Considerații asupra dreptului la opoziție al persoanei vizate

1. Considerații generale

Dreptul la opoziție, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului și participării acesteia în ceea ce privește prelucrarea datelor sale cu caracter personal^[1]. Acest drept decurge din principiul prelucrării echitabile^[2] a respectivelor date, iar la momentul actual este reglementat în principal în cadrul art. 21 din Regulamentul general privind protecția datelor^[3].

Prin dreptul la opoziție s-a urmărit crearea cadrului prin care persoana vizată se poate opune prelucrării datelor cu caracter personal care o privesc din motive legate de situația sa particulară sau atunci când datele sunt prelucrate în scop de marketing direct. Acest drept privește exercitarea efectivă de către persoana vizată a obiecției față de prelucrarea datelor sale cu caracter personal, inclusiv crearea de profiluri^[4].

Importanța dreptului la opoziție este subliniată în cadrul art. 21 alin. (4) din GDPR care prevede că operatorul are obligația de a aduce în mod explicit în atenția persoanei vizate acest drept, cel târziu în momentul primei comunicări cu persoana vizată, și de a-l prezenta în mod clar și separat de orice alte informații.

Operatorul, în măsura în care furnizează servicii ale societății informaționale^[5], potrivit art. 21 alin. (5) din GDPR, are obligația de a pune la dispoziția persoanei vizate mijloace automate care utilizează specificații tehnice pentru ca aceasta din urmă să-și poată exercita dreptul de a se opune prelucrării. Astfel, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice, operatorul ar trebui să ofere modalități de introducere a cererilor pe cale electronică. Prin urmare, executarea acestei obligații nu se va considera îndeplinită atunci când, deși operatorul oferă servicii on-line, pentru exercitarea dreptului la opoziție impune persoanei vizate a trimite cererea de opoziție la o adresă poștală clasică. Dacă serviciile societății informaționale au fost contractate on-line, tot astfel persoana vizată trebuie să-și poată exercita dreptul de a se opune prelucrării datelor sale cu caracter personal.

Precum în cazul dreptului de acces, art. 21 din GDPR nu indică un termen special în care operatorul este obligat să răspundă cererii persoanei vizate astfel că va trebui să ne raportăm la termenul general prevăzut de art. 12 alin. (3) din GDPR. Prin urmare, răspunsul la o cerere privind exercitarea dreptului la opoziție trebuie dat în orice caz în cel mult o lună de la primirea respectivei cereri. Totuși, perioada de o lună poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. În acest caz, operatorul trebuie să informeze persoana vizată cu privire la prelungire, în termen de o lună de la primirea cererii, prezentând în același timp și motivele întârzierii.

În cazul încălcării de către operator a dreptului la opoziție, persoana vizată poate depune o plângere la autoritatea de supraveghere în temeiul art. 77 alin. (1) din GDPR^[6], iar aceasta din urmă poate impune operatorului inclusiv amenzi administrative potrivit art. 83 alin. (5) lit. b) din GDPR^[7]. De asemenea, persoana vizată are în același timp și dreptul de a exercita o cale de atac judiciară eficientă în temeiul art. 79 alin. (1) din GDPR^[8].

2. Exercitarea dreptului de opoziție din motive legate de situația particulară a persoanei vizate

Persoanele vizate nu dispun de un dreptul general de a se opune prelucrării datelor lor, însă, în cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal^[9], persoana vizată se poate opune totuși prelucrării, din motive legate de situația sa particulară, în trei situații:

a) în cazul prelucrărilor realizate în temeiul intereselor legitime urmărite de operator sau de o parte terță [art. 6 alin. (1) lit. f) din GDPR];

b) în cazul prelucrărilor necesare pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul [art. 6 alin. (1) lit. e) din GDPR];

c) precum și în cazul prelucrărilor realizate în scopuri de cercetare științifică sau istorică ori în scopuri statistice [art. 89 alin. (1) din GDPR].

Prin urmare dreptul de opoziție, atunci când persoana vizată invocă motive legate de situația sa particulară, nu va putea fi opus prelucrărilor realizate în baza altui temei juridic din cele prevăzute de art. 6 alin. (1) din GDPR. De exemplu, dreptul la opoziție nu se aplică în situația în care prelucrarea are ca temei juridic consimțământul, deși dreptul persoanei vizate de a-și retrage în orice moment consimțământul poate conduce la un rezultat similar, adică datele să nu mai fie prelucrate în scopul respectiv^[10].

Motivele (personale, sociale sau profesionale) legate de situația sa particulară nu trebuie înțelese în sensul că exercitarea dreptului de opoziție ar fi condiționată de existența unei situații particulare care să diferențieze practic persoana vizată de celelalte persoane ale căror date sunt prelucrate în mod similar^[11], fiind suficient ca situația particulară în sine să justifice exercitarea dreptului de opoziție. Astfel, situația particulară a persoanei vizate constituie o condiție pozitivă a exercitării cu succes a dreptului de opoziție.

