Temeiul juridic al prelucrării datelor cu caracter personal de către autorităţi şi organisme publice potrivit articolului 6 din Regulamentul general privind protecția datelor

1. Considerații introductive

În aplicarea Regulamentului general privind protecția datelor (GDPR)[1], potrivit art. 2 alin. (1) lit. a) din Legea nr. 190/2018[2], prin „autorități și organisme publice”[3] înțelegem Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean, alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora[4].

Prelucrarea datelor cu caracter personal de către aceste autorități și organisme publice prezintă unele particularități, nu numai în planul sancțiunilor[5], ci și în ceea ce privește temeiurile juridice la care pot recurge autoritățile și organismele publice în vederea asigurării legalității propriilor operațiuni de prelucrare. Corecta determinare a temeiului juridic al prelucrării facilitează acestor operatori de date cu caracter personal inclusiv îndeplinirea obligației de informare a persoanelor vizate prevăzută de art. 13 alin. (1) lit. c) și art. 14 alin. (1) lit. c) GDPR. De asemenea, temeiul juridic al prelucrării poate fi inclus ca informație complementară în registrul de evidență a activităților de prelucrare reglementat în cadrul art. 30 GDPR și care servește operatorului să demonstreze conformitatea activităților de prelucrare cu prevederile Regulamentului (UE) 2016/679, registrul constituind o condiție prealabilă pentru conformitate și, în același timp, o dovadă de asumare a responsabilității prelucrării datelor cu caracter personal[6].

În cele ce urmează vom analiza situațiile în care autoritățile și organismele publice (nu) pot recurge la temeiurile juridice prevăzute de art. 6 alin. (1) GDPR pentru a asigura legalitatea propriilor operațiuni de prelucrare a datelor cu caracter personal.

2. Consimțământul

Deși persoana vizată își poate da consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice[7], considerentul (42) subliniază că acesta „nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată”.

În acest sens considerentul (43) precizează că, pentru a garanta faptul că a fost acordat în mod liber, „consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator (s.n.), în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare”.

Totuși, utilizarea consimțământului ca temei juridic pentru prelucrarea datelor de către autoritățile și organismele publice nu este total exclusă de Regulamentul general privind protecția datelor, astfel că recurgerea la consimțământ poate fi adecvată în anumite circumstanțe. Un exemplu în acest sens este cazul în care o instituție de învățământ public aflată în subordinea Ministerului Educației Naționale solicită elevilor consimțământul de a le folosi fotografiile într-o revistă școlară. Consimțământul în această situație poate fi o alegere reală însă numai în măsura în care elevii ar putea refuza utilizarea acestor fotografii fără niciun prejudiciu, beneficiind în continuare, în aceleași condiții, de activitățile și serviciile educaționale[8]. Precizăm că Comitetul european pentru protecția datelor (CEPD)[9] și-a însușit această poziție[10].

La fel, autoritățile și organismele publice, nici în situația în care prelucrează date cu caracter personal în contextul ocupării unui loc de muncă, pentru cea mai mare parte a operațiunilor de prelucrare a datelor personale „temeiul juridic nu poate și nu ar trebui să fie consimțământul angajaților (…), având în vedere natura relației dintre angajator și angajat”[11], respectiv dezechilibrul dintre autoritatea sau organismul public și angajații acestora.

Numai pentru o mică parte din activitățile de prelucrare operatorul va putea recurge la consimțământ ca temei juridic al prelucrării, însă numai în măsura în care autoritatea sau organismul public va putea demonstra faptul că persoana vizată (angajatul) și-a dat consimțământul în mod liber pentru operațiunea de prelucrare, ceea se întâmplă numai în situații excepționale adică atunci când consecințele negative lipsesc cu desăvârșire indiferent dacă persoana vizată consimte sau nu la prelucrarea datelor sale.

Consimțământul poate fi valabil exprimat, de exemplu, atunci când, într-un anumit birou urmează a se turna un film, iar angajatorul solicită tuturor angajaților care lucrează în zona respectivă consimțământul pentru a fi filmați întrucât aceștia pot apărea pe fundalul înregistrării video, cei care nu doresc a fi filmați urmând a primi birouri echivalente în altă parte a clădirii pe durata filmărilor, astfel că nu sunt în niciun fel penalizați pentru refuzul de a consimți la prelucrarea datelor lor cu caracter personal (imaginea)[12].

Nu în ultimul rând, precizăm că, potrivit considerentului (43), consimțământul este considerat a nu fi acordat în mod liber atunci când „executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului”. De aceea, art. 7 alin. (4) GDPR prevede că în cazul evaluării „dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.

Precum a subliniat și Grupul de lucru art. 29 din Regulamentul (UE) 2016/679 garantează faptul că prelucrarea datelor cu caracter personal pentru care se solicită consimțământul nu poate deveni direct sau indirect contraprestația unui contract, iar cele două temeiuri juridice pentru prelucrarea legală a datelor cu caracter personal, și anume consimțământul și contractul, nu pot fi amalgamate și indistincte[13]. La fel, atunci când serviciile pot fi obținute numai dacă anumite date cu caracter personal sunt comunicate operatorului sau ulterior unor terți, consimțământul persoanei vizate de a divulga datele care nu sunt necesare pentru încheierea sau executarea contractului nu poate fi considerat o decizie liberă și, prin urmare, nu este valabil potrivit Regulamentului general privind protecția datelor[14].

3. Relația contractuală

Potrivit art. 6 alin. (1) lit. b) GDPR, autoritățile și organismele publice pot recurge la relația contractuală ca temei juridic al prelucrării datelor cu caracter personal numai atunci când „prelucrarea este necesară (s.n.) pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”. Această prevedere include și relațiile precontractuale[15] și dezvoltă conținutul considerentului (44), potrivit căruia prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract. Trebuie să subliniem faptul că în cazul relațiilor precontractuale prelucrarea poate avea ca temei juridic art. 6 alin. (1) lit. b) GDPR numai în măsura în care persoana vizată a cerut operatorului să facă anumite demersuri înainte de încheierea contractului. Prin urmare, operatorul va trebui să poată face dovada că acele demersuri (ce implică prelucrarea datelor cu caracter personal) sunt realizate la cererea persoanei vizate.

Grupul de lucru art. 29 a subliniat faptul că recurgerea la acest temei juridic trebuie interpretată în mod strict, astfel că este important să se determine cu exactitate care sunt motivele încheierii contractului (conținutul său și obiectivul fundamental) și ce date ar fi necesare pentru executarea contractului respectiv, întrucât acesta este contextul în care se verifică dacă prelucrarea datelor este sau nu necesară pentru executarea acestuia[16].

Relația contractuală nu poate constitui temei juridic al prelucrării datelor cu caracter personal atunci când prelucrarea nu este într-adevăr necesară pentru executarea unui contract, ci este mai degrabă impusă în mod unilateral de către operator persoanei vizate. Practic aici ne aflăm în prezența unei aplicații a principiului reducerea la minimum a datelor prevăzut de art. 5 alin. (1) lit. c) GDPR, potrivit căruia datele cu caracter personal trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (încheierea sau executarea contractului – n.n.)”. De aceea, între prelucrarea datelor și scopul executării contractului trebuie să existe o legătură directă și obiectivă[17].

Prin urmare, dacă autoritățile și organismele publice urmăresc a procesa date cu caracter personal care sunt efectiv necesare pentru executarea unui contract, atunci consimțământul nu constituie temei juridic adecvat[18], iar în ceea ce ne privește considerăm că acest aspect ar trebui evidențiat și în registrul de evidență a activităților de prelucrare reglementat în cadrul art. 30 GDPR și care servește operatorului să demonstreze conformitatea activităților de prelucrare cu prevederile Regulamentului (UE) 2016/679. Pe de altă parte, dacă operatorul va dori să legitimeze prelucrarea datelor excedentare atunci va trebui să recurgă la un alt temei juridic, precum consimțământul, pentru o parte din prelucrare[19].

4. Obligații legale ale operatorului

Potrivit art. 6 alin. (1) lit. c) GDPR, prelucrarea poate fi necesară în vederea îndeplinirii unei obligații legale ce revine autorității sau organismului public. În acest sens, art. 6 alin. (3) GDPR precizează că temeiul juridic al prelucrării (obligația legală) trebuie să fie prevăzut în dreptul Uniunii sau în dreptul intern care se aplică operatorului iar scopul prelucrării este stabilit pe baza respectivului temei juridic[20]. Această dispoziție se referă la operatorii care acționează atât în sectorul privat, cât și în cel public, însă obligațiile legale ale operatorilor de date cu caracter personal din sectorul public pot constitui, de asemenea, obiectul art. 6 alin. (1) lit. e) GDPR[21].

În plus, art. 6 alin. (3) GDPR prevede că dreptul Uniunii sau dreptul intern trebuie să urmărească un obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit. Pe de altă parte, considerentul (45) subliniază faptul că Regulamentul general privind protecția datelor nu impune existența unei legi specifice pentru fiecare prelucrare în parte, astfel că poate fi suficientă o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație legală a operatorului.

Grupul de lucru art. 29 a precizat că desemnarea explicită a operatorului prin lege nu este frecventă și nu pune în general probleme mari, iar în unele țări legislația națională prevede ca autoritățile publice să fie responsabile pentru prelucrarea datelor cu caracter personal ca parte a îndatoririlor acestora[22]. Mai des întâlnită este însă situația în care legislația nu desemnează direct un operator sau nu stabilește criteriile pentru desemnarea acestuia, ci stabilește o sarcină sau impune unei autorități sau unui organism public obligația de a colecta și a prelucra anumite date. De asemenea, legislația poate obliga autoritățile sau organismele publice să păstreze sau să furnizeze anumite date, situație în care aceste entități vor fi considerate ca având rolul de operator pentru prelucrarea oricăror date cu caracter personal în acest context[23].


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[2] Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.

[3] Practic redactorii legii au adaptat definiția instituțiilor publice din art. 2 pct. 30 al Legii nr. 500 din 11 iulie 2002 privind finanțele publice, publicată în M. Of. nr. 597 din data de 13 august 2002.

[4] Potrivit art. 2 alin. (1) lit. a) teza finală din Legea nr. 190/2018, unitățile de cult și asociațiile și fundațiile de utilitate publică sunt asimilate autorităților/organismelor publice.

[5] A se vedea art. 13 și 14 din Legea nr. 190/2018.

[6] S.-D. Șchiopu, Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal, în Revista română de drept al afacerilor nr. 1/2018, p. 94.

[7] Pentru detalii, a se vedea D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista română de drept al afacerilor nr. 5/2017, pp. 129-135.

[8] Pentru alte exemple, a se vedea Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, p. 6.

[9] CEPD este un organism al UE însărcinat cu aplicarea GDPR începând cu data de 25 mai 2018 și are în componența sa șefii fiecărei autorități de supraveghere din statele membre UE sau reprezentanții acestora.

[10] A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018.

[11] Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, adopted on 8 June 2017, versiunea în limba română, p. 6.

[12] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, p. 7.

[13] Idem, p. 8.

[14] European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018, pp. 145 și 146.

[15] De exemplu, o parte intenționează să încheie un contract, însă nu a făcut-o încă, posibil din cauza unor verificări rămase de finalizat, iar una dintre părți trebuie să prelucreze datele în acest scop – idem, p. 151.

[16] A se vedea Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014; versiunea în limba română, p. 18.

[17] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, p. 8.

[18] În acest sens, a se vedea ibidem.

[19] Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, WP187, adopted on 13 July 2011, p. 8.

[20] Considerentul (41): „Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză”.

[21] European Union Agency for Fundamental Rights, Council of Europe, op. cit., p. 151.

[22] Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română, p. 10.

[23] Ibidem.

Temeiul juridic al prelucrării datelor cu caracter personal de către autorități și organisme publice potrivit articolului 6 din Regulamentul general privind protecția datelor was last modified: noiembrie 8th, 2018 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii