31.8.2017   

RO

Jurnalul Oficial al Uniunii Europene

C 288/107

Raportor:

domnul Jorge PEGADO LIZ

1.1.

Prin propunerea supusă examinării, Comisia răspunde în mod concret, într-o manieră în general corectă și adecvată (din punct de vedere strict tehnico-juridic), necesității de a adapta regimul actual al Regulamentului (CE) nr. 45/2001 al Parlamentului European și al Consiliului  (1) și al Deciziei nr. 1247/2002/CE a Parlamentului European, a Consiliului și a Comisiei  (2) privind protecția datelor cu caracter personal de către instituțiile, organele și oficiile Uniunii la noul Regulament general privind protecția datelor (RGPD) (3), care va fi aplicabil în întreaga UE începând cu 25 mai 2018.

1.2.

Cu toate acestea, CESE reamintește conținutul observațiilor și recomandărilor sale referitoare la propunerea de RGPD, în prezent transformată în actualul RGPD, și regretă faptul că această versiune finală nu le-a luat în considerare pe deplin; de asemenea, CESE se teme că, date fiind evoluțiile tehnologice rapide din acest domeniu, adoptarea și intrarea în vigoare cu întârziere a acestui document accentuează riscurile de însușire neautorizată a datelor și de abuzuri în prelucrarea și comercializarea acestora, existând pericolul ca propunerea să devină obsoletă chiar înainte de punerea sa în aplicare. În măsura în care propunerea examinată este o adaptare a RGPD la funcționarea instituțiilor europene, reticențele exprimate anterior sunt valabile, mutatis mutandis, și pentru textul analizat în prezentul aviz, în special în ceea ce privește opacitatea limbajului acestuia, greu de înțeles pentru cetățeanul obișnuit.

1.3.

Pe de altă parte, CESE consideră că ceea ce se întâmplă în instituțiile UE trebuie să constituie un exemplu pentru procedurile de la nivel național, motiv pentru care trebuie să se acționeze cu deosebită grijă în elaborarea propunerii analizate.

1.4.

În acest sens, CESE consideră că ar fi trebuit să fie abordate explicit unele aspecte precum legătura dintre propunerea examinată și Statutul funcționarilor Uniunii Europene, tratamentul situațiilor de hărțuire, inclusiv online (cyberbullying) și de avertizare în interes public (whistle blowing) în cadrul instituțiilor UE, aplicarea propunerii în ceea ce privește internetul obiectelor, volumele mari de date și utilizarea motoarelor de căutare pentru accesarea, crearea sau utilizarea datelor cu caracter personal, precum și informațiile personale publicate pe paginile instituțiilor de pe rețelele sociale (Facebook, Twitter, Instagram, Linkedin etc.).

1.5.

De asemenea, CESE consideră că ar fi fost util ca propunerea să se fi preocupat de enunțarea condițiilor de siguranță ale sistemelor informatice ce vor funcționa ca suport pentru prelucrarea datelor și de garanțiile împotriva atacurilor cibernetice și a încălcărilor sau a scurgerilor de astfel de date. S-ar fi garantat astfel caracterul lor neutru din punct de vedere tehnologic, fără ca aceste aspecte să fie reglementate doar prin norme interne specifice fiecărui serviciu și, astfel, ar fi fost mai bine clarificată relația dintre protecția datelor și combaterea infracțiunilor și a terorismului, fără ca aceasta să însemne adoptarea unor măsuri de supraveghere disproporționate sau excesive, aceste măsuri necesare trebuind de altfel să fie supuse întotdeauna controlului Autorității Europene pentru Protecția Datelor (AEPD).

1.6.

CESE ar fi apreciat, totodată, dacă propunerea ar fi definit competențele și cerințele de formare și de probitate morală necesare pentru a fi numit responsabil cu protecția datelor, operator și persoană împuternicită de către operator, pe lângă instituțiile UE, iar aceste competențe și cerințe să fi fost supuse întotdeauna controlului și monitorizării AEPD.

1.7.

CESE s-ar fi așteptat ca, având în vedere caracterul specific al datelor colectate și faptul că au o influență directă asupra vieții private a persoanelor vizate, în special în ceea ce privește sănătatea, datele fiscale și sociale, ele să fie limitate la strictul necesar pentru scopurile vizate și să se asigure protecția maximă și garanțiile maxime pentru tratamentul acestor date cu caracter personal deosebit de sensibile, pe baza normelor internaționale și a legislațiilor naționale mai avansate și a celor mai bune practici din unele state membre.

1.8.

CESE subliniază necesitatea ca propunerea să prevadă în mod explicit consolidarea mijloacelor AEPD și alocarea unui personal suficient, care să posede un nivel ridicat de cunoștințe și competențe tehnice în domeniul protecției datelor.

1.9.

CESE reafirmă, încă o dată, necesitatea ca și datele persoanelor juridice (întreprinderi, ONG-uri, societăți comerciale etc.) constituite în mod legal să facă obiectul protecției în ceea ce privește colectarea și prelucrarea.

1.10.

În final, CESE enunță în analiza sa specifică o serie de modificări ale anumitor dispoziții care, atunci când vor fi adoptate, vor contribui la o protecție mai eficace a datelor cu caracter personal în cadrul instituțiilor UE, nu numai în relația cu propriii funcționari, ci și cu miile de cetățeni europeni cu care intră în contact și, din acest motiv, îndeamnă Comisia, dar și Parlamentul European și Consiliul, să le ia în considerare în elaborarea versiunii finale a propunerii.

2.1.

După cum a precizat Comisia în expunerea de motive, obiectivul propunerii este acela de a proceda la abrogarea Regulamentului (CE) nr. 45/2001  (4) și a Deciziei nr. 1247/2002/CE privind protecția datelor cu caracter personal de către instituțiile, organele și oficiile Uniunii, cu două obiective:

2.2.

După o perioadă de pregătire îndelungată și dificilă, Consiliul și Parlamentul au sfârșit prin a adopta Regulamentul General privind Protecția Datelor (RGPD) (5), care va fi aplicabil în întreaga UE începând cu 25 mai 2018; acest regulament implică o adaptare a mai multor instrumente legislative (6), printre care și Regulamentul (CE) nr. 45/2001 și Decizia nr. 1247/2002/CE, menționate anterior.

2.3.

Având în vedere rezultatele anchetelor și ale consultărilor părților interesate, precum și ale studiului de evaluare referitor la aplicarea sa pe parcursul ultimilor 15 ani, pe care, de altfel, le prezintă pe larg, Comisia conchide că:

2.4.

Ținând cont de natura și amploarea modificărilor ce ar fi trebuit introduse în instrumentele juridice anterioare, Comisia a decis abrogarea lor în totalitate și înlocuirea lor cu regulamentul examinat, în acord cu celelalte dispoziții menționate, astfel încât să intre în vigoare simultan cu Regulamentul (UE) 2016/679 și conform dispozițiilor de la articolul 98.

3.1.

Din punct de vedere strict tehnico-juridic, CESE își exprimă acordul de principiu în ceea ce privește:

3.2.

Acest acord de principiu nu aduce atingere conținutului observațiilor și recomandărilor CESE referitoare la propunerea de RGPD (8), devenită actualul RGPD (9), pe care această versiune finală nu le-a luat în considerare pe deplin; de asemenea, CESE se teme că, date fiind evoluțiile tehnologice rapide din acest domeniu, adoptarea și intrarea în vigoare cu întârziere a acestui document accentuează riscurile de însușire neautorizată a datelor și de abuzuri în ceea ce privește prelucrarea și comercializarea lor, existând pericolul ca propunerea să devină obsoletă chiar înainte de punerea sa în aplicare. În măsura în care propunerea examinată este o adaptare a RGPD la funcționarea instituțiilor europene, reticențele exprimate anterior sunt valabile mutatis mutandis și pentru textul examinat în prezentul document, în special în ceea ce privește opacitatea limbajului său, greu de înțeles pentru cetățeanul obișnuit. În acest sens, CESE consideră că ar fi fost mai bine ca cele două texte să fi fost prezentate și discutate simultan.

3.3.

Pe de altă parte, considerând că ceea ce se întâmplă în instituțiile UE trebuie să constituie un exemplu pentru procedurile de la nivel național, CESE este de părere că anumite teme ar fi trebuit abordate în propunerea examinată.

3.4.

Desigur, nu este clar dacă această propunere a fost corelată în mod corespunzător cu Statutul funcționarilor Uniunii Europene [Regulamentul nr. 31 (CEE) (10)], întrucât nu există dispoziții normative specifice care să garanteze că datele cu caracter personal ale funcționarilor și colaboratorilor instituțiilor fac obiectul unei garanții de protecție mai eficace în ceea ce privește recrutarea, cariera, durata contractului de muncă și eventualele reînnoiri ale acestuia, precum și evaluarea lor.

3.4.1.

Fie în propunerea examinată, fie în alte acte, ar trebui să fie prevăzute dispoziții cu caracter general care să conțină norme privind: fișa medicală a funcționarilor și a membrilor de familie ai acestora, protecția datelor create sau utilizate de către funcționari și a datelor lor genetice, tratamentul și protecția mesajelor trimise prin e-mail, indiferent dacă ele sunt trimise de cetățeni către organismele UE sau de către funcționari ai acestor organisme sau schimbate între ei înșiși și cu exteriorul, conținuturile acestor mesaje, precum și paginile de internet vizitate (11).

3.4.2.

De asemenea, merită un tratament special situațiile de hărțuire, inclusiv online (cyberbullying) și de avertizare în interes public (whistle blowing) în cadrul instituțiilor UE, fără a se aduce atingere prevederilor articolului 68.

3.4.3.

Totodată, CESE ridică semne de întrebare cu privire la modalitățile de aplicare a propunerii analizate și a Regulamentului (UE) 2016/679 în ce privește internetul obiectelor, volumele mari de date și utilizarea motoarelor de căutare pentru accesarea, crearea sau utilizarea datelor cu caracter personal, precum și informațiile personale publicate pe paginile instituțiilor de pe rețelele sociale (Facebook, Twitter, Instagram, Linkedin etc.), atunci când nu există consimțământul explicit al persoanei vizate.

3.5.

CESE ar fi dorit ca propunerea Comisiei, pe lângă trimiterea la confidențialitatea comunicațiilor electronice de la articolul 34 din propunerea de regulament, să se fi ocupat de enunțarea condițiilor de siguranță ale sistemelor informatice ce funcționează ca suport pentru prelucrarea datelor și de garanțiile împotriva atacurilor cibernetice și a falsificărilor sau scurgerilor de astfel de date (12), garantând caracterul lor neutru din punct de vedere tehnologic, nelăsând aceste aspecte să fie reglementate doar prin norme interne specifice fiecărui serviciu. Astfel, ar fi fost mai bine clarificată relația dintre protecția datelor și combaterea infracțiunilor și a terorismului, fără ca aceasta să însemne adoptarea unor măsuri de supraveghere disproporționate sau excesive – măsuri care, în orice caz, ar trebui supuse întotdeauna controlului AEPD.

3.6.

CESE subliniază că interconectarea datelor cu caracter personal în interiorul instituțiilor UE nu poate fi lăsată exclusiv pe seama principiului responsabilității prevăzut la considerentul 16 și, în acest sens, îndeamnă Comisia să introducă o normă specifică prin care să prevadă că interconectarea va putea fi realizată numai după ce este autorizată de AEPD, în urma unei sesizări din partea operatorului sau a persoanei împuternicite de către operator.

3.7.

CESE ar fi apreciat și dacă, fără a aduce atingere dispozițiilor de la punctul 51 din preambul și de la articolul 44 alineatul (3) din text, propunerea ar fi definit competențele și cerințele de formare și de probitate morală necesare pentru a fi numit responsabil cu protecția datelor, operator de date și persoană împuternicită de către operator, pe lângă instituțiile UE (13); eventualele cazuri în care aceste persoane nu își respectă obligațiile operaționale ar trebui să fie supuse unor sancțiuni cu adevărat disuasive, la nivel disciplinar, civil și penal, care să fie enunțate în propunere și să fie controlate și monitorizate întotdeauna de AEPD.

3.8.

Deși recunoaște că propunerea examinată reprezintă o îmbunătățire a nivelului de protecție în raport cu actualul Regulament (CE) nr. 45/2001, CESE s-ar fi așteptat ca, având în vedere caracterul specific al datelor colectate și faptul că au o influență directă asupra vieții private a persoanelor vizate, în special în ceea ce privește sănătatea, datele fiscale și sociale, propunerea să se limiteze la strictul necesar pentru scopurile vizate și să asigure protecția maximă și garanțiile maxime pentru tratamentul acestor date cu caracter personal, pe baza normelor internaționale și a legislațiilor naționale mai avansate și a celor mai bune practici din unele state membre (14).

3.9.

Deși este conștient că atât Regulamentul (UE) 2016/679, cât și propunerea examinată se aplică numai datelor personale ale persoanelor fizice, CESE reafirmă nevoia ca și datele persoanelor juridice (întreprinderi, ONG-uri, societăți comerciale etc.) constituite în mod legal să facă obiectul protecției în ceea ce privește colectarea și prelucrarea.

4.1.

Analiza specifică a textului propunerii prilejuiește o serie de îndoieli și rezerve, în lumina principiilor fundamentale ale protecției vieții private prevăzute în Carta drepturilor fundamentale a UE și a principiilor proporționalității și precauției.

4.3.1.

Ținând cont de faptul că regulamentul examinat se aplică datelor prelucrate în cadrul instituțiilor UE, CESE ar dori să fie consacrată introducerea explicită a principiului nediscriminării, în temeiul tratatelor menționate.

4.3.2.

În ceea ce privește articolul 4, alineatul 1, litera (b), prelucrarea în scopuri de arhivare în interes public, de cercetare științifică sau istorică ori în scopuri statistice ar trebui să fie autorizată în prealabil de către Autoritatea Europeană pentru Protecția Datelor, acest aspect nefiind prevăzut la articolul 58.

4.3.3.

În fine, CESE consideră că ar trebui să existe o dispoziție explicită care să fie echivalentă cu actualul articol 7 din Regulamentul (CE) nr. 45/2001 în ceea ce privește transferul de date între instituțiile UE.

4.4.1.

Nu se înțelege din ce motiv articolul 5 alineatul (1) litera (b) din propunerea de regulament nu face obiectul dispozițiilor de la alineatul (2) al aceluiași articol, spre deosebire de prevederile de la articolul 6 literele (c) și (e), care fac obiectul dispozițiilor alineatului (3) din RGPD.

4.4.2.

CESE consideră că la litera (d) trebuie să se prevadă că consimțământul trebuie să se supună principiului bunei-credințe.

4.5.1.

Aplicarea acestui articol ar trebui să facă întotdeauna obiectul unei autorizări din partea Autorității Europene pentru Protecția Datelor.

4.5.2.

În aceste cazuri, persoana vizată trebuie să fie întotdeauna informată în prealabil cu privire la această posibilitate încă din momentul colectării sau în momentul în care se ia o nouă decizie, având, eventual, posibilitatea să solicite rectificarea sau ștergerea datelor, să se opună prelucrării lor sau să ceară limitarea acestei prelucrări.

4.6.1.

CESE înțelege că excepția de la norma privind valabilitatea consimțământului pentru copiii sub 16 ani (între 13 și 16 ani), oricum aberantă în sine, este admisibilă numai pentru statele membre, din rațiuni culturale de drept intern (articolul 8 din RGPD), însă ea nu trebuie să fie admisă ca normă pentru instituțiile UE [articolul 8 alineatul (1)], unde se stabilește ca limită vârsta de 13 ani.

4.6.2.

Pe de altă parte, nu se precizează concret în ce fel AEPD trebuie să acorde o „atenție specială” copiilor, astfel cum se prevede la articolul 58 alineatul 1 litera (b), în special în cazul repertoriilor de utilizatori prevăzute la articolul 36, atunci când datele acestora sunt accesibile publicului.

4.7.1.

La alineatul (1) ar trebui incluse și afilierea la un partid (care nu este sinonimă cu opinia politică) și viața privată.

4.7.2.

La alineatul (2) litera (b), chiar și în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale persoanei vizate, persoana respectivă ar trebui informată în prealabil.

4.7.3.

La alineatul (2) litera (d), prelucrarea ar trebui să poată fi efectuată numai dacă s-a obținut consimțământul persoanei vizate.

4.7.4.

Litera (e) ar trebui să constituie o excepție numai în măsura în care consimțământul pentru prelucrarea datelor poate fi dedus în mod legitim din declarațiile persoanei vizate.

4.9.1.

În cazul informațiilor suplimentare, prevăzute la articolul 15 alineatul (2), trebuie adăugată și obligativitatea informării persoanei vizate cu privire la caracterul obligatoriu sau facultativ al răspunsului operatorului și la posibilele consecințe ale absenței răspunsului.

4.9.2.

În cazul colectării de date în rețele deschise, persoana vizată trebuie informată întotdeauna atunci când datele sale cu caracter personal ar putea circula în rețele fără condiții de siguranță, existând riscul ca ele să fie văzute și utilizate de părți terțe neautorizate.

4.9.3.

Dreptul prevăzut la articolul 17 alineatul (1) trebuie să poată fi exercitat în mod liber și fără restricții, cu o periodicitate rezonabilă, în mod rapid sau imediat și fără costuri.

4.9.4.

CESE sugerează că persoana vizată ar trebui să fie informată în mod obligatoriu și pentru a i se confirma dacă datele sale sunt sau nu în curs de prelucrare.

4.9.5.

Informațiile prevăzute la articolul 17 alineatul (1) trebuie să fie furnizate într-o manieră inteligibilă, clară și ușor de înțeles, în special în ceea ce privește datele supuse prelucrării și eventualele informații privind originea acestor date.

4.11.1.

CESE estimează că la alineatul (2) litera (c) ar trebui să se adauge că consimțământul se va acorda doar după informarea explicită cu privire la repercusiunile deciziilor asupra situației juridice a persoanei vizate, deoarece numai în aceste condiții consimțământul va putea fi exprimat în deplină cunoștință de cauză.

4.11.2.

În ceea ce privește alineatul (3), CESE este de părere că măsurile adecvate ar trebui să fie definite de Autoritatea Europeană pentru Protecția Datelor, și nu de operator.

4.12.1.

CESE se teme că formularea de la articolul 25 din propunerea de regulament reprezintă o interpretare prea largă a dispozițiilor de la articolul 23 din RGPD în ceea ce privește domeniul limitărilor de aplicare a dispozițiilor ce stabilesc drepturile fundamentale ale persoanei vizate și recomandă revizuirea critică a acestui text, în urma unei analize fundamentate și eventual limitative a mai multor alineate, în special în ceea ce privește restricționarea dreptului la confidențialitate în rețelele de comunicații electronice stipulată la articolul 7 din Carta drepturilor fundamentale, așa cum este prevăzută în actuala Directivă privind confidențialitatea electronică și menținută în propunerea de regulament care face în prezent obiectul unui alt aviz al CESE.

4.12.2.

CESE se opune fățiș posibilității prevăzute la articolul 25 alineatul (2), în ceea ce privește posibilitatea ca instituțiile și organismele UE să restricționeze aplicarea limitărilor drepturilor persoanelor vizate ce nu rezultă din acte juridice explicite care să le autorizeze în acest sens. La fel pentru articolul 34.

—

să împiedice orice persoană neautorizată să acceseze instalațiile folosite la prelucrarea datelor;

—

să împiedice citirea, copierea, modificarea sau îndepărtarea de către persoane neautorizate a suporturilor de date;

—

să împiedice introducerea neautorizată și luarea la cunoștință, modificarea sau eliminarea neautorizată a datelor cu caracter personal introduse;

—

să împiedice utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor;

—

să garanteze verificarea entităților cărora le pot fi transmise datele cu caracter personal;

—

să garanteze că persoanele autorizate au acces doar la datele ce fac obiectul autorizării prealabile.

4.20.1.

Fără a aduce atingere afirmațiilor anterioare, în toate cazurile în care nu este un funcționar, responsabilul cu protecția datelor, având în vedere natura funcției sale, trebuie să poată fi demis în orice moment, fiind suficient în acest sens avizul favorabil al AEPD [articolul 45 alineatul (8) din regulament].

4.20.2.

CESE consideră că perioada mandatului acestui responsabil trebuie să fie fixă, de cinci ani, iar mandatul să poată fi reînnoit o singură dată.

4.25.

Propunerea de regulament este presărată cu expresii sau noțiuni ambigue și subiective, care ar trebui revizuite și înlocuite. Este vorba, de exemplu, despre „în măsura în care acest lucru este posibil”, „dacă/în cazul în care/acolo unde este posibil”, „fără întârziere”, „risc ridicat”, „se are în vedere în mod corespunzător”, „termen/perioadă rezonabil(ă)”, „este relevant”.