Cum, potrivit considerentului (4), dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, exercitarea dreptului de opoziție devine ineficace atunci când prelucrarea are loc în temeiul art. 6 alin. (1) lit. e) sau f) din GDPR, iar operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea iar aceste motive prevalează asupra intereselor, drepturilor și libertăților persoanei vizate, precum și în situația în care scopul prelucrării este constatarea, exercitarea sau apărarea unui drept în instanță. Aceste dispoziții vizează stabilirea unei ponderi corecte între dreptul persoanelor vizate la protecția datelor cu caracter personal și drepturile legitime ale altor părți în contextul prelucrării acestor date.

Pe cale de consecință, în ciuda motivelor legate de situația sa particulară, persoana vizată nu va putea exercita cu succes dreptul de opoziție în temeiul art. 21 alin. (1) din GDPR atunci când datele sunt prelucrate în vederea constatării, exercitării sau apărării unui drept în instanță, precum și atunci când prevalează motive legitime și imperioase care justifică prelucrarea^[12]. Aceste două situații constituie condiții negative ale exercitării cu succes a dreptului de opoziție atunci când prelucrarea datelor are loc în temeiul art. 6 alin. (1) lit. e) și f) din GDPR.

Regulamentul (UE) 2016/679 nu ne oferă nicio explicație privind ceea ce ar putea fi considerat motiv legitim^[13] și imperios. Grupul de Lucru Art. 29 a precizat, de exemplu, în materia profilării că aceasta poate fi benefică nu numai intereselor economice ale operatorului, ci și societății în ansamblul ei, precum în cazul profilării pentru a prezice răspândirea bolilor contagioase, ceea ce ar putea constitui un motiv legitim și imperios^[14].

Pentru determinarea măsurii în care motivele legitime și imperioase prevalează sau nu, Grupul de Lucru Art. 29 a indicat că operatorii trebuie să ia în considerare importanța profilării pentru obiectivul lor specific, precum și impactul profilării asupra interesului, drepturilor și libertăților persoanei vizate (profilarea ar trebui limitată la minimul necesar pentru atingerea obiectivului)^[15].

În plus operatorii ar trebui să efectueze și un balancing exercise (exercițiu comparativ)^[16]. Acest test comparativ este distinct de cel stabilit la art. 6 alin. (1) lit. f) din GDPR^[17], în sensul că nu este suficient ca operatorul să demonstreze că analiza anterioară prelucrării legată de interesele sale era corectă, ci trebuie să probeze și caracterul imperios al interesului său legitim, adică implicând un prag mai ridicat pentru a prevala asupra obiecțiunilor. Sarcina probei pentru demonstrarea motivelor legitime și imperioase revine operatorului.

În cazul particular al exercitării dreptului de opoziție față de prelucrările în scopuri de cercetare științifică sau istorică sau în scopuri statistice realizate potrivit art. 89 alin. (1) din GDPR, condiția negativă privește situația în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

Potrivit art. 18 alin. (1) lit. d) din GDPR privind restricționarea prelucrării, odată ce persoana vizată își exercită dreptul la opoziție, aceasta are și dreptul de a obține de la operator restricționarea operațiunii de prelucrare a datelor, inclusiv a celei de profilare, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate. În cazul admiterii opoziției, operatorul nu mai poate prelucra datele cu caracter personal, adică nu mai le mai poate stoca, consulta, utiliza, divulga prin transmitere, disemina sau pune la dispoziție în orice alt mod.

De vreme ce dreptul de opoziție cu privire la prelucrare nu pare a avea ca efect direct obligația operatorului de a șterge datele, prevederile privind dreptul la ștergerea datelor pot fi interpretate în sensul în care, alături de exprimarea opoziției, se impune și formularea unei cereri separate privind ștergerea datelor^[18].

Operatorul are obligația de a șterge datele cu caracter personal în temeiul art. 17 alin. (1) lit. c) din GDPR numai în măsura în care condiția pozitivă a exercitării cu succes a dreptului de opoziție (situația particulară a persoanei vizate), precum și condițiile negative sunt îndeplinite, respectiv lipsa motivului legitim și imperios al operatorului, scopul prelucrării nu privește constatarea, exercitarea sau apărarea unui drept în instanță ori prelucrarea nu este necesară pentru îndeplinirea unei sarcini din motive de interes public [cea din urmă condiție se aplică numai în cazul prelucrărilor prevăzute de art. 89 alin. (1) din GDPR].

3. Exercitarea dreptului de opoziție atunci când datele sunt prelucrate în scop de marketing direct

Spre deosebire de dreptul la opoziție al persoanei vizate întemeiat pe motive legate de situația sa particulară, cel exercitat în situația în care datele sale sunt prelucrate în scop de marketing direct este un drept absolut, necondiționat. Astfel, art. 21 alin. (2) din GDPR coroborat cu considerentul (70) acordă persoanei vizate dreptul de a se opune prelucrării datelor sale cu caracter personal în scopuri de marketing direct, inclusiv profilării în măsura în care este legată de o astfel de comercializare directă, indiferent dacă prelucrarea în cauză este cea inițială sau una ulterioară, în orice moment și în mod gratuit.

