Absenţa obligaţiei de informare atunci când persoana vizată deține deja respectivele informații sau prelucrarea datelor este prevăzută de lege
Silviu-Dorin Şchiopu - decembrie 1, 20181. Considerații introductive
Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului şi participării acesteia în ceea ce priveşte prelucrarea datelor sale cu caracter personal[1], în acest sens considerentul (7) precizând că „persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică (…) ar trebui să fie consolidată”.
Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă, cu cât condiționează exercitarea de către aceste persoane a drepturilor conferite de Regulamentul general privind protecția datelor (GDPR)[2], precum dreptul de acces şi de rectificare a datelor prelucrate, şi dreptul de opoziție al acestora față de prelucrarea datelor respective[3].
Potrivit considerentului (60), obligația informării decurge din aplicarea principiilor prelucrării echitabile și transparente, astfel că, de regulă, persoana vizată trebuie să fie informată cu privire la operațiunea de prelucrare. Obligația operatorului de a furniza informații persoanei vizate nu depinde de o solicitare venită din partea acesteia din urmă, ci trebuie respectată în mod proactiv de către operator, indiferent dacă persoana vizată se arată interesată sau nu de aceste informații[4]. Totuşi, există şi situații în care s-a considerat că nu este necesar a se impune operatorului obligația de a furniza persoanei vizate informații cu privire la prelucrarea datelor sale cu caracter personal.
În cele ce urmează vom analiza două din aceste situații, respectiv ipoteza în care persoana vizată deține deja acele informații, precum şi cea în care obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul.
2. Persoana vizată deține deja respectivele informații
Potrivit art. 13 alin. (4) şi art. 14 alin. (5) lit. a) GDPR, operatorul nu are obligația de a informa persoana vizată în măsura în care persoana vizată deține deja informațiile respective, atât în situația în care datele cu caracter personal sunt colectate de la persoana vizată, cât și atunci când datele sale nu au fost obținute de la aceasta din urmă.
Grupul de lucru instituit prin art. 29 al Directivei 95/46/CE[5] a precizat că principiul responsabilității impune operatorilor să demonstreze şi să documenteze ce informații deja deţine persoana vizată, când şi cum le-au primit, precum şi faptul că nu a intervenit nici o modificare a informaţiilor care le-ar face neactuale[6]. Astfel, proba cade în sarcina exclusivă a operatorului[7].
Acest principiu îl regăsim atât în considerentul (74) care prevede că „operatorul ar trebui (…) să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament”, cât şi în art. 5 alin. (2) GDPR potrivit căruia operatorul este responsabil de respectarea principiilor legate de prelucrarea datelor cu caracter personal și poate demonstra această respectare.
Deşi informaţiile trebuie furnizate numai în măsura în care persoana vizată nu deţine deja informaţiile respective, ca exemplu de bune practici, Grupul de Lucru Art. 29 a recomandat furnizarea ulterioară a tuturor informaţiilor prevăzute de art. 13 alin. (1) şi (2) GDPR, chiar dacă nu au intervenit modificări, astfel încât persoana vizată să-şi poată da seama cu ușurință care dintre informații sunt noi, tocmai pentru a se asigura astfel buna informare a persoanei vizate asupra modului de prelucrare a datelor şi a drepturilor acesteia[8].
În acest sens, Grupul de Lucru Art. 29 a oferit următorul exemplu: dacă o persoană, după ce s-a înscris la un serviciu de e-mail on-line, moment în care a primit toate informaţiile prevăzute de art. 13 alin. (1) şi (2) GDPR, activează mai apoi un serviciu de mesagerie instantanee pus la dispoziţie de acelaşi furnizor de servicii on-line, iar pentru acest nou serviciu furnizează numărul său de telefon, operatorul ar trebui să informeze persoana vizată nu numai cu privire la prelucrarea numărului de telefon (scopul şi temeiul juridic al prelucrării, destinatarii, perioada de stocare), ci ar trebui să-i furnizeze şi celelalte informaţii deşi acestea nu s-au modificat între timp[9].
3. Prelucrarea datelor cu caracter personal este prevăzută de lege
Deşi, ca regulă generală, considerentul (61) precizează că „(…) În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului”, potrivit art. 14 alin. (5) lit. c) GDPR operatorul nu are obligația de a informa persoana vizată în măsura în care obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul, însă numai atunci când datele cu caracter personal nu au fost obținute de la persoana vizată, nu şi în situaţia în care datele cu caracter personal sunt colectate de la însăşi persoana vizată.
Precizăm că, în cea din urmă situație, potrivit art. 13 alin. (2) lit. e) GDPR, operatorul trebuie să informeze persoana vizată inclusiv asupra faptului că furnizarea de date cu caracter personal reprezintă o obligație legală, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații. Principiul prelucrării corecte impune ca persoana vizată să fie informată chiar şi atunci când prelucrarea este prevăzută de lege, mai ales pentru că informarea persoanei vizate nu este deosebit de dificilă atunci când datele sunt colectate direct de la aceasta[10]. Evident, obligația de informare nu va exista atunci când persoana vizată deține deja respectivele informații, iar operatorul poate proba aceasta[11].
În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, iar prelucrarea are loc în temeiul art. 6 alin. (1) lit. c) GDPR (obligaţiile legale ale operatorului), respectiv obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul, acesta din urmă are de asemenea obligaţia de a informa persoana vizată cu privire la prelucrarea datelor sale cu caracter personal, cu excepţia situaţiei în care legea prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.
Astfel, chiar dacă obținerea sau divulgarea datelor este prevăzută în mod expres de lege, operatorul nu va avea obligaţia de a o informa persoana vizată cu privire la prelucrarea datelor sale cu caracter personal decât în măsura în care dreptul Uniunii sau dreptul intern prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate. Prin urmare, obligaţia de informare subzistă atât timp cât cele două condiţii nu sunt îndeplinite cumulativ: prelucrarea (obținerea sau divulgarea) să fie prevăzută de lege iar în plus aceasta să prevadă şi măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.
În privința obligaţiei legale ca temei juridic al prelucrării, art. 6 alin. (3) GDPR precizează că aceasta trebuie să fie prevăzută în dreptul Uniunii sau în dreptul intern care se aplică operatorului iar scopul prelucrării este stabilit pe baza respectivului temei juridic. Potrivit considerentului (41): „Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză”. Deşi măsura legislativă nu trebuie să îmbrace în mod obligatoriu forma unei legi, aceasta trebuie să facă obiectul unei publicări oficiale[12]. În plus, art. 6 alin. (3) GDPR prevede că dreptul Uniunii sau dreptul intern trebuie să urmărească un obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit.
Pe de altă parte, considerentul (45) subliniază faptul că Regulamentul general privind protecţia datelor nu impune existența unei legi specifice pentru fiecare prelucrare în parte, astfel că poate fi suficientă o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație legală a operatorului.
Grupul de lucru Art. 29 a precizat că desemnarea explicită a operatorului prin lege – operatorul sau criteriile specifice pentru desemnarea acestuia sunt stabilite conform legislației naționale sau a UE – nu este frecventă și nu pune în general probleme mari, de exemplu în unele state legislația națională prevăzând ca autoritățile publice să fie responsabile pentru prelucrarea datelor cu caracter personal ca parte a îndatoririlor acestora[13]. Mai des întâlnită este însă situaţia în care legislația nu desemnează direct un operator sau nu stabilește criteriile pentru desemnarea acestuia, ci stabilește o îndatorire sau obligă o persoană să colecteze și să prelucreze anumite date, precum se întâmplă atunci când legislația obligă entitățile publice sau private să păstreze sau să furnizeze anumite date, situaţie în care aceste entități vor fi considerate ca având rolul de operator pentru prelucrarea oricăror date cu caracter personal în acest context[14].
Dreptul Uniunii sau dreptul intern trebuie să se adreseze în mod direct operatorului de date, iar obținerea sau divulgarea respectivă trebuie să fie obligatorie pentru acesta din urmă[15]. Principiul responsabilității impune şi în acest caz operatorului să probeze modul în care i se aplică legea respectivă, precum şi modul în care actul normativ îl obligă să obțină sau să dezvăluie datele cu caracter personal în cauză[16].
În privința măsurilor adecvate pentru a proteja interesele legitime ale persoanei vizate, Grupul de lucru Art. 29 a subliniat că, deşi legislația Uniunii sau a statelor membre trebuie să stabilească conținutul legii astfel încât aceasta să prevadă măsuri adecvate, operatorul este cel căruia îi revine obligaţia de a verifica, precum şi de a proba, faptul că obținerea sau divulgarea datelor personale respectă aceste măsuri, atunci când se prevalează de excepția prevăzută de art. 14 alin. (5) lit. c) GDPR.
Faţă de stadiul actual al legislaţiei naționale avem rezerve în ceea ce priveşte întinderea domeniului de aplicare a art. 14 alin. (5) lit. c) GDPR de vreme ce mare parte din actele normative care impun operatorilor obligativitatea prelucrării de date cu caracter personal au fost adoptate anterior punerii în aplicare a Regulamentul (UE) 2016/679 şi fără a se avea în vedere protecţia datelor cu caracter personal, astfel că legiuitorul nu a prevăzut în conţinutul acestora măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.
4. Concluzii
Din cele două situații analizate trebuie să reţinem, pe de o parte, că, pentru a justifica lipsa de informare a persoanei vizate, operatorului îi revine sarcina de a proba că aceasta deja deţine toate informaţiile necesare privind prelucrarea datelor sale cu caracter personal, iar pe de altă parte, în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, simplul fapt că prelucrarea datelor cu caracter personal este prevăzută de lege nu îndreptăţeşte operatorul să ignore obligaţia de informare cât timp acel act normativ nu prevede şi măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.
De asemenea, pentru a da eficacitate prevederilor art. 14 alin. (5) lit. c) GDPR se impune revizuirea actelor normative în vigoare care impun operatorilor obligativitatea prelucrării datelor cu caracter personal în vederea completării acestora cu măsuri adecvate protejării intereselor legitime ale persoanei vizate.
Bibliografie:
1. Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, ediţie specială, cap. 13/vol. 17.
2. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.
3. Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română este disponibilă la adresa: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_ro.pdf, document consultat la data de 27 noiembrie 2018.
4. Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.
5. European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, document consultat la data de 26.11.2018, disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.
6. Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg: Oficiul pentru Publicaţii al Uniunii Europene, 2014.
7. European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018.
8. D.-M. Şandru, La vremuri noi, principii vechi. Observaţii critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecţia Datelor, în Revista română de drept al afacerilor nr. 1/2018, pp. 79-84.
9. G. Zanfir, Protecţia datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015.
10. CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C‑201/14, Bara şi alţii, ECLI: EU:C:2015:461.
11. CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara şi alţii, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general).
[1] G. Zanfir, Protecţia datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.
[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.
[3] CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C‑201/14, Bara şi alţii, ECLI: EU:C:2015:461, parag. 74; CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara şi alţii, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), par. 33.
[4] A se vedea European Union Agency for Fundamental Rights, Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018, p. 207.
[5] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, ediţie specială, cap. 13/vol. 17.
[6] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 27: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025. Comitetul European pentru Protecția Datelor a aprobat orientările Grupului de Lucru Art. 29 referitoare la GDPR – a se vedea Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018, disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf. Cu privire la importanţa documentelor Grupului de lucru pentru Articolul 29, a se vedea: D.-M. Şandru, Protecţia datelor personale: surse legislative, jurisprudenţiale şi soft law, în revista Pandectele române nr. 2/2018, pp. 83 și 84.
[7] D.-M. Şandru, La vremuri noi, principii vechi. Observaţii critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecţia Datelor, în Revista română de drept al afacerilor nr. 1/2018, p. 83.
[8] Article 29 Data Protection Working Party, op. cit., pp. 27 și 28.
[9] Ibidem.
[10] Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg: Oficiul pentru Publicaţii al Uniunii Europene, 2014, p. 101.
[11] Subliniem că simplul fapt că datele sunt colectate de la o persoană vizată nu îl îndreptăţeşte pe operator să presupună că persoana vizată ar deţine informaţiile ce ar trebui să-i fie furnizate în temeiul art. 13 alin. (1) şi (2) GDPR.
[12] A se vedea CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara şi alţii, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), par. 40.
[13] Article 29 Data Protection Working Party, Opinion 1/2010 on the concepts of „controller” and „processor”, WP169, adopted on 16 February 2010; versiunea în limba română, p. 10.
[14] Ibidem.
[15] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 32.
[16] Ibidem.
Arhive
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.