RGPD (II) – Extinderea domeniului de aplicare
9 minute • Redactia • 12 mai 2017
RGPD extinde domeniul de aplicare a cerințelor UE privind protecția datelor în două aspecte principale:
- În plus față de “operatorii” datelor (adică persoanele care determină de ce și modul în care sunt procesate datele cu caracter personal), anumite cerințe se vor aplica pentru prima dată direct persoanelor împuternicite de operator (adică persoanelor care procesează date cu caracter personal în numele unui controlor de date); și
- Prin extinderea domeniului de aplicare teritorial al legislației UE privind protecția datelor, pentru a cuprinde nu numai prelucrarea datelor cu caracter personal de către un operator sau un prelucrător stabilit în UE, ci și orice prelucrare a datelor cu caracter personal ale persoanelor vizate, chiar dacă operatorul o persoană împuternicită de acesta nu își are sediul în Uniune, în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată.
Efectul practic constă în faptul că multe organizații care până în prezent s-au aflat în afara domeniului de aplicare a legislației UE privind protecția datelor vor face obiectul direct al cerințelor sale, de exemplu operatorii care targhetează servicii către rezidenții UE (de exemplu, prin intermediul unui site web) sau monitorizează comportamentul acestora (de exemplu, prin cookies).
Ce prevede legea astăzi?
Directiva
În prezent, Directiva 95/46/CE privind protecția datelor (“directiva”) stabilește, în general, obligații legale directe pentru operatori, dar nu și pentru persoanele împuternicite. În general, împuterniciții sunt supuși numai obligațiilor pe care operatorul le impune prin contract. De exemplu, într-un scenariu de furnizare a serviciilor, să spunem un serviciu de găzduire în Cloud, clientul va fi în mod obișnuit un operator, iar furnizorul de servicii va fi o persoană împuternicită de către operator.
În plus, în prezent, fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul directivei pentru prelucrarea datelor cu caracter personal atunci când:
(a) | prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru; dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil; |
(b) | operatorul nu este stabilit pe teritoriul statului membru, ci într-un loc în care se aplică dreptul intern al acestuia, în temeiul dreptului internațional public; |
(c) | operatorul nu este stabilit pe teritoriul Comunității, dar în scopul prelucrării datelor cu caracter personal recurge la mijloace automate sau neautomate, situate pe teritoriul statului membru respectiv, cu excepția cazului în care aceste mijloace sunt folosite numai în vederea tranzitului pe teritoriul Comunității. |
În situațiile menționate la alineatul (1) litera (c), operatorul trebuie să desemneze un reprezentant stabilit pe teritoriul statului membru în cauză, fără să aducă atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși.
Dreptul CJUE
Două hotărâri recente ale Curții de Justiție a Uniunii Europene (CJUE) au introdus interpretări extinse ale sintagmei “în cadrul activităților unui sediu”.
În Cauza Google Spain si Google C—131/12, CJUE a susținut că “în cadrul activităților” nu înseamnă “efectuat de”. Activitățile de prelucrare a datelor de la Google Inc. sunt “legate în mod inextricabil” de activitățile Google Spania privind promovarea, facilitarea și vânzarea spațiului publicitar. În consecință, prelucrarea datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într‑un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru
În Cauza Weltimmo C-230/14, CJUE a statuat că expresia „în cadrul activităților unui sediu” nu poate primi o interpretare restrictivă. „Rezultă de aici, așa cum a arătat în esență avocatul general la punctele 28 și 32-34 din concluzii, o concepție suplă a noțiunii de sediu, care înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată. Astfel, pentru a determina dacă o societate, operator de date, dispune de un sediu, în sensul Directivei 95/46, într‑un alt stat membru decât statul membru sau țara terță unde este înmatriculată, se impune evaluarea atât a gradului de stabilitate a formei de instalare, cât și a efectivității desfășurării de activități în acest alt stat membru, ținând seama de natura specifică a activităților economice și a prestărilor de servicii în cauză. Această afirmație este valabilă îndeosebi pentru întreprinderile care oferă servicii exclusiv pe internet.”
În consecință, la 16 decembrie 2015, Grupul de lucru art. 29 (“WP29”) și-a actualizat avizul privind “legislația aplicabilă” în urma cazului Google Spania și a adoptat testul “legătura inextricabilă”. Potrivit WP29:
- Legislația UE se va aplica activităților de prelucrare a datelor efectuate de un operator străin stabilit în afara UE, ale cărui activități sunt “inextricabil legate” de prelucrarea datelor cu caracter personal.
- Pentru companiile care au un sediu in UE (care acționează în calitate de operator), dar au alte “unități relevante” în alte state membre și aceste activități sunt “inextricabil legate” de activitățile de prelucrare a datelor (de exemplu, promovarea și vânzarea spațiului publicitar) se vor aplica, de asemenea, legile naționale ale statelor membre în care sunt înființate astfel de unități.
Ce va impune Regulamentul general privind protecția datelor?
RGPD va impune obligații persoanelor împuternicite de operator în plus față de operatorii de date și va extinde domeniul de aplicare teritorial al legislației UE privind protecția datelor.
În mod specific, RGPD se va aplica prelucrării datelor cu caracter personal:
- în contextul activităților unui operator sau a unei persoane împuternicite de operator din UE, indiferent dacă prelucrarea are loc sau nu în UE; și
- a persoanelor vizate care locuiesc în UE de către un operator sau un imputernicit de operatorcare nu este stabilit în UE, în cazul în care activitățile de prelucrare sunt legate de oferirea de bunuri sau de servicii pentru aceștia sau de monitorizarea comportamentului lor în UE.
Nu este relevant dacă prelucrarea efectivă a datelor are loc sau nu în cadrul UE.
În ceea ce privește cerințele de fond, în comparație cu Directiva, RGPD introduce:
- noi obligații și așteptări mai mari de respectare a regulilor pentru controlori, de exemplu în ceea ce privește transparența, consimțământul, responsabilitatea, confidențialitatea, evaluarea impactului protecției datelor, notificarea încălcării securității datelor, noile drepturi ale persoanelor vizate, angajarea persoanelor împuternicite și acordurile de prelucrare a datelor;
- pentru prima dată se impun obligații legale direct persoanelor împuternicite de operator, de exemplu în ceea ce privește responsabilitatea, recrutarea altor persoane împuternicite, securitatea datelor și notificarea încălcării securității datelor; și
- Sancțiuni severe pentru nerespectarea legislației.
Care sunt implicațiile practice?
Efectul practic constă în faptul că multe organizații care până în prezent nu se încadrează în domeniul de aplicare a legislației UE privind protecția datelor vor face obiectul direct al cerințelor sale, de exemplu, deoarece sunt operatori din UE sau sunt operatori din afara UE care targhetează servicii rezidenților UE (de exemplu, printr-un site web) sau monitorizează comportamentul acestora (de exemplu prin cookie-uri).
Poate că cea mai mare schimbare este aceea că controlorii și prelucrătorii care nu sunt stabiliți în UE, dar colectează și procesează date despre rezidenții UE prin intermediul site-urilor web, cookie-uri și alte activități la distanță, sunt probabil incluse în domeniul de aplicare al RGPD.
Furnizorii de comerț electronic, rețelele de publicitate comportamentală online, companiile de analiză care prelucrează date cu caracter personal vor fi vizate de domeniul de aplicare al GDPR.
Deci, ce ar trebui să facă întreprinderile acum?
- întreprinderile ar trebui să verifice operațiunile de colectare și utilizare a datelor pentru a înțelege fundamentul pe baza căruia colectează și utilizează datele.
- dacă ești un operator stabilit în UE, pregăteste-ți planul de adaptare la cerințele RGPD.
- dacă ești un operator care nu este stabilit în UE, evaluează dacă activitățile tale online înseamnă oferirea de bunuri sau servicii ori monitorizarea comportamentului locuitorilor din UE și dacă utilizezi operatori de date din UE. În acest caz, conștientizează legislația UE privind protecția datelor și creează planul pentru conformarea cu RGPD.
- dacă ești un procesator de date cu sediul în UE sau un procesor de date din afara UE și care prelucrează date cu caracter personal în numele operatorilor de date din UE, care targhetează servicii destinate persoanelor fizice în UE sau monitorizează comportamentul persoanelor din UE, evaluaează dacă RGPD se aplică activităților tale și creează planul pentru conformarea cu RGPD.
- dacă ești o multinațională cu afiliați din UE și din afara UE care vor fi vizati de RGPD, va trebui să iei în considerare și relațiile intragrup, modul în care îți poziționezi companiile din grup și modul în care îți structurezi transferurile de date în interiorul grupului.
SURSE
[1] Regulamentul general privind protectia datelor
[2] Directiva 95/46/CE
[4] LEXOLOGY
[5] PRIVACYLAWBLOG
[6] LEXOLOGY
[7] Cauza Google Spain si Google C—131/12
[8] Cauza Weltimmo C-230/14