Consideraţii generale asupra dreptului la ştergerea datelor cu caracter personal

1. Considerații introductive

Dreptul la ştergerea datelor, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului şi participării acesteia în ceea ce priveşte prelucrarea datelor sale cu caracter personal^[1]. În funcţie de motivul invocat, dreptul de fi uitat poate decurge din aplicarea principiului limitării legate de scop, a principiului legalităţii prelucrării, a principiului reducerii la minimum a datelor sau a principiului limitării legate de stocare etc.^[2].

Prin reglementarea sa în cadrul art. 17 din Regulamentul general privind protecția datelor^[3] s-a urmărit crearea cadrului prin care persoana vizată poate interveni direct asupra prelucrării iar alin. (1) enumeră cele şase situaţii în care persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, operatorul având obligația de a șterge acele date fără întârzieri nejustificate. Persoana vizată nu va trebui să justifice în vreun fel cererea de ştergere a datelor cu caracter personal, dincolo de identificarea unuia din cele şase temeiuri^[4].

Situaţiile în care persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc

În primul rând, potrivit art. 17 alin. (1) lit. a) din GDPR, ştergerea datele cu caracter personal poate fi obţinută atunci când datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate. Potrivit principiului reducerii la minimum a datelor, datele trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. Astfel, dacă datele nu mai sunt necesare pentru îndeplinirea scopurilor prelucrării, această operaţiune nu mai are un temei legitim. Precum s-a precizat şi în doctrină^[5], această regulă subliniază importanţa stabilirii în mod neechivoc a unui scop al fiecărei prelucrări de date cu caracter personal în parte, scop ce trebuie cunoscut de persoana vizată^[6] astfel încât aceasta să-şi poată exercita, de exemplu, dreptul la ştergerea respectivelor datele.

În al doilea rând, potrivit art. 17 alin. (1) lit. b) din GDPR, ştergerea datele cu caracter personal poate fi obţinută atunci când persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea şi nu există niciun alt temei juridic pentru prelucrare. Retragerea consimţământului va lipsi prelucrarea de temeiul juridic necesar, astfel că, de vreme ce datele trebuie prelucrate în mod legal, dacă nu mai există niciun alt temei juridic pentru a continua prelucrarea, operatorul va trebui să dea curs cererii de ştergere a datelor. Precizăm că, potrivit art. 7 alin. (3) din GDPR, retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. În urma retragerii consimţământului operatorul va putea să continue prelucrarea datelor cu caracter personal spre exemplu în temeiul intereselor sale legitime, adică în baza art. 6 alin. (1) lit. f) din GDPR, caz în care persoana vizată nu va putea obţine ştergerea datelor decât în condiţiile exercitării dreptului la opoziţie prevăzut de art. 21 din GDPR.

În al treilea rând, potrivit art. 17 alin. (1) lit. c) din GDPR, ştergerea datele cu caracter personal poate fi obţinută atunci când persoana vizată şi-a exercitat cu succes dreptul la opoziţie în temeiul art. 21 din GDPR^[7]. De vreme ce dreptul de opoziţie cu privire la prelucrare nu pare a avea ca efect direct obligaţia operatorului de a şterge datele, prevederile privind dreptul la ştergerea datelor pot fi interpretate în sensul în care se impune formularea unei cereri exprese privind ştergerea datelor, alături de exprimarea opoziţiei^[8], cel puţin în situaţia în care aceasta din urmă nu priveşte prelucrarea în scop de marketing direct.

Amintim că în dreptul la ştergerea datelor ca urmare a exercitării cu succes a dreptului de opoziţie este inclus şi dreptul la uitare digitală (dreptul la înlăturare sau de-listare), iar consacrarea pe cale pretoriană a acestui drept a fost rodul unei trimiteri preliminare privind interpretarea Directivei 95/46/CE^[9], precursoarea Regulamentului (UE) 2016/679^[10].

Recunoaşterea unui drept la uitare digitală a fost necesară întrucât a cere persoanei vizate să obţină ştergerea datelor sale cu caracter personal direct de pe paginile web nu ar asigura o protecţie efectivă şi completă a acesteia în special în cazul editorilor cărora nu li se aplică dreptul UE privind protecţia datelor cu caracter personal, precum şi în cazul publicării efectuate exclusiv în scopuri jurnalistice care intră în excepţia privind exercitarea dreptului la liberă exprimare şi la informare prevăzută de art. 17 alin. (3) lit. a) din GDPR.

La ora actuală Curtea de Justiție a Uniunii Europene a fost sesizată cu o cerere de pronunțare a unei hotărâri preliminare privind aplicarea teritorială a dreptului la uitare digitală^[11], urmând a se pronunţa şi asupra unei alte întrebări preliminare privind aplicarea materială a acestui drept^[12], aceste două hotărâri urmând a servi la orientarea aplicării dreptului la uitare digitală şi sub noul Regulament (UE) 2016/679.

În al patrulea rând, potrivit art. 17 alin. (1) lit. d) din GDPR, ştergerea datele cu caracter personal poate fi obţinută atunci când datele cu caracter personal au fost prelucrate în mod nelegal. Orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile legate de prelucrarea datelor cu caracter personal, enunțate în cadrul art. 5 din GDPR, și, pe de altă parte, să respecte unul dintre criteriile privind legitimitatea prelucrării datelor, enumerate la art. 6 din GDPR. Prin urmare, orice prelucrare care nu este conformă acestor prevederi va fi considerată nelegală şi va da naştere dreptului de a obţine ştergerea datelor respective^[13]. Sarcina probei privind justificarea prelucrării datelor revine operatorului de date deoarece acesta este responsabil de legitimitatea prelucrării datelor. În conformitate cu principiul responsabilităţii, operatorul trebuie, în orice moment, să poată demonstra că există un temei juridic solid pentru prelucrarea datelor iar în caz contrar procesul trebuie întrerupt^[14].

În al cincilea rând, potrivit art. 17 alin. (1) lit. e) din GDPR, datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul. În acest caz dreptul de a obţine ştergerea datelor invocat de persoana vizată trebuie să fie prevăzut de alte dispoziţii ale dreptului UE sau ale dreptului intern.

În al şaselea rând, potrivit art. 17 alin. (1) lit. f) din GDPR, ştergerea datele cu caracter personal poate fi obţinută atunci când datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la art. 8 alin. (1) din GDPR. Potrivit art. 1 alin. (1) lit. b) din Directiva (UE) 2015/1535^[15], prin aceste servicii ale societății informaționale înţelegem orice serviciu prestat în mod normal în schimbul unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului.

În ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, art. 8 alin. (1) din GDPR prevede că, atunci când copilul și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal, prelucrarea este legală în principiu numai dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Totuşi, statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani.

Clarificări asupra sensului art. 17 alin. (1) lit. f) din GDPR ne aduce conţinutul considerentului (65) potrivit căruia „dreptul la ştergerea datelor este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-și exercita acest drept în pofida faptului că nu mai este copil”.

Astfel, persoana vizată va putea obține din partea operatorului ștergerea datelor cu caracter personal la a căror prelucrare a consimțit pe vremea când era copil, fără ca operatorul să poată invoca un alt temei juridic pentru a continua prelucrarea, precum în cazul art. 17 alin. (1) lit. b) din GDPR, și fără a se putea prevala de motive legitime precum în cazul exercitării dreptului la opoziție.

Precizăm că în dreptul UE nu exista o definiție oficială unică a termenului „copil” în tratate, legislație sau jurisprudență^[16], însă România a ratificat Convenţia cu privire la drepturile copilului^[17] care la art. 1 prevede că „prin copil se înţelege orice fiinţă umana sub vârsta de 18 ani, exceptând cazurile în care legea aplicabilă copilului stabileşte limita majoratului sub aceasta vârstă”, definiţie adoptată de Curtea Europeană a Drepturilor Omului în jurisprudenţa sa^[18]. Prin urmare, cel mai probabil instanţele române se vor raporta la vârsta de 18 ani în cazul persoanelor vizate ce vor invoca prevederile art. 17 alin. (1) lit. f) din GDPR.