Convenția Consiliului Europei pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (Convenția 108) este singurul acord multilateral cu caracter juridic obligatoriu în domeniul protecției datelor cu caracter personal. Obiectivul convenției este protejarea dreptului la viața privată, recunoscut la articolul 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. Dreptul la viața privată și dreptul la protecția datelor sunt consacrate și de articolele 7 și 8 din Carta drepturilor fundamentale a UE, precum și de articolul 16 din TFUE.

Convenția 108 prevede încorporarea de către părți în legislațiile lor naționale a măsurilor necesare pentru a se garanta că tuturor persoanelor le sunt respectate drepturile omului în ceea ce privește prelucrarea datelor cu caracter personal. Convenția a fost una dintre principalele surse de inspirație pentru elaborarea acquis-ului UE în domeniul protecției datelor. În conformitate cu considerentul 11 din Directiva (CE) 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, unul dintre obiectivele acesteia a fost să precizeze și să amplifice principiile și drepturile conținute în Convenția 108.

În prezent, 51 de state au ratificat Convenția 108, printre care toate cele 28 de state membre, cele patru state AELS, toate țările din Balcanii de Vest, mai multe țări învecinate (de exemplu, Armenia, Georgia), Federația Rusă, Turcia și mai multe țări din afara Europei - din Africa (de exemplu, Senegal și Tunisia), precum și din America Latină (Uruguay). Sunt în curs mai multe solicitări (de exemplu, Argentina, Mexic, Maroc), iar o serie de țări au statutul de observator (de exemplu, Japonia și Coreea de Sud).

Convenția 108 a fost deschisă pentru semnare în 1981, cu mult timp înainte de era internetului și a comunicațiilor electronice. Evoluțiile tehnologice și globalizarea informațiilor aduc provocări noi în ceea ce privește protecția datelor cu caracter personal. Obiectivul Protocolului de modificare este modernizarea Convenției 108, în scopul de a se oferi soluții la aceste provocări.

Convenția modernizată (și anume, Convenția 108 modificată de Protocolul de modificare) va avea un domeniu de aplicare uniform pentru toate părțile la convenție, fără posibilitatea de a se exclude în totalitate sectoare sau activități (de exemplu, în domeniul securității naționale) de la aplicarea acesteia, așa cum este cazul cu textul actualei Convenții 108. Astfel, aceasta ar acoperi toate tipurile de prelucrare a datelor aflate sub jurisdicția părților, atât în sectorul public, cât și în cel privat.

Protocolul de modificare sporește în mod semnificativ nivelul protecției datelor prevăzut în Convenția 108. În special, convenția modernizată va prevedea în plus principiul prelucrării legale (mai ales în ceea ce privește cerințele referitoare la consimțământ) și va consolida în continuare protecția categoriilor speciale de date (în același timp extinzând categoriile de date la cele recunoscute în dreptul Uniunii ca fiind categorii speciale de date cu caracter personal). În plus, convenția modernizată va prevedea garanții suplimentare pentru persoanele fizice atunci când le sunt prelucrate datele cu caracter personal (în special, obligații de a se examina impactul probabil al unei operațiuni de prelucrare a datelor avute în vedere și de a se pune în aplicare măsuri relevante atât tehnice, cât și organizaționale, precum și obligația de a se raporta încălcări grave ale securității datelor) și, de asemenea, le va consolida drepturile (în special în ceea ce privește transparența și accesul la date). Au fost introduse, de asemenea, drepturi noi pentru persoanele vizate, de exemplu dreptul de a nu face obiectul unei decizii care afectează în mod semnificativ persoana vizată, care se bazează exclusiv pe prelucrarea automatizată, dreptul de a obiecta împotriva prelucrării datelor, precum și dreptul de a recurge la o cale de atac în cazul încălcării drepturilor unei persoane fizice.

Convenția modernizată va include dispoziții revizuite (care, în prezent, sunt incluse într-un protocol adițional semnat doar de unele părți), obligând părțile să înființeze una sau mai multe autorități independente responsabile de asigurarea conformității cu dispozițiile Convenției 108. Poziția acestor autorități ar fi consolidată prin dispoziții care vor obliga părțile să le acorde competențe suplimentare, de exemplu competența de a emite decizii cu privire la încălcări ale Convenției 108 și de a impune sancțiuni administrative.

Sistemul derogărilor de la drepturile și obligațiile menționate anterior, astfel cum sunt formulate în Protocolul de modificare, îndeplinește trei condiții esențiale: menținerea domeniului de aplicare cuprinzător al Convenției 108 (fără excepții generale), flexibilitatea (care permite reconcilierea standardelor ridicate de protecție a datelor cu alte interese publice importante, de exemplu considerații privind securitatea națională) și coerența generală cu jurisprudența Curții Europene a Drepturilor Omului (în special, absența restricțiilor de natură să afecteze esența dreptului fundamental la protecția datelor).

În ansamblu, convenția modernizată ar asigura un nivel ridicat de protecție, lăsând în același timp părților o marjă de flexibilitate în ceea ce privește punerea în aplicare a dispozițiilor sale în legislația națională. Ca atare, accesul la Convenția 108 modernizată ar deveni atractiv pentru acele țări, dar și pentru cele din afara Europei, care au în vedere înființarea sau consolidarea propriilor sisteme de protecție a datelor. Se preconizează că impactul efectiv va fi mult mai mare decât impactul actualei Convenții 108, atât din punctul de vedere al domeniului de aplicare al convenției, cât și al obligațiilor prevăzute de aceasta.

Odată intrat în vigoare, Protocolul de modificare introduce posibilitatea ca Uniunea să devină parte la convenție (convenția modernizată). În ceea ce privește drepturile de vot în cadrul comitetului convenției, textul convenit garantează principiul conform căruia Uniunea poate vota în domeniul competențelor sale, acordând un număr de voturi pentru Uniune egal cu numărul de voturi al statelor sale membre care sunt părți la convenție. Pentru a aborda preocupările cu privire la ponderea votului Uniunii, s-a ajuns la o soluție de compromis conform căreia se pot adopta decizii numai cu o „hiper-majoritate” (patru cincimi) a părților și, pentru deciziile cele mai importante privind respectarea convenției de către o parte, există cerința unei „duble majorități” (majoritate calificată împreună cu majoritatea simplă a părților din afara UE).

Convenția modernizată ar consolida, de asemenea, eficacitatea protecției datelor prin dispoziția conform căreia comitetul convenției poate evalua eficacitatea măsurilor adoptate în legislația națională pentru a pune în aplicare dispozițiile convenției.

Textul Protocolului de modificare a fost convenit cu reprezentanții statelor membre din Grupul de lucru competent din cadrul Consiliului și pune în aplicare directivele de negociere ale Consiliului. De asemenea, textul este în deplină conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor - RGPD), și cu Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date (Directiva privind protecția datelor de către autoritățile polițienești), excluzând faptul că statele membre sunt supuse unor obligații diferite sau chiar conflictuale, prevăzute de legislația Uniunii și de legislația Consiliului Europei. Adoptarea unei convenții solide, întemeiată pe aceleași abordări și principii ca și (noul acquis al) acquis-ul Uniunii, are o importanță deosebită pentru strategia internațională a Uniunii în domeniul protecției datelor. Convenția 108, care este deschisă și statelor din afara Europei, a devenit foarte atractivă pentru statele din întreaga lume care se pregătesc sau intenționează să adopte legislație în domeniul protecției datelor. În comunicarea sa din ianuarie 2017 privind „Schimburile de date cu caracter personal și protecția acestora într-o lume globalizată” (COM/2017/07 final), Comisia a făcut trimitere la Convenția 108, recunoscând că la baza convenției modernizate vor fi aceleași principii ca cele prevăzute de legislația UE în domeniul protecției datelor și că, astfel, vor „contribui la convergența către un set de standarde ridicate de protecție a datelor” la nivel mondial. Prin urmare, Comisia și-a exprimat angajamentul de a „promova adoptarea rapidă” a Protocolului de modificare.

În prezent, domeniul reglementat de convenția modificată este acoperit în mare parte de cadrul legislativ al Uniunii privind protecția datelor. RGPD, aplicabil începând din 25 mai 2018, precum și Directiva privind protecția datelor de către autoritățile polițienești, a cărei perioadă de transpunere s-a încheiat la 6 mai 2018, prevăd un sistem cuprinzător de norme în domeniul protecției datelor și asigură cel puțin un standard de protecție echivalent și, în multe cazuri, mai ridicat. Conform articolului 13 din convenția modernizată, părțile pot asigura persoanelor vizate „măsuri mai extinse de protecție comparativ cu cele prevăzute de prezenta convenție”, lăsându-le astfel libertatea de a adopta măsuri de protecție mai ferme.

Protocolul de modificare va intra în vigoare odată ce toate părțile își vor fi depus instrumentele de ratificare, de acceptare sau de aprobare, la Secretarul General al Consiliului Europei. În plus, având în vedere numărul mare de părți pentru care este necesară ratificarea, Protocolul de modificare permite „intrarea parțială”, după cinci ani, în cadrul unui grup mai mic de părți, odată ce minimum 38 de părți își vor fi exprimat consimțământul de a­și asuma obligații în temeiul acestuia.

Statele membre ale UE (în prezent, singurele care sunt părți la Convenția 108) ar trebui să adopte măsurile necesare pentru a asigura intrarea în vigoare cu celeritate a Protocolului de modificare:

În primul rând, având în vedere că în convenția modernizată vor fi prevăzute garanții în mare parte similare cu cele ale RGPD și ale Directivei privind protecția datelor de către autoritățile polițienești, intrarea în vigoare (parțială) va contribui la promovarea la nivel mondial a standardelor Uniunii în domeniul protecției datelor. Într-adevăr, Convenția 108 a îndeplinit un rol esențial în ceea ce privește răspândirea la nivel mondial a „modelului european de protecție a datelor”, întrucât este luat adeseori ca sursă de inspirație de către țările care iau în considerare adoptarea sau modernizarea propriilor legi privind protecția vieții private. Acest lucru este și mai important în prezent, având în vedere numărul crescând de țări care adoptă o astfel de legislație în numeroase regiuni ale globului. Sporirea de către părțile la convenție a standardelor în domeniul protecției datelor ar facilita, de asemenea, fluxurile de date dintre UE și părțile terțe la convenție. În cazul câtorva țări, aderarea la Convenția 108 s-a dovedit, de asemenea, a fi o pregătire utilă pentru o posibilă constatare de către Comisia Europeană a gradului de adecvare. RGPD consolidează acest aspect prin prevederea în mod expres a faptului că aderarea la Convenția 108 reprezintă un factor important de care Comisia Europeană trebuie să țină seama în cadrul evaluării pe care o va efectua cu privire la gradul de adecvare. Chiar și în absența adecvării, un nivel mai ridicat de protecție (în special în ceea ce privește disponibilitatea căilor de atac judiciare și extrajudiciare, precum și supervizarea efectivă de către autoritățile de supraveghere) ar facilita schimbul de date pe baza unor garanții adecvate (îndeosebi având în vedere faptul că aceste garanții ar putea fi mai ușor de pus în aplicare în sistemele juridice ale părților).

În al doilea rând, este important să se mențină convenția modernizată în conformitate deplină cu dispozițiile RGPD și ale Directivei privind protecția datelor de către autoritățile polițienești, astfel încât statele membre ale UE să rămână părți la convenție și să se conformeze dispozițiilor acesteia fără să încalce legislația Uniunii. Acest lucru se referă, în special, la dispozițiile privind fluxul liber de date dintre părți, având în vedere faptul că în convenția modernizată (spre deosebire de textul actual) se prevede o exceptare de la aceste norme a părților „care sunt supuse normelor de protecție armonizate, comune statelor care fac parte dintr-o organizație regională cu caracter internațional”. Acest lucru va asigura conformitatea la nivelul statelor membre ale UE, indiferent de condițiile privind transferurile internaționale prevăzute în cadrul legislației UE privind protecția datelor.

În al treilea rând, actuala Convenție 108 nu prevede posibilitatea aderării organizațiilor internaționale. Protocolul de modificare schimbă acest lucru și, prin urmare, intrarea sa în vigoare reprezintă o condiție de aderare în viitor a UE la convenție.

Propunerea de decizie a Consiliului se întemeiază pe articolul 218 alineatul (6) din TFUE, coroborat cu articolul 16 din TFUE.