Documente Academic
Documente Profesional
Documente Cultură
EUROPEANĂ
Bruxelles, 10.1.2017
COM(2017) 7 final
RO RO
1. INTRODUCERE
Protecția datelor cu caracter personal face parte din structura constituțională comună a
Europei și este consacrată la articolul 8 din Carta drepturilor fundamentale a UE. Aceasta este
o componentă esențială a dreptului UE de mai bine de 20 de ani, de la Directiva privind
protecția datelor din 19951 (denumită în continuare „Directiva din 1995”) până la adoptarea
Regulamentului general privind protecția datelor (RGPD)2 și a Directivei privind poliția3 în
2016.
Astfel cum a subliniat președintele Juncker în discursul său privind starea Uniunii Europene la
14 septembrie 2016, „[s]ă fii european înseamnă dreptul ca datele tale cu caracter personal
să fie protejate de legi europene solide. [...] Și asta pentru că, în Europa, protejarea vieții
private contează. Această chestiune ține de demnitatea umană.”
Cererea pentru protecția datelor cu caracter personal nu este însă limitată la Europa.
Consumatorii din întreaga lume își prețuiesc și apreciază din ce în ce mai mult viața privată.
La rândul lor, întreprinderile recunosc că un sistem solid de protecție a vieții private le oferă
un avantaj competitiv deoarece sporește încrederea în serviciile acestora. Multe dintre acestea,
în special cele cu acoperire globală, își aliniază politicile în materie de protecție a vieții
private la RGPD pentru că doresc să facă afaceri în UE, dar și pentru că îl consideră un model
de urmat.
De asemenea, mai multe țări și organizații regionale din afara UE, de la cele din imediata
noastră vecinătate la cele din Asia, America Latină și Africa, adoptă noi legi privind protecția
datelor sau le actualizează pe cele existente pentru a beneficia de oportunitățile oferite de
economia digitală globală și pentru a răspunde cererii tot mai mari pentru o mai bună protecție
a securității datelor și a vieții private. În timp ce există diferențe între țări în ceea ce privește
abordarea acestora și nivelul de dezvoltare legislativă, există semne ale unei convergențe
ascendente în direcția unor principii importante privind protecția datelor, în special în anumite
regiuni ale lumii4. O mai mare compatibilitate între diferitele sisteme de protecție a datelor ar
facilita fluxurile internaționale de date cu caracter personal, fie în scopuri comerciale sau
pentru cooperarea între autoritățile publice (de exemplu, de aplicare a legii). UE ar trebui să
1
Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor
date, JO L 281, 23.11.1995.
2
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind
protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția
datelor), JO L 119, 4.5.2016, p. 1-88. Acesta a intrat în vigoare la 24 mai 2016 și se aplică de la
25 mai 2018.
3
Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în
scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și
privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119,
4.5.2016, p. 89-131. Aceasta a intrat în vigoare la 5 mai 2016. Statele membre ale UE trebuie să o transpună
în legislația lor națională până la data de 6 mai 2018.
4
A se vedea „Reglementările în materie de protecție a datelor și fluxurile internaționale de date: Implicații
pentru comerț și dezvoltare”, UNCTAD (2016):
http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.
2
valorifice această oportunitate pentru a-și promova valorile de protecție a datelor și pentru a
facilita fluxurile de date prin încurajarea realizării convergenței sistemelor juridice. Prin
urmare, astfel cum s-a anunțat în programul de lucru al Comisiei5, prezenta comunicare
stabilește cadrul strategic al Comisiei pentru „deciziile privind caracterul adecvat al nivelului
de protecție”, precum și alte instrumente pentru transferurile de date și instrumente
internaționale de protecție a datelor.
Reforma legislației UE privind protecția datelor, adoptată în aprilie 2016, stabilește un sistem
care asigură un nivel ridicat de protecție și care este totodată deschis la oportunitățile oferite
de societatea informațională globală. Oferind cetățenilor mai mult control asupra propriilor
date cu caracter personal, reforma consolidează încrederea consumatorilor în economia
digitală. Armonizând și simplificând cadrul juridic, aceasta facilitează și face mai puțin
împovărătoare desfășurarea activităților economice în UE de către întreprinderi, atât interne,
cât și externe, inclusiv prin intermediul schimburilor internaționale de date. În prezent, UE
combină deschiderea către fluxurile internaționale de date cu cel mai ridicat nivel de protecție
pentru cetățeni. Aceasta are potențialul de a deveni o platformă pentru serviciile de date care
necesită atât fluxuri libere, cât și încredere.
În temeiul RGPD, începând din mai 2018, va exista un singur set de norme paneuropean spre
deosebire de cele 28 de legislații naționale în prezent. Mecanismul ghișeului unic, creat de
curând, va garanta faptul că o singură autoritate pentru protecția datelor („APD”) va fi
responsabilă pentru supravegherea operațiunilor transfrontaliere de prelucrare a datelor
efectuate de o întreprindere din UE. Consecvența interpretării noilor norme va fi garantată. În
special, în cazurile transfrontaliere în care sunt implicate mai multe autorități naționale pentru
protecția datelor, va fi adoptată o singură decizie pentru a se garanta faptul că problemele
comune primesc soluții comune. În plus, RGPD creează condiții de concurență echitabile între
întreprinderile din UE și cele străine prin faptul că întreprinderile cu sediul în afara UE vor
trebui să aplice aceleași norme ca întreprinderile europene în cazul în care acestea oferă
bunuri și servicii în UE sau monitorizează comportamentul unor persoane din UE. Un nivel
sporit de încredere a consumatorilor va aduce beneficii atât operatorilor comerciali din UE,
cât și celor externi.
Directiva privind poliția prevede norme comune pentru prelucrarea datelor cu caracter
personal ale persoanelor fizice implicate în proceduri penale, în calitate de suspecți, victime
5
Programul de lucru al Comisiei pentru 2017, Construirea unei Europe care le oferă cetățenilor săi protecție,
îi ajută să își afirme drepturile și îi apără, COM(2016) 710 final, 25.10.2016, p. 12 și anexa 1.
3
sau martori, ținând seama totodată de caracterul specific al domeniului poliției și justiției
penale. Armonizarea normelor privind protecția datelor în domeniul aplicării legii, inclusiv a
normelor privind transferurile internaționale, va facilita cooperarea transfrontalieră între
poliție și autoritățile judiciare, atât în cadrul UE, cât și cu partenerii internaționali, și va crea
astfel condițiile pentru o combatere mai eficientă a criminalității. Aceasta reprezintă o
contribuție importantă la Agenda europeană privind securitatea6.
Încă de la începuturile sale, legislația UE privind protecția datelor a furnizat mai multe
mecanisme care permit transferurile internaționale de date. Scopul principal al acestor norme
este de a garanta faptul că, atunci când datele cu caracter personal ale cetățenilor europeni
sunt transferate în străinătate, este transferată concomitent și protecția asociată acestora. De-a
lungul anilor, aceste norme au stabilit standardul în ceea ce privește fluxurile internaționale de
date în numeroase jurisdicții. Deși structura rămâne în esență aceeași ca în directiva din 1995,
reforma normelor privind transferurile internaționale clarifică și simplifică utilizarea acestora
și introduce noi instrumente pentru transferuri.
6
Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul
Regiunilor „Agenda europeană privind securitatea”, COM(2015) 185 final, 28.4.2015.
7
Hotărârea Curții de Justiție a UE din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems/Comisarul
pentru protecția datelor, punctele 73, 74 și 96. A se vedea, de asemenea, considerentul 104 din RGPD și
considerentul 67 din Directiva privind poliția care se referă la standardul echivalenței esențiale.
8
A se vedea articolul 45 din RGPD. Astfel cum se prevede la articolul 45 alineatul (2), în evaluarea sa,
Comisia trebuie să ia în considerare, printre altele, statul de drept, respectarea drepturilor omului și a
libertăților fundamentale și legislația relevantă, inclusiv în domeniul protecției datelor, al securității publice,
al apărării, al securității naționale și al dreptului penal și accesul autorităților publice la datele cu caracter
personal. Acestea trebuie să fie susținute de drepturi efective și executorii, inclusiv de căi de atac
administrative și judiciare pentru persoanele fizice și de către o autoritate de supraveghere independentă care
funcționează în mod efectiv pentru a garanta și a impune respectarea normelor privind protecția datelor.
Aderarea la convenții cu caracter obligatoriu din punct de vedere juridic, în special la Convenția 108 a
Consiliului Europei, și participarea la sisteme multilaterale sau regionale care se ocupă de protecția datelor
vor fi, de asemenea, luate în considerare.
9
A se vedea articolul 36 alineatul (2) din Directiva privind poliția pentru elementele specifice ale evaluării
caracterului adecvat.
4
stabilirea caracterului adecvat să vizeze un anumit teritoriu al unei țări terțe sau un anumit
sector sau o industrie dintr-o țară terță (așa-numitul caracter adecvat „parțial”)10.
10
A se vedea articolul 45 alineatul (1) din RGPD și articolul 36 alineatul (1) din Directiva privind poliția.
11
A se vedea, de exemplu, Comunicarea Comisiei către Parlamentul European și Consiliu privind transferul
datelor cu caracter personal dinspre UE către Statele Unite ale Americii în temeiul Directivei 95/46/CE în
urma hotărârii pronunțate de Curtea de Justiție în cauza C-362/14 (Schrems), COM(2015) 566 final,
6.11.2015.
12
CCS stabilesc obligațiile respective în materie de protecție a datelor între exportatorul UE și importatorul
din țara terță.
13
BCR sunt norme interne adoptate de un grup multinațional de întreprinderi pentru efectuarea de transferuri
de date din cadrul aceluiași grup corporativ către entități situate în țări care nu asigură un nivel de protecție
adecvat. În timp ce BCR sunt deja în uz în temeiul Directivei din 1995, RGPD codifică și oficializează rolul
acestora ca instrument pentru transferuri.
14
A se vedea articolul 46 alineatul (2) literele (c) și (d) și considerentul 168 din RGPD.
15
A se vedea articolele 46 alineatul (2) litera (b), articolul 47 și considerentul 110 din RGPD.
16
A se vedea articolul 46 alineatul (2) din RGPD.
17
Faptul că cerințele de înregistrare creează o barieră în calea comerțului pentru multe întreprinderi, în special
IMM-uri, a fost evidențiat, de exemplu, în raportul UNCTAD, p. 34.
18
A se vedea articolul 46 alineatul (2) literele (e) și (f) din RGPD.
19
Operatorii din afara UE vor putea să adere la un cod european de conduită sau la un mecanism de certificare
prin asumarea de angajamente cu caracter obligatoriu și executoriu, prin intermediul angajamentelor
contractuale sau al altor angajamente obligatorii din punct de vedere juridic pentru a aplica garanțiile privind
protecția datelor cuprinse în aceste instrumente. A se vedea articolul 42 alineatul (2) din RGPD.
5
pentru transferurile de date între autorități sau organisme publice în baza unor acorduri
internaționale sau acorduri administrative20. În sfârșit, RGPD clarifică utilizarea așa-numitelor
„derogări”21 (de exemplu, consimțământ, executarea unui contract sau considerente
importante de interes public) pe care entitățile aflate în anumite situații își pot întemeia
transferurile de date în absența unei decizii privind caracterul adecvat al nivelului de protecție
și indiferent de utilizarea unuia dintre instrumentele menționate mai sus. Acesta conține, în
special, o nouă derogare, chiar dacă limitată, referitoare la transferurile care pot avea loc în
urmărirea intereselor legitime22 ale unei întreprinderi.
Respectarea vieții private este o condiție pentru fluxuri comerciale globale stabile, sigure și
competitive. Respectarea vieții private nu este o marfă supusă comercializării24. Internetul și
digitalizarea bunurilor și serviciilor au transformat economia globală, iar transferul de date,
inclusiv de date cu caracter personal, la nivel transfrontalier face parte din operațiunile zilnice
ale întreprinderilor europene de toate dimensiunile și din toate sectoarele. Întrucât schimburile
comerciale se bazează din ce în ce mai mult pe fluxurile de date cu caracter personal,
confidențialitatea și securitatea acestor date a devenit un factor esențial al încrederii
consumatorilor. De exemplu, două treimi dintre europeni declară că își fac griji cu privire la
faptul că nu au control asupra informațiilor pe care le furnizează online, în timp ce jumătate
dintre respondenți sunt preocupați să nu devină o victimă a fraudelor25. În același timp,
întreprinderile europene care își desfășoară activitatea în anumite țări terțe se confruntă din ce
în ce mai mult cu restricții protecționiste care nu pot fi justificate de considerente legitime
legate de protecția vieții private.
Prin urmare, în era digitală, promovarea unor standarde ridicate de protecție a datelor și
facilitarea schimburilor comerciale internaționale trebuie, în mod necesar, să meargă mână în
mână. În timp ce protecția datelor cu caracter personal nu se negociază26 în cadrul acordurilor
comerciale, regimul UE privind transferurile internaționale de date, astfel cum a fost descris
20
A se vedea articolul 46 alineatul (2) litera (a) și alineatul (3) litera (b) din RGPD.
21
A se vedea articolul 49 din RGPD.
22
A se vedea articolul 49 alineatul (1) al doilea paragraf.
23
A se vedea articolul 50 din RGPD.
24
A se vedea, de exemplu, Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic
și Social și Comitetul Regiunilor „Comerț pentru toți: Către o politică comercială și de investiții mai
responsabilă”, COM(2015) 497 final, 14.10.2015, p. 7.
25
Eurobarometru special 431 - Protecția datelor, iunie 2015.
26
Orientările politice ale președintelui Juncker: Un nou început pentru Europa: Agenda mea pentru locuri de
muncă, creștere, echitate și schimbări democratice
6
anterior, prevede o gamă largă și variată de instrumente pentru a permite fluxurile de date în
situații diferite, asigurându-se totodată un nivel ridicat de protecție.
O constatare a caracterului adecvat permite libera circulație a datelor cu caracter personal din
UE fără ca exportatorul de date din UE să fie nevoit să pună în aplicare garanții suplimentare
sau să fie supus unor condiții suplimentare. Prin constatarea faptului că sistemul juridic al
unei țări prevede un nivel de protecție adecvat, decizia recunoaște faptul că sistemul respectiv
se apropie de cele din statele membre ale UE. Prin urmare, transferurile către țara în cauză vor
fi asimilate transmiterilor de date în interiorul UE, oferind astfel un acces privilegiat la piața
unică a UE și deschizând în același timp canalele comerciale pentru operatorii din UE. Astfel
cum s-a explicat mai sus, această recunoaștere implică în mod necesar un nivel de protecție
comparabil (sau „în esență echivalent”)27 cu cel garantat în Uniune. Aceasta implică o
evaluare globală a sistemului din țara terță, inclusiv a normelor sale privind accesul la date cu
caracter personal de către autoritățile publice pentru aplicarea legii, securitate națională și alte
scopuri de interes public.
În același timp, astfel cum a fost confirmat în 2015 de Curtea de Justiție în hotărârea Schrems,
standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor UE28.
Mai curând, testul constă în faptul dacă, prin fondul drepturilor la viață privată și punerea în
aplicare efectivă, exercitarea și supravegherea acestora, sistemul străin în cauză, în ansamblul
său, oferă nivelul ridicat de protecție necesar. Astfel cum indică deciziile privind caracterul
adecvat adoptate până în prezent, este posibilă recunoașterea de către Comisie ca fiind
adecvate a unei game variate de sisteme de protecție a vieții private, reprezentând diferite
tradiții juridice. Aceste decizii se referă la țări care sunt strâns integrate cu Uniunea
Europeană și statele sale membre (Elveția, Andorra, insulele Feroe, Guernsey, Jersey, Insula
Man), la parteneri comerciali importanți (Argentina, Canada, Israel, Statele Unite) și la țări
care joacă un rol de pionierat în elaborarea de legi privind protecția datelor în regiunea lor
(Noua Zeelandă, Uruguay).
Deciziile privind Canada și Statele Unite sunt constatări „parțiale” privind caracterul adecvat.
Decizia privind Canada se aplică doar entităților private care intră sub incidența Legii
canadiene privind protecția informațiilor cu caracter personal și documentele electronice.
Decizia adoptată recent privind Scutul de confidențialitate UE-SUA29 este un caz special, în
sensul că, în absența unei legislații generale privind protecția datelor în SUA30, aceasta se
bazează pe angajamentele asumate de întreprinderile participante de a aplica standardele
ridicate de protecție a datelor stabilite prin acest acord care, la rândul lor, sunt executorii în
temeiul legislației SUA. În plus, Scutul de confidențialitate se bazează pe declarațiile și
27
A se vedea nota de subsol 7.
28
Cf. punctul 74 din hotărârea Schrems.
29
Decizia de punere în aplicare UE(2016) 1260 din 12 iulie 2016.
30
Comisia încurajează SUA să depună eforturi în direcția unui sistem cuprinzător de protecție a vieții private
și a datelor care să permită convergența între cele două sisteme pe termen lung. A se vedea Comunicarea
Comisiei către Parlamentul European și Consiliu, „Fluxuri de date transatlantice: restabilirea încrederii prin
garanții puternice”, COM(2016) 117 final, 29.2.2016.
7
asigurările specifice prezentate de guvernul SUA în ceea ce privește accesul în scopuri de
securitate națională31 care stau la baza constatării caracterului adecvat. Respectarea acestor
angajamente va fi monitorizată îndeaproape de către Comisie și face parte din revizuirea
anuală cu privire la funcționarea cadrului.
În ultimii ani, tot mai multe țări din întreaga lume au adoptat noi legi în domeniul protecției
datelor și a vieții private sau sunt pe cale să facă acest lucru. În 2015, numărul țărilor care au
adoptat legi privind protecția datelor a ajuns la 109, o creștere semnificativă de la 76 la
jumătatea anului 201132. În plus, aproximativ 35 de țări sunt, în prezent, în curs de elaborare a
unor legi privind protecția datelor33. Aceste legi noi sau modernizate tind să se bazeze pe un
set fundamental de principii comune, inclusiv, printre altele, recunoașterea protecției datelor
ca fiind un drept fundamental, adoptarea unei legislații cuprinzătoare în domeniu, existența
drepturilor individuale exercitabile la viață privată și înființarea unei autorități de
supraveghere independente. Aceasta oferă noi oportunități, în special prin intermediul
constatărilor privind caracterul adecvat, de a facilita și mai mult fluxurile de date, garantând,
în același timp, menținerea nivelului ridicat de protecție a datelor cu caracter personal.
În temeiul legislației UE, o constatare a caracterului adecvat necesită existența unor norme
privind protecția datelor comparabile cu cele din UE34. Acest lucru se referă atât la măsurile
de protecție de fond a datelor cu caracter personal, cât și la mecanismele relevante de
supraveghere și de recurs disponibile în țara terță.
(i) amploarea relațiilor comerciale (actuale sau potențiale) ale UE cu o anumită țară terță,
inclusiv existența unui acord de liber schimb sau a unor negocieri aflate în desfășurare;
(ii) amploarea fluxurilor de date cu caracter personal din UE, reflectând legături geografice
și/sau culturale;
(iii) rolul de pionierat pe care țara terță respectivă îl joacă în domeniul protecției vieții private
și a datelor care ar putea servi drept model pentru alte țări din regiunea în care se află
aceasta36; și
31
Acest lucru include, în special, aplicarea Directivei nr. 28 privind politica prezidențială (PPD-28), care
impune o serie de limitări și garanții pentru operațiunile de „colectare de informații pe baza semnalelor
electromagnetice”, precum și numirea unui Ombudsman special pentru plângerile depuse de persoane din
UE în această privință.
32
G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority”,
(2015) 133 Privacy Laws & Business International Report, 14-17.
33
Studiu UNCTAD, p. 8 și 42 (nota de subsol 4 de mai sus).
34
În acest sens, atunci când efectuează o evaluare cu privire la caracterul adecvat, Comisia ține seama, de
asemenea, de obligațiile țării terțe care decurg din convenții cu caracter obligatoriu din punct de vedere
juridic, în special aderarea acesteia la Convenția 108 și la Protocolul adițional la aceasta. A se vedea
articolul 45 alineatul (2) litera (c) și considerentul 105 din RGPD.
35
Pentru țările cu privire la care există interese relevante pentru cooperare în domeniul securității interne și al
aplicării legii, Comisia va examina posibilitatea adoptării unor constatări specifice privind caracterul
adecvat în conformitate cu Directiva privind poliția, a se vedea secțiunea 4.
8
(iv) relațiile politice globale cu țara terță în cauză, în special în ceea ce privește promovarea
valorilor comune și obiectivele comune la nivel internațional.
În anumite situații, mai degrabă decât adoptarea unei abordări la nivelul întregii țări, ar putea
fi mai adecvată utilizarea unor alte opțiuni, cum ar fi caracterul adecvat parțial sau sectorial
(de exemplu, pentru sectorul serviciilor financiare sau pentru sectorul tehnologiei
informației), care se pot referi la zone geografice sau sectoare industriale care reprezintă o
parte importantă a economiei unei anumite țări terțe. Acest lucru va trebui să fie analizat
având în vedere elemente cum ar fi, de exemplu, natura și stadiul de dezvoltare al sistemului
de protecție a vieții private (drept de sine stătător, legi multiple sau sectoriale etc.), structura
constituțională a țării terțe sau dacă anumite sectoare ale economiei sunt expuse în mod
deosebit la fluxuri de date provenind din UE.
Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție implică instituirea
unui dialog specific și a unor forme de cooperare strânsă cu țara terță în cauză. Deciziile
privind caracterul adecvat al nivelului de protecție sunt documente „dinamice” care trebuie să
fie monitorizate îndeaproape de către Comisie și adaptate în cazul unor evoluții care afectează
nivelul de protecție asigurat de către țara terță în cauză38. În acest scop, vor fi efectuate
revizuiri periodice, cel puțin o dată la patru ani, pentru a aborda aspectele emergente și pentru
a face schimb de bune practici între partenerii apropiați39. Această abordare dinamică se
aplică, de asemenea, deciziilor existente privind caracterul adecvat, adoptate în temeiul
directivei din 1995, care vor trebui să fie revizuite în cazul în care acestea nu mai îndeplinesc
standardul aplicabil.40. Prin urmare, țările terțe în cauză sunt invitate să informeze Comisia cu
privire la orice modificare relevantă a legislației și a practicilor care a avut loc după adoptarea
36
Acest lucru poate fi deosebit de relevant pentru țările în curs de dezvoltare și în tranziție, întrucât protecția
datelor cu caracter personal este atât un element esențial al statului de drept, cât și un important factor al
competitivității economice.
37
Japonia și Coreea au adoptat recent sau și-au modernizat legislația pentru a pune în practică regimuri
cuprinzătoare de protecție a datelor.
38
Articolul 45 alineatele (4) și (5) din RGPD obligă Comisia să monitorizeze permanent evoluțiile din țările
terțe și îi conferă competența de a anula, a modifica sau a suspenda o decizie privind caracterul adecvat al
nivelului de protecție în cazul în care constată că țara respectivă nu mai asigură un nivel de protecție
adecvat.
39
A se vedea articolul 45 alineatul (3) din RGPD.
40
Articolul 97 alineatul (2) litera (a) din RGPD solicită, de asemenea, Comisiei să prezinte până în 2020 un
raport de evaluare Parlamentului European și Consiliului.
9
deciziei privind caracterul adecvat referitoare la acestea. Acest lucru este esențial pentru a
asigura continuitatea deciziilor respective în conformitate cu noile norme ale reformei41.
Normele UE de protecție a datelor nu pot face obiectul negocierilor în cadrul unui acord de
liber schimb42. În timp ce dialogurile în materie de protecție a datelor și negocierile
comerciale cu țările terțe trebuie să urmeze căi separate, o decizie privind caracterul adecvat,
inclusiv una parțială sau sectorială, este cea mai bună modalitate de a clădi încrederea
reciprocă, garantând un flux de date cu caracter personal fără probleme, și de a facilita astfel
schimburile comerciale care implică transferuri de date cu caracter personal către țara terță în
cauză. Astfel de decizii pot ușura, prin urmare, negocierile comerciale sau pot completa
acordurile comerciale existente, permițându-le astfel să-și amplifice beneficiile. În același
timp, stimulând convergența nivelului de protecție în UE și în țara terță, o constatare a
caracterului adecvat reduce riscul de invocare de către țara respectivă a unor motive legate de
protecția datelor cu caracter personal pentru a impune cerințe nejustificate privind localizarea
sau stocarea de date. În afară de aceasta, astfel cum este indicat în Comunicarea „Comerț
pentru toți”, Comisia va urmări să utilizeze acordurile comerciale ale UE pentru a stabili
norme pentru comerțul electronic și fluxurile transfrontaliere de date și pentru a aborda noi
forme de protecționism digital, în deplină conformitate cu normele UE privind protecția
datelor și fără a le aduce atingere43.
Comisia:
va colabora și va acorda asistență țărilor interesate să adopte legi solide privind protecția
datelor și va sprijini convergența acestora cu principiile UE privind protecția datelor.
41
Pentru a deduce consecințele care decurg din hotărârea Schrems în care s-a constatat că Comisia și-a depășit
competențele în ceea ce privește restricționarea competențelor autorităților pentru protecția datelor de a
suspenda sau de a interzice fluxurile de date în Decizia privind sfera de siguranță, Comisia a adoptat, la
16 decembrie 2016, o decizie de modificare „omnibus” care elimină dispoziții similare prevăzute în deciziile
existente privind caracterul adecvat și care le înlocuiește cu dispoziții care se limitează să prevadă cerințe
privind informațiile între statele membre și Comisie în cazul în care o APD suspendă sau interzice
transferurile către o țară terță. Decizia omnibus introduce, de asemenea, o cerință conform căreia Comisia
trebuie să monitorizeze evoluțiile relevante din țara terță. A se vedea JO L355, 17.12.2016, p. 83.
42
În special, o constatare a caracterului adecvat este o decizie unilaterală de punere în aplicare adoptată de
către Comisie în conformitate cu legislația UE privind protecția datelor, pe baza criteriilor prevăzute în
aceasta.
43
A se vedea Comunicarea „Comerț pentru toți”, p. 12 (nota de subsol 24 de mai sus).
10
3.2 Mecanisme alternative pentru transferul de date
44
A se vedea articolul 46 alineatul (2) literele (c) și (d) și considerentul 109 din RGPD care clarifică faptul că
adaptări ale clauzelor standard aprobate sunt posibile atât timp cât acestea nu sunt contradictorii, direct sau
indirect, cu respectivele clauze standard sau nu aduc atingere drepturilor sau libertăților fundamentale ale
persoanelor.
45
În prezent, nu sunt elaborate CCS de la persoană împuternicită de către operator din UE la persoană
împuternicită de către operator din afara UE.
11
instituirea și funcționarea mecanismelor de certificare, inclusiv pentru aspectele referitoare la
transferurile internaționale46. Unele dintre aceste acțiuni pot fi completate de activitatea
desfășurată la nivel internațional, în special cu organizațiile care au dezvoltat mecanisme de
transfer similare. De exemplu, ar putea fi examinate modalitățile de promovare a convergenței
între BCR elaborate în temeiul legislației UE și Normele transfrontaliere de protecție a vieții
private elaborate de Cooperarea Economică Asia-Pacific (APEC)47, în ceea ce privește atât
standardele aplicabile, cât și procesul de punere în aplicare în cadrul fiecărui sistem. Acest
lucru ar trebui să contribuie la promovarea unor standarde ridicate de protecție a datelor la
nivel global cu atenuarea în același timp a diferențelor de abordare a protecției vieții private și
a datelor, sprijinind operatorii comerciali să navigheze între diferitele sisteme și elaborând
politici conforme cu acestea.
Comisia:
Cadrul juridic privind protecția datelor din UE a servit deseori drept punct de referință pentru
țările terțe care elaborează legislație în domeniu. UE va continua să se implice în mod activ în
dialogul cu partenerii săi internaționali, atât la nivel bilateral, cât și la nivel multilateral,
pentru a promova convergența prin dezvoltarea unor standarde ridicate și interoperabile de
protecție a datelor cu caracter personal la nivel global. Acest lucru contribuie la protecția mai
eficace a drepturilor cetățenilor și, în același timp, reduce obstacolele în calea fluxului
transfrontalier de date ca un element important al liberului schimb.
În special, Comisia încurajează aderarea țărilor terțe la Convenția 108 a Consiliului Europei și
la Protocolul adițional la aceasta48. Convenția, care este deschisă țărilor care nu sunt membre
ale Consiliului Europei și care a fost deja ratificată de 50 de țări, inclusiv de state din Africa și
America de Sud49, este singurul instrument multilateral obligatoriu din punct de vedere juridic
în domeniul protecției datelor. Aceasta se află în prezent în curs de revizuire, iar Comisia va
promova în mod activ adoptarea rapidă a textului modernizat astfel încât UE să devină parte.
46
Articolul 43 alineatele (8) și (9) din RGPD.
47
A se vedea Cadrul comun de referință APEC/UE din 2014 pentru structura regulilor corporatiste obligatorii
ale UE și sistemul APEC de norme transfrontaliere de protecție a vieții private (CBPR), care compară
cerințele de conformitate și de certificare ale celor două sisteme:
http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.
48
Convenția Consiliului Europei din 28 ianuarie 1981 pentru protecția persoanelor cu privire la prelucrarea
automată a datelor cu caracter personal (ETS nr. 180) și Protocolul adițional la Convenția privind protecția
persoanelor fizice în ceea ce privește prelucrarea automată a datelor cu caracter personal cu privire la
autoritățile de control și fluxul transfrontalier al datelor (ETS nr. 181), semnat în 2001.
49
Mauritius, Senegal și Uruguay au ratificat convenția. În plus, Capul Verde, Maroc și Tunisia au fost invitate
să adere.
12
Aceasta va reflecta aceleași principii precum cele consacrate în cadrul noilor norme UE
privind protecția datelor și, prin urmare, va contribui la convergența către un set de standarde
ridicate de protecție a datelor.
Reuniunea G20 din 2017 va oferi o nouă ocazie pentru UE să depună eforturi pentru
realizarea convergenței în jurul principiului conform căruia standardele ridicate de protecție a
datelor sunt o componentă esențială a dezvoltării în continuare a unei societăți informaționale
globale, capabilă să promoveze inovarea, creșterea economică și bunăstarea socială50.
50
A se vedea, de asemenea, Declarația ministerială a OCDE privind economia digitală: inovare, creștere
economică și bunăstare socială („Declarația de la Cancun”), 23 iunie 2016.
51
A se vedea: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx.
52
Decizia de punere în aplicare C(2016) 7198 a Comisiei de aprobare a celei de a doua etape a programului
anual de acțiune 2016 (PAA 2016) al Instrumentului de parteneriat.
13
Prin urmare, în lumea fără frontiere și conectată a fluxurilor de date, este momentul să se
intensifice cooperarea între autoritățile de punere în aplicare53. UE este pregătită să își
îndeplinească rolul. Astfel cum s-a amintit mai sus, RGPD împuternicește Comisia să
dezvolte mecanisme de cooperare internațională pentru a facilita punerea efectivă în aplicare a
legislației privind protecția datelor, inclusiv prin acorduri de asistență reciprocă. În acest
context, ar trebui examinată posibilitatea elaborării unui acord-cadru de cooperare între
autoritățile pentru protecția datelor din UE și autoritățile de punere în aplicare din anumite țări
terțe, inclusiv pe baza experienței dobândite de Comisie în alte domenii de aplicare a legii,
cum ar fi concurența și protecția consumatorilor.
Comisia:
Schimburile de date cu caracter personal fac parte integrantă din prevenirea, investigarea și
urmărirea penală a infracțiunilor. Într-o lume interconectată în care criminalitatea se oprește
rareori la frontierele naționale, schimbul rapid de date cu caracter personal este esențial pentru
succesul cooperării în domeniul aplicării legii și pentru a contracara în mod eficient
criminalitatea. Aceste schimburi trebuie să fie susținute de garanții solide în materie de
protecție a datelor. Acest lucru contribuie, de asemenea, la clădirea încrederii între autoritățile
de aplicare a legii (AAL) și la consolidarea securității juridice atunci când se colectează și/sau
se face schimb de informații.
53
Rețelele existente includ Rețeaua globală de asigurare a respectării legislației în materie de viață privată
(Global Privacy Enforcement Network - GPEN) lansată în 2010 sub auspiciile OCDE. Aceasta este o rețea
informală a autorităților de asigurare a respectării legislației în materie de viață privată, în care sunt
implicate APD din UE, care are drept sarcini, printre altele, cooperarea în domeniul aplicării legii, schimbul
de cele mai bune practici în abordarea provocărilor transfrontaliere și sprijinirea inițiativelor comune în
materie de aplicare a legii și campanii de sensibilizare. Aceasta nu creează noi obligații juridice în rândul
participanților și se axează, în special, pe facilitarea cooperării în materie de aplicare a legilor privind viața
privată care reglementează sectorul privat. A se vedea https://privacyenforcement.net/.
14
alte entități. Directiva introduce posibilitatea adoptării unor constatări privind caracterul
adecvat în sectorul aplicării dreptului penal. Comisia va promova posibilitatea unor astfel de
constatări privind caracterul adecvat cu țările terțe eligibile, în special cu țările cu care este
necesară o colaborare strânsă și rapidă în lupta împotriva criminalității și a terorismului și
unde au loc deja schimburi de date cu caracter personal la un nivel semnificativ. Pe această
bază, Comisia va acorda prioritate discuțiilor cu privire la deciziile privind caracterul adecvat
cu țările terțe care sunt parteneri-cheie în cadrul acestui demers.
De asemenea, Directiva privind poliția prevede posibilitatea, sub rezerva unor garanții stricte
și în circumstanțe specifice, ca autoritățile de aplicare a legii din UE să solicite informații
direct de la o societate privată într-o țară terță și să transmită informații cu caracter personal
(de regulă, un nume sau o adresă IP) în solicitarea respectivă56. În același timp, RGPD
abordează în mod specific cazuri în care entități private din UE transmit date cu caracter
personal către autoritățile de aplicare a legii dintr-o țară terță ca urmare a unei solicitări: astfel
de transferuri în afara UE sunt permise numai în anumite condiții, de exemplu, pe baza unui
54
Acord între UE și SUA privind protecția datelor cu caracter personal atunci când acestea sunt transferate și
prelucrate în scopul prevenirii, investigării, detectării sau urmăririi infracțiunilor, inclusiv a terorismului, în
cadrul cooperării polițienești și al cooperării judiciare în materie penală: http://ec.europa.eu/justice/data-
protection/files/dp-umbrella-agreement_en.pdf („acordul-cadru”)
55
Încheierea de acorduri operaționale cu Europol și Eurojust a constituit, de asemenea, un punct de referință în
cadrul dialogurilor privind liberalizarea regimului vizelor cu anumite țări terțe, inclusiv, de exemplu, în
contextul dialogului în curs cu Turcia.
56
A se vedea articolul 39 și considerentul 73 din Directiva privind poliția.
15
acord internațional sau atunci când divulgarea este necesară dintr-un motiv important de
interes public recunoscut în dreptul Uniunii sau al statelor membre57.
Această cooperare, care a devenit esențială pentru succesul investigării și urmăririi penale a
infracțiunilor și a terorismului, este evidențiată în concluziile Consiliului privind
îmbunătățirea justiției penale în spațiul cibernetic. Consiliul a invitat Comisia să ia măsuri
concrete, pe baza unei abordări comune a UE, pentru îmbunătățirea cooperării cu prestatorii
de servicii, eficientizarea asistenței judiciare reciproce și propunerea de soluții la problemele
legate de stabilirea și aplicarea jurisdicției în spațiul cibernetic58. Aceste acțiuni acoperă atât
schimburile între autoritățile de aplicare a legii și furnizorii de servicii cu sediul în UE și
schimburile cu autorități și companii din afara UE. Comisia va prezenta opțiuni pentru accesul
la probe electronice în iunie 2017, luând în considerare nevoia de cooperare rapidă și fiabilă
susținută de standardele puternice de protecție a datelor din Directiva privind poliția și RGPD
atât în situații interne în cadrul UE, cât și pentru transferuri internaționale.
57
A se vedea articolul 48 și considerentul 115 din RGPD.
58
Concluziile Consiliului Uniunii Europene privind îmbunătățirea justiției penale în spațiul cibernetic,
9 iunie 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. În urma raportului
său privind progresele înregistrate prezentat Consiliului în decembrie 2016, Comisia a fost însărcinată să
prezinte Consiliului rezultatele cu privire la aceste aspecte până în iunie 2017.
59
A se vedea articolul 25 alineatul (4) din Regulamentul (UE) 2016/794 al Parlamentului European și al
Consiliului din 11 mai 2016 privind Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a
Legii (Europol) și de înlocuire și de abrogare a Deciziilor 2009/371/JAI, 2009/934/JAI, 2009/935/JAI,
2009/936/JAI și 2009/968/JAI ale Consiliului JO L 135, 24.5.2016 (p. 53-114) Comisia trebuie să prezinte
un raport de evaluare până la 14 iunie 2021 privind acordurile de cooperare ale Europol încheiate înainte de
1 mai 2017.
60
Avizul Curții de Justiție privind proiectul de acord UE-Canada privind PNR din 2014 înaintat Curții de către
Parlamentul European (Avizul 1/15). Curtea a fost solicitată să evalueze compatibilitatea proiectului de
acord cu Carta drepturilor fundamentale a UE.
16
O COOPERARE MAI EFICACE ÎN DOMENIUL APLICĂRII LEGII CU GARANȚII SOLIDE ÎN
MATERIE DE PROTECȚIE A DATELOR
Comisia:
5. CONCLUZIE
După finalizarea reformei normelor sale privind protecția datelor, UE ar trebui să se implice
în mod proactiv cu țările terțe în acest domeniu. Aceasta ar trebui să urmărească să obțină o
mai mare convergență pozitivă a principiilor privind protecția datelor la nivel internațional,
atât în plan bilateral, cât și multilateral. Acest lucru este în interesul și în beneficiul cetățenilor
și al întreprinderilor deopotrivă. Noul cadru legislativ privind protecția datelor oferă UE
instrumentele necesare și adecvate pentru atingerea acestor obiective. Pe baza abordării
strategice descrise în prezenta comunicare, Comisia se va angaja în mod activ cu țările terțe
cheie în vederea examinării posibilității de a adopta constatări privind caracterul adecvat,
începând cu Japonia și Coreea în 2017, în scopul promovării convergenței în materie de
reglementare în direcția standardelor UE și al facilitării relațiilor comerciale. În același timp,
UE va utiliza pe deplin setul de instrumente alternative de transfer pentru a proteja drepturile
în materie de protecție a datelor și pentru a sprijini operatorii economici în cazul în care datele
sunt transferate în țări al căror drept intern nu asigură un nivel adecvat de protecție a datelor.
Aceste instrumente ar trebui, de asemenea, să fie utilizate pentru a facilita în continuare
cooperarea între autoritățile de supraveghere și autoritățile de aplicare a legii din UE și
partenerii internaționali ai acestora. Comisia va asigura coerența dintre dimensiunea internă și
cea externă a politicii UE în materie de protecție a datelor și va promova o protecție solidă a
17
datelor la nivel internațional pentru a îmbunătăți cooperarea în domeniul aplicării legii, pentru
a contribui la liberul schimb și pentru a dezvolta standarde ridicate de protecție a datelor cu
caracter personal la nivel global.
18