Regulamentul General privind Protecția Datelor

Regulamentul general privind protecția datelor (Regulamentul (UE) 2016/679),^[1] prescurtat RGPD sau GDPR (din engleză General Data Protection Regulation), este un regulament al Uniunii Europene care stabilește cadrul juridic pentru protecția datelor cu caracter personal în Uniunea Europeană (UE) și Spațiul Economic European (SEE). RGPD reprezintă un pilon central al legislației europene în materie de protecția datelor și drepturi fundamentale, fundamentat pe articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene. Regulamentul reglementează și transferul datelor cu caracter personal către țări terțe sau organizații internaționale, stabilind standarde stricte pentru asigurarea unui nivel adecvat de protecție.

Adoptarea RGPD urmărește să consolideze controlul persoanelor vizate asupra datelor lor personale prin instituirea unor drepturi precum accesul, rectificarea, ștergerea (dreptul de a fi uitat), portabilitatea și opoziția față de prelucrare.^[2] Totodată, regulamentul introduce principii moderne, precum asigurarea protecției datelor începând cu momentul conceperii și în mod implicit, care impun operatorilor de date să integreze protecția datelor încă din faza de proiectare și să limiteze colectarea datelor la strictul necesar. De asemenea, sunt prevăzute obligații precum notificarea rapidă a autorităților în cazul încălcărilor de securitate și desemnarea unui responsabil cu protecția datelor (DPO) pentru anumite categorii de operatori. Prin armonizarea și simplificarea reglementărilor la nivel european, RGPD facilitează desfășurarea activităților economice transfrontaliere și reduce complexitatea normativă pentru companii.^[2]

Adoptat de Parlamentul European și Consiliul Uniunii Europene la 14 aprilie 2016, RGPD a devenit aplicabil la 25 mai 2018. Spre deosebire de directivele comunitare, care necesită transpunere în legislația națională, RGPD este un regulament comunitar direct aplicabil în toate statele membre, având forță juridică imediată. Totuși, acesta oferă statelor membre posibilitatea de a introduce derogări în anumite domenii specifice, precum legislația muncii sau administrația publică.

Regulamentul a devenit un model pentru numeroase legislații similare la nivel global, ceea ce ilustrează așa-numitul efect Bruxelles. Printre statele care au adoptat legi inspirate de RGPD se numără Brazilia, Japonia, Singapore, Africa de Sud, Coreea de Sud, Sri Lanka și Thailanda.^[3] După retragerea Regatului Unit din Uniunea Europeană, acesta a adoptat „UK GDPR”, care păstrează aproape integral prevederile RGPD.^[4] De asemenea, Legea privind confidențialitatea consumatorilor din California (CCPA), adoptată la 28 iunie 2018, reflectă numeroase principii ale RGPD, incluzând drepturile extinse pentru consumatori și obligațiile stricte pentru operatorii de date.^[5]

Conținut

Regulamentul RGPD este structurat în unsprezece capitole, care reglementează dispozițiile generale, principiile, drepturile persoanei vizate, obligațiile operatorilor sau persoanelor împuternicite, transferurile de date cu caracter personal către țări terțe, autoritățile de supraveghere, cooperarea între statele membre, căile de atac, răspunderea și sancțiunile pentru încălcarea drepturilor, precum și dispozițiile finale diverse. Considerentul 4 subliniază că „prelucrarea datelor cu caracter personal ar trebui să fie concepută pentru a servi umanității”.

Dispoziții generale

Regulamentul se aplică atunci când operatorul de date (o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care colectează informații despre persoane fizice, indiferent dacă acestea se află sau nu în UE) sau persoana împuternicită (o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care prelucrează date în numele unui operator de date, cum ar fi furnizorii de servicii cloud) își are sediul în UE, sau atunci când persoana vizată (persoana fizică) se află pe teritoriul UE. În anumite circumstanțe,^[a] regulamentul se aplică și operatorilor și persoanelor împuternicite cu sediul în afara UE care colectează sau prelucrează date cu caracter personal ale persoanelor aflate pe teritoriul UE. Regulamentul nu se aplică prelucrării datelor de către o persoană pentru o „activitate exclusiv personală sau domestică și, prin urmare, fără legătură cu o activitate profesională sau comercială” (considerentul 18).

Conform Comisiei Europene, „Datele cu caracter personal reprezintă informații care se referă la o persoană identificată sau identificabilă. Dacă nu puteți identifica direct o persoană din acele informații, trebuie să luați în considerare dacă persoana poate fi totuși identificabilă. Trebuie să luați în considerare informațiile pe care le prelucrați împreună cu toate mijloacele rezonabil susceptibile să fie utilizate fie de dumneavoastră, fie de orice altă persoană pentru a identifica acea persoană.”^[6] Definițiile precise ale termenilor precum „date cu caracter personal”, „prelucrare”, „persoană vizată”, „operator” și „persoană împuternicită” sunt prevăzute în articolul 4.^{[1]:art. 4}

Regulamentul nu se aplică prelucrării datelor cu caracter personal pentru activități de securitate națională sau de aplicare a legii în cadrul UE; totuși, grupurile din industrie care se tem de un posibil conflict de legi au ridicat întrebarea dacă articolul 48 ar putea fi invocat pentru a împiedica un operator de date supus legislației unui stat terț să se conformeze unei ordine legale din partea autorităților de aplicare a legii, judiciare sau de securitate națională ale acelei țări de a dezvălui datele cu caracter personal ale unei persoane din UE, indiferent de locația acestora, în sau în afacerea UE. Articolul 48 prevede că orice hotărâre a unei instanțe sau tribunal și orice decizie a unei autorități administrative dintr-o țară terță care impune unui operator sau unei persoane împuternicite să transfere sau să dezvăluie date cu caracter personal nu poate fi recunoscută sau executată în niciun mod, decât dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă în vigoare între țara terță (non-UE) care solicită și UE sau un stat membru. Pachetul de reformă privind protecția datelor include, de asemenea, o directivă separată privind protecția datelor pentru sectorul polițienesc și de justiție penală, care furnizează norme pentru schimburile de date cu caracter personal la nivel de stat, Uniune și internațional.^[7]

Un set unic de norme se aplică tuturor statelor membre ale UE. Fiecare stat membru stabilește o autoritate de supraveghere (AS) independentă pentru a audia și investiga plângeri, a sancționa încălcările administrative etc.^{[1]:art. 46–55} Art. 46–55 Autoritățile de supraveghere din fiecare stat membru cooperează cu alte autorități de supraveghere, oferind asistență reciprocă și organizând operațiuni comune. Dacă o entitate economică are mai multe locații în UE, aceasta trebuie să aibă o singură autoritate de supraveghere ca „autoritate principală”, pe baza locației „principale” a entității economice, unde au loc activitățile principale de prelucrare. Autoritatea principală acționează astfel ca un „punct unic de contact” pentru a supraveghea toate activitățile de prelucrare ale acelei entități economice în întreaga UE.^[8][9] Comitetul European pentru Protecția Datelor (CEPD) coordonează autoritățile de supraveghere. CEPD înlocuiește astfel Grupul de lucru privind protecția datelor din articolul 29. Există excepții pentru datele prelucrate în contextul angajării sau în domeniul securității naționale, care ar putea rămâne supuse reglementărilor individuale ale țărilor respective.^{[1]:art. 2(2)(a) și 88}

Principii și scopuri legale

Articolul 5 stabilește șase principii fundamentale privind legalitatea prelucrării datelor cu caracter personal. Primul principiu specifică faptul că datele trebuie prelucrate în mod legal, echitabil și transparent față de persoana vizată. Articolul 6 extinde acest principiu, precizând că datele personale pot fi prelucrate doar dacă există cel puțin un temei juridic pentru această prelucrare. Celelalte principii se referă la „limitarea scopului”, „minimizarea datelor”, „exactitate”, „limitarea stocării” și „integritatea și confidențialitatea”.

Articolul 6 enumeră temeiurile legale pentru prelucrarea datelor cu caracter personal, astfel:

• (a) dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal;
• (b) pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
• (c) pentru respectarea unei obligații legale care îi revine operatorului;
• (d) pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice;
• (e) pentru îndeplinirea unei sarcini care servește un interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
• (f) pentru interesele legitime urmărite de operator sau de o terță parte, cu excepția cazului în care aceste interese prevalează asupra intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate, în special dacă aceasta este un copil.

Când consimțământul^{[1]:art. 4(11)} informat este utilizat ca temei legal pentru prelucrare, consimțământul trebuie să fie explicit atât pentru datele colectate, cât și pentru fiecare scop în care datele sunt utilizate.^{[1]:art. 7} Consimțământul trebuie să fie specific, acordat liber, clar exprimat și lipsit de ambiguități de către persoana vizată. Spre exemplu, un formular online cu opțiuni de consimțământ structurate sub forma unui opt-out selectat implicit încalcă prevederile RGPD, deoarece consimțământul nu este exprimat în mod neechivoc de utilizator. De asemenea, diverse tipuri de prelucrare nu pot fi „combinate” într-o singură solicitare de consimțământ, deoarece aceasta nu este specifică fiecărui scop, iar permisiunile individuale nu sunt acordate în mod liber (considerentul 32).

Persoanele vizate trebuie să poată retrage consimțământul în orice moment, iar procesul de retragere nu trebuie să fie mai complicat decât cel de acordare a consimțământului.^{[1]:art. 7(3)} Operatorul de date nu poate refuza furnizarea unui serviciu utilizatorilor care nu consimt la prelucrarea datelor care nu este strict necesară pentru utilizarea serviciului respectiv.^{[1]:art. 8} Consimțământul pentru copii, definiți în regulament ca persoane cu vârsta mai mică de 16 ani (cu posibilitatea statelor membre de a reduce limita la 13 ani), trebuie să fie acordat de către părinte sau tutore și să fie verificabil.^[10][11]

Dacă consimțământul pentru prelucrare a fost deja obținut în conformitate cu cerințele Directivei 95/46/CE privind Protecția Datelor, operatorul nu este obligat să obțină din nou consimțământul, cu condiția ca prelucrarea să fie documentată și realizată în conformitate cu cerințele RGPD (considerentul 171).

Drepturile persoanei vizate

Transparență și modalități

Conform articolului 12, operatorul de date are obligația de a furniza persoanei vizate informațiile „într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil.”

Informare și acces

Dreptul de acces (articolul 15) reprezintă un drept al persoanei vizate.^[12] Acesta conferă persoanei vizate dreptul de a accesa datele sale cu caracter personal și de a obține informații referitoare la modul în care acestea sunt prelucrate. Operatorul de date este obligat să furnizeze, la cerere, o descriere generală a categoriilor de date prelucrate,^{[1]:art. 15(1)(b)} precum și o copie a datelor respective;^{[1]:art. 15(3)}  de asemenea, operatorul trebuie să informeze persoana vizată cu privire la detaliile prelucrării, inclusiv scopurile acesteia,^{[1]:art. 15(1)(a)}  destinatarii cărora le sunt divulgate datele,^{[1]:art. 15(1)(c)} și sursa din care au fost obținute datele.^{[1]:art. 15(1)(g)}

Persoana vizată are dreptul de a transfera datele sale cu caracter personal dintr-un sistem electronic de prelucrare într-un alt sistem, fără a fi împiedicată de operatorul de date. Datele care au fost anonimizate corespunzător sunt excluse, însă datele pseudonimizate, care pot fi totuși asociate cu persoana vizată printr-un identificator relevant, sunt incluse.^[13] În practică, furnizarea unor astfel de identificatori poate fi dificilă, de exemplu în cazul serviciului Siri al Apple, unde datele vocale și transcrierile sunt stocate împreună cu un identificator personal la care accesul este restricționat,^[14] sau în cazul publicității comportamentale online, care se bazează pe amprente digitale ale dispozitivelor, ce pot fi greu de capturat, transmis și verificat.^[15]

Atât datele „furnizate” de persoana vizată, cât și cele „observate”, cum ar fi informațiile referitoare la comportamentul acesteia, sunt incluse. În plus, operatorul de date trebuie să pună datele la dispoziție într-un format electronic structurat, utilizat frecvent și ușor de citit automat. Dreptul la portabilitatea datelor este reglementat de articolul 20.

Rectificare și ștergere

Dreptul de a fi uitat a fost înlocuit cu un drept mai restrâns de ștergere în versiunea RGPD adoptată de Parlamentul European în martie 2014.^[16][17] Articolul 17 prevede că persoana vizată are dreptul de a solicita ștergerea datelor sale cu caracter personal pe baza unuia dintre mai multe motive, inclusiv în cazul în care prelucrarea nu respectă condițiile prevăzute la articolul 6 alineatul (1) (legalitatea prelucrării), inclusiv situația (f) în care interesele legitime ale operatorului sunt depășite de interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecția datelor personale (vezi și cauza Google Spain SL și Google Inc. împotriva Agencia Española de Protección de Datos (AEPD) și Mario Costeja González).^[18]

Dreptul la opoziție și procesul decizional individual automatizat

Articolul 21 din RGPD oferă persoanei vizate dreptul de a se opune prelucrării datelor sale personale în scopuri de marketing sau pentru alte scopuri care nu sunt legate de furnizarea serviciilor.^[19] Aceasta înseamnă că operatorul de date trebuie să permită persoanei vizate să oprească sau să prevină prelucrarea datelor sale personale.

Există situații în care această obiecție nu este aplicabilă. De exemplu, când:

• Se exercită o autoritate legală sau oficială;
• Există un "interes legitim", în cazul în care organizația trebuie să prelucreze datele pentru a îndeplini obligațiile contractuale față de persoana vizată sau pentru sarcini solicitate de aceasta în cadrul unui contract;
• Prelucrarea este necesară pentru îndeplinirea unei sarcini în interes public.

De asemenea, RGPD prevede că operatorul de date trebuie să informeze persoanele vizate despre dreptul lor de a se opune încă din prima comunicare a operatorului cu acestea. Informațiile trebuie să fie clare și distincte față de orice alte informații oferite de operator și să includă opțiunile disponibile pentru ca persoana vizată să își exprime obiecția față de prelucrarea datelor sale.

Operatorul de date poate refuza o cerere de obiecție dacă aceasta este considerată "manifesta nefondată" sau "excesivă". Astfel, fiecare cerere de obiecție trebuie să fie analizată în mod individual.^[19] Alte țări, cum ar fi Canada,^[20] urmează exemplul RGPD și iau în considerare reglementarea luării deciziilor automatizate în cadrul legislației privind protecția datelor, deși există dezbateri politice privind eficiența acestei abordări în reglementarea inteligenței artificiale.

Dreptul la despăgubiri

Articolul 82 din RGPD prevede că orice persoană care a suferit daune materiale sau nemateriale ca urmare a unei încălcări a acestui regulament are dreptul să primească despăgubiri de la operator sau persoana împuternicită pentru daunele suferite.

În hotărârea Österreichische Post (C-300/21), Curtea de Justiție a Uniunii Europene a oferit o interpretare a dreptului la despăgubire.^[21] Articolul 82(1) din RGPD impune pentru acordarea de despăgubiri (i) o încălcare a RGPD, (ii) un prejudiciu efectiv suferit și (iii) o legătură cauzală între încălcare și prejudiciul respectiv. Nu este necesar ca prejudiciul suferit să atingă un anumit grad de gravitate. Nu există un concept european definit de „prejudiciu” în acest sens. Despăgubirile sunt stabilite conform legislației naționale. Trebuie luate în considerare principiile echivalenței și eficienței.^[22]

Vezi și concluziile Avocatului General în cazul Krankenversicherung Nordrhein (C-667/21).^[23]

Operatorul și persoana împuternicită de operator

Operatorii de date sunt obligați să dezvăluie în mod transparent orice colectare de date, specificând temeiul juridic, scopul prelucrării, durata stocării, precum și dacă datele sunt partajate cu terți sau transferate în afara Spațiului Economic European (SEE). Această transparență este esențială pentru respectarea RGPD. Organizațiile trebuie să protejeze datele angajaților și consumatorilor, colectând doar informațiile strict necesare și reducând pe cât posibil interferența cu dreptul la confidențialitate. Pentru a îndeplini aceste cerințe, companiile sunt obligate să implementeze controale interne riguroase, relevante pentru departamente precum auditul, controlul intern și operațiunile zilnice.

Persoanele vizate beneficiază de drepturi clare în raport cu datele lor personale. Ele pot solicita o copie portabilă a datelor într-un format standardizat și accesibil și, în anumite condiții, pot cere ștergerea acestora. Operatorii care desfășoară activități principale ce implică prelucrarea regulată sau sistematică a datelor personale, precum și autoritățile publice, sunt obligați să desemneze un responsabil cu protecția datelor (DPO). Acesta are sarcina de a asigura conformitatea organizației cu RGPD și de a acționa ca punct de legătură între companie și autoritățile de supraveghere.

Încălcările de securitate a datelor reprezintă un alt aspect critic. Operatorii sunt obligați să raporteze orice breșă de date autorităților naționale competente în termen de 72 de ore, în special dacă aceasta afectează confidențialitatea datelor utilizatorilor. Nerespectarea RGPD poate atrage sancțiuni severe, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală, fiind aplicată valoarea mai mare.

Pentru a demonstra conformitatea, operatorii trebuie să adopte măsuri care să reflecte principiile protecției datelor prin design și implicit. Articolul 25 din RGPD impune integrarea protecției datelor încă din etapa de dezvoltare a proceselor de afaceri pentru produse și servicii. Aceasta include măsuri precum pseudonimizarea datelor personale cât mai curând posibil, așa cum este prevăzut la considerentul 78. Operatorii au responsabilitatea de a implementa aceste măsuri și de a putea demonstra conformitatea prelucrării datelor, inclusiv atunci când aceasta este delegată unei persoane împuternicite (considerentul 74).

La momentul colectării, persoanele vizate trebuie informate clar și complet cu privire la scopul colectării, temeiul juridic, durata stocării, transferurile către terți sau în afara UE, precum și existența oricărui proces decizional automat bazat exclusiv pe algoritmi. De asemenea, operatorii trebuie să comunice drepturile persoanelor vizate, precum dreptul de a retrage consimțământul oricând, de a accesa datele personale și un rezumat al prelucrării acestora, de a solicita ștergerea datelor în condițiile RGPD, de a contesta orice proces decizional automatizat realizat exclusiv pe baza unui algoritm, și de a depune plângeri la Autoritatea pentru Protecția Datelor. Persoanele vizate trebuie să primească și datele de contact ale operatorului și, dacă este cazul, ale responsabilului desemnat cu protecția datelor.^[24][25]

Evaluările de impact asupra protecției datelor, reglementate de articolul 35, sunt obligatorii atunci când există riscuri specifice la adresa drepturilor și libertăților persoanelor vizate. Aceste evaluări trebuie să identifice riscurile asociate procesării și să propună măsuri de reducere a acestora. În cazul riscurilor ridicate, este necesară aprobarea prealabilă din partea autorităților pentru protecția datelor.

Conform articolului 25, operatorii trebuie să configureze implicit setările de confidențialitate la un nivel ridicat și să adopte măsuri tehnice și procedurale care asigură respectarea reglementărilor pe întreg ciclul de viață al datelor. Aceste măsuri includ implementarea mecanismelor care garantează că datele personale sunt prelucrate doar dacă este strict necesar pentru un anumit scop, conform principiului minimizării datelor.

Un raport al Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) subliniază măsuri esențiale pentru protecția datelor prin design și implicit. Acesta recomandă realizarea operațiunilor de criptare și decriptare la nivel local, sub controlul exclusiv al deținătorului datelor, pentru a preveni accesul neautorizat. Raportul subliniază că, deși stocarea datelor în cloud-uri externe este eficientă și sigură, confidențialitatea este garantată doar dacă cheile de criptare rămân în posesia deținătorului datelor, nu a furnizorului de servicii cloud.

Pseudonimizare

Conform RGPD, pseudonimizarea este un proces esențial pentru protejarea datelor stocate, care transformă datele personale astfel încât acestea nu mai pot fi atribuite unei persoane vizate specifice fără utilizarea unor informații suplimentare (în locul anonimizării complete a datelor, care ar face imposibilă orice asociere cu persoana vizată).^[26] Un exemplu de pseudonimizare este criptarea, care face ca datele originale să devină ilizibile, proces ce nu poate fi inversat fără accesul la cheia corectă de decriptare. RGPD impune ca informațiile suplimentare, cum ar fi cheia de decriptare, să fie stocate separat de datele pseudonimizate pentru a preveni accesul neautorizat.

Un alt exemplu de pseudonimizare este tokenizarea, o metodă non-matematică ce protejează datele în repaus, înlocuind datele sensibile cu substituente non-sensibile, denumite tokenuri. Deși tokenurile nu au niciun sens sau valoare exploatabilă în afaceri sau în alte contexte, ele permit ca datele specifice să fie vizibile integral sau parțial pentru procesare și analiză, în timp ce informațiile sensibile sunt păstrate protejate. Spre deosebire de criptare, tokenizarea nu modifică tipul sau lungimea datelor, ceea ce o face compatibilă cu sisteme legacy, cum ar fi bazele de date, care pot fi sensibile la tipul și lungimea datelor. Această metodă necesită mult mai puține resurse computaționale pentru procesare și mai puțin spațiu de stocare în bazele de date decât criptarea tradițională, fiind o soluție mai eficientă din punct de vedere al costurilor pentru protejarea datelor.

Pseudonimizarea reprezintă o tehnologie de protecție a confidențialității recunoscută în contextul RGPD și este recomandată pentru a reduce riscurile asociate prelucrării datelor cu caracter personal. Aceasta ajută atât operatorii de date, cât și împuterniciții acestora, să îndeplinească obligațiile legale privind protecția datelor personale, prin implementarea unor măsuri de protecție de tip "privacy by design" și "privacy by default", conform cu reglementările prevăzute de RGPD (considerentul 28).^[27]

Evidențele activităților de prelucrare

Conform articolului 30 din RGPD, fiecare organizație trebuie să păstreze evidențe ale activităților de prelucrare care se încadrează în cel puțin una dintre următoarele condiții:

• angajează mai mult de 250 de persoane;
• prelucrarea efectuată este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate;
• prelucrarea nu este ocazională;
• prelucrarea include categorii speciale de date, așa cum sunt prevăzute în articolul 9 alineatul (1), sau date personale referitoare la condamnări penale și infracțiuni, conform articolului 10.

Aceste cerințe pot fi modificate de fiecare stat membru al Uniunii Europene, iar pentru organizațiile mici cu mai puțin de 250 de angajați, evidențele sunt obligatorii doar în cazul în care prelucrarea nu este ocazională sau implică prelucrarea de date sensibile. De asemenea, este important ca organizațiile să actualizeze periodic aceste evidențe pentru a reflecta orice modificări semnificative în activitățile de prelucrare.

Evidențele trebuie păstrate în format electronic, iar operatorul sau împuternicitul acestuia și, atunci când este cazul, reprezentantul operatorului sau împuternicitului, trebuie să pună aceste evidențe la dispoziția autorității de supraveghere la cerere. Astfel, se demonstrează conformitatea cu reglementările în vigoare, contribuind la transparența și responsabilitatea continuă în gestionarea datelor personale.

Evidențele operatorului trebuie să conțină următoarele informații:

• numele și datele de contact ale operatorului și, atunci când este cazul, ale operatorilor asociați,^[b] reprezentantul operatorului și responsabilul cu protecția datelor;
• scopurile prelucrării;
• o descriere a categoriilor de persoane vizate și a categoriilor de date personale prelucrate;
• categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele personale, inclusiv destinatari din țări terțe sau organizații internaționale;
• atunci când este cazul, transferurile de date personale către o țară terță sau o organizație internațională, inclusiv identificarea acelei țări terțe sau organizații internaționale și, în cazul transferurilor menționate în al doilea paragraf al articolului 49 alineatul (1), documentația privind măsurile de protecție adecvate;
• atunci când este posibil, termenele de ștergere preconizate pentru diferitele categorii de date;
• atunci când este posibil, o descriere generală a măsurilor de securitate tehnice și organizaționale prevăzute în articolul 32 alineatul (1).

Evidențele împuternicitului trebuie să conțină următoarele informații:

• numele și datele de contact ale împuternicitului sau împuterniciților și ale fiecărui operator în numele căruia împuternicitul acționează, și, atunci când este cazul, ale reprezentantului operatorului sau împuternicitului acestuia și responsabilul cu protecția datelor;
• categoriile de prelucrare efectuate în numele fiecărui operator;
• atunci când este cazul, transferurile de date personale către o țară terță sau o organizație internațională, inclusiv identificarea acelei țări terțe sau organizații internaționale și, în cazul transferurilor menționate în al doilea paragraf al articolului 49 alineatul (1), documentația privind măsurile de protecție adecvate;
• atunci când este posibil, o descriere generală a măsurilor de securitate tehnice și organizaționale prevăzute în articolul 32 alineatul (1).

Este esențial ca aceste evidențe să fie actualizate periodic, pentru a reflecta orice schimbări în activitățile de prelucrare sau pentru a demonstra conformitatea continuă cu cerințele RGPD. În plus, evidențele sunt un instrument crucial pentru demonstrarea responsabilității în fața autorităților de supraveghere, care pot solicita accesul la aceste informații în cadrul unor audituri sau inspecții. Organizarea și menținerea corectă a evidențelor reflectă nu doar conformitatea, ci și angajamentul față de protecția datelor personale și față de drepturile persoanelor vizate.

Responsabilul pentru protecția datelor (DPO)

Conform articolului 37 din RGPD, numirea unui responsabil pentru protecția datelor, prescurtat DPO (din engleză Data Protection Officer), este obligatorie în anumite cazuri. Astfel, dacă prelucrarea este realizată de o autoritate publică (cu excepția instanțelor de judecată sau a autorităților judiciare independente, atunci când acționează în exercitarea funcției lor judiciare), dacă operațiunile de prelucrare implică monitorizarea regulată și sistematică a persoanelor vizate la scară largă sau dacă se realizează prelucrarea la scară largă a categoriilor speciale de date sau a datelor referitoare la condamnările penale și infracțiuni (articolele 9 și 10 din RGPD), atunci trebuie desemnat un DPO. Acesta este o persoană cu cunoștințe aprofundate în legislația și practicile de protecție a datelor, care va asista operatorul sau persoana împuternicită în monitorizarea respectării internelor reglementări impuse de RGPD.

DPO-ul poate fi un membru al personalului actual al operatorului sau împuternicitului, sau rolul poate fi externalizat unei persoane sau agenții externe, printr-un contract de servicii. În orice caz, organizația de prelucrare trebuie să asigure că nu există conflicte de interese, iar DPO-ul nu trebuie să îndeplinească funcții care ar putea compromite imparțialitatea sau independența acestuia. Detaliile de contact ale DPO-ului trebuie să fie publicate de organizație (de exemplu, într-o politică de confidențialitate) și să fie înregistrate la autoritatea de supraveghere relevantă.

Rolul DPO-ului este similar celui al unui responsabil cu conformitatea, dar acesta trebuie să posede competențe și în gestionarea proceselor IT, securitatea datelor (inclusiv în ceea ce privește atacurile cibernetice) și în soluționarea problemelor de continuitate a activității legate de prelucrarea și stocarea datelor personale și sensibile. Abilitățile necesare pentru acest rol depășesc înțelegerea strict juridică a conformității cu reglementările de protecție a datelor. DPO-ul trebuie să mențină un inventar permanent al tuturor datelor colectate și stocate de organizație, pentru a asigura transparența și conformitatea cu RGPD.^[28]

În plus, DPO-ul trebuie să joace un rol activ în instruirea personalului și în sensibilizarea acestora cu privire la bunele practici de protecție a datelor, având, de asemenea, responsabilitatea de a revizui periodic procedurile interne pentru a se asigura că acestea sunt conforme cu cerințele legale. DPO-ul trebuie să consilieze operatorul sau persoana împuternicită în evaluarea riscurilor de prelucrare a datelor și să sprijine implementarea măsurilor adecvate de protecție, inclusiv măsuri tehnice și organizatorice. Mai multe detalii despre funcția și rolul DPO-ului au fost furnizate pe 13 decembrie 2016 (revizuite pe 5 aprilie 2017) într-un document orientativ.^[29]

