Forta juridica a actelor emise de comitetul European pentru protectia datelor
Comitetul european pentru protectia datelor (CEPD), fostul Grup de lucru articolul 29 pentru protectia datelor (infiintat Directiva 95/46/CE a Parlamentului European si a Consiliului privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, eng. Article 29 Working Party ), reprezinta un organ al UE cu personalitate juridica, independent, insarcinat cu aplicarea coerenta a GDPR. Comitetul reuneste sefii autoritatii de supraveghere din fiecare stat membru si din Autoritatea Europeana pentru Protectia datelor sau reprezentantii acestora. Comisia Europeana are dreptulsa participe la activitatile si reuniunile CEPD fara a avea drept de vot.
Chiar daca Directiva 95/46/CE a fost abrogata prin intrarea in vigoare a GDPR, activitatea Grupului de lucru materializata prin emiterea de avize, recomandari si ghiduri, influenteaza implementarea in practica a framework-ului legal ce tine de protectia datelor, si anume prin metamorfoza institutionala reglementata la art. 94 alin. (2) teza a doua GDPR, care prevede ca trimiterile la Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaza ca trimiteri la Comitetul european pentru protectia datelor instituit prin prezentul regulament.
Acte. Categoriile principale de acte emise de CEPD, potrivit GDPR, sunt:
avize;
decizii;
orientari;
recomandari;
bune practici
Forta juridica. Actele emise de CEPD (Grupul de lucru articolul 29) au forta juridica diferita, dupa cum legiuitorul european a inteles sa reglementeze fiecare situatie.
Avize. Pentru anumite masuri expres prevazute la art. 64 GDPR (de exemplu, adoptarea unei liste de operatiuni pentru care este necesara DPIA,coduri de conduita, criterii pentru acreditare, clauze standard, reguli corporatiste obligatorii), Comitetul emite un aviz cu privire la chestiunea care i-a fost prezentata de autoritatea de supraveghere nationala, autoritatea fiind tinuta pe deplin de avizul Comitetului.
Decizii. Comitetul emite decizii obligatorii atunci cand, printre altele, o autoritate de supraveghere vizata a formulat o obiectie relevanta si motivata la un proiect de decizie a autoritatii principale sau autoritatea principala a respins o astfel de obiectie ca nefiind relevanta sau motivata, in specialcu privire la incalcarea sau nu a GDPR. De asemenea, Comitetul emite decizii obligatorii in cazul in care exista opinii divergente cu privire la care dintre autoritatile de supraveghere vizate detine competenta pentru sediul principal sau in cazul in care o autoritate de supraveghere competenta nu solicita avizul Comitetului in cazurile obligatoriisau nu tine seama de avizul Comitetului
Orientari. Recomandari. Bune practici. Aceste categorii de acte au caracter de recomandare, indrumare, nefiind obligatorii pentru subiectii vizati de normele GDPR.
Pentru aceste tipuri de acte, consideram ca nu trebuie sa interpretam rezultatul activitatii Grupului de lucru pe 29, respectiv a Comitetului, ca izvor formal de drept.
Teoria generala a dreptului cunoaste notiunea de interpretare a izvoarelor dreptului, care nu reprezinta altceva decat un mecanism prin care se face aplicarea dreptului posibila, spre exemplu in cazul in care un act normativ vine intr-o forma comprimata si nu poate prevedea toate aspectele ce doreau sa fie atinse de legiuitor. Interpretarea care are impact in mod direct cu privire la aplicarea normelor juridice este cea oficiala, clasificata in autentica, legala si jurisdictionala.
Interpretarea autentica este acea interpretare care provine de la insusi organul emitent al actului normativ, in situatia noastra vorbim despre Parlamentul European si Comisia Europeana. Comitetul este un organ care are personalitate juridica proprie si nu are atributii de legiferare la nivelul Uniunii
Interpretarea legala provine de la un organ competent sa emita acte normative de acelasi nivel cu actul normativ supus interpretarii.
Interpretarea jurisdictionala este oferita la nivelul Uniunii Europene de catre CJUE. La nivelul national, de catre instantele judiciare ale statului, inclusiv de Curtile Supreme, interpretare care poate fi oferita cu privire la o speta, deci de aplicabilitate strict personala, sau in scopul interpretarii si aplicarii unitare a legii (interpretari de principiu).
Orientarile, recomandarile si bunele practici nu pot fi calificate conform uneia din categoriile mentionate anterior, insa consideram ca ar trebui sa fie avute in vedere de operatori, persoanele imputernicite de operatori, precum si de consultantii acestora din urmatoarele motive:
- lipsa unor interpretari cu privire la aplicarea coerenta a GDPR: la nivel national, in Monitorul Oficial nr. 432 din data de 22 mai 2018, Partea I, a fost publicata Decizia nr. 99/2018 privind incetarea aplicabilitatii unor acte normative cu caracter administrativ emise in aplicarea Legii nr. 677/2001 pentru protectia persoanelorcu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date;
incidenta unor circumstante privind impunerea amenzilor administrative: Autoritatea nationala de supraveghere, in cazul individualizarii amenzii administrative, va trebui sa tina cont de gradul de responsabilitate al operatoruluisau al persoanei imputernicite de operator tinandu-se seama de masurile tehnice si organizatorice implementate de acestia. Consideram ca un operator care tine seama de orientarile, recomandarile si bunele practici in domeniul protectiei datelor da dovada de un grad ridicat de responsabilitate.
In concluzie, in anumite situatii, actele emise de CEPD (Grupul de lucru articolul 29) sunt obligatorii (avize, decizii).
Cu privire la orientari, recomandari si bune practici, chiar daca acestea nu sunt obligatorii, recomandam insusirea lor de catre operatori sau persoanele imputernicite de operatori, avand in vedere ca acestea sunt surse de interpretare primordiale pentru entitatile care au competenta de a oferi o interpretare oficiala a GDPR si pentru a da dovada de un grad ridicat de responsabilitate.
Chiar daca Directiva 95/46/CE a fost abrogata prin intrarea in vigoare a GDPR, activitatea Grupului de lucru materializata prin emiterea de avize, recomandari si ghiduri, influenteaza implementarea in practica a framework-ului legal ce tine de protectia datelor, si anume prin metamorfoza institutionala reglementata la art. 94 alin. (2) teza a doua GDPR, care prevede ca trimiterile la Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaza ca trimiteri la Comitetul european pentru protectia datelor instituit prin prezentul regulament.
Acte. Categoriile principale de acte emise de CEPD, potrivit GDPR, sunt:
avize;
decizii;
orientari;
recomandari;
bune practici
Forta juridica. Actele emise de CEPD (Grupul de lucru articolul 29) au forta juridica diferita, dupa cum legiuitorul european a inteles sa reglementeze fiecare situatie.
Avize. Pentru anumite masuri expres prevazute la art. 64 GDPR (de exemplu, adoptarea unei liste de operatiuni pentru care este necesara DPIA,coduri de conduita, criterii pentru acreditare, clauze standard, reguli corporatiste obligatorii), Comitetul emite un aviz cu privire la chestiunea care i-a fost prezentata de autoritatea de supraveghere nationala, autoritatea fiind tinuta pe deplin de avizul Comitetului.
Decizii. Comitetul emite decizii obligatorii atunci cand, printre altele, o autoritate de supraveghere vizata a formulat o obiectie relevanta si motivata la un proiect de decizie a autoritatii principale sau autoritatea principala a respins o astfel de obiectie ca nefiind relevanta sau motivata, in specialcu privire la incalcarea sau nu a GDPR. De asemenea, Comitetul emite decizii obligatorii in cazul in care exista opinii divergente cu privire la care dintre autoritatile de supraveghere vizate detine competenta pentru sediul principal sau in cazul in care o autoritate de supraveghere competenta nu solicita avizul Comitetului in cazurile obligatoriisau nu tine seama de avizul Comitetului
Orientari. Recomandari. Bune practici. Aceste categorii de acte au caracter de recomandare, indrumare, nefiind obligatorii pentru subiectii vizati de normele GDPR.
Pentru aceste tipuri de acte, consideram ca nu trebuie sa interpretam rezultatul activitatii Grupului de lucru pe 29, respectiv a Comitetului, ca izvor formal de drept.
Teoria generala a dreptului cunoaste notiunea de interpretare a izvoarelor dreptului, care nu reprezinta altceva decat un mecanism prin care se face aplicarea dreptului posibila, spre exemplu in cazul in care un act normativ vine intr-o forma comprimata si nu poate prevedea toate aspectele ce doreau sa fie atinse de legiuitor. Interpretarea care are impact in mod direct cu privire la aplicarea normelor juridice este cea oficiala, clasificata in autentica, legala si jurisdictionala.
Interpretarea autentica este acea interpretare care provine de la insusi organul emitent al actului normativ, in situatia noastra vorbim despre Parlamentul European si Comisia Europeana. Comitetul este un organ care are personalitate juridica proprie si nu are atributii de legiferare la nivelul Uniunii
Interpretarea legala provine de la un organ competent sa emita acte normative de acelasi nivel cu actul normativ supus interpretarii.
Interpretarea jurisdictionala este oferita la nivelul Uniunii Europene de catre CJUE. La nivelul national, de catre instantele judiciare ale statului, inclusiv de Curtile Supreme, interpretare care poate fi oferita cu privire la o speta, deci de aplicabilitate strict personala, sau in scopul interpretarii si aplicarii unitare a legii (interpretari de principiu).
Orientarile, recomandarile si bunele practici nu pot fi calificate conform uneia din categoriile mentionate anterior, insa consideram ca ar trebui sa fie avute in vedere de operatori, persoanele imputernicite de operatori, precum si de consultantii acestora din urmatoarele motive:
- lipsa unor interpretari cu privire la aplicarea coerenta a GDPR: la nivel national, in Monitorul Oficial nr. 432 din data de 22 mai 2018, Partea I, a fost publicata Decizia nr. 99/2018 privind incetarea aplicabilitatii unor acte normative cu caracter administrativ emise in aplicarea Legii nr. 677/2001 pentru protectia persoanelorcu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date;
incidenta unor circumstante privind impunerea amenzilor administrative: Autoritatea nationala de supraveghere, in cazul individualizarii amenzii administrative, va trebui sa tina cont de gradul de responsabilitate al operatoruluisau al persoanei imputernicite de operator tinandu-se seama de masurile tehnice si organizatorice implementate de acestia. Consideram ca un operator care tine seama de orientarile, recomandarile si bunele practici in domeniul protectiei datelor da dovada de un grad ridicat de responsabilitate.
In concluzie, in anumite situatii, actele emise de CEPD (Grupul de lucru articolul 29) sunt obligatorii (avize, decizii).
Cu privire la orientari, recomandari si bune practici, chiar daca acestea nu sunt obligatorii, recomandam insusirea lor de catre operatori sau persoanele imputernicite de operatori, avand in vedere ca acestea sunt surse de interpretare primordiale pentru entitatile care au competenta de a oferi o interpretare oficiala a GDPR si pentru a da dovada de un grad ridicat de responsabilitate.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
15Mar2019
Ce este Internetul lucrurilor (IoT)?
de Colectivul de Specialisti Rentrop&Straton
15 Mar 2019
Un produs marca