Conţinutul informării în situația în care datele cu caracter personal sunt colectate de la însăşi persoana vizată

1. Considerații introductive

Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului și participării acesteia în ceea ce privește prelucrarea datelor sale cu caracter personal[1], în acest sens, considerentul (7) precizând că „persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică (…) ar trebui să fie consolidată”.

Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă, cu cât condiționează exercitarea de către acestea din urmă a drepturilor conferite de Regulamentul general privind protecția datelor (GDPR)[2], precum dreptul de acces și de rectificare a datelor prelucrate și dreptul de opoziție al acestora față de prelucrarea datelor respective[3]. Potrivit considerentului (60), această cerință decurge din aplicarea principiilor prelucrării echitabile și transparente[4], astfel că, de regulă, persoana vizată trebuie să fie informată cu privire la operațiunea de prelucrare.

Art. 13 din GDPR precizează informațiile pe care operatorul, nu mai târziu de momentul obținerii datelor, este obligat a le furniza persoanei vizate atunci când datele sunt colectate direct de la aceasta din urmă. În practică, furnizarea datelor ar trebui să se întrepătrundă cu operațiunea de colectare a datelor cu caracter personal. Divulgarea datelor de către operatorul care a colectat aceste date cu caracter personal de la persoana vizată nu dă naștere în sarcina acestuia la o obligație de informare cu privire la noua prelucrare, aceasta revenind în temeiul art. 14 alin. (3) lit. a) din GDPR operatorului care a obținut în acest mod datele[5].

De aceea, în cele ce urmează, vom analiza prevederile art. 13 din GDPR privind conținutul informării persoanei vizate în situația în care datele cu caracter personal au fost colectate de la aceasta din urmă[6], dispoziție prin care s-a urmărit crearea cadrului în care persoanei vizate îi sunt furnizate de către operator o serie de informații cu privire la existența operațiunii de prelucrare și anumite detalii care țin de aceasta. Subliniem că obligația de a furniza informații persoanei vizate nu depinde de vreo solicitare venită din partea acesteia din urmă, ci trebuie respectată proactiv de către operator, indiferent dacă persoana ale cărei date cu caracter personal le prelucrează se arată interesată sau nu de aceste informații[7]. În plus, potrivit art. 5 alin. (2) din GDPR, operatorul are obligația de a putea proba la nevoie faptul că respectă principiile legate de prelucrarea datelor cu caracter personal, inclusiv principiile prelucrării echitabile și transparente.

2. Conținutul informării persoanei vizate

Lista informațiilor de furnizat persoanei vizate este cuprinsă în alin. (1) și (2) ale art. 13 din GDPR. Deși informațiile impuse în sarcina operatorului sunt divizate în două alineate, lista informațiilor este una exhaustivă și obligatorie[8], operatorul având obligația de a furniza toate aceste informații.

Art. 13 alin. (1) lit. a) și b) din GDPR – identitatea și datele de contact ale operatorului și ale reprezentantului acestuia, precum și datele de contact ale responsabilului cu protecția datelor (nu și identitatea acestuia), după caz. Potrivit Grupului de Lucru Art. 29, informația ar trebui să permită identificarea facilă și este preferabil ca persoanei vizate să i se pună la dispoziție diferite forme de comunicare precum, număr de telefon, e-mail, adresă poștală etc.[9].

Art. 13 alin. (1) lit. c) din GDPR – scopurile prelucrării datelor cu caracter personal, precum și temeiul juridic al prelucrării. Pe lângă scopul prelucrării, operatorul trebuie să indice și un temei juridic al prelucrării, precum consimțământul persoanei vizate, executarea unui contract în care persoana vizată este parte, îndeplinirea unei obligații legale a operatorului sau interesele legitime urmărite de acesta sau de o parte terță, etc. Potrivit Grupului de Lucru Art. 29, în cazul categoriilor speciale de date cu caracter personal trebuie specificate și dispozițiile relevante prevăzute de art. 9 din GDPR, precum și actul normativ în temeiul căreia aceste date sunt procesate atunci când datele sunt prelucrate în temeiul dreptului Uniunii sau al dreptului intern. La fel, trebuie precizată legea în temeiul căreia aceste date sunt procesate și în cazul datelor cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe[10].

Art. 13 alin. (1) lit. d) din GDPR – interesele legitime[11] urmărite de operator sau de un terț atunci când prelucrarea are loc în temeiul art. 6 alin. (1) lit. f) din GDPR. Potrivit Grupului de Lucru Art. 29, pe lângă indicarea interesului specific în cazul concret, ca un exemplu de bune practici, operatorul ar trebui de asemenea să furnizeze persoanei vizate informații privind testul comparativ (balancing test)[12] care trebuie efectuat de către operator, anterior colectării datelor cu caracter personal, pentru a putea recurge la art. 6 alin. (1) lit. f) din GDPR ca bază legală a prelucrării. Informațiile privind testul comparativ ar trebui incluse în cadrul unei notificări stratificate[13]. În orice caz, Grupul de Lucru Art. 29 consideră că, din informațiile furnizate persoanei vizate, trebuie să rezulte în mod clar faptul că aceasta din urmă poate obține la cerere informații privind testul comparativ. Această cerință este considerată a fi esențială pentru o efectivă transparență atunci când persoana vizată are dubii privind echitatea efectuării testului comparativ, precum și dacă dorește să se plângă autorității de supraveghere.

Art. 13 alin. (1) lit. e) din GDPR – destinatarii sau categoriile de destinatari ai datelor cu caracter personal. Potrivit art. 4 pct. 9 din GDPR, prin destinatar înțelegem „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță”. Astfel, sunt incluși în sfera noțiunii de destinatar: alți operatori, operatorii asociați și persoanele împuternicite de operatori cărora datele le sunt transferate sau dezvăluite[14]. Potrivit Grupului de Lucru Art. 29, în temeiul principiului prelucrării echitabile, operatorii trebuie să furnizeze persoanei vizate cele mai relevante informații privind destinatarii. În practică, informația va cuprinde numele destinatarilor, astfel încât persoana vizată să cunoască exact cine prelucrează datele sale cu caracter personal. În situația în care operatorul alege să indice doar categoriile de destinatari, acesta trebuie să poată demonstra echitatea alegerii sale. În acest caz, informațiile privind categoriile de destinatari ar trebui să fie cât mai specifice prin indicarea tipului de destinatar, de exemplu prin referire la activitatea pe care o desfășoară, a industriei, a sectorului și sub-sectorului, precum și a localizării destinatarilor.

Art. 13 alin. (1) lit. f) din GDPR – intenția transferului de date către o țară terță sau o organizație internațională, detaliile privind garanțiile transferului și mijloacele de a obține o copie a acestora. Potrivit Grupului de Lucru Art. 29, operatorul ar trebui să indice temeiul juridic al transferului și mecanismul corelativ[15]. De asemenea, operatorul ar trebui să furnizeze informații privind unde și cum pot fi accesate sau obținute documentele relevante, de exemplu prin punerea la dispoziția persoanei vizate a unui link către mecanismul întrebuințat. În plus, potrivit principiului echității, informația privind transferul de date către o țară terță ar trebui să fie cât mai semnificativă pentru persoana vizată, adică de regulă va trebui să se indice în mod explicit numele țărilor terțe către care vor fi transferate datele.

Art. 13 alin. (2) lit. a) din GDPR – perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă. Această cerință decurge din principiile reducerii la minimum a datelor și a limitării legate de stocare. Perioada de stocare sau criteriile pentru a determina durata sunt indicate de regulă în cadrul unor prevederi legale sau decurg din interpretarea acestora. Potrivit Grupului de Lucru Art. 29, nu este suficient ca operatorul să indice la modul general faptul că datele vor fi păstrate pe perioada necesară scopului legitim al prelucrării. În plus, atunci când această informație este relevantă, operatorul va indica diferitele perioade de stocare pentru fiecare categorie de date cu caracter personal în parte și/sau pentru fiecare scop al prelucrării în parte, inclusiv perioada de arhivare acolo unde este cazul[16].


[1] G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.

[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[3] CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C-201/14, Bara și alții, ECLI: EU:C:2015:461, parag. 74, și CJUE, hotărârea din 1 octombrie 2015, Bara și alții, C-201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), parag. 33.

[4] Pentru analiza celor două principii, se vedea D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în „Pandectele Române” nr. 3/2018, pp. 57-63 și Principiul transparenței în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018, pp. 59-67.

[5] În acest sens, a se vedea CJUE, hotărârea din 1 octombrie 2015, Bara și alții, C-201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), parag. 43-44.

[6] De exemplu, atunci când se completează un formular on-line sau când operatorul colectează datele prin observarea persoanei vizate, precum în cazul întrebuințării unui dispozitiv de captare automată a datelor sau a unui software de captare a datelor.

[7] Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg, Oficiul pentru Publicații al Uniunii Europene, 2014, p. 99.

[8] S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 136.

[9] A se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, p. 35. Comitetul European pentru Protecția Datelor a aprobat orientările Grupului de Lucru Art. 29 referitoare la GDPR – a se vedea Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018. Cu privire la importanța documentelor Grupului de lucru pentru Articolul 29, a se vedea: D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în Pandectele Române nr. 2/2018, pp. 83-84. În continuare, brevitatis causa, referirile din text la Grupul de Lucru Art. 29, fără nici o altă precizare, fac trimitere la Orientările privind transparența în temeiul Regulamentului 2016/679, versiunea în limba engleză, pp. 35-40.

[10] În cazul României, a se vedea Legea 363 din 28 decembrie 2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date, publicată în M. Of. nr. 13 din data de 7 ianuarie 2019.

[11] Pentru detalii privind conceptul de interes legitim, a se vedea Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, adopted on 9 April 2014, pp. 24-26.

[12] Acest test implică punerea în balanță a intereselor legitime urmărite de operator sau de o parte terță, pe de o parte, și a intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate, pe de altă parte, temeiul juridic al prelucrării putând fi reprezentat de „interesele legitime” numai atunci când acestea prevalează.

[13] Cum unele persoane vizate vor dori a fi informate pe scurt despre prelucrarea datelor lor cu caracter personal în timp ce altele vor solicita explicații detaliate, Grupul de Lucru Art. 29 a recomandat, ca exemplu de bune practici, utilizarea unor notificări stratificate ce permit persoanei vizate a alege nivelul de detaliu pe care îl preferă, formatul total al notificării, adică toate straturile luate împreună, conținând ansamblul informațiilor pe care operatorul este obligate a le furniza. Pentru mai multe detalii, a se vedea Article 29 Data Protection Working Party, Opinion on More Harmonised Information Provisions, WP100, adopted on 25 November 2004, p. 6 și urm, precum și Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 19-20.

[14] Potrivit art. 4 pct. 10 GDPR, prin „parte terță” înțelegem o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

[15] De exemplu, decizia privind caracterul adecvat al nivelului de protecție (art. 45 din GDPR), regulile corporatiste obligatorii (art. 47 din GDPR), transferul în baza unor garanții adecvate [art. 46 alin. (2) din GDPR], derogările pentru situațiile specifice (art. 49 din GDPR) etc.

[16] Perioada de arhivare poate fi extrasă de operator, în calitate de creator și deținător de documente, din nomenclatorul arhivistic prevăzut de Legea Arhivelor Naționale. A se vedea art. 8 alin. (2) din Legea nr. 16 din 2 aprilie 1996, republicată în M. Of. nr. 293 din data de 22 aprilie 2014, precum și Anexa nr. 1 la Instrucțiunile privind activitatea de arhivă la creatorii și deținătorii de documente, aprobate de conducerea Arhivelor Naționale prin Ordinul de zi nr. 217 din 23 mai 1996, document disponibil la: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf.

Conținutul informării în situația în care datele cu caracter personal sunt colectate de la însăși persoana vizată was last modified: august 5th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii