Absenţa obligaţiei de informare atunci când persoana vizată deține deja respectivele informații sau prelucrarea datelor este prevăzută de lege

1. Considerații introductive

Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului și participării acesteia în ceea ce privește prelucrarea datelor sale cu caracter personal[1], în acest sens considerentul (7) precizând că „persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică (…) ar trebui să fie consolidată”.

Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă, cu cât condiționează exercitarea de către aceste persoane a drepturilor conferite de Regulamentul general privind protecția datelor (GDPR)[2], precum dreptul de acces și de rectificare a datelor prelucrate, și dreptul de opoziție al acestora față de prelucrarea datelor respective[3].

Potrivit considerentului (60), obligația informării decurge din aplicarea principiilor prelucrării echitabile și transparente, astfel că, de regulă, persoana vizată trebuie să fie informată cu privire la operațiunea de prelucrare. Obligația operatorului de a furniza informații persoanei vizate nu depinde de o solicitare venită din partea acesteia din urmă, ci trebuie respectată în mod proactiv de către operator, indiferent dacă persoana vizată se arată interesată sau nu de aceste informații[4]. Totuși, există și situații în care s-a considerat că nu este necesar a se impune operatorului obligația de a furniza persoanei vizate informații cu privire la prelucrarea datelor sale cu caracter personal.

În cele ce urmează vom analiza două din aceste situații, respectiv ipoteza în care persoana vizată deține deja acele informații, precum și cea în care obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul.

2. Persoana vizată deține deja respectivele informații

Potrivit art. 13 alin. (4) și art. 14 alin. (5) lit. a) GDPR, operatorul nu are obligația de a informa persoana vizată în măsura în care persoana vizată deține deja informațiile respective, atât în situația în care datele cu caracter personal sunt colectate de la persoana vizată, cât și atunci când datele sale nu au fost obținute de la aceasta din urmă.

Grupul de lucru instituit prin art. 29 al Directivei 95/46/CE[5] a precizat că principiul responsabilității impune operatorilor să demonstreze și să documenteze ce informații deja deține persoana vizată, când și cum le-au primit, precum și faptul că nu a intervenit nici o modificare a informațiilor care le-ar face neactuale[6]. Astfel, proba cade în sarcina exclusivă a operatorului[7].

Acest principiu îl regăsim atât în considerentul (74) care prevede că „operatorul ar trebui (…) să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament”, cât și în art. 5 alin. (2) GDPR potrivit căruia operatorul este responsabil de respectarea principiilor legate de prelucrarea datelor cu caracter personal și poate demonstra această respectare.

Deși informațiile trebuie furnizate numai în măsura în care persoana vizată nu deține deja informațiile respective, ca exemplu de bune practici, Grupul de Lucru Art. 29 a recomandat furnizarea ulterioară a tuturor informațiilor prevăzute de art. 13 alin. (1) și (2) GDPR, chiar dacă nu au intervenit modificări, astfel încât persoana vizată să-și poată da seama cu ușurință care dintre informații sunt noi, tocmai pentru a se asigura astfel buna informare a persoanei vizate asupra modului de prelucrare a datelor și a drepturilor acesteia[8].

În acest sens, Grupul de Lucru Art. 29 a oferit următorul exemplu: dacă o persoană, după ce s-a înscris la un serviciu de e-mail on-line, moment în care a primit toate informațiile prevăzute de art. 13 alin. (1) și (2) GDPR, activează mai apoi un serviciu de mesagerie instantanee pus la dispoziție de același furnizor de servicii on-line, iar pentru acest nou serviciu furnizează numărul său de telefon, operatorul ar trebui să informeze persoana vizată nu numai cu privire la prelucrarea numărului de telefon (scopul și temeiul juridic al prelucrării, destinatarii, perioada de stocare), ci ar trebui să-i furnizeze și celelalte informații deși acestea nu s-au modificat între timp[9].

3. Prelucrarea datelor cu caracter personal este prevăzută de lege

Deși, ca regulă generală, considerentul (61) precizează că „(…) În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului”, potrivit art. 14 alin. (5) lit. c) GDPR operatorul nu are obligația de a informa persoana vizată în măsura în care obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul, însă numai atunci când datele cu caracter personal nu au fost obținute de la persoana vizată, nu și în situația în care datele cu caracter personal sunt colectate de la însăși persoana vizată.

Precizăm că, în cea din urmă situație, potrivit art. 13 alin. (2) lit. e) GDPR, operatorul trebuie să informeze persoana vizată inclusiv asupra faptului că furnizarea de date cu caracter personal reprezintă o obligație legală, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații. Principiul prelucrării corecte impune ca persoana vizată să fie informată chiar și atunci când prelucrarea este prevăzută de lege, mai ales pentru că informarea persoanei vizate nu este deosebit de dificilă atunci când datele sunt colectate direct de la aceasta[10]. Evident, obligația de informare nu va exista atunci când persoana vizată deține deja respectivele informații, iar operatorul poate proba aceasta[11].

În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, iar prelucrarea are loc în temeiul art. 6 alin. (1) lit. c) GDPR (obligațiile legale ale operatorului), respectiv obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul, acesta din urmă are de asemenea obligația de a informa persoana vizată cu privire la prelucrarea datelor sale cu caracter personal, cu excepția situației în care legea prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

Astfel, chiar dacă obținerea sau divulgarea datelor este prevăzută în mod expres de lege, operatorul nu va avea obligația de a o informa persoana vizată cu privire la prelucrarea datelor sale cu caracter personal decât în măsura în care dreptul Uniunii sau dreptul intern prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate. Prin urmare, obligația de informare subzistă atât timp cât cele două condiții nu sunt îndeplinite cumulativ: prelucrarea (obținerea sau divulgarea) să fie prevăzută de lege iar în plus aceasta să prevadă și măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

În privința obligației legale ca temei juridic al prelucrării, art. 6 alin. (3) GDPR precizează că aceasta trebuie să fie prevăzută în dreptul Uniunii sau în dreptul intern care se aplică operatorului iar scopul prelucrării este stabilit pe baza respectivului temei juridic. Potrivit considerentului (41): „Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză”. Deși măsura legislativă nu trebuie să îmbrace în mod obligatoriu forma unei legi, aceasta trebuie să facă obiectul unei publicări oficiale[12]. În plus, art. 6 alin. (3) GDPR prevede că dreptul Uniunii sau dreptul intern trebuie să urmărească un obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit.

Pe de altă parte, considerentul (45) subliniază faptul că Regulamentul general privind protecția datelor nu impune existența unei legi specifice pentru fiecare prelucrare în parte, astfel că poate fi suficientă o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație legală a operatorului.

Grupul de lucru Art. 29 a precizat că desemnarea explicită a operatorului prin lege – operatorul sau criteriile specifice pentru desemnarea acestuia sunt stabilite conform legislației naționale sau a UE – nu este frecventă și nu pune în general probleme mari, de exemplu în unele state legislația națională prevăzând ca autoritățile publice să fie responsabile pentru prelucrarea datelor cu caracter personal ca parte a îndatoririlor acestora[13]. Mai des întâlnită este însă situația în care legislația nu desemnează direct un operator sau nu stabilește criteriile pentru desemnarea acestuia, ci stabilește o îndatorire sau obligă o persoană să colecteze și să prelucreze anumite date, precum se întâmplă atunci când legislația obligă entitățile publice sau private să păstreze sau să furnizeze anumite date, situație în care aceste entități vor fi considerate ca având rolul de operator pentru prelucrarea oricăror date cu caracter personal în acest context[14].

Dreptul Uniunii sau dreptul intern trebuie să se adreseze în mod direct operatorului de date, iar obținerea sau divulgarea respectivă trebuie să fie obligatorie pentru acesta din urmă[15]. Principiul responsabilității impune și în acest caz operatorului să probeze modul în care i se aplică legea respectivă, precum și modul în care actul normativ îl obligă să obțină sau să dezvăluie datele cu caracter personal în cauză[16].

În privința măsurilor adecvate pentru a proteja interesele legitime ale persoanei vizate, Grupul de lucru Art. 29 a subliniat că, deși legislația Uniunii sau a statelor membre trebuie să stabilească conținutul legii astfel încât aceasta să prevadă măsuri adecvate, operatorul este cel căruia îi revine obligația de a verifica, precum și de a proba, faptul că obținerea sau divulgarea datelor personale respectă aceste măsuri, atunci când se prevalează de excepția prevăzută de art. 14 alin. (5) lit. c) GDPR.

Față de stadiul actual al legislației naționale avem rezerve în ceea ce privește întinderea domeniului de aplicare a art. 14 alin. (5) lit. c) GDPR de vreme ce mare parte din actele normative care impun operatorilor obligativitatea prelucrării de date cu caracter personal au fost adoptate anterior punerii în aplicare a Regulamentul (UE) 2016/679 și fără a se avea în vedere protecția datelor cu caracter personal, astfel că legiuitorul nu a prevăzut în conținutul acestora măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

4. Concluzii

Din cele două situații analizate trebuie să reținem, pe de o parte, că, pentru a justifica lipsa de informare a persoanei vizate, operatorului îi revine sarcina de a proba că aceasta deja deține toate informațiile necesare privind prelucrarea datelor sale cu caracter personal, iar pe de altă parte, în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, simplul fapt că prelucrarea datelor cu caracter personal este prevăzută de lege nu îndreptățește operatorul să ignore obligația de informare cât timp acel act normativ nu prevede și măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.

De asemenea, pentru a da eficacitate prevederilor art. 14 alin. (5) lit. c) GDPR se impune revizuirea actelor normative în vigoare care impun operatorilor obligativitatea prelucrării datelor cu caracter personal în vederea completării acestora cu măsuri adecvate protejării intereselor legitime ale persoanei vizate.

Bibliografie:

1. Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, ediție specială, cap. 13/vol. 17.

2. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

3. Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română este disponibilă la adresa: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_ro.pdf, document consultat la data de 27 noiembrie 2018.

4. Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.

5. European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 26.11.2018, disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.

6. Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014.

7. European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018.

8. D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista română de drept al afacerilor nr. 1/2018, pp. 79-84.

9. G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015.

10. CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C‑201/14, Bara și alții, ECLI: EU:C:2015:461.

11. CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general).


[1] G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.

[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[3] CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C‑201/14, Bara și alții, ECLI: EU:C:2015:461, parag. 74; CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), par. 33.

[4] A se vedea European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018, p. 207.

[5] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, ediție specială, cap. 13/vol. 17.

[6] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 27: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025. Comitetul European pentru Protecția Datelor a aprobat orientările Grupului de Lucru Art. 29 referitoare la GDPR – a se vedea Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf. Cu privire la importanța documentelor Grupului de lucru pentru Articolul 29, a se vedea: D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în revista Pandectele române nr. 2/2018, pp. 83 și 84.

[7] D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista română de drept al afacerilor nr. 1/2018, p. 83.

[8] Article 29 Data Protection Working Party, op. cit., pp. 27 și 28.

[9] Ibidem.

[10] Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014, p. 101.

[11] Subliniem că simplul fapt că datele sunt colectate de la o persoană vizată nu îl îndreptățește pe operator să presupună că persoana vizată ar deține informațiile ce ar trebui să-i fie furnizate în temeiul art. 13 alin. (1) și (2) GDPR.

[12] A se vedea CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), par. 40.

[13] Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română, p. 10.

[14] Ibidem.

[15] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 32.

[16] Ibidem.

Absența obligației de informare atunci când persoana vizată deține deja respectivele informații sau prelucrarea datelor este prevăzută de lege was last modified: ianuarie 8th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii