CEPD adoptă avizul privind persoanele împuternicite de operatori, orientările privind interesul legitim, declarația privind proiectul de regulament pentru asigurarea respectării RGPD și programul de lucru pentru perioada 2024-2025

9 October 2024

Bruxelles, 9 octombrie – În cadrul celei mai recente sesiuni plenare, Comitetul european pentru protecția datelor (CEPD) a adoptat un aviz privind anumite obligații care decurg din recurgerea la persoana (persoanele) împuternicită (împuternicite) de operator și la subcontractant (subcontractanți), Orientări privind interesul legitim, o declarație privind stabilirea unor norme procedurale suplimentare pentru asigurarea respectării RGPD și programul de lucru al CEPD pentru perioada 2024-2025.

În primul rând, CEPD a adoptat un aviz cu privire la anumite obligații care decurg din recurgerea la persoana (persoanele) împuternicită (împuternicite) de operator și la subcontractanți în urma unei cereri adresate comitetului în temeiul articolului 64 alineatul (2) din RGPD de către Autoritatea daneză pentru protecția datelor (APD). Articolul 64 alineatul (2) din RGPD prevede că orice APD poate solicita comitetului să emită un aviz cu privire la chestiuni de aplicare generală sau care produc efecte în mai multe state membre.

Avizul se referă la situațiile în care operatorii se bazează pe una sau mai multe persoane împuternicite de operatori și subcontractanți. În special, acesta abordează opt întrebări privind interpretarea anumitor obligații ale operatorilor care se bazează pe persoane împuternicite de operatori și pe subcontractanți, precum și formularea contractelor dintre operator și persoana împuternicită de operator, care decurg în special din articolul 28 din RGPD. 

Avizul explică faptul că operatorii ar trebui să dispună în orice moment de informații ușor accesibile cu privire la identitatea (și anume numele, adresa, persoana de contact) tuturor persoanelor împuternicite de operatori, a subcontractanților etc., astfel încât să își poată îndeplini cât mai bine obligațiile care le revin în temeiul articolului 28 din RGPD. În plus, obligația operatorului de a verifica dacă (sub)persoanele împuternicite de operator prezintă „garanții suficiente” ar trebui să se aplice indiferent de riscul la adresa drepturilor și libertăților persoanelor vizate, deși amploarea unei astfel de verificări poate varia, în special în funcție de riscurile asociate prelucrării. 

Avizul prevede, de asemenea, că, deși persoana împuternicită de operator inițială ar trebui să se asigure că propune subcontractanți cu garanții suficiente, decizia finală și responsabilitatea privind angajarea unui anumit subcontractant revin operatorului. 

CEPD consideră că, în temeiul RGPD, operatorul nu are obligația de a solicita în mod sistematic contractele de subcontractare a prelucrării pentru a verifica dacă obligațiile în materie de protecție a datelor au fost transmise de-a lungul lanțului de prelucrare. Operatorul ar trebui să evalueze dacă este necesar să solicite o copie a unor astfel de contracte sau să le revizuiască pentru a putea demonstra conformitatea cu RGPD.

În plus, în cazul în care au loc transferuri de date cu caracter personal în afara Spațiului Economic European între doi (sub)prelucrători, persoana împuternicită de operator, în calitate de exportator de date, ar trebui să pregătească documentația relevantă, cum ar fi cea referitoare la motivul transferului utilizat, evaluarea impactului transferului și eventualele măsuri suplimentare. Cu toate acestea, întrucât operatorul face în continuare obiectul obligațiilor care decurg din articolul 28 alineatul (1) din RGPD privind „garanțiile suficiente”, pe lângă cele prevăzute la articolul 44, pentru a se asigura că nivelul de protecție nu este subminat de transferurile de date cu caracter personal, acesta ar trebui să evalueze această documentație și să o poată prezenta autorității competente pentru protecția datelor. 

În continuare, comitetul a adoptat orientări privind prelucrarea datelor cu caracter personal pe baza unui interes legitim. 

Operatorii de date au nevoie de un temei juridic pentru a prelucra datele cu caracter personal în mod legal. Interesul legitim este unul dintre cele șase temeiuri juridice posibile.

Prezentele orientări analizează criteriile prevăzute la articolul 6 alineatul (1) litera (f) din RGPD pe care operatorii trebuie să le îndeplinească pentru a prelucra în mod legal datele cu caracter personal pe baza unui interes legitim. De asemenea, aceasta ia în considerare hotărârea recentă a CEJ în această privință (C-621/22, 4 octombrie 2024). 

Pentru a se baza pe un interes legitim, operatorul trebuie să îndeplinească trei condiții cumulative: 

  1. urmărirea unui interes legitim de către operator sau de către un terț;

  2. Necesitatea prelucrării datelor cu caracter personal în scopul urmăririi interesului legitim;

  3. Interesele sau libertățile și drepturile fundamentale ale persoanelor fizice nu prevalează asupra interesului (intereselor) legitim(e) al (ale) operatorului sau al (ale) unei părți terțe (exercițiul de echilibrare).

În primul rând, numai interesele legitime, exprimate în mod clar și precis, reale și prezente pot fi considerate legitime. De exemplu, astfel de interese legitime ar putea exista într-o situație în care persoana fizică este client sau în serviciul operatorului.

În al doilea rând, dacă există alternative rezonabile, la fel de eficiente, dar mai puțin intruzive pentru realizarea intereselor urmărite, prelucrarea nu poate fi considerată necesară. Necesitatea unei prelucrări ar trebui, de asemenea, să fie examinată în conformitate cu principiul reducerii la minimum a datelor. 

În al treilea rând, operatorul trebuie să se asigure că interesul său legitim nu prevalează asupra intereselor persoanei fizice și asupra drepturilor fundamentale ale libertăților. În cadrul acestui exercițiu de echilibrare, operatorul trebuie să țină seama de interesele persoanelor fizice, de impactul prelucrării și de așteptările rezonabile ale acestora, precum și de existența unor garanții suplimentare care ar putea limita impactul asupra persoanei fizice. 

În plus, prezentele orientări explică modul în care această evaluare ar trebui efectuată în practică, inclusiv într-o serie de contexte specifice, cum ar fi prevenirea fraudei, marketingul direct și securitatea informațiilor. Documentul explică, de asemenea, relația dintre acest temei juridic și o serie de drepturi ale persoanelor vizate în temeiul RGPD.

Orientările vor face obiectul unei consultări publice până la 20 noiembrie 2024.

În continuare, comitetul a adoptat o declarație în urma modificărilor aduse de Parlamentul European și de Consiliu propunerii Comisiei Europene de regulament de stabilire a unor norme procedurale suplimentare referitoare la asigurarea respectării RGPD.

Declarația salută, în general, modificările introduse de Parlamentul European și de Consiliu și recomandă abordarea în continuare a unor elemente specifice pentru ca noul regulament să atingă obiectivele de raționalizare a cooperării dintre autorități și de îmbunătățire a asigurării respectării RGPD. 

Declarația conține recomandări practice care pot fi utilizate în contextul viitoarelor triloguri. În special, CEPD reiterează necesitatea unui temei juridic și a unei proceduri armonizate pentru soluționarea pe cale amiabilă și formulează recomandări pentru a se asigura că se ajunge la un consens cu privire la rezumatul aspectelor-cheie în modul cel mai eficient. Comitetul salută, de asemenea, includerea unor termene suplimentare, reamintind totodată că acestea trebuie să fie realiste și îndeamnă colegiuitorii să elimine dispozițiile referitoare la obiecțiile relevante și motivate și la „expunerea de motive” din procedura de soluționare a litigiilor. 

Deși declarația salută obiectivul de a obține o transparență sporită, introducerea unui dosar comun, astfel cum a fost propus de Parlamentul European, ar necesita modificări complexe ale sistemelor de gestionare a documentelor și de comunicare utilizate la nivel european și național. Soluțiile tehnice pentru punerea sa în aplicare ar trebui evaluate cu atenție, iar modalitățile de acordare a accesului la acestea ar trebui clarificate în continuare. 

CEPD salută amendamentul Consiliului care permite APD principale să renunțe la așa-numita cooperare consolidată în cazuri simple și directe, dar subliniază necesitatea de a clarifica în continuare domeniul de aplicare al acestei excluderi voluntare. 

Președintele CEPD, Anu Talus, a declarat: „Proiectul de regulament are potențialul de a raționaliza în mare măsură asigurarea respectării RGPD prin creșterea eficienței tratării cazurilor. Este necesară o mai mare armonizare la nivelul UE, pentru a maximiza eficacitatea deplină a mecanismelor de cooperare și de asigurare a coerenței prevăzute de RGPD.”

În cadrul celei mai recente sesiuni plenare, comitetul și-a adoptat programul de lucru pentru perioada 2024-2025. Acesta este primul dintre cele două programe de lucru care vor pune în aplicare strategia CEPD pentru perioada 2024-2027, adoptată în aprilie 2024. Aceasta se bazează pe prioritățile stabilite în strategia CEPD și ia în considerare, de asemenea, nevoile identificate ca fiind cele mai importante pentru părțile interesate.

În cele din urmă, membrii CEPD au convenit să acorde statutul de observator la activitățile CEPD Agenției kosovare de informații și confidențialitate (APD din Kosovo), în conformitate cu articolul 8 din Regulamentul de procedură al CEPD.

 

Comunicatul de presă publicat aici a fost tradus automat din limba engleză.  CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.