Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal („Decizia nr. 174/2018”), emisă de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a fost publicată în Monitorul Oficial al României, Partea I, nr. 919 din 31 octombrie 2018.

Decizia nr. 174/2018 a fost emisă de ANSPDCP în aplicarea art. 35 alin. (4) din Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”), potrivit căruia autoritățile de supraveghere trebuie să publice o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (evaluare cunoscută și sub acronimul DPIA).

Ce înseamnă DPIA?

GDPR a introdus o nouă regulă în ceea ce privește obligațiile operatorilor, în virtutea principiului responsabilității. Mai exact, ori de câte ori, o anumită activitate de prelucrare a datelor este susceptibilă să genereze un risc ridicat cu privire la drepturile și libertățile persoanelor vizate operatorii de date cu caracter personal trebuie să efectueze o evaluare a respectivelor riscuri.

Pe baza acestei evaluări operatorii trebuie, apoi, să implementeze măsuri de reducere / eliminare a impactului, iar atunci când măsurile propuse nu sunt suficiente, operatorii trebuie să modifice sau chiar să renunțe la activitatea de prelucrare a datelor.

GDPR nu definește clar ce înseamnă operațiuni / tipuri de prelucrări cu risc ridicat pentru drepturile și libertățile persoanelor vizate, ci furnizează doar niște exemple de activități de prelucrare cu risc ridicat. De altfel, o definiție care să acopere în mod exhaustiv tipurile de activități de prelucrare cu risc ridicat ar fi mai degrabă inoportună, având în vedere complexul peisaj al activităților de prelucrare a datelor cu caracter personal care, în plus, cunoaște o evoluție continuă cu pași foarte alerți.

Tocmai de aceea, GDPR a delegat autorităților de supraveghere (care, în mod natural, sunt mai aproape de fenomenul de prelucrare a datelor) sarcina de a stabili tipurile de activități pentru care este necesară DPIA în mod obligatoriu.

Cazurile pentru care DPIA este obligatorie

Decizia nr. 174/2018 stabilește 7 cazuri în care DPIA este obligatorie:

a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;

c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, piețe, parcuri sau alte asemenea spații;

d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;

e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;

f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);

g) prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.

Câteva observații în ceea ce privește lista propusă de ANSPDCP

• Lista activităților de prelucrare propusă de autoritate nu este exhaustivă; astfel, chiar dacă anumite activități de prelucrare nu se vor regăsi pe lista inclusă în Decizia nr. 174/2018, operatorii trebuie, în continuare, să facă o analiză, de la caz la caz, pentru a stabili dacă pentru operațiunile lor de prelucrare sunt necesare evaluările de tip DPIA. Pentru a facilita acest demers, operatorii trebuie să țină, în continuare, cont de orientările / recomandările incluse în „Ghidul privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este “susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679 (WP 248, revizuit)”, adoptat de Grupul de lucru Articolul 29 în data de 4 octombrie 2017 și aprobat de Comitetul European pentru Protecția Datelor (CEPD), cel puțin până la momentul la care un ghid nou/un ghid revizuit nu va fi emis de CEPD;
  • Art. 1 alin. (1) lit. d) din Decizia nr. 174/2018 utilizează sintagma „și/sau înregistrare sistematică” ca element de circumstanțiere a tipurilor de prelucrare. Această precizare poate să atragă necesitatea efectuării DPIA chiar și pentru activități de prelucrare care, în concret, nu ar atrage un risc ridicat pentru persoanele vizate. Un astfel de exemplu de prelucrări curente (i.e. sistematice) efectuate de aproape orice angajator este utilizarea mecanismelor de înregistrare a accesului în sistemele IT de către angajații proprii (i.e. așa numitele log-uri de acces utilizate pentru scop de securitate / asigurarea integritatea datelor accesate de angajați);
  • Art. 1 alin. (1) lit. f) din Decizia nr. 174/2018 impune obligația de efectuare a DPIA pentru orice tip de „prelucrare pe scară largă a datelor generate prin intermediul dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace […]” (subl. ns.). Termenul alte mijloace lipsește această prevedere din decizie de predictibilitatea care ar trebui să caracterizeze orice act normativ. Ca atare, aici pot fi anticipate în continuare dezbateri în ceea ce privește modul de aplicare a acestui caz prevăzut de deciziei;
  • Art. 1 alin. (1) lit. g) din Decizia nr. 174/2018 impune obligația de a efectua DPIA pentru prelucrările la scară largă și/sau sistematică a datelor de trafic și/sau de localizare, dacă prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată. Aparent, scopul acestui text este de a acoperi prelucrările efectuate de furnizorii serviciilor societății informaționale. Totuși, textul este destul de general. Astfel, nu se poate exclude o interpretare mai largă, respectiv o extindere la operațiuni care, în mod normal, nu atrag riscuri pentru viața privată a persoanelor fizice. Spre exemplu, se poate pune întrebarea dacă o astfel de obligație de efectuare a DPIA se aplică și datelor trafic (incluse în facturile de telefonie / internet) prelucrate de angajator în contextul relațiilor de muncă cu angajații proprii care utilizează telefoanele angajatorilor (e.g. pentru scop de gestiune economico-financiară și fără ca angajatorul să facă o monitorizare a comunicațiilor electronice utilizate de salariați)?
• Decizia nr. 174/2018 prevede și o excepție de la obligația efectuării DPIA, respectiv: atunci când prelucrarea este efectuată în temeiul art. 6 alin. (1) lit. (c) sau (e) din GDPR (i.e. (obligație legală sau interes public sau exercitarea autorității publice) ce are la bază legislația UE sau românească pentru care deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative respective (regulă statuată, de altfel, și de GDPR).

Ca atare, operatorii trebuie să fie atenți că, deși există o obligație legală care le impune prelucrarea datelor, aceștia ar putea fi totuși nevoiți să facă o DPIA, dacă o astfel de analiză nu a fost efectuată în procesul de legiferare.

Aproape pretutindeni se vorbește și despre faptul că GDPR aduce modificări substanțiale și în ceea ce privește regulile de prelucrare a datelor cu caracter personal. Unii chiar vorbesc despre o revoluție în materia prelucrării datelor. Nu este, totuși, chiar așa. GDPR este mai degrabă un act normativ ce, în principal, consolidează legislativ o evoluție înregistrată de-a lungul timpului în practica autorităților europene de supraveghere a prelucrării datelor (în special a Grupului de Lucru Articolul 24). Desigur, însă, sunt și reguli noi pe care le aduce GDPR.

Un aspect important adresat în GDPR vizează un temei tradițional al prelucrării datelor cu caracter personal, respectiv, consimțământul persoanelor vizate. Evident, discuția privind consimțământul ca temei al prelucrării nu poate fi epuizată în câteva pagini. Prin urmare, nu voi încerca decât să inventariez, pe scurt, regulile noi expres reglementate legislativ începând cu 25 mai 2018, precum și câteva dintre potențialele implicații pentru operatorii de date cu caracter personal.

1. Consimțământul ca temei al prelucrării datelor personale. Comentarii preliminare
Art. 5 (1) din Legea nr. 677/2001 prevede că ”[o]rice prelucrare de date cu caracter personal, cu excepția prelucrărilor care vizează date din categoriile menționate la art. 7 alin. (1), art. 8 și 10, poate fi efectuată numai dacă persoana vizată și-a dat consimțământul în mod expres și neechivoc pentru acea prelucrare” (subl. mea). Apoi, în alineatul 2 al aceluiași articol sunt listate o serie de cazuri care pot constitui temei al prelucrării în absența unui consimțământ[1].

Așadar, Legea nr. 677/2001 sugerează cumva că există o ierarhie în ceea ce privește temeiurile juridice pentru prelucrarea datelor personale, plasând consimțământul în vârful acestei ierarhii. În practică, operatorii încercau (inclusiv poate din comoditate), în cele mai multe cazuri, să-și fundamenteze prelucrarea pe consimțământ, deși acest demers are un dezavantaj evident și conform legislației actuale: persoana vizată poate să își retragă oricând consimțământul.

GDPR stabilește foarte clar că nu există o ierarhie în ceea ce privește temeiurile prelucrării datelor, oricare dintre temeiurile indicate la Art. 6 alin. (1) sau Art. 9 alin. (2) din GDPR (printre care se află și consimțământul) poate fundamenta prelucrarea datelor personale.

În fapt, având în vedere exigențele impuse de GDPR în ceea ce privește consimțământul, operatorii vor fi probabil nevoiți să depună mai multe eforturi în a identifica alte temeiuri ce ar putea să justifice prelucrarea datelor. Evident, aceștia vor putea să recurgă (dar mai degrabă ca un ultim resort) la consimțământul persoanelor vizate atunci când celelalte temeiuri pentru prelucrarea datelor nu vor putea fi utilizate.

2. O definiție mai largă a noțiunii de consimțământ
Potrivit art. 4 alin. (11) din GDPR: „consimțământ al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate” (subl. mea).

Această definiție este mai largă decât cea prevăzută de Directiva 95/46/CE, aplicabilă în prezent, potrivit căreia „consimțământul este manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.”

În spatele acestei definiții formal mai ample, GDPR include în alte secțiuni o serie de elemente care circumstanțiază condițiile pe care consimțământul trebuie să le îndeplinească pentru a fi considerat valabil. Aceste elemente vor fi prezentate, pe scurt, în cele ce urmează.

3. Condițiile consimțământului
3.1. Trebuie să fie liber
Această condiție este prevăzută în definiția consimțământului din Directiva 95/46/CE, care însă nu include și alte detalii cu privire la semnificația acestei noțiuni. Condiția aceasta a fost însă dezvoltată în una dintre opiniile Grupului de Lucru Articolul 24 (acte care nu au în mod formal caracter obligatoriu)[2].

Hiatusul legislativ este acoperit acum de GDPR, oferind detalii suplimentare în ceea ce privește această condiție. Astfel, potrivit GDPR consimțământul nu va fi liber exprimat dacă:
• Persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată;
• Există un dezechilibru evident între persoana vizată și operator, în special în cazul în care operatorul este o autoritate publică. Spre exemplu, această cerință va pune în discuție validitatea consimțământului angajaților pentru prelucrarea datelor de către angajatori. În România, în general, angajatorii prelucrează datele pe bază de consimțământ. Ca atare, aceștia vor trebui să analizeze dacă, după 25 mai 2018, mai pot miza pe consimțământul angajaților ca temei al prelucrării datelor;
• Modul de acordare a consimțământului nu permite ca acesta să fie dat pe diferite operațiuni de prelucrare a datelor, deși acest lucru este adecvat în cazul particular (așa-numitul consimțământ granular). Ca atare, operatorii nu vor mai putea să folosească declarații de consimțământ de tipul ”catch all”;
• Executarea unui contract sau prestarea unui serviciu este condiționată de consimțământ, deși consimțământul nu este necesar pentru executarea contractului. Această abordare este des întâlnită în practică. Astfel, GDPR atenționează că operatorii nu pot să „forțeze” obținerea unui consimțământ, justificând că refuzul ar duce la imposibilitatea beneficierii de serviciile furnizate în baza unui contract încheiat cu operatorul, dacă prelucrarea nu este necesară pentru furnizarea serviciilor respective.

3.2. Trebuie să fie specific
Un consimțământ foarte larg dat pentru scopuri generale / nedeterminate, nu este valid. Pentru a fi considerat valabil, operatorii trebuie să identifice clar scopurile prelucrării, iar consimțământul trebuie să acopere toate activitățile de prelucrare efectuate în același scop. În plus, dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării.
În situația în care prelucrarea datelor se face în scopuri de cercetare științifică, nu este obligatoriu să se identifice pe de plin scopul prelucrării ce face obiectul cercetării științifice, fiind suficient ca persoanele vizate să poată să își dea consimțământul doar pentru anumite domenii de cercetare identificate de operator. Ar trebui totuși să se respecte cerința privind „granularitatea” consimțământului, respectiv să se ofere posibilitatea persoanei vizate de a-și da acordul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare (în măsura permisă de scopul preconizat).

3.3. Trebuie să fie informat
Atât reglementările actuale, cât și GDPR prevăd că orice prelucrare de date cu caracter personal ar trebui efectuată într-o manieră transparentă, prin informarea persoanelor vizate cu privire la existența prelucrării datelor și a condițiilor în care sunt prelucrate datele. Față de reglementările actuale, Art. 13 si 14 din GDPR prevăd o serie de informații noi pe care trebuie să le furnizeze operatorul (e.g. temeiul juridic al prelucrării; durata preconizată a prelucrării datelor sau criteriile pentru determinarea perioadei; dacă există un proces decizional automatizat etc.).

În plus față de reglementările actuale, GDPR aduce câteva precizări și în ceea ce privește modalitatea de comunicare acestor informații cu impact direct asupra validității consimțământului.

Astfel, informațiile și comunicările referitoare la prelucrarea datelor trebuie să fie ușor accesibile și ușor de înțeles, prin utilizarea unui limbaj simplu și clar. Cu alte cuvinte, operatorii vor trebui să reviziteze conținutul notelor de informare și să se asigure că se respectă simplitatea și claritatea mesajului. Notele de informare cu termeni foarte tehnici, cu un limbaj greoi pentru un simplu consumator, probabil nu vor respecta această cerință și, astfel, vor putea pune în discuție validitatea consimțământului.

De asemenea, cerința unui limbaj clar și accesibil ar putea pune probleme operatorilor care-și desfășoară activitatea în mediul on-line, în măsura în care informarea ar fi redactată într-o limbă străină (care ar putea să nu fie cunoscută de persoanele vizate). Astfel, la redactarea notelor de informare (e.g. a politicilor de prelucrare a datelor) afișate pe paginile web / platformele on-line operatorii vor trebui, probabil, să țină cont de limba fiecărei jurisdicții în care se află persoanele vizate, pentru a evita eventualele discuții privind validitatea consimțământului.

3.4. Trebuie să fie neechivoc
Caracterul neechivoc nu este o cerință nouă în legislația datelor cu caracter personal. Art. 5 alin. (1) din Legea nr. 677/2001 stabilește că, în principiu, orice prelucrare a datelor personale poate fi efectuată numai dacă persoana vizată şi-a dat consimțământul neechivoc pentru acea prelucrare. Totuși, nici Directiva 95/46/CE, nici Legea nr. 677/2001 nu explică semnificația acestui termen.

GDPR aduce câteva clarificări în ceea ce privește semnificația consimțământului neechivoc. Astfel, pentru a fi considerat neechivoc, acesta trebuie să îmbrace forma unei declarații sau a unei acțiuni care arată în mod clar intenția persoanei vizate de a-și da consimțământul[3].

Dacă vorbim de consimțământul exprimat sub forma unei declarații, lucrurile sunt destul de clare (aici intră declarațiile în formă scrisă și semnate, precum și declarațiile verbale ale persoanelor vizate cu privire la acceptul prelucrării datelor).

Care sunt acțiunile care arată în mod clar intenția persoanei de a-și da consimțământul? Mai jos câteva exemple furnizate de GDPR:
a) bifarea unei căsuțe când persoana vizitează o pagină web;
b) alegerea setărilor pentru serviciile societății informaționale; sau
c) orice altă declarație sau acțiune care indică în mod clar într-un context dat acceptarea de către persoana vizată a prelucrării propuse. În ipoteza generală prevăzută la punctul c), ar putea fi incluse următoarele exemple:
• furnizarea adresei de e-mail în contextul creării unui cont pe o platformă on-line într-o căsuță în dreptul căreia este indicat faptul că furnizarea este opțională, iar sub căsuță un scurt mesaj de genul „adresa de e-mail va fi utilizată pentru a vă trimite comunicări comerciale cu produsele și/sau serviciile noastre”;
• prelucrarea datelor privind dimensiunile corporale de către un croitor dacă persoana vizată solicită crearea unui element vestimentar și astfel furnizează dimensiunile corporale; ar putea fi considerat că există consimțământul persoanei vizate și în cazul în care aceasta permite croitorului să ia dimensiunile corporale necesare pentru crearea obiectului vestimentar.

Important, GDPR prevede în mod expres că absența unui răspuns sau a unei acțiuni nu poate fi considerată consimțământ valabil. De asemenea, căsuțele bifate în prealabil în paginile web sau aplicațiile software nu vor putea fi invocate drept mecanisme viabile de exprimare a consimțământului.

În fine, GDPR prevede că în cazul în care declarația persoanei vizate se referă la mai multe aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte (e.g. nu va satisface condiția unui consimțământ neechivoc o declarație care include grupat acordul pentru încheierea unui contract și acordul privind prelucrarea datelor).

4. Consimțământul „expres” / „explicit” în cazuri speciale
Directiva 95/46/CE impune existența consimțământului expres (explicit) doar în cazul datelor cu caracter special (e.g. origine rasială sau etnică, convingeri politice sau religioase, date privind starea de sănătate sau viața sexuală)[4].

În schimb, potrivit Legii nr. 677/2001, consimțământul pentru prelucrarea datelor trebuie să fie expres și neechivoc, fără a face distincție în ceea ce privește tipurile de date prelucrate, respectiv date obișnuite sau speciale. Această necorelare legislativă cu legislația europeană a suscitat, în practică, întrebări în ceea ce privește modul în care trebuie interpretate dispozițiile din art. 5 alin. (1) din Legea nr. 677/2001, respectiv dacă era necesar consimțământul expres (explicit) în orice situație, sau doar în cazul datelor speciale, conform celor stabilite de Directiva 95/46/CE (act normativ pe care Legea nr. 677/2001 trebuia să îl transpună în dreptul intern).

GDPR menține diferențierea inclusă în Directiva 95/46/CE dintre consimțământului neechivoc pentru datele personale obișnuite, și consimțământul neechivoc și explicit (expres) pentru datele cu caracter special[5], înlăturând practic dilemele apărute în baza Legii nr. 677/2001 cu privire la natura consimțământului în cazul datelor obișnuite.

Trebuie menționat însă că, în plus față de prelucrarea datelor speciale, GDPR stabilește și alte ipoteze în care este necesar un consimțământ neechivoc și expres (explicit), respectiv: prelucrarea datelor în cazul restricționării prelucrării de către persoana vizată (art. 18 (2) GDPR); adoptarea unor decizii pe baza unor prelucrări automate, inclusiv activități de profilare (art. 22 (1) GDPR); transferul datelor personale în state cărora nu li s-a recunoscut un nivel de protecție adecvat (art. 49 (1) a) GDPR).

5. Consimțământul minorilor
GDPR adresează în mod expres subiectul consimțământului minorilor, plecând de la premisa „că aceștia au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal”. GDPR amintește că această protecție este necesară, în special, în contextul activităților de marketing adresat copiilor, crearea de profiluri de personalitate sau de utilizator, al colectării datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor (respectiv, în general în contextul serviciilor oferite de societățile informaționale).

Ca atare, GDPR stabilește că prelucrarea datelor minorilor pe bază de consimțământ va fi legală doar dacă minorul care și-a dat consimțământul are cel puțin 16 ani[6].

În cazul copiilor sub vârsta de 16 ani, va fi necesar acordul sau autorizarea consimțământului din partea părintelui / tutorelui. Este important de menționat că operatorii vor trebui să depună eforturi rezonabile (pe baza tehnologiilor disponibile) pentru a verifica dacă părintele / tutorele și-a dat acordul sau a autorizat consimțământul minorului.

În fine, pentru a asigura condiția „consimțământului informat”, în cazul minorilor notele de informare care stau la baza consimțământului trebuie să fie exprimate într-un limbaj simplu și clar, astfel încât minorii să îl poată înțelege cu ușurință. Astfel, operatorii trebuie să aibă în vedere că, în acest caz, exigențele în ceea ce privește simplitatea și accesibilitatea limbajului sunt și mai stricte.

6. Aspecte formale privind consimțământul
GDPR prevede în mod expres că, indiferent de forma prin care consimțământul este manifestat, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor personale. Operatorii vor trebui deci să păstreze dovezile privind exprimarea consimțământului persoanei vizate. Această cerință este în special relevantă pentru operatorii care se bazează pe consimțământul verbal. Aceștia vor trebui să fie mai atenți în utilizarea unei astfel de metode de exprimare a consimțământului, consimțământul verbal fiind, de regulă, mai greu de probat.

GDPR stabilește că solicitarea pentru obținerea consimțământului trebuie să fie clară și inteligibilă astfel încât persoana vizată să înțeleagă pe deplin scopul acestei cereri și efectele acordării consimțământului. Ca atare, ca regulă, solicitările de genul „prin bifarea acestei căsuței va dați consimțământul pentru prelucrarea datelor conform politicii de confidențialitate”, nu vor satisface această condiție.

7. Dreptul de retragere a consimțământului
În contextul actualei legislații, dreptul a-și retrage a consimțământul reprezintă o manifestare a dreptului la opoziție al persoanei vizate. GDRP, însă, reglementează în mod distinct acest drept, obligând totodată operatorii să informeze persoanele vizate, înainte ca acestea să-și dea consimțământul, cu privire la existența acestui drept și condițiile de exercitare a lui.

La acest moment, cu excepția consimțământului pentru scop de marketing, retragerea consimțământului presupune parcurgerea unei proceduri (de regulă) elaborate stabilită și comunicată de operator. GDPR simplifică această procedură în favoarea persoanei vizate. Astfel, operatorii vor trebui să își regândească sistemul de prelucrare a datelor în sensul simplificării mecanismelor de retragere a consimțământului de prelucrare a datelor (acestea trebuie să fie comode și ușor de utilizat pentru persoanele vizate, la un nivel cel puțin echivalent mecanismului de obținere a consimțământului).

8. Consimțământul obținut înainte de intrarea în vigoare a GDPR
Dacă prelucrarea datelor se fundamentează pe consimțământul exprimat conform legislației acum în vigoare, respectând și condițiile din GDPR, nu este necesar ca persoana vizată să îşi dea încă o dată acordul pentru prelucrarea datelor.

Evident, operatorii vor trebui să-și facă un audit al mecanismelor de prelucrare a datelor (inclusiv a modului în care este exprimat consimțământul) pentru a verifica dacă acestea corespund condițiilor stabilite de GDPR.

Până la intrarea în vigoare a GDPR au rămas doar câteva luni. Prin urmare, acest demers ar trebui făcut cât mai repede. În caz contrar, operatorii riscă să rămână descoperiți la momentul intrării în vigoare a regulamentului, acesta aducând cu sine, ca un alt element de noutate, sancțiuni administrative mai severe decât cele aplicabile acum.

NOTE:

[1] Modul în care este redactat art. 5 din Legea nr. 677/2001 se depărtează inclusiv de dispozițiile Directivei 95/46/CE pe care Legea nr. 677/2001 o transpune în dreptul național

[2] Explicațiile acestui termen sunt expuse în Opinia Grupului de Lucru Articolul 24 nr. 15/2011 privind definiția consimțământului (disponibilă aici: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp187_en.pdf)

[3] Exprimarea utilizată în limba engleză este ”by a statement or by a clear affirmative action”, iar în limba franceză este ”par une déclaration ou par un acte positif clair”. Versiunea în limba română utilizează noțiunea de „acțiune fără echivoc”, o opțiune nefericită a traducătorilor români din instituțiile Uniunii Europene, întrucât, practic, se încearcă explicarea unui termen (i.e. consimțământ neechivoc), folosindu-se de însuși termenul ce se dorește a fi explicat

[4] Noțiunea de consimțământ explicit nu a fost definită nici în Directiva 95/46/CE, nici în Legea nr. 677/2001. Explicațiile acestui termen sunt însă expuse în Opinia Grupului de Lucru Articolul 24 nr. 15/2011

[5] De altfel, problema consimțământului neechivoc vs. explicit a suscitat intense dezbateri și negocieri în procedura de aprobare a GDPR. În proiectul de regulament inițial formulat de Comisie s-a propus ca pentru orice tip de prelucrare să fie necesar consimțământul explicit. Așa cum rezultă din documentul interinstituțional cu privire la procesul de adoptarea a GDPR, soluția menținută acum în GDPR (respectiv consimțământ neechivoc pentru date personale obișnuite și consimțământ explicit pentru date speciale) a fost agreată în ultima rundă de negocieri pe marginea textului regulamentului: „On the final outstanding issues that were discussed in trilogue, the following balance was achieved. The way in which consent is to be given by data subjects remains “unambiguous” for all processing of personal data, with the clarification that this requires a “clear affirmative action”, and that consent has to be “explicit” for sensitive data.” (http://data.consilium.europa.eu/doc/document/ST-15039-2015-INIT/en/pdf)

[6] GDPR oferă libertatea Statelor Membre de a stabili o limită minimă de vârstă mai mică, însă care nu poate fi sub 13 ani

Drawing upon our team’s extensive expertise in data protection applicable regulations affecting various industries, a number of foreign data centre providers retained Țuca Zbârcea & Asociații for advice on the legal implications of moving data centres/ servers to Romania. When prospecting the idea of locating data centres / servers in Romania, services providers should take into account that certain regulatory requirements may apply, especially those concerning data protection/security, including the rules on the governmental access to data. We shall briefly outline below a few of the most common regulatory issues raised by our clients, together with a few recommendations in connection thereto.

How to Determine Whether Romanian Data Protection Law Applies

Law No. 677/2001 on processing of personal data shall apply to data controllers not based in Romania to the extent they use equipment, automated or otherwise, located on Romanian territory, unless such equipment is only used for transiting the data through Romanian territory. These provisions seem conflicting with the provisions of the EU Data Protection Directive, under which national law becomes relevant when data controllers established in a non-EU Member State make use of equipment situated on the territory of EU Member States. This inconsistency between the national law and the EU directive may be explained by the fact that Law No. 677/2001 was enacted before Romania’s accession to the EU.

This article was first published in Just in Case, an electronic magazine by Țuca Zbârcea & Asociații. To read the entire article, please go to: http://www.tuca.ro/just_in_case/