15 minute read
25 Mai 2021 - trei ani de aplicare a RGPDby Mugurel Olariu, RPD protectie date
Prin art.99, RGPD prevede intrarea în vigoare a acestuia la nivelul Statelor Membre ale UE de la 25 Mai 2016, respectiv aplicarea acestuia de la 25 Mai 2018. Astfel, la 25 Mai 2021 se împlinesc trei ani de aplicare a acestui important instrument.
În continuare, prezentăm câteva aprecieri legate de rolul acestui document, aspecte importante privind drepturile cetățenilor, precum și regulile aplicabile întreprinderilor.
ROLUL acestui regulament: ✔ Regulamentul le permite cetățenilor Uniunii Europene (UE) să dețină mai bine controlul asupra propriilor date cu caracter personal. De asemenea, acesta modernizează și unifică normele, permițându-le întreprinderilor să reducă bi➢ un nou drept la portabilitatea datelor – facilitând transmiterea datelor cu caracter personal de la un furnizor de servicii la altul; ➢ un drept mai clar de ștergere („dreptul de a fi uitat”) – când o persoană nu mai dorește ca propriile date să fie prelucrate și nu există motive întemeiate pentru păstrarea lor, datele respective vor fi șterse; ➢ dreptul de a afla atunci când propriile date cu caracter personal au fost piratate – întreprinderile și organizațiile vor fi obligate să informeze prompt persoanele fizice cu privire la încălcările grave ale securității datelor. De asemenea, acestea vor fi obligate să sesizeze autoritatea compeB y art.99, GDPR provides for its entry into force at the level of EU Member States from May 25, 2016, respectively its application from May 25, 2018. Thus, May 25, 2021 marks three years of application of this important instrument.
In the following, we present some assessments related to the role of this document, important aspects regarding citizens’ rights, as well as the rules applicable to companies.
ROLE of this regulation: ✔ The regulation allows the citizens of the European Union (EU) to have better control over their personal data. It also modernizes and unifies the rules, allowing businesses to cut red tape and
Important aspects of Citizens’ Rights: GDPR strengthens existing rights, provides for new rights and gives citizens greater control over their own personal data. These include: ➢ easier access to one’s own data - including providing more information on how that data is processed and ensuring the availability of that information in a clear and intelligible form; ➢ a new right to data portability - facilitating the transmission of personal data from one service provider to another; ➢ a clearer right of erasure (“the right to be forgotten”) - when a person no longer wants his or her da-
rocrația și să se bucure de o încredere sporită din partea consumatorilor. ✔ Regulamentul general privind protecția datelor (RGPD) face parte din pachetul de reformă al UE privind protecția datelor, alături de directiva privind protecția datelor pentru autoritățile polițienești și judiciare.
Aspecte importante privind Drepturile cetățenilor: RGPD consolidează drepturile existente, prevede drepturi noi și le acordă cetățenilor un control sporit asupra propriilor date cu caracter personal. Printre acestea se numără: ➢ acces mai ușor la propriile date – inclusiv furnizarea mai multor informații cu privire la modul în care sunt prelucrate datele respective și asigurarea disponibilității informațiilor respective într-o formă clară și inteligibilă; tentă de supraveghere a protecției datelor.
REGULI pentru întreprinderi: RGPD este conceput pentru a crea oportunități de afaceri și a stimula inovarea printr-o serie de măsuri, inclusiv: ■ un set unic de norme la ni-
enjoy increased consumer confidence. ✔ The General Data Protection Regulation (GDPR) is part of the EU Data Protection Reform Package, along with the Data Protection Directive for police and judicial authorities.
ta to be processed and there are no good reasons for keeping it, that data will be deleted; ➢ the right to know when their personal data has been hacked - businesses and organizations will be obliged to promptly inform individuals about serious data security breaches.
They will also be required to notify the competent data protection supervisory authority.
RULES for enterprises: GDPR is designed to create business opportunities and stimulate innovation through a number of measures, including: ■ a single set of rules at EU level - it is estimated that the existence of a single EU law on data protection will save EUR 2.3 billion per year;
velul UE – se estimează că existența unei legi unice la nivelul UE cu privire la protecția datelor va duce la economisirea a 2,3 miliarde EUR pe an; ■ desemnarea unui responsabil cu protecția datelor de către autoritățile publice și întreprinderile care prelucrează date pe scară largă; ■ ghișeu unic – întreprinderile trebuie să interacționeze cu o singură autoritate de supraveghere (în țara UE în care își au sediul principal); ■ norme UE pentru întreprinderile din afara UE – întreprinderile care își au sediul în afara
UE trebuie să aplice aceleași norme când oferă servicii sau bunuri sau când monitorizează comportamentul persoanelor fizice în cadrul UE;
as pseudo-anonymization (when the identifying fields in a data record are replaced by one or more artificial identifiers) and encryption (when the data is encrypted so that it can only be read by authorized parties); ■ elimination of notifications - the new data protection rules will eliminate most notification obligations and the costs associated with them.
One of the objectives of the
Data Protection Regulation is to remove obstacles to the free movement of personal data within the EU. This will facilitate the development of enterprises; ■ impact assessments - companies will be required to carry out impact assess-
■ norme favorabile inovării – o garanție că produsele și serviciile încorporează măsuri de protecție a datelor încă din prima etapă de dezvoltare (protecția implicită a datelor începând cu momentul conceperii); ■ tehnici de protejare a vieții private precum pseudoanonimizarea (când câmpurile identificatoare dintr-o înregistrare de date sunt înlocuite cu unu sau mai mulți identificatori artificiali) și criptarea (când datele sunt codificate astfel încât să poată fi citite numai de către părțile autorizate); ■ eliminarea notificărilor – noile norme privind protecția datelor vor elimina majoritatea obligațiilor de notificare și costurile asociate acestora. Unul dintre obiectivele regulamentului privind protecția datelor este de a îndepărta obstacolele din
calea liberei circulații a datelor cu caracter personal în cadrul UE. Acest lucru va facilita dezvoltarea întreprinderilor; ■ evaluări ale impactului – întreprinderile vor avea obligația de a efectua evaluări ale impactului în cazul în care prelucrarea datelor poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice; ■ păstrarea evidențelor –
IMM-urile nu sunt obligate să păstreze evidențe ale activităților de prelucrare, cu excepția cazurilor în care prelucrarea are loc cu regularitate și este susceptibilă de a genera un risc pentru drepturile și libertățile persoanelor ale căror date se prelucrează.
În plan național, ANSPDCP, a marcat împlinirea celor trei ani de aplicare a RGPD prin publicarea unei sinteze a activității pe primele patru ■ designation of a data protection officer by public authorities and large-scale data processing enterprises; ■ one-stop shop - companies must interact with a single supervisory authority (in the
EU country where they are headquartered); ■ EU standards for non-
EU companies - companies based outside the EU must apply the same rules when providing services or goods or when monitoring the behavior of individuals within the EU; ■ enovable innovation standards - a guarantee that products and services incorporate data protection measures from the earliest stage of development (implicit data protection from the moment of design); ■ Privacy techniques such
ments where data processing may pose a high risk to the rights and freedoms of individuals; ■ keeping of records - SME’s are not obliged to keep records of processing activities, unless the processing takes place regularly and is likely to create a risk to the rights and freedoms of the persons whose data are processed.
At national level, ANSPDCP, marked the fulfillment of the three years of application of the GDPR by publishing a summary of the activity for the first four months of the year1, of which we mention next: ✔ received 1733 complaints, notifications and notifications regarding security in-
1 https://www.dataprotection.ro/?page=Comunicat_Presa_25_05_2021&lang=ro
luni ale anului1, din care menționăm următoarele: ✔ a primit 1733 de plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 288 investigații. ✔ Ca urmare a investigațiilor, au fost aplicate 15 amenzi în cuantum total de 110.545,7 lei. ✔ au mai fost aplicate 37 de avertismente și au fost dispuse 30 de măsuri corective. ✔ a primit 1600 plângeri, pe baza cărora au fost demarate 155 de investigații. ✔ incidentele de securitate, atât în temeiul RGPD, cât și al Legii nr. 506/2004, 84 de notificări, iar sesizările privind posibile neconformități cu dispozițiile RGPD s-au ridicat la un număr de 49. ✔ Ca urmare a sesizărilor primite și încălcărilor de securitate notificate de către operatorii de date cu caracter personal, au fost demarate 133 de investigații din oficiu. ✔ au fost adresate instituției noastre 352 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a RGPD și a celorlalte reglementări incidente.
În plan european, organismul specializat - CEPD a publicat pe sit-ul oficial, la 02.06.2021, Raportul anual 2020 al CEPD2, dintre care menționăm: 1. EVIDENȚE 2020 1.1. Contribuția CEPD la evaluarea GDPR. 1.2. Probleme legate de Răspunsuri COVID-19 ✔ În timpul pandemiei COVID-19, statele membre ale SEE au luat de măsuri de monitorizare, limitare și atenuare a răspândirii virusului. Multe dintre aceste măsuri au implicat prelucrarea datelor cu caracter personal, cum ar fi aplicații de urmărire a contactelor, utilizarea locației date sau
1 https://www.dataprotection.ro/?page=Comunicat_Presa_25_05_2021&lang=ro 2 https://edpb.europa.eu/our-worktools/our-documents/annual-report/ edpb-annual-report-2020_ro prelucrarea datelor de sănătate în scopuri de cercetare. ✔ CEPD a oferit îndrumări cu privire la modul de procesare date cu caracter personal în contextul pandemiei COVID-19. Pe parcursul aceastei perioade, CEPD a răspuns și la scrisorile deputaților a Parlamentului European cerând clarificări suplimentare cu privire la Probleme legate de COVID-19. 1.3. Datele cu caracter personal internaționale circulă după hotărârea Schrems II. Ca urmare a deciziei CJUE, Comitetul a adoptat următoarele documente: ✔ Declarație privind Curtea de Justiție a Hotărârii Uniunii Europene în cauza C-311/18 - Comisarul pentru protecția datelor împotriva Facebook Irlanda și Maximillian Schrems, la 17 iulie 2020. ✔ Întrebări frecvente cu privire la hotărârea Curții de Justiția Uniunii Europene în cauza C-311/18 - Protecția datelor Comisar împotriva Facebook Ireland Ltd și Maximillian Schrems, la 23 iulie 2020. ✔ Recomandările 01/2020 privind măsurile care completează instrumente de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal, la 10 noiembrie 2020. ✔ Recomandările 02/2020 privind garanțiile esențiale europene pentru măsuri de supraveghere, la 10 noiembrie 2020. 1.4. Prima Hotărâre obligatorie, potrivit art. 65 RGPD.
La 10 noiembrie 2020, CEPD a adoptat prima sa decizie obligatorie în temeiul art. 65 GDPR. Decizia a abordat disputa care a apărut după ce Autoritatea Națională de Supraveghere (ANS) Irlandeză, în calitate de ANS principală, a emis un proiect de decizie privind Twitter Compania Internațională și obiecții relevante ulterioare și motivate exprimate de câteva ANS vizate.
2. COMITETUL EUROPEAN PENTRU PROTECȚIA DATELOR - ACTIVITĂȚI ÎN 2020 ✔ În 2020, CEPD a adoptat 10 orientări pe subiecte de acest
cidents, based on which 288 investigations were opened. ✔ As a result of the investigations, 15 fines were applied in a total amount of 110,545.7 lei. ✔ 37 more warnings were applied and 30 corrective measures were ordered. ✔ received 1600 complaints, based on which 155 investigations were initiated. ✔ security incidents, both under GDPR and Law no. 506/2004, 84 notifications, and the notifications regarding possible non-compliances with the provisions of the GDPR amounted to 49. ✔ As a result of the notifications received and the security breaches notified by the personal data operators, 133 ex officio investigations were initiated. ✔ 352 requests were sent to our institution to issue points of view on various aspects regarding the interpretation and application of the GDPR and other incidental regulations.
At European level, the specialized body - EDPB published on the official website, on 02.06.2021, the EDPB Annual Report 20202 , of which we mention: 1. EVIDENCE 2020 1.1. EDPB contribution to GDPR evaluation. 1.2. Problems with COVID-19 Answers ✔ During the COVID-19 pandemic, EEA Member States took measures to monitor, limit and mitigate the spread of the virus. Many of these measures have involved the processing of personal data, such as applications. ✔ tracking contacts, using the given location or processing health data for research purposes. ✔ The EDPB provided guidance on how to process
2 https://edpb.europa.eu/ourwork-tools/our-documents/annual-report / edpb-annual-report-2020_en personal data in the context of the COVID-19 pandemic. During this period, the EDPB also responded to letters from Members of the European Parliament requesting further clarification on COVID-19 issues. 1.3. International personal data circulates after the Schrems II judgment. Following the CJEU decision, the Board adopted the following documents: ✔ Statement on the Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems, on 17 July 2020. ✔ Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, on 23 July 2020. ✔ Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, on 10 November 2020. ✔ Recommendations 02/2020 on the European Essential
gen conceptele de operator și persoană împuternicită, direcționarea utilizatorii rețelelor sociale etc. ✔ trei linii directoare care adoptate după consultarea publică. ✔ a emis, de asemenea, două
Recomandări. ✔ CEPD a supravegheat, de asemenea, procedurile legate de coerență - activități de clarificare a procesului și care vizează asigurarea eficienței acestuia pentru Autoritățile
Naționale de Supraveghere. ✔ CEPD a emis 32 de avize în temeiul art. 64 RGPD. Majoritatea acestor avize se referă la proiectele privind cerințele pentru Codurile de Conduită, Organismele de Certificare, Reguli Corporatiste
Obligatorii, Evaluarea de Impact a Protecției Datelor, Clauze Contractuale Standard.
3. ACTIVITĂȚILE AUTORITĂȚILOR DE SUPRAVEGHERE ÎN 2020 ✔ Autoritățile naționale de supraveghere (ANS) sunt autoritățile publice independente care monitorizează aplicarea legii privind protecția datelor. ANS joacă un rol cheie în protejarea protecției datelor persoanelor drepturi. Ele pot face acest lucru prin exercitarea puterilor corective.
✔ Site-ul web CEPD include o selecție de acțiuni ale ANS referitoare la aplicarea RGPD la nivel național. CEPD a publicat un registru al deciziilor luate de ANS în conformitate cu procedura de cooperare ghișeu unic (art. 60 RGPD) pe site-ul său web. 3.1. Cooperarea transfrontalieră. RGPD solicită Autorităților Naționale de Supraveghre din SEE să coopereze îndeaproape pentru a se asigura aplicarea consecventă a RGPD și protecția drepturilor persoanelor fizice la protecția datelor în SEE. Una dintre sarcini este coordonarea procesului decizional în cazurile de prelucrare transfrontalieră a datelor.
4. CONSULTAREA PĂRȚILOR INTERESATE ȘI TRANSPARENȚA ✔ În timpul pandemiei COVID-19, CEPD a răspuns scrisori de la deputați în Parlamentul European care solicită clarificări suplimentare cu privire la aspectele legate de COVID-19. ✔ CEPD a organizat un eveniment al părților interesate pe conceptul de interes legitim pentru a colecta opinii și cu privire la această problemă specifică în interesul dezvoltării orientărilor viitoare. ✔ CEPD organizează consultări publice pentru a oferi părților interesate și cetățenilor posibilitatea de a furniza contribuții suplimentare, fiind apoi luate în considerare în procesul ulterior de redactare al documentelor. În 2020, CEPD a lansat și finalizat șapte astfel de consultări.
5. STRATEGIE ȘI OBIECTIVE PENTRU 2021 ✔ CEPD și-a definit strategia pentru 2021-2023, care acoperă patru piloni principali ai obiectivelor sale strategice, precum și un set de trei acțiuni cheie pe pilon pentru a contribui la atingerea acestor obiective. ✔ la începutul anului 2021, CEPD și-a adoptat programul de lucru pe doi ani pentru 20212022, conform art. 29 din Regulamentul său de Procedură. Guarantees for surveillance measures, on 10 November 2020. 1.4. First art. 65 RGPD binding Decision.
On 10 November 2020, the EDPB adopted its first binding decision pursuant to art. 65 GDPR. The decision addressed the dispute that arose after the Irish National Supervisory Authority (NSA), as the lead NSA, issued a draft decision on the International Company Twitter and subsequent relevant and reasoned objections expressed by several targeted NSAs.
2. EUROPEAN DATA PROTECTION BOARD - ACTIVITIES IN 2020 ✔ In 2020, the EDPB adopted 10 guidelines on such topics, the concepts of operator and authorized person, targeting social network users, etc. ✔ three guidelines that were adopted after the public consultation. ✔ also issued two Recommendations. ✔ The EDPB also supervised the procedures related to coherence - process clarification activities and aimed at ensuring its efficiency for the National Supervisory Authorities. ✔ EDPB issued 32 opinions based on art. 64 GDPR. Most of these opinions refer to the draft requirements for the Codes of Conduct, Certification Bodies, Binding Corporate Rules, Data Protection Impact Assessment, Standard Contractual Clauses.
3. ACTIVITIES OF SUPERVISORY AUTHORITIES IN 2020 ✔ National supervisory authorities (NSAs) are independent public authorities that monitor the application of data protection law. ANS plays a key role in protecting the data protection of human rights. They can do this by exercising corrective powers. ✔ The EDPB website includes a selection of NSA actions related to the application of GDPR at national level. The EDPB published a register of decisions taken by the NSA in accordance with the one-stop shop cooperation procedure (art. 60 RGPD) on its website. 3.1. Cross-border cooperation. The GDPR calls on the EEA National Supervisory Authorities to cooperate closely to ensure the consistent application of the GDPR and the protection of the rights of individuals to data protection in the EEA. One of the tasks is to coordinate the decision-making process in cases of cross-border data processing.
4. CONSULTATION OF INTERESTED PARTIES AND TRANSPARENCY ✔ During the COVID-19 pandemic, the EDPB responded to letters from Members of the European Parliament requesting further clarification on issues related to COVID-19. ✔ The EDPB organized an event of stakeholders on the concept of legitimate interest to gather opinions on this specific issue in the interest of developing future guidelines. ✔ The EDPB organizes public consultations in order to offer stakeholders and citizens the opportunity to provide additional contributions, being then taken into account in the subsequent process of drafting the documents. In 2020, the EDPB launched and completed seven such consultations.
5. STRATEGY AND OBJECTIVES FOR 2021 ✔ EDPB has defined its strategy for 2021-2023, which covers four main pillars of its strategic objectives, as well as a set of three key actions on the pillar to help achieve these objectives. ✔ at the beginning of 2021, the EDPB adopted its two-year work program for 20212022, according to art. 29 of its Rules of Procedure.