Index 
 Înapoi 
 Înainte 
 Text integral 
Procedură : 2020/2717(RSP)
Stadiile documentului în şedinţă
Stadii ale documentului : B9-0211/2021

Texte depuse :

B9-0211/2021

Dezbateri :

PV 25/03/2021 - 7
CRE 25/03/2021 - 7

Voturi :

PV 25/03/2021 - 10
PV 25/03/2021 - 17
CRE 25/03/2021 - 17

Texte adoptate :

P9_TA(2021)0111

Texte adoptate
PDF 186kWORD 59k
Joi, 25 martie 2021 - Bruxelles
Raportul de evaluare al Comisiei privind aplicarea Regulamentului general privind protecția datelor la doi ani de la punerea în aplicare a acestuia
P9_TA(2021)0111B9-0211/2021

Rezoluția Parlamentului European din 25 martie 2021 referitoare la raportul de evaluare al Comisiei privind punerea în aplicare a Regulamentului general privind protecția datelor, la doi ani de la aplicarea acestuia (2020/2717(RSP))

Parlamentul European,

–  având în vedere articolul 8 din Carta drepturilor fundamentale a Uniunii Europene,

–  având în vedere articolul 16 din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE [Regulamentul general privind protecția datelor (RGPD)](1),

–  având în vedere declarația Comisiei din 24 iunie 2020 privind comunicarea Comisiei către Parlamentul European și Consiliu intitulată „Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor”;

–  având în vedere comunicarea Comisiei către Parlamentul European și Consiliu din 24 iunie 2020 intitulată „Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor” (COM(2020)0264);

–  având în vedere comunicarea Comisiei din 24 iulie 2019 intitulată „Normele privind protecția datelor, factor favorizant al încrederii în UE și în afara acesteia – bilanț” (COM(2019)0374);

–  având în vedere documentul de contribuție al Comitetului european pentru protecția datelor (CEPD) la evaluarea RGPD în temeiul articolului 97, adoptat la 18 februarie 2020(2);

–  având în vedere documentul CEPD din 26 februarie 2019 intitulat „Prima prezentare generală privind punerea în aplicare a RGPD și rolurile și mijloacele autorităților naționale de supraveghere”(3);

–  având în vedere orientările adoptate de CEPD în conformitate cu articolul 70 alineatul (1) litera (e) din RGPD,

–  având în vedere articolul 132 alineatul (2) din Regulamentul său de procedură,

–  având în vedere propunerea de rezoluție a Comisiei pentru libertăți civile, justiție și afaceri interne,

A.  întrucât RGPD este aplicabil începând cu data de 25 mai 2018; întrucât, cu excepția Sloveniei, toate statele membre au adoptat noi acte legislative sau și-au adaptat legislația națională privind protecția datelor;

B.  întrucât, conform Anchetei asupra drepturilor fundamentale, efectuată de Agenția pentru Drepturi Fundamentale, persoanele fizice sunt din ce în ce mai conștiente de drepturile lor în temeiul RGPD; întrucât, în pofida faptului că organizațiile au pus în aplicare măsuri prin care să faciliteze exercitarea drepturilor persoanei vizate, persoanele fizice continuă să se confrunte cu dificultăți atunci când încearcă să exercite aceste drepturi, în special dreptul de acces, de portabilitate și de transparență sporită;

C.  întrucât, de la începerea aplicării RGPD, autoritățile de supraveghere au înregistrat o creștere masivă a numărului de plângeri primite; întrucât acest lucru ilustrează faptul că persoanele vizate sunt mai conștiente de drepturile lor și doresc să își protejeze datele cu caracter personal, în conformitate cu RGPD; întrucât acest lucru ilustrează totodată și faptul că un volum mare de operațiuni ilegale de prelucrare a datelor continuă să aibă loc;

D.  întrucât numeroase întreprinderi au profitat de perioada de tranziție de la intrarea în vigoare a RGPD și până la momentul în care acesta a devenit aplicabil pentru a efectua o „curățenie de primăvară” în materie de date și au evaluat ce tipuri de prelucrare a datelor au loc efectiv și care ar putea să nu mai fie necesare sau justificate;

E.  întrucât multe autorități pentru protecția datelor (APD) nu sunt în măsură să facă față numărului de plângeri; întrucât multe APD nu dispun de personal și de resurse suficiente și nu au un număr suficient de experți în tehnologia informației;

F.  întrucât RGPD recunoaște că legislația statelor membre ar trebui să stabilească un echilibru între normele care reglementează libertatea de exprimare și de informare, inclusiv exprimarea jurnalistică, academică, artistică și/sau literară, și dreptul la protecția datelor cu caracter personal; întrucât, potrivit articolului 85, legislația statelor membre ar trebui să prevadă derogări pentru prelucrarea datelor efectuată în scopuri jurnalistice sau de exprimare academică, artistică sau literară, dacă acestea sunt necesare pentru a reconcilia dreptul la protecția datelor cu caracter personal cu libertatea de exprimare și de informare;

G.  întrucât, astfel cum a subliniat și CEPD, protecția surselor jurnalistice reprezintă piatra de temelie a libertății presei; întrucât RGPD nu ar trebui să fie utilizat în mod abuziv împotriva jurnaliștilor și pentru a limita accesul la informații: întrucât RGPD nu ar trebui în niciun caz să fie utilizat de autoritățile naționale pentru a îngrădi libertatea mass-mediei,

