Data Privacy Blog » Safe Harbor

Adoptarea Acordului EU-US Privacy Shield

Ciprian Timofte — Fri, 29 Jul 2016 13:58:13 +0000

Conform unui comunicat al Comisiei Europene, la data de 12 iulie 2016 s-a realizat și ultimul pas necesar pentru aplicarea noului cadru privind transferul de date cu caracter personal pe filiere UE-US, respectiv a fost adoptată decizia de aprobare formală a Acordului EU-US Privacy Shield de către Comisia Europeană. Alături de aceasta, ca anexă, a fost publicată și forma finală a Acordului EU-US Privacy Shield.

Decizia de implementare a Acordului EU-US Privacy Shield a intrat în vigoare începând cu data de 12 iulie 2016.

În SUA, noul cadru de reglementare va fi publicat în Registrul Federal (echivalentul Jurnalului Oficial al UE). Ulterior publicării, Departamentul de Comerț al SUA va începe să aplice Acordul EU-US Privacy Shield. După ce se vor alinia standardelor impuse de noul cadru, entitățile din SUA interesate în efectuarea de transferuri transfrontaliere de date cu caracter personal, se vor putea înregistra la Departamentul de Comerț al SUA, începând cu data de 01 August 2016.

De asemenea, Comisia Europeană va publica un scurt ghid pentru cetățenii UE în care să explice căile de atac disponibile în cazul în care o persoană consideră că datele sale cu caracter personal au fost folosite fără respectarea regulilor privind protecția datelor cu caracter personal.

Noi evoluții în procesul de adoptare a Acordului EU-US Privacy Shield

Ciprian Timofte — Fri, 03 Jun 2016 14:52:27 +0000

La data de 13.04.2016, Grupul de Lucru a adoptat Opinia nr. 1/2016 cu privire la proiectul de Acord EU-US Privacy Shield.

În această Opinie, Grupul de Lucru a indicat o serie de aspecte ce ar trebui luate în considerare pentru optimizarea Acordului EU-US Privacy Shield (inclusiv pentru ca acesta să fie în linie cu Regulamentul privind protecția generală a datelor cu caracter personal), dintre care notabile sunt:

Neclaritatea modului de aplicare a Pricipiilor Privacy Shield organizațiilor care acționează ca împuterniciți (e., organizații ce prelucrează datele în contextul transferului în SUA pentru și în numele operatorilor de date cu caracter personal implicați într-un astfel de transfer) – Acordul nu conține prevederi cu privire la modul de aplicare a principiilor sale în cazul organizațiilor ce acționează în calitate de împuterniciți și, mai mult, există posibilitatea nașterii unor conflicte între aceste principii și clauzele contractelor în baza cărora acționează împuterniciții; Grupul de Lucru a recomandat clarificarea modului concret de aplicare a Acordului Privacy Shield în cazul împuterniciților.
Lipsa de garanții suficiente pentru prelucrarea efectuată ca urmare a deciziilor automatizate (i.e., fără intervenție umană) - Grupul de Lucru consideră că nu este asigurat un nivel adecvat de protecție și că ar fi necesară introducerea unor astfel de garanții.
Necesitatea reglementării suplimentare a transferurilor de date de la operatori/împuterniciți din UE/USA către state terțe – Grupul de Lucru a recomandat reglementarea expresă a obiectului acestor transferuri, a limitărilor aplicabile, scopului prelucrării și garanțiilor incidente.

Noutăți privind Acordul EU-US Privacy Shield

Ciprian Timofte — Fri, 25 Mar 2016 16:52:56 +0000

Așa cum am arătat aici, Comisia Europeană a emis la data de 2 februarie 2016, un comunicat referitor la coordonatele noului cadru de reglementare în materie de transfer al datelor cu caracter personal în SUA, Acordul EU-US Privacy Shield.

În continuarea demersurilor pentru instituirea noului cadru ce va guverna transferurile transatlantice de date cu caracter personal, Comisia Europeană a dat publicității, în data de 29 februarie 2016, un nou comunicat prin care:

se face public conținutul textelor legale care vor guverna transferurile transatlantice de date cu caracter personal;
se publică draftul Deciziei Comisiei Europene de recunoaștere a unui nivel de protecție adecvat în cazul transferurilor de date cu caracter personal din Europa către SUA; și
se arată care vor fi pașii următori, în vederea implementării propriu-zise a noului cadru – Acordul EU-US Privacy Shield.

Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație prin care:

salută publicarea draftului Deciziei Comisiei Europene de recunoaștere a unui nivel adecvat de protecție adecvat pentru transferurile de date către SUA și a textelor care vor constitui Acordul EU-US Privacy Shield, și
anunță următorii pași în vederea adoptării noului Acord EU-US Privacy Shield, anume:
- analizarea documentelor mai sus menționate și emiterea unei opinii a Grupului de Lucru Art. 29, care va fi adoptată la întâlnirea plenară a Grupului din 12 și 13 aprilie 2016;
- emiterea opiniei reprezentanților statelor membre UE parte din Comitetul care asistă Comisia Europeană conform Directivei 95/46/CE privind prelucrarea datelor cu caracter personal;
- adoptarea Deciziei Comisiei Europene de recunoaștere a unui nivel adecvat de protecție adecvat pentru transferurile de date către SUA.

Noutăți privind cadrul de reglementare ce va înlocui acordul Safe Harbor

Ciprian Timofte — Tue, 23 Feb 2016 09:27:48 +0000

Invalidarea în 6 octombrie a Deciziei 2000/520/CE prin hotărârea Curții de Justiție în Cauza C-362/14 Schrems, despre care s-a scris aici, a schimbat paradigma transferurilor de date personale din Uniune către SUA.

În continuarea reacțiilor după invalidarea acordului Safe Harbor, în data de 2 februarie 2016, Comisia Europeană a emis un comunicat în legătură cu noul cadru care va guverna transferurile transatlantice de date cu caracter personal, urmare a încheierii negocierilor cu SUA, respectiv acordul politic numit „EU-US Privacy Shield”. Potrivit acestui comunicat, acest acord va impune obligații mai ferme în sarcina societăților americane care importă date cu caracter personal din Europa și un nivel mai înalt de monitorizare a acestor date de către Departamentul pentru Comerț al SUA și Comisia Federală pentru Comerț, care vor trebui să coopereze cu autoritățile UE.

Potrivit comunicatului mai sus menționat și comunicatului referitor la subiectele de discuție în cadrul conferinței de presă referitoare la noul acord, ambele emise de Comisia Europeană, angajamentele cuprinse în noul acord vor viza:

Impunerea de obligații ferme operatorilor/împuterniciților acestora care prelucrează date cu caracter personal ce provin din Europa – orice operator/împuternicit care va prelucra astfel de date va trebui să își ia angajamentul de a respecta deciziile autorităților europene competente în materie de protecție a datelor cu caracter personal; mai mult, vor fi prevăzute condiții mai stricte pentru efectuarea transferurilor ulterioare de date către partenerii operatorilor/împuterniciților implicați;
Monitorizarea atentă a prelucrărilor de date și activității operatorilor/împuterniciților care prelucrează date cu caracter personal ce provin din Europa – Departamentul pentru Comerț al SUA va efectua verificări și actualizări regulate ale listei acestor operatori/împuterniciți din SUA, sancționându-i și eliminându-i de pe listă pe cei care încalcă prevederile acordului EU-US Privacy Shield;
Luarea unor măsuri de siguranță și transparență stricte în legătură cu accesul autorităților americane la datele prelucrate în scopul aplicării legii și al asigurării securității publice – accesul autorităților americane va fi subiectul unei supravegheri stricte, precum și unor limitări și măsuri de securitate specifice;
Sporirea protecției cetățenilor UE – fiecare cetățean care se va considera lezat va avea la dispoziție mai multe modalități de atac împotriva unor astfel de atingeri;
Revizuirea anuală a acordului EU-US Privacy Shield.

Ca reacție la comunicatul de mai sus, Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 3 februarie 2016, prin care a salutat semnarea acordului EU-US Privacy Shield și a solicitat Comisiei Europene să îi furnizeze documente cu privire la acest acord, în vederea examinării acestora.

Prin aceeași declarație, Grupul de Lucru Art. 29 a reamintit necesitatea ilustrării în cadrul noului acord a celor patru garanţii importante care ar trebui respectate în cazul transferurilor către state terţe, în lumina deciziei Curţii de Justiţie a Uniunii Europene, pronunţată în cazul Schrems, respectiv:

Prelucrarea datelor cu caracter personal trebuie să aibă la bază reguli clare, precise și accesibile;
Demonstrarea necesității și proporționalității prin raportare la scopurile legitime urmărite;
Existența unui mecanism independent de supraveghere, care să fie atât imparțial cât și efectiv, fie un judecător/al organism independent;
Existența unor remedii efective pentru persoanele vizate de prelucrare.

Cu privire la cele de mai sus, Autoritatea de supraveghere din România (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) a emis în data de 5 februarie 2016 un comunicat de presă prin care menționează că, în contextul actual, „efectuarea transferurilor în SUA se poate realiza numai în baza celorlalte garanții de transfer prevăzute de art. 29 alin. (4) din Legea nr. 677/2001 (clauze contractuale standard, reguli corporatiste obligatorii – BCR), precum şi în situaţiile prevăzute de art. 30 din Legea nr. 677/2001.”

Noutăți cu privire la acordul Safe Harbor

Andreea Lisievici — Thu, 26 Nov 2015 15:46:42 +0000

Reacții după invalidarea acordului Safe Harbor

Invalidarea în 6 octombrie a Deciziei 2000/520/CE prin hotărârea Curții de Justiție în Cauza C-362/14 Schrems, despre care am scris aici, a schimbat major paradigma transferurilor de date personale din Uniune peste ocean.

Printre primii care au reacționat la vestea invalidării Deciziei 2000/520/CE au fost chiar cei menționați în hotărâre: Max Schrems (devenit între timp doctorand în drept și un promotor fervent al protecției datelor cu caracter personal), prezent la sediul Curții din Luxemburg când a fost făcută publică hotărârea și Edward Snowden (aflat încă în Rusia, singura țară unde nu riscă sancțiuni pentru dezvăluirile făcute în 2013). Mai exact, Snowden a scris pe Twitter că îl felicită pe Schrems, întrucât a schimbat lumea în bine, iar Schrems a publicat un prim punct de vedere la doar câteva ore după pronunțare, în care s-a arătat (în mod previzibil) extrem de mulțumit de hotărârea Curții, pe care a numit-o un punct de cotitură în ceea ce privește dreptul la viață privată în mediul online.

La fel de previzibil, atât presa cât și instituțiile europene și americane au vuit pe tema invalidării recunoașterii acordului Safe Harbor. Reprezentanții Comisiei, puternic pusă la zid pentru îngrădirea puterilor autorităților naționale de supraveghere, au ținut o conferință de presă în chiar ziua pronunțării, vice-președintele Timmermans declarând că vor fi emise reguli clare pentru autoritățile naționale cu privire la tratarea cererilor de transfer de date către Statele Unite, deși hotărârea Curții tocmai afirmase că nu este permis Comisiei să limiteze puterile autorităților naționale.

Oficiali ai Casei Albe și ai Departamentului pentru Comerț din Statele Unite au declarat că se tem de consecințele economice ale invalidării acordului Safe Harbor și că sunt dezamăgiți de faptul că CJUE a anulat un acord care începând din anul 2000 s-a dovedit de o importanță critică în protejarea vieții private și promovarea creșterii economice în SUA și UE, fără să aducă în discuție niciun moment gravitatea încălcării unor drepturi considerate a fi fundamentale în Uniune, reținute de Curte în motivarea sa.

Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 16 octombrie 2015, prin care a subliniat că transferurile de date care continuă în temeiul Safe Harbor sunt de acum contrare legii. Grupul de Lucru a solicitat statele membre și instituțiile europene să inițieze discuții cu autoritățile americane pentru a găsi soluții tehnice și juridice care să permită continuarea transferurilor de date către Statele Unite, inclusiv prin finalizarea discuțiilor actuale referitoare la noul acord Safe Harbor. O chestiune importantă clarificată de Grupul de Lucru (deși deciziile sale nu au putere obligatorie, însă se bucură de recunoaștere generală) este aceea că celelalte temeiuri pentru transferul de date – anume clauzele contractuale standard și regulile corporatiste obligatorii – pot fi adoptate ca soluții temporare, iar dacă până la sfârșitul lunii ianuarie 2016 nu se găsește o soluție legislativă, autoritățile naționale de supraveghere vor fi obligate să ia toate măsurile necesare și oportune, care pot include sancțiuni coordonate. Nu în ultimul rând, Grupul de Lucru a sfătuit companiile să analizeze implementarea rapidă a unor soluții tehnice și juridice pentru a reduce riscurile și a asigura conformarea cu regulile de protecție a datelor cu caracter personal ca urmare a hotărârii Schrems.

Pe 26 octombrie Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a ținut un discurs în fața Comitetului pentru Libertăți Civile din cadrul Parlamentului European (Comitetul LIBE) în care a salutat declarația Grupului de Lucru Art. 29 însă a subliniat nevoia de claritate suplimentară până la finalul lunii ianuarie 2016. În acest context, ea a anunțat că în cadrul Comisiei va fi pregătit în viitorul apropiat un document explicativ cu privire la consecințele hotărârii Schrems cu scopul de a oferi îndrumare organizațiilor în ceea ce privește transferurile internaționale de date. Documentul menționat a fost publicat de Comisie pe 6 noiembrie (detalii mai jos).

Autoritatea de supraveghere din România (Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal – ANSPDCP) a publicat în 19 octombrie 2015 un comunicat de presă prin care precizează faptul că începând cu 6 octombrie 2015 nu mai înscrie în registrul de evidență a prelucrărilor de date cu caracter personal prelucrările/transferul datelor cu caracter personal către entități din Statele Unite ale Americii în baza principiilor Safe Harbour, dar totodată confirmă faptul că efectuarea transferurilor în SUA se poate realiza în baza celorlalte garanții de transfer – clauze contractuale standard și reguli corporatiste obligatorii, precum și, în subsidiar, în situațiile în care transferul este întotdeauna permis prevăzute de art. 30 din Legea nr. 677/2001.

Pe 26 octombrie 2015 autoritățile federale de supraveghere din Germania au emis o poziție comună cu privire la Safe Harbor și posibilele alternative pentru transferul datelor cu caracter personal către Statele Unite. Documentul conține 14 declarații în legătură cu decizia Schrems, concluzia generală fiind una extrem de negativă și în totală contradicție cu poziția Grupului de Lucru – mai exact, potrivit poziției autorităților germane transferul de date către Statele Unite nu mai poate avea loc decât cu titlu limitat. Câteva din afirmațiile cele mai importante din poziția comună includ:

Ca urmare a deciziei Safe Harbor autoritățile germane pun sub semnul întrebării legalitatea transferului de date către Statele Unite în baza altor mecanisme de transfer, cum sunt clauzele contractuale standard sau regulile corporatiste obligatorii (BCR). De altfel, documentul precizează că la acest moment autoritățile respective nu mai emit noi autorizații de transfer în temeiul BCR sau contractelor ce conțin clauze standard;
În măsura în care le este adus la cunoștință, autoritățile germane vor interzice transferurile de date către Statele Unite bazate exclusiv pe Safe Harbor;
În exercitarea puterilor de autorizare a transferului de date conferite de articolul 4 al deciziilor Comisiei care aprobă clauzele contractuale standard (Decizia 2004/915/CE și Decizia 2010/87/CE), autoritățile germane vor implementa principiile formulate de CJUE. Autoritățile germane vor verifica în special dacă reglementările din statele destinatare aduc atingere substanței dreptului fundamental la respectarea vieții private sau nu respectă substanța dreptului fundamental la o protecție jurisdicțională efectivă (par. 94 și 95 din hotărârea CJUE);
Consimțământul poate constitui temeiul transferului de date cu caracter personal numai sub condiții foarte stricte, iar în ce privește datele angajaților, numai cu titlu excepțional;
Transferul de date către SUA nu trebuie să fie masiv sau să intervină în mod uzual ori repetat.

Pe 27 octombrie 2015 David Smith, Comisar adjunct și Director pentru Protecția Datelor cu Caracter Personal în cadrul Information Commissioner’s Office din Marea Britanie a publicat o opinie prin care sfătuiește companiile britanice să nu intre în panică și să nu se grăbească să adopte alte temeiuri suboptime pentru transfer, subliniind că nici măcar consimțământul nu este întotdeauna un temei adecvat. Totuși, din punct de vedere practic aceleași societăți sunt sfătuite să își facă o analiză proprie, începând cu un inventar al categoriilor de date cu caracter personal pe care le transferă înafara Uniunii, către ce stat, și ce măsuri au fost luate pentru a asigura protecția adecvată, iar apoi să decidă singure dacă imaginea rezultantă este una potrivită în lumina ghidului ICO cu privire la transferurile internaționale. Autorul menționează și faptul că e posibil ca în viitorul apropiat să intervină aprobarea noului acord Safe Harbor, care ar elimina multe din problemele practice de astăzi.

Autoritatea pentru Drept, Informație și Tehnologie din Israel (ILITA) a anunțat pe 19 octombrie 2015 că acordul Safe Harbor nu mai constituie un temei legitim pentru transferul datelor cu caracter personal din Israel către Statele Unite. Legea locală prevede că transferul internațional de date este permis către state unde acest drept este recunoscut și de către Uniunea Europeană, iar în lumina Deciziei 2000/520/CE care prevedea că societățile din Statele Unite care respectă principiile Safe Harbor oferă un „nivel de protecție adecvat” pentru datele cu caracter personal în conformitate cu Directiva 95/46/CE, ILITA a considerat că aceste societăți se încadrează în excepția reglementată de legea israeliană. Cu toate acestea, ca urmare a invalidării Deciziei 2000/520/CE ILITA și-a revizuit poziția în sensul în care companiile nu se mai pot preleva de excepția menționată ca temei al transferului de date cu caracter personal din Israel către companii din Statele Unite.

La scurt timp, pe 22 octombrie 2015, Comisarul pentru protecția datelor din Elveția a declarat că, în lumina deciziei CJUE în cazul Schrems, acordul Safe Harbor nu mai constituie nici în Elveția un temei juridic suficient pentru transferul datelor cu caracter personal din Elveția către Statele Unite în conformitate cu legea elvețiană a protecției datelor cu caracter personal.

Comisia Europeană a emis în 6 noiembrie o comunicare cuprinzând orientări privind transferul transatlantic de date, precum și un set de întrebări și răspunsuri (Q&A) cu privire la Safe Harbor. În comunicare Comisia a precizat că poartă discuții cu guvernul american, cu intenția de a finaliza cadrul actualizat pentru transferurile transatlantice de date personale în decurs de trei luni. Cadrul actualizat trebuie să conțină, potrivit Comisiei, limitări și garanții suficiente pentru a asigura protecția datelor personale ale cetățenilor europeni, inclusiv în ce privește accesul autorităților publice cu atribuții în domeniul justiției și securității naționale.

Până la adoptarea unui cadru juridic nou, operatorii pot folosi celelalte temeiuri legale pentru transferul de date către Statele Unite, comunicarea Comisiei incluzând orientări cu privire la fiecare dintre acestea (clauze contractuale, reguli corporatiste obligatorii BCR pentru transferuri intra-grup, derogări).

În ce privește transferurile întemeiate pe contracte, Comisia a subliniat că acestea trebuie să compenseze în mod satisfăcător absența unui nivel general de protecție adecvată, prin includerea unor elemente esențiale de protecție care lipsesc în orice situație particulară. Părțile pot recurge la clauzele contractuale standard aprobate de Comisie, caz în care în principiu autoritățile naționale vor fi obligate să le accepte. Totuși, deși în principiu autoritățile de supraveghere nu ar putea refuza transferul pe motiv că clauzele contractuale standard nu oferă un nivel de protecție adecvat, nimic nu împiedică autoritățile să examineze clauzele standard din prisma hotărârii în cauza Schrems iar, în caz de dubiu, să solicite instanțelor naționale să se pronunțe, cele din urmă putând transmite întrebări preliminare Curții Uniunii. Comisia precizează că există state membre unde pentru clauzele contractuale standard este păstrată cerința notificării sau autorizării (România făcând parte din cea de-a doua categorie), caz in care autoritățile de supraveghere trebuie să compare clauzele contractuale folosite de părți cu clauzele contractuale standard, pentru a verifica dacă există diferențe. Dacă clauzele au fost folosite fără modificări, autorizarea este, în principiu, acordată automat. Comisia mai arată și faptul că, urmare a contractului, atât exportatorul cât și importatorul de date intră sub supravegherea autorității naționale relevante.

În ce privește temeiurile derogatorii – în principal consimțământ neechivoc, executarea unui contract, exercitarea unui drept în justiție – Comisia reia poziția mai veche a Grupului de Lucru Art. 29 menționând că acestea sunt de strictă interpretare, și că transferuri repetate, în masă sau structurale trebuie efectuate cu garanții corespunzătoare și, dacă este posibil, în baza unui temei specific cum ar fi contractul sau regulile corporatiste obligatorii.

Mai mult, întemeierea transferului pe derogările prevăzute în directivă trebuie să îndeplinească două condiții – colectarea și prelucrarea primară a datelor trebuie să fi fost legitimă în sine, iar operatorii de date rămân responsabili de asigurarea unei protecții efective a datelor la folosirea temeiului alternativ.

Comisia va revizui și celelalte decizii de constatare a unui nivel de protecție adecvat, întrucât toate conțin o prevedere similară cu cea din Decizia invalidată 2000/520/CE, în sensul limitării puterii de apreciere a autorităților naționale.

La scurt timp după publicarea materialelor de către Comisie, pe 19 noiembrie, și autoritatea franceză de supraveghere (CNIL) a publicat propriile orientări și propriul set de întrebări și răspunsuri. CNIL a menționat că autoritățile de supraveghere din statele membre încă analizează impactul hotărârii Schrems cu privire la regulile corporatiste obligatorii și la clauzele contractuale standard, dar că au decis să permită operatorilor să le folosească în continuare pe termen limitat. CNIL precizează că cel mai potrivit temei sunt clauzele contractuale standard, operatorii fiind îndrumați să implementeze acest mecanism. Orientarea CNIL nu menționează și nu face nicio apreciere cu privire la posibilitatea întemeierii transferului pe situațiile derogatorii, nici măcar în ce privește consimțământul. CNIL a precizat totuși că operatorii trebuie să își modifice notificările până la sfârșitul lunii ianuarie 2016, când fie să indice faptul că transferul a încetat, fie că are la bază un alt temei (în principal clauzele standard).

Safe Harbor generația a doua

În discursul ținut pe 26 octombrie în fața Comitetului LIBE, Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a vorbit și despre situația negocierilor purtate cu Statele Unite în ce privește noul acord Safe Harbor. Ea a clarificat faptul că scopul negocierilor este acela de a asigura și în Statele Unite un regim de protecție echivalent, nu neapărat identic, cu cel din Uniunea Europeană în ce privește datele cu caracter personal.

Comisarul a menționat că s-a ajuns la un acord în principiu cu privire la un nou sistem de auto-certificare cu „mecanisme eficiente de detectare și de supraveghere”, precum și că interfața și canalele de comunicare cu autoritățile naționale de supraveghere și Departamentul pentru Comerț al SUA vor fi îmbunătățite, autoritățile de supraveghere urmând să fie mai active și mai vizibile în rolul de a revizui funcționalitatea noului sistem. Modalitatea concretă în care aceste angajamente vor respecta hotărârea Schrems este încă în discuție, cum este și implementarea unui mecanism anual de verificare comună care să acopere toate aspectele legate de funcționalitatea noului sistem, inclusiv folosirea excepțiilor de securitate națională.

Věra Jourová a mai precizat și că au fost realizate progrese pentru ca Statele Unite să ofere o protecție sporită cetățenilor europeni, fiind propusă acordarea unor drepturi rezervate până acum doar cetățenilor americani (U.S. Bill of Judicial Redress, care oferă protecție cetățenilor americani potrivit U.S. Privacy Act), iar Comisia salută aceste inițiative și analizează măsurile propuse.

Cu toate acestea, doar o zi mai târziu, pe 27 octombrie, Senatul american a aprobat o propunere controversată de lege a securității cibernetice (cunoscută sub acronimul „CISA”), despre care numeroși activiști – inclusiv Edward Snowden – au avertizat că oferă instituțiilor americane posibilitatea legală de a avea acces la informații confidențiale fără a fi supuse unui control.

Mai mult, pe 29 octombrie Parlamentul European a adoptat o rezoluție prin care reclamă lipsa acțiunilor din partea Comisiei și a statelor membre pentru a proteja drepturile fundamentale ale cetățenilor în fața supravegherii electronice în masă, în conformitate cu rezoluția Parlamentului din 12 martie 2014. Noua rezoluție solicită Comisiei să asigure că toate transferurile de date către Statele Unite sunt supuse unui nivel de protecție efectiv și substanțial echivalent cu cel garantat în Uniunea Europeană, și să analizeze de urgență impactul hotărârii Schrems asupra celorlalte temeiuri de transfer de date către Statele Unite, urmând să elaboreze un raport pe această chestiune până la finalul anului 2015.

În ce privește negocierile pentru noul acord Safe Harbor, comisarul Věra Jourová a efectuat o vizită la Washington la mijlocul lunii noiembrie, ocazie cu care a declarat că s-au făcut deja progrese ca urmare a faptului că SUA s-au angajat ca Department of Commerce să asigure o supraveghere mai strânsă și să existe o cooperare mai mare între autoritățile europene de supraveghere și Federal Trade Commission, ceea ce va schimba sistemul dintr-unul de autocertificare într-unul proactiv. Comisarul a mai declarat că se lucrează de asemenea la crearea unui mecanism comun de audit anual care să acopere toate aspectele funcționării noului cadru, incluzând folosirea excepțiilor în scop de justiție și securitate națională.

Până la adoptarea unui cadru juridic nou, unele companii iau deja măsuri proprii. Oracle a anunțat din octombrie faptul că își va construi data centere în Uniunea Europeană, însă această abordare s-ar putea să nu fie suficientă. Sub acest aspect este de o importanță critică decizia pe care instanța din New York o va da în dosarul Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corporation (pe scurt Microsoft v. United States) în care Department of Justice din Statele Unite a solicitat Microsoft Corporation să pună la dispoziție informații dintr-un cont de e-mail outlook.com al unui cetățean european, deși datele sunt localizate în Irlanda. Microsoft a pierdut în primă instanță, iar acum executarea este suspendată până la judecarea recursului. În favoarea Microsoft au intervenit o pleiadă de terți rar întâlniți în aceeași enumerare: multe societăți din domeniul IT (între care Apple, Cisco, AT&T, Verizon, Amazon, Verizon, Cisco, HP, eBay, Salesforce.com), din presă (ABC, CNN, Forbes, Fox News, National Public Radio, The Guardian, The Washington Post), multiple asociații profesionale, specialiști IT, Digital Rights Ireland (cea care a dat denumirea hotărârii CJUE de invalidare a directivei de retenție a datelor), Republica Irlanda și europarlamentarul Jan Philipp Albrecht, toți depunând amicus briefs care se regăsesc în întregime aici.

În acest context incert cu privire la soluția definitivă, Microsoft a recurs la o soluție inovatoare – folosirea unui „fiduciar de date”, astfel încât nici măcar Microsoft să nu poată avea acces la date. Fiduciarul este T-Systems, o filială Deutsche Telekom, deci o companie cât se poate de respectabilă situată în mod strategic în Germania, țara cu reputația de a avea cel mai drastic regim al datelor cu caracter personal din Uniune. Microsoft transmite astfel un mesaj foarte clar atât autorităților din Statele Unite, care dacă vor acces la date vor trebui să se adreseze fiduciarului, cât și clienților, care vor avea mai multă încredere în serviciul furnizat în acest mod. Izolarea datelor prin modelul fiduciarului este o evoluție majoră, mai ales atât de rapid după decizia Curții în cauza Schrems, având potențialul de a influența puternic abordările viitoare.

Hotărârea Curții de Justiție a Uniunii Europene în Cauza C-362/14, Schrems

Țuca Zbârcea & Asociații — Fri, 30 Oct 2015 12:55:24 +0000

În data de 6 octombrie 2015 Curtea de Justiție a Uniunii Europene a emis hotărârea în Cauza C-362/14 Schrems vs. Data Protection Commissioner[1], prin care a invalidat Decizia 2000/520/CE[2] de recunoaștere a sistemului Safe Harbor ca oferind un nivel de protecție adecvat în vederea transferului de date cu caracter personal din Uniune către Statele Unite ale Americii.

Cu titlu preliminar trebuie menționat că, potrivit articolului 25 din Directiva 95/46/CE (Directiva generală privind protecția datelor cu caracter personal), transferul datelor cu caracter personal către un stat terț nu poate avea loc decât dacă statul terț în cauză asigură un nivel de protecție adecvat, chestiune care poate fi constatată de către Comisie prin decizie. Asemenea decizii de asigurare a unui nivel de protecție adecvat au fost emise[3] până acum de Comisie pentru Andorra, Argentina, Canada, Elveția, Insulele Feroe, Guernsey, Israel, Insula Man, Jersey, Noua Zeelandă și, nu în ultimul rând, Statele Unite potrivit principiilor Safe Harbor – Decizia 2000/520/CE. Cea din urmă a fost pusă în discuție și invalidată de Curte prin decizia în Cauza C-362/14, Schrems, chestiune care afectează toate organizațiile din Uniunea Europeană care transferă date cu caracter personal către cele aproximativ 4500 de companii Statele Unite auto-certificate că respectă principiile Safe Harbor.

Situația premisă

Max Schrems, un tânăr austriac, utilizator Facebook începând din 2008, a făcut în iunie 2013 o plângere la autoritatea de supraveghere din Irlanda (Data Protection Commissioner) prin care solicita un control cu privire la modul în care datele sale cu caracter personal sunt transferate de la filiala irlandeză (Facebook Ireland Ltd.) către sediul central al Facebook, în Statele Unite. El acuza faptul că în Statele Unite legea nu asigură nicio protecție reală a datelor păstrate, iar datele sunt cu ușurință accesate de către serviciile de informații, în special National Security Agency – NSA, după cum a reieșit din informațiile făcute publice de Edward Snowden în 2013.

Autoritatea de supraveghere din Irlanda a respins plângerea ca nefondată, considerând că nu era obligată să deschidă o investigație cu privire la faptele denunțate de Schrems în plângerea sa, întrucât pe de o parte nu existau dovezi că NSA ar fi avut acces la datele cu caracter personal ale persoanei interesate, iar pe de altă parte orice problemă referitoare la caracterul adecvat al protecției datelor cu caracter personal în Statele Unite trebuia să fie soluționată în conformitate cu Decizia 2000/520/CE, prin care Comisia constatase că Statele Unite ale Americii asigură un nivel de protecție adecvat.

Schrems a atacat respectiva decizie la High Court[4] care, constatând că în baza documentelor și declarațiilor de la dosar prin care „nu se contestă exactitatea unui număr semnificativ din dezvăluirile făcute de Edward Snowden” se demonstrează săvârșirea de către NSA și alte organe federale a unor „excese considerabile” față de care cetățenii Uniunii nu dispun de niciun remediu, a suspendat judecata, transmițând CJUE o serie de întrebări preliminare menite să clarifice validitatea stabilirii de către Comisie a caracterului adecvat de protecție conferit de acordul Safe Harbor. Mai exact:

„1) În cursul analizei unei plângeri adresate unui funcționar independent învestit prin lege cu funcții de administrare și de aplicare a legislației privind protecția datelor, referitoare la faptul că date cu caracter personal sunt transferate într‑o țară terță (în speță, Statele Unite) ale cărei legi și practici se pretinde că nu conțin măsuri de protecție adecvate pentru persoana în cauză, acest funcționar, având în vedere articolele 7, 8 și 47 din [cartă] și fără a aduce atingere dispozițiilor articolului 25 alineatul (6) din Directiva 95/46[…], este ținut în mod absolut să respecte constatarea contrară a Uniunii cuprinsă în Decizia [2000/520]?

2) Sau, dimpotrivă, funcționarul poate și/sau trebuie să desfășoare o investigație proprie asupra problemei în lumina evoluțiilor factuale ulterioare datei la care decizia Comisiei a fost publicată pentru prima dată?”

Hotărârea

Curtea de Justiție a disociat analiza în funcție de cele două componente relevate de întrebările preliminare – pe de o parte competențele autorităților naționale de supraveghere în cazul unei decizii de adecvare a Comisiei, iar pe de alta – validitatea Deciziei 2000/520/CE.

În ceea ce privește primul aspect, Curtea a concluzionat că o decizie prin care Comisia constată că o țară terță asigură un nivel de protecție adecvat, cum este Decizia 2000/520/CE, nu se opune ca o autoritate de supraveghere dintr‑un stat membru să examineze cererea unei persoane de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal care o privesc, care au fost transferate dintr‑un stat membru către această țară terță, atunci când această persoană invocă faptul că dreptul și practicile în vigoare în țara terță menționată nu asigură un nivel de protecție adecvat (par. 66). Totuși, a subliniat că doar Curtea este singura competentă să constate nevaliditatea unui act al Uniunii (cum este Decizia 2000/520/CE), caracterul exclusiv al acestei competențe având ca obiectiv garantarea securității juridice prin asigurarea aplicării uniforme a dreptului Uniunii (par. 61).

Sub cea de-a doua component, Curtea a analizat Decizia 2000/52/CE, cu precădere faptul că cerințele „privind securitatea națională, interesul public și respectarea legilor Statelor Unite ale Americii” prevalează asupra principiilor Safe Harbor, ceea ce înseamnă în opinia Curții că „organizațiile americane autocertificate care primesc date cu caracter personal din Uniune sunt obligate să înlăture, fără limitare, aceste principii atunci când acestea din urmă intră în conflict cu aceste cerințe și se dovedesc, așadar, incompatibile cu ele” (par 86). Mai mult, Decizia 2000/52/CE (i) „nu cuprinde nicio constatare în privința existenței în Statele Unite a unor norme cu caracter statal destinate să limiteze eventualele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate din Uniune către Statele Unite” (par. 88) și nici (ii) „nu menționează existența unei protecții juridice eficiente împotriva unor ingerințe de această natură” (par. 89). Tocmai pe aceste două paliere Curtea a găsit motive de invalidare a articolului 1 al Deciziei 2000/520/CE, găsind că (i) posibilitatea autorităților publice să acceadă în mod generalizat la conținutul comunicărilor electronice „aduce atingere substanței dreptului fundamental la respectarea vieții private” reglementat de art. 7 din Carta Drepturilor Fundamentale a Uniunii Europene (par. 94), și că lipsa unei posibilități pentru justițiabil „de a exercita căi legale pentru a avea acces la date cu caracter personal care îl privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date” încalcă dreptul fundamental la o protecție jurisdicțională efectivă, consacrat de art. 47 din aceeași Cartă (par. 95).

Curtea a invalidat de asemenea și articolul 3 din Decizia 2000/520/CE, întrucât prevede reguli derogatorii referitoare competențele autorităților naționale de supraveghere în raport cu o constatare efectuată de Comisie referitoare la nivelul de protecție adecvat (par. 100), în condițiile în care competența Comisiei potrivit Directivei 95/46/CE nu include posibilitatea de a restrânge competențele autorităților naționale de supraveghere (par. 103), ceea ce înseamnă că prin adoptarea articolului 3 din Decizie Comisia și‑a depășit competența atribuită la articolul 25 alineatul (6) din Directiva 95/46/CE, interpretat în lumina Cartei (par. 104).

Ca urmare a constatării nevalidității articolelor 1 și 3 din Decizia 2000/520/CE, și constatând că restul Deciziei – articolele 2 și 4 și anexele – nu poate fi disociat de acestea, Curtea a concluzionat că întreaga Decizie 2000/520/CE este nevalidă (par. 105).

Nu a fost prevăzut niciun termen tranzitoriu pentru efectele acestei decizii, ceea ce înseamnă că nevaliditatea Deciziei 2000/520/CE și implicit ineficacitatea principiilor Safe Harbor au intervenit imediat, de la 6 octombrie 2015.

Ce înseamnă hotărârea Schrems pentru operatorii români de date care au notificat transferul în temeiul Safe Harbor?

Hotărârea în discuție are implicații foarte largi atât la nivel statal cât mai ales la nivelul societăților în cadrul cărora transferul transatlantic de date joacă un rol important. Una din concluziile principale de tras este aceea că în cadrul Uniunii Europene cerințele de protecție a datelor cu caracter personal au ajuns la un nivel extrem de ridicat, iar dreptul la protecția acestor date este unul fundamental, pe care Curtea de Justiție nu va ezita să îl proclame ca atare. De altfel, această hotărâre conturează o practică constantă după celelalte hotărâri semnificative în domeniul supravegherii în masă (C-293/12 și C-594/12, Digital Rights Ireland – invalidarea Directivei 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice), activității persoanelor juridice (C-131/12, Google Spain – dreptul de a fi uitat) și a persoanelor fizice (C-212/13, Ryneš – sisteme CCTV ale persoanelor fizice).

O dificultate practică este ușor de anticipat datorită faptului că, în special ca urmare a recentei hotărâri Weltimmo, aceleași fapte ar putea fi supuse analizei (și, posibil, sancțiunilor) în mai multe state membre. Acest lucru este o problemă reală pentru societățile multinaționale, în special având în vedere opiniile divergente ale autorităților naționale de supraveghere. În plus, o asemenea abordare fragmentată diminuează extrem de mult încrederea în implementarea unui sistem „one-stop-shop” preconizat a fi reglementat în viitorul regulament general de protecție a datelor.

Realitatea de la care pleacă analiza măsurilor de implementat este aceea că, în prezent, transferul de date cu caracter personal către Statele Unite în baza Safe Harbor nu mai este legal, iar în conformitate cu punctul de vedere al Grupului de Lucru Art. 29 (organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii) din 16 octombrie 2015[5], companiile au la dispoziție un timp scurt – până pe 31 ianuarie 2016, să găsească și să implementeze un temei alternativ.

Având în vedere orientarea exprimată de Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal[6], temeiurile alternative ce pot fi avute în vedere de societățile române ar putea fi clauzele contractuale standard, regulile corporatiste obligatorii, sau consimțământul expres pentru efectuarea transferului. Niciuna din aceste opțiuni nu este simplu sau rapid de implementat, astfel că apare oportună analizarea în primul rând a necesității transferului de date personale în Statele Unite, cu scopul de a reduce sau elimina transferurile care nu sunt necesare. O asemenea reducere ar avea loc în situația în care, de exemplu, ar fi folosite centre de date din Uniunea Europeană, deși chiar și în acest caz trebuie avut în vedere faptul că societățile americane pot fi obligate, în anumite condiții, să predea informații pe care afiliații lor le dețin în străinătate referitor la cetățeni străini.

În al doilea rând, trebuie efectuată o analiză a contractelor încheiate cu furnizori americani cu scopul ca, în măsura în care contractele nu conțin deja clauzele standard aprobate de Comisia Europeană (prin Deciziile 2010/87/UE sau 2001/497/CE), contractele existente să fie înlocuite cu asemenea clauze standard. În acest caz trebuie avut în vedere faptul că există două tipuri de clauze standard: operator-operator și operator-împuternicit, fiecare potrivit în alt tip de situații. Mai mult, pe lângă clauzele care nu pot fi modificate, clauzele standard aprobate de Comisie includ și anexe al căror conținut nu este prestabilit și pe care părțile contractului trebuie să le introducă după o analiză detaliată – între altele, categoriile de date transferate, modalitatea prelucrării, măsurile tehnice și organizatorice prin care importatorul de date american asigură un nivel de protecție adecvat potrivit standardelor Uniunii Europene.

Este însă posibil ca, deși transferul de date a fost notificat în temeiul Safe Harbor, contractul care îi stă la bază să conțină deja clauzele standard. Aceasta pentru că, până în 6 octombrie 2015, notificarea de către un operator român a transferului de date în Statele Unite în temeiul Safe Harbor elimina complet necesitatea autorizării transferului de către ANSPDCP, chestiune care nu subzista în cazul transferului întemeiat pe clauze standard; drept urmare, atunci când operatorul a avut încheiat un contract cu clauze standard dar partenerul american (importator de date) era și certificat Safe Harbor, atunci notificarea a fost făcută pe acest din urmă temei pentru a elimina timpul suplimentar și formalitățile mai stricte aferente autorizării. Acum, după hotărârea Schrems, operatorii respectivi trebuie să modifice notificările depuse și să schimbe temeiul transferului în clauze contractuale standard (atașând copie), după care să aștepte autorizarea din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. În prezent, această formalitate poate dura chiar și 4 luni, ceea ce înseamnă că modificarea trebuie făcută cât mai curând.

Pentru transferurile intra-grup de date personale (în special date ale angajaților în cadrul companiilor multinaționale) operatorii pot implementa reguli corporatiste obligatorii (BCR), deși acest proces este în general dificil și costisitor.

Nu în ultimul rând, operatorii de date pot solicita consimțământul persoanelor vizate pentru efectuarea transferului. Deși acest temei are avantajul de a exclude necesitatea autorizării transferului, obținerea consimțământului se poate dovedi foarte oneroasă sau chiar imposibilă – de exemplu, în ce privește datele deja colectate de la un număr semnificativ de persoane vizate, și care continuă să fie deținute, chiar și pasiv, de către operatorii în cauză prin intermediul unor împuterniciți stabiliți în Statele Unite.

În fine, o chestiune care nu poate fi ignorată este faptul că motivarea hotărârii Schrems (anume existența unor mijloace de supraveghere necontrolată din partea autorităților SUA) poate fi aplicată și în ceea ce privește toate celelalte temeiuri de transfer al datelor cu caracter personal către Statele Unite. O asemenea interpretare drastică ar conduce, practic, la imposibilitatea transferului de date către Statele Unite, în ciuda celor mai bune eforturi depuse atât de companiile din Uniune cât și de cele de peste ocean. Din fericire, cel puțin deocamdată orientarea autorității române de supraveghere este una moderată, care permite recurgerea la toate celelalte temeiuri înafara Safe Harbor. Acest lucru însă nu elimină necesitatea ca operatorii români de date să își facă propria analiză și să își decidă propriile măsuri de implementat ca urmare a invalidării acordului Safe Harbor.

[1] Textul hotărârii este disponibil la http://goo.gl/tfzktH.

[2] Decizia Comisiei 2000/520/CE privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A., publicată în Jurnalul Oficial nr. L215/7 din 25 august 2000, disponibilă la http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=
CELEX:32000D0520&from=RO.

[3] Lista țărilor și legături către deciziile relevante ale Comisiei pot fi accesate la http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

[4] În ciuda denumirii, în Irlanda “High Court” este o instanță de prim grad.

[5] Disponibil la http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.

[6] A se vedea comunicatul de la http://dataprotection.ro/?page=Transper_date_conf_CJUE&lang=ro.

Despre protecția datelor cu caracter personal și dreptul la viață privată – interviu cu Andreea Lisievici

Țuca Zbârcea & Asociații — Thu, 23 Jul 2015 08:20:46 +0000

Interviu cu Andreea Lisievici, Managing Associate al Țuca Zbârcea & Asociații, publicat de Universul Juridic

Nicolae Cîrstea: Doamna Lisievici, profitând de pretextul pe care apariția lucrării dvs PROTECȚIA DATELOR CU CARACTER PERSONAL ȘI DREPTUL LA VIAȚĂ PRIVATĂ ni-l oferă, aș vrea să vă rog, înainte de toate, să ne devoalați măcar în parte CV-ul dvs și modul cum ați ajuns să vă specializați în „protecția datelor și dreptul la viață privată”.

Andreea Lisievici: Sunt avocat de 9 ani (din care 8 în cadrul Țuca Zbârcea & Asociații), iar înainte de Facultatea de Drept am absolvit un liceu de informatică. Poate și din acest motiv am păstrat un interes destul de ridicat pentru lumea IT, iar domeniul juridic al protecției datelor cu caracter personal a fost o consecință firească fiind printre puținele zone de reglementare care ating în mod direct și necesar lumea tehnologiei (cloud computing, cookies, aplicații mobile, smart metering etc.). Chiar dacă în activitatea profesională nu mă ocup doar de protecția datelor cu caracter personal, în domeniul acesta nu simt că muncesc cu adevărat, tocmai pentru că mi se pare atât de interesant.

Nicolae Cîrstea: Din discuțiile noastre anterioare mi-am dat seama că este un domeniu în care mai degrabă organizațiile fac pași importanți pentru ca activitatea lor să corespundă normelor legale. Cât de prezentă este și unde/cum se aplică această preocupare pentru „protecția datelor” în viața companiilor și în aceea a persoanelor fizice?

Andreea Lisievici: Este adevărat, în primul rând operatorii de date cu caracter personal – atât companii, cât și instituții publice – sunt cei interesați să asigure că prelucrările de date pe care le fac sunt conforme cu prevederile legii. Acest lucru poate să însemne o gamă largă de preocupări în funcție de tipul prelucrării (de exemplu, prelucrarea datelor informatice generate de angajați, plasarea de cookies, folosirea dronelor, CCTV, aplicații mobile de sănătate etc.), însă chestiunile comune se rezumă la identificarea datelor, scopului, mijloacelor și întinderii prelucrării, urmate apoi de stabilirea temeiului legal, de redactarea documentelor necesare (politici interne, notificarea de prelucrare destinată persoanelor vizate) și, nu în ultimul rând, de depunerea notificării de prelucrare pe site-ul autorității de supraveghere. Trebuie spus că orice persoană este, de fapt, un operator de date cu caracter personal, pentru că oricine, fie companie, fie persoană fizică, are măcar un set de date de contact ale unor persoane fizice – cu alte cuvinte prelucrează aceste date cu caracter personal. Asta nu înseamnă și că toată lumea trebuie să depună notificarea aferentă, pentru că există o serie de excepții de la această cerință, între care cele mai des operabile sunt prelucrarea în scop de gestiune economico-financiară și administrativă și evidența datelor de contact (prevăzute în Decizia nr. 100/2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal).

Nicolae Cîrstea: Reglementările în domeniu vin în special pe filieră europeană/a Uniunii Europene în procesul de absorbție a legislației specifice în dreptul intern. Cum se situează România din acest punct de vedere? Suntem „la zi” cu transpunerea în dreptul intern a legislației specifice? Dar cu respectarea/implementarea acesteia.

Andreea Lisievici: Protecția datelor cu caracter personal este un domeniu în principiu armonizat la nivelul Uniunii, ceea ce înseamnă că există o serie de acte europene care ar trebui să asigure o reglementare uniformă, care însă lasă unele aspecte pentru reglementarea națională. În momentul de față reglementarea europeană este asigurată de directive, care au fost transpuse în legislația națională de fiecare stat membru – inclusiv România. Totuși, acest lucru s-a dovedit insuficient, în prezent existând o varietate de implementări naționale ale aceleiași reglementări europene. De exemplu, situațiile în care se face notificarea de prelucrare – în unele state nu se face deloc; modul în care se face notificarea – în funcție de scop, sau în funcție de baza de date constituită; incidența autorizării în cazul transferului de date în temeiul Safe Harbor – în unele state este aplicabilă, în altele nu cum este cazul României etc. Acesta este unul din motivele pentru care reglementarea va fi reformată prin adoptarea unui regulament european, însă chiar și acesta lasă unele aspecte la latitudinea statelor membre.
Din păcate, în România activitatea normativă a autorității de supraveghere este scăzută în comparație cu alte state membre. Având în vedere interesul în creștere pentru cerințele și drepturile decurgând din legislația datelor cu caracter personal, este de dorit ca implicarea autorității prin emiterea unor acte de interpretare ori de aplicare în cazul unor situații specifice să crească. Tocmai de aceea la nivelul AmCham am lucrat la începutul anului la o propunere de ghid cu privire la cloud computing^{^[1]}, care a fost supus analizei autorității. Abordări similare sunt totuși necesare în multe alte nișe.

Nicolae Cîrstea: Până unde poate merge/până unde pot fi incidente normele din domeniu privind viața privată și protecția datelor cu caracter personal? Ne puteți da câteva exemple de situații unde se aplică/se poate aplica această legislație?

Andreea Lisievici: Răspunsul simplu ar fi că există o componentă de date cu caracter personal aproape peste tot: în achizițiile de societăți sau de afaceri, în externalizarea unor servicii, în publicitatea comportamentală și profilarea online, în indexarea unor informații de pe internet, în afișarea rezultatelor la diverse concursuri și examene, în filmarea cu un GoPro pe șosea, stradă sau pârtie de schi, chiar în simpla deținere a unor contacte în telefonul propriu, ca să nu mai spun de situația aplicațiilor de Facebook care solicită lista prietenilor.

Nicolae Cîrstea: Din răspunsul dvs îmi dau seama că sunt zone cu care lucrăm fiecare dintre noi zi de zi, dar de care nu suntem neapărat conștienți că ar trebui să respecte reglementări specifice. Suntem – ca și companii și persoane care operăm/trăim în Romania – conștienți de aceste reglementări?

Andreea Lisievici: În ultimii ani am văzut o conștientizare și o preocupare tot mai mare pentru respectarea condițiilor în care se prelucrează datele cu caracter personal. Din fericire, atât autoritățile de protecție la nivel național, cât și Grupul de Lucru Art. 29 pun accent din ce în ce mai mare pe obligația de informare, astfel încât persoanele vizate de prelucrare să afle, în termeni simpli și clari, ce date li se cer și în ce scop. Cu toate acestea, există multe zone gri care necesită analiză de la caz la caz.
Ultimele sondaje chiar la nivelul Uniunii Europene arată că persoanele devin din ce în ce mai conștiente de faptul că datele lor cu caracter personal sunt folosite, fiind interesate de întinderea, scopul și durata în care acest lucru are loc. Potrivit eurobarometrului cu privire la protecția datelor dat publicității în iunie 2015^{^[2]}, 71% din respondenții români au declarat că sunt îngrijorați de faptul că datele lor pot fi folosite într-un alt scop decât cel pentru care au fost colectate, fără a fi informați, iar 30% au declarat că nu cred că dețin niciun control asupra informațiilor pe care le furnizează online. Totuși, 54% au declarat că furnizarea datelor personale nu este o problema majoră, iar 44% au declarat că nu sunt deranjați de furnizarea informațiilor personale în schimbul serviciilor gratuite.

Nicolae Cîrstea: Care este entitatea statală care reglementează această zonă? Au fost aplicate sancțiuni pentru nerespectarea legislației?

Andreea Lisievici: Autoritatea în domeniu este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În iunie Autoritatea tocmai a sărbătorit 10 ani de existență, întrucât până în 2005 competența aparținea Avocatului Poporului.
Sancțiuni sunt, bineînțeles. Chiar recent Autoritatea a făcut o investigație tematică privind utilizarea modulelor cookies și a aplicat amenzi în cuantum total de 68.500 lei pentru lipsa acordului utilizatorului pentru cookie-urile plasate de diverse site-uri și nefurnizarea informațiilor anterior exprimării acordului privind scopul general al procesării informațiilor stocate, durata de viață, ce informații sunt stocate și accesate precum și permiterea stocării și/sau accesului unor terți la informațiile stocate în echipamentul terminal al utilizatorului [art. 13 alin. (1) lit. i) din Legea nr. 506/2004]. Spre deosebire, în tot anul 2013 au fost aplicate amenzi în cuantum de 134.500 de lei.

Nicolae Cîrstea: Care sunt sancțiunile/amenzile aplicate și cuantumul lor? Sunt procese/decizii definitive în România sau în străinătate pe acest segment?

Andreea Lisievici: Din ce am observat în comunicatele Autorității, cea mai mare sancțiune (făcută publică) este în cuantum de 15.000 de lei, și a fost aplicată unui operator persoană fizică care prelucra date prin intermediul site-ului www.clientineseriosi.ro, prin care punea la dispoziția terților, inclusiv a utilizatorilor de Internet, date aparținând unor persoane fizice considerate a fi clienți rău-platnici ai diverselor entități, fără să poată face dovada colectării informațiilor personale cu bună-credință și cu respectarea principiilor de legitimitate a prelucrării datelor, în contextul colectării și ulterior dezvăluirii datelor pe Internet și către terți, fără consimțământul expres al persoanelor vizate și fără respectarea dreptului lor de informare prealabilă. Sancțiunea a avut în vedere, în plus, omisiunea de a notifica prelucrarea, precum și neîndeplinirea obligațiilor de confidențialitate. Pe lângă amendă a fost dispusă încetarea prelucrării datelor cu caracter personal și ștergerea acestora.
De-a lungul timpului sancțiunile nu au privit doar entități private. Dimpotrivă, Autoritatea a sancționat chiar și instituții publice – Direcția Generală Regională a Finanțelor Publice Brașov a fost sancționată pentru că nu a luat măsurile necesare pentru a împiedica pierderea sau accesul neautorizat la datele cu caracter personal pe care le gestionează; Primăria Gherghești (județul Vaslui) a fost sancționată pentru neîndeplinirea obligațiilor determinate de folosirea unui sistem de supraveghere video; Consiliul Superior al Magistraturii a fost sancționat pentru încălcarea dreptului de intervenție al unui magistrat în raporturile cu CSM, întrucât acesta nu a răspuns cererii magistratului de ștergere a datelor sale personale (referiri la trăsături de personalitate și comportament) din Raportul Inspecției judiciare, postat pe site-ul CSM, în condițiile în care dezvăluirea publică a respectivului raport este de natură să aducă atingere vieții private a persoanei respective; Direcția Sanitar Veterinară și Pentru Siguranța Alimentelor Botoșani a fost sancționată pentru prelucrarea nelegală a datelor cu caracter personal, întrucât au fost dezvăluite date cu caracter personal ale unui petent fără acordul acestuia și a fost nerespectat dreptul de intervenție întrucât nu s-a transmis un răspuns petentului în termenul legal de 15 zile; ș.a.
În ceea ce privește litigiile în domeniu, acestea privesc contestarea deciziilor de sancționare emise de Autoritate. În general, sancțiunile dispuse de Autoritate au fost menținute de instanțe.

Nicolae Cîrstea: La Țuca, Zbârcea și Asociații am văzut că ați avut inițiativa organizării unor mese rotunde. Ce v-ați propus când ați programat acest eveniment și ce participanți au onorat invitația?

Andreea Lisievici: Am organizat deja un seminar dedicat protecției datelor cu caracter personal în data de 16 iunie. Fiind primul, nivelul lui nu a fost foarte avansat, ci ne-am axat pe prezentarea obligațiilor și a unor bune practici în diverse domenii (accesul la datele generate de angajați, spam, cloud computing etc.). Ne-am dorit un eveniment la care participanții să poată interveni și să avem discuții deschise, astfel că numărul de locuri a fost strict limitat la 25. Din acest motiv există deja o listă de așteptare cu cei care doresc să fie prezenți la edițiile viitoare ale seminarului. Participanții au reprezentat companii private, atât românești cât și internaționale, din varii sectoare ale industriei, de la societăți active în domeniul energiei, la companii farma, FMCG, IT&C, instituții financiar-bancare și companii de asigurări, evenimentul fiind gândit ca unul de business, adresat operatorilor de date.
Trebuie să spun că seminarul s-a dovedit a fi peste așteptări – participanții au fost foarte activi și au împărtășit inclusiv din activitatea lor, au pus întrebări foarte practice, iar experiența, per ansamblu, a fost una extrem de plăcută.

Nicolae Cîrstea: Care au fost concluziile? Discuțiile/dezbaterile au relevat un interes pentru acest domeniu? Aveți în vedere să reluați acest eveniment?

Andreea Lisievici: Concluzia principală a fost că există o nevoie în creștere de informare și consultanță în domeniul datelor cu caracter personal, fiindcă apar tot mai multe situații practice al căror regim juridic este neclar ori interpretabil, iar companiile diligente caută să stabilească ori să urmeze o bună practică în domeniu. Vom încerca să repetăm evenimentul, având în vedere atât solicitările exprese în acest sens, cât și sugestiile tematice făcute de participanții anteriori. Cu siguranță este mai dificil să punem în acord programul tuturor celor 5 speakeri decât să găsim auditori interesați de domeniul datelor cu caracter personal.

Nicolae Cîrstea: Creșterea interesului pentru protecția datelor cu caracter personal/protecția vieții private se datorează internetului și motoarelor de căutare, rețetelor sociale etc. care activează în interiorul acestuia (internetului)? Care este impactul internetului din acest punct de vedere?

Andreea Lisievici: În prezent asistăm la multiplicarea și intensificarea problematicii datelor cu caracter personal tocmai datorită faptului că internetul devine o utilitate, iar tehnologia cunoaște o zonă de dezvoltare cu totul nouă – Internet of things. Asistăm la conectarea a tot mai multe „lucruri” – telefoane, mașini, case, sisteme de măsurare, cloud computing, social media etc., toate implicând și transmiterea de date cu caracter personal. În momentul de față o simplă navigare pe internet presupune oferirea unor date care pot conduce, indirect și eventual treptat, la identificarea unei persoane. În materia aplicațiilor mobile este deja o realitate că aplicațiile gratuite solicită o sumedenie de date personale tocmai ca un fel de „plată”, iar un număr mare de utilizatori bifează că sunt de acord cu politica de folosire a datelor fără ca, în realitate, s-o citească.
În materie de încredere este interesant de observat că, potrivit eurobarometrului, serviciile online (motoare de căutare, rețele online, webmail) se bucură de cea mai mică încredere – doar 24%, ceea ce înseamnă că aici mai este foarte mult de lucru pentru câștigarea încrederii publicului. Cum serviciile online în sensul cel mai larg, de internet of things, nu fac decât să se amplifice și ramifice, efortul va trebui să privească deopotrivă latura normativă (unde Uniunea este într-un stadiu destul de avansat în ce privește reforma directivei cu privire la prelucrarea datelor personale), latura de implementare (unde va fi nevoie din ce în ce mai mult de implicarea autorității de reglementare), cât și latura de educare și de informare, atât a publicului cât și a operatorilor (parte unde încercăm să participăm și noi).

Nicolae Cîrstea: Vă mulțumesc pentru disponibilitatea dvs de a împărtăși cu noi idei despre un segment existent și anterior pe care însă creșterea internetului l-a făcut să-l conștientizăm mai mult!

Andreea Lisievici: Și eu vă mulțumesc!

^{^[1]} http://www.amcham.ro/UserFiles/committeePaper/Ghid%20Cloud%20Computing_Final-EN_05151246.pdf.
^{^[2]} http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_fact_ro_ro.pdf.