușor de înțeles. Un drept nou privind portabilitatea datelor  prevede că persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal.

Dreptul de a ști când datele personale au fost piratate

Companiile și organizațiile trebuie să notifice autoritatea națională de supraveghere în cazul încălcărilor securității datelor care pun persoanele in situații de risc și să comunice persoanei vizate toate încălcările de mare risc, cât mai curând posibil, astfel încât utilizatorii să poată lua măsurile corespunzătoare. În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit va deveni un principiu esențial

Regulamentul introduce principiul potrivit căruia protecția datelor trebuie să înceapă chiar din momentul concepției, din prima fază de dezvoltare a noilor produse tehnologice cum ar fi rețele sociale și aplicații mobile. Statele membre vor introduce mecanisme de certificare a acestor produse sau servicii, care să demonstreze îndeplinirea cerințelor sub aspectul protecției datelor. Regulamentul promovează tehnici pentru a proteja datele cu caracter personal, cum ar fi anonimizarea (eliminarea informațiilor de identificare personală în cazul în care nu este necesară), pseudonimizarea (înlocuirea datelor de identificare personală, cu identificatori artificiali) și criptarea mesajelor (care codifică datele astfel încât numai persoanele autorizate le pot citi).

Aplicarea mai strictă a regulilor

Autoritățile de protecție a datelor vor fi în măsură să dea amenzi de până la 4% din cifra de afaceri anuală la nivel mondial companiilor care nu respectă normele UE.

B. Prelucrarea datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești

În ce privește Directiva, domeniul de aplicare material al  acesteia cuprinde prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. Aceasta înseamnă că proiectul de directivă se aplică și prelucrării datelor cu caracter personal la nivel național, spre deosebire de Decizia-cadru 2008/977/JAI. Cealaltă componentă a pachetului privind protecția datelor, respectiv Regulamentul, exclude domeniul de aplicare al directivei din domeniul său de aplicare. Cu alte cuvinte, Regulamentul  cuprinde normele generale, în timp ce proiectul de directivă se aplică sectorului specific al cooperării judiciare în materie penală și al cooperării polițienești.

Obiectivul directivei este de a asigura eficacitatea cooperării judiciare în materie penală și a cooperării polițienești, precum și de a facilita schimbul de date cu caracter personal între autoritățile competente ale statelor membre, garantând în același timp un nivel ridicat și consecvent de protecție a datelor cu caracter personal ale persoanelor fizice. În comparație cu Decizia – cadru 2008/977/JAI a Consiliului, pe care urmează să o înlocuiască, proiectul de directivă va acoperi, de asemenea, prelucrarea la nivel național a datelor cu caracter personal. În acest sens, se mizează pe armonizarea a 28 de legislații naționale diferite. Normele comune privind protecția datelor vor permite punerea în aplicare a legii și autoritățile judiciare vor putea coopera mai eficient și mai rapid între ele prin facilitarea schimbului de date cu caracter personal necesare pentru a preveni criminalitatea în condiții de securitate juridică, în conformitate cu Carta drepturilor fundamentale.

Categoriile de persoane vizate de aceasta directivă sunt: a) persoane în privința cărora există motive serioase să se creadă că au săvârșit sau că urmează să săvârșească o infracțiune; (b) persoane condamnate pentru săvârșirea unei infracțiuni; (c) victime ale unei infracțiuni sau persoane în privința cărora, în baza anumitor fapte, există motive să se creadă că persoanele respective ar putea fi victimele unei infracțiuni; și (d) alte părți care au legătură cu infracțiunea, ca de exemplu persoane care ar putea fi chemate să depună mărturie în cadrul anchetelor legate de infracțiuni sau în cadrul procedurilor penale ulterioare sau persoane care pot oferi informații cu privire la infracțiuni sau persoane care sunt în legătură sau asociate cu persoanele menționate la literele (a) și (b).

Conform acestei directive„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității, care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod.

Spre deosebire de Regulament,  Directiva nu include noțiunea de „transparență” printre principiile legate de prelucrarea datelor cu caracter personal, deoarece, conform expunerii de motive,  în domeniul aplicării legii, transparența ar putea aduce prejudicii investigațiilor în curs de desfășurare. În Directivă se precizează că ”o prelucrare a datelor cu caracter personal trebuie să fie legală, echitabilă și transparentă față de persoanele fizice în cauză, iar prelucrarea trebuie să fie făcută numai pentru scopuri specifice prevăzute de lege. Acest lucru nu împiedică, în sine, autoritățile de aplicare a legii să desfășoare activități precum investigațiile sub acoperire sau supravegherea video. Aceste activități pot fi întreprinse în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protecției împotriva fraudei și al prevenirii amenințărilor la adresa securității publice, în măsura în care sunt prevăzute de lege și constituie o măsură necesară și proporțională într-o societate democratică, ținându-se seama în mod corespunzător de interesele legitime ale respectivei persoane fizice” (Considerentul 26 din Directivă)