Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile UE

 

SINTEZĂ PRIVIND:

Regulamentul (UE) 2018/1725 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile UE și privind libera circulație a acestor date

CARE ESTE ROLUL ACESTUI REGULAMENT?

Regulamentul:

• stabilește norme privind modul în care instituțiile, organele, oficiile și agențiile UE ar trebui să trateze datele cu caracter personal* pe care le dețin cu privire la persoanele fizice;
• susține drepturile și libertățile fundamentale ale unei persoane fizice, în special dreptul la protecția datelor cu caracter personal și dreptul la viață privată;
• aliniază normele instituțiilor, ale organelor, ale oficiilor și ale agențiilor UE la cele cuprinse în Regulamentul general privind protecția datelor (RGPD) și în Directiva (UE) 2016/680, cunoscută ca Directiva privind protecția datelor în materie de asigurare a respectării legii, ambele în vigoare din mai 2018;
• abrogă Regulamentul (CE) nr. 45/2001, care a conținut anterior normele privind prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile UE, și asigură respectarea de către acestea a standardelor stricte stabilite în RGPD;
• abrogă Decizia nr. 1247/2002/CE privind Autoritatea Europeană pentru Protecția Datelor (AEPD).

ASPECTE-CHEIE

Datele cu caracter personal trebuie să fie:

• prelucrate în mod legal, echitabil și transparent;
• colectate în scopuri specifice, explicite și legitime;
• adecvate, relevante și limitate la ceea ce este necesar;
• exacte și, dacă este necesar, actualizate;
• păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară;
• prelucrate cu un grad adecvat de confidențialitate.

Operatorul* este responsabil de respectarea tuturor principiilor sus-menționate privind prelucrarea datelor și trebuie să poată demonstra acest lucru.

În plus, datele cu caracter personal:

• pot fi transmise unui destinatar din UE care nu este instituție, organ, oficiu sau agenție a UE numai cu condiția unor garanții suplimentare;
• pot fi transferate în afara UE numai în condiții stricte;
• care dezvăluie originea rasială sau etnică a unei persoane, opiniile politice, convingerile religioase sau filozofice, apartenența la sindicate, precum și prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea sau a datelor privind viața sexuală sau orientarea sexuală a unei persoane fizice nu trebuie să fi prelucrate decât în circumstanțe speciale;
• necesită garanții adecvate dacă sunt arhivate în interes public sau în scopuri științifice, istorice sau statistice.

Solicitările consimțământului unei persoane fizice privind utilizarea datelor sale trebuie să fie într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Consimțământul trebuie să fie o acțiune pozitivă fără echivoc a persoanei respective.

Persoanele fizice (denumite „persoane vizate” în legislație) au dreptul:

• să își retragă consimțământul în orice moment, retragerea trebuind să se poată face la fel de simplu ca acordarea consimțământului;
• să știe dacă datele lor cu caracter personal sunt prelucrate sau nu și să aibă acces la acestea;
• să obțină corectarea eventualelor date cu caracter personal inexacte;
• să elimine sau să restricționeze orice date cu caracter personal în ceea ce privește prelucrarea, cu condiția respectării anumitor condiții;
• să primească datele lor cu caracter personal furnizate operatorului într-un format structurat, utilizat în mod obișnuit și prelucrabil automat și să le transmită unui alt operator;
• să se opună utilizării datelor lor personale în scopuri de interes public, din cauza situației lor particulare;
• să nu facă obiectul unei decizii bazate exclusiv pe prelucrarea automată care produce efecte juridice pentru acestea;
• să depună plângeri la AEPD în cazul în care consideră că datele lor cu caracter personal sunt prelucrate într-un mod care încalcă regulamentul;
• să fie despăgubite pentru eventuale prejudicii materiale sau morale pe care le suferă din cauza acțiunilor unei instituții, a unui organ, a unui oficiu sau a unei agenții a UE;
• să mandateze o organizație fără scop lucrativ să depună o plângere la AEPD.

Operatorii:

• trebuie să informeze persoanele vizate, într-un limbaj simplu și cu informații factuale, precum datele de contact ale operatorului de date și scopul prelucrării datelor cu caracter personal, atunci când se colectează astfel de date;
• trebuie să răspundă oricăror solicitări din partea persoanelor vizate, cum ar fi solicitările privind accesarea sau corectarea datelor cu caracter personal ale acestora, de îndată ce este posibil și în cel mult o lună;
• aplică măsuri tehnice și organizatorice adecvate, inclusiv pseudonimizarea*, pentru a se asigura că prelucrarea datelor cu caracter personal respectă regulamentul;
• trebuie să utilizeze numai serviciile unor persoane împuternicite de operatori care întrunesc cerințele UE;
• păstrează o evidență detaliată a prelucrării datelor efectuate sub responsabilitatea lor;
• cooperează cu AEPD;
• notifică AEPD și, în unele cazuri, persoana vizată în cel mai scurt timp posibil cu privire la orice încălcare a securității datelor cu caracter personal;
• efectuează o evaluare a impactului asupra protecției datelor pentru anumite prelucrări de date cu caracter personal care prezintă un risc ridicat;
• asigură confidențialitatea și securitatea propriilor rețele de comunicații electronice;
• informează AEPD când iau măsuri administrative sau stabilesc norme interne privind prelucrarea datelor cu caracter personal.

