Conținut
Introducere
Domeniul protecției datelor este un domeniu foarte important și mulți operatori de date consideră că e suficient să cunoști legea GDPR, să o aplici și ești conform. Să fie oare așa? Vă spunem noi: NU.
Nu e suficient să cunoști doar Regulamentul General privind Protecția Datelor. Într-adevăr, această legislație reprezintă dreptul comun în domeniul protecției datelor, însă există o sumedenie de alte acte normative sau prevederi specifice protecției datelor care merită amintite și de care operatorii este bine să țină cont atunci când caută protejarea vieții private și a datelor cu caracter personal ale persoanei fizice.
În acest articol ne propunem să vă prezentăm legislația specifică din domeniul protecției datelor care trebuie cunoscută de operatorii de date cu caracter personal pentru a fi în conformitate cu prevederile GDPR.
Legea GDPR – Regulamentul General privind Protecția Datelor
Reglementarea domeniului protecției datelor cu caracter personal aplicabilă la acest moment este Regulamentul General privind Protecția Datelor (REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE). Cunoscut și ca GDPR, care e acronimul de la denumirea în limba engleză General Data Protection Regulation.
Această legislație reprezintă principalul factor de protecție a drepturilor la protecția datelor (și viață privată) în contextul digitalizării societății europene. Regulamentul se aplică în mod unitar tuturor statelor Uniunii Europene, eliminând diferențele dintre sistemele naționale existente până la data de 25.05.2018.
După cum este foarte cunoscut, regulamentul a intrat în vigoare la 24 mai 2016 și se aplică de la 25 mai 2018. Textul acestuia poate fi găsit aici: https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_ro
Tu știi exact la ce se referă datele cu caracter personal? Află din articolul nostru dedicat ce înseamnă date cu caracter personal, ce tipuri de date personale există, vezi multe exemple de date personale precum și situații speciale.
După cum spuneam, având în vedere că există o sumedenie de alte acte normative sau prevederi specifice protecției datelor care merită amintite, vom cataloga legislația în mai multe categorii, după cum urmează:
1. Prevederi specifice protecției datelor în acte fundamentale:
- Art. 16 din TRATATUL PRIVIND FUNCȚIONAREA UNIUNII EUROPENE
- Art. 39 din TRATATUL PRIVIND UNIUNEA EUROPEANĂ
- Art. 7 și 8 din CARTA DREPTURILOR FUNDAMENTALE A UNIUNII EUROPENE
- Art. 8 din CONVENȚIA EUROPEANĂ A DREPTURILOR OMULUI
2. Alte acte normative europene aplicabile, în afara limitelor R.G.P.D.:
Majoritatea actelor de mai jos se regăsesc indicate de către A.N.S.P.D.C.P.:
REGULAMENTE privind protecția datelor
REGULAMENTUL (UE) 2018/1725 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE.
Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Regulamentul (CE) nr. 810/2009 al Parlamentului European şi al Consiliului privind instituirea unui Cod comunitar de vize.
Regulamentul (CE) nr. 767/2008 al Parlamentului European şi al Consiliului privind Sistemul de Informații privind vizele (VIS) şi schimbul de date între statele membre cu privire la vizele de scurtă şedere.
Regulamentul (CE) nr. 1987/2006 al Parlamentului European şi al Consiliului privind instituirea, funcţionarea şi utilizarea Sistemului de Informaţii Schengen din a doua generaţie (SIS II).
Regulamentul (CE) nr. 1986/2006 al Parlamentului European şi al Consiliului privind accesul la Sistemul de Informaţii Schengen din a doua generaţie (SIS II) al serviciilor competente, în statele membre, pentru eliberarea certificatelor de înmatriculare a vehiculelor.
DIRECTIVE privind prelucrarea și protecția datelor
Directiva (UE) 2016/680 – DIRECTIVA (UE) 2016/680 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
Directiva (UE) 2016/681 – DIRECTIVA (UE) 2016/681 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave.
Directiva 2002/58/CE – DIRECTIVA 2002/58/CE A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice).
Directiva 31/2000 – DIRECTIVA 2000/31/CE A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic).
DECIZII cu impact asupra protecției datelor
Decizia 2010/87/UE din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului.
Decizia 2010/365/UE din 29 iunie 2010 privind aplicarea dispozițiilor acquis-ului Schengen referitoare la Sistemul de Informaţii Schengen în Republica Bulgaria şi în România.
Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (2010/87/UE).
Decizia 2009/371/JAI din 6 aprilie 2009 privind înfiinţarea Oficiului European de Poliţie (Europol), CONSILIUL UNIUNII EUROPENE.
Decizia 2008/633/JAI a Consiliului din 23 iunie 2008 privind accesul la Sistemul de Informaţii privind vizele (VIS) în vederea consultării de către autorităţile desemnate ale statelor membre şi de către Europol în scopul prevenirii, depistării şi cercetării infracţiunilor de terorism şi a altor infracţiuni grave.
Decizie cadru 2008/977/JAI privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală.
Decizia Comisiei din 4 martie 2008 de adoptare a Manualului SIRENE şi a altor dispoziţii de aplicare a Sistemului de Informaţii Schengen din a doua generaţie (SIS II).
Decizia 2007/533/JAI din 27 iunie 2007 privind instituirea, funcţionarea şi utilizarea Sistemului de Informţii Schengen din a doua generaţie.
Decizia 2004/915/CE din 27 decembrie 2004 de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe.
Decizia 2001/497/CE din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE.
CONVENŢII cu impact asupra protecției datelor
Conventie din 19 iunie 1990 de aplicare a acordului de la Schengen din 14 iunie 1985 privind eliminarea graduala a controalelor la frontierele comune, Schengen, 19 iunie 1990.
Convenţie privind înfiinţarea Oficiului European de Poliţie, în temeiul art. K.3 din Tratatul privind Uniunea Europeană (Convenţia Europol).
Covenţia de la Prum – Schengen III
RECOMANDĂRI pentru protecția datelor
Recomandarea 2009/387/CE din 12 mai 2009 privind aplicarea principiilor de respectare a vieţii private şi protecţie a datelor în aplicaţiile bazate pe identificarea prin radiofrecvenţă.
Recomandarea NR. R (87) 15 a comitetului de ministri ai statelor membre ce reglementează utilizarea datelor personale în sectorul poliţienesc.
Lista cu actele normative care reglementează protecţia datelor cu caracter personal în statele membre ale Uniunii Europene poate fi descărcată de pe site-ul autorității.
OPINII GRUPUL DE LUCRU ART. 29
Opinia nr. 1/2014 – Opinion 01/2014 on the application of necessity and proportionality concepts and data protection within the law enforcement sector (Avizul cu privire la aplicarea conceptelor necesității și proporționalității și a protecției datelor în domeniul aplicării legislației).
Opinia nr. 2/2014 – Avizul 02/2014 referitor la un referențial privind cerințele pentru regulile corporatiste obligatorii prezentate autorităților naționale de protecție a datelor din UE și pentru regulile transfrontaliere privind protecția vieții private prezentate agenților APEC cu responsabilități în materie de CBPR.
Opinia nr. 3/2014 – Avizul 03/2014 privind notificarea încălcărilor securității datelor cu caracter personal.
Opinia nr. 4/2014 – Avizul 04/2014 privind supravegherea comunicațiilor electronice în scopul colectării de date operative și al asigurării securității naționale.
Opinia nr. 5/2014 – Opinion 05/2014 on Anonymisation Techniques (Avizul privind tehnicile de anonimizare).
Opinia nr. 6/2014 – Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC (Avizul privind noțiunea de interes legitim aplicabil operatorului sub art. 7 din Directiva 95/46/CE).
Opinia nr. 7/2014 – Opinion 7/2014 on the protection of personal data in Quebec (Avizul privind aplicarea protecției datelor cu caracter personal în Quebec).
Opinia nr. 8/2014 – Opinion 8/2014 on the on Recent Developments on the Internet of Things (Avizul privind dezvoltările recente în domeniul Internetului lucrurilor).
Opinia nr. 9/2014 – Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting (Avizul privind aplicarea Directivei 58/2002/CE dispozitivelor de amprentă).
Ghid de implementare a Deciziei CJUE in cazul Google – (GUIDELINES ON THE IMPLEMENTATION OF THE COURT OF JUSTICE OF THE EUROPEAN UNION JUDGMENT ON “GOOGLE SPAIN AND INC V. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) AND MARIO COSTEJA GONZÁLEZ” C-131/12).
Grupul de lucru 29 își încetează activitatea care este continuată de EDPB (Comitetul European pentru Protecția Datelor) care prin aprobările 1/2018, recunoaște eforturile depuse de predecesorul acesteia și fără a aduce atingere vreunuia din actele mai sus, continuă prin adoptarea de noi acte. Textul poate fi regăsit pe site-ul edpb.europe.eu.
Comitetul European pentru Protecția Datelor (E.D.P.B.) în cadrul primei sale sesiuni plenare a aprobat orientările Grupului de Lucru 29 (WP29) referitoare la RGPD cu privire la:
- Notificări de încălcare a securității datelor cu caracter personal;
- Evaluări ale impactului asupra protecției datelor Prelucrare cu risc ridicat;
- Dreptul la portabilitatea datelor;
- Consimțământ;
- Autoritatea de supraveghere principală;
- Responsabil cu protecția datelor;
- Procesul decizional automatizat și crearea de profiluri;
- Diferitele derogări specifice ale obligației de a realiza evidența prelucrării datelor cu caracter personal (art. 30 alin. 5)
Citește mai multe despre Responsabilul cu protecția datelor, DPO și află ce responsabilităti precum și ce atribuții are acesta conform GDPR.
Totodată, în acești ani de activitate, Comitetul European pentru Protecția Datelor a emis următoarele:
Guidelines 07/2022 on certification as a tool for transfers – Orientări privind certificarea ca un instrument de transfer al datelor.
Guidelines 06/2022 on the practical implementation of amicable settlements – Orientări privind implementarea practică a acordurilor amicale.
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement – Orientări privind folosirea tehnologiilor de recunoaștere facial în domeniul instituțiilor de aplicare a legii.
Guidelines 04/2022 on the calculation of administrative fines under the GDPR – Orientări privind calculul amenzilor administrative sub RGPD.
Iată o listă actualizată constant cu amenzi GDPR din România.
Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them – Modele întunecate în platformele de social media: Cum să le recunoști și să te ferești de acestea.
Guidelines 02/2022 on the application of Article 60 GDPR – Orientări privind aplicarea art. 60 din RGPD.
Guidelines 01/2022 on data subject rights – Right of access – Orientări privind drepturile persoanelor vizate – dreptul de acces.
Citește mai mult despre drepturile persoanelor vizate oferite de GDPR în articolul nostru dedicat.
Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR – Orientări privind prevederile aplicabile – art 3 și Cap. 5 privitoare la transferurile internaționale de date.
Guidelines 04/2021 on Codes of Conduct as tools for transfers – Orientări privind Codurile de Conduită ca și mecanisme de transfer a datelor.
Guidelines 03/2021 on the application of Article 65(1)(a) GDPR – Orientări privind aplicarea art. 61 alin. 1 lit. a.
Orientările 02/2021 privind asistenții vocali virtuali.
Guidelines 01/2021 on Examples regarding Personal Data Breach Notification – Orientări privind exemple de notificări ale breșelor de Securitate în domeniul protecției datelor cu caracter personal.
Gestionarea breșelor de securitate poate fi o adevărată provocare pentru operatorii de date, astfel că vă recomandăm să citiți mai multe despre gestionarea breșelor de securitate GDPR.
Guidelines 10/2020 on restrictions under Article 23 GDPR – Orientări asupra restricțiilor impuse de art. 23.
Orientările 9/2020 privind obiecția relevantă și motivată în temeiul Regulamentului (UE) 2016/679.
Orientările 8/2020 privind direcționarea pentru adresarea de conținut personalizat către utilizatorii platformelor de comunicare socială.
Orientările 07/2020 privind conceptele de operator și persoană împuternicită de operator în cadrul RGPD.
Orientările 06/2020 privind interacțiunea dintre A doua directivă privind serviciile de plată și RGPD.
Orientările 05/2020 privind consimțământul în temeiul Regulamentului 2016/679.
Orientările 4/2020 privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în contextul pandemiei de COVID-19.
Orientările 3/2020 referitoare la prelucrarea datelor privind sănătatea în scopul cercetării științifice în contextul pandemiei de COVID-19.
Orientările nr. 2/2020 referitoare la articolul 46 alineatul (2) litera (a) și articolul 46 alineatul (3) litera (b) din Regulamentul (UE) 2016/679 pentru transferuri de date cu caracter personal între autorități și organisme publice din SEE.
Orientările 1/2020 privind prelucrarea datelor cu caracter personal în contextul vehiculelor conectate și al aplicațiilor de mobilitate.
Orientările 5/2019 cu privire la criteriile dreptului de a fi uitat în cauzele referitoare la motoarele de căutare în temeiul RGPD (partea 1) – version adopted after public consultation.
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default – Orientări privind art. 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit.
Ghidul 3/2019 privind prelucrarea datelor cu caracter personal prin mijloace video.
Orientările 2/2019 privind prelucrarea datelor cu caracter personal în temeiul articolului 6 alineatul (1) litera (b) din RGPD în contextul furnizării de servicii online persoanelor vizate.
Orientările nr. 1/2019 privind codurile de conduită și organismele de monitorizare prevăzute în Regulamentul (UE) 2016/679.
Ghidul 4/2018 privind acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul general privind protecția datelor (2016/679).
Orientările nr. 3/2018 privind domeniul de aplicare teritorial al RGPD (articolul 3) – version adopted after public consultation.
Orientările 2/2018 privind derogările prevăzute la articolul 49 din Regulamentul (UE) 2016/679.
Orientările nr. 1/2018 privind certificarea și identificarea criteriilor de certificare în conformitate cu articolele 42 și 43 din Regulament.
Recomandările nr. 02/2021 privind temeiul juridic pentru stocarea datelor referitoare la cărțile de credit în scopul unic de a facilita alte tranzacții online.
Recomandările 01/2021 cu privire la criteriile de referință privind caracterul adecvat al nivelului de protecție în temeiul Directivei privind protecția datelor în materie de aplicare a legii.
Recomandările 02/2020 privind garanțiile esențiale europene pentru măsurile de supraveghere.
Recomandările 01/2020 privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal.
Recomandarea 01/2019 referitoare la proiectul de listă al Autorității Europene pentru Protecția Datelor privind operațiunile de prelucrare care fac obiectul cerinței de evaluare a impactului asupra protecției datelor.
3. Legislație internă referitoare la protecția datelor:
https://www.dataprotection.ro/?page=legislatie_primara&lang=ro
Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare – Republicare.
Legea nr. 129 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Regulamentul de Organizare şi Funcţionare al ANSPDCP din 11 Noiembrie 2005, cu modificările şi completările ulterioare.
Legea nr. 682 din 28 noiembrie 2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.
Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
Norme metodologice din 20 noiembrie 2002 pentru aplicarea Legii nr. 365/2002 privind comertul electronic.
Legea nr. 146 din 10 iulie 2008 pentru aderarea României la Tratatul dintre Regatul Belgiei, Republica Federală Germania, Regatul Spaniei, Republica Franceză, Marele Ducat de Luxemburg, Regatul Ţărilor de Jos şi Republica Austria privind aprofundarea cooperării transfrontaliere, în special în vederea combaterii terorismului, criminalităţii transfrontaliere şi migraţiei ilegale, semnat la Prum la 27 mai 2005.
LEGE nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date.
Legea nr. 365/2002 privind comerțul electronic.
Decizii A.N.S.P.D.C.P.
Pentru a asigura respectarea acestor norme impuse de legea GDPR, în fiecare stat a fost înființată o Autoritate independentă de supraveghere a prelucrării și protecției datelor. În acest sens, prin intermediul Legii 102 din 3 mai 2005 a luat naștere Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Decizie nr. 184/2014 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal pentru furnizorii de servicii publice de reţele sau servicii de comunicaţii electronice, în conformitate cu Regulamentul (UE) nr. 611/2013 al Comisiei din 24 iunie 2013 privind măsurile aplicabile notificării încălcărilor securităţii datelor cu caracter personal în temeiul Directivei 2002/58/CE a Parlamentului European şi a Consiliului privind confidenţialitatea şi comunicaţiile electronice (publicată în Monitorul Oficial 964 din 30.12.2014).
DECIZIE nr. 99 din 18 mai 2018 privind încetarea aplicabilităţii unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE.
Citește mai multe despre securitatea informației precum și despre cele mai bune practici în materie de securitate cibernetică.
Decizia nr. 133 din 3 iulie 2018 privind aprobarea Procedurii de primire și soluționare a plângerilor.
Decizia nr. 161 din 9 Octombrie 2018 privind aprobarea Procedurii de efectuare a investigațiilor.
Decizia nr. 238 din 18 decembrie 2019 privind modificarea anexei nr. 2 la Procedura de efectuare a investigaţiilor.
Decizia nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal.
Decizia nr. 20 din 24 iunie 2021 privind aprobarea Cerinţelor suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679.
Concluzii
Toate aceste elemente de legislație sprijină într-un fel sau altul protejarea vieții private și a datelor cu caracter personal a persoanelor vizate!
Poate părea un hățiș legislativ acest amalgam de acte normative prezentate mai sus, motiv pentru care, dacă doriți să înțelegeți mai bine felul în care legislația se aplică unei spețe practice care vă privește, ne puteți contacta la contact@gdprcomplet.ro.