Consideraţii generale asupra dreptului la ştergerea datelor cu caracter personal

Situațiile în care persoana vizată nu poate obține din partea operatorului ștergerea datelor cu caracter personal care o privesc

În primul rând, potrivit art. 17 alin. (3) lit. a) din GDPR, ștergerea datele cu caracter personal nu poate fi obținută atunci când prelucrarea datelor este necesară pentru exercitarea dreptului la liberă exprimare și la informare. Totuși, drepturile la liberă exprimare și la informare nu constituie un impediment absolut în calea exercitării dreptului la uitare, în special ca urmare a exercitării dreptului la opoziție, la fel cum nici dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci, potrivit considerentului (4), toate aceste drepturi trebuie luate în considerare în raport cu funcția pe care o îndeplinesc în societate și echilibrate cu alte drepturi fundamentale.

Prin urmare, persoana vizată nu va obține ștergerea datelor sale cu caracter personal decât în măsura în care dreptul la liberă exprimare și la informare ar prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate, și implicit asupra dreptului persoanei vizate de a fi uitată. În toate celelalte cazuri operatorul va avea obligația de a șterge datele cu caracter personal fără întârzieri nejustificate.

În acest sens, într-o decizie de speță Curtea de casație belgiană a admis că dreptul la uitare exercitat împotriva editorului paginii web poate prevala asupra libertății de exprimare a presei și implicit asupra libertății de informare[19]. Pe de altă parte, tot într-o decizie de speță, Curtea de casație franceză a statuat în sensul că dreptul la uitare excede restricțiile care pot fi aduse libertății presei[20]. Prin urmare, echilibrul dintre libertatea presei și respectarea vieții private impune o analiză de la caz la caz, ceea ce poate conduce la decizii divergente mai ales în funcție de temeiul juridic ales și de particularitățile speței.

În al doilea rând, potrivit art. 17 alin. (3) lit. b) din GDPR, ștergerea datele cu caracter personal nu poate fi obținută atunci când prelucrarea este necesară pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul. De exemplu, operatorii care-și desfășoară activitatea în sectorul privat de multe ori sunt obligați prin lege să prelucreze date despre alte persoane, precum se întâmplă în cazul medicilor și al spitalelor private care pot avea obligația legală de a stoca datele privind tratamentul pacienților pentru mai mulți ani sau în cazul angajatorilor care trebuie să prelucreze datele angajaților din motive de securitate socială și fiscală, ori al întreprinderilor care trebuie să prelucreze datele clienților din motive de impozitare[21].

În al treilea rând, potrivit art. 17 alin. (3) lit. c) din GDPR, ștergerea datele cu caracter personal nu poate fi obținută atunci când prelucrarea este necesară din motive de interes public în domeniul sănătății publice, în conformitate cu art. 9 alin. (2) lit. (h) și (i) și cu art. 9 alin. (3). Deși nu se poate obține ștergerea acestora, în cazul prelucrării prevăzute la art. 9 alin. (2) lit. h) din GDPR s-au instituit garanții suplimentare, astfel că datele pot fi prelucrate numai de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, ori de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente. La fel, prelucrarea prevăzută la art. 9 alin. (2) lit. i) din GDPR trebuie însoțită de măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional. Bineînțeles, de îndată ce motivele de interes public în domeniul sănătății publice nu mai există se va putea cere de către persoana vizată și ștergerea acestor date.

Potrivit expunerii de motive la legea privind modificarea cadrului legislativ privind dosarul electronic de sănătate al pacientului[22], realizarea și implementarea acestuia este de utilitate publică de interes național iar crearea sa are loc fără consimțământul pacientului, în conformitate cu prevederile art. 9 alin. (2) lit. h) și i) din Regulamentul general privind protecția datelor. Însă, deși ștergerea datele cu caracter personal nu poate fi obținută atunci când prelucrarea este necesară din motive de interes public în domeniul sănătății publice, protejarea și garantarea dreptului la viață intimă, familială și privată a pacientului a impus reglementarea dreptului pacienților de a refuza în mod expres utilizarea dosarului electronic de sănătate. Practic, datele medicale nu sunt șterse, ci toate datele existente în dosarul electronic de sănătate al pacientului, constituit în condițiile art. 3461 alin. (3) din Legea nr. 95/2006[23], precum și datele ce se colectează ulterior refuzului exprimat se anonimizează[24], astfel încât pacientul respectiv să nu poată fi identificat în sistemul dosarului electronic de sănătate, datele fiind utilizate în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

În al patrulea rând, potrivit art. 17 alin. (3) lit. d) din GDPR, ștergerea datele cu caracter personal nu poate fi obținută atunci când prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. (1) din GDPR, în măsura în care dreptul la ștergerea datelor este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În atare situație, potrivit Grupului de Lucru Art. 29, operatorul pentru a se putea opune cererii persoanei vizate trebuie să demonstreze că ștergerea datelor cu caracter personal ar avea ca efect anularea obiectivelor prelucrării[25]. Per a contrario, atunci când exercitarea dreptului la uitare nu ar avea acest efect, ștergerea datelor va trebui pusă în operă.

În al cincilea rând, potrivit art. 17 alin. (3) lit. e) din GDPR, ștergerea datele cu caracter personal nu poate fi obținută atunci când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță. Evident este vorba de menținerea datelor cu caracter personal ale persoanei vizată în interesul unei terțe persoane care are nevoie de respectivele date în cadrul unei proceduri judiciare.

În completarea art. 19 din GDPR care obligă operatorul să notifice cu privire la ștergere fiecare destinatar căruia, anterior ștergerii, i-au fost divulgate datele cu caracter personal, art. 17 alin. (2) din GDPR impune operatorului să ia măsuri rezonabile, inclusiv măsuri tehnice – ținând seama de tehnologia disponibilă și de costul implementării – pentru a informa operatorii care prelucrează datele cu caracter personal cu privire la faptul că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

Noțiunea de „măsuri rezonabile” trebuie privită în contextul mai larg al obligației operatorilor de a avea în vedere protejarea drepturilor persoanelor vizate pe parcursul întregului ciclu al prelucrării datelor astfel încât să poată fi asigurată trasabilitatea datelor cu caracter personal oricând pe parcursul prelucrării potrivit principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.

În încheiere precizăm că, potrivit art. 7 din Legea nr. 190/2018[26], în vederea asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, pe de o parte, și libertatea de exprimare și dreptul la informație, pe de altă parte, prelucrarea datelor cu caracter personal realizată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, poate fi efectuată prin derogare de la dreptul la ștergerea datelor[27], însă numai atunci când datele respective fie au fost făcute publice în mod manifest de către persoana vizată, fie este vorba de date care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.

Totuși, nici în atare situații nu excludem posibilitatea persoanei vizate de a se prevala, mai devreme sau mai târziu, de beneficiul dreptului la uitare iar acesta întrucât dacă dreptul la protecția datelor cu caracter personal nu este un drept absolut – acesta fiind luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității – și reciproca trebuie să se verifice.


DOWNLOAD FULL ARTICLE

[19] A se vedea Curtea de casație din Belgia, decizia nr. C.15.0052.F din 29 aprilie 2016, disponibilă pe http://jure.juridat.just.fgov.be, precum și S.-D. Șchiopu, Un reper jurisprudențial din practica instanțelor belgiene în materia dreptului la uitare digitală, în Revista Universul Juridic nr. 4/2018, pp. 36-44.

[20] A se vedea Curtea de casație din Franța, decizia nr. 15-17.729 din 12 mai 2016, ECLI:FR:CCASS:2016:C100502, disponibilă pe https://www.legifrance.gouv.fr și S.-D. Șchiopu, Un reper jurisprudențial din practica instanțelor franceze în materia dreptului la uitare digitală, în Revista Universul Juridic nr. 9/2018, pp. 101-107.

[21] Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2014, p. 85.

[22] A se vedea Guvernul României, Expunere de motive la proiectul de lege pentru modificarea și completarea Legii nr. 95/2006 privind reforma în domeniul sănătății, p. 3, document disponibil la http://www.cdep.ro/proiecte/2018/500/90/3/em790.pdf, consultat la data de 24.08.2019.

[23] Legea nr. 95 din 14 aprilie 2006 privind reforma în domeniul sănătății, republicată în M. Of. nr. 652 din data de 28 august 2015, cu modificările și completările ulterioare.

[24] Potrivit art. 34612 alin. (1) din Legea nr. 95/2006, prin anonimizare se înțelege adoptarea unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea datelor privind sănătatea unor persoane fizice identificate sau identificabile.

[25] A se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, p. 31. Succesorul acestuia, Comitetul european pentru protecția datelor (CEPD) și-a însușit poziția Grupului de lucru art. 29. A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.

[26] Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.

[27] Această derogare a fost adoptată în temeiul art. 23 din GDPR potrivit căruia, dreptul intern care se aplică operatorului de date poate restricționa printr-o măsură legislativă domeniul de aplicare al drepturilor persoanelor vizate, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică.

Considerații generale asupra dreptului la ștergerea datelor cu caracter personal was last modified: octombrie 31st, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii