Temeiul juridic al prelucrării datelor cu caracter personal de către autorităţi şi organisme publice potrivit articolului 6 din Regulamentul general privind protecția datelor

Trebuie să amintim faptul că majoritatea legilor prevăd în sarcina operatorilor, inclusiv autoritățile și organismele publice, obligații ce întemeiază legalitatea prelucrării însă încalcă, de exemplu, principiul reducerii la minimum a datelor[24]. Rămâne de văzut cum vor aplica instanțele judecătorești prevederile Regulamentului (UE) 2016/679 în cazul acestor încălcări, având în vedere art. 148 alin. (2) din Constituția României, potrivit căruia „ca urmare a aderării, prevederile tratatelor constitutive ale Uniunii Europene, precum și celelalte reglementări comunitare cu caracter obligatoriu, au prioritate față de dispozițiile contrare din legile interne (s.n.), cu respectarea prevederilor actului de aderare”.

Deși, atunci când o regulă națională este contrară unei dispoziții europene, autoritățile statelor membre trebuie să aplice dispoziția europeană, avem rezerve în ceea ce privește aplicarea proactivă a dispozițiilor Regulamentului general privind protecția datelor de către autoritățile și organismele publice în situația în care legea națională furnizează temeiul juridic al prelucrării datelor însă încalcă principiul minimizării datelor sau alte dispoziții ale Regulamentului (UE) 2016/679, cu atât mai mult cu cât art. 13 alin. (1) din Legea nr. 190/2018, în ceea ce privește aplicarea măsurilor corective autorităților și organismelor publice, prevede într-o primă etapă numai aplicarea sancțiunii avertismentului și la care se anexează un plan de remediere.

5. Interesele vitale ale persoanei vizate sau ale altei persoane fizice

Autoritățile și organismele publice pot recurge la temeiul juridic prevăzut de art. 6 alin. (1) lit. d) GDPR atunci când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice. În același sens, considerentul (46) precizează că prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice.

Același considerent subliniază în continuare faptul că „prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic”. Prin urmare, numai în ceea ce privește prelucrarea datelor altor persoane fizice decât persoana vizată există interdicția recurgerii la acest temei juridic atunci când operatorul poate legitima prelucrarea întemeind-o pe un alt temei prevăzut de Regulamentului general privind protecția datelor (ex. prelucrarea datele personale ale unui părinte pentru a proteja interesele vitale ale copilului).

Considerentul (46) menționează și câteva situații când prelucrarea poate servi intereselor vitale ale persoanei vizate, respectiv cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.

Precizăm că autoritățile și organismele publice nu pot recurge la temeiul juridic prevăzut de art. 6 alin. (1) lit. d) GDPR pentru a prelucra date privind sănătatea sau alte categorii speciale de date cu caracter personal atunci când persoana vizată deși este capabilă să-și dea consimțământul, refuză să-l dea[25].

6. Interesul public sau exercitarea autorității oficiale cu care este învestit operatorul

Potrivit art. 6 alin. (1) lit. e) GDPR, prelucrarea poate fi necesară în vederea îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, iar art. 6 alin. (3) GDPR precizează că în aceste situații temeiul juridic al prelucrării[26] trebuie să fie prevăzut în dreptul Uniunii sau în dreptul intern care se aplică operatorului, scopul prelucrării fiind necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului.

În acest caz, spre deosebire de prelucrarea în temeiul unei obligații legale, autorităților și organismelor publice nu le este atribuită în mod expres prin lege calitatea de operator, nici nu li se impune obligația de a colecta și a prelucra anumite date, însă ducerea la îndeplinire a sarcinii care servește unui interes public sau care rezultă din exercitarea autorității publice implică în mod necesar prelucrarea de date cu caracter personal.

Art. 2 alin. (1) lit. f) din Legea nr. 190/2018 definește „îndeplinirea unei sarcini care servește unui interes public” ca acele activități ale partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor și valorilor democrației. Prin urmare, în sensul legii de punere în aplicare, în măsura în care enumerarea de mai sus este exhaustivă, numai partidele politice, organizațiile cetățenilor aparținând minorităților naționale, precum și organizațiile neguvernamentale pot prelucra date cu caracter personal în temeiul îndeplinirii unei sarcini care servește unui interes public.

Statele membre pot introduce dispoziții mai specifice de adaptare a aplicării normelor Regulamentului general privind protecția datelor în ceea ce privește prelucrarea în vederea respectării art. 6 alin. (1) lit. e) GDPR prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile.

Astfel, în contextul îndeplinirii unei sarcini care servește unui interes public, art. 6 din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 prevede în privința prelucrării datelor cu caracter personal și a categorii speciale de date cu caracter personal că o asemenea prelucrare se poate efectua numai cu instituirea de către operator sau de către partea terță a unor garanții: a) punerea în aplicare a măsurilor tehnice și organizatorice adecvate pentru respectarea principiilor legate de prelucrarea datelor cu caracter personal, în special a reducerii la minimum a datelor, respectiv a principiului integrității și confidențialității; b) numirea unui responsabil pentru protecția datelor, dacă aceasta este necesară în conformitate cu art. 10 din Legea nr. 190/2018[27]; c) stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii.

Prin urmare, orice categorie de date cu caracter personal, inclusiv cele speciale, poate fi prelucrată de asociațiile și fundațiile de utilitate publică (organizațiile neguvernamentale) în temeiul îndeplinirii unei sarcini care servește unui interes public numai cu instituirea garanțiilor de mai sus.

Cum asociațiile și fundațiile de utilitate publică sunt asimilate autorităților/organismelor publice potrivit art. 2 alin. (1) lit. a) teza finală din Legea nr. 190/2018, rezultă că numai Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și de la nivel județean, alte autorități publice, precum și instituțiile din subordinea/coordonarea acestora, vor putea recurge la exercitarea autorității publice ca temei juridic al prelucrării datelor cu caracter personal.

Potrivit considerentului (55) prelucrarea datelor cu caracter personal de către autoritățile publice în vederea realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, și de către asociațiilor religioase recunoscute oficial se efectuează din motive de interes public. Deși unitățile de cult sunt asimilate autorităților/organismelor publice și prelucrează datele cu caracter personal din motive de interes public, acestea își vor putea întemeia prelucrarea nu pe îndeplinirea unei sarcini care rezultă din exercitarea autorității publice, ci pe îndeplinirea unei sarcini care servește unui interes public.

De asemenea, considerentul (46) precizează că unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu, în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om. Astfel, în cazul anumitor prelucrări de date cu caracter personal putem avea un concurs de temeiuri juridice ce nu se exclud reciproc.

7. Interesele legitime urmărite de operator sau un terț

Deși, operatorii pot recurge la interesul legitim ca temei juridic al prelucrării datelor cu caracter personal, autoritățile și organismele publice pot recurge la temeiul juridic prevăzut de art. 6 alin. (1) lit. f) GDPR numai atunci când prelucrarea nu este efectuată în îndeplinirea atribuțiilor lor și nici nu prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate[28].

Motivul pentru care autoritățile și organismele publice nu se pot prevala de interesul legitim în vederea prelucrării datelor în îndeplinirea sarcinilor care le revin constă în aceea că, potrivit considerentului (47), legiuitorul trebuie să furnizeze temeiul juridic pentru aceste prelucrări realizate de către autoritățile publice.

De exemplu, potrivit art. 5 din Legea nr. 190/2018, în contextul relațiilor de muncă, autoritățile și organismele publice, în scopul realizării intereselor lor legitime, pot prelucra date cu caracter personal prin utilizarea unor sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă însă numai în situația o asemenea prelucrare respectă cumulativ următoarele condiții: a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate; b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților; c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare; d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

8. Concluzii

În principiu, consimțământul nu constituie un temei juridic valabil atunci când operatorul este o autoritate publică. Nici la interesul legitim nu pot recurge autoritățile și organismele publice în vederea legitimării prelucrării datelor în îndeplinirea sarcinilor care le revin. Și interesele vitale ale persoanei vizate sau ale altei persoane fizice au un domeniu de aplicare foarte limitat. O parte a operațiunilor de prelucrare a datelor cu caracter personal va avea ca temei juridic relația contractuală, însă de cele mai multe ori autoritățile și organismele publice își vor întemeia prelucrarea pe obligațiile legale ce le revin și exercitarea autorității oficiale cu care sunt învestite.

Bibliografie

1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

2. Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.

3. Legea nr. 500 din 11 iulie 2002 privind finanțele publice, publicată în M. Of. nr. 597 din data de 13 august 2002.

4. Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română este disponibilă la adresa http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_ro.pdf, document consultat la data de 19 septembrie 2018.

5. Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, WP187, adopted on 13 July 2011, document consultat la data de 19 septembrie 2018, disponibil la https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/ wp187_en.pdf.

6. Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014; versiunea în limba română este disponibilă la http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_ro.pdf, document consultat la data de 19 septembrie 2018.

7. Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, adopted on 8 June 2017; versiunea în limba română este disponibilă la http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49661, document consultat la data de 19 septembrie 2018.

8. Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, disponibil la http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030, document consultat la data de 19 septembrie 2018.

9. European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 19 septembrie 2018, disponibil la https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.

10. European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018.

11. Information Commissioner’s Office (UK), Guide to the General Data Protection Regulation (GDPR), disponibil la https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf, document consultat la data de 19 septembrie 2018.

12. D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista română de drept al afacerilor nr. 5/2017, pp. 129-135.

13. D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista română de drept al afacerilor nr. 1/2018, pp. 79-84.


[24] D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista română de drept al afacerilor nr. 1/2018, p. 83.

[25] În acest sens, a se vedea Information Commissioner’s Office (UK), Guide to the General Data Protection Regulation (GDPR), p. 72; Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014; versiunea în limba română, p. 22.

[26] Sarcina care servește unui interes public sau care rezultă din exercitarea autorității publice.

[27] Potrivit art. 37 alin. (1) lit. a) GDPR, operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale.

[28] Considerentul (47): „(…) În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară (…)”.

Temeiul juridic al prelucrării datelor cu caracter personal de către autorități și organisme publice potrivit articolului 6 din Regulamentul general privind protecția datelor was last modified: noiembrie 28th, 2018 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii