Conferinta Nationala ALB Editia a VIIIa 15 noiembrie

Conferinta Nationala ALB Editia a VIII-a – 15 noiembrie 2012 Tendinte legislative europene in domeniul protectiei datelor cu caracter personal Ciurtin, Brasoveanu si Asociatii Societate de Avocati Andrei Brasoveanu – managing partner

Ce sunt datele personale? Ø Orice informatii referitoare la o persoana fizica identificata sau care poate fi identificata prin referire la un numar de identificare ori la unul sau mai multi factori specifici identitatii sale fizice, fiziologice, psihice economice sau sociale. Ø Exemple: CNP, adresa de domiciliu, numarul cardului de credit, extasele de cont, cazierul judiciar, data nasterii, etc. Ø Prelucrarea datelor = colectarea, inregistrarea, stocarea, adaptarea, modificarea, consultarea, dezvaluirea, transmiterea, combinarea, etc.

“Orice text are un context” Ø Utilizarea necontrolata a datelor cu caracter personal in cel de-al II-lea Razboi Mondial Ø Utilizarea necontrolata a datelor cu caracter personal de catre regimurile comuniste. Ø 1950 – Convetia Pentru Protectia Drepturilor Omului si Libertatilor Fundamentale a. k. a. CEDO; ratificata de Romania in 1994 Ø Art. 8 – prevede dreptul la respectarea vietii private singulare si de familie, a corespondentei si a domiciliului.

Contextul modern Ø 1980 – Organizatia pentru Cooperare si Dezvoltare Economica (OCDE) emite recomandari catre Consiliul Europei ref. 7 principii care reglementau protectia datelor personale si fluxului lor transfrontalier. Ø 1981 – Conventia pentru protectia persoanelor referitor la prelucrarea automatizata a datelor cu caracter personal Ø Mai multe tari au adoptat legi corespunzatoare Conventiei => divergente intre legislatiile nationale Ø 1995 – Parlamentul European adopta Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestora.

Contextul actual Ø Societate informationala = consumul de informatie este cel mai frecvent/important tip de activitate, informatia este recunoscuta drept resursa principala, tehnologiile informatiei si comunicatiilor sunt tehnologii de baza. Ø Mediul informational = mediu de existenta a omului. Exemple: realitatea virtuala/second life, activitatea financiara personala – plati on line sau cu cardul de credit, etc. . Ø Obiective guvernamentale la nivelul tarilor membre ale U. E. in ceea ce priveste societatea informationala

Reglementarea actuala Ø Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date. Ø Romania – Lege nr. 677/2001 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date Ø Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal – autoritate centrala cu atributii de control, independenta fata de orice autoritate publica Ø Directiva a fost transpusa in toate legislatiile nationale statelor membre, insa in mod neunitar = esec european de armonizare

Tendintele actuale Ø 25 Ianuarie 2012 – Comisia Europeana propune si publica un proiect de Regulament care urmareste inlocuirea integrala a Directivei 95/46/CE. Ø Regulamentul va avea aplicabilitate directa in tarile membre ale U. E. , fara a fi necesara implementarea sa pe baza unor legi nationale, asa incat va fi evitat un nou esec al armonizarii si va asigura un standard unic de reglementare la nivelul tuturor tarilor membre ale U. E. . Ø Regulamentul urmeaza a fi interpretat la nivel national de autoritatile de supraveghere a protectiei datelor si de instantele de judecata nationale

Noutatile proiectului Regulamentului Ø Definitie mai larga a conceptului de date cu caracter personal – acopera toate circumstantele sau datele in raport de care o persoana ar putea fi identificata de catre orice operator. Exemplu: adresele de I. P. . Ø Noi cerinte pentru securitatea datelor. Exemplu: cerinta acordului parintelui sau tutorelui numai in cazul minorului sub 13 ani. Ø Efect extra-teritorial extins. Exemplu: aplicabil operatorilor din tari non-U. E. care insa monitorizeaza prin internet sau alte mijloace situate in U. E. , date personale persoanelor/consumatorilor din U. E. .

Noutatile proiectului Regulamentului Ø Un grad mai ridicat de conformare cu Regulamentul pentru operatori: - obligatii sporite de pastrare a evidentelor prelucrarii datelor, - obligatii sporite de securitate, - obligatii sporite de transparenta. Ø Permite statelor membre sa isi adopte propriile reguli de prelucrare a datelor in relatiile de munca. Ø Procesarea legitima bazata pe acordul prealabil al persoanei fizice versus procesarea bazata pe interes legitim pentru care nu este necesar acordul. Ø Dreptul de a fi uitat = solicitarea incetarii prelucrarii datelor in cazul in care operatorul nu mai are legal acest drept

Noutatile proiectului Regulamentului Ø Notificare de incalcare a securitatii datelor in termen de 24 de ore. Ø Transferul international de date nu poate fi restrans. Ø Dreptul la despagubire se extinde asupra oricarei persoane afectate de incalcarea regulamentului, chiar si persoane juridice. Ø Sanctiuni administrative care vor fi impuse de autoritatea nationala: - 0, 5% din cifra de afaceri pentru incalcarea unor drepturi ale persoanelor fizice - 1% din cifra de afaceri pentru incalcarea obligatiilor de transpareanta sau de pastrarea evidentelor procesarilor - 2% din cifra de afaceri pentru incalcarea obligatiilor de securitate a datelor sau de procesare legitima

De la tendinta la intrarea in fiinta Ø Propunerea de Regulament elaborata de Comisia Europeana a fost transmisa Parlamentului European pentru discutare, amendare si adoptare Ø Dupa adoptare, Regulamentul va fi publicat in Jurnalul Oficial al Uniunii Europene urmand sa intre in vigoare in termen de 20 de zile Ø Aplicabilitatea efectiva cu titlu obligational va incepe in termen de 2 ani. Ø Estimarea aplicarii Regulamentului – cel devreme in anul 2015

De la tendinta la intrarea in fiinta Ø Mediul de afaceri a sesizat rapid supra-reglementarea mai multor arii si instituirea unor obligatii ineficiente si excesive care genereaza o crestere semnificativa a costurilor operatiunilor cu date personale. Ø Comisarul Regatului Unit al Marii Britanii: “unnecessarily and unhelpfully over prescriptive”. Ø Mediul de afaceri a lansat mai multe propuneri de clarificare si de modificare a regulamentului in legatura cu toate aspectele prezentate anterior.

Protectia datelor personale in S. U. A. FATCA Ø FATCA = Foreign Account Tax Compliance Act = Legislatie interna a S. U. A. prin care Internal Revenue Service (IRS) urmareste ca institutiile financiare straine sa ii transmita informatii si date personale referitoare la detinatorii americani de conturi. Ø Institutiile financiare ar trebui ca pe baza unui contract cu IRS sa accepte obligatii de raportare complexe in caz contrar urmand a se aplica witholding tax de 30% la toate tranzactiile catre aceste din surse americane de la 01 Ianuarie 2017. Ø Regatul Unit, Franta, Germania, Italia si Spania au acceptat un schimb de asemenea informatii cu SUA pe baze de reciprocitate.

Va multumesc pentru prezenta si pentru atentie! Andrei Brasoveanu – managing partner Ciurtin, Brasoveanu si Asociatii Societate de Avocati