Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental al acestora, iar prelucrarea acestor date, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, trebuie să respecte drepturile și libertățile fundamentale ale acestora. Astfel, prin art. 8 alin. (1) şi (2) din Carta drepturilor fundamentale a Uniunii Europene se prevede că, orice persoană are dreptul la protecția datelor cu caracter personal care o privesc, iar asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea cestora.
Totodată, prin art. 16 alin. (1) din Tratatul privind funcționarea Uniunii Europene se dispune că, orice persoană are dreptul la protecția datelor cu caracter personal care o privesc, iar Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, stabilesc normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare a dreptului Uniunii, precum și normele privind libera circulație a acestor date. Respectarea acestor norme face obiectul controlului unor autorități independente.
Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale.
Normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal, fac obiectul de reglementare al Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE care a fost adoptat de Parlamentul European şi Consiliu în data de 27 aprilie 2016, direct aplicabile în toate statele membre ale Uniunii începând cu data de 25 mai 2018, denumit în continuare Regulamentul General privind Protecția Datelor (RGPD).
RGPD impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE a Parlamentulului European şi Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și, implicit, prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare.
RGPD pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal, stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line, consolidează drepturile garantate persoanelor vizate și introduce noi drepturi (dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării), introduce sancţiuni severe, până la 10 000 000 EUR – 20 000 000 EUR sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.
Menționăm că, potrivit RGPD fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.
Pentru a se evita aceste sancțiuni, operatorii care operează cu date cu caracter personal și dețin baze de date cu informații sensibile, vor trebui să ia măsuri sporite de securitate.
Un element de noutate pe care RGPD îl aduce în protecția datelor cu caracter personal îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor, a cărui activitate vizează efectuarea de evaluări de impact a riscurilor și de notificare a încălcărilor de securitate.
Noţiunea „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”), respectiv o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Totodată, menționăm că, noțiunea de „persoană împuternicită de operator” reprezintă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
În definirea noţiunii “instituţii publice” reţinem definiţia de la art. 2 pct. 30 din Legea nr.
500/2002 privind finanţele publice, cu modificările şi completările ulterioare, în sensul că,
“30. instituţii publice – denumire generică ce include Parlamentul, Administraţia Prezidenţi- ală, ministerele, celelalte organe de specialitate ale administraţiei publice, alte autorităţi publice, in- stituţiile publice autonome, precum şi instituţiile din subordinea/coordonarea acestora, …”
Totodată, potrivit art. 2 alin. (1) pct. 39 din Legea nr. 273/2006 privind finanţele publice locale, cu modificările şi completările ulterioare, expresia “instituţii publice locale” reprezintă denumirea generică, incluzând comunele, oraşele, municipiile, sectoarele municipiului Bucureşti, judeţele, municipiul Bucureşti, instituţiile şi serviciile publice din subordinea acestora, cu personalitate juridică, indiferent de modul de finanţare a activităţii acestora;
Față de aceste definiții ale noțiunii de instituție publică, în tot cuprinsul prezentei, referirile la noțiunea de operator se vor înțelege ca fiind cele referitoare la instituții publice, autorități publice și organisme publice.
De asemenea, referitor la noțiunea de „întreprindere” menționăm că, aceasta înseamnă o persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică.
Astfel, putem defini prelucrarea datelor cu caracter personal ca reprezentând orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
Aşa cum se dispune prin art. 2 alin. (1) din RGPD, acesta se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
În conformitate cu alin. (2) al art. 2 din acelaşi regulament, acesta nu se aplică prelucrării datelor cu caracter personal în următoarele situaţii:
- în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
- de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;
- de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
- de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
De asemenea, RGPD nu se aplică datelor cu caracter personal referitoare la persoane decedate, iar statele membre pot să prevadă norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.
Menționăm că, autoritățile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligație legală în vederea exercitării funcției lor oficiale, cum ar fi autoritățile fiscale și vamale, unitățile de investigare financiară, autoritățile administrative independente sau autoritățile piețelor financiare responsabile de reglementarea și supravegherea piețelor titlurilor de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritățile publice se formulează în scris, motivate și nu trebuie să se refere la un sistem de evidență în totalitate sau să conducă la interconectarea sistemelor de evidență. Prelucrarea datelor cu caracter personal de către autoritățile publice respective trebuie să respecte normele aplicabile în materie de protecție a datelor în conformitate cu scopurile prelucrării.
Referitor la aplicarea în timp a RGPD, facem următoarele precizări:
- dispoziţiile RGPD se aplică plângerilor şi sesizărilor depuse şi înregistrate la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal începând cu data aplicării acestuia, precum şi celor depuse mai înainte de 25 mai 2018 şi aflate în curs de soluţionare;investigaţiile efectuate pentru soluţionarea acestora şi investigaţiile din oficiu, începute anterior datei de 25 mai 2018 şi nefinalizate la această dată, sunt supuse dispoziţiilor aceluiaşi regulament;
- constatarea faptelor şi aplicarea măsurilor corective, inclusiv a sancţiunilor contravenţionale, după data de 25 mai 2018, se realizează în conformitate cu prevederile RGPD și ale dispozițiilor legale specifice;
- în cazul în care RGPD şi dispoziţiile legale de punere în aplicare a acestuia prevăd o sancţiune mai gravă, contravenţia săvârşită anterior datei de 25 mai 2018 va fi sancţionată conform dispoziţiilor actelor normative în vigoare la data săvârşirii acesteia. În situaţiile în care, potrivit RGPD şi dispoziţiilor legale de punere în aplicare a acestuia, fapta nu mai este considerată contravenţie, aceasta nu se mai sancţionează, chiar dacă a fost săvârşită înainte de data de 25 mai 2018;
- procesele aflate în curs de judecată la data de 25 mai 2018 rămân supuse legii aplicabile la data începerii acestora.