Absența obligației de informare în ipoteza prevăzută de art. 14 alin. (5) lit. b) din Regulamentul general privind protecția datelor

1. Considerații introductive

Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului și participării acesteia în ceea ce privește prelucrarea datelor sale cu caracter personal[1], în acest sens considerentul (7) precizând că „persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică (…) ar trebui să fie consolidată”.

Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă, cu cât condiționează exercitarea de către persoanele vizate a drepturilor lor conferite de Regulamentul general privind protecția datelor (GDPR)[2], precum dreptul de acces și de rectificare a datelor prelucrate, și dreptul de opoziție al acestora față de prelucrarea datelor respective[3].

Potrivit considerentului (60), această obligație decurge din aplicarea principiilor prelucrării echitabile și transparente[4], astfel că, de regulă, persoana vizată trebuie să fie informată cu privire la operațiunea de prelucrare. Totuși, există și situații în care s-a considerat că nu este necesar a se impune operatorului obligația de a furniza persoanei vizate informații privind prelucrarea datelor sale cu caracter personal.

În cele ce urmează vom analiza trei din aceste situații ce își găsesc aplicarea numai atunci când datele cu caracter personal nu au fost obținute de la persoana vizată, respectiv ipoteza în care furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate, precum și cea în care obligația de informare este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective.

Totuși, aceste excepții nu se aplică de exemplu în cazul prelucrării opiniilor politice de către partidele politice și organizațiile cetățenilor aparținând minorităților naționale. Potrivit considerentului (56), atunci când „în cadrul activităților electorale, funcționarea sistemului democratic necesită, într-un stat membru, ca partidele politice să colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisă din motive de interes public, cu condiția să se prevadă garanțiile corespunzătoare (s.n.)”.

Tocmai de aceea Legea nr. 190/2018[5] în cadrul art. 9 alin. (1) prevede că, în vederea asigurării proporționalității și a unui echilibru între dreptul la protecția datelor cu caracter personal și a datelor speciale, pe de o parte, și prelucrarea unor astfel de date de către partidele politice și organizațiile cetățenilor aparținând minorităților naționale, pe de altă parte, se poate realiza numai cu informarea persoanei vizate despre prelucrarea datelor sale cu caracter personal. Prin urmare, în această situație, operatorul nu se va putea prevala de excepțiile prevăzute de art. 14 alin. (5) lit. b) din Regulamentul general privind protecția datelor

2. Furnizarea acestor informații se dovedește a fi imposibilă

Dacă furnizarea informațiilor se dovedește a fi imposibilă atunci operatorul trebuie să poată demonstra factorii ce-l împiedică a furniza persoanei vizate aceste informații. Potrivit Grupului de Lucru Art. 29, de îndată ce factorii ce au determinat imposibilitatea nu mai există și devine posibilă furnizarea informației, operatorul trebuie de îndată să o pună în operă[6].

Imposibilitatea furnizării informațiilor este determinată de regulă de lipsa datelor de contact ale persoanei vizate. Într-o atare situație, în jurisprudența națională s-a decis că, dacă datele cu caracter personal nu au fost obținute de la persoanele vizate iar datele de contact ale acestora din urmă nu sunt deținute de operator, informarea persoanei vizate se poate realiza prin includerea informațiilor în cadrul site-ului, nefiind necesară realizarea unei informări individuale a fiecărei părți, informare care într-adevăr ar fi imposibil de realizat[7]. Astfel, furnizarea informațiilor va putea fi realizată prin stabilirea unor clauze adecvate de informare pe pagina principală a operatorului, precum în cadrul politicii de confidențialitate a site-ului.

Potrivit art. 14 alin. (2) lit. f) din GDPR, în cazul în care datele nu au fost obținute de la persoana vizată, operatorul trebuie să furnizeze acesteia din urmă inclusiv informații privind sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public. Deși considerentul (61) precizează că, în situația în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate întrucât au fost utilizate surse diverse, ar trebui furnizate informațiile generale, Grupul de Lucru Art. 29 a subliniat că, simplul fapt că baza de date ce conține datele cu caracter personal a fost compilată de operator utilizând mai mult de o sursă nu este suficient pentru a îndepărta obligația informării asupra surselor specifice ale datelor, atunci când este posibilă identificarea acestora, chiar dacă operațiunea de identificare a surselor ar fi cronofagă și împovărătoare[8].

În plus, potrivit art. 25 din GDPR privind asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (data protection by design and by default), operatorii trebuie să aibă în vedere protejarea drepturilor persoanelor vizate, inclusiv sub aspectul transparenței, pe parcursul întregului ciclu al prelucrării datelor astfel încât să poată fi asigurată trasabilitatea datelor cu caracter personal oricând pe parcursul prelucrării[9].

De asemenea, obligația de a furniza informații privind sursa datelor trebuie privită și în lumina principiilor echității și responsabilității, astfel că operatorul „nu poate distruge informațiile privind sursa datelor pentru a fi scutit de obligația de le divulga sau ignora standardul aplicabil și necesitățile recunoscute de documentare în domeniul în care-și desfășoară activitatea”[10].

3. Furnizarea acestor informații ar implica eforturi disproporționate

Situația în care furnizarea informațiilor ar implica eforturi disproporționate poate interveni în special atunci când prelucrarea datelor cu caracter personal are loc în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, astfel că, de regulă, de această excepție nu pot beneficia alte prelucrări a datelor. În vederea evaluării efortului necesar furnizării informațiilor vor fi avute în vedere criterii precum numărul persoanelor vizate, vechimea datelor și orice garanții adecvate adoptate[11].

Grupul de Lucru Art. 29 recomandă operatorilor care ar vrea să se prevaleze de această excepție de la obligația de informare să pună în balanță (balancing exercise) efortul pe care-l implică pentru operator furnizarea informațiilor către persoanele vizate, pe de o parte, și efectele asupra persoanei vizate în cazul în care informațiile nu i-ar fi furnizate, pe de altă parte. În plus, această evaluare ar trebui documentată de către operator potrivit obligațiilor sale de responsabilitate[12].

Dacă în urma evaluării se constată că furnizarea informațiilor fiecărei persoane vizate în parte ar implica eforturi disproporționate, operatorul, potrivit art. 14 alin. (5) lit. b) din GDPR, trebuie să ia măsuri adecvate[13] pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului. Aceste măsuri adecvate pot consta, de exemplu, în publicarea informațiilor pe site-ul operatorului sau prin promovarea în mod proactiv a informațiilor într-un ziar sau pe afișe la sediul său[14].

Un caz particular este acela când operatorul prelucrează date cu caracter personal ce nu implică identificarea persoanei vizate, precum în cazul datelor pseudoanonimizate[15], și poate demonstra că nu este în măsură să identifice persoana vizată. Într-o atare situație, potrivit art. 11 alin. (1) din GDPR, operatorul nu are obligația de a obține sau prelucra informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării obligației de informare.

4. Furnizarea acestor informații este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective

Atunci când furnizarea informațiilor este susceptibilă a face imposibil sau să afecteze în mod grav realizarea obiectivelor prelucrării datelor cu caracter personal, operatorul, pentru a se putea prevala de această excepție, trebuie să demonstreze că simpla furnizare a informațiilor ar avea ca efect anularea obiectivelor prelucrării[16]. Evident, chiar și în acest caz, prelucrarea datelor trebuie să respecte toate principiile prevăzute la art. 5 din GDPR, și în special că prelucrarea datelor cu caracter personal este echitabilă și are un temei juridic ce asigură legalitatea prelucrării[17].

5. Concluzii

Din cele trei situații analizate reținem că, pe de o parte, pentru a justifica lipsa de informare a persoanei vizate, operatorului îi revine sarcina de a proba factorii ce-l împiedică a furniza persoanei vizate respectivele informații sau faptul că simpla furnizare a informațiilor ar avea ca efect anularea obiectivelor prelucrării iar evaluarea eforturilor disproporționate trebuie documentată de către operator potrivit obligațiilor sale de responsabilitate.

Pe de altă parte, în toate aceste situații, operatorul mai are și obligația de a lua măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv prin punerea informațiilor la dispoziția publicului.

Bibliografie:

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016;

Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018;

– Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018 document consultat la data de 26.02.2019, disponibil la: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025;

– European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 26.02.2019, disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.p
df;

– Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014;

– D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în Pandectele Române nr. 2/2018;

– D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018;

– D.-M. Șandru, Principiul transparenței în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018;

– G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015;

– CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C‑201/14, Bara și alții, ECLI: EU:C:2015:461;

– CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general);

– Trib. București, s. a II-a cont. adm. și fisc., sent. civ. nr. 6120 din 2 octombrie 2014, nepublicată.


[1] G. Zamfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.

[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[3] CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C‑201/14, Bara și alții, ECLI: EU:C:2015:461, parag. 74; CJUE, hotărârea din 1 octombrie 2015, Bara și alții, C‑201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), parag. 33.

[4] Pentru o analiză a acestor principii, a se vedea D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018, pp. 57-63; D.-M. Șandru, Principiul transparenței în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018, pp. 59-67.

[5] Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.

[6] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 29. Comitetul European pentru Protecția Datelor a aprobat orientările Grupului de Lucru Art. 29 referitoare la GDPR; a se vedea Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf. Cu privire la importanța documentelor Grupului de lucru pentru Articolul 29; a se vedea D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în Pandectele Române nr. 2/2018, pp. 83-84.

[7] A se vedea Trib. București, s. a II-a cont. adm. și fisc., sent. civ. nr. 6120 din 2 octombrie 2014, nepublicată. În același sens, Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014, p. 101.

[8] A se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, p. 29.

[9] Ibidem.

[10] A se vedea Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, op. cit., p. 112.

[11] De exemplu, dacă un grup de genealogiști obține un set de date privind 20.000 de persoane, însă datele au fost colectate în urmă cu jumătate de secol, nu au fost actualizate și nici nu conțin datele de contact ale persoanelor vizate, având în vedere mărimea bazei de date și vechimea datelor, identificarea fiecărei persoane vizate pentru a-i fi furnizate informațiile prevăzute de art. 14 ar implica un efort disproporționat pentru cercetători; a se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 30-31.

[12] Ibidem.

[13] Pentru mai multe detalii, Ibidem.

[14] Această obligație există și în cazul în care un operator stabilește că furnizarea informațiilor se dovedește a fi imposibilă sau aceasta ar fi de natură să facă imposibilă sau să afecteze grav realizarea obiectivelor prelucrării.

[15] Potrivit art. 4 pct. 5 din GDPR, prin „pseudonimizare” înțelegem prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare.

[16] De exemplu, o bancă care are obligația legală de a raporta autorităților competente orice activitate suspicioasă privind conturile clienților nu-și va putea informa clientul persoană vizată de raportarea unui transfer bancar întrucât o atare informare ar afecta grav obiectivele legislației privind spălarea de bani. Totuși, la deschiderea contului, banca își va putea informa clienții la modul general că datele lor cu caracter personal pot fi procesate pentru combaterea spălării banilor; a se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 31-32.

[17] Ibidem.

Absența obligației de informare în ipoteza prevăzută de art. 14 alin. (5) lit. b) din Regulamentul general privind protecția datelor was last modified: aprilie 10th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii