This document is an excerpt from the EUR-Lex website
Document 52017AE0689
Opinion of the European Economic and Social Committee on the ‘Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC’ (COM(2017) 8 final – 2017/0002 (COD))
Avizul Comitetului Economic și Social European privind Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE [COM(2017) 8 final – 2017/0002 (COD)]
Avizul Comitetului Economic și Social European privind Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE [COM(2017) 8 final – 2017/0002 (COD)]
JO C 288, 31.8.2017, p. 107–114
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
31.8.2017 |
RO |
Jurnalul Oficial al Uniunii Europene |
C 288/107 |
Avizul Comitetului Economic și Social European privind Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE
[COM(2017) 8 final – 2017/0002 (COD)]
(2017/C 288/15)
Raportor: |
domnul Jorge PEGADO LIZ |
Sesizare |
Comisia Europeană, 26.4.2017 |
Temei juridic |
Articolul 16 alineatul (2) din TFUE |
|
|
Secțiunea competentă |
Secțiunea pentru transporturi, energie, infrastructură și societatea informațională |
Data adoptării în secțiune |
16.5.2017 |
Data adoptării în sesiunea plenară |
31.5.2017 |
Sesiunea plenară nr. |
526 |
Rezultatul votului (voturi pentru/voturi împotrivă/abțineri) |
161/0/2 |
1. Concluzii și recomandări
1.1. |
Prin propunerea supusă examinării, Comisia răspunde în mod concret, într-o manieră în general corectă și adecvată (din punct de vedere strict tehnico-juridic), necesității de a adapta regimul actual al Regulamentului (CE) nr. 45/2001 al Parlamentului European și al Consiliului (1) și al Deciziei nr. 1247/2002/CE a Parlamentului European, a Consiliului și a Comisiei (2) privind protecția datelor cu caracter personal de către instituțiile, organele și oficiile Uniunii la noul Regulament general privind protecția datelor (RGPD) (3), care va fi aplicabil în întreaga UE începând cu 25 mai 2018. |
1.2. |
Cu toate acestea, CESE reamintește conținutul observațiilor și recomandărilor sale referitoare la propunerea de RGPD, în prezent transformată în actualul RGPD, și regretă faptul că această versiune finală nu le-a luat în considerare pe deplin; de asemenea, CESE se teme că, date fiind evoluțiile tehnologice rapide din acest domeniu, adoptarea și intrarea în vigoare cu întârziere a acestui document accentuează riscurile de însușire neautorizată a datelor și de abuzuri în prelucrarea și comercializarea acestora, existând pericolul ca propunerea să devină obsoletă chiar înainte de punerea sa în aplicare. În măsura în care propunerea examinată este o adaptare a RGPD la funcționarea instituțiilor europene, reticențele exprimate anterior sunt valabile, mutatis mutandis, și pentru textul analizat în prezentul aviz, în special în ceea ce privește opacitatea limbajului acestuia, greu de înțeles pentru cetățeanul obișnuit. |
1.3. |
Pe de altă parte, CESE consideră că ceea ce se întâmplă în instituțiile UE trebuie să constituie un exemplu pentru procedurile de la nivel național, motiv pentru care trebuie să se acționeze cu deosebită grijă în elaborarea propunerii analizate. |
1.4. |
În acest sens, CESE consideră că ar fi trebuit să fie abordate explicit unele aspecte precum legătura dintre propunerea examinată și Statutul funcționarilor Uniunii Europene, tratamentul situațiilor de hărțuire, inclusiv online (cyberbullying) și de avertizare în interes public (whistle blowing) în cadrul instituțiilor UE, aplicarea propunerii în ceea ce privește internetul obiectelor, volumele mari de date și utilizarea motoarelor de căutare pentru accesarea, crearea sau utilizarea datelor cu caracter personal, precum și informațiile personale publicate pe paginile instituțiilor de pe rețelele sociale (Facebook, Twitter, Instagram, Linkedin etc.). |
1.5. |
De asemenea, CESE consideră că ar fi fost util ca propunerea să se fi preocupat de enunțarea condițiilor de siguranță ale sistemelor informatice ce vor funcționa ca suport pentru prelucrarea datelor și de garanțiile împotriva atacurilor cibernetice și a încălcărilor sau a scurgerilor de astfel de date. S-ar fi garantat astfel caracterul lor neutru din punct de vedere tehnologic, fără ca aceste aspecte să fie reglementate doar prin norme interne specifice fiecărui serviciu și, astfel, ar fi fost mai bine clarificată relația dintre protecția datelor și combaterea infracțiunilor și a terorismului, fără ca aceasta să însemne adoptarea unor măsuri de supraveghere disproporționate sau excesive, aceste măsuri necesare trebuind de altfel să fie supuse întotdeauna controlului Autorității Europene pentru Protecția Datelor (AEPD). |
1.6. |
CESE ar fi apreciat, totodată, dacă propunerea ar fi definit competențele și cerințele de formare și de probitate morală necesare pentru a fi numit responsabil cu protecția datelor, operator și persoană împuternicită de către operator, pe lângă instituțiile UE, iar aceste competențe și cerințe să fi fost supuse întotdeauna controlului și monitorizării AEPD. |
1.7. |
CESE s-ar fi așteptat ca, având în vedere caracterul specific al datelor colectate și faptul că au o influență directă asupra vieții private a persoanelor vizate, în special în ceea ce privește sănătatea, datele fiscale și sociale, ele să fie limitate la strictul necesar pentru scopurile vizate și să se asigure protecția maximă și garanțiile maxime pentru tratamentul acestor date cu caracter personal deosebit de sensibile, pe baza normelor internaționale și a legislațiilor naționale mai avansate și a celor mai bune practici din unele state membre. |
1.8. |
CESE subliniază necesitatea ca propunerea să prevadă în mod explicit consolidarea mijloacelor AEPD și alocarea unui personal suficient, care să posede un nivel ridicat de cunoștințe și competențe tehnice în domeniul protecției datelor. |
1.9. |
CESE reafirmă, încă o dată, necesitatea ca și datele persoanelor juridice (întreprinderi, ONG-uri, societăți comerciale etc.) constituite în mod legal să facă obiectul protecției în ceea ce privește colectarea și prelucrarea. |
1.10. |
În final, CESE enunță în analiza sa specifică o serie de modificări ale anumitor dispoziții care, atunci când vor fi adoptate, vor contribui la o protecție mai eficace a datelor cu caracter personal în cadrul instituțiilor UE, nu numai în relația cu propriii funcționari, ci și cu miile de cetățeni europeni cu care intră în contact și, din acest motiv, îndeamnă Comisia, dar și Parlamentul European și Consiliul, să le ia în considerare în elaborarea versiunii finale a propunerii. |
2. Obiectul și încadrarea propunerii
2.1. |
După cum a precizat Comisia în expunerea de motive, obiectivul propunerii este acela de a proceda la abrogarea Regulamentului (CE) nr. 45/2001 (4) și a Deciziei nr. 1247/2002/CE privind protecția datelor cu caracter personal de către instituțiile, organele și oficiile Uniunii, cu două obiective:
|
2.2. |
După o perioadă de pregătire îndelungată și dificilă, Consiliul și Parlamentul au sfârșit prin a adopta Regulamentul General privind Protecția Datelor (RGPD) (5), care va fi aplicabil în întreaga UE începând cu 25 mai 2018; acest regulament implică o adaptare a mai multor instrumente legislative (6), printre care și Regulamentul (CE) nr. 45/2001 și Decizia nr. 1247/2002/CE, menționate anterior. |
2.3. |
Având în vedere rezultatele anchetelor și ale consultărilor părților interesate, precum și ale studiului de evaluare referitor la aplicarea sa pe parcursul ultimilor 15 ani, pe care, de altfel, le prezintă pe larg, Comisia conchide că:
|
2.4. |
Ținând cont de natura și amploarea modificărilor ce ar fi trebuit introduse în instrumentele juridice anterioare, Comisia a decis abrogarea lor în totalitate și înlocuirea lor cu regulamentul examinat, în acord cu celelalte dispoziții menționate, astfel încât să intre în vigoare simultan cu Regulamentul (UE) 2016/679 și conform dispozițiilor de la articolul 98. |
3. Observații generale
3.1. |
Din punct de vedere strict tehnico-juridic, CESE își exprimă acordul de principiu în ceea ce privește:
|
3.2. |
Acest acord de principiu nu aduce atingere conținutului observațiilor și recomandărilor CESE referitoare la propunerea de RGPD (8), devenită actualul RGPD (9), pe care această versiune finală nu le-a luat în considerare pe deplin; de asemenea, CESE se teme că, date fiind evoluțiile tehnologice rapide din acest domeniu, adoptarea și intrarea în vigoare cu întârziere a acestui document accentuează riscurile de însușire neautorizată a datelor și de abuzuri în ceea ce privește prelucrarea și comercializarea lor, existând pericolul ca propunerea să devină obsoletă chiar înainte de punerea sa în aplicare. În măsura în care propunerea examinată este o adaptare a RGPD la funcționarea instituțiilor europene, reticențele exprimate anterior sunt valabile mutatis mutandis și pentru textul examinat în prezentul document, în special în ceea ce privește opacitatea limbajului său, greu de înțeles pentru cetățeanul obișnuit. În acest sens, CESE consideră că ar fi fost mai bine ca cele două texte să fi fost prezentate și discutate simultan. |
3.3. |
Pe de altă parte, considerând că ceea ce se întâmplă în instituțiile UE trebuie să constituie un exemplu pentru procedurile de la nivel național, CESE este de părere că anumite teme ar fi trebuit abordate în propunerea examinată. |
3.4. |
Desigur, nu este clar dacă această propunere a fost corelată în mod corespunzător cu Statutul funcționarilor Uniunii Europene [Regulamentul nr. 31 (CEE) (10)], întrucât nu există dispoziții normative specifice care să garanteze că datele cu caracter personal ale funcționarilor și colaboratorilor instituțiilor fac obiectul unei garanții de protecție mai eficace în ceea ce privește recrutarea, cariera, durata contractului de muncă și eventualele reînnoiri ale acestuia, precum și evaluarea lor. |
3.4.1. |
Fie în propunerea examinată, fie în alte acte, ar trebui să fie prevăzute dispoziții cu caracter general care să conțină norme privind: fișa medicală a funcționarilor și a membrilor de familie ai acestora, protecția datelor create sau utilizate de către funcționari și a datelor lor genetice, tratamentul și protecția mesajelor trimise prin e-mail, indiferent dacă ele sunt trimise de cetățeni către organismele UE sau de către funcționari ai acestor organisme sau schimbate între ei înșiși și cu exteriorul, conținuturile acestor mesaje, precum și paginile de internet vizitate (11). |
3.4.2. |
De asemenea, merită un tratament special situațiile de hărțuire, inclusiv online (cyberbullying) și de avertizare în interes public (whistle blowing) în cadrul instituțiilor UE, fără a se aduce atingere prevederilor articolului 68. |
3.4.3. |
Totodată, CESE ridică semne de întrebare cu privire la modalitățile de aplicare a propunerii analizate și a Regulamentului (UE) 2016/679 în ce privește internetul obiectelor, volumele mari de date și utilizarea motoarelor de căutare pentru accesarea, crearea sau utilizarea datelor cu caracter personal, precum și informațiile personale publicate pe paginile instituțiilor de pe rețelele sociale (Facebook, Twitter, Instagram, Linkedin etc.), atunci când nu există consimțământul explicit al persoanei vizate. |
3.5. |
CESE ar fi dorit ca propunerea Comisiei, pe lângă trimiterea la confidențialitatea comunicațiilor electronice de la articolul 34 din propunerea de regulament, să se fi ocupat de enunțarea condițiilor de siguranță ale sistemelor informatice ce funcționează ca suport pentru prelucrarea datelor și de garanțiile împotriva atacurilor cibernetice și a falsificărilor sau scurgerilor de astfel de date (12), garantând caracterul lor neutru din punct de vedere tehnologic, nelăsând aceste aspecte să fie reglementate doar prin norme interne specifice fiecărui serviciu. Astfel, ar fi fost mai bine clarificată relația dintre protecția datelor și combaterea infracțiunilor și a terorismului, fără ca aceasta să însemne adoptarea unor măsuri de supraveghere disproporționate sau excesive – măsuri care, în orice caz, ar trebui supuse întotdeauna controlului AEPD. |
3.6. |
CESE subliniază că interconectarea datelor cu caracter personal în interiorul instituțiilor UE nu poate fi lăsată exclusiv pe seama principiului responsabilității prevăzut la considerentul 16 și, în acest sens, îndeamnă Comisia să introducă o normă specifică prin care să prevadă că interconectarea va putea fi realizată numai după ce este autorizată de AEPD, în urma unei sesizări din partea operatorului sau a persoanei împuternicite de către operator. |
3.7. |
CESE ar fi apreciat și dacă, fără a aduce atingere dispozițiilor de la punctul 51 din preambul și de la articolul 44 alineatul (3) din text, propunerea ar fi definit competențele și cerințele de formare și de probitate morală necesare pentru a fi numit responsabil cu protecția datelor, operator de date și persoană împuternicită de către operator, pe lângă instituțiile UE (13); eventualele cazuri în care aceste persoane nu își respectă obligațiile operaționale ar trebui să fie supuse unor sancțiuni cu adevărat disuasive, la nivel disciplinar, civil și penal, care să fie enunțate în propunere și să fie controlate și monitorizate întotdeauna de AEPD. |
3.8. |
Deși recunoaște că propunerea examinată reprezintă o îmbunătățire a nivelului de protecție în raport cu actualul Regulament (CE) nr. 45/2001, CESE s-ar fi așteptat ca, având în vedere caracterul specific al datelor colectate și faptul că au o influență directă asupra vieții private a persoanelor vizate, în special în ceea ce privește sănătatea, datele fiscale și sociale, propunerea să se limiteze la strictul necesar pentru scopurile vizate și să asigure protecția maximă și garanțiile maxime pentru tratamentul acestor date cu caracter personal, pe baza normelor internaționale și a legislațiilor naționale mai avansate și a celor mai bune practici din unele state membre (14). |
3.9. |
Deși este conștient că atât Regulamentul (UE) 2016/679, cât și propunerea examinată se aplică numai datelor personale ale persoanelor fizice, CESE reafirmă nevoia ca și datele persoanelor juridice (întreprinderi, ONG-uri, societăți comerciale etc.) constituite în mod legal să facă obiectul protecției în ceea ce privește colectarea și prelucrarea. |
4. Observații specifice
4.1. |
Analiza specifică a textului propunerii prilejuiește o serie de îndoieli și rezerve, în lumina principiilor fundamentale ale protecției vieții private prevăzute în Carta drepturilor fundamentale a UE și a principiilor proporționalității și precauției. |
4.2. Articolul 3
Instituțiile și organismele Uniunii sunt definite la alineatul (2) litera (a) drept instituțiile, organele, oficiile și agențiile Uniunii înființate prin Tratatul privind Uniunea Europeană, TFUE sau Tratatul Euratom sau în temeiul acestora. CESE se întreabă dacă această definiție include și grupurile de lucru, consiliile consultative, comitetele, platformele, grupurile ad-hoc etc., precum și rețelele informatice internaționale din care fac parte instituțiile, însă care nu sunt deținute de acestea.
4.3. Articolul 4
4.3.1. |
Ținând cont de faptul că regulamentul examinat se aplică datelor prelucrate în cadrul instituțiilor UE, CESE ar dori să fie consacrată introducerea explicită a principiului nediscriminării, în temeiul tratatelor menționate. |
4.3.2. |
În ceea ce privește articolul 4, alineatul 1, litera (b), prelucrarea în scopuri de arhivare în interes public, de cercetare științifică sau istorică ori în scopuri statistice ar trebui să fie autorizată în prealabil de către Autoritatea Europeană pentru Protecția Datelor, acest aspect nefiind prevăzut la articolul 58. |
4.3.3. |
În fine, CESE consideră că ar trebui să existe o dispoziție explicită care să fie echivalentă cu actualul articol 7 din Regulamentul (CE) nr. 45/2001 în ceea ce privește transferul de date între instituțiile UE. |
4.4. Articolul 5
4.4.1. |
Nu se înțelege din ce motiv articolul 5 alineatul (1) litera (b) din propunerea de regulament nu face obiectul dispozițiilor de la alineatul (2) al aceluiași articol, spre deosebire de prevederile de la articolul 6 literele (c) și (e), care fac obiectul dispozițiilor alineatului (3) din RGPD. |
4.4.2. |
CESE consideră că la litera (d) trebuie să se prevadă că consimțământul trebuie să se supună principiului bunei-credințe. |
4.5. Articolul 6
4.5.1. |
Aplicarea acestui articol ar trebui să facă întotdeauna obiectul unei autorizări din partea Autorității Europene pentru Protecția Datelor. |
4.5.2. |
În aceste cazuri, persoana vizată trebuie să fie întotdeauna informată în prealabil cu privire la această posibilitate încă din momentul colectării sau în momentul în care se ia o nouă decizie, având, eventual, posibilitatea să solicite rectificarea sau ștergerea datelor, să se opună prelucrării lor sau să ceară limitarea acestei prelucrări. |
4.6. Articolul 8
4.6.1. |
CESE înțelege că excepția de la norma privind valabilitatea consimțământului pentru copiii sub 16 ani (între 13 și 16 ani), oricum aberantă în sine, este admisibilă numai pentru statele membre, din rațiuni culturale de drept intern (articolul 8 din RGPD), însă ea nu trebuie să fie admisă ca normă pentru instituțiile UE [articolul 8 alineatul (1)], unde se stabilește ca limită vârsta de 13 ani. |
4.6.2. |
Pe de altă parte, nu se precizează concret în ce fel AEPD trebuie să acorde o „atenție specială” copiilor, astfel cum se prevede la articolul 58 alineatul 1 litera (b), în special în cazul repertoriilor de utilizatori prevăzute la articolul 36, atunci când datele acestora sunt accesibile publicului. |
4.7. Articolul 10
4.7.1. |
La alineatul (1) ar trebui incluse și afilierea la un partid (care nu este sinonimă cu opinia politică) și viața privată. |
4.7.2. |
La alineatul (2) litera (b), chiar și în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale persoanei vizate, persoana respectivă ar trebui informată în prealabil. |
4.7.3. |
La alineatul (2) litera (d), prelucrarea ar trebui să poată fi efectuată numai dacă s-a obținut consimțământul persoanei vizate. |
4.7.4. |
Litera (e) ar trebui să constituie o excepție numai în măsura în care consimțământul pentru prelucrarea datelor poate fi dedus în mod legitim din declarațiile persoanei vizate. |
4.8. Articolul 14
În măsura în care instituțiile UE nu sunt autorizate să încaseze taxe pentru serviciile prestate, refuzul de a da curs solicitării trebuie aplicat doar ca o ultimă soluție.
4.9. Articolele 15, 16 și 17
4.9.1. |
În cazul informațiilor suplimentare, prevăzute la articolul 15 alineatul (2), trebuie adăugată și obligativitatea informării persoanei vizate cu privire la caracterul obligatoriu sau facultativ al răspunsului operatorului și la posibilele consecințe ale absenței răspunsului. |
4.9.2. |
În cazul colectării de date în rețele deschise, persoana vizată trebuie informată întotdeauna atunci când datele sale cu caracter personal ar putea circula în rețele fără condiții de siguranță, existând riscul ca ele să fie văzute și utilizate de părți terțe neautorizate. |
4.9.3. |
Dreptul prevăzut la articolul 17 alineatul (1) trebuie să poată fi exercitat în mod liber și fără restricții, cu o periodicitate rezonabilă, în mod rapid sau imediat și fără costuri. |
4.9.4. |
CESE sugerează că persoana vizată ar trebui să fie informată în mod obligatoriu și pentru a i se confirma dacă datele sale sunt sau nu în curs de prelucrare. |
4.9.5. |
Informațiile prevăzute la articolul 17 alineatul (1) trebuie să fie furnizate într-o manieră inteligibilă, clară și ușor de înțeles, în special în ceea ce privește datele supuse prelucrării și eventualele informații privind originea acestor date. |
4.10. Articolul 21
Din excluderea din propunerea de regulament a dispozițiilor identice cu cele de la articolul 21 alineatele (2) și (3) din RGPD, se înțelege că datele nu vor putea fi prelucrate niciodată în scopul comercializării directe, ceea ce este lăudabil, însă această interpretare pasibilă de incertitudine ar trebui să fie clarificată în mod explicit în text.
4.11. Articolul 24
4.11.1. |
CESE estimează că la alineatul (2) litera (c) ar trebui să se adauge că consimțământul se va acorda doar după informarea explicită cu privire la repercusiunile deciziilor asupra situației juridice a persoanei vizate, deoarece numai în aceste condiții consimțământul va putea fi exprimat în deplină cunoștință de cauză. |
4.11.2. |
În ceea ce privește alineatul (3), CESE este de părere că măsurile adecvate ar trebui să fie definite de Autoritatea Europeană pentru Protecția Datelor, și nu de operator. |
4.12. Articolul 25
4.12.1. |
CESE se teme că formularea de la articolul 25 din propunerea de regulament reprezintă o interpretare prea largă a dispozițiilor de la articolul 23 din RGPD în ceea ce privește domeniul limitărilor de aplicare a dispozițiilor ce stabilesc drepturile fundamentale ale persoanei vizate și recomandă revizuirea critică a acestui text, în urma unei analize fundamentate și eventual limitative a mai multor alineate, în special în ceea ce privește restricționarea dreptului la confidențialitate în rețelele de comunicații electronice stipulată la articolul 7 din Carta drepturilor fundamentale, așa cum este prevăzută în actuala Directivă privind confidențialitatea electronică și menținută în propunerea de regulament care face în prezent obiectul unui alt aviz al CESE. |
4.12.2. |
CESE se opune fățiș posibilității prevăzute la articolul 25 alineatul (2), în ceea ce privește posibilitatea ca instituțiile și organismele UE să restricționeze aplicarea limitărilor drepturilor persoanelor vizate ce nu rezultă din acte juridice explicite care să le autorizeze în acest sens. La fel pentru articolul 34. |
4.13. Articolul 26
Trebuie clarificat că operatorii, persoanele împuternicite de către operatori, precum și persoanele care, în exercitarea funcțiilor lor, au cunoștință de datele cu caracter personal prelucrate, au obligația de a păstra secretul profesional inclusiv după ce nu mai ocupă funcția în cauză și pentru o perioadă de timp rezonabilă.
4.14. Articolele 29 și 39
Constatând că dispozițiile de la articolul 24 alineatul (3) și de la articolul 40 și următoarele din RGPD nu au fost incluse în propunerea de regulament (codurile de conduită), astfel cum se prevede în mod explicit în preambulul punctului referitor la articolul 26, apreciem ca inadecvate dispozițiile articolelor 29 alineatul (5) și 39 alineatul (7), prin care simpla adeziune la un cod de conduită menționat la articolul 40 din RGPD este considerată o garanție suficientă pentru îndeplinirea funcțiilor de către persoanele împuternicite de operatori care nu sunt instituții și organe ale Uniunii.
4.15. Articolul 31
CESE consideră că simpla posibilitate [„pot”] prevăzută la articolul 31 alineatul (5) ar trebui transformată mai degrabă într-o obligație de păstrare a evidențelor activităților de prelucrare într-un registru central, accesibil publicului.
4.16. Articolul 33
CESE sugerează totodată că operatorul și persoana împuternicită de către operator trebuie să controleze suporturile de date, dar și introducerea, utilizarea și transmiterea de date, iar în acest scop trebuie:
— |
să împiedice orice persoană neautorizată să acceseze instalațiile folosite la prelucrarea datelor; |
— |
să împiedice citirea, copierea, modificarea sau îndepărtarea de către persoane neautorizate a suporturilor de date; |
— |
să împiedice introducerea neautorizată și luarea la cunoștință, modificarea sau eliminarea neautorizată a datelor cu caracter personal introduse; |
— |
să împiedice utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor; |
— |
să garanteze verificarea entităților cărora le pot fi transmise datele cu caracter personal; |
— |
să garanteze că persoanele autorizate au acces doar la datele ce fac obiectul autorizării prealabile. |
4.17. Articolul 34
CESE speră ca acest articol să fie în concordanță cu dispozițiile referitoare la propunerea de regulament privind confidențialitatea electronică și ca instituțiile și organismele UE să fie supuse controlului AEPD în ceea ce privește confidențialitatea comunicațiilor electronice.
4.18. Articolul 42
CESE se teme că sintagma „în urma” de la alineatul (1) poate fi înțeleasă în sensul că obligația de consultare apare doar după ce actul este aprobat și că consultarea, fie și informală, așa cum este cazul în prezent, nu mai are loc.
4.19. Articolul 44
CESE consideră că, în principiu, în calitatea de responsabil pentru protecția datelor ar trebui să fie numiți numai funcționari. În cazul în care, în mod excepțional, acest lucru nu este posibil, responsabilii ar trebui, totuși, să fie angajați în conformitate cu normele în materie de achiziții publice pentru furnizarea de servicii și să facă obiectul unei evaluări de către AEPD.
4.20. Articolul 45
4.20.1. |
Fără a aduce atingere afirmațiilor anterioare, în toate cazurile în care nu este un funcționar, responsabilul cu protecția datelor, având în vedere natura funcției sale, trebuie să poată fi demis în orice moment, fiind suficient în acest sens avizul favorabil al AEPD [articolul 45 alineatul (8) din regulament]. |
4.20.2. |
CESE consideră că perioada mandatului acestui responsabil trebuie să fie fixă, de cinci ani, iar mandatul să poată fi reînnoit o singură dată. |
4.21. Articolul 56
Evenimentele recente și bine cunoscute în care au fost implicați înalți funcționari ai instituțiilor recomandă stabilirea de incompatibilități și interdicții în exercitarea anumitor funcții, pentru o perioadă de timp rezonabilă, mai ales în întreprinderile private, după încheierea mandatului.
4.22. Articolul 59
În anumite limbi, mai exact în versiunea în limba engleză, termenul „actions” utilizat la alineatul (5) este prea restrictiv și trebuie înlocuit cu termenul „proceedings” (proceduri).
4.23. Articolul 63
În ceea ce privește alineatul (3) și având în vedere caracterul sensibil al elementelor ce fac obiectul propunerii examinate, CESE consideră că trebuie inversat principiul respingerii implicite, obligând astfel Autoritatea Europeană pentru Protecția Datelor să răspundă în mod explicit tuturor reclamațiilor ce îi sunt transmise, în caz contrar acestea fiind considerate acceptate.
4.24. Articolul 65
După cum se menționează în avizul CESE privind propunerea ce a stat la baza Regulamentului (UE) 2016/679, subliniem necesitatea ca propunerea să prevadă, pe lângă dispozițiile de la articolul 67, posibilitatea ca reacția la încălcarea securității datelor cu caracter personal să poată fi exercitată printr-o acțiune colectivă, fără a fi necesare mandate individuale, ținând cont de faptul că, în general, atunci când se produc astfel de încălcări, nu există o singură persoană afectată, ci un număr mai mare, uneori nedeterminat, de persoane.
4.25. |
Propunerea de regulament este presărată cu expresii sau noțiuni ambigue și subiective, care ar trebui revizuite și înlocuite. Este vorba, de exemplu, despre „în măsura în care acest lucru este posibil”, „dacă/în cazul în care/acolo unde este posibil”, „fără întârziere”, „risc ridicat”, „se are în vedere în mod corespunzător”, „termen/perioadă rezonabil(ă)”, „este relevant”. |
Bruxelles, 31 mai 2017.
Președintele Comitetului Economic și Social European
Georges DASSIS
(2) JO L 183, 12.7.2002, p. 1.
(3) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (JO L 119, 4.5.2016, p. 1).
(4) CESE a emis un aviz privind această propunere (JO C 51, 23.2.2000, p. 48).
(5) Regulamentul (UE) 2016/679 din 27 aprilie 2016 (JO L 119, 4.5.2016, p. 1).
(6) COM(2017) 10 final, COM(2017) 9 final.
(7) COM(2017) 9 final.
(8) JO C 229, 31.7. 2012, p. 90.
(9) Regulamentul (UE) 2016/679.
(10) JO 45, 14.6.1962, p. 1385/62 și modificările ulterioare.
(11) După cum rezultă, de exemplu, din documentul „Avis et Recommandations de la Commission de la Vie privée de la Belgique sur la vie privée sur le lieu de travail” (Avize și recomandări ale Comisiei pentru protecția vieții private din Belgia privind confidențialitatea la locul de muncă), ianuarie 2013.
(12) După cum rezultă, de exemplu, din „Recommandation d’initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données” [Recomandare de inițiativă privind măsurile de siguranță ce trebuie respectate în vederea prevenirii scurgerilor de date], Comisia pentru protecția vieții private din Belgia, 1/2013 din 21 ianuarie 2013.
(13) După cum se prevede, de exemplu, în „Guidelines on Data Protection Officers” [Orientări privind responsabilii cu protecția datelor], WP 243, articolul 29, 13 decembrie 2016.
(14) A se vedea, de exemplu, legea portugheză privind protecția datelor (Legea 67/98 din 26 octombrie 1998).