COMISIA EUROPEANĂ

Bruxelles, 29.5.2019

COM(2019) 250 final

COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU EMPTY

Orientări referitoare la Regulamentul privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană

Cuprins

1    Introducere    

Scopul prezentelor orientări    

2    Interacțiunea dintre Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor – seturile de date mixte    

2.1    Conceptul de date fără caracter personal în Regulamentul privind libera circulație a datelor fără caracter personal    

Date cu caracter personal    

Date fără caracter personal    

2.2    Seturi de date mixte    

3    Libera circulație a datelor și eliminarea cerințelor de localizare a datelor    

3.1    Libera circulație a datelor fără caracter personal    

3.2    Libera circulație a datelor cu caracter personal    

3.3    Domeniul de aplicare al Regulamentului privind libera circulație a datelor fără caracter personal    

3.4    Activități legate de organizarea internă a statelor membre    

4    Abordări de autoreglementare care susțin libera circulație a datelor    

4.1    Portarea datelor și schimbarea furnizorilor de servicii de cloud    

Noțiunea de portabilitate și interacțiunea cu Regulamentul general privind protecția datelor    

4.2    Coduri de conduită și sisteme de certificare privind protecția datelor cu caracter personal    

4.3    Consolidarea încrederii în prelucrarea datelor la nivel transfrontalier – certificarea securității    

Observații finale    

Prezentul document a fost elaborat de Comisia Europeană numai în scop informativ. Acesta nu conține nicio interpretare cu valoare de autoritate a Regulamentului (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană și nu constituie o decizie sau o poziție a Comisiei Europene. Documentul nu aduce atingere niciunei astfel de decizii sau poziții a Comisiei Europene și nici competențelor Curții de Justiție a Uniunii Europene de a interpreta regulamentul în conformitate cu tratatele UE.

1    Introducere

Într-o economie bazată din ce în ce mai mult pe date, fluxurile de date se află în centrul proceselor de afaceri ale societăților de toate dimensiunile și din toate sectoarele. Noile tehnologii digitale creează oportunități noi pentru publicul larg, întreprinderile și administrațiile publice din Uniunea Europeană („UE”).

Pentru a spori și mai mult schimbul transfrontalier de date și pentru a stimula economia datelor, în noiembrie 2018, Parlamentul European și Consiliul au adoptat Regulamentul (UE) 2018/1807 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană 1 („Regulamentul privind libera circulație a datelor fără caracter personal”), pe baza unei propuneri din partea Comisiei Europene („Comisia”). Regulamentul se aplică de la 28 mai 2019. Principiul liberei circulații a datelor cu caracter personal este deja prevăzut în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul general privind protecția datelor”) 2 . Prin urmare, există în prezent un cadru cuprinzător privind un spațiu european comun al datelor și libera circulație a tuturor datelor în Uniunea Europeană 3 .

Regulamentul privind libera circulație a datelor fără caracter personal creează securitatea juridică necesară pentru ca întreprinderile să-și prelucreze datele oriunde doresc în UE, crește încrederea în serviciile de prelucrare a datelor și combate practicile privind dependența de furnizor. Acest lucru va spori posibilitățile de alegere ale clienților, va îmbunătăți eficiența și va stimula adoptarea tehnologiilor de tip cloud, ceea ce va conduce la economii semnificative pentru întreprinderile din UE. Un studiu arată că întreprinderile din UE pot economisi 20‑50 % din costurile lor informatice prin migrarea către tehnologiile de tip cloud 4 .

Datorită celor două regulamente, datele pot circula liber între statele membre, permițând utilizatorilor de servicii de prelucrare a datelor să utilizeze datele colectate pe diferite piețe din UE pentru a-și îmbunătăți productivitatea și competitivitatea. Prin urmare, utilizatorii pot beneficia pe deplin de economiile de scară oferite de importanta piață a UE, îmbunătățindu-și competitivitatea la nivel mondial și sporind interconectivitatea economiei europene a datelor.

Regulamentul privind libera circulație a datelor fără caracter personal are trei caracteristici importante:

·ca regulă generală, interzice statelor membre să impună cerințe cu privire la localizarea datelor. Excepțiile de la această regulă pot fi justificate numai din motive de siguranță publică în conformitate cu principiul proporționalității;

·instituie un mecanism de cooperare pentru a se asigura că autoritățile competente își pot exercita în continuare toate drepturile de care dispun în ceea ce privește accesarea datelor care sunt prelucrate în alt stat membru;

·prevede stimulente pentru ca industria să elaboreze, cu sprijinul Comisiei, coduri de conduită de autoreglementare privind schimbarea furnizorilor de servicii și portarea datelor. 

Scopul prezentelor orientări

Prezentele orientări sunt conforme cu articolul 8 alineatul (3) din Regulamentul privind libera circulație a datelor fără caracter personal, care prevede obligația Comisiei de a publica orientări privind interacțiunea dintre acest regulament și Regulamentul general privind protecția datelor, „în special în ce privește seturile de date compuse din date cu caracter personal și date fără caracter personal”.

Prezentele orientări își propun să ajute utilizatorii – în special întreprinderile mici și mijlocii – să înțeleagă interacțiunea dintre Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor 5 . Prin urmare, orientările abordează în special: (i) conceptele de date fără caracter personal și de date cu caracter personal; (ii) principiile liberei circulații a datelor și interzicerii cerințelor de localizare a datelor în temeiul ambelor regulamente și (iii) noțiunea de portabilitate a datelor în temeiul Regulamentului privind libera circulație a datelor fără caracter personal. Acestea vizează, de asemenea, cerințele de autoreglementare prevăzute în cele două regulamente.

Regulamentul privind libera circulație a datelor fără caracter personal vizează doar „datele, altele decât datele cu caracter personal”, astfel cum sunt definite în Regulamentul general privind protecția datelor. Regulamentul general privind protecția datelor reglementează prelucrarea datelor cu caracter personal, care reprezintă o parte esențială a cadrului UE privind protecția datelor 6 . Acesta a intrat în vigoare în statele membre la 25 mai 2018. Regulamentul stabilește norme armonizate de protecție a persoanelor din UE/SEE în ceea ce privește prelucrarea datelor lor cu caracter personal și libera circulație a acestor date. Regulamentul general privind protecția datelor: (i) specifică informațiile care constituie date cu caracter personal; (ii) stabilește temeiul juridic pentru prelucrarea acestora și (iii) definește drepturile și obligațiile care trebuie respectate la prelucrarea acestor date 7 , printre alte dispoziții. În ceea ce privește principiul liberei circulații a datelor cu caracter personal, articolul 1 alineatul (3) din Regulamentul general privind protecția datelor prevede că „libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

În majoritatea situațiilor reale, este foarte probabil ca un set de date să fie compus atât din date cu caracter personal, cât și din date fără caracter personal. Acesta este adesea denumit „set de date mixte”. În secțiunea 2.2 de mai jos se explică mai detaliat interacțiunea dintre Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor în ceea ce privește seturile de date mixte.

Din motive de claritate, nu există obligații contradictorii în temeiul Regulamentului general privind protecția datelor și al Regulamentului privind libera circulație a datelor fără caracter personal.

2    Interacțiunea dintre Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor – seturile de date mixte

2.1    Conceptul de date fără caracter personal în Regulamentul privind libera circulație a datelor fără caracter personal

Obiectivul Regulamentului privind libera circulație a datelor fără caracter personal 8 este de a asigura libera circulație a datelor, altele decât datele cu caracter personal. În întregul text, regulamentul utilizează termenul „date”, care ar trebui înțeles ca „date, altele decât datele cu caracter personal definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679 [Regulamentul general privind protecția datelor]” 9 . Astfel de date, denumite și „date fără caracter personal” în prezentul document, sunt definite prin opoziție (a contrario) cu datele cu caracter personal, astfel cum sunt prevăzute în Regulamentul general privind protecția datelor.

Date cu caracter personal

Regulamentul general privind protecția datelor prevede următoarele: „«date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;”

Datelor cu caracter personal li s-a dat în mod intenționat o definiție largă, care a rămas, în esență, neschimbată în Regulamentul general privind protecția datelor comparativ cu legislația anterioară 10 . În avizul său nr. 4/2007 privind conceptul de date cu caracter personal începând cu 20 iunie 2007, WP 136, Grupul de lucru „Articolul 29” 11 a abordat deja diferite aspecte legate de definiția datelor cu caracter personal, cum ar fi „orice informație”, „referitoare la”, „identificată sau identificabilă”.

Pseudonimizarea datelor cu caracter personal pentru a disimula identitatea unei persoane este o practică obișnuită în domenii precum cercetarea. Pseudonimizarea constituie prelucrarea datelor cu caracter personal în așa fel încât să nu fie posibilă atribuirea acestora unei anumite persoane fără a se utiliza informații suplimentare. Aceste informații suplimentare sunt păstrate separat și sunt securizate prin măsuri organizatorice sau tehnice (de exemplu, prin criptare) 12 , 13 . Cu toate acestea, datele care au fost pseudonimizate sunt considerate în continuare informații despre o persoană identificabilă dacă pot fi atribuite acestei persoane prin utilizarea unor informații suplimentare 14 . Aceste date constituie date cu caracter personal în conformitate cu Regulamentul general privind protecția datelor.

Date fără caracter personal

În cazul în care datele nu sunt „date cu caracter personal”, astfel cum sunt definite în Regulamentul general privind protecția datelor, acestea sunt fără caracter personal. Datele fără caracter personal pot fi clasificate în funcție de origine astfel:

·în primul rând, date care inițial nu aveau legătură cu o persoană fizică identificată sau identificabilă, cum ar fi datele privind condițiile meteorologice generate de senzorii instalați pe turbinele eoliene sau datele privind nevoile de întreținere ale utilajelor industriale;

·în al doilea rând, date care au fost inițial date cu caracter personal, dar care au fost ulterior anonimizate 15 . „Anonimizarea” datelor cu caracter personal este diferită de pseudonimizare (a se vedea mai sus), deoarece datele anonimizate în mod corespunzător nu pot fi atribuite unei anumite persoane, nici măcar prin utilizarea unor date suplimentare 16 și, prin urmare, constituie date fără caracter personal.

Evaluarea anonimizării în mod corespunzător a datelor depinde de circumstanțele specifice și unice ale fiecărui caz individual 17 . Mai multe exemple de reidentificare a seturilor de date care ar fi trebuit să fi fost anonimizate au arătat că o astfel de evaluare poate fi solicitantă 18 . Pentru a se stabili dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele pe care este probabil, în mod rezonabil, să le utilizeze un operator sau o altă persoană în scopul identificării, în mod direct sau indirect, a persoanei respective 19 .

Cu toate acestea, în cazul în care se poate stabili o legătură în orice fel între datele fără caracter personal și o persoană, care să permită identificarea acesteia fie în mod direct, fie indirect, datele respective trebuie considerate ca fiind date cu caracter personal.

De exemplu, dacă un raport de control al calității privind o linie de producție permite corelarea datelor cu anumiți lucrători din fabrică (de exemplu, cei care stabilesc parametrii de producție), atunci datele ar putea fi considerate drept date cu caracter personal și trebuie aplicate prevederile Regulamentului general privind protecția datelor. Aceleași norme se aplică atunci când evoluțiile tehnologice și analiza datelor permit convertirea datelor anonimizate în date cu caracter personal.  21

Întrucât definiția datelor cu caracter personal se referă la „persoane fizice”, seturile de date care conțin numele și datele de contact ale persoanelor juridice sunt, în principiu, date fără caracter personal 22 . Cu toate acestea, în anumite situații, acestea pot fi date cu caracter personal 23 . Acesta va fi cazul dacă, de exemplu, numele persoanei juridice este același ca cel al unei persoane fizice care o deține sau dacă informațiile se referă la o persoană fizică identificată sau identificabilă 24 . 

2.2    Seturi de date mixte

Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor abordează libera circulație a datelor în UE din două perspective diferite.

Regulamentul privind libera circulație a datelor fără caracter personal prevede o interdicție generală în ceea ce privește cerințele de localizare a datelor pentru datele fără caracter personal. Articolul 4 alineatul (1) din regulament interzice cerințele de localizare a datelor, cu excepția cazului în care acestea sunt justificate din motive de siguranță publică, în conformitate cu principiul proporționalității.

Regulamentul general privind protecția datelor, pe lângă asigurarea unui nivel ridicat de protecție a datelor cu caracter personal, asigură libera circulație a datelor cu caracter personal. În conformitate cu articolul 1 alineatul (3) din regulament, libera circulație a datelor cu caracter personal „nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.” Ambele regulamente prevăd libera circulație a „tuturor” datelor în UE. Dispozițiile specifice sunt abordate în secțiunile 3.1 și 3.2.

Un set de date mixte constă atât în date cu caracter personal, cât și în date fără caracter personal. Seturile de date mixte reprezintă majoritatea seturilor de date utilizate în economia datelor și sunt larg răspândite datorită evoluțiilor tehnologice, cum ar fi internetul obiectelor (și anume, obiectele conectate digital), inteligența artificială și tehnologiile care permit analiza volumelor mari de date.

În ceea ce privește seturile de date mixte, Regulamentul privind libera circulație a datelor fără caracter personal 25 prevede următoarele:

„În cazul unui set de date compus atât din date cu caracter personal, cât și din date fără caracter personal, prezentul regulament se aplică părții din set cu date fără caracter personal. În cazul în care datele cu caracter personal și cele fără caracter personal dintr-un set de date sunt legate între ele în mod indisolubil, prezentul regulament nu aduce atingere aplicării Regulamentului (UE) 2016/679.”

Aceasta înseamnă că, în cazul unui set de date care cuprinde atât date cu caracter personal, cât și date fără caracter personal:

·Regulamentul privind libera circulație a datelor fără caracter personal se aplică părții din set cu date fără caracter personal;

·prevederea privind libera circulație a datelor din Regulamentul general privind protecția datelor 26 se aplică părții din set cu date cu caracter personal și

·în cazul în care partea cu date fără caracter personal și părțile cu date cu caracter personal sunt „legate în mod indisolubil”, drepturile și obligațiile în materie de protecție a datelor care decurg din Regulamentul general privind protecția datelor se aplică pe deplin întregului set de date mixte, inclusiv atunci când datele cu caracter personal reprezintă doar o mică parte din setul de date 27 .

Această interpretare este conformă cu dreptul la protecția datelor cu caracter personal garantat de Carta drepturilor fundamentale a Uniunii Europene 28 și cu considerentul 8 din Regulamentul privind libera circulație a datelor fără caracter personal 29 . Considerentul 8 din regulamentul menționat prevede următoarele: „Cadrul juridic privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ...., în special Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului [...] și Directivele (UE) 2016/680 [...] și 2002/58/CE [...] ale Parlamentului European și ale Consiliului nu sunt afectate de prezentul regulament”.

Conceptul de „legat în mod indisolubil” nu este definit de niciunul dintre cele două regulamente 30 . Din motive practice, acesta se poate referi la o situație în care un set de date conține date cu caracter personal, precum și date fără caracter personal, iar separarea celor două tipuri de date fie ar fi imposibilă, fie ar fi considerată de către operator ca ineficientă din punct de vedere economic sau nefezabilă din punct de vedere tehnic. De exemplu, atunci când cumpără sisteme de CRM și sisteme de raportare a vânzărilor, societatea ar trebui să își dubleze costul software-ului prin achiziționarea unor software-uri separate pentru sistemele de CRM (date cu caracter personal) și pentru sistemele de raportare a vânzărilor (date agregate/fără caracter personal) bazate pe datele CRM.

Separarea setului de date ar putea, de asemenea, să reducă în mod semnificativ valoarea acestuia. În plus, natura schimbătoare a datelor (a se vedea secțiunea 2.1) face mai dificilă diferențierea clară și, prin urmare, separarea diferitelor categorii de date.

Un aspect important este faptul că niciunul dintre cele două regulamente nu obligă întreprinderile să separe seturile de date pe care le controlează sau prelucrează.

În consecință, un set de date mixte va fi supus, în general, obligațiilor operatorilor și ale persoanelor împuternicite de către operatori și va respecta drepturile persoanelor vizate stabilite prin Regulamentul general privind protecția datelor.

În cele din urmă, este esențial ca persoanele fizice și întreprinderile să aibă securitate juridică și încredere în prelucrarea datelor. Acest lucru este, de asemenea, vital pentru economia datelor. Cele două regulamente asigură acest lucru și urmăresc obiectivul de a nu modifica libera circulație a datelor.

3    Libera circulație a datelor și eliminarea cerințelor de localizare a datelor

Prezenta secțiune explică mai în detaliu conceptul de cerințe de localizare a datelor în temeiul Regulamentului privind libera circulație a datelor fără caracter personal și pe cel al principiului liberei circulații prevăzut de Regulamentul general privind protecția datelor. Deși aceste dispoziții vizează statele membre, ele pot ajuta întreprinderile să aibă o imagine mai exactă asupra modului în care cele două regulamente contribuie la libera circulație a tuturor datelor în cadrul UE.

3.1    Libera circulație a datelor fără caracter personal

Regulamentul privind libera circulație a datelor fără caracter personal 33 prevede că „cerințele de localizare a datelor sunt interzise, cu excepția cazului în care acestea sunt justificate din motive de siguranță publică, în conformitate cu principiul proporționalității.”

Cerințele de localizare a datelor sunt definite 34 ca „orice obligație, interdicție, condiție, limită sau altă cerință prevăzută în actele cu putere de lege sau actele administrative ale unui stat membru sau care rezultă din practicile administrative generale și consecvente ale unui stat membru și ale organismelor de drept public, inclusiv în domeniul achizițiilor publice, fără a aduce atingere Directivei 2014/24/UE, care impune prelucrarea datelor pe teritoriul unui anumit stat membru sau împiedică prelucrarea datelor în orice alt stat membru 35 .”.’

Definiția ilustrează faptul că măsurile de restricționare a liberei circulații a datelor în cadrul UE pot lua diverse forme. Acestea pot fi stabilite prin legi și prin regulamente și dispoziții administrative sau pot fi rezultatul unor practici administrative generale și coerente. În plus, interzicerea cerințelor de localizare a datelor acoperă atât măsurile directe, cât și pe cele indirecte care ar restricționa libera circulație a datelor fără caracter personal.

Cerințele directe de localizare a datelor pot consta, de exemplu, în obligația de a stoca date într-un amplasament geografic specific (de exemplu, serverele trebuie să se afle într-un anumit stat membru) sau o obligație de a respecta cerințe tehnice naționale unice (de exemplu, datele trebuie să utilizeze formate naționale specifice).

Cerințele indirecte de localizare a datelor, care ar împiedica prelucrarea datelor fără caracter personal în orice alt stat membru, se pot prezenta sub diverse forme. Acestea pot include cerințe de utilizare a instalațiilor tehnologice care sunt certificate sau aprobate într-un anumit stat membru sau alte cerințe care au ca efect faptul de a face mai dificilă prelucrarea datelor în afara unei anumite zone geografice sau a unui anumit teritoriu din Uniunea Europeană 36 , 37 .

Atunci când se stabilește dacă o măsură specifică reprezintă o cerință indirectă de localizare a datelor trebuie să se ia în considerare circumstanțele specifice fiecărui caz.

Regulamentul privind libera circulație a datelor fără caracter personal 38 se referă la conceptul de siguranță publică, astfel cum este subliniat în jurisprudența Curții de Justiție a Uniunii Europene. Siguranța publică „cuprinde atât securitatea internă, cât și cea externă a unui stat membru 39 , precum și aspectele siguranței publice, în special pentru a facilita investigarea, depistarea și urmărirea penală a infracțiunilor. Aceasta presupune existența unei amenințări reale și suficient de grave care afectează unul dintre interesele fundamentale ale societății 40 , cum ar fi o amenințare la adresa funcționării instituțiilor și a serviciilor publice esențiale și la adresa supraviețuirii populației, precum și riscul unei perturbări grave a relațiilor externe sau a conviețuirii pașnice a națiunilor ori un risc la adresa intereselor militare.”

În plus, orice cerință de localizare a datelor justificată din motive de securitate publică trebuie să fie proporțională. În conformitate cu jurisprudența Curții de Justiție a Uniunii Europene, principiul proporționalității prevede că măsurile adoptate trebuie să fie adecvate pentru a asigura îndeplinirea obiectivului urmărit și să nu depășească ceea ce este necesar în acest scop 41 .

Din motive de claritate, interzicerea cerințelor de localizare a datelor nu aduce atingere restricțiilor deja existente prevăzute de legislația UE 42 .

În plus, Regulamentul privind libera circulație a datelor fără caracter personal nu impune nicio obligație întreprinderilor și nici nu limitează libertatea contractuală a acestora de a decide unde urmează să fie prelucrate datele lor.

Statele membre sunt obligate să pună la dispoziția publicului informațiile referitoare la orice cerință de localizare a datelor aplicabilă pe teritoriul lor prin intermediul unui punct unic de informare online național (site-uri web naționale). Acestea trebuie să îl actualizeze periodic sau să furnizeze informații actualizate unui punct central de informare creat în temeiul altui act al Uniunii 43 . Pentru a simplifica demersurile întreprinderilor și pentru a facilita accesul acestora la informații relevante în întreaga UE, Comisia va publica linkuri către aceste puncte de informare pe portalul „Europa ta” 44 .

3.2    Libera circulație a datelor cu caracter personal

Regulamentul general privind protecția datelor 45 prevede că „libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

În cazul în care un stat membru impune cerințe de localizare a datelor cu caracter personal din alte motive decât protecția datelor cu caracter personal, acestea vor trebui să fie evaluate în raport cu dispozițiile privind libertățile fundamentale și motivele permise de derogare de la aceste libertăți prevăzute de Tratatul privind funcționarea Uniunii Europene 46 , 47 și legislația relevantă a UE, cum ar fi Directiva privind serviciile 48 și Directiva privind comerțul electronic 49 .

Regulamentul general privind protecția datelor 50 recunoaște faptul că statele membre pot impune condiții, inclusiv restricții, cu privire la prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Cu toate acestea, după cum se menționează în considerentul 53, astfel de limitări naționale nu ar trebui să împiedice libera circulație a datelor cu caracter personal în UE atunci când aceste condiții se aplică prelucrării transfrontaliere a unor astfel de date. Acest lucru este în conformitate cu articolul 16 din Tratatul privind funcționarea Uniunii Europene, care constituie temeiul juridic pentru adoptarea de norme privind dreptul la protecția datelor cu caracter personal și de norme privind libera circulație a acestor date.

3.3    Domeniul de aplicare al Regulamentului privind libera circulație a datelor fără caracter personal

Astfel cum s-a menționat anterior, obiectivul Regulamentului privind libera circulație a datelor fără caracter personal este de a asigura libera circulație a datelor fără caracter personal „în cadrul Uniunii” 51 . Prin urmare, acesta nu se aplică operațiunilor de prelucrare care au loc în afara UE și cerințelor de localizare a datelor referitoare la o astfel de prelucrare 52 , 53 .

Prin urmare, în conformitate cu articolul 2 alineatul (1), domeniul de aplicare al regulamentului este limitat la prelucrarea datelor electronice fără caracter personal în UE care:

(a)este furnizată ca serviciu utilizatorilor ce își au reședința ori au sunt stabiliți în Uniune, indiferent dacă furnizorul de servicii este stabilit sau nu în Uniune; sau

(b)este efectuată de o persoană fizică sau juridică ce își are reședința ori este stabilită în Uniune pentru propriile sale nevoi.

Deși Regulamentul privind libera circulație a datelor fără caracter personal nu se aplică în cazul în care toate activitățile de prelucrare a datelor fără caracter personal sunt efectuate în afara UE, Regulamentul general privind protecția datelor trebuie să fie respectat atunci când din setul de date fac parte date cu caracter personal. În special, normele privind transferurile de date cu caracter personal către țări terțe sau organizații internaționale în temeiul Regulamentului general privind protecția datelor trebuie să fie respectate în orice caz 55 .

3.4    Activități legate de organizarea internă a statelor membre

Regulamentul privind libera circulație a datelor fără caracter personal nu obligă statele membre să externalizeze furnizarea de servicii legate de datele fără caracter personal pe care doresc să le furnizeze ele însele sau să le organizeze prin alte mijloace decât contractele de achiziții publice 56 .

Articolul 2 alineatul (3) al doilea paragraf din Regulamentul privind libera circulație a datelor fără caracter personal menționează următoarele:

„Prezentul regulament nu aduce atingere actelor cu putere de lege și actelor administrative referitoare la organizarea internă a statelor membre și care atribuie în rândul autorităților publice și al organismelor de drept public, astfel cum sunt definite la articolul 2 alineatul (1) punctul 4 din Directiva 2014/24/UE 57 , competențe și responsabilități în materie de prelucrare a datelor, fără remunerarea contractuală a părților private, și nici actelor cu putere de lege și actelor administrative ale statelor membre care reglementează punerea în aplicare a acestor competențe și responsabilități. 58 ”

Pot exista interese legitime care ar justifica alegerea acestui tip de „furnizare internă” a serviciilor de prelucrare a datelor, cum ar fi „internalizarea” sau acordurile reciproce între administrațiile publice. Exemplele tipice includ utilizarea unui „cloud guvernamental” sau angajarea de către un guvern a unei agenții centralizate de servicii informatice pentru a furniza servicii de prelucrare a datelor pentru instituțiile și organismele publice.

Cu toate acestea, Regulamentul privind libera circulație a datelor fără caracter personal încurajează statele membre să ia în considerare eficiența economică și alte beneficii ale utilizării furnizorilor externi de servicii 59 , 60 . De îndată ce autoritățile naționale încep „externalizarea” prelucrării datelor, cu remunerarea contractuală a părților private, iar prelucrarea are loc în UE, o astfel de prelucrare este reglementată de Regulamentul privind libera circulație a datelor fără caracter personal, ceea ce înseamnă că principiul liberei circulații a datelor fără caracter personal se aplică practicilor generale și administrative ale autorităților naționale. În special, acestea trebuie să se abțină de la impunerea de restricții în materie de localizare a datelor, de exemplu în cadrul licitațiilor pentru achiziții publice 61 .

4    Abordări de autoreglementare care susțin libera circulație a datelor

Autoreglementarea contribuie la inovare și încredere în rândul actorilor de pe piață și are potențialul de a fi mai receptivă la schimbările de pe piață. Prezenta secțiune oferă o prezentare generală a inițiativelor de autoreglementare pentru prelucrarea atât a datelor cu caracter personal, cât și a celor fără caracter personal.

4.1    Portarea datelor și schimbarea furnizorilor de servicii de cloud

Unul dintre scopurile Regulamentului privind libera circulație a datelor fără caracter personal este evitarea practicilor privind dependența de furnizor. Aceste practici apar atunci când utilizatorii nu pot schimba furnizorul de servicii deoarece datele lor sunt „blocate” în sistemul furnizorului, de exemplu din cauza unui format specific al datelor sau a unor acorduri contractuale specifice, și nu pot fi transferate în afara sistemului informatic al furnizorului. Portarea datelor fără obstacole este importantă pentru a permite utilizatorilor să aleagă liber între furnizorii de servicii de prelucrare a datelor și, astfel, să se asigure o concurență efectivă pe piață.

Portabilitatea datelor între întreprinderi devine din ce în ce mai importantă pentru o gamă largă de industrii digitale, inclusiv serviciile de cloud.

În conformitate cu articolul 6 din Regulamentul privind libera circulație a datelor fără caracter personal, Comisia încurajează și facilitează elaborarea unor coduri de conduită de autoreglementare la nivelul UE („coduri de conduită”) pentru a contribui la o economie competitivă a datelor. Aceasta constituie baza pentru dezvoltarea de către industrie a codurilor de conduită de autoreglementare privind schimbarea furnizorilor de servicii și portarea datelor între diferite sisteme informatice. 

La elaborarea unor astfel de coduri de conduită privind portarea datelor ar trebui să se țină seama de o serie de aspecte, în special:

·bunele practici menite să faciliteze schimbarea furnizorilor de servicii și portarea datelor într-un format structurat, utilizat în mod curent și care poate fi citit automat;

·cerințele minime în materie de informare, pentru a se asigura că utilizatorilor profesioniști li se oferă, înainte de încheierea unui contract, informații suficient de detaliate și clare cu privire la procesele, cerințele tehnice și termenele care se aplică în cazul în care un utilizator profesionist dorește să schimbe un furnizor de servicii sau să își porteze datele înapoi către propriile sisteme informatice;

·abordările privind sistemele de certificare, pentru o mai bună comparabilitate a serviciilor de cloud și

·foile de parcurs privind comunicarea, în vederea sensibilizării cu privire la codurile de conduită.

Pe piața serviciilor de cloud, Comisia a început să faciliteze activitatea grupurilor de lucru ale părților interesate din domeniul tehnologiei de tip cloud de pe piața unică digitală, care reunesc experți în tehnologia de tip cloud și utilizatori profesioniști, inclusiv întreprinderi mici și mijlocii. În acest stadiu, un subgrup elaborează coduri de conduită de autoreglementare privind portarea datelor și schimbarea furnizorilor de servicii de cloud (grupul de lucru SWIPO)  62 , iar un alt subgrup lucrează la dezvoltarea certificării de securitate a serviciilor cloud (grupul de lucru CSPCERT) 63 ..

Grupul de lucru SWIPO elaborează coduri de conduită care acoperă întregul spectru de servicii de cloud: infrastructură ca serviciu (IaaS), platformă ca serviciu (PaaS) și software ca serviciu (SaaS).

Comisia se așteaptă ca diferitele coduri de conduită să fie completate cu modele de clauze contractuale 64 . Acestea vor permite o specificitate tehnică și juridică suficientă pentru punerea în practică și aplicarea codurilor de conduită, care vor avea o importanță deosebită pentru întreprinderile mici și mijlocii. Elaborarea modelelor de clauze contractuale este planificată după elaborarea codurilor de conduită (care ar trebui să aibă loc până la 29 noiembrie 2019).

În conformitate cu articolul 8 din Regulamentul privind libera circulație a datelor fără caracter personal, Comisia va evalua punerea în aplicare a regulamentului până la 29 noiembrie 2022. Acest lucru va permite evaluarea: (i) impactului asupra liberei circulații a datelor în Europa; (ii) aplicării regulamentului, în special în cazul seturilor de date mixte; (iii) măsurii în care statele membre au abrogat în mod efectiv restricțiile nejustificate în materie de localizare a datelor și (iv) eficienței pe piață a codurilor de conduită în domeniul portării datelor și în cel al schimbării furnizorilor de servicii de cloud.

Noțiunea de portabilitate și interacțiunea cu Regulamentul general privind protecția datelor

Ambele regulamente 65 se referă la portabilitatea datelor și la obiectivul de a facilita portarea datelor de la un mediu informatic la altul, și anume fie la sistemele unui alt furnizor, fie la sistemele de la fața locului. Acest lucru împiedică dependența de furnizor și stimulează concurența între furnizorii de servicii. Cu toate acestea, regulamentele diferă în ceea ce privește abordarea portabilității în legătură cu relația dintre grupurile de interese vizate și natura juridică a dispozițiilor.

Dreptul la portabilitatea datelor cu caracter personal în temeiul articolului 20 din Regulamentul general privind protecția datelor se axează pe relația dintre persoana vizată și operator. Acesta se referă la dreptul persoanei vizate de a primi date cu caracter personal pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat, precum și de a transmite aceste date unui alt operator sau propriilor sale capacități de stocare fără nicio piedică din partea operatorului căruia i-au fost furnizate datele cu caracter personal 66 . În general, în cadrul acestei relații, persoanele vizate sunt consumatorii de diferite servicii online care doresc să schimbe furnizorii de servicii de acest tip.

Articolul 6 din Regulamentul privind libera circulație a datelor fără caracter personal nu prevede dreptul utilizatorilor profesioniști la portarea datelor, ci are o abordare de autoreglementare care include coduri de conduită voluntare pentru industrie. În același timp, acesta vizează o situație în care un utilizator profesionist a externalizat prelucrarea datelor sale către o parte terță care oferă un serviciu de prelucrare a datelor 67 . În conformitate cu articolul 3 alineatul (8) din Regulamentul privind libera circulație a datelor fără caracter personal, un „utilizator profesionist” poate include „o persoană fizică sau juridică, inclusiv o autoritate publică sau un organism de drept public, care utilizează ori solicită un serviciu de prelucrare a datelor în scopuri legate de activitatea sa comercială, industrială, artizanală sau profesională ori de sarcinile sale”.

În practică, portabilitatea în temeiul articolului 6 din Regulamentul privind libera circulație a datelor fără caracter personal se referă la interacțiunile între întreprinderi (business-to-business) între un utilizator profesionist (care, în cazurile care includ prelucrarea datelor cu caracter personal, se poate califica drept „operator” în conformitate cu Regulamentul general privind protecția datelor) și un furnizor de servicii (care, în mod similar, se poate califica drept „persoană împuternicită de către operator” în anumite cazuri).

În ciuda diferențelor, pot apărea situații în care portarea datelor ar face atât obiectul Regulamentului privind libera circulație a datelor fără caracter personal, cât și al Regulamentului general privind protecția datelor, în ceea ce privește seturile de date mixte.

4.2    Coduri de conduită și sisteme de certificare privind protecția datelor cu caracter personal

Codurile de conduită și sistemele de certificare pot fi utilizate pentru a demonstra conformitatea cu obligațiile prevăzute în Regulamentul general privind protecția datelor [a se vedea articolul 24 alineatul (3) și articolul 28 alineatul (5)].

În conformitate cu articolul 40 alineatul (1) și cu articolul 42 alineatul (1) din Regulamentul general privind protecția datelor, statele membre, autoritățile de supraveghere, Comitetul european pentru protecția datelor și Comisia ar trebui să încurajeze industria să elaboreze coduri de conduită și să instituie mecanisme de certificare a protecției datelor.

Asociațiile sau alte organisme care reprezintă o anumită categorie de operatori sau persoane împuternicite de către operatori pot elabora un cod de conduită pentru sectorul specific. Un proiect al codului trebuie prezentat spre aprobare autorității de supraveghere competente respective 69 . În cazul în care proiectul de cod de conduită se referă la activități de prelucrare desfășurate în mai multe state membre, autoritatea de supraveghere trebuie să îl transmită Comitetului european pentru protecția datelor înainte de aprobare. Ulterior, comitetul va emite un aviz cu privire la conformitatea proiectului de cod cu Regulamentul general privind protecția datelor.

Comitetul european pentru protecția datelor a publicat Orientările nr. 1/2019 privind codurile de conduită și organismele de monitorizare în temeiul Regulamentului general privind protecția datelor 70 . Orientările includ informații privind elaborarea codurilor de conduită, criteriile de aprobare a acestora și alte informații utile. În mod similar, Orientările Comitetului european pentru protecția datelor nr. 1/2018 privind certificarea și identificarea criteriilor de certificare în conformitate cu articolele 42 și 43 din Regulamentul general privind protecția datelor oferă informații cu privire la certificarea în temeiul acestui regulament și cu privire la elaborarea și aprobarea criteriilor de certificare 71 .

4.3    Consolidarea încrederii în prelucrarea datelor la nivel transfrontalier – certificarea securității

Astfel cum se menționează în considerentul 33 din Regulamentul privind libera circulație a datelor fără caracter personal, consolidarea încrederii în securitatea prelucrării datelor la nivel transfrontalier ar trebui să reducă tendința actorilor de pe piață și a sectorului public de a utiliza localizarea datelor ca un indicator pentru securitatea datelor. Împreună cu pachetul de măsuri privind securitatea cibernetică, propus de Comisie în 2017 76 , grupul de lucru CSPCERT elaborează recomandări în scopul instituirii unui sistem european de certificare în domeniul tehnologiei de tip cloud, care vor fi prezentate Comisiei. Un astfel de sistem are potențialul de a facilita libera circulație a datelor, de a permite o mai bună comparabilitate a serviciilor de cloud și de a promova utilizarea tehnologiei de tip cloud. Comisia poate solicita ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) să pregătească o propunere de sistem în conformitate cu dispozițiile relevante din Legea privind securitatea cibernetică 77 . Un astfel de sistem poate viza atât datele cu caracter personal, cât și pe cele fără caracter personal. Pe lângă Legea privind securitatea cibernetică și astfel cum s-a subliniat în secțiunea 4.2, RGPD poate fi, de asemenea, utilizat pentru a demonstra existența unor garanții adecvate privind securitatea datelor 78 .

Observații finale

Asigurarea securității juridice și a încrederii în prelucrarea datelor este esențială pentru capacitatea UE de a utiliza datele la întregul lor potențial și pentru dezvoltarea lanțurilor valorice la nivel transsectorial și transfrontalier. Cele două regulamente asigură acest lucru și urmăresc obiectivul liberei circulații a datelor. Împreună, Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor creează bazele pentru libera circulație a tuturor datelor în cadrul Uniunii Europene și pentru o economie europeană a datelor cu un nivel ridicat de competitivitate.

(1)

   Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană, JO L 303, 28.11.2018, p. 59.

(2)

   Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016, p. 1.

(3)

     Regulamentul general privind protecția datelor acoperă, de asemenea, Spațiul Economic European (SEE), care include Islanda, Liechtenstein și Norvegia. În plus, Regulamentul privind libera circulație a datelor fără caracter personal are relevanță pentru SEE.

(4)

   Deloitte: Measuring the economic impact of cloud computing in Europe (Măsurarea impactului economic al tehnologiei de tip cloud computing în Europa), SMART 2014/0031, 2016. Document disponibil online la: http://ec.europa.eu/newsroom/document.cfm?doc_id=41184 .

(5)

   Considerentul 37 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(6)

-Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119/1, 4.5.2016, p. 1.

-Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE, JO L 295, 21.11.2018, p. 39.

-Directiva (UE) 2016/680 a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119, 4.5.2016, p. 89.

-Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37 (în prezent în curs de revizuire).

(7)

   Orientări suplimentare privind diferite aspecte ale Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) și ale legislației europene privind protecția datelor sunt disponibile pe pagina de internet a Comitetului european pentru protecția datelor, care a emis o serie de orientări în conformitate cu articolul 70 din Regulamentul general privind protecția datelor, disponibile la adresa: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_ro . Pagina de internet relevantă conține, de asemenea, trimiteri la orientări, recomandări și alte documente emise de către predecesorul Comitetului european pentru protecția datelor – Grupul de lucru „Articolul 29”. În plus, pentru a sensibiliza cetățenii și întreprinderile cu privire la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), Comisia a publicat o comunicare privind protecția datelor care conține orientări privind aplicarea directă a RGPD (COM/2018/043 final), disponibilă la adresa: https://eur-lex.europa.eu/legal-content/RO/TXT/?qid=1517578296944&uri=CELEX%3A52018DC0043

(8)

   Articolul 1 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(9)

   A se vedea articolul 3 alineatul (1) din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(10)

   A se vedea articolul 2 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (data încetării: 24 mai 2018, abrogată prin Regulamentul general privind protecția datelor). A se vedea, de asemenea, jurisprudența Curții de Justiție privind definiția datelor cu caracter personal, care admite interpretarea largă a acestei noțiuni, de exemplu hotărârea Curții de Justiție din 29 ianuarie 2009, Produtores de Música de España (Promusicae)/Telefónica de España SAU, C-275/06, ECLI:EU:C:2008:54; hotărârea Curții de Justiție din 24 noiembrie 2011, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), C-70/10, ECLI:EU:C:2011:771; hotărârea Curții de Justiție din 19 octombrie 2016, Patrick Breyer/Bundesrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779.

(11)

     Grupul de lucru „Articolul 29” a fost un organism consultativ care a oferit Comisiei consiliere cu privire la aspectele legate de protecția datelor și care a contribuit la elaborarea unor politici armonizate de protecție a datelor în UE. După ce Regulamentul general privind protecția datelor a intrat în vigoare la 25 mai 2018, Grupul de lucru „Articolul 29” a fost succedat de Comitetul european pentru protecția datelor.

(12)

   A se vedea articolul 4 alineatul (5) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), care definește „pseudonimizarea”.

(13)

   De exemplu, se poate considera că un studiu de cercetare privind efectele unui nou medicament a făcut obiectul pseudonimizării dacă datele cu caracter personal ale participanților la studiu ar fi înlocuite cu atribute unice (de exemplu, numere sau coduri) în documentația de cercetare, iar datele lor cu caracter personal ar fi păstrate separat împreună cu atributele unice alocate, într-un document securizat (de exemplu, într-o bază de date protejată cu parolă).

(14)

   A se vedea considerentul 26 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

(15)

   A se vedea considerentul 26 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), care prevede că „principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă.”

(16)

   A se vedea hotărârea Curții de Justiție din 19 octombrie 2016, Patrick Breyer/Bundesrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779. Curtea de Justiție a precizat că adresa de protocol internet (adresa IP) dinamică poate face parte din categoria datelor cu caracter personal chiar dacă o parte terță (de exemplu, furnizorul de servicii de internet) deține date suplimentare, care ar permite identificarea persoanei în cauză. Posibilitatea de identificare a persoanei respective trebuie să constituie un mijloc care ar putea fi utilizat în mod rezonabil în scopul acestei identificări, indiferent dacă este efectuată în mod direct sau indirect.

(17)

     Anonimizarea datelor ar trebui să fie întotdeauna efectuată utilizând cele mai recente tehnici de anonimizare de ultimă generație.

(18)

   Pentru exemple privind reidentificarea datelor presupus anonimizate, a se vedea studiul privind viitoarele fluxuri de date realizat pentru Comisia ITRE a Parlamentului European de către Blackman, C. și Forge, S. și intitulat Data Flows – Future Scenarios: In-Depth Analysis for the ITRE Committee (Fluxuri de date – Scenarii viitoare: Analiză aprofundată pentru Comisia ITRE), 2017, p. 22, caseta 2. Document disponibil online la: http://www.europarl.europa.eu/RegData/etudes/IDAN/2017/607362/IPOL_IDA(2017)607362_EN.pdf

(19)

   A se vedea considerentul 26 din Regulamentul (UE) 2016/679 (Regulamentului general privind protecția datelor), care menționează că „pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică.”

(20)

   A se vedea documentul „Avizul 05/2014 privind tehnicile de anonimizare” elaborat de Grupul de lucru „Articolul 29”, adoptat la 10 aprilie 2014, GL216, p. 9, care specifică următoarele: „Numai în cazul în care operatorul ar agrega datele la un nivel la care evenimentele individuale nu mai sunt identificabile, setul de date rezultat poate fi calificat drept anonim. De exemplu: în cazul în care o organizație colectează date privind deplasările individuale, tiparele de călătorie individuale la nivelul evenimentelor ar continua să poată fi considerate drept date cu caracter personal pentru fiecare parte, atât timp cât operatorul (sau orice altă parte) are în continuare acces la datele primare colectate inițial, chiar dacă identificatorii direcți au fost eliminați din setul furnizat terților. Însă, în cazul în care operatorul ar șterge datele primare și doar ar furniza terților statistici agregate la un nivel superior, cum ar fi «în zilele de luni, pe traiectoria X există un număr de pasageri cu 160 % mai mare decât în zilele de marți», aceste date s-ar califica drept date anonime.”

(21)

     În cazul în care datele cu caracter personal sunt prelucrate în mod ilegal sau dacă prelucrarea încalcă în alt mod Regulamentul general privind protecția datelor, persoanele vizate (persoane fizice) au dreptul, în temeiul Regulamentului general privind protecția datelor, de a depune o plângere la o autoritate națională de supraveghere („autoritatea pentru protecția datelor”) din UE sau de a introduce o cale de atac efectivă în fața unei instanțe naționale. Sarcinile și competențele autorităților naționale de supraveghere sunt reglementate în capitolul VI secțiunea 2 din Regulamentul general privind protecția datelor.

(22)

     Considerentul 14 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) prevede că „prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.” Totuși, această dispoziție trebuie citită în lumina definiției datelor cu caracter personal de la articolul 4 alineatul (1) din Regulamentul general privind protecția datelor.

(23)

     A se vedea hotărârea Curții de Justiție din 9 noiembrie 2010 în cauzele conexate Volker und Markus Schecke GbR, C-92/09 și Hartmut Eifert, C-93/09/Land Hessen, ECLI:EU:C:2010:662, punctul 52.

(24)

      https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_ro

(25)

     Articolul 2 alineatul (2) din regulament.

(26)

     Articolul 1 alineatul (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). A se vedea, de asemenea, secțiunea 3.2.

(27)

     Astfel cum se reamintește în documentul de lucru al serviciilor Comisiei Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union (Evaluarea impactului care însoțește Propunerea de regulament al Parlamentului European și al Consiliului privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană) [SWD (2017) 304 final], partea 1/2, p. 3, „indiferent de cât de multe dintre datele cu caracter personal sunt incluse în seturile de date mixte, trebuie respectate în totalitate prevederile RGPD [Regulamentul general privind protecția datelor] în ceea ce privește partea din set cu date cu caracter personal”.

(28)

   Carta drepturilor fundamentale a Uniunii Europene, JO C 362, 26.10.2012, p. 391.

(29)

     Considerentul 8 din regulament.

(30)

     Regulamentul privind libera circulație a datelor fără caracter personal și Regulamentul general privind protecția datelor.

(31)

   Dezvoltarea și exploatarea de aplicații de sănătate mobilă necesită respectarea strictă a normelor Regulamentului general privind protecția datelor. Aceste cerințe vor fi precizate mai în detaliu în Codul de conduită privind protecția vieții private pentru aplicațiile de sănătate mobilă, aflat în prezent în curs de elaborare. Pentru mai multe informații privind stadiul elaborării acestuia, a se vedea: https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps  

(32)

     A se vedea articolul 6 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

(33)

     Articolul 4 alineatul (1) din regulament.

(34)

     Articolul 3 alineatul (5) din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(35)

   Trebuie remarcat faptul că lipsa de securitate juridică cu privire la amploarea cerințelor legitime și nelegitime de localizare a datelor limitează și mai mult opțiunile aflate la dispoziția actorilor de pe piață și a sectorului public în ceea ce privește localizarea prelucrării datelor [a se vedea considerentul 4 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană].

(36)

   Considerentul 4 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(37)

   A se vedea două studii privind cerințele de localizare a datelor desfășurate anterior adoptării Regulamentului privind libera circulație a datelor fără caracter personal: (1) Godel, M. et al.: Facilitating cross border data flows in the Digital Single Market, număr SMART 2015/2016. Document disponibil online la: http://ec.europa.eu/newsroom/document.cfm?doc_id=41185 și (2) Time.lex, Spark Legal Network și Tech4i2: Cross-border data flow in the digital single market: study on data localisation restrictions, număr SMART 2015/0054. Document disponibil online la: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=46695

(38)

   Considerentul 19 din regulament.

(39)

   A se vedea, de exemplu, hotărârea Curții de Justiție din 23 noiembrie 2010, Land Baden-Württemberg/Tsakouridis, C-145/09, ECLI:EU:C:2010:708, punctul 43 și hotărârea din 4 aprilie 2017, Sahar Fahimian/Bundesrepublik Deutschland, C-544/15, ECLI:EU:C:2017:225, punctul 39.

(40)

   A se vedea, de exemplu, hotărârea Curții de Justiție din 22 decembrie 2008, Comisia Comunităților Europene/Republica Austria, C-161/07, ECLI:EU:C:2008:759, punctul 35 și jurisprudența menționată de aceasta, precum și hotărârea din 26 martie 2009, Comisia Comunităților Europene/Republica Italiană, C-326/07, ECLI:EC:C:2009:193, punctul 70 și jurisprudența menționată de aceasta.

(41)

   A se vedea, de exemplu, hotărârea Curții de Justiție din 8 iulie 2010, Afton Chemical Limited/Secretary of State for Transport, C-343/09, ECLI:EU:C:2010:419, punctul 45, precum și jurisprudența menționată în aceasta.

(42)

   A se vedea, de exemplu, articolul 245 alineatul (2) din Directiva 2006/112/CE din 28 noiembrie 2006 privind sistemul comun al taxei pe valoarea adăugată, care prevede că „statele membre pot solicita persoanelor impozabile stabilite pe teritoriul lor să le fie comunicat locul de stocare, în cazul în care acesta se află în afara teritoriului lor.”. Această cerință trebuie totuși interpretată în conformitate cu articolul 249, care prevede că „în cazul în care o persoană impozabilă stochează facturi pe care le emite sau le primește prin mijloace electronice ce garantează accesul on-line la date, iar locul de stocare se află într-un alt stat membru decât cel în care este stabilită, autoritățile competente din statul membru în care persoana respectivă este stabilită au, în sensul prezentei directive, dreptul de acces la facturi prin mijloace electronice, de descărcare și de utilizare a acestora, în limitele stabilite de normele statului membru în care persoana impozabilă este stabilită și în măsura în care autoritățile respective solicită acest lucru în scopul controlului.”

(43)

   Articolul 4 alineatul (4) din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(44)

    https://europa.eu/youreurope/index.htm#ro

(45)

   Articolul 1 alineatul (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

(46)

   Versiunea consolidată a Tratatului privind funcționarea Uniunii Europene, JO C 326, 26.10.2012, p. 47­390.

(47)

   A se vedea, de asemenea, hotărârea Curții de Justiție din 19 iunie 2008, Comisia Comunităților Europene/Marele Ducat al Luxemburgului, C-319/06, ECLI:EU:C:2008:350, punctele 90-91, în care Curtea a considerat că obligația de a ține la dispoziție și de a păstra anumite documente într-un anumit stat membru constituie o restricție privind libera prestare a serviciilor; o justificare conform căreia este „în general mai ușor pentru autorități să își îndeplinească sarcinile de supraveghere” nu este suficientă.

(48)

   Directiva 2006/123/CE a Parlamentului European și a Consiliului din 12 decembrie 2006 privind serviciile în cadrul pieței interne, JO L 376, 27.12.2006, p. 36-68.

(49)

   Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic), JO L 178, 17.7.2000, p. 1-16.

(50)

   Articolul 9 alineatul (4) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

(51)

   A se vedea articolul 1 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(52)

   A se vedea considerentul 15 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(53)

   Termenul de „prelucrare” este definit în termeni generali [articolul 3 alineatul (2) din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană] și, astfel cum se subliniază în considerentul 17, regulamentul ar trebui să se aplice prelucrării în sensul cel mai larg, cuprinzând utilizarea tuturor tipurilor de sisteme informatice.

(54)

   Trebuie remarcat faptul că Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană nu se referă la cerințele de localizare a datelor impuse de statele membre cu privire la stocarea datelor fără caracter personal în țări terțe și că aceste cerințe pot fi prezente în ordinile juridice naționale. Din motive de claritate, Regulamentul general privind protecția datelor se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care se află în UE, de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau (b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii [a se vedea articolul 3 alineatul (2) din Regulamentul general privind protecția datelor].

(55)

   În ceea ce privește transferurile de date cu caracter personal către țări terțe, consultați pagina de internet a Comisiei: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_ro și Comunicarea Comisiei către Parlamentul European și Consiliu – Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată, COM/2017/07 final, disponibilă la adresa: https://eur-lex.europa.eu/legal-content/RO/TXT/?qid=1558267768886&uri=CELEX:52017DC0007 . În cazul Japoniei, la 23 ianuarie 2019, Comisia a adoptat decizia sa privind caracterul adecvat al nivelului de protecție, permițând ca datele cu caracter personal să circule liber între cele două economii, pe baza unor garanții solide în materie de protecție.

(56)

   Considerentul 14 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(57)

   Articolul 2 alineatul (1) punctul (4) din Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE, JO L 94, 28.3.2014, p. 65-242 prevede că „«organisme de drept public» înseamnă organismele care au toate caracteristicile următoare: (a) sunt înființate în scopul specific de a răspunde unor necesități de interes general, fără caracter industrial sau comercial; (b) au personalitate juridică și (c) sunt finanțate, în cea mai mare parte, de către stat, autorități regionale sau locale sau alte organisme de drept public; sau administrarea lor face obiectul supravegherii de către autoritățile sau organismele respective sau au un consiliu de administrație, de conducere sau de supraveghere alcătuit din membri desemnați în proporție de peste 50 % de către stat, de autorități regionale sau locale sau de alte organisme de drept public;”

(58)

     Considerentul 13 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană subliniază că regulamentul nu aduce atingere Directivei 2014/24/UE.

(59)

   Considerentul 14 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(60)

   Un furnizor extern de servicii ar fi orice entitate care nu este un „organism de drept public”, astfel cum se prevede la articolul 2 alineatul (1) punctul (4) din Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE, JO L 94, 28.3.2014, p. 65-242.

(61)

   Considerentul 13 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(62)

     Cloud Switching and Porting Data Working Group (Grupul de lucru pentru schimbarea furnizorilor de servicii de cloud și portarea datelor).

(63)

     European Cloud Service Provider Certification Working Group (Grupul de lucru pentru certificarea europeană a furnizorilor de servicii de cloud). A se vedea, de asemenea, secțiunea 4.3.

(64)

     A se vedea considerentul 30 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.

(65)

     Articolul 6 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană și articolul 20 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

(66)

     A se vedea documentul „Orientări privind dreptul la portabilitatea datelor” elaborat de Grupul de lucru „Articolul 29”, WP 242 rev.01, adoptat la 13 decembrie 2016, astfel cum a fost revizuit și adoptat la 5 aprilie 2017.

(67)

   Considerentul 29 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană menționează: „În timp ce consumatorii individuali beneficiază de dreptul existent al Uniunii [și anume, Regulamentul general privind protecția datelor], capacitatea de a schimba furnizorii de servicii nu este facilitată pentru utilizatori în cadrul activităților comerciale sau profesionale ale acestora.”

(68)

     A se vedea documentul „Avizul 05/2012 privind cloud computing” elaborat de Grupul de lucru „Articolul 29”, adoptat la 1 iulie 2012, WP196, care precizează, de asemenea, poziția și obligațiile utilizatorilor de servicii de cloud și ale furnizorilor de astfel de servicii în ceea ce privește prelucrarea datelor cu caracter personal.

(69)

   A se vedea articolul 40 alineatul (5) și articolul 55 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

(70)

   Comitetul european pentru protecția datelor: Orientările nr. 1/2019 privind codurile de conduită și organismele de monitorizare prevăzute în Regulamentul (UE) 2016/679, adoptate la 12 februarie 2019, versiunea pentru consultare publică, disponibilă online la adresa: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_ro  

(71)

   Comitetul european pentru protecția datelor: Orientările nr. 1/2018 privind certificarea și identificarea criteriilor de certificare în conformitate cu articolele 42 și 43 din Regulamentul (UE) 2016/679, adoptate la 23 ianuarie 2019, disponibile online la: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_ro

(72)

   Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (data încetării: 24 mai 2018).

(73)

   Pentru mai multe informații privind Codul de conduită al UE în domeniul serviciilor de cloud, a se vedea: https://eucoc.cloud/en/home.html

(74)

   Pentru mai multe informații privind Codul de conduită CISPE, a se vedea: https://cispe.cloud/code-of-conduct/

(75)

   Pentru mai multe informații privind Codul de conduită CSA, a se vedea: https://gdpr.cloudsecurityalliance.org/

(76)

   Pentru mai multe informații, a se vedea: https://ec.europa.eu/digital-single-market/en/cyber-security

(77)

   Regulamentul Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru securitate cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Legea privind securitatea cibernetică).

(78)

   A se vedea considerentul 74 din Legea privind securitatea cibernetică.