Privire de ansamblu

Autoritățile naționale pentru protecția datelor vor continua să existe.

  • Trebuie să coopereze și cu Comisia Europeană și să monitorizeze aplicarea RGPD.
  • Trebuie să acționeze independent.
  • Membrii autorităților de supraveghere trebuie să fie desemnați în mod transparent, public și să fie calificați în domeniul protecției datelor.

Lista de acțiuni

Nu este necesară nicio acțiune (cu excepția cazului în care sunteți membru al unei autorități existente pentru protecția datelor sau al personalului acesteia!)

Comentarii

Autoritățile naționale de protecție a datelor (autoritățile de supraveghere) vor continua să existe. Acestea urmează să monitorizeze aplicarea RGPD pentru a proteja drepturile fundamentale în ceea ce privește prelucrarea și pentru a facilita libera circulația a datelor cu caracter personal în cadrul UE.

Autoritățile trebuie să coopereze între ele și cu Comisia Europeană pentru a contribui la aplicarea consecventă a RGPD.

State precum Germania pot menține mai multe autorități de supraveghere, dar una dintre acestea trebuie să fie desemnată ca reprezentant în cadrul noului Comitet european pentru protecția datelor (“CEPD”).

Comisia trebuie să fie informată în legătură cu legislațiile naționale privind înființarea și numirea autorităților de supraveghere.

Autoritățile de supraveghere trebuie să acționeze în deplină independență (dar supuse auditului financiar și supravegherii judiciare). Membrii autorităților de supraveghere trebuie să rămână liberi de influența externă și să nu solicite, nici să primească instrucțiuni de la nimeni. Aceștia nu trebuie să se comporte într-o manieră incompatibilă cu îndatoririle lor și să se angajeze, pe durata exercitării funcției, pe o poziție incompatibilă, indiferent dacă sunt remunerați sau nu.

Statele membre trebuie să furnizeze autorităților lor de supraveghere resursele umane, tehnice, financiare și de altă natură necesare pentru îndeplinirea tuturor sarcinilor și exercitarea eficientă a competențelor.

Fiecare autoritate de supraveghere trebuie să-și aleagă propriul personal care va rămâne sub direcția exclusivă a acesteia. Bugetul unei autorități de supraveghere trebuie să fie public și identificat separat, chiar dacă este parte a bugetului național.

Dreptul intern al statelor membre trebuie să stabilească autoritățile de supraveghere și regulile pentru membrii, calificările și eligibilitatea acestora. Mandatul lor este de minimum patru ani și poate fi reînnoit de statele membre. Datoriile de independență ale membrilor descrise mai sus trebuie încorporate în dreptul intern. Membrii autorităților de supraveghere și personalul acestora sunt obligați să respecte „secretul profesional” atât pe durata exercitării funcției, cât și ulterior.

Aceste dispoziții privind înființarea autorităților de supraveghere reprezintă o elaborare mai detaliată a dispozițiilor prevăzute la Articolul 28 din vechea Directivă-cadru privind protecția datelor 95/46/CE. Nu este nimic neobișnuit în noile reguli. Cu toate acestea, unele puncte merită remarcate: specificitatea termenului de desemnare, accentul pus pe independență, insistența asupra furnizării de resurse adecvate pentru fiecare autoritate de supraveghere și cerința ca „fiecare membru [al autorităților de supraveghere] să dețină calificările, experiența și competențele, în special în domeniul protecției datelor cu caracter personal, necesare pentru a-și îndeplini atribuțiile și a-și exercita puterile.”

Sunt posibile dispute privind adecvarea modalității de finanțare a autorităților de supraveghere, în special în cazuri precum Marea Britanie, unde sursa tradițională de finanțare din taxele de înregistrare/notificare va înceta.

Competențe, sarcini și puteri

Privire de ansamblu

Autoritățile de supraveghere au competența specifică de a acționa pe teritoriul lor.

  • O autoritate principală are competență în cazurile transfrontaliere (pentru mai multe detalii, a se vedea secțiunea privind cooperarea și coerența dintre autoritățile de supraveghere).
  • Autoritățile de supraveghere primesc o listă extinsă de competențe și sarcini specifice.

Lista de acțiuni

  • Familiarizați-vă cu puterile și sarcinile globale ale autorităților de supraveghere.
  • Dacă efectuați o prelucrare transfrontalieră, asigurați-vă că înțelegeți sistemul autorității principale (pentru aceasta, a se vedea secțiunea privind cooperarea și coerența dintre autoritățile de supraveghere).
  • E recomandat să faceți demersuri pentru a intra în conformitate cu un Cod de conduită sau o certificare recunoscută, care va necesita aprobarea autorității de supraveghere.

Competență

Autoritățile de supraveghere (denumite și „autorități de protecție a datelor” sau „APD”) au competență „pentru îndeplinirea sarcinilor atribuite și exercitarea puterilor conferite” descrise în RGPD pe teritoriul lor național. Considerentul 122 arată că această competență include „prelucrarea care afectează persoanele vizate pe teritoriul său sau prelucrările efectuate de un operator sau un procesator care nu este stabilit în Uniune atunci când vizează persoanele care locuiesc pe teritoriul său”.

Atunci când temeiul juridic al prelucrării, fie de către un organism privat, fie de către o autoritate publică, este o obligație legală, care acționează în interesul public sau în exercitarea autorității publice, competența îi revine autorității „implicate”, iar sistemul autorității principale transfrontaliere devine inaplicabil. Deși formularea este destul de obscură, Considerentul 128 afirmă că o autoritate de supraveghere are competență exclusivă atât asupra autorităților publice, cât și asupra organismelor private care acționează în interes public care, în ambele cazuri, sunt stabilite pe teritoriul autorității de supraveghere. Nu este clar dacă acest lucru are în vedere mai multe sedii și este un mijloc de a exclude ghișeul unic sau dacă acordă o competență exclusivă autorității de supraveghere din țara de origine, chiar dacă prelucrarea se face în altă parte în UE. Acest lucru ar putea avea o aplicare largă la nivelul organismelor din sectorul privat – de exemplu, instituțiile financiare care desfășoară activități de combatere a spălării de bani în raport cu clienții din alte părți ale Uniunii decât țara de origine.

Autoritățile de supraveghere nu pot exercita jurisdicție asupra instanțelor care acționează în calitate de judecător. „Curtea” nu este definită și nu este foarte clar cât de mult se va extinde această regulă în josul ierarhiei judiciare.

Este creat un sistem de autorități principale pentru a face față procesării transfrontaliere (pentru informații suplimentare despre acest aranjament complex, a se vedea secțiunea privind cooperarea și coerența între autoritățile de supraveghere).

 

Sarcini

Există o listă foarte cuprinzătoare de sarcini atribuite autorităților de supraveghere prin Articolul 57 din RGPD. Nu este nevoie să le menționăm pe toate, deoarece ultima din listă este „îndeplinirea oricăror altor sarcini legate de protecția datelor cu caracter personal”. Autoritățile de supraveghere trebuie, prin urmare, să facă tot ce este rezonabil în legătură cu „protecția datelor cu caracter personal”.

Unele sarcini merită subliniate. Autoritățile de supraveghere trebuie să monitorizeze și să impună „aplicarea” RGPD și să promoveze gradul de conștientizare în rândul publicului, operatorilor și procesatorilor.

Ele trebuie să-și consilieze guvernele și parlamentele cu privire la noile legi propuse.

Sunt menționate în mod deosebit sprijinirea persoanelor vizate, gestionarea și investigarea plângerilor depuse de persoane fizice sau organisme reprezentative, desfășurarea de investigații și, în special, cooperarea cu alte autorități de supraveghere, precum și monitorizarea dezvoltării practicilor tehnice și comerciale în domeniul tehnologiei informației.

Autoritățile de supraveghere trebuie să încurajeze elaborarea sistemelor de coduri de conduită și de certificare și trebuie să „elaboreze și să publice criteriile de acreditare” ale organismelor de certificare și ale celor care monitorizează codurile de conduită.

Autoritățile de supraveghere nu pot percepe pentru serviciile lor costuri persoanelor vizate sau ofițerilor de protecție a datelor; RGPD nu menționează însă dacă operatorii și procesatorii ar putea fi taxați pentru serviciile pe care le primesc de la autoritățile de supraveghere.

 

Puteri

Articolul 58 din RGPD enumeră competențele autorităților de supraveghere pe care statele membre le pot adăuga dacă doresc. Multe dintre competențe corespund sarcinilor specifice enumerate la Articolul 57, nefiind necesar să le repetăm.

Demne de menționat sunt: ordonarea către operatori sau procesatori de a furniza informații; efectuarea de audituri de investigare; obținerea accesului la spații și date; emiterea de avertismente și mustrări și aplicarea de amenzi; ordonarea către operatori sau procesatori de a respecta drepturile RGPD și ale persoanelor vizate; interzicerea prelucrării și a fluxurilor de date transfrontaliere în afara UE; aprobarea clauzelor contractuale standard și a regulilor corporative obligatorii. Exercitarea competențelor de către o autoritate de supraveghere trebuie să facă obiectul unor măsuri de protecție și să poată fi contestată în instanță.

Statele membre trebuie să acorde autorităților de supraveghere dreptul de a aduce diversele chestiuni la cunoștința instanței „și, dacă este cazul, de a începe sau de a se angaja altfel în proceduri legale, pentru a asigura respectarea dispozițiilor prezentului Regulament”. Variația existentă a puterilor va continua probabil în conformitate cu dreptul și procedura internă.

În sfârșit, autoritățile de supraveghere trebuie să întocmească rapoarte anuale. Pe scurt, competența, puterile și sarcinile autorităților de supraveghere reprezintă o listă cuprinzătoare a tot ceea ce o autoritate de supraveghere trebuie sau ar putea să facă. Aceasta este în mare măsură o consolidare previzibilă a practicilor existente, cu unele inovații în fiecare stat membru.

Cooperarea și coerența dintre autoritățile de supraveghere

Privire de ansamblu

În cazul prelucrării transfrontaliere în UE, Comisia Europeană a propus un ghișeu unic prin care autoritatea de supraveghere pentru sediul principal al operatorului din UE urma a fi singura autoritate de monitorizare și de asigurare a conformității operatorului pe întreg teritoriul UE. În fața opoziției puternice, această propunere a fost atenuată.

În prezent, va exista o autoritate principală în cazul existenței mai multor sedii sau a procesării transfrontaliere în UE, care va fi autoritatea de supraveghere a sediului principal, dar autoritățile de supraveghere din alte țări în care este stabilit acel operator sau în care persoanele vizate sunt substanțial afectate, ori autoritățile la care a fost depusă o  plângere se pot implica în cazuri, iar autoritatea principală va trebui să coopereze cu acestea. Celelalte autorități vizate se pot ocupa, de asemenea, de cazuri pur locale care implică un operator transfrontalier.

Lista de acțiuni

  • Dacă desfășurați activități în cadrul unui singur stat membru – (așa cum încă este cazul pentru majoritatea întreprinderilor), sistemul de autoritate principală este irelevant, iar mecanismul de litigiu vă poate afecta numai dacă un Cod de conduită sau un sistem de certificare este întârziat sau respins de CEPD.
  • Dacă desfășurați activități în două sau mai multe state membre, interesați-vă care ar putea fi autoritatea dumneavoastră principală (luând în considerare orientările Grupului de lucru Articolul 29 privind autoritățile principale) și colaborați cu aceasta în perioada premergătoare implementării, accesând, de exemplu, programele de formare și orientare puse la dispoziție.

Comentarii

Competența autorității principale

În cazul în care un operator sau un procesator efectuează o „prelucrare transfrontalieră” fie prin intermediul mai multor sedii din UE, fie chiar printr-un singur sediu, autoritatea de supraveghere a sediului principal sau unic acționează ca autoritate principală în ceea ce privește prelucrarea transfrontalieră respectivă.

Grupul de lucru Articolul 29 a adoptat orientări pentru identificarea unei autorități de supraveghere principale. În cazul în care o organizație are mai multe sedii, autoritatea principală este determinată de locul în care sunt luate deciziile privind scopurile și modul de prelucrare în cauză – dar, deși acesta este locul administrației centrale a organizației, dacă deciziile sunt luate efectiv într-un alt sediu în UE, autoritatea acelei locații este autoritatea principală. Orientările recunosc că pot exista situații în care pot fi identificate mai multe autorități principale, i.e. în cazurile în care o companie multinațională decide să aibă centre decizionale separate, în diferite țări, pentru diferite activități de prelucrare.

În ceea ce privește operatorii comuni, Orientările Grupului de lucru Articolul 29 sugerează că, pentru a beneficia de mecanismul ghișeului unic, operatorii comuni ar trebui să desemneze un sediu care să aibă competența de a pune în aplicare decizii privind prelucrarea cu privire la toți operatorii comuni. În practică există dificultăți considerabile în a conferi putere unui sediu în acest fel, prin urmare, conceptul de autoritate principală pentru operatorii comuni ar putea fi unul teoretic.

De asemenea, deși RGPD oferă și mecanismul „ghișeu unic”, procesatorii care furnizează servicii către multipli operatori nu vor beneficia de ghișeul unic deoarece autoritatea principală va fi autoritatea principală pentru fiecare operator.

De asemenea, orientările precizează că „RGPD nu permite «forum shopping»” – trebuie să existe un exercițiu efectiv și real al activității de management în statul membru, identificat ca sediu principal al organizației. Organizațiile ar trebui să poată demonstra autorităților de supraveghere unde anume sunt efectiv luate și puse în aplicare deciziile privind prelucrarea datelor, deoarece acestora li s-ar putea solicitata să-și justifice poziția. Ghidul constată că operatorii care nu au sediul în UE nu pot beneficia de mecanismul ghișeului unic – aceștia trebuie să colaboreze cu autoritățile locale de supraveghere din fiecare stat membru în care activează, prin intermediul reprezentantului local.

O autoritate națională de supraveghere rămâne competentă să își exercite atribuțiile atunci când o plângere sau o încălcare survine pe teritoriul său și dacă obiectul plângerii sau al încălcării se referă numai la un sediu situat pe teritoriul respectiv sau afectează substanțial persoanele vizate numai în acel stat. Comitetul European pentru Protecția Datelor („CEPD”) poate oferi orientări cu privire la semnificația termenului „substanțial” din expresia „afectează substanțial persoanele vizate” în mai multe state membre. Orientările Grupului de lucru Articolul 29 menționate mai sus conțin îndrumări privind semnificația expresiei “afectează substanțial”.

Astfel de cazuri locale trebuie notificate autorității principale care dispune de trei săptămâni pentru a decide dacă va interveni (ținând seama de existența unui sediu în celălalt stat) și apoi va aplica procedura de cooperare. Celelalte autorități vizate pot propune decizii autorității principale.

În cazul în care autoritatea principală nu intervine, autoritatea locală gestionează cazul folosind, după caz, competențele de asistență reciprocă și de investigare comună.

Procedura de cooperare

Autoritatea principală trebuie să coopereze cu alte autorități de supraveghere „interesate”. Acestea trebuie să facă schimb de informații și să încerce să ajungă la un consens.

Autoritatea principală trebuie să furnizeze informații celorlalte autorități de supraveghere și poate solicita asistență reciprocă din partea acestora și efectua investigații comune pe teritoriile lor. Autoritatea principală trebuie să înainteze fără întârziere un proiect de hotărâre autorităților interesate, acestea din urmă putând face opoziție în termen de patru săptămâni. Poate urma o nouă rundă de depunere a proiectelor de hotărâri cu un termen de opoziție de două săptămâni. Dacă autoritatea principală nu dorește să urmeze opiniile autorităților implicate, trebuie să se supună procedurii de coerență supravegheate de CEPD.

Există reguli detaliate în legătură cu care autoritatea de supraveghere ar trebui să ia decizia oficială și să notifice operatorul; autoritatea principală are însă datoria de a se asigura că, în temeiul unei decizii oficiale, operatorul întreprinde acțiuni de conformitate în toate sediile sale.

Cu toate acestea, o autoritate de conducere poate, în mod excepțional, să întreprindă acțiuni temporare urgente fără a aștepta finalizarea procesului de coerență.

Sistemul autorității de supraveghere principale prezintă o serie de deficiențe aparente, putând fi subminat atunci când celelalte autorități vizate sunt capabile să se afirme pe motiv că persoanele vizate din jurisdicțiile lor sunt afectate în mod substanțial de prelucrarea efectuată de un operator care își are sediul principal în altă parte; succesul său se va baza în mare măsură pe consens și bunăvoință între autoritățile de supraveghere.

Asistență reciprocă, operațiuni comune și coerență

Autoritățile de supraveghere sunt obligate să ofere asistență reciprocă sub forma informațiilor sau efectuării de „autorizații și consultări prealabile, inspecții și investigații”. Comisia Europeană poate specifica forme și proceduri de asistență reciprocă.

Autoritățile de supraveghere pot desfășura operațiuni comune de investigare și executare. O autoritate de supraveghere are dreptul de a fi inclusă în astfel de operațiuni, în cazul în care un operator are un sediu pe teritoriul acesteia sau un număr semnificativ de persoane vizate de acesta sunt susceptibile de a fi afectate în mod substanțial. Dacă dreptul intern permite acest lucru, o autoritate de supraveghere gazdă poate acorda personalului detașat competențe formale de investigare. Autoritățile de supraveghere au efectuat investigații comune în temeiul legii existente, astfel că, în practică, RGPD va dezvolta și va consolida, probabil, aceste aranjamente.

În cazul în care autoritățile de supraveghere iau anumite măsuri oficiale sau nu sunt de acord cu măsurile luate de către o altă autoritate de supraveghere sau doresc ca măsurile să fie luate de către o altă autoritate de supraveghere, RGPD prevede un mecanism de coerență și de soluționare a litigiilor. În Orientările sale, Grupul de lucru Articolul 29 pune accentul pe cooperarea dintre autoritățile principale și autoritățile de supraveghere interesate pentru a ajunge la un mod de acțiune reciproc acceptabil, menționând că mecanismul formal de coerență ar trebui invocat doar atunci când cooperarea nu ajunge la un rezultat reciproc acceptabil.

CEPD trebuie să emită avize cu privire la diferitele propuneri ale autorităților de supraveghere, inclusiv aprobarea unor reguli corporative obligatorii, criterii de certificare și coduri de conduită. În cazul în care autoritatea de supraveghere nu este de acord cu un aviz CEPD, problema va fi supusă procedurii de soluționare a litigiului.

Această procedură se aplică și litigiilor dintre autoritatea principală și autoritățile interesate. În toate aceste cazuri, CEPD adoptă o decizie obligatorie pe baza votului cu o majoritate de două treimi. Dacă nu se obține o astfel de majoritate, ulterior va fi suficientă o majoritate simplă. Autoritățile de supraveghere implicate sunt obligate să se conformeze, iar deciziile oficiale trebuie emise în conformitate cu decizia CEPD.

Comitetul European pentru Protecția Datelor

Privire de ansamblu

  • Vechiul Grup de lucru Articolul 29, ai cărui membri erau autoritățile naționale de supraveghere ale UE, Autoritatea Europeană pentru Protecția Datelor („AEPD”) și Comisia Europeană, a fost transformat în „Comitetul european pentru protecția datelor” (“CEPD”), cu o componență similară, dar cu un Secretariat independent.
  • CEPD are statutul de organism UE cu personalitate juridică și competențe extinse pentru a determina disputele dintre autoritățile naționale de supraveghere, pentru a oferi consiliere și îndrumare și pentru a aproba codurile și certificarea la nivelul UE.

Lista de acțiuni

Nu este esențială nicio acțiune imediată –  cu excepția cazului în care sunteți membru al unei autorități naționale de supraveghere.

Cu toate acestea, CEPD va avea o influență majoră asupra dreptului și practicilor Uniunii privind protecția datelor și e recomandat să învățați cum să influențați sau să contestați deciziile sale.

Comentarii

Grupul de lucru “Articolul 29”, instituit prin Directiva 95/46/CE („Directiva privind protecția datelor”) și compus din reprezentanți ai autorităților de supraveghere ale statelor membre UE, împreună cu Comisia și AEPD, va fi eliminat de RGPD. Acesta va fi înlocuit de CEPD, care va fi în mod similar compus din șefii autorităților naționale de supraveghere (sau reprezentanții acestora) și din AEPD.

Reprezentantul Comisiei în cadrul CEPD este un membru fără drept de vot, iar în state cu autorități de supraveghere multiple (cum ar fi Germania), dreptul intern trebuie să prevadă numirea unui reprezentant comun. În cazurile de soluționare a litigiilor cu decizii obligatorii, competențele de vot ale AEPD se limitează la circumstanțele în care principiile cazului ar fi aplicabile instituțiilor UE.

CEPD are un statut mult consolidat. Nu este doar un comitet consultativ, ci un organism independent al Uniunii Europene cu personalitate juridică proprie.

Acesta este reprezentat oficial de președintele său, care deține rolul principal în organizarea activității CEPD și, în special, în gestionarea procedurii de conciliere a litigiilor dintre autoritățile naționale de supraveghere. Președintele și doi deputați sunt aleși dintre membrii CEPD pe o perioadă cinci ani, reînnoibilă o dată.

CEPD decide în mod normal chestiunile cu o majoritate simplă, dar regulile de procedură și deciziile obligatorii (în primă instanță) trebuie stabilite cu o majoritate de două treimi.

CEPD trebuie să-și adopte propriile reguli de procedură și să-și organizeze propriile afaceri. Se accentuează independența CEPD. Se pare că există o sugestie implicită cum că, în trecut, Comisia a exercitat prea multă influență asupra Grupului de lucru Articolul 29 și căuta să consolideze această putere.

Secretarul vechiului Grup de lucru Articolul 29 a fost funcționar al Comisiei. Noul CEPD va avea propriul secretariat furnizat de AEPD, dar care acționează exclusiv sub conducerea președintelui CEPD.

CEPD primește o listă lungă și detaliată de sarcini, dar rolul său principal este de a contribui la aplicarea consecventă a RGPD în întreaga Uniune. Acesta consiliază Comisia, în special cu privire la nivelul de protecție oferit de țările terțe sau organizațiile internaționale, și promovează cooperarea dintre autoritățile naționale de supraveghere. CEPD emite orientări, recomandări și declarații de bune practici: de exemplu, în chestiuni cum ar fi situațiile în care o încălcare a securității datelor este „susceptibilă să conducă la un risc ridicat pentru drepturile și libertățile” persoanelor sau cerințele pentru Regulile corporative obligatorii. Are, de asemenea, rolul de a încuraja Codurile de Practică și Certificările, care vor ajuta operatorii și procesatorii să demonstreze conformitatea cu RGPD.

O mare parte a acestei liste de sarcini reprezintă o elaborare sau formalizare a activității actualului Grup de lucru Articolul 29, dar opiniile și activitățile CEPD vor avea o forță și un efect mai mare.

Cel mai distinctiv rol CEPD este acela de a concilia și de a stabili litigiile dintre autoritățile naționale de supraveghere. Pentru mai multe informații despre această activitate, consultați secțiunea despre competență, sarcini și puteri. Vechiul Grup de lucru Articolul 29 a fost deseori criticat pentru că nu a consultat în mod adecvat înainte de a lua decizii. Noul CEPD trebuie să consulte părțile interesate „atunci când este cazul”. În ciuda calificării pentru „opt-out”, acest lucru constituie un beneficiu major pentru cei care pot fi afectați de opiniile, orientările, sfaturile și cele mai bune practici propuse.

Discuțiile din cadrul CEPD trebuie să fie „confidențiale atunci când Comitetul consideră necesar, în conformitate cu regulamentul său de procedură”. Acest lucru sugerează că întâlnirile și discuțiile vor fi, în principiu, publice, dacă nu se stabilește altfel.

În fine, CEPD are îndatorirea de a întocmi un raport anual.