Reforma in domeniul protectiei datelor cu caracter personal

Din pacate, nu multi dintre noi realizeaza insa impactul pe care acest lucru il are asupra vietii noastre private. Poate si mai putini stiu ca cei care solicita date cu caracter personal de la persoanele fizice trebuie sa se supuna unor reguli strict reglementate, iar noi, in calitate de persoane vizate avem la randul nostru anumite drepturi care trebuie respectate de persoanele care ne prelucreaza datele.

Ce sunt datele cu caracter personal cum si in ce conditii pot fi prelucrate?

Exemplele de mai sus, alaturi de adresa, telefon, e-mail, formare profesionala (diplome, studii), caracteristici fiziologice, date bancare, imagine, voce (iar lista poate continua) reprezinta date cu caracter personal, adica acele date care pot conduce la identificarea persoanei fizice, fie in mod direct fie indirect, prin referirea la unul sau mai multi factori specifici identitatii fizice, fiziologice, psihice, economice, culturale sau sociale. In plus, anumite categorii de date, cum ar fi convingerile sociale, politice, religioase, datele de sanatate, datele genetice, biometrice, CNP-ul, seria si numarul de buletin/pasaport sunt considerate de lege ca avand un caracter special, prelucrarea lor fiind si mai strict reglementata, respectiv monitorizata.

In Romania, prelucrarea acestor date este reglementata in momentul de fata prin Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (”Legea 677/2001”), iar controlul operatiunilor de prelucrare este exercitat de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (”ANSPSCP”). Persoanele fizice sau juridice de drept public sau privat care le prelucreaza se numesc operatori. Legea permite atat prelucrarea directa a datelor de catre operatori, cat si prin intermediul unui imputernicit, cata vreme operatorul stabileste scopul si mijlocele de prelucrare si se asigura ca imputernicitul actioneaza doar pe baza instructiunilor sale, precum si ca imputernicitul a luat toate masurile tehnice si organizationale pentru a asigura confidentialitatea prelucrarii si a preveni dezvaluirea sau accesul neautorizat.

Prelucrarea datelor cu caracter personal se supune catorva principii esentiale. In primul rand, datele cu caracter personal nu pot fi prelucrate decat cu acordul persoanei, cu cateva exceptii permise de lege (de exemplu in scopuri jurnalistice, literare sau artistice sau cand datele au fost facute publice in mod manifest de catre respectiva persoana). Un al doilea principiu vizeaza proportionalitatea si minimizarea prelucrarii datelor. Astfel, prelucrarea datelor cu caracter personal trebuie subordonata unui scop specific (e.g. resurse umane, marketing, cercetare stiintifica), iar operatorii trebuie sa prelucreze doar acele date care sunt strict necesare pentru realizarea acestui scop. Nu in ultimul rand, persoanele fizice trebuie informate in mod corespunzator despre operatiunile de prelucrare anterior exprimarii consimtamantului in acest sens, cat si despre drepturile pe care acestea le au conform legii, dintre care enumeram dreptul de a se opune la prelucrare, dreptul de acces la date, dreptul de interventie asupra datelor, dreptul de a se opune la prelucrare din motive intemeiate si legitime, precum si dreptul de a se adresa justitiei.

Este nevoie de o schimbare?

In ciuda consecintelor nefaste care pot fi generate in cazul unor prelucrari ilegale, sanctiunile impuse de Legea 677/2001 sunt destul de scazute, variind intre 120 si 12.000 Euro. Cu toate acestea, cel mai probabil situatia nu va ramane in acesti parametri, avand in vedere dezvoltarea fara precedent a internetului si a incalcarilor din ce in ce mai frecvente din ultima perioada de timp a legislatiei de protectie a prelucrarii datelor cu caracter personal. Un exemplu in acest sens este scurgerea de date a aproximativ 75 de milioane de utilizatori cu care s-a confruntat gigantul multimedia Sony in luna aprilie a anului trecut in urma unui atac informatic a retelei PlayStation.Anul 2012 aduce cu el iminenta unor modificari importante in planul legislatiei de protectie a datelor cu caracter personal la nivel european. Viviane Reading, comisarul european pentru justitie si drepturile cetatenilor, a anuntat in data de 6 decembrie 2011 Proiectul noului Regulament european in domeniul protectiei datelor cu caracter personal (numit in continuare ”Regulamentul”). Proiectul, care potrivit estimarilor va deveni lege in aproximativ 2-3 ani, va inlocui Directiva nr. 95/46/EC privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (”Directiva 95/46/EC”), care constituie principalul act normativ in domeniu la nivel european, implementata in Romania prin Legea 677/2001.

De ce un regulament in loc de directiva?

Comisia Europeana a ales sa implementeze noile reguli printr-un regulament european, renuntand astfel la mecanismul directivei actualmente in vigoare. Justificarea rezida in intentia Comisiei de a asigura un nivel maxim de armonizare a legislatiilor statelor membre in domeniul prelucrarii datelor. In planul legislatiei Uniunii Europene (”UE”), aceasta finalitate nu se poate concretiza decat printr-un regulament, ca instrument legislativ european care, spre deosebire de directiva, beneficiaza de aplicabilitate directa in toate statele membre. Asadar, Regulamentul se aplica direct in toate statele UE incepand cu data intrarii sale in vigoare, fara a mai necesita masuri nationale de implementare.

De altfel, discrepantele existente intre legislatiile interne ale statelor membre adoptate pentru a implementa Directiva 95/46/EC au generat o fragmentare a cadrului legislativ european, generand interpretari diferite ale Directivei de la un stat la altul. Aceste considerente au condus Comisia la adoptarea Regulamentului a carui menire este de a crea un cadru legislativ unitar si uniform pe teritoriul UE.

Cu toate acestea, Regulamentul aduce modificari semnificative fata de cadrul legislativ in vigoare. Astfel, Regulamentul prevede reducerea cerintelor birocratice si a procedurile de autorizare, insa pe de alta parte operatorii vor trebui sa recurga la masuri suplimentare pentru a sigura conformitatea operatiunilor de prelucrare cu legislatia.

Wall-Street.ro va publica a doua parte a articolului, cu detalii despre ce aduce nou Regulamentul.

Articolul este scris de Cosmina Simion (foto jos), Senior Associate DLA Piper Romania, si Laura Leanca (foto sus), Junior Associate DLA Piper Romania.