Domeniul de aplicare, calendarul si noile concepte

Domeniu de aplicare teritorial

Operatori și procesatori „stabiliți” în UE

RGPD se va aplica organizațiilor „stabilite” pe teritoriul UE, unde datele cu caracter personal sunt prelucrate „în contextul activităților” unui astfel de sediu.

Dacă acest test este îndeplinit, RGPD se aplică indiferent dacă prelucrarea reală a datelor are loc sau nu în UE.

Termenul de „stabilire” a fost examinat de Curtea de Justiție a Uniunii Europene („CJUE”) în cauza Weltimmo împotriva NAIH din 2015 (C-230/14). S-a confirmat că „stabilire” este o expresie „largă” și „flexibilă” care nu ar trebui să se bazeze pe o formă juridică. O organizație poate fi considerată drept „stabilită” atunci când exercită „orice activitate reală și efectivă – chiar și una minimă” – prin „aranjamente stabile” pe teritoriul UE. Prezența unui singur reprezentant poate fi suficientă. În acest caz, Weltimmo era considerat a fi stabilit în Ungaria ca urmare a utilizării unui site web în limba maghiară care promova proprietăți maghiare (ceea ce însemna că, în consecință, a fost considerat „în principal sau în întregime direcționat spre acel stat membru”) , folosirea unui agent local (care a fost responsabil de colectarea datoriilor locale și a acționat în calitate de reprezentant în procedurile administrative și judiciare) și utilizarea unei adrese poștale maghiare și a unui cont bancar în scopuri comerciale – cu toate că Weltimmo a fost încorporat în Slovacia.

Organizațiile cu birouri de vânzări în UE, care promovează sau vând servicii de publicitate sau marketing ce îi vizează pe rezidenții UE, vor face probabil obiectul RGPD – întrucât prelucrarea asociată a datelor cu caracter personal este considerată a fi „legată în mod inextricabil” și astfel efectuată „în contextul activităților” acelor sedii din UE (Google Spania SL, Google Inc. / AEPD, Mario Costeja González (C-131/12)).

 

Organizațiile „stabilite” în afara UE care vizează sau monitorizează titulari de date din UE

Organizațiile care nu sunt membre ale UE vor face obiectul RGPD în măsura în care prelucrează date cu caracter personal ale persoanelor vizate din UE în legătură cu:

  • „oferta de bunuri sau servicii” (plata nu este necesară); sau
  • „monitorizarea” comportamentului lor în cadrul UE.

Pentru oferta de bunuri și servicii (dar nu și pentru monitorizare), simpla accesibilitate a unui site din interiorul UE nu este suficientă. Trebuie să devină evident că organizația „are în vedere” să își direcționeze activitățile către persoane vizate din UE.

Adresele de contact accesibile din UE și utilizarea unei limbi vorbite pe teritoriul propriei țări a operatorului nu este, de asemenea, suficientă. Cu toate acestea, utilizarea unei limbi/monedă din UE, capacitatea de a plasa comenzi în acea altă limbă și referirile la utilizatori sau consumatori din UE vor fi relevante.

CJUE a examinat când o activitate (cum ar fi oferirea de bunuri și servicii) poate fi considerată „direcționată” către statele membre ale UE într-un context separat (i.e. în Regulamentul CE 44/2001 care guvernează „jurisdicția… în chestiuni civile și commerciale”). Comentariile sale sunt susceptibile de a facilita interpretarea în acest aspect similar al RGPD. Pe lângă considerațiile de mai sus, CJUE observă că o intenție de a viza clienții din UE poate fi ilustrată prin: (1) dovezi „explicite” cum ar fi plata către un motor de căutare pentru a facilita accesul celor din interiorul unui stat membru sau desemnarea expresă a statelor membre vizate; și (2) alți factori – eventual în combinație – precum „natura internațională” a activității relevante (de exemplu, anumite activități turistice), menționarea numerelor de telefon cu cod internațional, utilizarea unui nume de domeniu de nivel superior, (cum ar fi .de sau .eu), descrierea „itinerariilor… de la statele membre la locul în care se furnizează serviciul” și menționarea unei „clientele internaționale compuse din clienți domiciliați în diferite state membre”. Lista nu este exhaustivă, iar chestiunea ar trebui stabilită de la caz la caz (Pammer v Reederei Karl Schlüter GmbH & Co și Hotel Alpenhof v Heller (Cauze conexe (C-585/08) și (C-144/09)).

Nu este clar dacă organizațiile din afara UE care oferă bunuri și servicii persoanelor juridice din UE vor intra în domeniul de aplicare a testului „oferta de bunuri și servicii” din Articolul 3(2)(a).

Monitorizarea include în mod specific urmărirea persoanelor online pentru crearea de profiluri, inclusiv în cazul în care acest lucru este folosit pentru a decide analiza/predicția preferințele personale, a comportamentelor și atitudinilor.

Organizațiile care se află sub jurisdicția RGPD trebuie să numească un reprezentant stabilit în UE.

În conformitate cu Directiva privind protecția datelor, organizațiile care au vizat titularii de date din UE au trebuit să respecte normele UE numai dacă au utilizat, de asemenea, „echipament” pe teritoriul UE pentru prelucrarea datelor cu caracter personal. Acest fapt a determinat autoritățile naționale de supraveghere, care urmăreau să-și afirme competența, să dezvolte argumente potrivit cărora plasarea cookie-urilor sau solicitarea către utilizatori de a completa formulare ar echivala cu utilizarea „echipamentului” în UE. Acum va fi mai ușor de demonstrat că se aplică dreptul Uniunii. (Deși, în cazul în care organizațiile nu au nicio prezență în UE, aplicarea legii se poate dovedi la fel de dificilă ca și înainte).

Când dreptul statelor membre UE se aplică în virtutea dreptului internațional public

Considerentul 25 oferă exemplul unei misiuni diplomatice sau al unei poziții consulare.

 

Excluderi

Anumite activități se află în întregime în afara domeniului de aplicare al RGPD (acestea sunt enumerate mai jos).

În plus, RGPD recunoaște că drepturile de protecție a datelor nu sunt absolute și trebuie să fie echilibrate (proporțional) cu alte drepturi – inclusiv „libertatea de a desfășura o afacere”. (Pentru capacitatea statelor membre de a introduce derogări, a se vedea secțiunea privind derogările și condițiile speciale). Întrucât RGPD înăsprește legislația în multe domenii ale protecției datelor, introducând mai multe sancțiuni decât stimulente, companiile pot găsi util să marcheze această afirmație din Considerentul 4 pentru eventualele necesități viitoare.

RGPD nu se aplică prelucrării datelor cu caracter personal (aceste derogări generale sunt foarte similare cu dispozițiile echivalente incluse în Directiva privind protecția datelor):

  • în ceea ce privește activitățile care nu intră sub incidența dreptului Uniunii (de exemplu, activitățile privind securitatea națională);
  • în ceea ce privește politica externă și de securitate comună a UE;
  • de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor și a chestiunilor conexe (i.e. acolo unde se aplică în prezent Directiva privind agențiile de aplicare a legii („LEA”) 1, care a fost adoptată ca UE 2016/618 la 26 aprilie 2016);
  • de către instituțiile UE, în care Regulamentul 45/2001/CE va continua să se aplice în locul RGPD. Prezentul regulament trebuie actualizat pentru a asigura coerența cu RGPD; și
  • de către o persoană fizică ca parte a unei „activități pur personale sau gospodărești”. Aceasta sintagmă acoperă corespondența și deținerea agendelor cu adrese, și, mai nou, rețelele sociale și activitățile online desfășurate în scopuri sociale și domestice. Reprezintă o posibilă extindere a derogării de la principiile enunțate în Bodil Lindqvist (C-101/01), înainte de apariția rețelelor de socializare. În acest caz, CJUE a constatat că schimbul de date pe Internet în general, „astfel încât aceste date să devină accesibile unui număr nedeterminat de persoane” nu ar putea intra sub incidența acestei derogări, care a declarat că ar trebui să se limiteze la activitățile „desfășurate în cursul vieții private sau de familie a persoanelor”. Rețineți, de asemenea, că RGPD va rămâne aplicabilă operatorilor și procesatorilor care „furnizează mijloacele de prelucrare” care intră sub incidența acestei derogări.

Se precizează că RGPD „nu aduce atingere” normelor din Directiva privind comerțul electronic (2000/31/CE), în special celor privind răspunderea „furnizorilor intermediari de servicii” (și care au drept scop limitarea expunerii la răspunderea pecuniară și penală de vreme ce aceștia doar găzduiesc, efectuează copii cache sau acționează ca un „simplu transmițător”). Relația cu Directiva privind comerțul electronic nu este simplă – întrucât această directivă prevede că aspectele legate de prelucrarea datelor cu caracter personal sunt excluse din domeniul său de aplicare și „reglementate exclusiv” prin legislația relevantă privind protecția datelor. Cele două pot fi citite în concordanță dacă se presupune că răspunderea furnizorilor de servicii Internet pentru acțiunile utilizatorilor va fi determinată de Directiva privind comerțul electronic, dar că alte aspecte (cum ar fi obligațiile de ștergere sau rectificare a datelor sau obligațiile unui ISP cu privire la propria utilizare a datelor personale) vor fi guvernate de RGPD. Cu toate acestea, subiectul nu este clar.

 

Regulament versus legislație națională

Ca regulament, RGPD va intra direct în vigoare în statele membre fără a fi nevoie de o legislație de punere în aplicare.

Cu toate acestea, în numeroase ocazii, RGPD permite statelor membre să legifereze chestiuni legate de protecția datelor. Astfel de ocazii includ situațiile în care prelucrarea datelor cu caracter personal este obligatorie pentru respectarea unei obligații legale, se referă la o sarcină de interes public sau este efectuată de un organism cu autoritate publică. Numeroase articole prevăd, de asemenea, că dispozițiile lor pot fi specificate sau restricționate în continuare de dreptul intern al statelor membre. Prelucrarea datelor cu caracter personal este un alt domeniu important în care statele membre pot adopta abordări divergente.

Organizațiile care lucrează în sectoarele în care se aplică adesea reguli speciale (de exemplu, serviciile de sănătate și financiare) ar trebui: (1) să analizeze dacă ar beneficia de pe urma unor astfel de „norme speciale” care ar particulariza sau liberaliza RGPD; și (2) să le susțină în mod corespunzător. De asemenea, ar trebui să privească atent la statele membre care doresc să introducă „norme speciale” ce s-ar putea dovedi restrictive sau incoerente între statele membre.

1 Titlul complet: Directiva „privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, detectării sau urmăririi penale a infracțiunilor sau executării de sancțiuni penale și libera circulație a acestor date”.

Concepte noi și concepte semnificativ modificate

Privire de ansamblu

RGPD va introduce modificări semnificative, inclusiv prin intermediul următoarelor concepte:

  • Transparență și consimțământ – i.e. informațiile care trebuie furnizate către și permisiunile cerute de persoane fizice pentru a justifica utilizarea datelor lor personale. Cerințele RGPD, inclusiv cea ca acest consimțământ să fie neechivoc și să nu fie prezumat din lipsa de acțiune, vor implica modificarea multor notificări privind protecția datelor.
  • Copiii și consimțământul – pentru serviciile online care se bazează pe consimțământul la prelucrare, este necesar consimțământul parental verificabil pentru utilizarea datelor personale ale copilului. Statele membre au libertatea de a-și stabili propriile reguli pentru persoanele cu vârste cuprinse între 13-15 ani (inclusiv). În caz contrar, consimțământul părinților este necesar pentru copiii cu vârsta sub 16 ani.
  • Date reglementate – au fost extinse definițiile „datelor personale” și „datelor sensibile”: de exemplu, acestea din urmă includ date genetice și biometrice.
  • Pseudonimizarea – o tehnică de îmbunătățire a confidențialității prin care informațiile care permit atribuirea datelor unei anumite persoane sunt stocate separat și fac obiectul unor măsuri tehnice și organizatorice pentru a asigura neatribuirea datelor respective.
  • Încălcarea securității datelor cu caracter personal – este introdusă o nouă lege de comunicare privind încălcarea securității pentru toți operatorii de date, indiferent de sectorul lor.
  • Protecția datelor de la momentul conceperii și răspunderea – organizațiile sunt obligate să adopte noi și semnificative măsuri tehnice și organizatorice pentru a demonstra conformitatea cu RGPD.
  • Drepturi consolidate – persoanele vizate primesc drepturi substanțiale, inclusiv dreptul de a fi uitat, drepturile de portabilitate a datelor și dreptul de a se opune luării automate a deciziilor.
  • Autoritățile de supraveghere și CEPD – supravegherea reglementară a protecției datelor va cunoaște schimbări semnificative, inclusiv prin introducerea unei noi autorități principale pentru anumite organizații.

Lista de acțiuni

Nu este necesară nicio acțiune.

 

Dispozițiile RGPD și obligațiile pe care acestea le introduc sunt vaste, dar următoarele concepte se remarcă prin noutate absolută sau modificare. Informații detaliate despre fiecare dintre acestea se regăsesc în altă parte a ghidului.

 

Consimţământ

Condițiile de obținere a consimțământului au devenit mai stricte:

  • persoana vizată trebuie să aibă dreptul de a-și retrage consimțământul în orice moment; și
  • se prezumă că acest consimțământ nu va fi valabil decât dacă se obține consimțământ separat pentru diferitele activități de prelucrare și se prezumă, de asemenea, că mecanismele de consimțământ forțat sau „omnibus” nu vor fi valabile. Sunt de așteptat orientări suplimentare, dar organizațiile vor trebui să revizuiască mecanismele de consimțământ existente, pentru a se asigura că acestea prezintă o alegere reală și granulară.

Consimțământul nu este singurul mecanism care justifică prelucrarea datelor cu caracter personal. Concepte precum necesitatea contractuală, respectarea unei obligații legale (a unui stat membru sau a Uniunii) sau prelucrarea necesară pentru interese legitime rămân disponibile.

 

 

Transparenţă

Organizațiile vor trebui să furnizeze persoanelor informații extinse cu privire la prelucrarea datelor lor personale.

RGPD combină diferitele obligații de transparență care se aplică în întreaga UE. Lista de informații care trebuie furnizate este de 6 pagini în RGPD, însă operatorii de date trebuie să realizeze ceea ce nu au făcut legiuitorii UE, furnizând informații într-un mod concis, transparent, inteligibil și ușor accesibil.

Utilizarea iconurilor standard este sugerată în RGPD, iar Comisia are posibilitatea de a alege să introducă aceste iconuri prin acte delegate într-o etapă ulterioară.

 

 

Consimțământul pentru copii

Copiii sub vârsta de 13 ani nu pot să-și dea ei înșiși acordul pentru prelucrarea datelor lor personale în legătură cu serviciile online.

Pentru copiii cu vârste cuprinse între 13 și 15 ani (inclusiv), regula generală este că, în cazul în care o organizație solicită consimțământul de prelucrare a datele cu caracter personal, trebuie obținut acordul părinților, cu excepția cazului în care statul membru respectiv legiferează reducerea pragului de vârstă – care însă nu poate scădea sub 13 ani.

Copiii în vârstă de 16 ani sau mai mari își pot da consimțământul pentru prelucrarea datelor lor personale.

Nu există reguli specifice referitoare la consimțământul părinților în ceea ce privește prelucrarea datelor offline: regulile obișnuite ale statelor membre privind capacitatea se aplică aici.

 

 

Datele cu caracter personal/datele sensibile („categorii speciale de date”)

RGPD se aplică datelor prin care o persoană vie este identificată sau identificabilă (de către oricine), direct sau indirect. Se menține testul directivei privind „toate mijloacele care pot fi utilizate în mod rezonabil” pentru identificare.

Considerentele RGPD evidențiază faptul că anumite categorii de date online pot fi personale – identificatori online, identificatori de dispozitive, ID-uri de cookie-uri și adrese IP. În octombrie 2016, CJUE a oferit o claritate mult așteptată cu privire la statutul adreselor IP dinamice în cazul lui Patrick Breyer/Germania (C-582/14), considerând că o adresă IP reprezintă date cu caracter personale atunci când sunt deținute de un ISP, dar nu constituie date cu caracter personal dacă sunt deținute de o parte care nu are „mijloacele care ar putea fi utilizate în mod rezonabil pentru identificarea persoanei”. Este interesant că CJUE nu a făcut referire la Orientările Grupului de lucru Articolul 29, conform cărora identificatorii unici care „permit ca persoanele vizate să fie identificate în scopul urmăririi comportamentului utilizatorilor în timpul navigării pe diferite site-uri” sunt date cu caracter personal (Avizul 188). Cu toate acestea, nu ar fi înțelept ca cei implicați în publicitatea bazată pe comportamentul utilizatorilor online sau alte activități similare să mizeze prea mult pe absența acestui test din hotărârea CJUE (cel puțin post-RGPD), deoarece Considerentul 30 din RGPD prevede că astfel de identificatori vor fi considerați date cu caracter personal acolo unde sunt utilizate pentru a crea profiluri de persoane și pentru a le identifica.

„Categoriile speciale de date” (numite adesea date sensibile) sunt păstrate și extinse – acoperind acum datele genetice și datele biometrice. Ca și în cazul directivei actuale privind protecția datelor, prelucrarea acestor date este supusă unor condiții mai stricte decât alte forme de date cu caracter personal.

 

Pseudonimizarea

O nouă definiție care se referă la tehnica de prelucrare a datelor cu caracter personal astfel încât acestea să nu mai poată fi atribuite unui anumite „persoane vizate” fără utilizarea de informații suplimentare, care trebuie stocate separat și supuse unor măsuri tehnice și organizatorice pentru a asigura neatribuirea.

Informațiile pseudonime sunt în continuare o formă de date cu caracter personal, însă utilizarea pseudonimiei este încurajată deoarece, de exemplu:

  • este un factor care trebuie luat în considerare atunci când se determină dacă prelucrarea este „incompatibilă” cu scopurile pentru care datele cu caracter personal au fost inițial colectate și prelucrate;
  • este inclusă ca exemplu de tehnică care poate satisface cerințele de implementare a „protecției datelor de la momentul conceperii și a protecției implicite” (a se vedea secțiunea privind obligațiile de guvernanță a datelor);
  • poate contribui la îndeplinirea obligațiilor privind securitatea datelor RGPD (a se vedea secțiunea privind încălcarea securității datelor cu caracter personal și notificarea de încălcare); și
  • pentru organizațiile care doresc să utilizeze date cu caracter personal pentru cercetare istorică sau științifică sau în scopuri statistice, se pune accentul pe utilizarea datelor pseudonime.

 

Comunicarea privind încălcarea datelor cu caracter personal

RGPD introduce un cadru de comunicare pentru încălcarea securității pentru toți operatorii de date, indiferent de sectorul în care operează.

Obligațiile de notificare (către autoritățile de supraveghere și persoanele vizate) sunt potențial declanșate de „distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul la date cu caracter personal”.

 

Protecția datelor de la momentul conceperii/responsabilitate

Organizațiile trebuie să poată demonstra conformitatea cu principiile RGPD, inclusiv prin adoptarea unor măsuri de „protecție a datelor de la momentul conceperii” (de exemplu, utilizarea tehnicilor de pseudonimizare), a programelor de formare a personalului și a adoptării politicilor și procedurilor.

În cazul în care va avea loc o prelucrare cu grad de risc ridicat (cum ar fi activitățile de monitorizare, evaluările sistematice sau prelucrarea unor categorii speciale de date), trebuie efectuată și documentată o evaluare detaliată a impactului asupra protecției vieții private („PIA”). În cazul în care o PIA are drept concluzie faptul că există într-adevăr un risc ridicat absolut pentru persoanele vizate, operatorii trebuie să notifice autoritatea de supraveghere și să obțină punctul acesteia de vedere asupra caracterului adecvat al măsurilor propuse de PIA pentru a reduce riscurile de prelucrare.

Operatorii și procesatorii pot decide să numească un responsabil cu protecția datelor („RPD”). Acest lucru este obligatoriu pentru organismele din sectorul public, pentru cei implicați în anumite activități sensibile de prelucrare sau monitorizare sau în cazul în care dreptul intern prevede o desemnare (de exemplu, legea germană va continua să solicite acest lucru după mai 2018). Grupurile de companii pot desemna în comun un RPD.

 

Drepturi consolidate pentru persoane fizice

RGPD consacră o gamă largă de drepturi existente și noi pentru persoane fizice cu privire la datele lor personale.

Acestea includ dreptul de a fi uitat, dreptul de a solicita transferul datelor personale către o nouă organizație, dreptul de a se opune anumitor activități de prelucrare, precum și deciziilor luate prin procese automatizate.

Autoritățile de supraveghere și CEPD

Autoritățile de reglementare din domeniul protecției datelor sunt denumite autorități de supraveghere.

O singură autoritate de supraveghere principală situată în statul membru în care o organizație își are sediul „principal” va reglementa respectarea de către organizația respectivă a RGPD.

Se creează un Comitet European pentru Protecția Datelor (CEPD) pentru a (printre multe altele) emite avize cu privire la anumite aspecte și pentru a se pronunța asupra litigiilor care decurg din deciziile autorității de supraveghere.

 

 

2018-01-10T13:24:49+00:00
Aveti nevoie de ajutor in
implementarea GDPR?
Lasati-ne cateva detalii despre dvs. si compania pe care o reprezentati,
iar noi vom reveni cu mai multe informatii. 
Vreau sa fiu contactat!
Ma mai gandesc
close-link