În cazul entităților care au sediul în afacerea Uniunii Europene, acestea trebuie să numească o persoană stabilită în UE ca reprezentant și punct de contact pentru obligațiile lor legate de RGPD.^{[1]:art. 27} Acesta este un rol distinct de cel al DPO-ului, deși există suprapuneri în responsabilitățile acestora, ceea ce sugerează că funcțiile pot fi combinate.^[30]

Certificarea RGPD

Articolele 42 și 43 din RGPD stabilesc cadrul legal pentru certificările formale RGPD. Aceste articole reglementează două tipuri de certificări:

• Scheme naționale de certificare, care se aplică într-un singur stat membru al UE/SEE;
• Sigilii europene de protecția datelor, recunoscute de toate statele membre ale UE/SEE.

Conform Art. 42 din RGPD, scopul certificării este de a demonstra „conformitatea operațiunilor de prelucrare cu RGPD de către operatori și procesatori”. Există peste 70 de referințe la certificare în RGPD, care acoperă diverse obligații, inclusiv:

• Adecvarea măsurilor tehnice și organizatorice;
• Partajarea datelor cu procesatorii de date;
• Protecția datelor prin design și implicit;
• Transferurile internaționale de date.

Certificarea RGPD nu doar că ajută organizațiile să dovedească conformitatea cu reglementările de protecția datelor, dar și să demonstreze un angajament continuu față de protecția datelor și respectarea drepturilor persoanelor vizate. Certificările contribuie la consolidarea încrederii cu persoanele vizate, autoritățile de supraveghere și alți actori interesați, asigurându-se că operatorii și procesatorii de date implementează măsuri adecvate și respectă reglementările într-un mod constant.

Certificarea RGPD ajută, de asemenea, la reducerea riscurilor legale și financiare ale solicitantului, precum și ale operatorilor de date care utilizează servicii de prelucrare a datelor certificate.

Adoptarea sigiliilor europene de protecția datelor este responsabilitatea Comitetului european pentru protecția datelor (CEPD) și este recunoscută în toate statele membre ale UE și SEE.

În octombrie 2022, criteriile de certificare Europrivacy au fost oficial recunoscute de CEPD pentru a servi drept Sigiliu European de Protecția Datelor. Europrivacy a fost dezvoltat în cadrul programului european de cercetare și este gestionat de European Centre for Certification and Privacy (ECCP) din Luxemburg.

Căi de atac, răspundere și sancțiuni

Conform articolului 83 din RGPD, pe lângă stabilirea infracțiunilor conform legislației naționale, pot fi impuse următoarele sancțiuni pentru nerespectarea reglementărilor de protecție a datelor personale:

1. Avertisment scris – se aplică în cazurile de neconformitate inițială și neintenționată, având scopul de a oferi organizației o oportunitate de a remedia situația înainte de a impune sancțiuni financiare.
2. Audite periodice regulate de protecția datelor – pentru a asigura monitorizarea continuă și respectarea reglementărilor în vigoare.
3. Amendă de până la 10 milioane de euro sau până la 2% din cifra de afaceri anuală globală a anului financiar precedent (oricare dintre acestea este mai mare), în cazul unei întreprinderi, pentru încălcarea următoarelor obligații:
   • Obligațiile operatorilor și procesatorilor de date, conform articolelor 8, 11, 25-39, 42 și 43.
   • Obligațiile organismelor de certificare, conform articolelor 42 și 43.
   • Obligațiile organismelor de monitorizare, conform articolului 41(4).
4. Amendă de până la 20 milioane de euro sau până la 4% din cifra de afaceri anuală globală a anului financiar precedent (oricare dintre acestea este mai mare), în cazul unei întreprinderi, pentru încălcarea următoarelor principii fundamentale:
   • Principiile prelucrării datelor, inclusiv consimțământul și condițiile pentru procesarea datelor sensibile, conform articolelor 5, 6, 7 și 9.
   • Drepturile persoanelor vizate, conform articolelor 12-22.
   • Transferurile de date personale către destinatari din țări terțe sau organizații internaționale, conform articolelor 44-49.
   • Orice obligații stabilite de legislația națională adoptată conform Capitolului IX.
   • Nerespectarea unui ordin al autorității de supraveghere de suspendare a prelucrării datelor sau de restricționare temporară a fluxurilor de date, conform articolului 58(2).

Sancțiunile prevăzute de RGPD au scopul de a asigura respectarea reglementărilor și de a proteja drepturile și libertățile persoanelor vizate. Acestea pot include și măsuri corective, precum suspendarea activităților de prelucrare a datelor sau chiar restricționarea accesului la date, în scopul de a preveni riscuri semnificative pentru persoanele vizate.

În plus, autoritățile de supraveghere pot impune sancțiuni mai severe în funcție de gravitatea și natura încălcării, de exemplu, în cazurile de neconformitate intenționată, întreprinderi recidiviste sau lipsa de cooperare în cadrul investigațiilor. Aceste factori pot influența mărimea sancțiunii aplicate, având în vedere și măsurile corective implementate de entitate pentru remedierea situației.

Excepții

Există anumite cazuri care nu sunt reglementate în mod specific de RGPD și, prin urmare, sunt considerate excepții. Aceste excepții sunt introduse pentru a evita aplicarea regulamentului în situații în care nu există riscuri semnificative la protecția datelor sau pentru a proteja anumite activități fundamentale:^[31]

• Activități personale sau gospodărești

  Prelucrarea datelor efectuată pentru scopuri personale sau gospodărești (de exemplu, gestionarea datelor într-un jurnal personal sau într-un calendar) nu intră sub incidența RGPD, deoarece nu se desfășoară în contextul unei activități economice sau profesionale.

