30.7.2021 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 274/41 |
REGULAMENTUL (UE) 2021/1232 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
din 14 iulie 2021
privind o derogare temporară de la anumite dispoziții ale Directivei 2002/58/CE în ceea ce privește utilizarea tehnologiilor de către furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere pentru prelucrarea datelor cu caracter personal și a altor date în scopul combaterii abuzului sexual online asupra copiilor
(Text cu relevanță pentru SEE)
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2) coroborat cu articolul 114 alineatul (1),
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naționale,
având în vedere avizul Comitetului Economic și Social European (1),
hotărând în conformitate cu procedura legislativă ordinară (2),
întrucât:
(1) |
Directiva 2002/58/CE a Parlamentului European și a Consiliului (3) stabilește norme care asigură dreptul la respectarea vieții private și la confidențialitate în domeniul prelucrării de date cu caracter personal în cadrul schimbului de date din sectorul comunicațiilor electronice. Directiva respectivă detaliază și completează Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4). |
(2) |
Directiva 2002/58/CE se aplică prelucrării datelor cu caracter personal în legătură cu furnizarea de servicii de comunicații electronice accesibile publicului. Până la 21 decembrie 2020 s-a aplicat definiția de „serviciu de comunicații electronice” stabilită la articolul 2 litera (c) din Directiva 2002/21/CE a Parlamentului European și a Consiliului (5). La acea dată, Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului (6) a abrogat Directiva 2002/21/CE. Definiția de „serviciu de comunicații electronice” de la articolul 2 punctul 4 din Directiva (UE) 2018/1972 include servicii de comunicații interpersonale care nu se bazează pe numere, astfel cum sunt definite la articolul 2 punctul 7 din directiva respectivă. Serviciile de comunicații interpersonale care nu se bazează pe numere care includ, de exemplu, servicii de telefonie prin internet, mesagerie și servicii de e-mail bazate pe web, au intrat, prin urmare, în domeniul de aplicare al Directivei 2002/58/CE la 21 decembrie 2020. |
(3) |
În conformitate cu articolul 6 alineatul (1) din Tratatul privind Uniunea Europeană (TUE), Uniunea recunoaște drepturile, libertățile și principiile prevăzute în Carta drepturilor fundamentale a Uniunii Europene („carta”). Articolul 7 din cartă protejează dreptul fundamental al fiecărei persoane la respectarea vieții sale private și de familie, a domiciliului și a secretului comunicațiilor, inclusiv confidențialitatea comunicațiilor. Articolul 8 din cartă conține dreptul la protecția datelor cu caracter personal. |
(4) |
Articolul 3 alineatul (1) din Convenția Organizației Națiunilor Unite privind drepturile copilului din 1989 („CDC”) și articolul 24 alineatul (2) din cartă prevăd că, în toate acțiunile referitoare la copii, indiferent dacă sunt realizate de autoritățile publice sau de instituții private, interesul superior al copilului trebuie să fie considerat primordial. În plus, articolul 3 alineatul (2) din CDC și articolul 24 alineatul (1) din cartă evocă dreptul copilului la o astfel de protecție și îngrijire necesare în vederea asigurării bunăstării sale. |
(5) |
Protecția copiilor, atât offline cât și online, este una dintre prioritățile Uniunii. Abuzul sexual asupra copiilor și exploatarea sexuală a copiilor reprezintă violări grave ale drepturilor omului și ale drepturilor fundamentale, în special ale drepturilor copiilor la protecția față de orice forme de violență, abuz și neglijență, rele tratamente sau exploatare, inclusiv abuz sexual, astfel cum se stipulează în CDC cu privire la drepturile copilului și în cartă. Digitalizarea a adus numeroase beneficii pentru societate și economie, dar a adus și provocări, inclusiv creșterea numărului de abuzuri sexuale online asupra copiilor. La 24 iulie 2020, Comisia a adoptat o comunicare intitulată „Strategia UE pentru combaterea mai eficace a abuzului sexual asupra copiilor” (denumită în continuare „strategia”). Strategia are scopul de a oferi un răspuns eficace, la nivelul Uniunii, în ceea ce privește infracțiunea de abuz sexual asupra copiilor. |
(6) |
În concordanță cu Directiva 2011/93/UE a Parlamentului European și a Consiliului (7), prezentul regulament nu reglementează politicile statelor membre cu privire la activitățile sexuale reciproc consimțite în care pot fi implicați copii și care pot fi considerate o descoperire normală a sexualității în cursul dezvoltării umane, avându-se în vedere tradițiile culturale și juridice diferite și noi forme de stabilire și menținere a relațiilor între copii și adolescenți, inclusiv prin intermediul tehnologiilor informațiilor și comunicațiilor. |
(7) |
Unii furnizori ale anumitor servicii de comunicații interpersonale care nu se bazează pe numere (denumiți în continuare „furnizorii”), cum ar fi serviciile de webmail și de mesagerie, utilizează deja în mod voluntar în serviciile lor tehnologii specifice pentru a detecta abuzul sexual online asupra copiilor și pentru a-l raporta autorităților de aplicare a legii și organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor, scanând fie conținutul, cum ar fi fotografiile și textul, fie datele de transfer ale comunicațiilor, utilizând, în unele cazuri, datele istorice. Tehnologia utilizată pentru activitățile respective ar putea fi tehnologia de tip „hash” pentru imagini și videoclipuri, precum și algoritmii de clasificare și inteligența artificială pentru analiza textului sau a datelor de transfer. La utilizarea tehnologiei de tip „hash”, materialele online care conțin abuzuri sexuale asupra copiilor sunt raportate când se obține un răspuns pozitiv, care înseamnă o corelare rezultată dintr-o comparare a unei imagini sau a unui videoclip cu o semnătură digitală unică, nereconvertibilă („hash”) dintr-o bază de date, gestionată de o organizație care acționează în interes public împotriva abuzurilor sexuale asupra copiilor, care conține materiale online verificate cu abuzuri sexuale asupra copiilor. Furnizorii respectivi recurg la linii telefonice de urgență naționale pentru raportarea materialelor online care conțin abuzuri sexuale asupra copiilor și la organizații situate atât în Uniune, cât și în țări terțe, al căror scop este de a identifica copiii, de a reduce exploatarea sexuală a copiilor și abuzul sexual al copiilor și de a preveni victimizarea copiilor. Astfel de organizații ar putea să nu se încadreze în domeniul de aplicare al Regulamentului (UE) 2016/679. Colectiv, astfel de activități voluntare joacă un rol crucial, făcând posibile identificarea și salvarea victimelor, ale căror drepturi fundamentale la demnitate umană și integritate fizică și mentală sunt grav încălcate. Astfel de activități voluntare joacă, de asemenea, un rol important în reducerea diseminării în continuare a materialelor online care conțin abuzuri sexuale asupra copiilor și în identificarea și investigarea infractorilor și în prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de abuz sexual asupra copiilor. |
(8) |
În pofida obiectivului lor legitim, activitățile voluntare desfășurate de furnizori pentru detectarea abuzurilor sexuale online asupra copiilor în serviciile lor și raportarea acestora reprezintă o ingerință care afectează drepturile fundamentale la respectarea vieții private și de familie și de protecție a datelor cu caracter personal ale tuturor utilizatorilor de servicii de comunicații interpersonale independente de număr (denumiți în continuare „utilizatorii”). Nicio limitare a exercitării dreptului fundamental la respectarea vieții private și de familie, inclusiv confidențialitatea comunicațiilor, nu poate fi justificată prin simplul motiv că furnizorii utilizau anumite tehnologii într-o perioadă în care serviciile de comunicații interpersonale independente de număr nu intrau sub incidența definiției de „servicii de comunicații electronice”. Astfel de limitări sunt posibile numai în anumite condiții. În temeiul articolului 52 alineatul (1) din cartă, astfel de limitări trebuie să fie prevăzute de lege și să respecte esența drepturilor la viață privată și de familie și la protecția datelor cu caracter personal, și, sub rezerva respectării principiului proporționalității, trebuie să fie necesare și să răspundă efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. În cazul în care astfel de limitări implică în permanență o monitorizare și o analiză generală și nediferențiată a comunicațiilor tuturor utilizatorilor, ele afectează dreptul la confidențialitatea comunicațiilor. |
(9) |
Până la data de 20 decembrie 2020, Regulamentul (UE) 2016/679 era singurul act care reglementa prelucrarea datelor cu caracter personal de către furnizori prin intermediul unor măsuri voluntare în scopul detectării abuzului sexual online asupra copiilor în serviciile lor și a raportării acestuia și în scopul eliminării materialelor care conțin abuzuri sexuale asupra copiilor din serviciile lor. Directiva (UE) 2018/1972, care trebuia transpusă până la 20 decembrie 2020, a introdus furnizorii în domeniul de aplicare al Directivei 2002/58/CE. Pentru a continua să utilizeze astfel de măsuri voluntare după 20 decembrie 2020, furnizorii ar trebui să respecte condițiile prevăzute în prezentul regulament. Regulamentul (UE) 2016/679 va continua să se aplice prelucrării datelor cu caracter personal efectuate prin intermediul unor astfel de măsuri voluntare. |
(10) |
Directiva 2002/58/CE nu conține dispoziții specifice privind prelucrarea datelor cu caracter personal de către furnizori în legătură cu furnizarea de servicii de comunicații electronice în scopul detectării abuzului sexual online asupra copiilor în serviciile lor și a raportării acestuia și în scopul eliminării materialelor online care conțin abuzuri sexuale asupra copiilor din serviciile lor. Cu toate acestea, în temeiul articolului 15 alineatul (1) din Directiva 2002/58/CE, statele membre pot adopta măsuri legislative pentru a restricționa domeniul de aplicare al drepturilor și obligațiilor prevăzute, printre altele, la articolele 5 și 6 din directiva respectivă, care privesc confidențialitatea comunicațiilor și a datelor de transfer, în scopul prevenirii, investigării, detectării și urmăririi penale a infracțiunilor de abuz sexual asupra copiilor. În absența unor astfel de măsuri legislative naționale și în așteptarea adoptării unui cadru juridic pe termen lung pentru a combate abuzul sexual asupra copiilor la nivelul Uniunii, furnizorii nu se mai pot baza pe Regulamentul (UE) 2016/679 după data de 21 decembrie 2020 pentru continuarea utilizării de măsuri voluntare în scopul detectării abuzului sexual online asupra copiilor în serviciile lor, al raportării acestuia și al eliminării materialelor online care conțin abuzuri sexuale asupra copiilor din serviciile lor. Prezentul regulament nu prevede un temei juridic pentru prelucrarea datelor cu caracter personal de către furnizori cu scopul unic de a detecta abuzurile sexuale online asupra copiilor în serviciile lor, de a le raporta și de a elimina materialele online care conțin abuzuri sexuale asupra copiilor din serviciile lor, dar prevede o derogare de la anumite dispoziții ale Directivei 2002/58/CE. Prezentul regulament prevede garanții suplimentare care trebuie respectate de furnizori dacă doresc să se bazeze pe acesta. |
(11) |
Prelucrarea, în sensul prezentului regulament, ar putea implica prelucrarea unor categorii speciale de date cu caracter personal, astfel cum se prevede în Regulamentul (UE) 2016/679. Prelucrarea imaginilor și a materialelor video prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice este considerată prelucrare a unor categorii speciale de date cu caracter personal. |
(12) |
Prezentul regulament prevede o derogare temporară de la articolul 5 alineatul (1) și de la articolul 6 alineatul (1) din Directiva 2002/58/CE, care protejează confidențialitatea comunicațiilor și a datelor de transfer. Utilizarea voluntară de către furnizori a tehnologiilor pentru prelucrarea datelor cu caracter personal și a altor date în măsura necesară pentru detectarea abuzului sexual online asupra copiilor în serviciile lor, pentru raportarea acestuia și pentru eliminarea materialelor online care conțin abuzuri sexuale asupra copiilor din serviciile lor se încadrează în domeniul de aplicare al derogării prevăzute în prezentul regulament, cu condiția ca o astfel de utilizare să respecte condițiile prevăzute în prezentul regulament, și, prin urmare, face obiectul garanțiilor și condițiilor prevăzute în Regulamentul (UE) 2016/679. |
(13) |
Directiva 2002/58/CE a fost adoptată în temeiul articolului 114 din Tratatul privind funcționarea Uniunii Europene (TFUE). În plus, nu toate statele membre au adoptat măsuri legislative în conformitate cu Directiva 2002/58/CE pentru restricționarea domeniului de aplicare al drepturilor și obligațiilor referitoare la confidențialitatea comunicațiilor și a datelor de transfer, astfel cum se prevede în directiva respectivă, iar adoptarea unor astfel de măsuri implică un risc semnificativ de fragmentare care ar putea afecta piața internă. În consecință, temeiul juridic al prezentului regulament ar trebui să fie articolul 114 din TFUE. |
(14) |
Întrucât datele legate de comunicațiile electronice care implică persoane fizice se califică în mod normal drept date cu caracter personal, prezentul regulament ar trebui să se întemeieze și pe articolul 16 din TFUE, care prevede un temei juridic specific pentru adoptarea de norme referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și de către statele membre atunci când desfășoară activități care intră în domeniul de aplicare al dreptului Uniunii, precum și de norme privind libera circulație a acestor date. |
(15) |
Regulamentul (UE) 2016/679 se aplică prelucrării de date cu caracter personal în legătură cu furnizarea de servicii de comunicații electronice de către furnizori, cu unicul scop de detectare a abuzului sexual online asupra copiilor în serviciile lor, de raportare a acestuia și de eliminare a materialelor online care conțin abuzuri sexuale asupra copiilor din serviciile lor, în măsura în care prelucrarea respectivă intră în domeniul de aplicare al derogării prevăzute în prezentul regulament. |
(16) |
Tipurile de tehnologii utilizate în înțelesul prezentului Regulament ar trebui să fie cât mai puțin intruzive asupra vieții private, în conformitate cu tehnologia de ultimă generație din domeniu. Respectivele tehnologii nu ar trebui utilizate pentru filtrarea și scanarea sistematică a textului în comunicări decât pentru a detecta tipare care indică posibile motive concrete de suspectare a prezenței unor abuzuri sexuale online asupra copiilor și acestea nu ar trebui să poată deduce substanța conținutului comunicărilor. În cazul tehnologiei utilizate pentru identificarea ademenirii copiilor, astfel de motive de suspectare ar trebui să se bazeze pe factori de risc identificați în mod obiectiv, cum ar fi diferența de vârstă și implicarea probabilă a unui copil în comunicarea scanată. |
(17) |
Ar trebui instituite proceduri și mecanisme de contestare adecvate care să asigure faptul că persoanele fizice pot depune plângeri la furnizori. Astfel de proceduri și mecanisme sunt relevante mai ales în cazul în care conținutul care nu constituie abuz sexual online asupra copiilor a fost eliminat sau raportat autorităților de aplicare a legii sau unei organizații care acționează în interes public împotriva abuzului sexual asupra copiilor. |
(18) |
Pentru a asigura o precizie și fiabilitate cât mai mare, tehnologia utilizată în înțelesul prezentului regulament ar trebui, în conformitate cu tehnologia de ultimă generație din domeniu, să limiteze cât mai mult posibil numărul și procentul erorilor (răspunsuri fals pozitive și ar trebui, dacă este necesar, să remedieze fără întârziere orice astfel de erori posibile. |
(19) |
Datele privind conținutul și datele de transfer prelucrate și datele cu caracter personal generate în desfășurarea activităților vizate de prezentul regulament, precum și perioada în care datele sunt stocate ulterior în cazul identificării suspiciunii de abuz sexual online asupra copiilor ar trebui să rămână limitate la strictul necesar pentru desfășurarea activităților respective. Orice date ar trebui șterse imediat și definitiv după ce nu mai sunt strict necesare pentru unul dintre scopurile specificate în prezentul regulament, inclusiv în cazul în care nu se identifică nicio suspiciune de abuz sexual online asupra copiilor, și în orice caz cel târziu după 12 luni de la data detectării abuzului sexual online asupra copiilor suspectat. Acest lucru nu ar trebui să aducă atingere posibilității de a stoca date relevante privind conținutul și date relevante de transfer în conformitate cu Directiva 2002/58/CE. Prezentul regulament nu aduce atingere aplicării niciunei obligații juridice a furnizorilor de a păstra datele în temeiul dreptului Uniunii sau al dreptului intern. |
(20) |
Prezentul regulament nu împiedică un furnizor care a raportat autorităților de aplicare a legii un abuz sexual online asupra copiilor să solicite respectivelor autorități o dovadă de primire a raportării. |
(21) |
Pentru a asigura transparența și responsabilitatea cu privire la activitățile întreprinse în temeiul derogării prevăzute în prezentul regulament, furnizorii ar trebui până la 3 februarie 2022, și ulterior până la data de 31 ianuarie a fiecărui an, să publice și să prezinte rapoarte autorității de supraveghere competente desemnate în temeiul Regulamentului (UE) 2016/679 (denumită în continuare „autoritatea de supraveghere”) și Comisiei. Astfel de rapoarte ar trebui să includă prelucrarea care intră în domeniul de aplicare al prezentului regulament, inclusiv tipul și volumele de date prelucrate, motivele specifice invocate pentru prelucrarea datelor cu caracter persona în temeiul Regulamentului (UE) 2016/679, motivele invocate pentru transferurile de date cu caracter personal în afara Uniunii în temeiul capitolului V din Regulamentul (UE) 2016/679, după caz, numărul de cazuri identificate de abuzuri sexuale online asupra copiilor, făcând distincție între materialele online care conțin abuzuri sexuale asupra copiilor și cele de ademenire a copiilor, numărul de cazuri în care un utilizator a depus o plângere prin mecanismul de contestare intern sau a introdus o cale de atac judiciară și rezultatul obținut în urma unor astfel de plângeri sau căi de atac, numărul și procentul erorilor (răspunsuri fals pozitive) dat de diferitele tehnologii utilizate, măsurile aplicate pentru a limita rata de eroare și rata de eroare realizată, politica de păstrare și garanțiile aplicate pentru protecția datelor cu caracter personal în temeiul Regulamentului (UE) 2016/679 și numele organizațiilor care acționează în interes public împotriva abuzurilor sexuale asupra copiilor cu care s-au făcut schimburi de date în temeiul prezentului regulament. |
(22) |
Pentru a sprijini autoritățile de supraveghere să-și îndeplinească sarcinile, Comisia ar trebui să solicite Comitetului european pentru protecția datelor să emită orientări privind conformitatea prelucrării care intră sub incidența derogării prevăzute în prezentul regulament cu Regulamentul (UE) 2016/679. Atunci când autoritățile de supraveghere evaluează dacă o tehnologie consacrată sau una nouă care urmează să fie utilizată este în conformitate cu tehnologia de ultimă generație în domeniu, aduce cel mai puțin atingere confidențialității și funcționează în baza unui temei juridic adecvat din Regulamentul (UE) 2016/679, orientările respective ar trebui, în special, să acorde asistență autorităților de supraveghere, furnizând consultanță în cadrul procedurii de consultare prealabilă prevăzută în respectivul regulament. |
(23) |
Prezentul regulament restricționează dreptul la protecția confidențialității comunicațiilor și derogă de la decizia luată în temeiul Directivei (UE) 2018/1972 de a supune serviciile de comunicații interpersonale care nu se bazează pe numere acelorași norme care se aplică tuturor celorlalte servicii de comunicații electronice în ceea ce privește confidențialitatea, cu unicul scop de a detecta în serviciile respective abuzurile sexuale online asupra copiilor, de a le raporta autorităților de aplicare a legii sau organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor și de a elimina materialele online care conțin abuzuri sexuale asupra copiilor din respectivele servicii. Prin urmare, perioada de aplicare a prezentului regulament ar trebui să fie limitată la trei ani de la data aplicării sale, pentru a acorda timpul necesar adoptării unui nou cadru juridic pe termen lung. În cazul în care cadrul juridic pe termen lung este adoptat și intră în vigoare înainte de acea dată, respectivul cadru juridic pe termen lung ar trebui să abroge prezentul regulament. |
(24) |
În ceea ce privește toate celelalte activități care intră în domeniul de aplicare al Directivei 2002/58/CE, furnizorilor ar trebui să li se aplice obligațiile specifice stabilite în directiva respectivă și, în consecință, competențele de monitorizare și de investigare ale autorităților competente desemnate în temeiul directivei respective. |
(25) |
Criptarea de la un capăt la altul (end-to-end) constituie un instrument important pentru garantarea securității și a confidențialității comunicațiilor utilizatorilor, inclusiv ale copiilor. Orice slăbire a criptării ar putea fi utilizată în mod abuziv de terți răuvoitori. Prin urmare, nicio dispoziție din prezentul regulament nu ar trebui interpretată ca o interdicție sau o slăbire a criptării de la un capăt la altul (end-to-end). |
(26) |
Dreptul la respectarea vieții private și de familie, inclusiv la confidențialitatea comunicațiilor, este un drept fundamental, garantat în temeiul articolului 7 din cartă. Prin urmare, acesta este, de asemenea, o condiție prealabilă pentru securizarea comunicațiilor dintre victimele abuzului sexual asupra copiilor și un adult de încredere sau organizații active în lupta împotriva abuzului sexual asupra copiilor și pentru comunicațiile dintre victime și avocații lor. |
(27) |
Prezentul regulament nu ar trebui să aducă atingere normelor privind secretul profesional prevăzute în dreptul intern, cum ar fi normele privind protecția comunicărilor profesionale dintre medici și pacienții acestora, dintre jurnaliști și sursele acestora sau dintre avocați și clienții lor, în special deoarece confidențialitatea comunicării dintre avocați și clienții lor este esențială pentru asigurarea exercitării efective a dreptului la apărare, ca parte esențială a dreptului la un proces echitabil. Prezentul regulament ar trebui de asemenea să nu aducă atingere normelor naționale privind registrele de autorități publice sau organizații care oferă consiliere persoanelor aflate în dificultate. |
(28) |
Furnizorii ar trebui să comunice Comisiei numele organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor cărora le raportează potențiale abuzuri sexuale online asupra copiilor în temeiul prezentului regulament. Deși este responsabilitatea exclusivă a furnizorilor, acționând în calitate de operatori, să evalueze cu ce părți terțe pot face schimb de date cu caracter personal în temeiul Regulamentului (UE) 2016/679, Comisia ar trebui să asigure transparența în ceea ce privește transferul potențialelor cazuri de abuz sexual online asupra copiilor, publicând pe site-ul său internet o listă a organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor care i-au fost comunicate. Această listă publică ar trebui să fie ușor accesibilă. Furnizorii ar trebui să poată utiliza lista respectivă pentru a identifica organizațiile relevante în lupta mondială împotriva abuzului sexual online asupra copiilor. Lista respectivă nu ar trebui să aducă atingere obligațiilor furnizorilor, acționând în calitate de operatori în temeiul Regulamentului (UE) 2016/679, inclusiv în ceea ce privește obligația acestora de a efectua orice transfer de date cu caracter personal în afara Uniunii în temeiul capitolului V din regulamentul respectiv și obligația acestora de a îndeplini toate obligațiile care le revin în temeiul capitolului IV din regulamentul respectiv. |
(29) |
Statisticile care urmează să fie oferite de statele membre în temeiul prezentului regulament sunt indicatori importanți pentru evaluarea politicilor, inclusiv a măsurilor legislative. În plus, este important să se recunoască impactul victimizării secundare inerente schimbului de imagini și videoclipuri înfățișând victime ale abuzului sexual asupra copiilor care ar putea fi în circulație de ani de zile și care nu este reflectat pe deplin în astfel de statistici. |
(30) |
În conformitate cu cerințele prevăzute în Regulamentul (UE) 2016/679, în special cerința ca statele membre să se asigure că autoritățile de supraveghere dispun de resursele umane, tehnice și financiare necesare pentru îndeplinirea efectivă a sarcinilor și exercitarea prerogativelor lor, statele membre ar trebui să se asigure că autoritățile de supraveghere dispun de astfel de resurse suficiente pentru îndeplinirea efectivă a sarcinilor care le revin și pentru exercitarea prerogativelor care le revin în temeiul prezentului regulament. |
(31) |
În cazul în care un furnizor a efectuat o evaluare de impact asupra protecției datelor și a consultat autoritățile de supraveghere în legătură cu o tehnologie în conformitate cu Regulamentul (UE) 2016/679 înainte de intrarea în vigoare a prezentului regulament, furnizorul respectiv nu ar trebui să fie obligat, în temeiul prezentului regulament, să efectueze o evaluare suplimentară de impact asupra protecției datelor sau o consultare suplimentară, cu condiția ca autoritățile de supraveghere să fi indicat că prelucrarea datelor cu ajutorul tehnologiei respective nu va genera un risc ridicat la adresa drepturilor și libertăților persoanelor fizice sau că operatorul a luat măsuri pentru atenuarea unui astfel de risc. |
(32) |
Utilizatorii ar trebui să aibă dreptul la o cale de atac judiciară eficientă dacă drepturile lor au fost încălcate ca urmare a prelucrării datelor cu caracter personal și a altor date în scopul detectării abuzului sexual online asupra copiilor în serviciile de comunicații interpersonale care nu se bazează pe numere, al raportării acestuia și al eliminării materialelor online care conțin abuzuri sexuale asupra copiilor din serviciile respective, de exemplu în cazul în care conținutul sau identitatea unui utilizator au fost raportate unei organizații care acționează în interes public împotriva abuzului sexual asupra copiilor sau autorităților de aplicare a legii sau în cazul în care conținutul unui utilizator a fost eliminat sau contul unui utilizator a fost blocat sau un serviciu oferit unui utilizator a fost suspendat. |
(33) |
În conformitate cu Directiva 2002/58/CE și cu principiul reducerii la minimum a datelor, prelucrarea datelor cu caracter personal și a altor date ar trebui să fie limitată la datele privind conținutul și la datele de transfer aferente, în măsura în care acest lucru este strict necesar pentru atingerea scopului prezentului regulament. |
(34) |
Derogarea prevăzută de prezentul regulament ar trebui extinsă la categoriile de date menționate la articolul 5 alineatul (1) și articolul 6 alineatul (1) din Directiva 2002/58/CE, care sunt aplicabile prelucrării atât a datelor cu caracter personal, cât și a datelor fără caracter personal prelucrate în contextul furnizării unui serviciu de comunicații interpersonale care nu se bazează pe numere. |
(35) |
Obiectivul prezentului regulament este de a crea o derogare temporară de la anumite dispoziții ale Directivei 2002/58/CE fără a crea fragmentări pe piața internă. În plus, este puțin probabil ca toate statele membre să poată adopta măsuri legislative naționale la timp. Întrucât acest obiectiv nu poate fi realizat în mod satisfăcător de către statele membre, dar poate fi realizat mai bine la nivelul Uniunii, Uniunea poate adopta măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din TUE. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea acestui obiectiv. Acesta introduce o derogare temporară și limitată în mod strict de la aplicarea articolului 5 alineatul (1) și a articolului 6 alineatul (1) din Directiva 2002/58/CE, împreună cu o serie de garanții pentru a asigura faptul că derogarea nu depășește ceea ce este necesar pentru realizarea obiectivului stabilit. |
(36) |
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (8) și a emis un aviz la 10 noiembrie 2020, |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Obiect și domeniu de aplicare
(1) Prezentul regulament stabilește norme temporare și limitate în mod strict de derogare de la anumite obligații prevăzute în Directiva 2002/58/CE, cu unicul scop de a le permite furnizorilor anumitor servicii de comunicații interpersonale care nu se bazează pe numere (denumiți în continuare „furnizori”) să utilizeze, fără a aduce atingere Regulamentului (UE) 2016/679, tehnologii specifice pentru prelucrarea datelor cu caracter personal și a altor date în măsura strict necesară pentru detectarea abuzului sexual online asupra copiilor, pentru raportarea acestuia și pentru eliminarea materialelor online care conțin abuzuri sexuale asupra copiilor din serviciile lor.
(2) Prezentul regulament nu se aplică scanării comunicațiilor audio.
Articolul 2
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
1. |
„servicii de comunicații interpersonale care nu se bazează pe numere” înseamnă servicii de comunicații interpersonale care nu se bazează pe numere astfel cum sunt definite la articolul 2 punctul 7 din Directiva (UE) 2018/1972; |
2. |
„material online care conține abuzuri sexuale asupra copiilor” înseamnă:
|
3. |
„ademenirea copiilor” înseamnă orice faptă săvârșită cu intenție care constituie infracțiune în temeiul articolului 6 din Directiva 2011/93/UE; |
4. |
„abuz sexual online asupra copiilor” înseamnă material online care conține abuzuri sexuale asupra copiilor și ademenirea copiilor. |
Articolul 3
Domeniul de aplicare al derogării
(1) Articolul 5 alineatul (1) și articolul 6 alineatul (1) din Directiva 2002/58/CE nu se aplică în ceea ce privește confidențialitatea comunicațiilor care implică prelucrarea de către furnizori a datelor cu caracter personal și a altor date în legătură cu furnizarea de servicii de comunicații interpersonale care nu se bazează pe numere, cu condiția ca:
(a) |
prelucrarea să fie:
|
(b) |
tehnologiile utilizate în scopul prevăzut la litera (a) punctul (i) de la prezentul alineat să fie conforme cu tehnologia de ultimă generație în domeniu și să fie cel mai puțin intruzive asupra vieții private, inclusiv în ceea ce privește principiul protecției datelor începând cu momentul conceperii și în mod implicit prevăzut la articolul 25 din Regulamentul (UE) 2016/679, și, în măsura în care sunt utilizate pentru a scana comunicări care conțin text, să nu poată înțelege substanța conținutului comunicărilor, ci să poată doar să detecteze tipare care indică un eventual abuz sexual online asupra copiilor; |
(c) |
în ceea ce privește orice tehnologie specifică utilizată în scopul prevăzut la litera (a) punctul (i) de la prezentul alineat, să se fi realizat o evaluare prealabilă de impact asupra protecției datelor, astfel cum este menționată la articolul 35 din Regulamentul (UE) 2016/679, și o procedură de consultare prealabilă, astfel cum este menționată la articolul 36 din regulamentul respectiv; |
(d) |
în ceea ce privește noile tehnologii, și anume tehnologii utilizate în scopul detectării materialelor online care conțin abuzuri sexuale asupra copiilor care nu au fost utilizate de niciun furnizor în legătură cu serviciile furnizate utilizatorilor serviciilor de comunicații interpersonale care nu se bazează pe numere (denumiți în continuare „utilizatori”) din Uniune înainte de 2 august 2021 și în ceea ce privește tehnologiile utilizate în scopul identificării unei posibile ademeniri a copiilor, furnizorul să informeze din nou autoritatea competentă în legătură cu măsurile luate pentru a demonstra conformitatea cu consilierea în scris oferită în conformitate cu articolul 36 alineatul (2) din Regulamentul (UE) 2016/679 de către autoritatea de supraveghere competentă desemnată în temeiul capitolului VI secțiunea 1 din regulamentul respectiv (denumită în continuare „autoritatea de supraveghere”) în cursul procedurii de consultare prealabilă; |
(e) |
tehnologiile utilizate să fie suficient de fiabile, astfel încât să limiteze, în măsura maximă posibilă, rata de erori în ceea ce privește detectarea conținutului care reprezintă abuz sexual online asupra copiilor și, acolo unde apar astfel de erori, să rectifice consecințele acestora fără întârziere; |
(f) |
tehnologiile utilizate pentru a detecta tipare de posibilă ademenire a copiilor să se limiteze la utilizarea indicatorilor cheie relevanți și a factorilor de risc identificați în mod obiectiv, cum ar fi diferența de vârstă și implicarea probabilă a unui copil în comunicarea scanată, fără a aduce atingere dreptului la o verificare umană; |
(g) |
furnizorii:
|
(h) |
în cazul în care a fost identificat un presupus abuz sexual online asupra copiilor, datele privind conținutul și datele de transfer aferente prelucrate în scopul prevăzut la litera (a) punctul (i), precum și datele cu caracter personal generate prin această prelucrare să fie stocate în condiții de siguranță, exclusiv în scopul:
|
(i) |
datele să nu fie stocate mai mult timp decât este strict necesar pentru scopul relevant prevăzut la litera (h) și, în orice caz, nu mai mult de 12 luni de la data identificării abuzului sexual online asupra copiilor suspectat; |
(j) |
fiecare caz de suspiciune motivată și verificată de abuz sexual online asupra copiilor să fie raportat fără întârziere autorităților naționale competente de aplicare a legii sau organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor. |
(2) Condiția prevăzută la alineatul (1) litera (c) nu se aplică până la 3 aprilie 2022 furnizorilor care:
(a) |
utilizau o tehnologie specifică înainte de 2 august 2021 în scopul prevăzut la alineatul (1) litera (a) punctul (i), fără să fi încheiat o procedură de consultare prealabilă cu privire la tehnologia respectivă; |
(b) |
au inițiat o procedură de consultare prealabilă înainte de 3 septembrie 2021; și |
(c) |
cooperează corespunzător cu autoritatea de supraveghere competentă în legătură cu procedura de consultare prealabilă menționată la litera (b). |
(3) Condiția prevăzută la alineatul (1) litera (d) nu se aplică până la 3 aprilie 2022 furnizorilor care:
(a) |
utilizau o tehnologie menționată la alineatul (1) litera (d) înainte de 2 august 2021, fără să fi încheiat o procedură de consultare prealabilă cu privire la tehnologia respectivă; |
(b) |
inițiază o procedură, astfel cum este menționată la alineatul (1) litera (d), înainte de 3 septembrie 2021; și |
(c) |
cooperează corespunzător cu autoritatea de supraveghere competentă în legătură cu procedura menționată la alineatul (1) litera (d). |
Articolul 4
Orientările Comitetului european pentru protecția datelor
Până la 3 septembrie 2021 și în temeiul articolului 70 din Regulamentul (UE) 2016/679, Comisia solicită Comitetului european pentru protecția datelor să emită orientări menite să ajute autoritățile de supraveghere să evalueze dacă prelucrările de date care se încadrează în domeniul de aplicare al prezentului regulament, în ceea ce privește tehnologiile existente și noi utilizate în scopul prevăzut la articolul 3 alineatul (1) litera (a) punctul (i) din prezentul regulament, sunt în conformitate cu Regulamentul (UE) 2016/679.
Articolul 5
Căi de atac judiciare eficiente
În conformitate cu articolul 79 din Regulamentul (UE) 2016/679 și cu articolul 15 alineatul (2) din Directiva 2002/58/CE, utilizatorii au dreptul la o cale de atac judiciară eficientă în cazul în care consideră că drepturile lor au fost încălcate ca urmare a prelucrării datelor cu caracter personal și a altor date în scopul prevăzut la articolul 3 alineatul (1) litera (a) punctul (i) din prezentul regulament.
Articolul 6
Autorități de supraveghere
Autoritățile de supraveghere, desemnate în temeiul capitolului VI secțiunea 1 din Regulamentul (UE) 2016/679, monitorizează prelucrarea care intră în domeniul de aplicare al prezentului regulament în conformitate cu competențele și prerogativele care le revin în temeiul capitolului respectiv.
Articolul 7
Lista publică a organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor
(1) Până la 3 septembrie 2021, furnizorii comunică Comisiei lista cu denumirile organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor cărora le raportează abuzuri sexuale online asupra copiilor în temeiul prezentului regulament. Furnizorii comunică Comisiei în mod regulat modificările aduse listei respective.
(2) Până la 3 octombrie 2021, Comisia face publică o listă cu denumirile organizațiilor care acționează în interes public împotriva abuzului sexual asupra copiilor care i-a fost comunicată în temeiul alineatului (1). Comisia actualizează regulat lista publică respectivă.
Articolul 8
Statistici
(1) Până la 3 august 2022 și, ulterior, anual, statele membre pun la dispoziția publicului și prezintă Comisiei rapoarte cu statistici în legătură cu următoarele aspecte:
(a) |
numărul total de raportări de abuzuri sexuale online asupra copiilor detectate care au fost trimise de furnizori și de organizațiile care acționează în interes public împotriva abuzului sexual asupra copiilor către autoritățile naționale competente de aplicare a legii, diferențiind, atunci când astfel de informații sunt disponibile, între numărul total de cazuri și cazurile raportate de mai multe ori și în funcție de tipul de furnizor în serviciul căruia a fost detectat abuzul sexual online asupra copiilor; |
(b) |
numărul copiilor identificați prin intermediul acțiunilor în temeiul articolului 3, defalcat în funcție de gen; |
(c) |
numărul autorilor condamnați. |
(2) Comisia centralizează statisticile menționate la alineatul (1) de la prezentul articol și ține seama de ele la pregătirea raportului privind punerea în aplicare în temeiul articolului 9.
Articolul 9
Raportul privind punerea în aplicare
(1) Pe baza raportărilor prezentate în temeiul articolului 3 alineatul (1) litera (g) punctul (ii) și a statisticilor transmise în temeiul articolului 8, Comisia pregătește până la 3 august 2023 un raport privind punerea în aplicare a prezentului regulament și îl înaintează și prezintă Parlamentului European și Consiliului.
(2) În cadrul raportului privind punerea în aplicare, Comisia are în vedere în special:
(a) |
condițiile pentru prelucrarea datelor cu caracter personal și a altor date prevăzute la articolul 3 alineatul (1) litera (a) punctul (ii) și literele (b), (c) și (d); |
(b) |
caracterul proporțional al derogării prevăzute în prezentul regulament, inclusiv o evaluare a statisticilor prezentate de statele membre în temeiul articolului 8; |
(c) |
progresul tehnologic în activitățile care intră sub incidența prezentului regulament și măsura în care, prin acest progres, crește acuratețea și se reduce numărul și procentul erorilor (răspunsuri fals pozitive). |
Articolul 10
Intrarea în vigoare și aplicarea
Prezentul regulament intră în vigoare în a treia zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică până la 3 august 2024.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 14 iulie 2021.
Pentru Parlamentul European
Președintele
D. M. SASSOLI
Pentru Consiliu
Președintele
A. LOGAR
(1) JO C 10, 11.1.2021, p. 63.
(2) Poziția Parlamentului European din 6 iulie 2021 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 12 iulie 2021.
(3) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
(4) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(5) Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind un cadru de reglementare comun pentru rețelele și serviciile de comunicații electronice (Directivă-cadru) (JO L 108, 24.4.2002, p. 33).
(6) Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice (JO L 321, 17.12.2018, p. 36).
(7) Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1).
(8) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).