25 Mai 2021 – trei ani de aplicare a RGPD
De Mugurel Olariu, RPD protectie date
Prin art.99, RGPD prevede intrarea în vigoare a acestuia la nivelul Statelor Membre ale UE de la 25 Mai 2016, respectiv aplicarea acestuia de la 25 Mai 2018. Astfel, la 25 Mai 2021 se împlinesc trei ani de aplicare a acestui important instrument.
În continuare, prezentăm câteva aprecieri legate de rolul acestui document, aspecte importante privind drepturile cetățenilor, precum și regulile aplicabile întreprinderilor.
ROLUL acestui regulament:
✔ Regulamentul le permite cetățenilor Uniunii Europene (UE) să dețină mai bine controlul asupra propriilor date cu caracter personal. De asemenea, acesta modernizează și unifică normele, permițându-le întreprinderilor să reducă birocrațiași să se bucure de o încredere sporită din partea consumatorilor.
✔ Regulamentul general privind protecția datelor (RGPD) face parte din pachetul de reformă al UE privind protecția datelor, alături de directiva privind protecția datelor pentru autoritățile polițienești și judiciare.
Aspecte importante privind Drepturile cetățenilor: RGPD consolidează drepturile existente, prevede drepturi noi și le acordă cetățenilor un control sporit asupra propriilor date cu caracter personal. Printre acestea se numără:
➢ acces mai ușor la propriile date – inclusiv furnizarea mai multor informații cu privire la modul în care sunt prelucrate datele respective și asigurarea disponibilității informațiilor respective într-o formă clară și inteligibilă;
➢ un nou drept la portabilitatea datelor – facilitând transmiterea datelor cu caracter personal de la un furnizor de servicii la altul;
➢ un drept mai clar de ștergere („dreptul de a fi uitat”) – când o persoană nu mai dorește ca propriile date să fie prelucrate și nu există motive întemeiate pentru păstrarea lor, datele respective vor fi șterse;
➢ dreptul de a afla atunci când propriile date cu caracter personal au fost piratate – întreprinderile și organizațiile vor fi obligate să informeze prompt persoanele fizice cu privire la încălcările grave ale securității datelor. De asemenea, acestea vor fi obligate să sesizeze autoritatea competentă de supraveghere a protecției datelor.
REGULI pentru întreprinderi:
RGPD este conceput pentru a crea oportunități de afaceri și a stimula inovarea printr-o serie de măsuri, inclusiv:
■ un set unic de norme la nivelul UE – se estimează că existența unei legi unice la nivelul UE cu privire la protecția datelor va duce la economisirea a 2,3 miliarde EUR pe an;
■ desemnarea unui responsabil cu protecția datelor de către autoritățile publice și întreprinderile care prelucrează date pe scară largă;
■ ghișeu unic – întreprinderile trebuie să interacționeze cu o singură autoritate de supraveghere (în țara UE în care își au sediul principal);
■ norme UE pentru întreprinderile din afara UE – întreprinderile care își au sediul în afara UE trebuie să aplice aceleași norme când oferă servicii sau bunuri sau când monitorizează comportamentul persoanelor fizice în cadrul UE;
■ norme favorabile inovării – o garanție că produsele și serviciile încorporează măsuri de protecție a datelor încă din prima etapă de dezvoltare (protecția implicită a datelor începând cu momentul conceperii);
■ tehnici de protejare a vieții private precum pseudoanonimizarea (când câmpurile identificatoare dintr-o înregistrare de date sunt înlocuite cu unu sau mai mulți identificatori artificiali) și criptarea (când datele sunt codificate astfel încât să poată fi citite numai de către părțile autorizate);
■ eliminarea notificărilor – noile norme privind protecția datelor vor elimina majoritatea obligațiilor de notificare și costurile asociate acestora. Unul dintre obiectivele regulamentului privind protecția datelor este de a îndepărta obstacolele din calea liberei circulații a datelor cu caracter personal în cadrul UE. Acest lucru va facilita dezvoltarea întreprinderilor;
■ evaluări ale impactului – întreprinderile vor avea obligația de a efectua evaluări ale impactului în cazul în care prelucrarea datelor poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice;
■ păstrarea evidențelor – IMM-urile nu sunt obligate să păstreze evidențe ale activităților de prelucrare, cu excepția cazurilor în care prelucrarea are loc cu regularitate și este susceptibilă de a genera un risc pentru drepturile și libertățile persoanelor ale căror date se prelucrează.
În plan național, ANSPDCP, a marcat împlinirea celor trei ani de aplicare a RGPD prin publicarea unei sinteze a activității pe primele patru luni ale anului*1, din care menționăm următoarele:
✔ a primit 1733 de plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 288 investigații.
✔ Ca urmare a investigațiilor, au fost aplicate 15 amenzi în cuantum total de 110.545,7 lei.
✔ au mai fost aplicate 37 de avertismente și au fost dispuse 30 de măsuri corective.
✔ a primit 1600 plângeri, pe baza cărora au fost demarcate 155 de investigații.
✔ incidentele de securitate, atât în temeiul RGPD, cât și al Legii nr. 506/2004, 84 de notificări, iar sesizările privind posibile neconformități cu dispozițiile RGPD s-au ridicat la un număr de 49.
✔ Ca urmare a sesizărilor primate și încălcărilor de securitate notificate de către operatorii de date cu caracter personal, au fost demarate 133 de investigații din oficiu.
✔ au fost adresate instituției noastre 352 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a RGPD și a celorlalte reglementări incidente.
În plan european, organismul specializat – CEPD a publicat pe site-ul oficial, la 02.06.2021, Raportul anual 2020 al CEPD*2, dintre care menționăm:
1. EVIDENȚE 2020
1.1. Contribuția CEPD la evaluarea GDPR.
1.2. Probleme legate de Răspunsuri COVID-19
✔ În timpul pandemiei COVID-19, statele membre ale SEE au luat de măsuri de monitorizare, limitare și atenuare a răspândirii virusului. Multe dintre aceste măsuri au implicat prelucrarea datelor cu caracter personal, cum ar fi aplicații de urmărire a contactelor, utilizarea locației date sau prelucrarea datelor de sănătate în scopuri de cercetare.
✔ CEPD a oferit îndrumări cu privire la modul de procesare date cu caracter personal în contextul pandemiei COVID-19. Pe parcursul aceastei perioade, CEPD a răspuns și la scrisorile deputaților a Parlamentului European cerând clarificări suplimentare cu privire la Probleme legate de COVID-19.
1.3. Datele cu caracter personal internaționale circulă după hotărârea Schrems II. Ca urmare a deciziei CJUE, Comitetul a adoptat următoarele documente:
✔ Declarație privind Curtea de Justiție a Hotărârii Uniunii Europene în cauza C-311/18 – Comisarul pentru protecția datelor împotriva Facebook Irlanda și Maximillian Schrems, la 17 iulie 2020.
✔ Întrebări frecvente cu privire la hotărârea Curții de Justiția Uniunii Europene în cauza C-311/18 – Protecția datelor Comisar împotriva Facebook Ireland Ltd și Maximillian Schrems, la 23 iulie 2020.
✔ Recomandările 01/2020 privind măsurile care completează instrumente de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal, la 10 noiembrie 2020.
✔ Recomandările 02/2020 privind garanțiile esențiale europene pentru măsuri de supraveghere, la 10 noiembrie 2020.
1.4. Prima Hotărâre obligatorie, potrivit art. 65 RGPD.
La 10 noiembrie 2020, CEPD a adoptat prima sa decizie obligatorie în temeiul art. 65 GDPR. Decizia a abordat disputa care a apărut după ce Autoritatea Națională de Supraveghere (ANS) Irlandeză, în calitate de ANS principală, a emis un proiect de decizie privind Twitter Compania Internațională și obiecții relevante ulterioare și motivate exprimate de câteva ANS vizate.
2. COMITETUL EUROPEAN PENTRU PROTECȚIA DATELOR – ACTIVITĂȚI ÎN 2020
✔ În 2020, CEPD a adoptat 10 orientări pe subiecte de acestgen conceptele de operator și persoană împuternicită, direcționarea utilizatorii rețelelor sociale etc.
✔ trei linii directoare care adoptate după consultarea publică.
✔ a emis, de asemenea, două Recomandări.
✔ CEPD a supravegheat, de asemenea, procedurile legate de coerență – activități de clarificare a procesului și care vizează asigurarea eficienței acestuia pentru Autoritățile Naționale de Supraveghere.
✔ CEPD a emis 32 de avize în temeiul art. 64 RGPD. Majoritatea acestor avize se referă la proiectele privind cerințele pentru Codurile de Conduită, Organismele de Certificare, Reguli Corporatiste Obligatorii, Evaluarea de Impact a Protecției Datelor, Clauze Contractuale Standard.
3. ACTIVITĂȚILE AUTORITĂȚILOR DE SUPRAVEGHERE ÎN 2020
✔ Autoritățile naționale de supraveghere (ANS) sunt autoritățile publice independente care monitorizează aplicarea legii privind protecția datelor. ANS joacă un rol cheie în protejarea protecției datelor persoanelor drepturi. Ele pot face acest lucru prin exercitarea puterilor corective.
✔ Site-ul web CEPD include o selecție de acțiuni ale ANS referitoare la aplicarea RGPD la nivel național. CEPD a publicat un registru al deciziilor luate de ANS în conformitate cu procedura de cooperare ghișeu unic (art. 60 RGPD) pe site-ul său web.
3.1. Cooperarea transfrontalieră. RGPD solicită Autorităților Naționale de Supraveghre din SEE să coopereze îndeaproape pentru a se asigura aplicarea consecventă a RGPD și protecția drepturilor persoanelor fizice la protecția datelor în SEE. Una dintre sarcini este coordonarea procesului decizional în cazurile de prelucrare transfrontalieră a datelor.
4. CONSULTAREA PĂRȚILOR INTERESATE ȘI TRANSPARENȚA
✔ În timpul pandemiei COVID-19, CEPD a răspuns scrisori de la deputați în Parlamentul European care solicită clarificări suplimentare cu privire la aspectele legate de COVID-19.
✔ CEPD a organizat un eveniment al părților interesate pe conceptul de interes legitim pentru a colecta opinii și cu privire la această problemă specifică în interesul dezvoltării orientărilor viitoare.
✔ CEPD organizează consultări publice pentru a oferi părților interesate și cetățenilor posibilitatea de a furniza contribuții suplimentare, fiind apoi luate în considerare în procesul ulterior de redactare al documentelor. În 2020, CEPD a lansat și finalizat șapte astfel de consultări.
5. STRATEGIE ȘI OBIECTIVE PENTRU 2021
✔ CEPD și-a definit strategia pentru 2021-2023, care acoperă patru piloni principali ai obiectivelor sale strategice, precum și un set de trei acțiuni cheie pe pilon pentru a contribui la atingerea acestor obiective.
✔ la începutul anului 2021, CEPD și-a adoptat programul de lucru pe doi ani pentru 2021-2022, conform art. 29 din Regulamentul său de Procedură.
–––––––––––––––––––––––––––
1 https://www.dataprotection.ro/?page=Comunicat_Pre-sa_25_05_2021&lang=ro
2 https://edpb.europa.eu/our-worktools/our-documents/annual-report/edpb-annual-report-2020_ro