În această situație, nu este necesară echilibrarea intereselor, operatorul fiind obligat să respecte cererea persoanei vizate de a nu-i mai fi prelucrate datele cu caracter personal fără a mai pune la îndoială motivele opoziției. În urma exercitării dreptului la opoziție, datele cu caracter personal nu mai sunt prelucrate în scop de marketing direct, fără ca prin aceasta să se înțeleagă că datele urmează a fi întotdeauna șterse, ci mai degrabă operatorul va păstra doar suficiente informații despre persoanele vizate pentru a se asigura că preferința acestora de a nu mai primi marketing direct este respectată în viitor^[19].

Ca exemplu de bune practici, Grupul de Lucru Art. 29 a recomandat ca, în conformitate cu art. 12 alin. (2) din GDPR, operatorii care colectează date cu caracter personal de la persoane fizice în scopul utilizării lor în scopuri de marketing direct să ofere persoanelor vizate, la momentul colectării, posibilitatea de a indica faptul că nu doresc ca datele lor personale să fie utilizate în scopuri de marketing direct, în loc să le solicite să-și exercite ulterior dreptul la opoziție^[20].

4. Limitări aduse dreptului la opoziție

Potrivit considerentului (153), „dreptul statelor membre ar trebui să stabilească un echilibru între normele care reglementează libertatea de exprimare și de informare, inclusiv exprimarea jurnalistică, academică, artistică și/sau literară, și dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament” (art. 85 din GDPR), iar considerentul (156) menționează că „statele membre ar trebui să fie autorizate să ofere, în anumite condiții și sub rezerva unor garanții adecvate pentru persoanele vizate, precizări și derogări în ceea ce privește (…) dreptul la opoziție în cazul prelucrării datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice” (art. 89 din GDPR).

De aceea, Legea nr. 190/2018 prevede derogări atât pentru prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, cât și pentru prelucrarea în scopuri de cercetare științifică sau istorică, în scopuri statistice ori în scopuri de arhivare în interes public.

În primul caz – prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare – potrivit art. 7 din Legea nr. 190/2018, derogarea se aplică numai datelor cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.

În al doilea caz – prelucrarea în scopuri de cercetare științifică sau istorică, în scopuri statistice^[21] ori în scopuri de arhivare în interes public – potrivit art. 8 din Legea nr. 190/2018, exonerarea privește doar situațiile în care exercitarea dreptului la opoziție este de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

Subliniem faptul că în cel din urmă caz derogările nu operează decât în măsura în care există garanții corespunzătoare pentru drepturile și libertățile persoanelor vizate. Potrivit art. 89 alin. (1) din GDPR, respectivele garanții asigură faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Măsurile instituite pot include pseudonimizarea^[22], în măsura în care respectivele scopuri pot fi îndeplinite în acest mod. Ori de câte ori aceste scopuri pot fi atinse printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, ar trebui să procedeze în acest mod.

Bibliografie:

– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016, cu Rectificarea la Regulamentul (UE) 2016/679, publicată în Jurnalul Oficial al Uniunii Europene, L 127 din 23 mai 2018;

– Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informații în domeniul reglementărilor tehnice și al normelor privind serviciile societății informaționale, publicată în Jurnalul Oficial al Uniunii Europene, L 241 din 17 septembrie 2015;

– Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, republicată în M. Of. nr. 947 din data de 9 noiembrie 2018;

– Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018;

– I. Alexe, Regimul sancționator prevăzut de Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, în Curierul Judiciar nr. 1/2018;

– D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018;

– G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015;

– Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP217, adopted on 9 April 2014, document și disponibil la: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf, consultat la data de 23 aprilie 2019;

– Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, adopted on 3 October 2017, as last revised and adopted on 6 February 2018, document și disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826, consultat la data de 23 aprilie 2019;

– Article 29 Data Protection Working Party, Guidelines on consent under Regulation 2016/679, WP259 rev.01, adopted on 28 November 2017, as last revised and adopted on 10 April 2018, document consultat la data de 23 aprilie 2019 și disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030;

– Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised and adopted on 11 April 2018, document consultat la data de 23 aprilie 2019 și disponibil la: https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025;

– European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the. EDPB, document consultat la data de 23 aprilie 2019 și disponibil la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.p
df;

– European Union Agency for Fundamental Rights and Council of Europe, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2018;

– Information Commissioner’s Office (ICO), Guide to the General Data Protection Regulation (GDPR), 2 August 2018, document consultat la data de 23 aprilie 2019 și disponibil la: https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf;

– C. Ap. București, s. a VIII-a cont. adm. și fisc., dec. civ. nr. 10 din 19 martie 2015, publicată în Revista română de jurisprudență nr. 1/2018.

DOWNLOAD FULL ARTICLE