COM_2018_0043_FIN.RON.xhtml.1_RO_ACT_part1

COMISIA EUROPEANĂ

Bruxelles, 24.1.2018

COM(2018) 43 final

COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

FMT:BoldProtecție sporită, noi oportunități - Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018/FMT

Comunicare a Comisiei către Parlamentul European și Consiliu

Protecție sporită, noi oportunități - Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018

Introducere

La 6 aprilie 2016, UE a convenit asupra unei reforme majore a cadrului său de protecție a datelor, prin adoptarea pachetului de reforme privind protecția datelor, care include Regulamentul general privind protecția datelor (RGPD) 1 de înlocuire a Directivei 95/46/CE 2 („Directiva privind protecția datelor cu caracter personal”), veche de douăzeci de ani, precum și Directiva privind poliția 3 . La 25 mai 2018, noul instrument de protecție a datelor la nivelul UE, Regulamentul general privind protecția datelor („regulamentul”) va deveni direct aplicabil, la doi ani de la adoptarea și intrarea în vigoare a acestuia 4 .

Noul regulament va consolida protecția dreptului persoanelor la protecția datelor cu caracter personal, reflectând natura protecției datelor ca drept fundamental al Uniunii Europene 5 .

Prin setul unic de norme direct aplicabile în ordinea juridică a statelor membre pe care acesta îl prevede, regulamentul va garanta libera circulație a datelor cu caracter personal între statele membre ale UE și va consolida încrederea și securitatea consumatorilor, două elemente indispensabile pentru o adevărată piață unică digitală. În acest mod, regulamentul va oferi noi oportunități pentru întreprinderi și societăți, în special cele mai mici, prevăzând, de asemenea, norme mai clare pentru transferurile internaționale de date.

Deși noul cadru de protecție a datelor se bazează pe legislația existentă, acesta va avea un impact extins și va necesita ajustări semnificative în anumite aspecte. Din acest motiv, regulamentul a prevăzut o perioadă de tranziție de 2 ani - până la 25 mai 2018 - în scopul de a acorda statelor membre și părților interesate timp să se pregătească pe deplin pentru noul cadru juridic.

În ultimii doi ani, toate părțile interesate, de la administrațiile naționale și autoritățile naționale pentru protecția datelor la operatorii de date și persoanele împuternicite de către operatori, au participat la o serie de activități pentru a garanta că importanța și amploarea schimbărilor aduse de noul cadrul de protecție a datelor sunt bine înțelese și că toți actorii sunt pregătiți pentru aplicarea acestuia. Pe măsură ce se apropie termenul de 25 mai, Comisia consideră că este necesar să facă un bilanț al acestor activități și să examineze orice măsură suplimentară care ar putea fi utilă pentru garantarea faptului că sunt instituite toate elementele în vederea punerii în aplicare cu succes a noului cadru 6 .

Prezenta comunicare:

·recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor;

·face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE;

·evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire;

·stabilește măsurile pe care Comisia intenționează să le adopte în următoarele luni.

În plus, în paralel cu adoptarea prezentei comunicări, Comisia lansează un set de instrumente online pentru a sprijini părțile interesate în a se pregăti pentru punerea în aplicare a regulamentului și, cu sprijinul reprezentanțelor, o campanie de informare în toate statele membre.

1.NOUL CADRU AL UE PRIVIND PROTECȚIA DATELOR — PROTECȚIE MAI SOLIDĂ și NOI OPORTUNITĂȚI

Regulamentul continuă să urmeze abordarea din Directiva privind protecția datelor însă, pe baza celor 20 de ani de legislație a UE în materie de protecție a datelor și a jurisprudenței relevante, acesta clarifică și modernizează normele privind protecția datelor; regulamentul introduce o serie de elemente noi care consolidează protecția drepturilor individuale și creează oportunități pentru societăți și întreprinderi, în special:

·un cadru juridic armonizat care duce la aplicarea uniformă a normelor în beneficiul pieței unice digitale a UE. Aceasta înseamnă un set unic de norme pentru cetățeni și întreprinderi. Se va rezolva astfel situația actuală în care statele membre ale UE au pus în aplicare în mod diferit normele prevăzute în directivă. Pentru a asigura o aplicare uniformă și coerentă în toate statele membre, este introdus un sistem de ghișee unice;

·condiții de concurență echitabile pentru toate întreprinderile care își desfășoară activitatea pe piața UE. Regulamentul solicită întreprinderilor cu sediul în afara UE să aplice aceleași reguli ca întreprinderile cu sediul în EU atunci când oferă bunuri și servicii în UE sau când monitorizează comportamentul persoanelor din UE. Întreprinderile care operează din afara UE și care desfășoară activitate pe piața unică trebuie, în anumite împrejurări, să numească, în plus față de întreprinderea stabilită în străinătate sau în locul acesteia, un reprezentant în UE căruia cetățenii și autoritățile i se pot adresa;

·principiul protecției datelor începând cu momentul conceperii și principiul protecției implicite a datelor care creează stimulente pentru soluții inovatoare în vederea abordării aspectelor legate de protecția datelor chiar de la început;

·consolidarea drepturilor persoanelor: regulamentul introduce noi cerințe în materie de transparență; consolidarea drepturilor la informare, la acces și la ștergerea datelor („dreptul de a fi uitat”); tăcerea sau inacțiunea nu vor mai fi considerate drept consimțământ exprimat în mod valabil, fiind obligatorie o acțiune pozitivă fără echivoc pentru exprimarea consimțământului; protejarea copiilor în mediul online;

·un control sporit asupra datelor cu caracter personal în cazul persoanelor fizice. Regulamentul stabilește un nou drept la portabilitatea datelor, permițând cetățenilor să solicite unei întreprinderi sau organizații să primească înapoi datele cu caracter personal pe care aceștia le-au furnizat respectivei întreprinderi sau organizații pe bază de consimțământ sau contract; acesta va permite, de asemenea, ca astfel de date cu caracter personal să fie transmise direct către o altă întreprindere sau organizație, atunci când acest lucru este realizabil din punct de vedere tehnic. Întrucât permite transmiterea directă a datelor cu caracter personal de la o întreprindere sau organizație la alta, acest drept va sprijini, de asemenea, libera circulație a datelor cu caracter personal în UE, va evita blocarea datelor cu caracter personal și va încuraja concurența între întreprinderi. Facilitarea posibilității acordată cetățenilor de a trece de la un furnizor de servicii la altul va încuraja dezvoltarea de noi servicii în contextul strategiei privind piața unică digitală;

·o protecție sporită împotriva încălcării securității datelor. Regulamentul stabilește un set cuprinzător de norme cu privire la încălcarea securității datelor cu caracter personal. Acesta definește în mod clar ce se înțelege prin „încălcarea securității datelor cu caracter personal”, introduce o obligație de notificare a autorității de supraveghere cel târziu în termen de 72 de ore atunci când încălcarea securității datelor este susceptibilă să constituie un risc pentru drepturile și libertățile persoanelor fizice. În anumite împrejurări, acesta prevede obligația de a informa persoana ale cărei date sunt afectate de încălcare. Acest lucru sporește în mod considerabil protecția comparativ cu situația actuală din UE, în care doar furnizorii de servicii de comunicații electronice, operatorii de servicii esențiale și furnizorii de servicii digitale au obligația de a notifica încălcarea securității datelor, în conformitate cu Directiva asupra confidențialității și comunicațiilor electronice („Directiva asupra confidențialității și comunicațiilor electronice”) 7 și cu Directiva privind securitatea rețelelor și a sistemelor informatice 8 (Directiva NIS);

·regulamentul acordă tuturor autorităților pentru protecția datelor competența de a impune amenzi operatorilor și persoanelor împuternicite de către operatori. În prezent, nu toate autoritățile în cauză au această competență. Acest lucru va permite o mai bună aplicare a normelor. Amenzile pot ajunge până la 20 de milioane EUR sau, în cazul unei întreprinderi, până la 4 % din cifra de afaceri anuală la nivel mondial;

·mai multă flexibilitate pentru operatorii și persoanele împuternicite de către operatori care prelucrează date cu caracter personal datorită dispozițiilor clare în ceea ce privește responsabilitatea (principiul responsabilității). Regulamentul marchează trecerea de la un sistem de notificare la principiul responsabilității. Acesta din urmă este pus în aplicare prin intermediul obligațiilor care pot fi ajustate în funcție de risc (de exemplu, prezența unui responsabil cu protecția datelor sau obligația de a efectua evaluări ale impactului asupra protecției datelor). Este introdus un nou instrument pentru a contribui la evaluarea riscului înainte de începerea prelucrării datelor: evaluarea impactului asupra protecției datelor. Aceasta din urmă este necesară ori de câte ori prelucrarea este susceptibilă să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice. Trei situații sunt menționate în mod specific ca atare în temeiul regulamentului: atunci când o întreprindere evaluează în mod sistematic și extensiv aspecte personale ale unei persoane (inclusiv crearea de profiluri), atunci când prelucrează date sensibile pe scară largă sau atunci când monitorizează sistematic zone publice pe scară largă. Autoritățile naționale pentru protecția datelor vor trebui să publice listele de cazuri care necesită o evaluare a impactului asupra protecției datelor 9 ;

·mai multă claritate cu privire la obligațiile persoanelor împuternicite de către operatori și responsabilitatea operatorilor în momentul alegerii unei persoane împuternicite de către operator;

·un sistem modern de guvernanță pentru a garanta că normele sunt puse în aplicare într-un mod mai coerent și cu fermitate. Acesta include competențe armonizate pentru autoritățile pentru protecția datelor, inclusiv în ceea ce privește amenzile, precum și noi mecanisme pentru ca aceste autorități să coopereze în cadrul unei rețele;

·protecția datelor cu caracter personal garantată prin regulament rămâne asociată datelor transferate în afara UE, asigurând un nivel ridicat de protecție 10 . În timp ce structura normelor privind transferurile internaționale prevăzute în regulament rămâne în esență aceeași ca în directiva din 1995, reforma clarifică și simplifică utilizarea acestora și introduce noi instrumente pentru transferuri. În ceea ce privește deciziile privind caracterul adecvat al nivelului de protecție, regulamentul introduce un catalog precis și detaliat al elementelor pe care Comisia trebuie să le ia în considerare atunci când evaluează dacă un sistem străin protejează în mod corespunzător datele cu caracter personal. De asemenea, regulamentul oficializează și extinde numărul de instrumente alternative de transfer, cum ar fi clauzele contractuale standard și regulile corporatiste obligatorii.

Regulamentul revizuit pentru instituțiile, organele, oficiile și agențiile UE 11 și Regulamentul privind viața privată și comunicațiile electronice („Regulamentul privind viața privată și comunicațiile electronice”) 12 , care sunt în prezent în curs de negociere, odată adoptate, vor asigura faptul că UE dispune de un set solid și cuprinzător de norme privind protecția datelor 13 .

2.Activități pregătitoare efectuate până în prezent la nivelul UE

Aplicarea cu succes a regulamentului necesită cooperare între toate părțile implicate în protecția datelor: statele membre, inclusiv administrațiile publice, autoritățile naționale pentru protecția datelor (APD), întreprinderi, organizațiile care prelucrează date cu caracter personal și persoanele fizice, precum și Comisia.

2.1 Măsuri luate de Comisia Europeană

La scurt timp după intrarea în vigoare a regulamentului, la jumătatea anului 2016, Comisia s-a angajat, împreună cu autoritățile statelor membre, autoritățile pentru protecția datelor și părțile interesate, să pregătească punerea în aplicare a regulamentului și să ofere sprijin și consultanță.

a) Sprijinirea statelor membre și a autorităților acestora

Comisia a colaborat foarte strâns cu statele membre pentru a sprijini activitatea acestora în cursul perioadei de tranziție, în scopul de a asigura cel mai înalt nivel posibil de coerență. În acest scop, Comisia a instituit un grup de experți care să asiste statele membre în efortul lor de a pregăti punerea în aplicare a regulamentului. Grupul, care s-a reunit deja de 13 ori, acționează ca un forum în cadrul căruia statele membre pot face schimb de experiențe și de cunoștințe de specialitate 14 . De asemenea, Comisia a participat la reuniuni bilaterale cu autoritățile statelor membre pentru a discuta aspectele apărute la nivel național.

b) Sprijinirea autorităților individuale pentru protecția datelor și crearea Comitetului european pentru protecția datelor

Comisia a susținut în mod activ activitatea grupului de lucru instituit prin articolul 29, inclusiv în vederea asigurării unei tranziții line către Comitetul european pentru protecția datelor 15 .

c) Acțiuni la nivel internațional

Regulamentul va consolida și mai mult capacitatea UE de a-și promova în mod activ valorile referitoare la protecția datelor și va facilita fluxurile de date la nivel transfrontalier prin încurajarea convergenței sistemelor juridice la nivel mondial 16 . Normele UE privind protecția datelor sunt recunoscute din ce în ce mai mult la nivel internațional ca stabilind unele dintre cele mai înalte standarde de protecție a datelor din întreaga lume. Convenția 108 a Consiliului Europei, singurul instrument multilateral obligatoriu din punct de vedere juridic în domeniul protecției datelor cu caracter personal este, de asemenea, în curs de modernizare. Comisia depune eforturi pentru ca aceasta să reflecte aceleași principii precum cele consacrate în cadrul noilor norme ale UE privind protecția datelor și astfel să contribuie la definirea unui set uniform de standarde ridicate de protecție a datelor. Comisia va promova în mod activ adoptarea rapidă a textului modernizat al convenției, astfel încât UE să devină parte la aceasta 17 . Comisia încurajează țările din afara UE să ratifice Convenția 108 a Consiliului Europei și Protocolul adițional la aceasta.

În plus, mai multe țări și organizații regionale din afara UE, de la cele din imediata noastră vecinătate la cele din Asia, America Latină și Africa, adoptă noi legi privind protecția datelor sau le actualizează pe cele existente pentru a valorifica oportunitățile pe care le oferă economia digitală globală și pentru a răspunde cererii tot mai mari pentru o mai bună securitate a datelor și o mai bună protecție a vieții private. În timp ce abordarea și nivelul de dezvoltare legislativă diferă de la o țară la alta, există semne că regulamentul servește din ce în ce mai mult drept un punct de referință și o sursă de inspirație 18 .

În acest context, Comisia își continuă activitățile la nivel internațional, în conformitate cu comunicarea sa din ianuarie 2017 19 , implicându-se în mod activ cu principalii parteneri comerciali, în special din Asia de Est și de Sud-Est și din America Latină pentru a analiza posibilitatea de a adopta decizii privind caracterul adecvat al nivelului de protecție 20 .

În special, Comisia colaborează cu Japonia în vederea constatării simultane a asigurării unui nivel adecvat de protecție a datelor de către ambele părți până la începutul anului 2018, astfel cum au anunțat președintele Juncker și prim-ministrul Abe în declarația lor comună din 6 iulie 2017 21 . De asemenea, au fost lansate discuții cu Coreea de Sud în vederea unei posibile decizii privind caracterul adecvat al nivelului de protecție. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție ar asigura fluxul liber de date cu țările terțe în cauză, asigurându-se, în același timp, că se aplică un nivel ridicat de protecție atunci când datele cu caracter personal sunt transferate din UE către aceste țări.

În același timp, Comisia colaborează cu părțile interesate pentru a valorifica întregul potențial al setului de instrumente prevăzut în RGPD pentru transferurile internaționale prin dezvoltarea de mecanisme alternative pentru transferul datelor adaptate nevoilor particulare ale anumitor industrii și/sau operatori 22 .

d) Stabilirea unui dialog cu părțile interesate

Comisia a organizat o serie de evenimente adresate părților interesate 23 . Un nou atelier destinat consumatorilor este planificat pentru primul trimestru al anului 2018. De asemenea, au avut loc discuții sectoriale specifice în domenii precum cercetarea și serviciile financiare.

Comisia a stabilit, de asemenea, un grup multipartit privind regulamentul, format din reprezentanți ai societății civile și ai mediului de afaceri, cadre universitare și practicieni. Acest grup va oferi consultanță Comisiei, în special cu privire la modul în care se poate atinge un nivel adecvat de sensibilizare cu privire la regulament în rândul părților interesate 24 .

În sfârșit, prin Programul-cadru pentru cercetare și inovare - Orizont 2020 25 , Comisia Europeană finanțează acțiuni pentru dezvoltarea de instrumente care sprijină aplicarea eficace a normelor în temeiul regulamentului în ceea ce privește consimțământul și metodele de analiză a datelor care asigură protejarea confidențialității, cum ar fi sistemele de calcul pluripartite și criptarea homomorfică.

2.2 Măsuri adoptate de grupul de lucru instituit prin articolul 29/Comitetul european pentru protecția datelor

Grupul de lucru instituit prin articolul 29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor, joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. În calitate de autorități responsabile cu asigurarea respectării normelor prevăzute în regulament și de puncte de contact direct pentru părțile interesate, autoritățile naționale pentru protecția datelor sunt cel mai bine plasate pentru a oferi o securitate juridică suplimentară cu privire la interpretarea regulamentului.

Orientările/documentele de lucru adoptate de grupul de lucru instituit prin articolul 29 în vederea punerii în aplicare a regulamentului 26
Dreptul la portabilitatea datelor	Adoptate la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor	Adoptată la 3-4 octombrie 2017
Amenzi administrative	Adoptate la 3-4 octombrie 2017
Crearea de profiluri	Activitate în curs
Încălcarea securității datelor	Activitate în curs
Consimțământul	Activitate în curs
Transparența	Activitate în curs
Certificarea și acreditarea	Activitate în curs
Criterii de referință privind adecvarea	Activitate în curs
Reguli corporatiste obligatorii pentru operatori	Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori	Activitate în curs

Grupul de lucru instituit prin articolul 29 depune eforturi pentru a actualiza avizele existente, inclusiv cele privind instrumentele pentru transferul de date către țări din afara UE.

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, orientările actuale la nivel național trebuie să fie abrogate sau aduse în conformitate cu cele adoptate de grupul de lucru instituit prin articolul 29/Comitetul european pentru protecția datelor cu privire la același subiect.

Comisia consideră că este deosebit de important ca respectivele orientări să facă obiectul unei consultări publice înainte de a fi finalizate. Contribuțiile părților interesate la acest proces trebuie să fie cât mai precise și cât mai concrete posibil, întrucât acest lucru va contribui la identificarea celor mai bune practici și va aduce caracteristicile specifice industriei și sectorului în atenția grupului de lucru instituit prin articolul 29. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor, iar autoritățile pentru protecția datelor vor face referire la acestea în momentul asigurării aplicării regulamentului.

Ar trebui să existe posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor. În acest scop, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu întreprinderile.

Este important să se reamintească faptul că, în cazul în care apar întrebări referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a regulamentului.

3.Măsuri rămase pentru finalizarea cu succes a etapei de pregătire

3.1 Finalizarea instituirii de către statele membre a cadrului juridic la nivel național

Regulamentul se aplică direct în toate statele membre 27 . Aceasta înseamnă că regulamentul intră în vigoare și se aplică indiferent de măsurile adoptate în temeiul legislației naționale: dispozițiile regulamentului pot fi invocate în mod normal direct de către cetățeni, întreprinderi, administrații publice și alte organizații care prelucrează date cu caracter personal. Cu toate acestea, în conformitate cu regulamentul, statele membre trebuie să ia măsurile necesare pentru a-și adapta legislația prin abrogarea și modificarea legislației existente și instituirea autorităților naționale pentru protecția datelor 28 , alegerea unui organism de acreditare 29 și stabilirea normelor pentru reconcilierea libertății de exprimare și a protecției datelor 30 .

De asemenea, regulamentul oferă statelor membre posibilitatea să aducă precizări suplimentare cu privire la aplicarea normelor privind protecția datelor în domenii specifice: sectorul public 31 , ocuparea forței de muncă și securitatea socială 32 , medicina preventivă și medicina muncii, sănătate publică 33 , prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice 34 , numărul de identificare național 35 , accesul public la documente oficiale 36 și obligațiile de păstrare a confidențialității 37 . În plus, pentru datele genetice, datele biometrice și datele privind sănătatea, regulamentul abilitează statele membre să mențină sau să introducă condiții suplimentare, inclusiv restricții 38 .

Acțiunile desfășurate de statele membre în acest context sunt delimitate de două elemente:

1.articolul 8 din cartă, în sensul că orice legislație națională de stabilire a specificațiilor trebuie să respecte cerințele prevăzute la articolul 8 din cartă (și în regulamentul care se bazează pe articolul 8 din cartă), precum și

2.articolul 16 alineatul (2) din TFUE, conform căruia legislația națională nu poate afecta libera circulație a datelor cu caracter personal pe teritoriul UE.

Regulamentul reprezintă oportunitatea de a simplifica mediul juridic și, prin urmare, de a avea mai puține norme naționale și o mai mare claritate pentru operatori.

În momentul adaptării legislației lor naționale, statele membre trebuie să ia în considerare faptul că orice măsuri naționale care ar avea ca rezultat crearea unui obstacol în calea aplicării directe a regulamentului și punerea în pericol a aplicării simultane și uniforme a acestuia în întreaga UE sunt contrare tratatelor 39 .

Repetarea textului regulamentelor în legislația națională este, de asemenea, interzisă (de exemplu, repetarea definițiilor sau a drepturilor persoanelor fizice), cu excepția cazului în care astfel de repetări sunt strict necesare din motive de coerență și în scopul de a face legislația națională ușor de înțeles pentru cei cărora li se aplică aceasta 40 . Reproducerea cuvânt cu cuvânt a textului regulamentului în legislația națională de stabilire a specificațiilor ar trebui să fie excepțională și justificată și nu poate fi utilizată pentru a adăuga condiții suplimentare sau interpretări la textul regulamentului.

Interpretarea regulamentului revine instanțelor europene (instanțelor naționale și, în ultimă instanță, Curții Europene de Justiție) și nu legiuitorilor statelor membre. Prin urmare, legiuitorul național nu poate nici să copieze textul regulamentului atunci când acest lucru nu este necesar având în vedere criteriile prevăzute în jurisprudență, nici să îl interpreteze sau să adauge condiții suplimentare la normele direct aplicabile în temeiul regulamentului. În caz contrar, operatorii din întreaga Uniune s-ar confrunta din nou cu fragmentare și nu ar ști ce norme trebuie să respecte.

În acest stadiu, doar două state membre au adoptat deja legislația națională relevantă 41 ; celelalte state membre se află în stadii diferite ale procedurilor lor legislative 42 și au prevăzute calendare pentru adoptarea legislației până în 25 mai 2018. Este important să se acorde operatorilor timp suficient în scopul de a se pregăti pentru toate dispozițiile pe care vor trebui să le respecte.

În cazul în care statele membre nu iau măsurile necesare prevăzute de regulament, înregistrează întârzieri în adoptarea lor sau folosesc clauzele privind specificațiile prevăzute în regulament într-un mod care contravine regulamentului, Comisia va utiliza toate instrumentele pe care le are la dispoziție, inclusiv recurgerea la procedura de constatare a neîndeplinirii obligațiilor.

3.2 Garantarea de către autoritățile responsabile pentru protecția datelor a faptului că noul Comitet european independent pentru protecția datelor este pe deplin operațional

Este esențial ca noul organism stabili prin regulament, Comitetul european pentru protecția datelor 43 , succesorul grupului de lucru instituit prin articolul 29, să fie pe deplin operațional începând cu 25 mai 2018.

Autoritatea Europeană pentru Protecția Datelor, care este autoritatea pentru protecția datelor responsabilă cu supravegherea instituțiilor și a organelor UE, va asigura secretariatul Comitetului european pentru protecția datelor pentru a îmbunătăți sinergiile și eficiența. În ultimele luni, Autoritatea Europeană pentru Protecția Datelor a început pregătirile necesare în acest sens.

Comitetul european pentru protecția datelor va fi în centrul protecției datelor în Europa. Aceasta va contribui la o aplicare coerentă a legislației privind protecția datelor și va oferi o bază solidă pentru cooperarea între autoritățile pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. Comitetul european pentru protecția datelor nu numai că va publica orientări privind modul de interpretare a conceptelor de bază ale regulamentului, ci va trebui, de asemenea, să emită decizii obligatorii cu privire la litigiile referitoare la prelucrarea transfrontalieră. Acest lucru va asigura aplicarea uniformă a normelor UE și va elimina posibilitatea ca același caz să fie abordat în mod diferit în diverse state membre.

Funcționarea armonioasă și eficientă a Comitetului european pentru protecția datelor este, prin urmare, o condiție pentru ca întregul sistem să funcționeze bine. Mai mult ca niciodată, Comitetul european pentru protecția datelor va trebui să creeze o cultură comună în materie de protecție a datelor în rândul tuturor autorităților naționale pentru protecția datelor, pentru a se asigura că normele prevăzute în regulament sunt interpretate în mod uniform. Regulamentul promovează cooperarea între autoritățile pentru protecția datelor, oferindu-le instrumentele necesare pentru a coopera în mod eficace și eficient: în special, acestea vor putea să desfășoare operațiuni comune, să adopte decizii de comun acord și să soluționeze divergențele pe care le-ar putea avea cu privire la interpretarea regulamentului în cadrul comitetului, prin intermediul avizelor și al deciziilor obligatorii. Comisia încurajează autoritățile pentru protecția datelor să adopte aceste schimbări și să-și adapteze funcționarea, finanțarea și modul de lucru pentru a putea fi în măsură să satisfacă noile drepturi și obligații.

3.3 Furnizarea de către statele membre a resurselor financiare și umane necesare autorităților naționale pentru protecția datelor

Instituirea de autorități de supraveghere pe deplin independente în fiecare stat membru este esențială pentru asigurarea protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal în UE 44 . Autoritățile de supraveghere pot proteja în mod eficace drepturile și libertățile persoanelor fizice doar dacă acționează în deplină independență. Orice eșec în a le asigura independența și exercitarea efectivă a competențelor lor are un impact negativ amplu asupra asigurării aplicării legislației privind protecția datelor 45 .

Regulamentul codifică cerința ca fiecare autoritate pentru protecția datelor să acționeze în deplină independență 46 . Acesta consolidează independența autorităților naționale pentru protecția datelor și le oferă competențe uniforme în întreaga UE, astfel încât acestea să dispună de mijloace adecvate pentru soluționarea eficace a plângerilor, desfășurarea de investigații eficiente, luarea de decizii cu caracter obligatoriu și impunerea de sancțiuni eficace și disuasive. Regulamentul le atribuie, de asemenea, competența de a impune amenzi administrative operatorilor sau persoanelor împuternicite de către operatori de până la 20 de milioane EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri anuală totală realizată la nivel mondial corespunzătoare exercițiului financiar anterior, oricare dintre acestea este mai mare.

Autoritățile pentru protecția datelor sunt interlocutorii firești și primul punct de contact pentru publicul larg, întreprinderi și administrațiile publice pentru întrebările referitoare la regulament. Rolul autorităților pentru protecția datelor include informarea operatorilor și a persoanelor împuternicite de către operatori cu privire la obligațiile lor și creșterea nivelului de conștientizare și de înțelegere de către publicul larg a riscurilor, normelor, garanțiilor și drepturilor în materie de prelucrare a datelor. Aceasta nu înseamnă însă că operatorii și persoanele împuternicite de către operatori ar trebui să se aștepte să primească de la autoritățile pentru protecția datelor tipul de consiliere juridică adaptată și individualizată pe care numai un avocat sau un responsabil cu protecția datelor ar putea să o ofere.

Prin urmare, autoritățile naționale pentru protecția datelor joacă un rol central, însă dezechilibrul relativ dintre resursele umane și financiare alocate acestora în diferitele state membre le poate periclita eficacitatea și, în cele din urmă, independența deplină impusă în temeiul regulamentului. De asemenea, acest dezechilibru poate avea un impact negativ asupra modului în care autoritățile pentru protecția datelor pot să-și exercite competențele, cum ar fi competențele acestora de investigare. Statele membre sunt încurajate să își îndeplinească obligația legală de a furniza autorităților lor naționale pentru protecția datelor resursele umane, tehnice și financiare, sediul și infrastructura necesare pentru îndeplinirea efectivă a sarcinilor acestora și exercitarea competențelor lor 47 .

3.4 Pregătirea întreprinderilor, a administrațiilor publice și a altor organizații care prelucrează date pentru aplicarea noilor norme

Regulamentul nu a modificat în mod substanțial conceptele și principiile fundamentale ale legislației privind protecția datelor stabilite în 1995. Acest lucru înseamnă că marea majoritate a operatorilor și a persoanelor împuternicite de către operatori nu vor fi nevoiți să aducă modificări majore operațiunilor lor de prelucrare a datelor pentru a se conforma dispozițiilor regulamentului, în condițiile în care respectă deja legislația UE în vigoare în materie de protecție a datelor.

Cel mai mare impact al regulamentului este asupra operatorilor a căror activitate principală este prelucrarea datelor și/sau prelucrarea unor date sensibile. De asemenea, acesta are un impact asupra celor care monitorizează cu regularitate și în mod sistematic persoanele pe scară largă. Acești operatori vor trebui cel mai probabil să desemneze un responsabil cu protecția datelor, să efectueze o evaluare a impactului asupra protecției datelor și să notifice cazurile de încălcare a securității datelor dacă există un risc pentru drepturile și libertățile persoanelor fizice. Dimpotrivă, operatorii, în special IMM-urile, a căror activitate principală nu constă în operațiuni de prelucrare cu risc ridicat nu vor face, în mod normal, obiectul acestor obligații specifice prevăzute de regulament.

Este important ca operatorii și persoanele împuternicite de către operatori să efectueze analize aprofundate ale ciclului lor de politici privind datele, astfel încât să identifice în mod clar datele pe care le dețin, în ce scop și în baza cărui temei juridic (de exemplu, mediu cloud; operatori în sectorul financiar). Aceștia trebuie, de asemenea, să evalueze contractele în vigoare, în special cele dintre operatori și persoanele împuternicite de către operatori, căile pentru transferurile internaționale și guvernanța globală (măsurile de tehnologia informației și măsurile organizatorice de instituit), inclusiv numirea unui responsabil cu protecția datelor. Un element esențial în acest proces este asigurarea faptului că cel mai înalt nivel de conducere este implicat în aceste analize, că acesta își aduce contribuția și că este informat și consultat în mod regulat cu privire la modificările aduse politicii întreprinderii privind datele.

În acest scop, unii operatori recurg la liste de verificare a conformității (interne sau externe), solicită consultanță de la agenții de consultanță sau cabinete de avocatură și caută produse care pot să răspundă cerințelor legate de protecția datelor începând cu momentul conceperii și de protecția implicită a datelor. Fiecare sector trebuie să elaboreze mecanisme care sunt adecvate naturii specifice a domeniului său și care sunt adaptate modelului de afaceri specific.

Întreprinderile și alte organizații care prelucrează date vor putea, de asemenea, să beneficieze de noile instrumente prevăzute în regulament drept element pentru a demonstra conformitatea, cum ar fi codurile de conduită și mecanismele de certificare. Acestea constituie abordări ascendente care provin de la mediul de afaceri, asociații sau alte organizații reprezentând categorii de operatori sau persoane împuternicite de către operatori și care reflectă cele mai bune practici, evoluțiile importante într-un anumit sector sau pot oferi informații cu privire la nivelul de protecție a datelor cerut de anumite produse și servicii. Regulamentul prevede un set simplificat de norme pentru astfel de mecanisme, ținând seama în același timp de realitățile pieței (de exemplu, certificarea de către un organism de certificare sau de către o autoritate pentru protecția datelor).

Cu toate acestea, în timp ce marile companii se pregătesc în mod activ pentru aplicarea noilor norme, multe IMM-uri nu au deplină cunoștință de viitoarele norme privind protecția datelor.

Pe scurt, operatorii ar trebui să se pregătească și să se adapteze la noile norme și să vadă regulamentul drept:

·o oportunitate pentru a-și pune ordine în activități în ceea ce privește datele cu caracter personal pe care le prelucrează și modul în care gestionează aceste date;

·o obligație de a dezvolta produse care favorizează garantarea vieții private și a protecției datelor și de a construi o nouă relație cu clienții lor bazată pe transparență și încredere și

·o oportunitate de a-și redefini relațiile cu autoritățile pentru protecția datelor prin responsabilitate și conformitate proactivă.

3.5 Informarea părților interesate, în special a cetățenilor și a întreprinderilor mici și mijlocii

Succesul regulamentului se bazează pe o sensibilizare adecvată a tuturor celor afectați de noile norme (comunitatea de afaceri și alte organizații care prelucrează date, sectorul public și cetățenii). La nivel național, sarcina de a crește gradul de sensibilizare și de a fi primul punct de contact pentru operatori, persoanele împuternicite de către operatori și persoane fizice le revine în primul rând autorităților pentru protecția datelor. În calitate de autorități de asigurare a respectării normelor de protecție a datelor pe teritoriul lor, autoritățile pentru protecția datelor sunt, de asemenea, cele mai potrivite să explice modificările introduse de regulament pentru întreprinderi și sectorul public și să familiarizeze cetățenii cu drepturile care le revin.

Autoritățile pentru protecția datelor au început informarea părților interesate în conformitate cu abordările naționale specifice. Unele dintre acestea organizează seminarii cu administrațiile publice, inclusiv la nivel regional și local, și desfășoară ateliere cu diferite sectoare comerciale pentru a mări gradul de sensibilizare cu privire la principalele dispoziții ale regulamentului. Altele derulează programe specifice de formare pentru responsabilii cu protecția datelor. Majoritatea acestora furnizează materiale informative în diverse formate pe site-urile lor internet (liste de verificare, înregistrări video etc.).

Cu toate acestea, nu există încă un nivel suficient de extins de conștientizare în rândul cetățenilor cu privire la modificările și la drepturile consolidate generate prin noile norme privind protecția datelor. Inițiativa de formare și de creștere a gradului de sensibilizare lansată de autoritățile pentru protecția datelor ar trebui să fie continuată și intensificată, cu un accent deosebit pe IMM-uri. În plus, administrațiile naționale sectoriale pot sprijini activitățile autorităților pentru protecția datelor și, pe baza contribuțiilor acestora, pot derula propriile activități de informare în rândul diferitelor părți interesate.

4.Etapele următoare

În lunile următoare, Comisia va continuă să sprijine în mod activ toate părțile implicate în pregătirea pentru punerea în aplicare a regulamentului.

a) Conlucrarea cu statele membre

Comisia va continua să conlucreze cu statele membre până în mai 2018. Din mai 2018, aceasta va monitoriza modul în care statele membre aplică noile norme și va lua măsurile necesare.

b) Noi orientări online în toate limbile UE și activități de sensibilizare

Comisia pune la dispoziție materiale orientative practice 48 pentru a sprijini întreprinderile, în special IMM-urile, autoritățile publice și publicul larg să respecte noile norme privind protecția datelor și să beneficieze de acestea.

Orientările iau forma unui instrument practic online disponibil în toate limbile UE. Instrumentul online va fi actualizat periodic și este destinat să deservească trei grupuri-țintă principale: cetățeni, întreprinderi (în special IMM-uri) și alte organizații, precum și administrații publice. Acesta conține întrebări și răspunsuri selectate pe baza reacțiilor primite de la părțile interesate, cu exemple practice și link-uri către diferite surse de informații (de exemplu, articole din regulament; orientări ale grupului de lucru instituit prin articolul 29/Comitetul european pentru protecția datelor; și materiale elaborate la nivel național).

Comisia va actualiza periodic instrumentul, adăugând întrebări și actualizând răspunsurile pe baza reacțiilor primite și ținând cont de eventualele chestiuni ce pot apărea în urma punerii în aplicare.

Orientările vor fi promovate prin intermediul unei campanii de informare și al activităților de diseminare în toate statele membre, grupul-țintă fiind format din întreprinderi și publicul larg.

Întrucât regulamentul prevede consolidarea drepturilor individuale, Comisia va efectua, de asemenea, activități de sensibilizare și va participa la evenimente în statele membre pentru a informa cetățenii cu privire la beneficiile și impactul regulamentului.

c) Sprijin financiar pentru campaniile naționale și acțiunile de sensibilizare

Comisia sprijină acțiunile de sensibilizare și eforturile de conformare la nivel național prin acordarea de granturi care pot fi utilizate pentru a oferi cursuri de formare destinate autorităților pentru protecția datelor, administrațiilor publice, profesiilor juridice și responsabililor cu protecția datelor 49 și pentru a-i familiariza cu dispozițiile regulamentului.

Aproximativ 1,7 milioane EUR vor fi alocate unui număr de șase beneficiari acoperind mai mult de jumătate din statele membre ale UE. Fondurile vor fi direcționate către autoritățile publice locale, inclusiv responsabilii cu protecția datelor ai autorităților publice locale, ai autorităților publice și din sectorul privat, judecători și avocați. Granturile vor fi utilizate pentru elaborarea de materiale de formare pentru autoritățile pentru protecția datelor, responsabilii cu protecția datelor și alți profesioniști, precum și pentru programe de „formare a formatorilor”.

De asemenea, Comisia a publicat o cerere de propuneri care se adresează în mod special autorităților pentru protecția datelor. Aceasta va avea un buget total de până la 2 milioane EUR și va sprijini activitatea acestora în stabilirea de contacte cu părțile interesate 50 . Obiectivul este de a oferi o cofinanțare de 80 % pentru măsurile luate de către autoritățile pentru protecția datelor în perioada 2018-2019 pentru creșterea gradului de sensibilizare în rândul întreprinderilor, în special al IMM-urilor, și pentru a răspunde la întrebările acestora. Această finanțare poate fi utilizată, de asemenea, pentru a crește gradul de sensibilizare în rândul publicului larg.

d) Evaluarea necesității de a face uz de competențele delegate ale Comisiei

Regulamentul 51 permite Comisiei să emită acte de punere în aplicare sau acte delegate pentru a sprijini și mai mult punerea în aplicare a noilor norme. Comisia va utiliza aceste competențe delegate doar atunci când există o valoare adăugată demonstrată în mod clar și pe baza feedbackului primit în urma consultării părților interesate. În special, Comisia va analiza chestiunea certificării pe baza unui studiu contractat cu experți externi, precum și pe baza contribuțiilor și a consultanței în materie din partea grupului multipartit privind regulamentul instituit la sfârșitul anului 2017. Activitatea desfășurată de Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) în domeniul securității cibernetice va fi relevantă, de asemenea, în acest context.

e) Integrarea regulamentului în Acordul privind SEE

Comisia va continua să lucreze împreună cu cele trei state membre ale AELS (Islanda, Liechtenstein și Norvegia) din Spațiul Economic European (SEE) pentru a integra regulamentul în Acordul privind SEE 52 . Numai după intrarea în vigoare a integrării regulamentului în Acordul privind SEE, datele cu caracter personal vor putea circula liber între țările UE și țările SEE în același mod precum între statele membre ale UE.

f) Retragerea Regatului Unit din UE

În contextul negocierilor privind un acord de retragere între UE și Regatul Unit în baza articolului 50 din Tratatul privind Uniunea Europeană, Comisia va urmări obiectivul de a asigura că dispozițiile din dreptul Uniunii privind protecția datelor cu caracter personal aplicabile în ziua care precede data retragerii vor continua să se aplice datelor cu caracter personal prelucrate în Regatul Unit înainte de data retragerii 53 . De exemplu, persoanele în cauză ar trebui să aibă în continuare dreptul de a fi informate, dreptul de acces, dreptul la rectificarea, ștergerea, restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul de a se opune prelucrării, precum și de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, în temeiul dispozițiilor relevante din dreptul Uniunii aplicabile la data retragerii. Datele cu caracter personal menționate mai sus nu trebuie păstrate mai mult decât este necesar pentru scopurile pentru care datele cu caracter personal au fost prelucrate.

Începând cu data retragerii și sub rezerva oricăror dispoziții tranzitorii care pot fi conținute într-un posibil acord de retragere, normele prevăzute în regulament cu privire la transferurile de date cu caracter personal către țări terțe se aplică în Regatul Unit 54 .

g) Realizarea unui bilanț în mai 2019

După 25 mai 2018, Comisia va monitoriza îndeaproape aplicarea noilor norme și va fi pregătită să ia măsuri în cazul în care vor apărea probleme semnificative. După un an de la intrarea în vigoare a regulamentului (2019), Comisia va organiza un eveniment pentru a realiza un bilanț al experiențelor diferitelor părți interesate cu privire la punerea în aplicare a regulamentului. Acest lucru va contribui, de asemenea, la realizarea raportului pe care Comisia trebuie să îl prezinte până în mai 2020 privind evaluarea și revizuirea regulamentului. Acest raport se va axa în special pe transferurile internaționale și dispozițiile privind cooperarea și consecvența care se referă la activitatea autorităților pentru protecția datelor.

Concluzie

La 25 mai, un nou set unic de norme privind protecția datelor va intra în vigoare în întreaga UE. Noul cadru va aduce beneficii semnificative atât pentru cetățeni, cât și pentru întreprinderi, administrații publice și alte organizații. Este, de asemenea, o oportunitate pentru UE să devină lider mondial în domeniul protecției datelor cu caracter personal. Cu toate acestea, reforma nu poate avea succes decât dacă toate părțile implicate își asumă obligațiile și drepturile care le revin.

De la adoptarea regulamentului în mai 2016, Comisia s-a implicat activ cu toate părțile interesate - guverne, autorități naționale, mediul de afaceri, societatea civilă - în vederea aplicării noilor norme. Un număr semnificativ de activități au fost dedicate asigurării sensibilizării extinse și pregătirii complete, însă sunt necesare în continuare eforturi în acest sens. Pregătirile progresează în ritm diferit în rândul statelor membre și al diferitelor părți implicate. În plus, nu s-a luat cunoștință în mod uniform de beneficiile și oportunitățile pe care le oferă noile norme. În special, în cazul IMM-urilor, trebuie intensificate acțiunile de sensibilizare și susținute eforturile de asigurare a conformității.

Prin urmare, Comisia invită toate părțile interesate să își intensifice activitățile în curs pentru a se asigura coerența aplicării și a interpretării noilor norme în întreaga UE și pentru a crește gradul de sensibilizare în rândul întreprinderilor și al cetățenilor deopotrivă. Comisia va sprijini aceste eforturi prin acordarea de finanțare și de sprijin administrativ și va contribui la creșterea sensibilizării în general, în special prin lansarea setului de instrumente de orientare online.

Datele devin foarte valoroase pentru economia de astăzi și sunt esențiale pentru viața de zi cu zi a cetățenilor. Noile norme oferă o oportunitate unică pentru întreprinderi și cetățeni deopotrivă. Întreprinderile, în special cele mai mici, vor putea să beneficieze de setul unic de norme favorabil inovării și să își pună în ordine activitățile lor în ceea ce privește datele cu caracter personal pentru a restabili încrederea consumatorilor și îl vor putea utiliza ca un avantaj competitiv în întreaga UE. Cetățenii vor putea să beneficieze de o protecție sporită a datelor cu caracter personal și să obțină un control mai bun asupra modului în care datele sunt prelucrate de către întreprinderi.

Într-o lume modernă, cu o economie digitală înfloritoare, Uniunea Europeană, cetățenii și întreprinderile sale trebuie să fie pe deplin pregătite să valorifice beneficiile și să înțeleagă consecințele economiei datelor. Noul regulament oferă instrumentele necesare pentru adaptarea Europei la secolul XXI.

Comisia va întreprinde acțiuni le următoare.

În ceea ce privește statele membre

·Comisia va continua să colaboreze cu statele membre pentru a promova coerența și pentru a limita fragmentarea în aplicarea regulamentului, ținând seama de marja de a stabili specificații de care dispun statele membre în temeiul noii legislații.

·După mai 2018, Comisia va monitoriza îndeaproape aplicarea regulamentului în statele membre și va adopta măsurile adecvate necesare, inclusiv recurgerea la acțiuni în constatarea neîndeplinirii obligațiilor.

În ceea ce privește autoritățile pentru protecția datelor

·Până în mai 2018, Comisia va sprijini activitatea autorităților pentru protecția datelor în cadrul grupului de lucru instituit prin articolul 29 și în contextul tranziției către viitorul Comitet european pentru protecția datelor; după mai 2018, aceasta va contribui la lucrările Comitetului european pentru protecția datelor.

·În perioada 2018-2019, Comisia va cofinanța (cu un buget total de până la 2 milioane EUR) acțiuni de sensibilizare întreprinse de autoritățile pentru protecția datelor la nivel național (proiecte puse în aplicare începând cu jumătatea anului 2018).

În ceea ce privește părțile interesate

·Comisia va lansa un instrument practic de orientare online care cuprinde întrebări și răspunsuri, destinat cetățenilor, întreprinderilor și administrațiilor publice. Comisia intenționează să promoveze aceste orientări în rândul grupurilor-țintă printr-o campanie de informare adresată întreprinderilor și publicului larg în perioada premergătoare lunii mai 2018 și ulterior.

·În 2018 și ulterior, Comisia va continua să se implice în mod activ cu părțile interesate, în special prin intermediul grupului multipartit privind punerea în aplicare a regulamentului și nivelul de cunoaștere a noilor norme.

În ceea ce privește toate părțile implicate

·În 2018-2019, Comisia va evalua necesitatea de a face uz de competența sa de a adopta acte delegate sau acte de punere în aplicare.

·În mai 2019, Comisia va realiza un bilanț al punerii în aplicare a regulamentului și va prezenta un raport privind punerea în aplicare a noilor norme în 2020.

(1) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016.

(2) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995.

(3) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119, 4.5.2016.

(4) Regulamentul este în vigoare din 24 mai 2016 și se va aplica de la 25 mai 2018.

(5) Articolul 8 din Carta drepturilor fundamentale a UE și articolul 16 din TFUE.

(6) https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_ro.pdf .

(7) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37-47. Conform articolului 95 din RGPD, acest regulament nu impune obligații suplimentare persoanelor fizice sau juridice în legătură cu aspectele pentru care fac obiectul unor obligații specifice care au același obiectiv ca cel prevăzut în Directiva 2002/58/CE. Aceasta înseamnă, de exemplu, că entitățile reglementate de Directiva asupra confidențialității și comunicațiilor electronice intră sub incidența obligației de notificare a încălcării securității datelor cu caracter personal prevăzute de această directivă în măsura în care încălcarea se referă la un serviciu care este reglementat pe fond de Directiva asupra confidențialității și comunicațiilor electronice. RGPD nu le impune obligații suplimentare în acest sens.

(8) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, JO L 194, 19.7.2016, p. 130. Entitățile care intră sub incidența Directivei privind securitatea cibernetică trebuie să notifice incidentele care au un impact semnificativ sau substanțial asupra furnizării unora dintre serviciile acestora. Notificarea incidentelor în conformitate cu Directiva privind securitatea cibernetică nu aduce atingere notificării încălcărilor în temeiul regulamentului.

(9) Articolul 35 din regulament.

(10) Comunicarea Comisiei privind schimbul de date cu caracter personal și protecția acestora într-o lume globalizată, COM(2017)7 final.

(11) Propunere de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei 1247/2002/CE, COM(2017) 8 final.

(12) Propunere de regulament al Parlamentului European și al Consiliului privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58/CE (Regulamentul privind viața privată și comunicațiile electronice), COM(2017) 10 final.

(13) Până la adoptarea și intrarea în vigoare a Regulamentului privind viața privată și comunicațiile electronice, Directiva 2002/58/CE se aplică regulamentului ca lex specialis.

(14) Pentru o listă completă a reuniunilor, ordinilor de zi, rezumatelor dezbaterilor și pentru o imagine de ansamblu asupra stadiului actual al legislației din diferitele state membre, a se vedea http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=RO .

(15) De exemplu, Comisia va oferi Comitetului european pentru protecția datelor posibilitatea de a utiliza Sistemul de informare al pieței interne (IMI) pentru comunicarea între membrii acestuia.

(16) Document de reflecție privind valorificarea oportunităților oferite de globalizare COM(2017)240.

(17) Convenția Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (ETS nr. 108) și Protocolul adițional din 2001 la Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, cu privire la autoritățile de control și fluxul transfrontalier al datelor (ETS nr. 181). Convenția este deschisă țărilor care nu sunt membre ale Consiliului Europei și a fost deja ratificată de 51 de țări (inclusiv de Uruguay, Mauritius, Senegal și Tunisia).

(18) A se vedea, de exemplu, „Standardele privind protecția datelor ale statelor ibero-americane, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf

(19) COM(2017)7.

(20) COM(2017)7 ibidem, p. 10-11.

(21) http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017)7 ibidem, p. 10-11.

(23)

Două ateliere cu industria, în iulie 2016 și aprilie 2017, două mese rotunde în domeniul afacerilor în decembrie 2016 și mai 2017, un atelier pe tema datelor medicale în octombrie 2017 și un atelier cu reprezentanții IMM-urilor în noiembrie 2017.

(24) http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections.

(26) Toate orientările adoptate sunt disponibile la următoarea adresă: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Articolul 288 din TFUE.

(28) Articolul 54 alineatul (1) din regulament.

(29) Articolul 43 alineatul (1) din regulament prevede că statele membre trebuie să ofere două metode posibile de acreditare a organismelor de certificare, și anume de către autoritatea națională de supraveghere a protecției datelor instituită în conformitate cu legislația privind protecția datelor și/sau de către organismul național de acreditare instituit în temeiul Regulamentului (CE) nr. 765/2008 privind acreditarea și supravegherea pieței. Cooperarea europeană pentru acreditare („EA”, recunoscută în temeiul Regulamentului 765/2008), care regrupează organismele naționale de acreditare și autoritățile de supraveghere prevăzute de RGPD ar trebui să coopereze îndeaproape în acest sens.

(30) Articolul 85 alineatul (1) din regulament.

(31) Articolul 6 alineatul (2) din regulament.

(32) Articolul 88 și articolul 9 alineatul (2) litera (b) din regulament. Pilonul european al drepturilor sociale prevede, de asemenea, că „Lucrătorii au dreptul la protecția datelor cu caracter personal în cadrul raporturilor de muncă”. (2017/C 428/09, OJ C 428, 13.12.2017, p. 10-15).

(33) Articolul 9 alineatul (2) literele (h) și (i) din regulament.

(34) Articolul 9 alineatul (2) litera (j) din regulament.

(35) Articolul 87 din regulament.

(36) Articolul 86 din regulament.

(37) Articolul 90 din regulament.

(38) Articolul 9 alineatul (4) din regulament.

(39) Cauza 94/77, Fratelli Zerbone Snc/Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 și 101.

(40) Considerentul 8 din regulament.

(41) Austria ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Germania ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Pentru o imagine de ansamblu asupra stadiului actual al procesului legislativ în diferitele state membre, a se vedea http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=RO

(43) Comitetul european pentru protecția datelor va fi un organism al UE cu personalitate juridică, responsabil cu asigurarea aplicării coerente a regulamentului. Comitetul va fi format din președintele fiecărei autorități pentru protecția datelor și președintele Autorității Europene pentru Protecția Datelor sau din reprezentanții acestora.

(44) Considerentul 117 și astfel cum s-a precizat deja anterior în considerentul 62 din Directiva 95/46.

(45) Comunicarea Comisiei către Parlamentul European și Consiliu cu privire la continuarea Programului de lucru pentru o mai bună punere în aplicare a Directivei privind protecția datelor, COM(2007) 87 final, 7 martie 2007.

(46) Articolul 52 din regulament.

(47) Articolul 52 alineatul (4) din regulament.

(48) Orientările vor contribui la o mai bună înțelegere a normelor UE privind protecția datelor, însă doar textul regulamentului are forță juridică. În consecință, numai regulamentul este de natură să creeze drepturi și obligații pentru persoanele fizice.

(49) Granturi acordate în cadrul programului „Drepturi și cetățenie” în 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).

(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html

(51) Act delegat pentru informațiile care urmează să fie prezentate de pictograme și procedurile pentru furnizarea de pictograme standardizate [articolul 12 alineatul (8) din regulament]; act delegat pentru cerințele care trebuie luate în considerare pentru mecanismele de certificare [articolul 43 alineatul (8) din regulament]; act de punere în aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum și mecanisme de promovare și recunoaștere a acelor mecanisme de certificare, sigilii și mărci [articolul 43 alineatul (9) din regulament] act de punere în aplicare pentru formatul și procedurile pentru schimbul de informații între operatori, persoanele împuternicite de operatori și autoritățile de supraveghere pentru regulile corporatiste obligatorii [articolul 47 alineatul (3) din regulament] acte de punere în aplicare privind formatul și procedurile pentru asistență reciprocă și pentru schimbul de informații prin mijloace electronice între autoritățile de supraveghere [articolul 61 alineatul (9) și articolul 67 din regulament].

(52) Pentru informații privind situația actuală, a se vedea http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en.

(54) A se vedea Comunicarea Comisiei către părțile interesate: retragerea Regatului Unit și normele UE în domeniul protecției datelor (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).