Temeiul juridic al prelucrării datelor cu caracter personal de către autorităţi şi organisme publice potrivit articolului 6 din Regulamentul general privind protecția datelor
Silviu-Dorin Şchiopu - octombrie 1, 2018 Abstract
Any processing of personal data requires a valid legal ground. Although Romanian public
authorities and bodies enjoy a privileged status, as each member state may lay down the rules on
whether and to what extent administrative fines may be imposed on public authorities and bodies
established in that member state, these public authorities and bodies are not exempted from the
obligation to ensure the lawfulness of personal data processing. Therefore this article aims to present
the particularities of choosing the legal grounds for data processing under article 6 of the General
Data Protection Regulation in the case of public authorities and bodies mentioned by the Law
no. 190 from 18th of July 2018 on implementing measures for Regulation (EU) 2016/679.
Keywords: GDPR personal data, data processing, legal grounds, public authorities and bodies,
lawfulness of processing.
1. Considerații introductive
În aplicarea Regulamentului general privind protecţia datelor (GDPR)[1], potrivit art. 2 alin. (1) lit. a) din Legea nr. 190/2018[2], prin „autorităţi şi organisme publice”[3] înţelegem Camera Deputaţilor şi Senatul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale, autorităţile şi instituţiile publice autonome, autorităţile administraţiei publice locale şi de la nivel judeţean, alte autorităţi publice, precum şi instituţiile din subordinea/coordonarea acestora[4].
Prelucrarea datelor cu caracter personal de către aceste autorităţi şi organisme publice prezintă unele particularităţi, nu numai în planul sancţiunilor[5], ci şi în ceea ce priveşte temeiurile juridice la care pot recurge autorităţile şi organismele publice în vederea asigurării legalităţii propriilor operaţiuni de prelucrare. Corecta determinare a temeiului juridic al prelucrării facilitează acestor operatori de date cu caracter personal inclusiv îndeplinirea obligaţiei de informare a persoanelor vizate prevăzută de art. 13 alin. (1) lit. c) şi art. 14 alin. (1) lit. c) GDPR. De asemenea, temeiul juridic al prelucrării poate fi inclus ca informaţie complementară în registrul de evidenţă a activităţilor de prelucrare reglementat în cadrul art. 30 GDPR şi care serveşte operatorului să demonstreze conformitatea activităților de prelucrare cu prevederile Regulamentului (UE) 2016/679, registrul constituind o condiţie prealabilă pentru conformitate şi, în acelaşi timp, o dovadă de asumare a responsabilităţii prelucrării datelor cu caracter personal[6].
În cele ce urmează vom analiza situațiile în care autorităţile şi organismele publice (nu) pot recurge la temeiurile juridice prevăzute de art. 6 alin. (1) GDPR pentru a asigura legalitatea propriilor operațiuni de prelucrare a datelor cu caracter personal.
2. Consimţământul
Deși persoana vizată își poate da consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice[7], considerentul (42) subliniază că acesta „nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată”.
În acest sens considerentul (43) precizează că, pentru a garanta faptul că a fost acordat în mod liber, „consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator (s.n.), în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare”.
Totuşi, utilizarea consimțământului ca temei juridic pentru prelucrarea datelor de către autoritățile şi organismele publice nu este total exclusă de Regulamentul general privind protecţia datelor, astfel că recurgerea la consimțământ poate fi adecvată în anumite circumstanțe. Un exemplu în acest sens este cazul în care o instituţie de învăţământ public aflată în subordinea Ministerului Educaţiei Naţionale solicită elevilor consimțământul de a le folosi fotografiile într-o revistă şcolară. Consimțământul în această situație poate fi o alegere reală însă numai în măsura în care elevii ar putea refuza utilizarea acestor fotografii fără niciun prejudiciu, beneficiind în continuare, în aceleaşi condiţii, de activităţile şi serviciile educaționale[8]. Precizăm că Comitetul european pentru protecția datelor (CEPD)[9] şi-a însuşit această poziţie[10].
La fel, autorităţile şi organismele publice, nici în situaţia în care prelucrează date cu caracter personal în contextul ocupării unui loc de muncă, pentru cea mai mare parte a operaţiunilor de prelucrare a datelor personale „temeiul juridic nu poate și nu ar trebui să fie consimțământul angajaților (…), având în vedere natura relației dintre angajator și angajat”[11], respectiv dezechilibrul dintre autoritatea sau organismul public şi angajaţii acestora.
Numai pentru o mică parte din activităţile de prelucrare operatorul va putea recurge la consimţământ ca temei juridic al prelucrării, însă numai în măsura în care autoritatea sau organismul public va putea demonstra faptul că persoana vizată (angajatul) și-a dat consimțământul în mod liber pentru operațiunea de prelucrare, ceea se întâmplă numai în situaţii excepţionale adică atunci când consecinţele negative lipsesc cu desăvârşire indiferent dacă persoana vizată consimte sau nu la prelucrarea datelor sale.
Consimţământul poate fi valabil exprimat, de exemplu, atunci când, într-un anumit birou urmează a se turna un film, iar angajatorul solicită tuturor angajaților care lucrează în zona respectivă consimţământul pentru a fi filmaţi întrucât aceştia pot apărea pe fundalul înregistrării video, cei care nu doresc a fi filmaţi urmând a primi birouri echivalente în altă parte a clădirii pe durata filmărilor, astfel că nu sunt în niciun fel penalizați pentru refuzul de a consimţi la prelucrarea datelor lor cu caracter personal (imaginea)[12].
Nu în ultimul rând, precizăm că, potrivit considerentului (43), consimțământul este considerat a nu fi acordat în mod liber atunci când „executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului”. De aceea, art. 7 alin. (4) GDPR prevede că în cazul evaluării „dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.
Precum a subliniat şi Grupul de lucru art. 29 din Regulamentul (UE) 2016/679 garantează faptul că prelucrarea datelor cu caracter personal pentru care se solicită consimțământul nu poate deveni direct sau indirect contraprestația unui contract, iar cele două temeiuri juridice pentru prelucrarea legală a datelor cu caracter personal, și anume consimțământul și contractul, nu pot fi amalgamate și indistincte[13]. La fel, atunci când serviciile pot fi obținute numai dacă anumite date cu caracter personal sunt comunicate operatorului sau ulterior unor terți, consimțământul persoanei vizate de a divulga datele care nu sunt necesare pentru încheierea sau executarea contractului nu poate fi considerat o decizie liberă și, prin urmare, nu este valabil potrivit Regulamentului general privind protecţia datelor[14].
3. Relaţia contractuală
Potrivit art. 6 alin. (1) lit. b) GDPR, autorităţile şi organismele publice pot recurge la relaţia contractuală ca temei juridic al prelucrării datelor cu caracter personal numai atunci când „prelucrarea este necesară (s.n.) pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”. Această prevedere include și relațiile precontractuale[15] şi dezvoltă conţinutul considerentului (44), potrivit căruia prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract. Trebuie să subliniem faptul că în cazul relaţiilor precontractuale prelucrarea poate avea ca temei juridic art. 6 alin. (1) lit. b) GDPR numai în măsura în care persoana vizată a cerut operatorului să facă anumite demersuri înainte de încheierea contractului. Prin urmare, operatorul va trebui să poată face dovada că acele demersuri (ce implică prelucrarea datelor cu caracter personal) sunt realizate la cererea persoanei vizate.
Grupul de lucru art. 29 a subliniat faptul că recurgerea la acest temei juridic trebuie interpretată în mod strict, astfel că este important să se determine cu exactitate care sunt motivele încheierii contractului (conţinutul său şi obiectivul fundamental) și ce date ar fi necesare pentru executarea contractului respectiv, întrucât acesta este contextul în care se verifică dacă prelucrarea datelor este sau nu necesară pentru executarea acestuia[16].
Relaţia contractuală nu poate constitui temei juridic al prelucrării datelor cu caracter personal atunci când prelucrarea nu este într-adevăr necesară pentru executarea unui contract, ci este mai degrabă impusă în mod unilateral de către operator persoanei vizate. Practic aici ne aflăm în prezenţa unei aplicaţii a principiului reducerea la minimum a datelor prevăzut de art. 5 alin. (1) lit. c) GDPR, potrivit căruia datele cu caracter personal trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (încheierea sau executarea contractului – n.n.)”. De aceea, între prelucrarea datelor și scopul executării contractului trebuie să existe o legătură directă și obiectivă[17].
Prin urmare, dacă autorităţile şi organismele publice urmăresc a procesa date cu caracter personal care sunt efectiv necesare pentru executarea unui contract, atunci consimțământul nu constituie temei juridic adecvat[18], iar în ceea ce ne priveşte considerăm că acest aspect ar trebui evidenţiat şi în registrul de evidenţă a activităţilor de prelucrare reglementat în cadrul art. 30 GDPR şi care serveşte operatorului să demonstreze conformitatea activităților de prelucrare cu prevederile Regulamentului (UE) 2016/679. Pe de altă parte, dacă operatorul va dori să legitimeze prelucrarea datelor excedentare atunci va trebui să recurgă la un alt temei juridic, precum consimţământul, pentru o parte din prelucrare[19].
4. Obligații legale ale operatorului
Potrivit art. 6 alin. (1) lit. c) GDPR, prelucrarea poate fi necesară în vederea îndeplinirii unei obligații legale ce revine autorităţii sau organismului public. În acest sens, art. 6 alin. (3) GDPR precizează că temeiul juridic al prelucrării (obligaţia legală) trebuie să fie prevăzut în dreptul Uniunii sau în dreptul intern care se aplică operatorului iar scopul prelucrării este stabilit pe baza respectivului temei juridic[20]. Această dispoziție se referă la operatorii care acționează atât în sectorul privat, cât și în cel public, însă obligațiile legale ale operatorilor de date cu caracter personal din sectorul public pot constitui, de asemenea, obiectul art. 6 alin. (1) lit. e) GDPR[21].
În plus, art. 6 alin. (3) GDPR prevede că dreptul Uniunii sau dreptul intern trebuie să urmărească un obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit. Pe de altă parte, considerentul (45) subliniază faptul că Regulamentul general privind protecţia datelor nu impune existența unei legi specifice pentru fiecare prelucrare în parte, astfel că poate fi suficientă o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație legală a operatorului.
Grupul de lucru art. 29 a precizat că desemnarea explicită a operatorului prin lege nu este frecventă și nu pune în general probleme mari, iar în unele țări legislația națională prevede ca autoritățile publice să fie responsabile pentru prelucrarea datelor cu caracter personal ca parte a îndatoririlor acestora[22]. Mai des întâlnită este însă situaţia în care legislația nu desemnează direct un operator sau nu stabilește criteriile pentru desemnarea acestuia, ci stabilește o sarcină sau impune unei autorităţi sau unui organism public obligaţia de a colecta și a prelucra anumite date. De asemenea, legislația poate obliga autorităţile sau organismele publice să păstreze sau să furnizeze anumite date, situaţie în care aceste entități vor fi considerate ca având rolul de operator pentru prelucrarea oricăror date cu caracter personal în acest context[23].
[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.
[2] Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.
[3] Practic redactorii legii au adaptat definiţia instituţiilor publice din art. 2 pct. 30 al Legii nr. 500 din 11 iulie 2002 privind finanţele publice, publicată în M. Of. nr. 597 din data de 13 august 2002.
[4] Potrivit art. 2 alin. (1) lit. a) teza finală din Legea nr. 190/2018, unităţile de cult şi asociaţiile şi fundaţiile de utilitate publică sunt asimilate autorităţilor/organismelor publice.
[5] A se vedea art. 13 şi 14 din Legea nr. 190/2018.
[6] S.-D. Şchiopu, Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal, în Revista română de drept al afacerilor nr. 1/2018, p. 94.
[7] Pentru detalii, a se vedea D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul nr. 2016/679, în Revista română de drept al afacerilor nr. 5/2017, pp. 129-135.
[8] Pentru alte exemple, a se vedea Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, p. 6.
[9] CEPD este un organism al UE însărcinat cu aplicarea GDPR începând cu data de 25 mai 2018 şi are în componența sa șefii fiecărei autorităţi de supraveghere din statele membre UE sau reprezentanții acestora.
[10] A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018.
[11] Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, adopted on 8 June 2017, versiunea în limba română, p. 6.
[12] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, p. 7.
[13] Idem, p. 8.
[14] European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018, pp. 145 și 146.
[15] De exemplu, o parte intenţionează să încheie un contract, însă nu a făcut-o încă, posibil din cauza unor verificări rămase de finalizat, iar una dintre părţi trebuie să prelucreze datele în acest scop – idem, p. 151.
[16] A se vedea Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, adopted on 9 April 2014; versiunea în limba română, p. 18.
[17] Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev. 01, as last Revised and Adopted on 10 April 2018, p. 8.
[18] În acest sens, a se vedea ibidem.
[19] Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, WP187, adopted on 13 July 2011, p. 8.
[20] Considerentul (41): „Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză”.
[21] European Union Agency for Fundamental Rights, Council of Europe, op. cit., p. 151.
[22] Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română, p. 10.
[23] Ibidem.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.