Protecția datelor cu caracter personal

Directiva 95/46/CE reprezintă textul de referință, la nivel european, în materie de protecție a datelor cu caracter personal. Aceasta instituie un cadru de reglementare menit să stabilească un echilibru între un nivel ridicat de protecție a vieții private a persoanelor și libera circulație a datelor cu caracter personal în cadrul Uniunii Europene (UE). În acest sens, directiva stabilește limite stricte în ceea ce privește colectarea și utilizarea datelor cu caracter personal și solicită ca fiecare stat membru să creeze un organism național independent responsabil cu supravegherea oricărei activități care are legătură cu prelucrarea datelor cu caracter personal.

ACT

Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date [A se vedea actele de modificare].

SINTEZĂ

Directiva se aplică datelor prelucrate prin mijloace automatizate (de exemplu, baze informatice de date ale clienților), precum și datelor conținute sau care urmează să fie conținute într-un sistem neautomatizat de evidență a datelor cu caracter personal (evidențe tradiționale pe hârtie).

Directiva nu se aplică prelucrării datelor cu caracter personal:

Directiva este menită să protejeze drepturile și libertățile persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, stabilind criteriile-cheie pentru ca prelucrarea să fie legitimă, precum și principiile privind calitatea datelor.

Prelucrarea datelor este legitimă numai dacă:

Principiile privind calitatea datelor, care trebuie implementate pentru toate activitățile legitime de prelucrare a datelor, sunt următoarele:

Persoana ale cărei date sunt prelucrate, adică persoana vizată, beneficiază de următoarele drepturi:

Alte aspecte relevante în cazul prelucrării datelor:

Orice persoană trebuie să dispună de o cale de atac în justiție în caz de încălcare a drepturilor garantate prin dispozițiile de drept intern aplicabile prelucrării în cauză. De asemenea, orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale a datelor sale cu caracter personal are dreptul să obțină reparații de la operator pentru prejudiciul suferit.

Se admite transferul datelor cu caracter personal efectuat de un stat membru către o țară terță, dacă aceasta din urmă asigură un nivel adecvat de protecție a datelor. În schimb, deși transferurile nu pot fi efectuate în cazul în care nu este garantat un nivel de protecție adecvat, în directivă sunt enumerate câteva excepții de la această regulă: de exemplu, atunci când persoana vizată acceptă ea însăși transferul, în situația încheierii unui contract, atunci când transferul este necesar pentru apărarea unui interes public, dar și în cazul în care anumite norme corporative obligatorii sau clauze contractuale standard au fost autorizate de către statul membru.

Directiva urmărește să încurajeze elaborarea unor coduri de conduită naționale și comunitare destinate să contribuie la buna aplicare a dispozițiilor de drept intern și comunitar.

Fiecare stat membru prevede una sau mai multe autorități publice independente responsabile cu supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul directivei.

Se instituie un grup de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, format din reprezentanți ai autorităților naționale de supraveghere, reprezentanți ai autorităților de supraveghere ale instituțiilor și organismelor comunitare și dintr-un reprezentant al Comisiei.

REFERINȚE

Act

Intrarea în vigoare

Termen de transpunere în legislația statelor membre

Jurnalul Oficial

Directiva 95/46/CE

13.12.1995

24.10.1998

JO L 281 din 23.11.1995

Act(e) de modificare

Intrarea în vigoare

Termen de transpunere în legislația statelor membre

Jurnalul Oficial

Regulamentul (CE) nr. 1882/2003

20.11.2003

-

JO L 284 din 31.10.2003

Modificările și corecturile succesive aduse Directivei 95/46/CE au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

ACTE CONEXE

RAPORT PRIVIND PUNEREA ÎN APLICARE

Comunicarea Comisiei către Parlamentul European și Consiliu din 7 martie 2007, intitulată: „Continuarea Programului de lucru pentru o mai bună punere în aplicare a Directivei privind protecția datelor” [ COM(2007) 87 final – Nepublicată în Jurnalul Oficial].

Comunicarea a analizat activitatea realizată în cadrul Programului de lucru pentru o mai bună punere în aplicare a Directivei privind protecția datelor cu caracter personal conținut în Primul raport referitor la punerea în aplicare a Directivei 95/46/CE. Comisia a indicat faptul că punerea în aplicare a fost îmbunătățită, toate statele membre transpunând directiva până la acel moment. Aceasta a precizat că, pentru moment, directiva nu ar trebui modificată.

Comisia a adăugat faptul că:

Raportul Comisiei din 15 mai 2003, intitulat „Primul raport referitor la punerea în aplicare a Directivei privind protecția datelor (95/46/CE)” [ COM(2003) 265 final – Nepublicat în Jurnalul Oficial].

Raportul a prezentat rezultatele consultărilor derulate de Comisie, în cadrul evaluării Directivei 95/46/CE, cu guvernele, instituțiile, federațiile patronale, asociațiile consumatorilor și cetățenii. Rezultatele consultărilor au arătat că foarte puțini contribuitori au pledat pentru o revizuire a directivei. De asemenea, după consultarea statelor membre, Comisia a luat act de faptul că majoritatea statelor și majoritatea autorităților naționale de supraveghere nu consideră necesară modificarea directivei în stadiul actual.

În ciuda întârzierilor și a lacunelor constatate în punerea în aplicare a directivei, aceasta și-a atins obiectivul principal, și anume de a înlătura obstacolele din calea liberei circulații a datelor cu caracter personal între statele membre. De asemenea, Comisia a estimat că obiectivul care vizează garantarea unui înalt nivel de protecție în cadrul Comunității a fost atins, deoarece directiva stabilește unele dintre cele mai înalte norme de protecție a datelor din lume.

Totuși, alte obiective ale politicii privind piața internă nu au avut un succes similar. Există încă disparități semnificative între legislațiile statelor membre în materie de protecție a datelor. Acestea împiedică organizațiile multinaționale să elaboreze politici paneuropene în domeniul protecției datelor. Comisia a anunțat deci că va lua măsurile care se impun pentru a remedia această situație, evitând, pe cât posibil, declanșarea unor acțiuni formale.

În ceea ce privește nivelul general de respectare a legislației în materie de protecție a datelor în UE, au fost identificate trei probleme:

Pentru a asigura o mai bună aplicare a Directivei privind protecția datelor, Comisia a adoptat un program de lucru conținând o serie de acțiuni care trebuiau demarate între momentul adoptării raportului și până la sfârșitul anului 2004. Aceste acțiuni includ următoarele inițiative:

DIRECTIVA PRIVIND CONFIDENȚIALITATEA ȘI COMUNICAȚIILE ELECTRONICE

Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva privind confidențialitatea și comunicațiile electronice) [Jurnalul Oficial L 201 din 31 iulie 2002].

Această directivă a fost adoptată în 2002, în paralel cu un nou cadru legislativ destinat sectorului comunicațiilor electronice. Directiva conține dispoziții referitoare la o serie de chestiuni mai mult sau mai puțin sensibile, cum ar fi păstrarea datelor de conectare de către statele membre în scopul supravegherii polițienești (păstrarea datelor), trimiterea de mesaje electronice nesolicitate, utilizarea modulelor „cookie” și includerea datelor personale în anuarele publice.

Regulamentul (UE) nr. 611/2013 conține norme privind notificarea de către prestatorii de servicii de comunicații electronice disponibile publicului a încălcărilor securității datelor cu caracter personal în cazul în care datele cu caracter personal ale clienților lor sunt pierdute, furate sau compromise într-un alt mod.

În situația în care are loc o încălcare a securității datelor cu caracter personal, iar aceste date sunt compromise, prestatorii sunt obligați de Directiva 2002/58/CE să notifice încălcarea autorității naționale competente de protecție a datelor (APD) și, în anumite cazuri, abonaților și persoanelor fizice afectate. Regulamentul (UE) 611/2013 introduce „măsuri tehnice de punere în aplicare” pentru a clarifica modul în care trebuie respectate aceste obligații.

Printre altele, prestatorii trebuie:

CLAUZE CONTRACTUALE STANDARD PENTRU TRANSFERUL DATELOR CĂTRE ȚĂRI TERȚE

Decizia 2004/915/CE a Comisiei din 27 decembrie 2004 de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe [Jurnalul Oficial L 385 din 29.12.2004].

Comisia Europeană a aprobat noi clauze contractuale standard pe care întreprinderile le pot utiliza pentru a asigura garanții adecvate cu ocazia transferului de date cu caracter personal din UE către țările terțe. Aceste noi clauze se vor adăuga la cele deja existente în temeiul deciziei Comisiei din iunie 2001 (a se vedea mai jos).

Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE [Jurnalul Oficial L 181 din 04.07.2001].

Această decizie definește clauzele contractuale standard menite să asigure un nivel adecvat de protecție a datelor cu caracter personal transferate din UE către țările terțe. Decizia cere statelor membre să recunoască că societățile sau organismele care utilizează astfel de clauze standard în contractele care privesc transferurile de date cu caracter personal către țările terțe asigură „un nivel adecvat de protecție” a datelor.

Decizia 2010/87/UE a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului [Jurnalul Oficial L 39 din 12.02.2010].

Deciziile Comisiei care atestă nivelul adecvat de protecție a datelor cu caracter personal într-un număr limitat de țări terțe în temeiul articolului 25 (6): până în prezent, Comisia a recunoscut ca oferind o protecție adecvată Andorra, Argentina, Australia, Canada (organizațiile comerciale), Elveția, Insulele Feroe, Guernsey, Israel, Insula Man, Jersey, Noua Zeelandă, Uruguay și principiile „sferei de siguranță” privind protecția vieții private ale Departamentului Comerțului al Statelor Unite ale Americii.

PROTECȚIA DATELOR DE CĂTRE INSTITUȚIILE ȘI ORGANELE COMUNITARE

Regulamentul 45/2001/CE al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date [Jurnalul Oficial L 8 din 12.01.2001].

Regulamentul este menit să asigure protecția datelor cu caracter personal în cadrul instituțiilor și organelor Uniunii Europene. Textul regulamentului prevede:

Data ultimei actualizări: 08.03.2014