Observații generale

1.  salută faptul că RGPD a devenit un standard mondial pentru protecția datelor cu caracter personal și că reprezintă un factor de convergență în elaborarea normelor; salută faptul că RGPD a plasat UE în prima linie a discuțiilor internaționale privind protecția datelor și că o serie de țări terțe și-au aliniat legislația privind protecția datelor la RGPD; subliniază că Convenția 108 a Consiliului Europei privind protecția datelor a fost aliniată la RGPD („Convenția 108+”) și a fost deja semnată de 42 de țări; îndeamnă Comisia și statele membre să utilizeze acest moment favorabil pentru a încuraja la nivelul ONU, OCDE, G8 și G20 crearea unor standarde internaționale care să se bazeze pe valorile și principiile europene, fără a aduce atingere dispozițiilor RGPD; subliniază că o poziție europeană dominantă în acest domeniu ar ajuta Europa să apere mai bine drepturile cetățenilor noștri, să ne protejeze valorile și principiile, să promoveze o inovare digitală demnă de încredere și să accelereze creșterea economică prin evitarea fragmentării;

2.  concluzionează că, la doi ani de la începerea aplicării sale, RGPD este, în general, un succes și este de acord cu Comisia că, în acest stadiu, nu este necesar să se actualizeze sau să se revizuiască legislația;

3.  recunoaște că, până la următoarea evaluare a Comisiei, va trebui să se pună în continuare accentul pe îmbunătățirea punerii în aplicare și pe acțiunile de asigurare a respectării RGPD;

4.  recunoaște că este nevoie să se asigure în mod ferm și eficace respectarea RGPD de către marile platforme digitale, companiile integrate și alte servicii digitale, în special în domenii ca publicitatea online, micro-direcționarea, crearea de profiluri pe bază de algoritmi, precum clasificarea, diseminarea și amplificarea conținutului;

Temeiul juridic pentru prelucrarea datelor

5.  subliniază că toate cele șase temeiuri juridice prevăzute la articolul 6 din RGPD sunt valabile în egală măsură pentru prelucrarea datelor cu caracter personal și că aceeași activitate de prelucrare poate avea mai mult de un temei juridic; îndeamnă autoritățile de supraveghere să specifice faptul că operatorii de date trebuie să utilizeze un singur temei juridic pentru fiecare scop al activităților de prelucrare și să precizeze modul în care este invocat fiecare temei juridic pentru operațiunile lor de prelucrare; este îngrijorat de faptul că operatorii de date menționează adesea în politica lor de confidențialitate toate temeiurile juridice prevăzute de RGPD, fără explicații suplimentare și fără să facă referire la operațiunea de prelucrare specifică în cauză; subliniază că această practică limitează capacitatea persoanelor vizate și a autorităților de supraveghere să evalueze dacă aceste temeiuri juridice sunt adecvate; reamintește că, pentru a prelucra categorii speciale de date cu caracter personal, trebuie identificate un temei juridic conform articolului 6 și o condiție separată pentru prelucrare conform articolului 9; reamintește operatorilor că au obligația legală de a efectua o evaluare a impactului asupra protecției datelor atunci când prelucrarea datelor poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice;

6.  reamintește că, de la începutul aplicării RGPD, „consimțământ” înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate; subliniază că acest lucru este valabil și pentru Directiva asupra confidențialității și comunicațiilor electronice; ia act de faptul că implementarea consimțământului valabil continuă să fie compromisă de utilizarea unor practici înșelătoare și de urmărire omniprezentă și a altor practici lipsite de etică; este preocupat de faptul că persoanele sunt adesea supuse unei presiuni financiare pentru a-și da consimțământul, în schimbul unor reduceri sau al altor oferte comerciale, sau sunt obligate să își dea consimțământul condiționându-li-se accesul la un serviciu prin dispoziții de legare, cu încălcarea articolului 7 din RGPD; reamintește că CEPD a armonizat normele privind definirea consimțământului valabil, înlocuind interpretările diferite date de diferitele autorități naționale pentru protecția datelor și evitând fragmentarea pe piața unică digitală; reamintește, de asemenea, orientările CEPD și ale Comisiei care stabilesc că, pentru cazurile în care persoana vizată și-a dat inițial consimțământul, dar datele cu caracter personal sunt prelucrate ulterior într-un alt scop decât scopul pentru care persoana vizată și-a dat consimțământul, consimțământul inițial nu poate legitima prelucrarea ulterioară, întrucât consimțământul trebuie să fie în cunoștință de cauză și specific pentru a fi valabil; constată că CEPD va prezenta orientări privind prelucrarea datelor cu caracter personal pentru cercetarea științifică, iar aceste orientări vor clarifica sensul considerentului 50 din RGPD;

7.  este îngrijorat că „interesul legitim” este adesea menționat în mod abuziv ca temei juridic pentru prelucrare; subliniază că operatorii continuă să se bazeze pe interesul legitim fără a efectua testul necesar privind echilibrul intereselor, care include o evaluare a drepturilor fundamentale; este profund îngrijorat de faptul că unele state membre adoptă legislație națională pentru a stabili condițiile de prelucrare pe baza interesului legitim, asigurând echilibrarea intereselor operatorului, respectiv ale persoanelor vizate, în timp ce RGPD prevede că fiecare operator în parte trebuie să realizeze un astfel de test de echilibru în mod individual și să se folosească de acest temei juridic; este preocupat de faptul că unele interpretări naționale ale interesului legitim nu respectă considerentul 47 și interzic efectiv prelucrarea pe baza interesului legitim; salută faptul că CEPD a început deja lucrările pentru actualizarea avizului Grupului de lucru prevăzut la articolul 29 privind aplicarea interesului legitim ca temei juridic pentru prelucrare, cu scopul de a aborda aspectele evidențiate în raportul Comisiei;

Drepturile persoanelor vizate

8.  subliniază că este necesar să se faciliteze exercitarea drepturilor individuale prevăzute de RGPD, cum ar fi portabilitatea datelor sau drepturile în contextul prelucrării automate, inclusiv crearea de profiluri; salută orientările CEPD privind procesul decizional automatizat și privind portabilitatea datelor; constată că dreptul la portabilitatea datelor nu a fost pe deplin pus în aplicare în unele sectoare; invită CEPD să încurajeze platformele online să creeze un punct de contact unic pentru toate platformele digitale subiacente, de unde cererile utilizatorilor să poată fi transmise destinatarului corect; subliniază că, în conformitate cu principiul minimizării datelor, aplicarea dreptului la anonimat previne în mod eficace divulgarea neautorizată, furtul de identitate și alte forme de abuz în materie de date cu caracter personal;

9.  subliniază că respectarea dreptului de a fi informat impune companiilor să furnizeze informații într-un mod concis, transparent, inteligibil și ușor accesibil și să evite formulările în stil juridic excesiv atunci când elaborează notificări privind protecția datelor; este îngrijorat că unele companii își încalcă în continuare obligațiile care le revin în temeiul articolului 12 alineatul (1) din RGPD și nu furnizează toate informațiile relevante recomandate de CEPD, printre care se numără indicarea entităților cărora le transmit datele; reamintește că obligația de a furniza informații simple și accesibile este deosebit de strictă atunci când este vorba despre copii; este îngrijorat de lipsa pe scară largă a unor mecanisme funcționale de acces al persoanelor vizate; subliniază că persoanele fizice adesea nu pot forța platformele de internet să le dezvăluie profilurile comportamentale; este îngrijorat că, prea des, companiile ignoră faptul că datele deduse sunt tot date cu caracter personal, cărora li se aplică toate garanțiile prevăzute în RGPD;

Întreprinderile și organizațiile mici

10.  observă că unele părți interesate declară că aplicarea RGPD a fost deosebit de dificilă, cu precădere pentru întreprinderile mici și mijlocii (IMM-uri), startup-uri, organizații și asociații, inclusiv școli, cluburi și societăți; constată totuși că multe dintre drepturile și obligațiile prevăzute în RGPD nu sunt noi, ci erau deja în vigoare în temeiul Directivei 95/46/CE(4), dar erau rar aplicate; consideră că RGPD și respectarea sa nu trebuie să aibă consecințe nedorite în materie de conformitate pentru întreprinderile mai mici, consecințe pe care întreprinderile mari nu le-ar resimți; consideră că prin campaniile de informare ale autorităților naționale și ale Comisiei ar trebui să sprijine într-o mai mare măsură și să se ofere mai multe informații și acțiuni de formare pentru a contribui la creșterea nivelului de cunoștințe, la calitatea punerii în aplicare și la sensibilizarea cu privire la cerințele și scopul RGPD;

11.  subliniază că nu există derogări pentru IMM-uri, startup-uri, organizații și asociații, inclusiv școli, cluburi și societăți, și că acestea fac obiectul RGPD; invită, prin urmare, CEPD să furnizeze informații clare pentru a se evita orice confuzie cu privire la interpretarea RGPD și să creeze un instrument practic al RGPD pentru a facilita punerea în aplicare a acestui regulament de către IMM-uri, startup-uri, organizații și asociații, inclusiv școli, cluburi, precum și societăți cu activități cu risc scăzut în materie de prelucrare a datelor personale; invită statele membre să pună la dispoziția APD mijloace suficiente pentru a disemina informații cu privire la aceste instrumente practice; încurajează CEPD să elaboreze modele privind politica de confidențialitate, pe care organizațiile să le poată utiliza pentru a demonstra respectarea efectivă a RGPD în practică, fără a fi nevoite să se bazeze pe servicii costisitoare furnizate de terți;

Asigurarea respectării RGPD

12.  își exprimă îngrijorarea cu privire la faptul că asigurarea respectării RGPD de către autoritățile naționale pentru protecția datelor este inegală și uneori inexistentă, la mai mult de doi ani de la începerea aplicării acestui regulament și, prin urmare, regretă că situația în materie de asigurare a aplicării RGPD nu s-a îmbunătățit în mod substanțial în comparație cu situația legată de Directiva 95/46/CE;

13.  ia act de faptul că au fost introduse aproximativ 275 000 de plângeri și au fost impuse 785 de amenzi administrative pentru diferite încălcări în primele 18 luni de aplicare a RGPD, dar subliniază că, până în prezent, s-a dat curs numai unei părți foarte reduse din plângerile depuse; este conștient de problemele cauzate de încălcarea normelor privind datele cu caracter personal și reamintește orientările actuale ale CEPD care oferă claritate cu privire la calendarul de notificare, comunicare către persoanele vizate și căile de atac, printre altele; subliniază că un formular european standard de notificare a încălcării normelor privind datele cu caracter personal ar putea fi benefic pentru armonizarea diferitelor abordări naționale; regretă totuși că valoarea amenzilor variază semnificativ între statele membre și că unele amenzi emise companiilor mari sunt prea mici pentru a avea efectul preconizat de a descuraja încălcările legate de protecția datelor; invită APD să consolideze acțiunile de asigurare a respectării RGPD, de investigare și de sancționare pentru încălcarea protecției datelor și să utilizeze toate posibilitățile prevăzute în RGPD pentru a impune amenzi și alte măsuri corective; subliniază că interdicțiile de prelucrare sau obligația de a șterge datele cu caracter personal obținute într-un mod care nu este conform cu RGPD pot avea un efect de descurajare echivalent cu cel al amenzilor, dacă nu chiar mai pronunțat; invită Comisia și CEPD să armonizeze sancțiunile prin intermediul unor orientări și criterii clare, la fel cum a procedat conferința autorităților de supraveghere din Germania, pentru a crește securitatea juridică și pentru a împiedica companiile să se instaleze în locuri în care sunt impuse sancțiunile cele mai mici;

14.  își exprimă îngrijorarea cu privire la durata investigării cazurilor de către unele APD și la efectul negativ asupra asigurării respectării regulamentului și asupra încrederii cetățenilor; îndeamnă APD să accelereze soluționarea cazurilor și să facă uz de întreaga gamă de posibilități prevăzute de RGPD, în special acolo unde există încălcări sistematice și persistente, inclusiv în situațiile în care există un interes lucrativ și când sunt afectate un număr mare de persoane vizate;

15.  este preocupat de faptul că autoritățile de supraveghere din 21 de state membre din cele 31 state care aplică RGPD (toate statele membre ale Uniunii Europene și ale Spațiului Economic European și Regatul Unit) au declarat în mod explicit că nu dispun de suficiente resurse umane, tehnice și financiare, de spații și de infrastructură pentru a-și îndeplini în mod eficace sarcinile și pentru a-și exercita competențele; este îngrijorat de lipsa de personal tehnic specific în majoritatea autorităților de supraveghere din UE, ceea ce face ca investigațiile și asigurarea respectării regulamentului să fie dificile; constată cu îngrijorare că autoritățile de supraveghere întâmpină dificultăți din cauza accentuării decalajului dintre responsabilitățile lor de protecție a datelor cu caracter personal și resursele de care dispun în acest sens; constată că serviciile digitale vor deveni din ce în ce mai complexe din cauza utilizării sporite a inovațiilor precum inteligența artificială (și anume, se va agrava problema transparenței limitate în ceea ce privește prelucrarea datelor, în pentru instruirea algoritmică); subliniază, prin urmare, că este important ca autoritățile de supraveghere din UE, precum și CEPD să dispună de suficiente resurse financiare, tehnice și umane pentru a putea trata rapid, dar în detaliu, un număr tot mai mare de cazuri complexe și care necesită multe resurse, precum și pentru a coordona și a facilita cooperarea dintre autoritățile naționale pentru protecția datelor, pentru a monitoriza în mod corespunzător aplicarea RGPD și pentru a proteja drepturile și libertățile fundamentale; își exprimă îngrijorarea cu privire la faptul că, date fiind resursele insuficiente de care dispun APD, în special în comparate cu veniturile marilor companii din domeniul tehnologiei informației, se pot încheia acorduri sau înțelegeri pentru soluționarea litigiilor, deoarece astfel s-ar limita costul procedurilor îndelungate și greoaie;

16.  solicită Comisiei să evalueze posibilitatea de a obliga marile companii tehnologice multinaționale să plătească pentru supravegherea propriei companii, prin introducerea unei taxe digitale la nivelul UE;

17.  constată cu îngrijorare că, din cauză că APD nu asigură respectarea regulamentului, iar Comisia nu ia măsuri Comisiei pentru a remedia lipsa de resurse a APD, sarcina de a asigura respectarea regulamentului rămâne asupra cetățenilor la nivel individuali prin introducerea de plângeri în instanță în materie de protecție a datelor; este preocupat de faptul că instanțele dispun uneori ca reclamanții individuali să fie despăgubiți fără a obliga organizația sau compania să rezolve problemele structurale; consideră că asigurarea respectării regulamentului la nivel privat poate genera o jurisprudență importantă, dar aceasta nu poate înlocui acțiunile de asigurării a respectării regulamentului care trebuie întreprinse de APD sau acțiunile Comisiei de a remedia lipsa de resurse; regretă că aceste state membre încalcă articolul 52 alineatul (4) din RGPD; invită, prin urmare, statele membre să își respecte obligația legală prevăzută la articolul 52 alineatul (4) de a aloca suficiente fonduri autorităților lor pentru protecția datelor, pentru a le permite să își desfășoare activitatea în mod optim și să asigure condiții echitabile la nivel european privind asigurarea respectării RGPD; regretă faptul că Comisia nu a inițiat încă proceduri de constatare a neîndeplinirii obligațiilor împotriva statelor membre care nu și-au îndeplinit obligațiile care le revin în temeiul RGPD și îndeamnă Comisia să facă acest lucru fără întârziere; invită Comisia și CEPD să organizeze acțiuni subsecvente comunicării Comisiei din 24 iunie 2020, prin care să evalueze funcționarea și asigurarea respectării RGPD;

18.  regretă că majoritatea statelor membre au decis să nu pună în aplicare articolul 80 alineatul (2) din RGPD; invită toate statele membre să facă uz de articolul 80 alineatul (2) și să garanteze dreptul de a depune plângeri și de a iniția acțiuni în instanță fără mandatat din partea persoanei vizate; invită statele membre să clarifice poziția reclamanților pe durata procedurilor în legislația referitoare la procedurile administrative naționale aplicabile autorităților de supraveghere; subliniază că acest lucru ar trebui să clarifice faptul că reclamanții nu se limitează la un rol pasiv pe durata procedurii, ci ar trebui să poată interveni în diferite etape;

Cooperarea și consecvența

19.  subliniază că deficiențele legate de asigurarea respectării RGPD sunt evidente în special în plângerile transfrontaliere și regretă că APD din 14 state membre nu dispun de resursele adecvate pentru a contribui la mecanisme de cooperare și de asigurare a consecvenței; invită CEPD să își intensifice eforturile pentru a asigura aplicarea corectă a articolului 60 și a articolului 63 din RGPD și reamintește autorităților de supraveghere că, în circumstanțe excepționale, pot face uz de procedura de urgență prevăzută la articolul 66 din RGPD, în special de măsurile provizorii;

20.  subliniază importanța mecanismului de tip ghișeu unic în asigurarea securității juridice și reducerea sarcinii administrative atât pentru societăți, cât și pentru cetățeni; își exprimă, cu toate acestea, serioasa îngrijorare în privința funcționării mecanismului de tip ghișeu unic, în special în legătură cu rolul autorităților irlandeze și luxemburgheze pentru protecția datelor (APD); constată că aceste APD sunt responsabile cu gestionarea unui număr mare de cazuri, deoarece multe societăți de tehnologie și-au înregistrat sediul central din UE în Irlanda sau în Luxemburg; este deosebit de preocupat de faptul că autoritatea irlandeză pentru protecția datelor închide, în general, majoritatea cazurilor cu o înțelegere amiabilă în locul unei sancțiuni și că nici cazurile înaintate Irlandei în 2018 nu au ajuns în stadiul unui proiect de decizie în temeiul articolului 60 alineatul (3) din RGPD; invită aceste ADP să își accelereze investigațiile aflate în desfășurare în cazurile majore pentru a le arăta cetățenilor UE că protecția datelor este un drept aplicabil în UE; subliniază că succesul mecanismului de tip ghișeu unic depinde de timpul și efortul pe care APD le pot dedica gestionării și cooperării în cazurile transfrontaliere individuale în CEPD și că lipsa de voință politică și de resurse are consecințe imediate asupra măsurii în care acest mecanism poate funcționa corect;

21.  observă neconcordanțe între orientările statelor membre și cele ale CEPD; subliniază că autoritățile naționale pentru protecția datelor pot ajunge la interpretări diferite ale RGPD, ceea ce duce la aplicări diferite în rândul statelor membre; constată că această situație creează avantaje geografice, precum și dezavantaje pentru întreprinderi; îndeamnă Comisia să evalueze dacă procedurile administrative naționale obstrucționează eficacitatea deplină a cooperării, în conformitate cu articolul 60 din RGPD, precum și punerea sa efectivă în practică; invită APD să depună eforturi în direcția unor interpretări și orientări coerente, facilitate de CEPD; invită în mod expres CEPD să stabilească elementele de bază ale unei proceduri administrative comune pentru soluționarea reclamațiilor în cazuri transfrontaliere în cadrul cooperării prevăzute la articolul 60; îndeamnă ca acest lucru să se facă prin urmarea orientărilor privind calendarele comune de desfășurare a investigațiilor și adoptare a deciziilor; invită CEPD să întărească mecanismul de asigurare a coerenței și să îl facă obligatoriu pentru toate chestiunile de aplicare generală sau pentru orice caz cu efecte transfrontaliere, pentru a evita abordări și decizii incoerente din partea unei APD, ceea ce ar periclita interpretarea și aplicarea uniformă a RGPD; consideră că această interpretare, aplicare și orientare comună va contribui la crearea și succesul pieței unice digitale;

22.  invită CEPD să își publice agenda reuniunilor înainte ca acestea să aibă loc și să pună la dispoziția publicului și a Parlamentului rezumate mai detaliate ale reuniunilor sale;

Fragmentarea punerii în aplicare a RGPD

23.  regretă că utilizarea de către statele membre a clauzelor de specificare facultativă (de exemplu prelucrarea în interes public sau de către autoritățile publice pe baza legislației statului membru și a vârstei de acordare a consimțământului de către copii) a afectat armonizarea deplină în materie de protecție a datelor și eliminarea divergenței condițiilor de piață pentru întreprinderi în UE și își exprimă îngrijorarea că acest lucru ar putea duce la creșterea costurilor legate de respectarea RGPD; invită CEPD să prezinte orientări cu privire la modalitatea de abordare a aplicării eterogene a clauzelor de specificare facultativă între statele membre; invită Comisia să își folosească prerogativele pentru a interveni în statele membre în care măsurile, acțiunile și deciziile naționale subminează spiritul, obiectivul și litera RGPD, pentru a preveni protecția inegală a cetățenilor și denaturările pieței; subliniază, în acest context, că statele membre au adoptat o gamă diferită de vârstă pentru consimțământul părinților; invită, prin urmare, Comisia și statele membre să evalueze impactul acestei fragmentări asupra activităților copiilor și asupra protecției lor online; subliniază că, în cazul unui conflict de legi între legislația națională a unui stat membru și RGPD, dispozițiile RGPD ar trebui să aibă întâietate;

24.  își exprimă profunda îngrijorare în legătură cu utilizarea abuzivă a RGPD de către autoritățile publice din unele state membre pentru a limita activitatea jurnaliștilor și a organizațiilor neguvernamentale; este complet de acord cu Comisia că normele de protecție a datelor nu ar trebui să afecteze exercitarea libertății de exprimare și de informare, în special prin crearea unui efect de intimidare sau prin interpretări folosite ca modalitate de a exercita presiune asupra jurnaliștilor pentru a-și divulga sursele; își exprimă totuși dezamăgirea față de faptul că Comisia nu și-a încheiat încă evaluarea asupra echilibrului dintre dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare, așa cum se precizează la articolul 85 din RGPD; invită Comisia să finalizeze evaluarea legislației naționale în acest sens fără întârzieri nejustificate și să utilizeze toate instrumentele disponibile, inclusiv procedurile de constatare a nerespectării obligațiilor, pentru a se asigura că statele membre respectă RGPD și pentru a limita orice fragmentare a cadrului de protecție a datelor;

Protecția datelor începând cu momentul conceperii

25.  invită autoritățile de supraveghere să evalueze punerea în aplicare a articolului 25 privind protecția datelor începând cu momentul conceperii și în mod implicit, în special pentru asigurarea măsurilor tehnice și operaționale necesare aplicării principiilor reducerii la minimum a datelor și limitării scopului, și să determine efectul pe care această dispoziție l-a avut asupra producătorilor de tehnologii de prelucrare; salută adoptarea de către CEPD în octombrie 2020 a Orientărilor 04/2019 cu privire la articolul 25 în legătură cu protecția datelor începând cu momentul conceperii și protecția implicită a datelor, pentru a contribui la claritatea juridică a conceptelor; invită autoritățile de supraveghere să evalueze și utilizarea corectă a setărilor implicite, așa cum se prevede la articolul 25 alineatul (2), inclusiv de către principalii furnizori de servicii online; recomandă ca CEPD să adopte orientări pentru a stabili în ce condiții specifice și în ce (clase de) cazuri producătorii de TIC trebuie să fie considerați operatori în conformitate cu articolul 4 alineatul (7) în sensul că aceștia stabilesc mijloacele de prelucrare; subliniază că practicile de protecție a datelor depind în continuare în mare măsură de operațiuni manuale și de formate arbitrare și sunt afectate de sisteme incompatibile; invită CEPD să elaboreze orientări care să contribuie la punerea în practică a cerințelor privind protecția datelor, inclusiv orientări pentru evaluarea impactului asupra protecției datelor (articolul 35), asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (articolul 25), informarea adresată persoanelor vizate (articolele 12-14), exercitarea drepturilor persoanelor vizate (articolele 15-18, 20-21) și evidențele activităților de prelucrare (articolul 30); invită CEPD să vegheze ca orientările să fie ușor de aplicat și să permită comunicarea mașină-mașină între persoanele vizate, operatori și APD, automatizând astfel protecția datelor; invită Comisia să creeze pictograme prelucrabile automat în conformitate cu articolul 12 alineatul (8) pentru informarea persoanelor vizate, în strânsă coordonare cu CEPD; încurajează CEPD și autoritățile de supraveghere să valorifice întregul potențial al articolului 21 alineatul (5) privind modalitățile automate de contestare a prelucrării datelor cu caracter personal;

Orientări

26.  invită CEPD să armonizeze aplicarea cerințelor de protecție a datelor prin elaborarea de orientări privind, printre altele, necesitatea de a evalua riscurile legate de prelucrarea datelor cu caracter personal pentru persoanele vizate (articolele 12-14), pentru exercitarea drepturilor persoanelor vizate (articolele 15-18, 20-21) și pentru punerea în aplicare a principiului responsabilității; invită CEPD să emită orientări care să clasifice diferitele cazuri de utilizări legitime ale creării de profiluri în funcție de riscurile lor la adresa drepturilor și libertăților persoanelor vizate, alături de recomandări de măsuri tehnice și organizatorice adecvate și cu o descriere clară a cazurilor de utilizare ilegală; invită CEPD să revizuiască Avizul 05/2014 din 10 aprilie 2014 al Grupului de lucru pentru protecția datelor privind tehnicile de anonimizare și să stabilească o listă de criterii clare pentru realizarea anonimizării; încurajează CEPD să clarifice prelucrarea datelor în scopuri legate de resursele umane; ia act de concluzia CEPD potrivit căreia ar trebui menținută necesitatea de a evalua riscurile legate de prelucrarea datelor, astfel cum se prevede în RGPD, întrucât riscurile pentru persoanele vizate nu sunt legate de dimensiunea operatorilor de date; solicită o mai bună utilizare a mecanismului prin care Comisia poate solicita consiliere din partea CEPD cu privire la aspectele reglementate de RGPD;

27.  constată că pandemia de COVID-19 a evidențiat nevoia de orientări clare din partea APD și CEPD cu privire la punerea în aplicare adecvată a RGPD în politicile din domeniul sănătății; reamintește, în acest sens, Orientările 03/2020 privind prelucrarea datelor referitoare la sănătate în scopul cercetării științifice în contextul pandemiei de COVID-19 și Orientările 04/2020 privind utilizarea datelor de localizare și a instrumentelor de identificare epidemiologică a contactelor în contextul pandemiei de COVID-19; invită Comisia să asigure respectarea deplină a RGPD atunci când creează un spațiu european comun al datelor medicale;

Fluxurile internaționale de date cu caracter personal și cooperarea internațională

28.  subliniază că este important să se permită fluxuri libere de date cu caracter personal la nivel internațional, fără a scădea nivelul de protecție garantat prin RGPD; sprijină practica Comisiei Europene de a trata protecția datelor și fluxurile de date cu caracter personal separat de acordurile comerciale; consideră că cooperarea internațională în domeniul protecției datelor și convergența normelor relevante în direcția RGPD vor îmbunătăți încrederea reciprocă, vor stimula înțelegerea problemelor de ordin tehnologic și juridic și, în cele din urmă, vor facilita fluxurile de date transfrontaliere, care au o importanță esențială pentru comerțul internațional; recunoaște realitatea cerințelor legale contradictorii pentru societățile care desfășoară activități de prelucrare a datelor în UE, precum și în jurisdicțiile țărilor terțe, în special în SUA;

29.  subliniază că deciziile privind caracterul adecvat al nivelului de protecție nu ar trebui să fie decizii politice, ci juridice; încurajează continuarea eforturilor de promovare a cadrelor juridice globale pentru a permite transferurile de date pe baza RGPD și a Convenției 108+ a Consiliului Europei; ia act și de faptul că părțile interesate consideră deciziile privind caracterul adecvat al nivelului de protecție ca pe un instrument esențial pentru astfel de fluxuri de date, întrucât nu le asociază cu condiții sau autorizații suplimentare; subliniază totuși că, până în prezent, au fost adoptate decizii privind caracterul adecvat al nivelului de protecție doar pentru nouă țări, chiar dacă multe alte țări terțe au adoptat recent noi legi privind protecția datelor conținând norme și principii similare cu cele ale RGPD; constată că, până în prezent, niciun mecanism unic care să garanteze transferul legal de date comerciale cu caracter personal între UE și SUA nu a făcut obiectul unei acțiuni în justiție fața Curții de Justiție a Uniunii Europene (CJUE);

30.  salută adoptarea primei decizii reciproce privind caracterul adecvat al nivelului de protecție între UE și Japonia, care a creat cea mai mare zonă de fluxuri de date libere și sigure din lume; invită, cu toate acestea, Comisia să ia în considerare toate chestiunile ridicate de Parlament în cadrul primei examinări a acestui instrument și să facă publice rezultatele cât mai curând posibil, deoarece revizuirea ar fi trebuit adoptată până în ianuarie 2021;

31.  invită Comisia să publice setul de criterii utilizate pentru a stabili dacă se consideră că o țară terță oferă un nivel de protecție „în esență echivalent” cu cel oferit în UE, în special în ceea ce privește accesul la căi de atac și accesul autorităților publice la date; insistă asupra necesității de a asigura aplicarea și respectarea efectivă a dispozițiilor referitoare la transferuri sau divulgări neautorizate ale Uniunii în conformitate cu articolul 48 din RGPD, mai ales în ceea ce privește cererile din partea autorităților țărilor terțe de acces la datele cu caracter personal din Uniune, și solicită CEPD și APD să ofere orientări și să aplice aceste dispoziții, inclusiv în evaluarea și dezvoltarea mecanismelor de transfer de date cu caracter personal;

32.  invită Comisia să adopte acte delegate pentru a specifica cerințele care trebuie luate în considerare pentru mecanismul de certificare a protecției datelor în conformitate cu articolul 42 alineatul (1), pentru a stimula utilizarea acestuia din urmă, împreună cu angajamente obligatorii și executabile ale operatorului sau ale persoanei împuternicite de operator din țara terță de a aplica măsurile de siguranță adecvate, inclusiv în ceea ce privește drepturile persoanelor vizate, ca un mijloc de transfer internațional, astfel cum se prevede la articolul 46 alineatul (2) litera (f);

33.  reiterează faptul că programele de supraveghere în masă care includ colectarea masivă a datelor împiedică verificarea caracterului adecvat al nivelului de protecție; îndeamnă Comisia să aplice concluziile CJUE în cauzele Schrems I (5), II(6) și Privacy International et al.(2020)(7) tuturor revizuirilor deciziilor privind caracterul adecvat al nivelului de protecție, precum și negocierilor în curs și viitoare; reamintește că transferurile întemeiate pe derogări în situații speciale în temeiul articolului 49 din RGPD pentru transferuri trebuie să rămână excepții; salută orientările CEPD și APD în această problemă și le invită să asigure o interpretare coerentă în aplicarea și controlul unor astfel de derogări, în conformitate cu Orientările CEPD 02/2018;

34.  invită APD și Comisia să evalueze sistematic dacă normele privind protecția datelor sunt aplicate în practică în țările terțe, în conformitate cu jurisprudența CJUE;

35.  îndeamnă Comisia să publice fără întârzieri nejustificate revizuirea deciziilor privind caracterul adecvat al nivelului de protecție, adoptate în temeiul directivei din 1995; subliniază că, în absența unei decizii privind caracterul adecvat al nivelului de protecție, clauzele contractuale standard (CCS) sunt instrumentul cel mai utilizat pentru transferurile internaționale de date; remarcă faptul că CJUE a confirmat validitatea Deciziei 2010/87/UE privind clauzele contractuale standard(8), solicitând în același timp o evaluare a nivelului de protecție asigurat pentru datele transferate către o țară terță și a aspectelor relevante ale sistemului juridic al țării terțe respective în ceea ce privește accesul autorităților publice la datele cu caracter personal transferate; îndeamnă Comisia să își accelereze activitatea privind clauzele contractuale standard modernizate pentru transferurile internaționale de date pentru a asigura condiții de concurență echitabile întreprinderilor mici și mijlocii (IMM) la nivel internațional; salută publicarea de către Comisie a proiectului de clauze contractuale standard și obiectivul de le a face pe acestea mai ușor de utilizat și de a remedia deficiențele identificate ale standardelor actuale;

36.  reamintește Orientările CEPD 1/2019 privind codurile de conduită și organismele de monitorizare în temeiul Regulamentului (UE) 2016/679; recunoaște că acest instrument este insuficient utilizat în prezent, în pofida asigurării respectării RGPD atunci când este utilizat împreună cu angajamente obligatorii și executorii ale operatorului sau ale persoanei împuternicite de operator din țara terță de a aplica garanțiile adecvate; subliniază potențialul acestui instrument de a sprijini mai bine IMM-urile și de a oferi mai multă securitate juridică în contextul transferurilor internaționale de date între diferite sectoare;

Viitoarea legislație a uniunii

37.  este de părere că, fiind neutru din punct de vedere tehnologic, RGPD oferă un cadru de reglementare solid pentru tehnologiile emergente; consideră, cu toate acestea, că sunt necesare eforturi suplimentare pentru a aborda aspecte mai ample ale digitalizării, cum ar fi situațiile de monopol și dezechilibrele de putere prin reglementări specifice, precum și pentru a examina cu atenție corelarea RGPD cu fiecare nouă inițiativă legislativă, pentru a asigura coerența și a elimina lacunele juridice; reamintește Comisiei că are obligația de a veghea ca propunerile legislative, precum cea privind guvernanța datelor, actul legislativ privind datele, actul legislativ privind serviciile digitale sau cel privind inteligența artificială să respecte întotdeauna pe deplin RGPD și Directiva privind protecția datelor în materie de asigurare a respectării legii(9); consideră că textele finale adoptate de colegiuitori prin negocieri interinstituționale trebuie să respecte pe deplin acquis-ul în materie de protecție a datelor; regretă totuși că Comisia însăși nu are întotdeauna o abordare coerentă în privința protecției datelor în propunerile legislative; subliniază că o trimitere la aplicarea RGPD sau mențiunea „fără a se aduce atingere RGPD” nu fac neapărat propunerea conformă cu RGPD; invită Comisia să consulte Autoritatea Europeană pentru Protecția Datelor (AEPD) și CEPD în cazul în care există un impact asupra protecției drepturilor și libertăților personale în legătură cu prelucrarea datelor cu caracter personal în urma adoptării propunerilor de acte legislative; mai invită Comisia ca, atunci când pregătește propuneri sau recomandări, să se străduie să consulte AEPD pentru a asigura coerența normelor de protecție a datelor în întreaga Uniune, și să efectueze întotdeauna o evaluare a impactului;

38.  constată că crearea de profiluri, deși permisă de articolul 22 din RGPD numai în condiții stricte și limitate, este utilizată tot mai mult, deoarece activitățile online ale persoanelor permit o cunoaștere aprofundată a psihologiei și a vieții lor private; constată că, întrucât întocmirea de profiluri face posibilă manipularea comportamentului utilizatorilor, colectarea și prelucrarea datelor cu caracter personal referitoare la utilizarea serviciilor digitale ar trebui să fie limitată la strictul necesar pentru prestarea serviciului și facturarea sa; invită Comisia să propună o legislație strictă în materie de protecție a datelor specifice sectorului pentru categoriile sensibile de date cu caracter personal, dacă nu a făcut acest lucru încă; solicită aplicarea strictă a RGPD în prelucrarea datelor cu caracter personal;

39.  solicită responsabilizarea consumatorilor, astfel încât aceștia să poată lua decizii în cunoștință de cauză în legătură cu implicațiile utilizării noilor tehnologii asupra vieții private și să se garanteze o prelucrare echitabilă și transparentă, oferind posibilități ușor de utilizat de retragere a consimțământului pentru prelucrarea datelor lor cu caracter personal, astfel cum se prevede în RGPD;

Directiva privind protecția datelor în materie de asigurare a respectării legii

40.  este îngrijorat de faptul că normele de protecție a datelor utilizate în scopul asigurării respectării legii sunt extrem de inadecvate pentru a ține pasul cu competențele nou-create pentru respectarea legii; prin urmare, invită Comisia să evalueze Directiva privind protecția datelor în materie de asigurare a respectării legii înainte de termenul prevăzut în directivă și să facă publică varianta revizuită;

Regulamentul privind viața privată și comunicațiile electronice

41.  își exprimă profunda îngrijorare în legătură cu deficiențele în punerea în aplicare de către statele membre a Directivei asupra confidențialității și comunicațiilor electronice(10) având în vedere modificările introduse de RGPD; invită Comisia să accelereze procesele de evaluare și să inițieze proceduri de constatare a neîndeplinirii obligațiilor împotriva statelor membre care nu au pus în aplicare corespunzător Directiva asupra confidențialității și comunicațiilor electronice; este foarte îngrijorat că întârzierea cu câțiva ani a reformei în domeniul vieții private și comunicațiilor electronice duce la fragmentarea peisajului juridic în UE în detrimentul întreprinderilor și cetățenilor; reamintește că Regulamentul privind viața privată și comunicațiile electronice(11) a fost conceput pentru a completa și a face mai precis RGPD și a coincide cu intrarea în vigoare a RGPD; subliniază că reforma normelor privind viața privată și comunicațiile electronice nu trebuie să ducă la o scădere a nivelului actual de protecție oferit în temeiul RGPD și al Directivei asupra confidențialității și comunicațiilor electronice; regretă că Consiliul a avut nevoie de patru ani pentru a-și adopta până la urmă poziția de negociere în legătură cu propunerea de regulament privind viața privată și comunicațiile electronice, în condițiile în care Parlamentul și-a adoptat poziția de negociere în octombrie 2017; reamintește importanța actualizării normelor privind confidențialitatea în mediul electronic din 2002 și 2009 pentru a îmbunătăți protecția drepturilor fundamentale ale cetățenilor și securitatea juridică pentru societăți, care completează RGPD;

o
o   o

42.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Comisiei, Consiliului European, guvernelor și parlamentelor statelor membre, Comitetului european pentru protecția datelor și Autorității Europene pentru Protecția Datelor.

(1) JO L 119, 4.5.2016, p. 1.
(2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf
(3) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf
(4) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).
(5) Hotărârea Curții de Justiție din 6 octombrie 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
(6) Hotărârea Curții de Justiție din 16 iulie 2020, Data Protection Commissioner/Facebook Ireland Limited și Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
(7) Hotărârile în cauza Privacy International, C-623/17 și în cauzele conexate C-511/18, La Quadrature du Net și alții, C-512/18, French Data Network și alții, și C-520/18, Ordre des barreaux francophones et germanophone și alții.
(8) Decizia Comisiei 2010/87/UE din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016 (JO L 39, 12.2.2010, p. 5).
(9) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
(10) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (JO L 201, 31.7.2002, p. 37).
(11) Propunere de regulament al Parlamentului European și al Consiliului privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58/CE (COM(2017)0010).

Ultima actualizare: 12 iulie 2021Aviz juridic - Politica de confidențialitate