Protecția datelor cu caracter personal

Directiva 95/46/CE reprezintă textul de referință, la nivel european, în materie de protecție a datelor cu caracter personal. Aceasta instituie un cadru de reglementare menit să stabilească un echilibru între un nivel ridicat de protecție a vieții private a persoanelor și libera circulație a datelor cu caracter personal în cadrul Uniunii Europene (UE). În acest sens, directiva stabilește limite stricte în ceea ce privește colectarea și utilizarea datelor cu caracter personal și solicită ca fiecare stat membru să creeze un organism național independent responsabil cu supravegherea oricărei activități care are legătură cu prelucrarea datelor cu caracter personal.

ACT

Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date [A se vedea actele de modificare].

SINTEZĂ

Directiva se aplică datelor prelucrate prin mijloace automatizate (de exemplu, baze informatice de date ale clienților), precum și datelor conținute sau care urmează să fie conținute într-un sistem neautomatizat de evidență a datelor cu caracter personal (evidențe tradiționale pe hârtie).

Directiva nu se aplică prelucrării datelor cu caracter personal:

efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice;
puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi siguranța publică și apărarea sau securitatea statului.

Directiva este menită să protejeze drepturile și libertățile persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, stabilind criteriile-cheie pentru ca prelucrarea să fie legitimă, precum și principiile privind calitatea datelor.

Prelucrarea datelor este legitimă numai dacă:

persoana vizată și-a dat consimțământul neechivoc sau
prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau
prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului sau
prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau
prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau un terț sau
prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către terț, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție.

Principiile privind calitatea datelor, care trebuie implementate pentru toate activitățile legitime de prelucrare a datelor, sunt următoarele:

datele cu caracter personal trebuie prelucrate în mod corect și legal și trebuie colectate în scopuri determinate, explicite și legitime. De asemenea, acestea trebuie să fie adecvate, pertinente și neexcesive, exacte și, dacă este necesar, actualizate, trebuie să fie stocate pe o perioadă nu mai lungă decât este necesar și numai în scopurile pentru care au fost colectate;
categoriile speciale de prelucrare: trebuie interzisă prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală. Această dispoziție este însoțită de anumite rezerve referitoare, de exemplu, la cazurile în care prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau în scopuri legate de medicina preventivă sau de stabilirea diagnosticelor medicale.

Persoana ale cărei date sunt prelucrate, adică persoana vizată, beneficiază de următoarele drepturi:

dreptul de a obține informații: operatorul trebuie să furnizeze persoanei de la care colectează date o serie de informații legate de acesta (identitatea operatorului, scopul prelucrării datelor, destinatarii datelor etc.);
dreptul de acces la date al persoanelor vizate: persoanele vizate au dreptul de a obține de la operator;
dreptul de opoziție în ceea ce privește prelucrarea datelor: persoana vizată trebuie să aibă dreptul de a se opune, din considerente legitime, prelucrării datelor respective. De asemenea, aceasta trebuie să se poată opune, la cerere și gratuit, prelucrării datelor care o privesc în scopul prospectării. În sfârșit, persoana vizată trebuie să fie informată înainte ca datele sale să fie comunicate terților în scopul prospectării și trebuie să i se ofere dreptul de a se opune acestei comunicări;

Alte aspecte relevante în cazul prelucrării datelor:

excepții și restricții privind drepturile persoanei vizate: principiile vizând calitatea datelor, informațiile comunicate persoanelor vizate, dreptul de acces la datele prelucrate și publicitatea prelucrării pot fi restrânse pentru a proteja, printre altele, siguranța statului, apărarea, securitatea publică, urmărirea infracțiunilor penale, un interes economic sau financiar important al unui stat membru sau al UE ori pentru a proteja persoana vizată;
confidențialitatea și securitatea prelucrării datelor: orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu trebuie să le prelucreze decât la instrucțiunile operatorului. De asemenea, operatorul trebuie să instituie măsuri adecvate pentru protecția datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat;
notificarea autorității de supraveghere cu privire la prelucrarea datelor: operatorul trebuie să notifice autoritatea națională de supraveghere înainte de a efectua prelucrarea datelor. Astfel de verificări prealabile privind eventualele riscuri la adresa drepturilor și libertăților persoanelor vizate se efectuează de către autoritatea de supraveghere după primirea notificării. Trebuie să se asigure publicitatea prelucrărilor, iar autoritățile de supraveghere trebuie să țină un registru cu prelucrările notificate.

Orice persoană trebuie să dispună de o cale de atac în justiție în caz de încălcare a drepturilor garantate prin dispozițiile de drept intern aplicabile prelucrării în cauză. De asemenea, orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale a datelor sale cu caracter personal are dreptul să obțină reparații de la operator pentru prejudiciul suferit.

Se admite transferul datelor cu caracter personal efectuat de un stat membru către o țară terță, dacă aceasta din urmă asigură un nivel adecvat de protecție a datelor. În schimb, deși transferurile nu pot fi efectuate în cazul în care nu este garantat un nivel de protecție adecvat, în directivă sunt enumerate câteva excepții de la această regulă: de exemplu, atunci când persoana vizată acceptă ea însăși transferul, în situația încheierii unui contract, atunci când transferul este necesar pentru apărarea unui interes public, dar și în cazul în care anumite norme corporative obligatorii sau clauze contractuale standard au fost autorizate de către statul membru.

Directiva urmărește să încurajeze elaborarea unor coduri de conduită naționale și comunitare destinate să contribuie la buna aplicare a dispozițiilor de drept intern și comunitar.

Fiecare stat membru prevede una sau mai multe autorități publice independente responsabile cu supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul directivei.

Se instituie un grup de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, format din reprezentanți ai autorităților naționale de supraveghere, reprezentanți ai autorităților de supraveghere ale instituțiilor și organismelor comunitare și dintr-un reprezentant al Comisiei.

REFERINȚE

Act	Intrarea în vigoare	Termen de transpunere în legislația statelor membre	Jurnalul Oficial
Directiva 95/46/CE	13.12.1995	24.10.1998	JO L 281 din 23.11.1995

Act(e) de modificare	Intrarea în vigoare	Termen de transpunere în legislația statelor membre	Jurnalul Oficial
Regulamentul (CE) nr. 1882/2003	20.11.2003	-	JO L 284 din 31.10.2003

Modificările și corecturile succesive aduse Directivei 95/46/CE au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

ACTE CONEXE

RAPORT PRIVIND PUNEREA ÎN APLICARE

Comunicarea Comisiei către Parlamentul European și Consiliu din 7 martie 2007, intitulată: „Continuarea Programului de lucru pentru o mai bună punere în aplicare a Directivei privind protecția datelor” [ COM(2007) 87 final – Nepublicată în Jurnalul Oficial].

Comunicarea a analizat activitatea realizată în cadrul Programului de lucru pentru o mai bună punere în aplicare a Directivei privind protecția datelor cu caracter personal conținut în Primul raport referitor la punerea în aplicare a Directivei 95/46/CE. Comisia a indicat faptul că punerea în aplicare a fost îmbunătățită, toate statele membre transpunând directiva până la acel moment. Aceasta a precizat că, pentru moment, directiva nu ar trebui modificată.

Comisia a adăugat faptul că:

va continua să lucreze cu statele membre și, dacă va fi cazul, va lansa proceduri oficiale privind încălcarea dreptului comunitar;
va pregăti o comunicare de interpretare pentru anumite dispoziții ale directivei;
va continua punerea în aplicare a Programului de lucru;
va prezenta, în cazul unor evoluții tehnologice majore într-un domeniu specific, o legislație sectorială la nivelul UE;
va continua cooperarea cu partenerii externi, în special cu Statele Unite.

Raportul Comisiei din 15 mai 2003, intitulat „Primul raport referitor la punerea în aplicare a Directivei privind protecția datelor (95/46/CE)” [ COM(2003) 265 final – Nepublicat în Jurnalul Oficial].

Raportul a prezentat rezultatele consultărilor derulate de Comisie, în cadrul evaluării Directivei 95/46/CE, cu guvernele, instituțiile, federațiile patronale, asociațiile consumatorilor și cetățenii. Rezultatele consultărilor au arătat că foarte puțini contribuitori au pledat pentru o revizuire a directivei. De asemenea, după consultarea statelor membre, Comisia a luat act de faptul că majoritatea statelor și majoritatea autorităților naționale de supraveghere nu consideră necesară modificarea directivei în stadiul actual.

În ciuda întârzierilor și a lacunelor constatate în punerea în aplicare a directivei, aceasta și-a atins obiectivul principal, și anume de a înlătura obstacolele din calea liberei circulații a datelor cu caracter personal între statele membre. De asemenea, Comisia a estimat că obiectivul care vizează garantarea unui înalt nivel de protecție în cadrul Comunității a fost atins, deoarece directiva stabilește unele dintre cele mai înalte norme de protecție a datelor din lume.

Totuși, alte obiective ale politicii privind piața internă nu au avut un succes similar. Există încă disparități semnificative între legislațiile statelor membre în materie de protecție a datelor. Acestea împiedică organizațiile multinaționale să elaboreze politici paneuropene în domeniul protecției datelor. Comisia a anunțat deci că va lua măsurile care se impun pentru a remedia această situație, evitând, pe cât posibil, declanșarea unor acțiuni formale.

În ceea ce privește nivelul general de respectare a legislației în materie de protecție a datelor în UE, au fost identificate trei probleme:

insuficiența resurselor alocate pentru punerea în aplicare;
o respectare inegală a dispozițiilor de către operatori;
un nivel aparent scăzut de cunoaștere a drepturilor de către persoanele vizate, care s-ar putea afla la originea fenomenului menționat anterior.

Pentru a asigura o mai bună aplicare a Directivei privind protecția datelor, Comisia a adoptat un program de lucru conținând o serie de acțiuni care trebuiau demarate între momentul adoptării raportului și până la sfârșitul anului 2004. Aceste acțiuni includ următoarele inițiative:

discuții cu statele membre și cu autoritățile responsabile cu protecția datelor privind modificările care ar urma să fie aduse legislațiilor naționale, pentru ca acestea să se alinieze integral la cerințele directivei;
asocierea țărilor candidate în încercarea de a se realiza o punere în aplicare mai bună și mai uniformă a directivei;
îmbunătățirea notificării tuturor actelor juridice care transpun directiva;
simplificarea condițiilor privind transferurile internaționale de date;
promovarea tehnologiilor de consolidare a protecției vieții private;
promovarea autoreglementării și a codurilor de conduită europene.

DIRECTIVA PRIVIND CONFIDENȚIALITATEA ȘI COMUNICAȚIILE ELECTRONICE

Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva privind confidențialitatea și comunicațiile electronice) [Jurnalul Oficial L 201 din 31 iulie 2002].

Această directivă a fost adoptată în 2002, în paralel cu un nou cadru legislativ destinat sectorului comunicațiilor electronice. Directiva conține dispoziții referitoare la o serie de chestiuni mai mult sau mai puțin sensibile, cum ar fi păstrarea datelor de conectare de către statele membre în scopul supravegherii polițienești (păstrarea datelor), trimiterea de mesaje electronice nesolicitate, utilizarea modulelor „cookie” și includerea datelor personale în anuarele publice.

Regulamentul (UE) nr. 611/2013 conține norme privind notificarea de către prestatorii de servicii de comunicații electronice disponibile publicului a încălcărilor securității datelor cu caracter personal în cazul în care datele cu caracter personal ale clienților lor sunt pierdute, furate sau compromise într-un alt mod.

În situația în care are loc o încălcare a securității datelor cu caracter personal, iar aceste date sunt compromise, prestatorii sunt obligați de Directiva 2002/58/CE să notifice încălcarea autorității naționale competente de protecție a datelor (APD) și, în anumite cazuri, abonaților și persoanelor fizice afectate. Regulamentul (UE) 611/2013 introduce „măsuri tehnice de punere în aplicare” pentru a clarifica modul în care trebuie respectate aceste obligații.

Printre altele, prestatorii trebuie:

să informeze APD relevantă cu privire la incident în termen de 24 de ore după detectarea încălcării securității, pentru a limita cât mai mult încălcarea;
să țină cont de tipul de date compromise atunci când decide dacă va anunța abonații și persoanele fizice - de exemplu, în cazul în care datele se referă la informații financiare, la date legate de e-mail, la fișiere jurnal, la istorii de navigare pe internet etc.;
să ofere detalii APD și/sau abonaților sau persoanelor fizice relevante cu privire la incident, la tipul de date în cauză și la măsurile luate pentru remedierea situației.

CLAUZE CONTRACTUALE STANDARD PENTRU TRANSFERUL DATELOR CĂTRE ȚĂRI TERȚE

Decizia 2004/915/CE a Comisiei din 27 decembrie 2004 de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe [Jurnalul Oficial L 385 din 29.12.2004].

Comisia Europeană a aprobat noi clauze contractuale standard pe care întreprinderile le pot utiliza pentru a asigura garanții adecvate cu ocazia transferului de date cu caracter personal din UE către țările terțe. Aceste noi clauze se vor adăuga la cele deja existente în temeiul deciziei Comisiei din iunie 2001 (a se vedea mai jos).

Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul Directivei 95/46/CE [Jurnalul Oficial L 181 din 04.07.2001].

Această decizie definește clauzele contractuale standard menite să asigure un nivel adecvat de protecție a datelor cu caracter personal transferate din UE către țările terțe. Decizia cere statelor membre să recunoască că societățile sau organismele care utilizează astfel de clauze standard în contractele care privesc transferurile de date cu caracter personal către țările terțe asigură „un nivel adecvat de protecție” a datelor.

Decizia 2010/87/UE a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului [Jurnalul Oficial L 39 din 12.02.2010].

Deciziile Comisiei care atestă nivelul adecvat de protecție a datelor cu caracter personal într-un număr limitat de țări terțe în temeiul articolului 25 (6): până în prezent, Comisia a recunoscut ca oferind o protecție adecvată Andorra, Argentina, Australia, Canada (organizațiile comerciale), Elveția, Insulele Feroe, Guernsey, Israel, Insula Man, Jersey, Noua Zeelandă, Uruguay și principiile „sferei de siguranță” privind protecția vieții private ale Departamentului Comerțului al Statelor Unite ale Americii.

PROTECȚIA DATELOR DE CĂTRE INSTITUȚIILE ȘI ORGANELE COMUNITARE

Regulamentul 45/2001/CE al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date [Jurnalul Oficial L 8 din 12.01.2001].

Regulamentul este menit să asigure protecția datelor cu caracter personal în cadrul instituțiilor și organelor Uniunii Europene. Textul regulamentului prevede:

dispoziții menite să garanteze un nivel înalt de protecție a datelor cu caracter personal prelucrate de instituțiile și organele comunitare;
instituirea unei autorități independente de supraveghere, pentru a monitoriza aplicarea acestor dispoziții.

Data ultimei actualizări: 08.03.2014