Temeiul juridic al prelucrării datelor cu caracter personal de către autorităţi şi organisme publice potrivit articolului 6 din Regulamentul general privind protecția datelor
Silviu-Dorin Şchiopu - octombrie 1, 2018Trebuie să amintim faptul că majoritatea legilor prevăd în sarcina operatorilor, inclusiv autorităţile şi organismele publice, obligaţii ce întemeiază legalitatea prelucrării însă încalcă, de exemplu, principiul reducerii la minimum a datelor[24]. Rămâne de văzut cum vor aplica instanţele judecătoreşti prevederile Regulamentului (UE) 2016/679 în cazul acestor încălcări, având în vedere art. 148 alin. (2) din Constituția României, potrivit căruia „ca urmare a aderării, prevederile tratatelor constitutive ale Uniunii Europene, precum şi celelalte reglementări comunitare cu caracter obligatoriu, au prioritate faţă de dispoziţiile contrare din legile interne (s.n.), cu respectarea prevederilor actului de aderare”.
Deşi, atunci când o regulă naţională este contrară unei dispoziţii europene, autorităţile statelor membre trebuie să aplice dispoziţia europeană, avem rezerve în ceea ce priveşte aplicarea proactivă a dispoziţiilor Regulamentului general privind protecţia datelor de către autorităţile şi organismele publice în situaţia în care legea naţională furnizează temeiul juridic al prelucrării datelor însă încalcă principiul minimizării datelor sau alte dispoziţii ale Regulamentului (UE) 2016/679, cu atât mai mult cu cât art. 13 alin. (1) din Legea nr. 190/2018, în ceea ce priveşte aplicarea măsurilor corective autorităţilor şi organismelor publice, prevede într-o primă etapă numai aplicarea sancţiunii avertismentului şi la care se anexează un plan de remediere.
5. Interesele vitale ale persoanei vizate sau ale altei persoane fizice
Autorităţile şi organismele publice pot recurge la temeiul juridic prevăzut de art. 6 alin. (1) lit. d) GDPR atunci când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice. În același sens, considerentul (46) precizează că prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice.
Același considerent subliniază în continuare faptul că „prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic”. Prin urmare, numai în ceea ce priveşte prelucrarea datelor altor persoane fizice decât persoana vizată există interdicţia recurgerii la acest temei juridic atunci când operatorul poate legitima prelucrarea întemeind-o pe un alt temei prevăzut de Regulamentului general privind protecţia datelor (ex. prelucrarea datele personale ale unui părinte pentru a proteja interesele vitale ale copilului).
Considerentul (46) menţionează şi câteva situaţii când prelucrarea poate servi intereselor vitale ale persoanei vizate, respectiv cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.
Precizăm că autorităţile şi organismele publice nu pot recurge la temeiul juridic prevăzut de art. 6 alin. (1) lit. d) GDPR pentru a prelucra date privind sănătatea sau alte categorii speciale de date cu caracter personal atunci când persoana vizată deşi este capabilă să-şi dea consimţământul, refuză să-l dea[25].
6. Interesul public sau exercitarea autorităţii oficiale cu care este învestit operatorul
Potrivit art. 6 alin. (1) lit. e) GDPR, prelucrarea poate fi necesară în vederea îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, iar art. 6 alin. (3) GDPR precizează că în aceste situaţii temeiul juridic al prelucrării[26] trebuie să fie prevăzut în dreptul Uniunii sau în dreptul intern care se aplică operatorului, scopul prelucrării fiind necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului.
În acest caz, spre deosebire de prelucrarea în temeiul unei obligaţii legale, autorităţilor şi organismelor publice nu le este atribuită în mod expres prin lege calitatea de operator, nici nu li se impune obligaţia de a colecta și a prelucra anumite date, însă ducerea la îndeplinire a sarcinii care servește unui interes public sau care rezultă din exercitarea autorității publice implică în mod necesar prelucrarea de date cu caracter personal.
Art. 2 alin. (1) lit. f) din Legea nr. 190/2018 defineşte „îndeplinirea unei sarcini care serveşte unui interes public” ca acele activităţi ale partidelor politice sau ale organizaţiilor cetăţenilor aparţinând minorităţilor naţionale, ale organizaţiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public ori funcţionării sistemului democratic, incluzând încurajarea participării cetăţenilor în procesul de luare a deciziilor şi a pregătirii politicilor publice, respectiv promovarea principiilor şi valorilor democraţiei. Prin urmare, în sensul legii de punere în aplicare, în măsura în care enumerarea de mai sus este exhaustivă, numai partidele politice, organizaţiile cetăţenilor aparţinând minorităţilor naţionale, precum şi organizaţiile neguvernamentale pot prelucra date cu caracter personal în temeiul îndeplinirii unei sarcini care servește unui interes public.
Statele membre pot introduce dispoziții mai specifice de adaptare a aplicării normelor Regulamentului general privind protecţia datelor în ceea ce privește prelucrarea în vederea respectării art. 6 alin. (1) lit. e) GDPR prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile.
Astfel, în contextul îndeplinirii unei sarcini care serveşte unui interes public, art. 6 din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 prevede în privinţa prelucrării datelor cu caracter personal şi a categorii speciale de date cu caracter personal că o asemenea prelucrare se poate efectua numai cu instituirea de către operator sau de către partea terţă a unor garanţii: a) punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru respectarea principiilor legate de prelucrarea datelor cu caracter personal, în special a reducerii la minimum a datelor, respectiv a principiului integrităţii şi confidenţialităţii; b) numirea unui responsabil pentru protecţia datelor, dacă aceasta este necesară în conformitate cu art. 10 din Legea nr. 190/2018[27]; c) stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii.
Prin urmare, orice categorie de date cu caracter personal, inclusiv cele speciale, poate fi prelucrată de asociaţiile şi fundaţiile de utilitate publică (organizaţiile neguvernamentale) în temeiul îndeplinirii unei sarcini care servește unui interes public numai cu instituirea garanţiilor de mai sus.
Cum asociaţiile şi fundaţiile de utilitate publică sunt asimilate autorităţilor/organismelor publice potrivit art. 2 alin. (1) lit. a) teza finală din Legea nr. 190/2018, rezultă că numai Camera Deputaţilor şi Senatul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale, autorităţile şi instituţiile publice autonome, autorităţile administraţiei publice locale şi de la nivel judeţean, alte autorităţi publice, precum şi instituţiile din subordinea/coordonarea acestora, vor putea recurge la exercitarea autorității publice ca temei juridic al prelucrării datelor cu caracter personal.
Potrivit considerentului (55) prelucrarea datelor cu caracter personal de către autoritățile publice în vederea realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, şi de către asociațiilor religioase recunoscute oficial se efectuează din motive de interes public. Deşi unităţile de cult sunt asimilate autorităţilor/organismelor publice şi prelucrează datele cu caracter personal din motive de interes public, acestea îşi vor putea întemeia prelucrarea nu pe îndeplinirea unei sarcini care rezultă din exercitarea autorității publice, ci pe îndeplinirea unei sarcini care servește unui interes public.
De asemenea, considerentul (46) precizează că unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu, în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om. Astfel, în cazul anumitor prelucrări de date cu caracter personal putem avea un concurs de temeiuri juridice ce nu se exclud reciproc.
7. Interesele legitime urmărite de operator sau un terț
Deşi, operatorii pot recurge la interesul legitim ca temei juridic al prelucrării datelor cu caracter personal, autorităţile şi organismele publice pot recurge la temeiul juridic prevăzut de art. 6 alin. (1) lit. f) GDPR numai atunci când prelucrarea nu este efectuată în îndeplinirea atribuțiilor lor şi nici nu prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate[28].
Motivul pentru care autorităţile şi organismele publice nu se pot prevala de interesul legitim în vederea prelucrării datelor în îndeplinirea sarcinilor care le revin constă în aceea că, potrivit considerentului (47), legiuitorul trebuie să furnizeze temeiul juridic pentru aceste prelucrări realizate de către autoritățile publice.
De exemplu, potrivit art. 5 din Legea nr. 190/2018, în contextul relaţiilor de muncă, autorităţile şi organismele publice, în scopul realizării intereselor lor legitime, pot prelucra date cu caracter personal prin utilizarea unor sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă însă numai în situaţia o asemenea prelucrare respectă cumulativ următoarele condiţii: a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate; b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor; c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare; d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
8. Concluzii
În principiu, consimțământul nu constituie un temei juridic valabil atunci când operatorul este o autoritate publică. Nici la interesul legitim nu pot recurge autorităţile şi organismele publice în vederea legitimării prelucrării datelor în îndeplinirea sarcinilor care le revin. Şi interesele vitale ale persoanei vizate sau ale altei persoane fizice au un domeniu de aplicare foarte limitat. O parte a operaţiunilor de prelucrare a datelor cu caracter personal va avea ca temei juridic relaţia contractuală, însă de cele mai multe ori autorităţile şi organismele publice îşi vor întemeia prelucrarea pe obligaţiile legale ce le revin şi exercitarea autorităţii oficiale cu care sunt învestite.
Bibliografie
1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.
2. Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.
3. Legea nr. 500 din 11 iulie 2002 privind finanţele publice, publicată în M. Of. nr. 597 din data de 13 august 2002.
4. Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română este disponibilă la adresa http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_ro.pdf, document consultat la data de 19 septembrie 2018.
5. Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, WP187, adopted on 13 July 2011, document consultat la data de 19 septembrie 2018, disponibil la https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/ wp187_en.pdf.
6. Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014; versiunea în limba română este disponibilă la http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_ro.pdf, document consultat la data de 19 septembrie 2018.
7. Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, adopted on 8 June 2017; versiunea în limba română este disponibilă la http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49661, document consultat la data de 19 septembrie 2018.
8. Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, disponibil la http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030, document consultat la data de 19 septembrie 2018.
9. European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 19 septembrie 2018, disponibil la https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.
10. European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018.
11. Information Commissioner’s Office (UK), Guide to the General Data Protection Regulation (GDPR), disponibil la https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf, document consultat la data de 19 septembrie 2018.
12. D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista română de drept al afacerilor nr. 5/2017, pp. 129-135.
13. D.-M. Șandru, La vremuri noi, principii vechi. Observaţii critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecţia Datelor, în Revista română de drept al afacerilor nr. 1/2018, pp. 79-84.
[24] D.-M. Șandru, La vremuri noi, principii vechi. Observaţii critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecţia Datelor, în Revista română de drept al afacerilor nr. 1/2018, p. 83.
[25] În acest sens, a se vedea Information Commissioner’s Office (UK), Guide to the General Data Protection Regulation (GDPR), p. 72; Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014; versiunea în limba română, p. 22.
[26] Sarcina care servește unui interes public sau care rezultă din exercitarea autorității publice.
[27] Potrivit art. 37 alin. (1) lit. a) GDPR, operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.
[28] Considerentul (47): „(…) În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară (…)”.
Arhive
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.