RESTRICȚIILE DE COMUNICARE

RESTRICȚIILE DE COMUNICARE ÎN VIZIUNEA CEPD –

RESTRICȚIILE DE COMUNICARE

RESTRICȚIILE DE COMUNICARE ÎN VIZIUNEA CEPD

De Mugurel Olariu, RPD protectie date

CEPD a adoptat în ședința din 13 oct. 2021, Ghidul 10/2020 privind restricțiile în temeiul articolului 23 RGPD, versiunea 2.0, după consultarea publică*1. Menționăm că versiunea 1.0 a Ghidului 10/2020 a fost adoptată la 15 dec. 2020, pentru consultare publică. ANS a semnalat adoptarea Ghidului în site-ul propriu, la 21.10.2021.
Ghidul 10/2020 este structurat pe nouă capitole, astfel: Introducere, Semnificația restricțiilor, Cerințele prevăzute de art. 23 alin. (1) și respectiv, alin. (2) RGPD, Consultarea cu AS, Nerespectarea cerințelor, Elemente specifice pentru operatori și persoane împuternicite, Concluzii și o Anexă cu Lista de verificare.
Protecția persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 16 alineatul (2) din Tratatul privind funcționarea Uniunii Europene mandatează Comisia Europeană, Parlamentul și Consiliul să stabilească normele privind protecția datelor cu caracter personal și normele referitoare la libera circulație a datelor cu caracter personal. RGPD protejează drepturile și libertățile persoanele fizice și în special dreptul lor la protecția datelor.
În acest context, articolul 23 RGPD ar trebui citit și interpretat. Această prevedere este intitulată „restricții”. Acesta prevede că, în temeiul dreptului Uniunii sau al Statelor Membre, aplicarea anumitor prevederi ale regulamentului, referitoare la drepturile persoanelor vizate și obligațiile operatorilor, pot fi restricționate în situațiile enumerate în acesta. Restricțiile ar trebui privite ca excepții de la regula generală care permite exercitarea drepturilor și impune obligațiile consacrate în RGPD*2. Ca atare, restricțiile ar trebui să fie interpretate în mod restrâns, să fie aplicate doar în cazurile și limitele prevăzute în mod specific, circumstanțiate și numai atunci când sunt îndeplinite anumite condiții.
Termenul restricții nu este definit în RGPD. Articolul 23 și considerentul 73 din RGPD enumeră doar condițiile sub care pot fi aplicate restricții.
Astfel, Ghidul definește termenul restricții*3 ca orice limitare a domeniului de aplicare a obligațiilor și drepturile prevăzute la articolele 12 până la 22 și 34 RGPD, precum și dispozițiile corespunzătoare ale articolului 5 în conformitate cu articolul 23 RGPD. O restricție la un drept individual trebuie să protejeze obiective importante, de exemplu, protecția drepturilor și libertăților altora sau obiective importante ale interesului public general al Uniunii sau al unui Stat Membru care sunt enumerate la articolul 23 alineatul (1) RGPD. Prin urmare, restricțiile drepturilor persoanelor vizate pot apărea numai atunci când interesele enumerate sunt în joc*4 iar aceste restricții vizează protejarea unor astfel de interese.

Practic, restricționarea domeniului de aplicare a obligațiilor și drepturilor prevăzute la articolele 12-22 și la articolul 34 RGPD poate lua forme diferite, dar nu poate ajunge niciodată la punctul de suspendare generală a tuturor drepturilor. Măsurile legislative care stabilesc restricții în temeiul articolului 23 RGPD pot prevedea, de asemenea, că exercitarea unui drept este întârziată în timp, că un drept este exercitat parțial sau circumscris anumitor categorii de date sau că un drept poate fi exercitat indirect printr-o autoritate de supraveghere independentă.

Astfel, cazurile de restricționare a drepturilor persoanei vizate, menționate de art. 23 alin. (1) din RGPD sunt aplicabile atunci când o astfel de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică. În continuare se condiționează posibilitatea de adoptare a restricțiilor pentru a asigura una dintre cele zece categorii de interese limitativ prevăzute și care se referă la:
a) securitatea naţională;
b) apărarea;
c) securitatea publică;
d) prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor sau executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora;
e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al securităţii sociale;
f) protejarea independenţei judiciare şi a procedurilor judiciare;
g) prevenirea, investigarea, depistarea şi urmărirea penală a încălcării eticii în cazul profesiilor reglementate;
h) funcţia de monitorizare, inspectare sau reglementare legată, chiar şi ocazional, de exercitarea autorităţii oficiale în cazurile menţionate la literele (a)-(e) şi (g);
i) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora;
j) punerea în aplicare a pretenţiilor de drept civil.

O altă serie de limitări se referă la condițiile minimale specifice ale măsurii legislative de limitare a drepturilor persoanei vizate, mențioante la alin. (2) al art. 23 RGPD, respectiv:
a) scopurile prelucrării sau ale categoriilor de prelucrare;
b) categoriile de date cu caracter personal;
c) domeniul de aplicare al restricţiilor introduse;
d) garanţiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
e) menţionarea operatorului sau a categoriilor de operatori;
f) perioadele de stocare şi garanţiile aplicabile având în vedere natura, domeniul de aplicare şi scopurile prelucrării sau ale categoriilor de prelucrare;
g) riscurile pentru drepturile şi libertăţile persoanelor vizate; şi
h) dreptul persoanelor vizate de a fi informate cu privire la restricţie, cu excepţia cazului în care acest lucru poate aduce atingere scopului restricţiei.

GDPR

Elementele specifice pentru operatori și persoanele împuternicite se referă la principiul responsabilității, la exercitarea drepturilor după ridicarea restricției și la situația de nerespectare a unei măsuri legislative care impune astfel de restricții de către un operator. În esență, acestea vizează:

– Principiul responsabilității:
În lumina principiului răspunderii (articolul 5 alineatul (2) RGPD) și deși nu face parte din evidențe cerut în temeiul articolului 30 RGPD, este o bună practică ca operatorul să documenteze aplicarea restricției asupra cazurilor concrete prin ținerea evidenței aplicării acestora. Această înregistrare ar trebui să includă motive aplicabile pentru restricții, care motiv(e) dintre cele enumerate la articolul 23 alineatul (1) RGPD se aplică (în cazul în care măsura legislativă permite restricții din motive diferite), calendarul acesteia și rezultatul testului de necesitate și proporționalitate. Înregistrările ar trebui să fie disponibile la cerere către autoritatea de supraveghere a protecției datelor.

– Exercitarea drepturilor persoanelor vizate după ridicarea restricției:
Operatorul ar trebui să ridice restricțiile de îndată ce circumstanțele care le justifică nu mai sunt aplicabile. Persoanele vizate trebuie informate cu privire la aplicarea restricției. Dacă persoanele vizate nu au fost informate înainte de aplicarea restricției, acestea trebuie să fie informate cel mai târziu când restricția este ridicată. În timpul aplicării unei restricții, persoanelor vizate li se poate permite să își exercite toate drepturile. Pentru a evalua când restricția poate fi ridicată parțial sau integral, testul de necesitate și proporționalitate poate fi efectuat de mai multe ori în timpul aplicării unei restricții.

– Nerespectarea unei măsuri legislative care impune astfel de restricții de către un operator:
În cazul în care măsurile legislative care impun restricții cu respectarea RGPD, în temeiul articolului 23 RGPD, dar acestea sunt încălcate de către un operator, AS își pot folosi competențele de consiliere, de investigare și de corecție împotriva acestuia, ca în orice alt caz de nerespectare a regulilor RGPD.

*1 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-102020-restrictions-under-article-23-gdpr_en
*2 Aceste situații nu includ scenariile în care Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal date de către autoritățile competente în scopul prevenirii, investigației, detectării sau urmăririi penale a infracțiunilor sau executarea pedepselor penale, precum și asupra liberei circulații a acestor date, și abrogarea Se aplică Decizia-cadru 2008/977/JAI a Consiliului.
*3 Considerentul 8 din Ghidul 10/2020 al CEPD, versiunea 2.0.
*4 Aceste interese sunt enumerate exhaustiv la articolul 23 alineatul (1) RGPD.

Author: blogadmin

Leave a Reply

Your email address will not be published. Required fields are marked *