Aplicarea în România a dispozițiilor art. 57 din RGPD, privind sarcinile autorității de supraveghere

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

1. Aspecte introductive

Tema aleasă poate părea, la o privire succintă, aridă, foarte tehnică și mai puțin ofertantă pentru analiza juridică decât alte texte sau teme pe care Regulamentul general privind protecția datelor, denumit în continuare regulament, regulament general sau, după caz, RGPD^[1], le conține. Cu toate acestea, am privit ca o provocare studiul aplicării în România a art. 57 din RGPD, referitor la sarcinile autorității de supraveghere, pe care am ales să îl analizăm dintr-o perspectivă care să îmbine elementele de drept european cu cele de drept administrativ ori ale dreptului constituțional.

Este bine cunoscut faptul că autoritățile de supraveghere independente au fost înființate și organizate în fiecare dintre statele membre și anterior regulamentului, în conformitate cu dispozițiile art. 28 din Directiva nr. 95/46/CE^[2], ca organisme ce sunt responsabile pentru monitorizarea și îndrumarea aplicării unitare, inclusiv prin intermediul dreptului intern, a normelor de drept european ce reglementează domeniul protecției datelor cu caracter personal.

Pentru analiza noastră sunt importante mai ales dispozițiile art. 57 din RGPD, ce stabilesc sarcinile minimale ale autorităților de supraveghere, însă acestea trebuie corelate cu dispozițiile art. 55‑56, referitoare la competență, respectiv ale art. 58, referitoare la competențele minimale ale autorităților de supraveghere. Evidențiem aceste sarcini invocând și alte texte ale regulamentului dar și unele dintre considerentele corespondente incluse în preambulul RGPD și analizăm modul în care acestea sunt reglementate în alte acte legislative ale Uniunii Europene, sau, după caz, în legile naționale de transpunere.

Urmărim astfel, pe parcursul studiului, modul în care norme de drept european sunt aplicate prin intermediul normelor și procedurilor ce se circumscriu dreptului administrativ, în condițiile în care interdisciplinaritatea și ideea de europenizare a dreptului public sunt tot mai prezente mai ales în cazul activității unor instituții de genul autorităților de supraveghere, care fac parte din sistemul de drept administrativ național și, în același timp, sunt parte componentă a sistemului administrativ european[3].

2. Cadrul normativ intern privind aplicarea actelor legislative ale UE în materia autorităților de supraveghere

Pentru transpunerea Directivei nr. 95/46/CE în România, prin Legea nr. 102/2005, a fost înființată Autoritatea Națională ANSPDCP „ca autoritate publică cu personalitate juridică, autonomă și inde­pendentă față de orice altă autoritate a administrației publice, ca și față de orice persoană fizică sau juridică din domeniul privat, care exercită atribuțiile ce îi sunt date în competență prin dispozițiile legale din domeniul prelucrării datelor cu caracter personal și al liberei circulații a acestor date”^[3].

Regulamentul general privind protecția datelor, prin care Directiva nr. 95/46/CE a fost abrogată, dedică un capitol distinct autorităților de supraveghere independente. Importanța asigurării independenței unor astfel de autorități, esențiale în asigurarea echilibrului între protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și facilitarea liberei circulații a acestor date în cadrul Uniunii Europene, a făcut, de-a lungul anilor, obiectul dezbaterilor doctrinare dar și al jurisprudenței Curții de Justiție a Uniunii Europene^[4], astfel încât nu insistăm asupra acestui subiect mai mult decât este necesar. Subliniem în context faptul că statele membre au obligația să asigure, nu doar prin reglementările naționale, ci mai ales prin aplicarea acestora în spiritul dreptului european, un statut independent pentru autoritățile de supraveghere, care să le permită acestora să participe la mecanismele de cooperare și coerență prevăzute în capitolul VII al regulamentului, precum și să își exercite în mod independent competența, sarcinile și abilitările legale. Astfel, potrivit art. 54 alin. (1) din regulament, fiecare dintre statele membre are obligația să reglementeze, „pe cale legislativă, (…) instituirea fiecărei autorități de supraveghere”, precum și norme ce vizează condițiile de acces, mandatul, obligațiile, incompatibilitățile, respectiv interdicțiile aplicabile membrilor acestora. Regulamentul prevede, de asemenea, în textul art. 51, posibilitatea statelor membre de a institui una sau mai multe autorități de supraveghere, precum și obligația ca, în cazul în care instituie mai multe astfel de autorități, să desemneze și autoritatea de supraveghere principală care „reprezintă autoritățile respective în cadrul comitetului și instituie un mecanism prin care să asigure respectarea de către celelalte autorități a normelor privind mecanismul pentru asigurarea coerenței prevăzut la articolul 63”.

De asemenea, în conformitate cu normele dreptului constituțional^[5] și dreptului administrativ^[6] din România, în special cele care vizează administrația publică centrală de specialitate, respectiv organizarea acesteia, ori înființarea autorităților administrative autonome, astfel de autorități se pot înființa prin lege organică. În doctrină^[7] au fost analizate înființarea și statutul unor astfel de autorități cu caracter autonom, inclusiv prin raportare la autoritatea națională de supraveghere din România, fiind subliniată și importanța independenței activității lor, chiar dacă modalitatea de desemnare a organelor de conducere a acestora ori prezentarea unor rapoarte de activitate în fața altor autorități naționale sau europene presupun un anume grad de dependență.

Deși astfel de autorități sunt instituite în conformitate cu dreptul intern, ele sunt, în același timp, parte componentă a sistemului administrativ european, regulamentul stabilind, așa cum detaliem în cadrul secțiunii următoare, nu doar competențele ori sarcinile minimale, ci și modul de colaborare, respectiv participarea autorității naționale la un mecanism european de cooperare și asigurarea coerenței prin intermediul unui nou organ al Uniunii Europene, Comitetul european privind protecția datelor, din a cărui componență fac parte și reprezentanții autorităților naționale de supraveghere^[8]. Observăm astfel că înființarea, organizarea și funcționarea autorității de supraveghere este reglementată nu doar în dreptul național ci și în dreptul european. Pe plan intern, autoritatea de supraveghere națională este înființată prin lege, pe baza temeiului constituțional, dar și a dreptului Uniunii Europene, întrucât regulamentul este direct aplicabil în statele membre, iar cele două directive pe care le menționăm în continuare și care, împreună cu regulamentul general, fac parte din pachetul legislativ european de reformă a domeniului protecției datelor, au fost transpuse în dreptul intern^[9].

Pentru punerea în aplicare a regulamentului general, au fost adoptate Legea nr. 129/2018^[10], precum și Legea nr. 190/2018^[11], prin care a fost modificat și completat în mod expres sau, după caz, în mod implicit, actul normativ pe baza căruia funcționa autoritatea de supraveghere din România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare autoritatea națională sau ANSPDCP. Este importat să menționăm și faptul că România a instituit o singură autoritate de supraveghere competentă atât în ceea ce privește aplicarea dispozițiilor regulamentului, cât și pentru aplicarea celor două directive adoptate în anul 2016 și publicate împreună cu RGPD, în același Jurnal Oficial al Uniunii Europene. Astfel, luând în considerare art. 41-49 din Directiva (UE) nr. 2016/680^[12], transpusă prin Legea nr. 363/2018^[13] și, respectiv, art. 15 din Directiva (UE) nr. 2016/681^[14], transpusă prin Legea nr. 284/2018, tot ANSPDCP a fost desemnată ca autoritate de supraveghere competentă, România adaptând legislația națională și instituind noi norme^[15] prin care competențele, sarcinile, dar și garanțiile introduse prin cele trei acte legislative ale Uniunii Europene să fie aplicabile și autorității naționale, ceea ce facilitează, în opinia noastră, înțelegerea mecanismelor și procedurilor, dar asigură și o aplicare unitară și coerentă a normelor privind protecția datelor în diversele domenii de activitate vizate de regulament și de cele două directive.

Nu este lipsit de importanță nici faptul că, începând cu anul 2005, prin legea de înființare a ANSPDCP, aceeași autoritate națională a înlocuit Avocatul Poporului din calitatea acestuia de autoritate competentă în sensul Convenției Consiliului Europei, pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal^[16].

* Este extras din Revista Pandectele Române nr. 6/2020.

^[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE a fost publicat în JO L119, 4 mai 2016, p. 1-88, iar textul a fost rectificat ulterior, înainte de punerea sa în aplicare, rectificarea fiind publicată în JO L127, 23 mai 2018.

^[2] Directiva nr. 95/46/CE a Parlamentului European și a Consiliului, din 25 octombrie 1995, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L281 din 23 noiembrie 1995, p. 31, Ediție specială, 13/vol. 17, p. 10.

^[3] Pentru detalii a se vedea I. Alexe, Reforma instituțională, în materia protecției datelor, la nivel european, în volumul A. Săvescu (coordonator), Regulamentul general privind protecția datelor. Comentarii și explicații, Ed. Hamangiu, București, 2018, p. 1-11.

^[4] Art. 1 alin. (1) din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, M. Of. nr. 391 din 9 mai 2005.

^[5] Independența autorităților de supraveghere a făcut obiectul unor acțiuni în neîndeplinire a obligațiilor soluționate de Curtea de Justiție: D.-M. Șandru, Regimul juridic al protecției datelor cu caracter personal este în proces de regândire, R.R.D.A. nr. 3/2015, p. 40-45 (C-518/07, hotărârea din 9 martie 2010, Comisia/Germania, ECR 2010 p. I-1885, EU:C:2010:125; C-614/10, hotărârea din 16 octombrie 2012, Comisia/Austria, EU:C:2012:631; C-288/12, hotărârea din 8 aprilie 2014, Comisia/Ungaria, EU:C:2014:237). Pentru importanța jurisprudenței Curții de Justiție în interpretarea articolului 8 din Carta drepturilor fundamentale a Uniunii Europene, care în alin. (3) consacră cu valoare de tratat independența autorităților naționale de supraveghere a prelucrării datelor („Respectarea acestor norme [privind dreptul la protecția datelor] se supune controlului unei autorități independente.”), a se vedea: A.-M. Șandru, Privire critică asupra jurisprudenței Curții de Justiție a UE referitoare la interpretarea art. 8 privind protecția datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în Pandectele Române nr. 1/2018, p. 26-33.

^[6] Potrivit dispozițiilor art. 117 alin. (3) din Constituția României, republicată, „Autorități administrative autonome se pot înființa prin lege organică”.

^[7] A se vedea dispozițiile art. 69 și urm. din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare, M. Of. nr. 555 din 5 iulie 2019.

^[8] Pentru analiza pe larg a acestui subiect a se vedea V. Vedinaș, Comentariu la articolul 117 din Constituție, în volumul I. Muraru, E.-S. Tănăsescu (coord.), Constituția României. Comentariu pe articole, ed. a 2-a, București, 2019, Ed. C.H. Beck, în special p. 999-1005.

^[9] Pentru detalii a se vedea I. Alexe, Reforma instituțională, în materia protecției datelor, la nivel european, op. cit., p. 4-8.

^[10] Pentru detalii a se vedea: I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter personal la nivelul Uniunii Europene, în volumul I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru (coord.), Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 14-40; I. Alexe, D.‑M. Șandru, Reglementări naționale ce vizează aplicarea, în România, a Regulamentului General privind protecția datelor, în volumul I. Alexe, D.-M. Șandru (ed.), Legislația privind protecția datelor în România, Ed. Rosetti International, București, 2018, p. 7-25.

^[11] Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, M. Of. nr. 503 din 19 iunie 2018. Pe parcursul analizei ne vom referi la Legea nr. 102/2005, republicată, M. Of. nr. 947 din 9 noiembrie 2018.

^[12] Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei nr. 95/46/CE (Regulamentul general privind protecția datelor), M. Of. nr. 651 din 26 iulie 2018.

^[13] Directiva (UE) nr. 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru nr. 2008/977/JAI a Consiliului, JO L119 din 4 mai 2016, p. 89.

^[14] Legea nr. 363/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date, M. Of. nr. 13 din 7 ianuarie 2019.

^[15] Directiva (UE) nr. 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, JO L119 din 4 mai 2016, p. 89.

^[16] A se vedea art. 4 lit. o) din Legea nr. 363/2018, precum și art. 8 alin. (7) și urm. din Legea nr. 284/2018.