• Aplicarea legii

  Activitățile de aplicare a legii, incluzând activitățile poliției și ale altor autorități competente în domeniul ordinii publice și siguranței, sunt reglementate prin norme separate, specifice acestui domeniu. Aceste activități sunt esențiale pentru protejarea ordinii publice și a siguranței naționale și sunt supuse unor reglementări care prevalează asupra RGPD.

• Securitatea națională^{[1]:art. 30}

  Prelucrarea datelor în scopuri legate de securitatea națională nu se supune integral reglementărilor RGPD. Așa cum este menționat în articolul 30 din RGPD, protecția datelor în contextul activităților ce țin de securitatea națională este reglementată de norme speciale, ce sunt distincte de cele privind protecția generală a datelor.

În schimb, pentru ca o entitate să fie supusă RGPD, aceasta trebuie să desfășoare o „activitate economică”.^[c] Conform legislației Uniunii Europene în domeniul concurenței, activitatea economică este definită într-un mod larg, incluzând orice activități comerciale desfășurate în scopuri de profit sau orice activități ce presupun schimburi economice.^[32]

Concepții greșite despre RGPD

Există numeroase concepții greșite referitoare la RGPD, care pot genera confuzie în ceea ce privește aplicarea corectă a acestuia. Iată câteva dintre cele mai frecvente:

1. „Toată prelucrarea datelor personale necesită consimțământul persoanei vizate.”

   Această afirmație este eronată. Datele personale pot fi prelucrate fără consimțământ dacă există unul dintre celelalte cinci temeiuri legale prevăzute la articolul 6 din RGPD, printre care:^[33]

   • Necesitatea executării unui contract;
   • Respectarea unei obligații legale;
   • Protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice;
   • Îndeplinirea unei sarcini de interes public sau exercitarea autorității publice;
   • Interesele legitime ale operatorului, cu condiția ca acestea să nu afecteze drepturile și libertățile fundamentale ale persoanei vizate.

   În anumite situații, obținerea consimțământului poate fi chiar inadecvată, mai ales atunci când temeiul legal al prelucrării este clar definit.

2. „Persoanele fizice au un drept absolut de a li se șterge datele („dreptul de a fi uitat”).”

   Deși există un drept de a refuza utilizarea datelor în scopuri de marketing direct, „dreptul de a fi uitat” nu este absolut. Operatorii pot continua prelucrarea datelor în anumite circumstanțe, de exemplu, dacă există un temei legal, cum ar fi:^[34]

   • Respectarea unei obligații legale;
   • Interesul public, cum ar fi protecția sănătății publice sau arhivarea în interes public;
   • Exercitarea sau apărarea unui drept în instanță.

   Aceste excepții, prevăzute la articolul 17 din RGPD, sunt esențiale pentru menținerea unui echilibru între drepturile persoanelor vizate și alte interese legitime.

3. „Eliminarea numelor persoanelor din înregistrări le exclude din sfera de aplicare a RGPD.”

   Această interpretare este incorectă. Datele „pseudonimizate” – în care identificarea directă este înlocuită cu un identificator unic – rămân sub incidența RGPD dacă operatorul poate, prin alte mijloace, să asocieze acele date cu o persoană fizică. Spre deosebire de anonimizare, care face imposibilă identificarea, pseudonimizarea oferă doar o protecție suplimentară, dar nu scutește operatorul de obligațiile sale conform RGPD.^[35]

4. „RGPD se aplică tuturor organizațiilor care prelucrează datele personale ale cetățenilor UE, indiferent de locația acestora.”

   RGPD se aplică organizațiilor din afacerea UE doar atunci când prelucrează datele persoanelor vizate aflate în UE (indiferent de cetățenia acestora), și doar dacă furnizează bunuri sau servicii acestor persoane sau monitorizează comportamentul lor.^{[1]:art. 3(2)}

Această clarificare este esențială pentru o înțelegere corectă a aplicabilității teritoriale a RGPD și pentru a ajuta organizațiile din afacerea UE să își adapteze practicile.

Clarificarea acestor concepții greșite contribuie la o înțelegere mai bună a regulamentului, asigurând atât conformitatea, cât și protecția corespunzătoare a datelor personale în conformitate cu cerințele RGPD.

Note

1. ^ Articolul 3(2): Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau (b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.^{[1]:art. 3(2)}
2. ^ Operatorii asociați apar atunci când doi sau mai mulți operatori stabilesc în mod comun scopurile și mijloacele prelucrării datelor. Aceștia sunt obligați să își definească responsabilitățile într-o manieră transparentă și să comunice esența acordului persoanelor vizate.^{[1]:art. 26}
3. ^ Se face trimitere la art. 4(18): „întreprindere” înseamnă o persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică;^{[1]:Art. 30(5)}

1. ^ ^{a b c d e f g h i j k l m n o p q r s} Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
2. ^ ^{a b} „Președinția Consiliului: 'Textul de compromis. Mai multe abordări generale parțiale au contribuit esențial la existența unor opinii convergente în cadrul Consiliului privind propunerea de regulament general privind protecția datelor în toate elementele sale. Textul regulamentului pe care Președinția îl înaintează spre aprobare ca abordare generală este redat în anexă.' 201 de pagini, 11 iunie 2015, PDF”. Arhivat din original la 26 iunie 2023. Accesat în 30 decembrie 2015. 
3. ^ Ryngaert, C & Taylor, M 2020, ‘The GDPR as Global Data Protection Regulation?’, AJIL unbound, vol. 114, pp. 5–9.
4. ^ „The UK GDPR”. Information Commissioner's Office ico. 28 iunie 2021. Accesat în 3 mai 2024. 
5. ^ Francesca Lucarini, "The differences between the California Consumer Privacy Act and the GDPR" Arhivat în 12 iulie 2020, la Wayback Machine., Adviser
6. ^ „What is personal data?”. ianuarie 2021. Arhivat din original la 24 iulie 2019. Accesat în 22 iulie 2019. 
7. ^ Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
8. ^ The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
9. ^ Procedură 2012/0011/COD Procedura pentru propunerea de revizuire a cadrului legislativ (Regulamentul General privind Protecția Datelor)
10. ^ „Age of consent in the GDPR: updated mapping”. iapp.org. Arhivat din original la 27 mai 2018. Accesat în 26 mai 2018. 
11. ^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide" Arhivat în 17 februarie 2021, la Wayback Machine.. Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
12. ^ „Jurnalul Oficial L 119/2016”. eur-lex.europa.eu. Arhivat din original la 16 martie 2022. Accesat în 26 mai 2018. 
13. ^ „Guidelines on the right to data portability under Regulation 2016/679”. European Commission. 2017. Arhivat din original la 29 iunie 2017. Accesat în 2 noiembrie 2023. 
14. ^ Veale, Michael; Binns, Reuben; Ausloos, Jef (2018). „When data protection by design and data subject rights clash”. International Data Privacy Law. 8 (2): 105–123. doi:10.1093/idpl/ipy002  . 
15. ^ Zuiderveen Borgesius, Frederik J. (aprilie 2016). „Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation”. Computer Law & Security Review. 32 (2): 256–271. doi:10.1016/j.clsr.2015.12.013. ISSN 0267-3649. 
16. ^ Baldry, Tony; Hyams, Oliver (15 mai 2014). „The Right to Be Forgotten”. 1 Essex Court. Arhivat din original la 19 octombrie 2017. Accesat în 1 iunie 2014. 
17. ^ Rezoluția legislativă a Parlamentului European din 12 martie 2014 referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
18. ^ „Practical Data Privacy | Books by Thoughtworkers”. Thoughtworks (în engleză). Accesat în 25 august 2023. 
19. ^ ^{a b} „Right to object”. ico.org.uk. 30 august 2019. Arhivat din original la 2 decembrie 2019. Accesat în 14 noiembrie 2019. 
20. ^ Sookman, Barry; Charles Morgan; Adam Goldenberg (30 aprilie 2021). „Using privacy laws to regulate automated decision making”. Barry Sookman (în engleză). Arhivat din original la 24 mai 2021. Accesat în 24 mai 2021. 
21. ^ Hotărârea Curții (Camera a treia) din 4 mai 2023. UI împotriva Österreichische Post AG. Cerere de decizie preliminară formulată de Oberster Gerichtshof. Cauza C-300/21, ECLI:EU:C:2023:370: Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 - Article 82(1) - Right to compensation for damage caused by data processing that infringes that regulation - Conditions governing the right to compensation – Mere infringement of that regulation not sufficient - Need for damage caused by that infringement - Compensation for non-material damage resulting from such processing - Incompatibility of a national rule making compensation for such damage subject to the exceeding of a threshold of seriousness - Rules for the determination of damages by national courts.
22. ^ Österreichische Post (C-300/21), par. 54.
23. ^ Concluziile avocatului general M. Campos Sánchez-Bordona prezentate la 25 mai 2023. ZQ împotriva Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Cauza C‑667/21, ECLI:EU:C:2023:433 (Text provizoriu)
24. ^ „Privacy notices under the EU General Data Protection Regulation”. ico.org.uk. 19 ianuarie 2018. Arhivat din original la 23 mai 2018. Accesat în 22 mai 2018. 
25. ^ „What information must be given to individuals whose data is collected?”. Europa (web portal). Arhivat din original la 23 mai 2018. Accesat în 23 mai 2018. 
26. ^ Data science under GDPR with pseudonymization in the data pipeline Arhivat în 18 d.Hr., la Wayback Machine. Publicat de Dativa, 17 aprilie 2018
27. ^ Wes, Matt (25 aprilie 2017). „Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization”. IAPP. Arhivat din original la 19 februarie 2018. Accesat în 19 februarie 2018. 
28. ^ „Explaining GDPR Data Subject Requests”. TrueVault. Arhivat din original la 20 februarie 2019. Accesat în 19 februarie 2019. 
29. ^ „Guidelines on Data Protection Officers ('DPOs')”. Arhivat din original la 29 iunie 2017. Accesat în 2 noiembrie 2023. 
30. ^ Jankowski, Piper-Meredith (21 iunie 2017). „Reach of the GDPR: What is at stake?”. Lexology. Arhivat din original la 26 mai 2018. Accesat în 25 mai 2018. 
31. ^ „Exemptions”. ico.org.uk (în engleză). 20 iulie 2020. Arhivat din original la 11 noiembrie 2020. Accesat în 11 noiembrie 2020. 
32. ^ Wehlander, Caroline (2016). „"Economic Activity": Criteria and Relevance in the Fields of EU Internal Market Law, Competition Law and Procurement Law” (PDF). În Wehlander, Caroline. Services of General Economic Interest as a Constitutional Concept of EU Law. The Hague, Netherlands: TMC Asser Press. pp. 35–65. doi:10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. Arhivat din original (PDF) la 26 mai 2018. Accesat în 23 mai 2018. 
33. ^ „Data sharing myths busted”. Information Commissioner's Office. 19 mai 2023. Accesat în 19 octombrie 2023. 
34. ^ „Top nine GDPR myths busted”. WS Law. 22 ianuarie 2019. Accesat în 19 octombrie 2023. 
35. ^ „Five GDPR myth-busters”. Field Fisher. 11 mai 2023. Accesat în 19 octombrie 2023. 

Legături externe

• Textul oficial în limba română