Actul legislativ instituie AEPD, având un mandat de cinci ani, care poate fi reînnoit o singură dată. Având sediul la Bruxelles, titularul postului:

• acționează în deplină independență;
• respectă secretul profesional în privința tuturor informațiilor confidențiale;
• monitorizează aplicarea legislației de către instituțiile, organele, oficiile și agențiile UE;
• promovează înțelegerea și conștientizarea de către public a prelucrării datelor cu caracter personal;
• tratează plângerile și desfășoară investigații;
• avertizează și sancționează operatorii de date;
• sesizează Curtea de Justiție, care tratează eventualele litigii privind legislația;
• transmite un raport anual Parlamentului European, Consiliului și Comisiei Europene;
• cooperează cu autoritățile naționale de supraveghere a protecției datelor.

Regulamentul de procedură al AEPD

O decizie din 15 mai 2020 adoptă regulamentul de procedură al AEPD. Aceasta stabilește în detaliu:

• misiunea, principiile directoare și organizarea AEPD;
• cum va monitoriza și va asigura autoritatea aplicarea regulamentului;
• procedurile privind consultarea legislativă, monitorizarea tehnologică, proiectele de cercetare și acțiunile în instanță; și
• procedurile pentru cooperarea cu autoritățile naționale de supraveghere și cooperarea internațională.

Norme speciale pentru organismele, oficiile și agențiile UE

Se aplică norme speciale pentru organismele, oficiile și agențiile UE care prelucrează date operaționale cu caracter personal* în scopul aplicării legii (de exemplu, Eurojust). Acestea sunt tratate într-un capitol special al regulamentului. Normele din acest capitol sunt aliniate la Directiva privind protecția datelor în materie de asigurare a respectării legii. În plus, în actele constitutive ale acestor organe, oficii și agenții se pot prevedea norme mai specifice pentru a ține cont de caracteristicile particulare ale acestora.

Prelucrarea datelor operaționale cu caracter personal de către Europol și Parchetul European este exclusă din domeniul de aplicare a regulamentului și este reglementată în schimb de dispoziții specifice din actele juridice care le instituie. Cu toate acestea, prelucrarea administrativă a datelor cu caracter personal (de exemplu, pentru gestionarea personalului) face obiectul regulamentului.

Responsabilii cu protecția datelor

Operatorii desemnează și un responsabil cu protecția datelor pentru un mandat de trei până la cinci ani, pentru:

• a oferi recomandări independente privind prelucrarea datelor cu caracter personal;
• a monitoriza conformitatea cu normele de protecție a datelor.

Rapoarte

Comisia Europeană trebuie să prezinte primul său raport privind aplicarea regulamentului până la 30 aprilie 2022.

DE CÂND SE APLICĂ REGULAMENTUL?

Se aplică de la 11 decembrie 2018, cu excepția dispozițiilor referitoare la prelucrarea datelor cu caracter personal de către Eurojust, care se aplică de la 12 decembrie 2019.

CONTEXT

Articolul 8 din Carta drepturilor fundamentale prevede dreptul fiecărei persoane la protecția datelor cu caracter personal. Articolul 16 din Tratatul privind funcționarea UE dezvoltă în continuare dreptul respectiv. Acest articol reprezintă temeiul juridic pentru orice act legislativ al UE privind protecția datelor.

Pentru informații suplimentare, consultați:

• Protecția datelor în UE (Comisia Europeană).

TERMENI-CHEIE

DOCUMENTUL PRINCIPAL

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, pp. 39-98).

DOCUMENTE CONEXE

Decizia (UE) 2020/969 a Comisiei din 3 iulie 2020 de stabilire a normelor de aplicare privind responsabilul cu protecția datelor, restricțiile privind drepturile persoanelor vizate și aplicarea Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului și de abrogare a Deciziei 2008/597/CE a Comisiei (JO L 213, 6.7.2020, pp. 12-22).

Decizia Autorității Europene pentru Protecția Datelor din 15 mai 2020 de adoptare a Regulamentului de procedură al AEPD (JO L 204, 26.6.2020, pp. 49-59).

Decizia Autorității Europene pentru Protecția Datelor (AEPD) din 2 aprilie 2019 privind normele interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul activităților desfășurate de Autoritatea Europeană pentru Protecția Datelor (JO L 99I, 10.4.2019, pp. 1-7).

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, pp. 1-88).

Modificările succesive aduse Regulamentului (UE) 2016/679 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, pp. 89-131).

A se vedea versiunea consolidată.

Data ultimei actualizări: 14.01.2022