Uniunea Europeană face un nou pas spre a le acorda cetăţenilor un control sporit asupra datelor cu caracter personal
foto: realitatea.net
Regulamentul general privind protecţia datelor (RGDP) la nivelul Uniunii Europene (UE) intră în vigoare vineri, cu obiectivul de a întări apărarea dreptului persoanelor la protecţia datelor cu caracter personal, ca drept fundamental al UE. Începând din această zi, tuturor companiilor care desfăşoară activităţi în UE li se aplică acelaşi set de norme privind protecţia datelor, oriunde şi-ar avea sediul, iar datorită normelor mai stricte privind protecţia datelor oamenii se vor putea bucura de mai mult control asupra propriilor date cu caracter personal, în timp ce companiile vor putea beneficia de condiţii de concurenţă echitabile.
Noul regulament - adoptat în aprilie 2016, în cadrul unui pachet de reforme a legislaţiei privind protecţia datelor, veche de 20 de ani - a prevăzut o perioadă de tranziţie de 2 ani - până la 25 mai a.c. - în scopul de a acorda statelor membre timp să se pregătească pe deplin pentru noul cadru juridic. În acest răstimp, toate părţile interesate, de la administraţiile naţionale şi autorităţile naţionale pentru protecţia datelor la operatorii de date şi persoanele împuternicite de către operatori, au fost chemate să participe la o serie de activităţi pentru a garanta că schimbările aduse de noul cadrul de protecţie a datelor sunt bine înţelese.
Regulamentul se aplică în toate statele membre
Regulamentul se aplică direct în toate statele membre, ceea ce înseamnă că intră în vigoare şi se aplică indiferent de măsurile adoptate în temeiul legislaţiei naţionale şi că dispoziţiile regulamentului pot fi invocate în mod normal direct de către cetăţeni, întreprinderi, administraţii publice şi alte organizaţii care prelucrează date cu caracter personal. Statele membre au fost chemate să ia măsurile necesare pentru a-şi adapta legislaţia prin abrogarea şi modificarea legislaţiei existente şi instituirea autorităţilor naţionale pentru protecţia datelor, alegerea unui organism de acreditare şi stabilirea normelor pentru reconcilierea libertăţii de exprimare şi a protecţiei datelor.
RGDP instituie un control sporit asupra datelor cu caracter personal în cazul persoanelor fizice. Astfel, se stabileşte între altele un nou drept la portabilitatea datelor, permiţând cetăţenilor să solicite unei întreprinderi sau organizaţii să primească înapoi datele cu caracter personal pe care aceştia le-au furnizat respectivei întreprinderi sau organizaţii pe bază de consimţământ sau contract. Regulamentul va permite, de asemenea, ca astfel de date cu caracter personal să fie transmise direct către o altă întreprindere sau organizaţie, atunci când acest lucru este realizabil din punct de vedere tehnic. În acelaşi timp, facilitarea posibilităţii acordată cetăţenilor de a trece de la un furnizor de servicii la altul va încuraja dezvoltarea de noi servicii în contextul strategiei privind piaţa unică digitală.
Este vizată totodată o protecţie sporită împotriva încălcării securităţii datelor. Regulamentul stabileşte un set cuprinzător de norme cu privire la încălcarea securităţii datelor cu caracter personal, definind în mod clar ce se înţelege prin 'încălcarea securităţii datelor cu caracter personal' şi introducând o obligaţie de notificare a autorităţii de supraveghere cel târziu în termen de 72 de ore atunci când încălcarea securităţii datelor este susceptibilă să constituie un risc pentru drepturile şi libertăţile persoanelor fizice. În acelaşi context, în anumite împrejurări, RGDP prevede obligaţia de a informa persoana ale cărei date sunt afectate de încălcare, ceea ce sporeşte în mod considerabil protecţia comparativ cu situaţia actuală din UE, în care doar furnizorii de servicii de comunicaţii electronice, operatorii de servicii esenţiale şi furnizorii de servicii digitale au obligaţia de a notifica încălcarea securităţii datelor.
Regulamentul introduce, între altele, noi cerinţe în materie de transparenţă şi consolidarea drepturilor la informare, la acces şi la ştergerea datelor (''dreptul de a fi uitat''); tăcerea sau inacţiunea nu vor mai fi considerate drept consimţământ exprimat în mod valabil, fiind obligatorie o acţiune pozitivă fără echivoc pentru exprimarea consimţământului; se urmăreşte protejarea copiilor în mediul online.
Regulamentul acordă competenţa de a impune amenzi
Noile norme acordă tuturor autorităţilor pentru protecţia datelor competenţa de a impune amenzi operatorilor şi persoanelor împuternicite de către operatori. În prezent, nu toate autorităţile în cauză au această competenţă. Amenzile pot ajunge până la 20 de milioane de euro sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri anuală la nivel mondial.
În centrul protecţiei datelor în Europa va fi Comitetul european pentru protecţia datelor. Aceasta va contribui la o aplicare coerentă a legislaţiei privind protecţia datelor şi va oferi o bază solidă pentru cooperarea între autorităţile pentru protecţia datelor, inclusiv Autoritatea Europeană pentru Protecţia Datelor. Comitetul va publica orientări privind modul de interpretare a conceptelor de bază ale regulamentului şi va trebui, de asemenea, să emită decizii obligatorii cu privire la litigiile referitoare la prelucrarea transfrontalieră, ceea ce va asigura aplicarea uniformă a normelor UE şi va elimina posibilitatea ca acelaşi caz să fie abordat în mod diferit în diverse state membre, scrie Agerpres.ro.
Interlocutorii fireşti şi primul punct de contact pentru publicul larg, întreprinderi şi administraţiile publice pentru întrebările referitoare la regulament sunt autorităţile pentru protecţia datelor din statele membre. Rolul lor include informarea operatorilor şi a persoanelor împuternicite de către operatori cu privire la obligaţiile lor şi creşterea nivelului de conştientizare şi de înţelegere de către publicul larg a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare a datelor. Aceasta nu înseamnă însă că operatorii şi persoanele împuternicite de către operatori ar trebui să se aştepte să primească de la autorităţile pentru protecţia datelor tipul de consiliere juridică adaptată şi individualizată pe care numai un avocat sau un responsabil cu protecţia datelor ar putea să o ofere.
Regulamentul stipulează ca fiecare autoritate pentru protecţia datelor să acţioneze în deplină independenţă
În acelaşi timp, regulamentul stipulează ca fiecare autoritate pentru protecţia datelor să acţioneze în deplină independenţă şi oferă acestor autorităţi competenţe uniforme în întreaga UE, astfel încât să dispună de mijloace adecvate pentru soluţionarea eficace a plângerilor, desfăşurarea de investigaţii eficiente, luarea de decizii cu caracter obligatoriu şi impunerea de sancţiuni eficace şi disuasive.
În acest sens, statele membre sunt încurajate să îşi îndeplinească obligaţia legală de a furniza autorităţilor lor naţionale pentru protecţia datelor resursele umane, tehnice şi financiare, sediul şi infrastructura necesare pentru îndeplinirea efectivă a sarcinilor acestora şi exercitarea competenţelor.
Comisia Europeană va monitoriza modul în care statele membre aplică noile norme şi va lua măsurile necesare, inclusiv recurgerea la acţiuni în constatarea neîndeplinirii obligaţiilor. Comisia a pus la dispoziţie materiale orientative practice pentru a sprijini întreprinderile, în special IMM-urile, autorităţile publice şi publicul larg să respecte noile norme privind protecţia datelor şi să beneficieze de acestea, sub forma unui instrument online disponibil în toate limbile UE, care va fi actualizat periodic pe baza reacţiilor primite şi ţinând cont de eventualele chestiuni ce pot apărea în urma punerii în aplicare şi este destinat să deservească cele trei grupuri-ţintă principale.
"Sunt datele dumneavoastră - preluaţi controlul!"
Astfel, un ghid intitulat "Sunt datele dumneavoastră - preluaţi controlul!" publicat pe site-ul Comisiei notează că, de exemplu, când cumpăraţi ceva online, vânzătorul trebuie să colecteze numai datele necesare în vederea îndeplinirii contractului şi să le şteargă atunci când nu mai are nevoie de ele. De asemenea, îi puteţi cere companiei să vă dea datele personale pe care le deţine în legătură cu dumneavoastră, inclusiv numele şi datele de contact, datele cardului de credit, precum şi datele calendaristice ale achiziţiilor şi tipurile de achiziţii. Un alt exemplu - motoarele de căutare sunt obligate să şteargă unele linkuri apărute ca rezultat al căutării după numele unei persoane, atunci când nu este vorba de o persoană publică, iar interesul respectivei persoane privind eliminarea respectivului link prevalează asupra interesului publicului larg privind accesul la informaţie.
Anul acesta şi anul viitor, Comisia va cofinanţa cu un buget total de până la 2 milioane de euro acţiuni de sensibilizare întreprinse de autorităţile pentru protecţia datelor la nivel naţional, fiind vorba de proiecte puse în aplicare începând cu jumătatea anului 2018. În mai 2019, Comisia va realiza un bilanţ al punerii în aplicare a regulamentului şi va prezenta un raport privind punerea în aplicare a noilor norme în 2020.
Noul regulament - adoptat în aprilie 2016, în cadrul unui pachet de reforme a legislaţiei privind protecţia datelor, veche de 20 de ani - a prevăzut o perioadă de tranziţie de 2 ani - până la 25 mai a.c. - în scopul de a acorda statelor membre timp să se pregătească pe deplin pentru noul cadru juridic. În acest răstimp, toate părţile interesate, de la administraţiile naţionale şi autorităţile naţionale pentru protecţia datelor la operatorii de date şi persoanele împuternicite de către operatori, au fost chemate să participe la o serie de activităţi pentru a garanta că schimbările aduse de noul cadrul de protecţie a datelor sunt bine înţelese.
Regulamentul se aplică în toate statele membre
Regulamentul se aplică direct în toate statele membre, ceea ce înseamnă că intră în vigoare şi se aplică indiferent de măsurile adoptate în temeiul legislaţiei naţionale şi că dispoziţiile regulamentului pot fi invocate în mod normal direct de către cetăţeni, întreprinderi, administraţii publice şi alte organizaţii care prelucrează date cu caracter personal. Statele membre au fost chemate să ia măsurile necesare pentru a-şi adapta legislaţia prin abrogarea şi modificarea legislaţiei existente şi instituirea autorităţilor naţionale pentru protecţia datelor, alegerea unui organism de acreditare şi stabilirea normelor pentru reconcilierea libertăţii de exprimare şi a protecţiei datelor.
RGDP instituie un control sporit asupra datelor cu caracter personal în cazul persoanelor fizice. Astfel, se stabileşte între altele un nou drept la portabilitatea datelor, permiţând cetăţenilor să solicite unei întreprinderi sau organizaţii să primească înapoi datele cu caracter personal pe care aceştia le-au furnizat respectivei întreprinderi sau organizaţii pe bază de consimţământ sau contract. Regulamentul va permite, de asemenea, ca astfel de date cu caracter personal să fie transmise direct către o altă întreprindere sau organizaţie, atunci când acest lucru este realizabil din punct de vedere tehnic. În acelaşi timp, facilitarea posibilităţii acordată cetăţenilor de a trece de la un furnizor de servicii la altul va încuraja dezvoltarea de noi servicii în contextul strategiei privind piaţa unică digitală.
Este vizată totodată o protecţie sporită împotriva încălcării securităţii datelor. Regulamentul stabileşte un set cuprinzător de norme cu privire la încălcarea securităţii datelor cu caracter personal, definind în mod clar ce se înţelege prin 'încălcarea securităţii datelor cu caracter personal' şi introducând o obligaţie de notificare a autorităţii de supraveghere cel târziu în termen de 72 de ore atunci când încălcarea securităţii datelor este susceptibilă să constituie un risc pentru drepturile şi libertăţile persoanelor fizice. În acelaşi context, în anumite împrejurări, RGDP prevede obligaţia de a informa persoana ale cărei date sunt afectate de încălcare, ceea ce sporeşte în mod considerabil protecţia comparativ cu situaţia actuală din UE, în care doar furnizorii de servicii de comunicaţii electronice, operatorii de servicii esenţiale şi furnizorii de servicii digitale au obligaţia de a notifica încălcarea securităţii datelor.
Regulamentul introduce, între altele, noi cerinţe în materie de transparenţă şi consolidarea drepturilor la informare, la acces şi la ştergerea datelor (''dreptul de a fi uitat''); tăcerea sau inacţiunea nu vor mai fi considerate drept consimţământ exprimat în mod valabil, fiind obligatorie o acţiune pozitivă fără echivoc pentru exprimarea consimţământului; se urmăreşte protejarea copiilor în mediul online.
Regulamentul acordă competenţa de a impune amenzi
Noile norme acordă tuturor autorităţilor pentru protecţia datelor competenţa de a impune amenzi operatorilor şi persoanelor împuternicite de către operatori. În prezent, nu toate autorităţile în cauză au această competenţă. Amenzile pot ajunge până la 20 de milioane de euro sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri anuală la nivel mondial.
În centrul protecţiei datelor în Europa va fi Comitetul european pentru protecţia datelor. Aceasta va contribui la o aplicare coerentă a legislaţiei privind protecţia datelor şi va oferi o bază solidă pentru cooperarea între autorităţile pentru protecţia datelor, inclusiv Autoritatea Europeană pentru Protecţia Datelor. Comitetul va publica orientări privind modul de interpretare a conceptelor de bază ale regulamentului şi va trebui, de asemenea, să emită decizii obligatorii cu privire la litigiile referitoare la prelucrarea transfrontalieră, ceea ce va asigura aplicarea uniformă a normelor UE şi va elimina posibilitatea ca acelaşi caz să fie abordat în mod diferit în diverse state membre, scrie Agerpres.ro.
Interlocutorii fireşti şi primul punct de contact pentru publicul larg, întreprinderi şi administraţiile publice pentru întrebările referitoare la regulament sunt autorităţile pentru protecţia datelor din statele membre. Rolul lor include informarea operatorilor şi a persoanelor împuternicite de către operatori cu privire la obligaţiile lor şi creşterea nivelului de conştientizare şi de înţelegere de către publicul larg a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare a datelor. Aceasta nu înseamnă însă că operatorii şi persoanele împuternicite de către operatori ar trebui să se aştepte să primească de la autorităţile pentru protecţia datelor tipul de consiliere juridică adaptată şi individualizată pe care numai un avocat sau un responsabil cu protecţia datelor ar putea să o ofere.
Regulamentul stipulează ca fiecare autoritate pentru protecţia datelor să acţioneze în deplină independenţă
În acelaşi timp, regulamentul stipulează ca fiecare autoritate pentru protecţia datelor să acţioneze în deplină independenţă şi oferă acestor autorităţi competenţe uniforme în întreaga UE, astfel încât să dispună de mijloace adecvate pentru soluţionarea eficace a plângerilor, desfăşurarea de investigaţii eficiente, luarea de decizii cu caracter obligatoriu şi impunerea de sancţiuni eficace şi disuasive.
În acest sens, statele membre sunt încurajate să îşi îndeplinească obligaţia legală de a furniza autorităţilor lor naţionale pentru protecţia datelor resursele umane, tehnice şi financiare, sediul şi infrastructura necesare pentru îndeplinirea efectivă a sarcinilor acestora şi exercitarea competenţelor.
Comisia Europeană va monitoriza modul în care statele membre aplică noile norme şi va lua măsurile necesare, inclusiv recurgerea la acţiuni în constatarea neîndeplinirii obligaţiilor. Comisia a pus la dispoziţie materiale orientative practice pentru a sprijini întreprinderile, în special IMM-urile, autorităţile publice şi publicul larg să respecte noile norme privind protecţia datelor şi să beneficieze de acestea, sub forma unui instrument online disponibil în toate limbile UE, care va fi actualizat periodic pe baza reacţiilor primite şi ţinând cont de eventualele chestiuni ce pot apărea în urma punerii în aplicare şi este destinat să deservească cele trei grupuri-ţintă principale.
"Sunt datele dumneavoastră - preluaţi controlul!"
Astfel, un ghid intitulat "Sunt datele dumneavoastră - preluaţi controlul!" publicat pe site-ul Comisiei notează că, de exemplu, când cumpăraţi ceva online, vânzătorul trebuie să colecteze numai datele necesare în vederea îndeplinirii contractului şi să le şteargă atunci când nu mai are nevoie de ele. De asemenea, îi puteţi cere companiei să vă dea datele personale pe care le deţine în legătură cu dumneavoastră, inclusiv numele şi datele de contact, datele cardului de credit, precum şi datele calendaristice ale achiziţiilor şi tipurile de achiziţii. Un alt exemplu - motoarele de căutare sunt obligate să şteargă unele linkuri apărute ca rezultat al căutării după numele unei persoane, atunci când nu este vorba de o persoană publică, iar interesul respectivei persoane privind eliminarea respectivului link prevalează asupra interesului publicului larg privind accesul la informaţie.
Anul acesta şi anul viitor, Comisia va cofinanţa cu un buget total de până la 2 milioane de euro acţiuni de sensibilizare întreprinse de autorităţile pentru protecţia datelor la nivel naţional, fiind vorba de proiecte puse în aplicare începând cu jumătatea anului 2018. În mai 2019, Comisia va realiza un bilanţ al punerii în aplicare a regulamentului şi va prezenta un raport privind punerea în aplicare a noilor norme în 2020.