4. Ce aduce nou Regulamentul?

4.1 Largirea sferei de aplicare din punct de vedere teritorial

In prezent, Directiva 95/46/EC se aplica cata vreme operatorul si/sau echipamentul folosit de pentru a procesa datele se afla pe teritoriul unui stat membru. In schimb, noul Regulament işi va gasi aplicabilitatea ori de cate ori operatiunea de prelucrare a datelor cu caracter personal este legata de oferirea de bunuri si servicii persoanelor (”Persoanelor Vizate”) domiciliate in UE, sau care are drept scop monitorizarea comportamentului acestor persoane. Conform Regulamentului, pentru a determina daca o activitate ”monitorizeaza comportamentul”, trebuie analizat daca Persoanele Vizate sunt urmarite pe internet prin intermediul tehnicilor care permit crearea unui ”profil” al individului, in special pentru a lua o decizie in legatura cu acesta sau pentru a analiza sau a-i prezice preferintele sau atitudinile. .
In ciuda acestor explicatii, sintagma ramane destul de neclara, fiind susceptibila de a genera dificultati in practica. Mai exact, prevederea va genera un impact considerabil asupra tuturor website-urilor straine adresate in parte Persoanelor Vizate domiciliate in UE. Astfel, sfera operatorilor care vor trebui sa se supuna normelor europene va fi marita in mod considerabil.
Mai mult, operatorul strain care intra sub incidenta acestor prevederi are obligatia de a-si desemna un reprezentant aflat pe teritoriul UE care sa actioneze in numele sau şi sa raspunda in fata autoritatii europene competente de supraveghere a prelucrarii datelor cu caracter personal (”Autoritatea”).

4.2 Clarificarea unor notiuni şi extinderea domeniului de aplicare a cadrului legal

Un aspect benenfic al Regulamentului care speram ca va aduce mai multa claritate il constituie introducerea unui numar de definitii noi pentru notiuni cum ar fi "incalcare a datelor cu caracter personal", "date genetice", "date referitoare la sanatate", "locul de stabilire principal", "reprezentant", "grup de intreprinderi", "reguli corporatiste obligatorii" ("binding corporate rules") şi "copil".

De asemenea, Regulamentul modifica şi definitiile existente. Spre exemplu, definitia "Persoanei Vizate" se refera in Regulament in mod explicit la "identificatorii online" (cum ar fi adrese IP sau cookie-uri) ca factori care pot implica direct sau indirect identificarea acesteia. Pana la aceasta data, calificarea identificatorilor online ca date cu caracter personal era obiectul unor controverse.

4.3 Obtinerea mai dificila a consimtamantului

Regulamentul pare sa rezolve divergentele aparute intre legislatiile statelor membre in legatura cu necesitatea obtinerii unui consimtamant explicit din partea Persoanei Vizate. Printr-o definitie a consimtamantului care stabileste in mod clar necesitatea exprimarii sale in mod explicit, Regulamentul pune sub semnul intrebarii validitatea consimtamantului implicit, statuand ca tacerea sau inactivitatea nu constituie consimtamant. Mai mult, conform Regulamentului, operatorul are sarcina de a proba obtinerea consimtamantului de la Persoana Vizata.
Pe de alta parte, conform Regulamentului, consimtamantul poate fi oferit prin intermediul oricarui mijloc care sa permita indicarea in mod liber, exact şi precis a dorintelor Persoanei Vizate, cata vreme acesta se bazeaza pe o actiune afirmativa din partea acesteia. O astfel de actiune poate fi bifarea unei casute o data cu vizitarea unui website, o declaratie sau un comportament care indica fara echivoc acceptarea de catre Persoana Vizata a operatiunilor de prelucrare a datelor sale cu caracter personal.

O importanta deosebita pentru angajati o reprezinta faptul ca, potrivit Regulamentului, consimtamantul nu mai poate reprezenta de unul singur temeiul procesarii datelor de catre angajator in scopul indeplinirii obligatiilor şi exercitarii drepturilor conform dreptului muncii, sau in situatia in care exista un dezechilibru semnificativ de puteri cauzat de dependenta dintre angajat si angajator.
De aceea, consideram ca angajatorii vor trebui sa reanalizeze modul in care abordeaza conformitatea cu legislatia protectiei datelor. O alta problema decurge din faptul ca Regulamentul, odata intrat in vigoare va produce efecte doar asupra statelor UE. In consecinta, refuzul de a recunoaşte validitatea consimtamantului angajatilor ar genera destul de multe complicatii pentru companiile multi-nationale care nu se supun doar reglementarilor europene, ci si celor din afara UE, conform carora consimtamantul este considerat suficient.

4.4 Noi drepturi pentru Persoanele Vizate, corelative unor noi obligatii pentru operatorii de date

Regulamentul introduce un numar de concepte inovative care extind in mod semnificativ atat drepturile Persoanelor Vizate cat şi obligatiile operatorilor de date.

• Dreptul de a fi uitat - Este unul din cele mai controversate prevederi din noua reglementare. Persoanele Vizate vor fi indreptatite sa solicite operatorilor sa le ştearga datele personale o data cu retragerea consimtamantului pentru procesare sau cand Persoanele Vizate obiecteaza la procesarea datelor. Regulamentul subliniaza relevanta acestui nou drept cu precadere in ceea ce ii priveşte pe minori.

• Evaluarea impactului asupra vietii private - Operatorii sau persoanele lor imputernicite vor trebui sa desfaşoare o evaluare de impact inainte de a efectua operatiuni de procesare care sunt susceptibile de a prezenta riscuri speciale.

• Respectul confidentialitatii prin design si ca masura prestabilita (Privacy by design and by default)- Operatorul trebuie sa implementeze masuri tehnice şi organizationale corespunzatoare, atat inainte cat şi in timpul procesarii, pentru ca procesarea sa fie conforma cu cerintele Regulamentului in vederea asigurarii respectului drepturilor Persoanelor Vizate. In plus, operatorul va trebui sa implementeze mecanisme care sa asigure, in mod prestabilit, ca numai datele cu caracter personal necesare pentru fiecare scop specific de prelucrare vor fi efectiv prelucrate, respectiv ca aceste date nu vor fi colectate sau retinute mai mult de perioada minima necesara pentru aceste scopuri.

• Portabilitatea datelor - Persoanele Vizate vor beneficia de un nou drept, şi anume de a obtine o copie a datelor intr-un "format structurat utilizat in mod obişnuit", precum şi de a transfera datele dintr-un sistem automat de procesare (cum ar fi o retea sociala) catre altul, fara a putea fi impiedicate de catre operator.

4.5 Armonizare in vederea simplificarii conformitatii

Regulamentul contine cateva schimbari menite sa faciliteze obstacolele intampinate de catre operatori in procesul de asigurare a conformitatii cu principiile protectiei datelor.

• O singura autoritate responsabila - Regulamentul contine importante prevederi de tipul "one stop shop" care vor avea un impact major asupra organizatiilor internationale avand operatiuni pe teritoriul mai multor state membre UE. Astfel, spre deosebire de sistemul actual conform caruia operatiunile de prelucrare sunt supuse controlului Autoritatii din statul pe teritoriul caruia au loc operatiunile de prelucrare (in Romania ANSPDCP), o data cu Regulamentul, va exista o singura Autoritate care va controla operatiunile operatorului de pe teritoriul UE. Conform Regulamentului, aceasta Autoritate responsabila este cea din locul in care operatorul işi are sediul principal.

In consecinta, operatiunile din Marea Britanie ale unei afaceri pan-europene vor putea fi controlate de catre Autoritatile din Spania, Germania sau Franta, in functie de locul unde se afla sediul principal. Astfel, pentru multi operatori acest mecanism ar trebui sa ofere un grad mai ridicat de armonizare. Data fiind existenta unui act unic de reglementare la nivel european, speram sa nu mai apara abordari diferite in ceea ce priveste punerea in executare de catre Autoritatile de supraveghere din statele membre UE.

• Transferuri internationale - Regulamentul contine o modificare substantiala fata de prezentul cadru reglementar, care ar permite operatorilor sa realizeze anumite transferuri de date in afara Spatiului Economic European cand un astfel de transfer este in interesul legitim al operatorului sau persoanei imputernicite de acesta. Aceasta posibilitate va ramane numai in cazul in care transferul nu este "frecvent, masiv sau structural", fiind in acelasi timp benefic afacerii pe plan international.

Citeste si:

Mai mult, Regulamentul accepta regulile corporatiste obligatorii (”binding corporate rules”). Asadar se pare ca Regulamentul va pune capat practicii Autoritatilor de a refuza autorizarea transferului international de date pe baza acestor reguli.

De asemenea, Regulamentul accepta posibilitatea formularii unor clauze standard de transfer dincolo de clauzele model impuse de Comisia Europeana. Similar cu Directiva 95/46/EC, Comisia detine in continuare prerogative flexibile in a determina daca jurisdictiile din afara UE catre care se realizeaza acest transfer de date prezinta un nivel adecvat de protectie in domeniul prelucrarii datelor cu caracter personal, prin raportare la standardul europeana.

4.6 Noi obligatii pentru operatori şi persoanele imputernicite

O data cu intrarea in vigoare a Regulamentului, majoritatea obligatiilor care sunt in prezent impuse de Directiva 95/46/EC operatorilor vor fi impuse şi imputernicitilor acestora. Astfel, responsabilitatea fata de Persoana Vizata incumba ambelor entitati si nu doar operatorului, cum este cazul in prezent. Aceasta va ridica probleme pentru furnizorii de servicii si pentru entitatile de outsourcing, care cel mai probabil vor reanaliza abordarea standard in ceea ce priveste alocarea raspunderii in contractele de outsourcing.

In plus, Regulamentul introduce o serie de noi obligatii:

• Documentatie - Una din problemele esentiale ale legislatiei actuale in domeniul protectiei datelor se refera la obligatia administrativa a operatorilor de a inregistra toate operatiunile de prelucrare a datelor la autoritatile locale de supraveghere. Regulamentul inlocuieşte aceasta cerinta cu obligatia pentru operatori şi imputerniciti de a mentine o documentatie extensiva prin care sa poata demonstra ca operatiunile de prelucrare sunt conforme cu normele legale.

• Persoana responsabila cu prelucrarea datelor cu caracter personal - Pentru operatiunile de prelucrare desfaşurate de entitati din sectorul public sau de catre o entitate mare din sectorul privat (i.e. peste 250 de angajati), sau cand activitatile de baza ale operatorului sau imputernicitului constau in operatiuni de prelucrare care necesita monitorizare regulata şi sistematica, este necesara numirea unei persoane independente care sa monitorizeze in ce masura operatiunile de prelucrare respecta politica de prelucrare a datelor şi Regulamentul.

• Notificare a incalcarilor masurilor de securitate - Regulamentul impune o obligatie foarte larga de notificare a incalcarilor masurilor de securitate in termen de 24 de ore atat catre Persoanele Vizate cat şi catre Autoritatea de supraveghere. Aceasta notificare vizeaza distrugerea accidentala sau nelegala, pierderea, alterarea, divulgarea sau accesul neautorizat la datele cu caracter personal. Spre deosebire de regulile actualmente in vigoare referitoare la notificarea incalcarilor masurilor de securitate, notificarea impusa de Propunere este necesara indiferent de riscul crearii vreunui prejudiciu Persoanelor Vizate. Cu toate acestea, cerinta de a notifica Persoanele Vizate implica producerea unui prejudiciu acestora şi nu se aplica atunci cand operatorul poate demonstra ca toate datele au fost criptate sau redate in mod neinteligibil in vreun alt mod.

• Contract intre operatorii care proceseaza date in comun - Acestia vor trebui sa semneze un contract prin care işi vor aloca raspunderea. In lipsa unui astfel de contract, operatorii vor raspunde in mod solidar pentru toate operatiunile de procesare.

• Cereri din partea Persoanelor Vizate - In cazul in care Persoana Vizata introduce o cerere in vederea exercitarii drepturilor sale, operatorul este obligat sa raspunda unei asemenea cereri intr-un interval de timp fixat. Chiar şi in cazul in care operatorul nu se conformeaza cu solicitarea, acesta trebuie totuşi sa formuleze un raspuns Persoanei Vizate, oferind argumente.

4.7 Punerea in executare si sanctiuni

Pentru asigurarea punerii in executare a Regulamentului si pentru a creste eficienta sa, au fost aduse modificari importante la nivelul sanctiunilor. Astfel, Autoritatile de supraveghere din fiecare stat membru vor putea sa aplice amenzi pana la 1 milion de euro, sau in cazul corporatiilor, pana la 2% din cifra de afaceri globala anuala pentru o gama larga de incalcari ale Regulamentului comise cu intentie sau din culpa. Mai exact o incalcare in domeniul protectiei datelor cu caracter personal savarsita intr-un stat membru va putea fi sanctionata cu o amenda cu impact asupra intregii activitati a unei entitati multinationale (fie ca vorbim de activitatea desfasurata pe teritoriul UE sau in afara ei in SUA sau China).

5. Concluzii

Poate nu foarte atractiv, dar cu siguranta de o importanta aparte si in continua crestere, data fiind viteza cu care informatia circula in zilele noastre in toate mediile de comunicare, in mod special in asa-zisa ”new media”, domeniul protectiei datelor cu caracter personal poate genera multe complicatii.

In ciuda eforturilor legislative de pe plan european, implementarea lor va genera in practica multe intrebari fara raspuns. Cu toate acestea, ramane certitudinea faptului ca orice activitate de prelucrare a datelor cu caracter personal trebuie folosita in favoarea si nu in detrimentul Persoanei Vizate. Toti jucatorii angrenati in acest sistem trebuie sa fie educati in protectia datelor cu caracter personal pentru a fi in masura sa inteleaga si sa acorde protectia cuvenita identitatii fiecarui individ, parte a celulei de baza a societatii. Fara a ne opune progresului, in era in care vorbim de retele de socializare si cloud-computing, acestea ar trebui sa ne redefineasca mai degraba decat sa ne dilueze esenta.
Fara a ne pierde pragmatismul, recomandam operatorilor sa se informeze corect si daca e nevoie sa ceara ajutorul specialistilor in domeniu pentru a adopta din timp masurile necesare si a nu fi luati prin surprindere de noua reglementare. In acelasi timp, recomandam persoanelor individuale sa fie mai atente si mai circumspecte inainte de a furniza orice data cu caracter personal, indiferent de context sau suport.

Articolul este scris de Cosmina Simion (foto jos), Senior Associate DLA Piper Romania, si Laura Leanca (foto sus), Junior Associate DLA Piper Romania.