Consideraţii generale asupra dreptului la ştergerea datelor cu caracter personal
Silviu-Dorin Şchiopu - septembrie 2, 2019Situaţiile în care persoana vizată nu poate obţine din partea operatorului ștergerea datelor cu caracter personal care o privesc
În primul rând, potrivit art. 17 alin. (3) lit. a) din GDPR, ştergerea datele cu caracter personal nu poate fi obţinută atunci când prelucrarea datelor este necesară pentru exercitarea dreptului la liberă exprimare şi la informare. Totuşi, drepturile la liberă exprimare şi la informare nu constituie un impediment absolut în calea exercitării dreptului la uitare, în special ca urmare a exercitării dreptului la opoziţie, la fel cum nici dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci, potrivit considerentului (4), toate aceste drepturi trebuie luate în considerare în raport cu funcția pe care o îndeplinesc în societate și echilibrate cu alte drepturi fundamentale.
Prin urmare, persoana vizată nu va obţine ştergerea datelor sale cu caracter personal decât în măsura în care dreptul la liberă exprimare şi la informare ar prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate, şi implicit asupra dreptului persoanei vizate de a fi uitată. În toate celelalte cazuri operatorul va avea obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate.
În acest sens, într-o decizie de speţă Curtea de casaţie belgiană a admis că dreptul la uitare exercitat împotriva editorului paginii web poate prevala asupra libertăţii de exprimare a presei şi implicit asupra libertăţii de informare[19]. Pe de altă parte, tot într-o decizie de speţă, Curtea de casaţie franceză a statuat în sensul că dreptul la uitare excede restricţiile care pot fi aduse libertăţii presei[20]. Prin urmare, echilibrul dintre libertatea presei şi respectarea vieţii private impune o analiză de la caz la caz, ceea ce poate conduce la decizii divergente mai ales în funcţie de temeiul juridic ales şi de particularităţile speţei.
În al doilea rând, potrivit art. 17 alin. (3) lit. b) din GDPR, ştergerea datele cu caracter personal nu poate fi obţinută atunci când prelucrarea este necesară pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul. De exemplu, operatorii care-şi desfăşoară activitatea în sectorul privat de multe ori sunt obligaţi prin lege să prelucreze date despre alte persoane, precum se întâmplă în cazul medicilor şi al spitalelor private care pot avea obligaţia legală de a stoca datele privind tratamentul pacienţilor pentru mai mulţi ani sau în cazul angajatorilor care trebuie să prelucreze datele angajaţilor din motive de securitate socială şi fiscală, ori al întreprinderilor care trebuie să prelucreze datele clienţilor din motive de impozitare[21].
În al treilea rând, potrivit art. 17 alin. (3) lit. c) din GDPR, ştergerea datele cu caracter personal nu poate fi obţinută atunci când prelucrarea este necesară din motive de interes public în domeniul sănătății publice, în conformitate cu art. 9 alin. (2) lit. (h) și (i) și cu art. 9 alin. (3). Deşi nu se poate obţine ştergerea acestora, în cazul prelucrării prevăzute la art. 9 alin. (2) lit. h) din GDPR s-au instituit garanţii suplimentare, astfel că datele pot fi prelucrate numai de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, ori de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente. La fel, prelucrarea prevăzută la art. 9 alin. (2) lit. i) din GDPR trebuie însoţită de măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional. Bineînţeles, de îndată ce motivele de interes public în domeniul sănătății publice nu mai există se va putea cere de către persoana vizată şi ştergerea acestor date.
Potrivit expunerii de motive la legea privind modificarea cadrului legislativ privind dosarul electronic de sănătate al pacientului[22], realizarea şi implementarea acestuia este de utilitate publică de interes naţional iar crearea sa are loc fără consimţământul pacientului, în conformitate cu prevederile art. 9 alin. (2) lit. h) şi i) din Regulamentul general privind protecția datelor. Însă, deşi ştergerea datele cu caracter personal nu poate fi obţinută atunci când prelucrarea este necesară din motive de interes public în domeniul sănătății publice, protejarea şi garantarea dreptului la viaţă intimă, familială şi privată a pacientului a impus reglementarea dreptului pacienţilor de a refuza în mod expres utilizarea dosarului electronic de sănătate. Practic, datele medicale nu sunt șterse, ci toate datele existente în dosarul electronic de sănătate al pacientului, constituit în condiţiile art. 3461 alin. (3) din Legea nr. 95/2006[23], precum şi datele ce se colectează ulterior refuzului exprimat se anonimizează[24], astfel încât pacientul respectiv să nu poată fi identificat în sistemul dosarului electronic de sănătate, datele fiind utilizate în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice.
În al patrulea rând, potrivit art. 17 alin. (3) lit. d) din GDPR, ştergerea datele cu caracter personal nu poate fi obţinută atunci când prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. (1) din GDPR, în măsura în care dreptul la ştergerea datelor este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În atare situaţie, potrivit Grupului de Lucru Art. 29, operatorul pentru a se putea opune cererii persoanei vizate trebuie să demonstreze că ştergerea datelor cu caracter personal ar avea ca efect anularea obiectivelor prelucrării[25]. Per a contrario, atunci când exercitarea dreptului la uitare nu ar avea acest efect, ștergerea datelor va trebui pusă în operă.
În al cincilea rând, potrivit art. 17 alin. (3) lit. e) din GDPR, ştergerea datele cu caracter personal nu poate fi obţinută atunci când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță. Evident este vorba de menţinerea datelor cu caracter personal ale persoanei vizată în interesul unei terțe persoane care are nevoie de respectivele date în cadrul unei proceduri judiciare.
În completarea art. 19 din GDPR care obligă operatorul să notifice cu privire la ştergere fiecare destinatar căruia, anterior ştergerii, i-au fost divulgate datele cu caracter personal, art. 17 alin. (2) din GDPR impune operatorului să ia măsuri rezonabile, inclusiv măsuri tehnice – ținând seama de tehnologia disponibilă și de costul implementării – pentru a informa operatorii care prelucrează datele cu caracter personal cu privire la faptul că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
Noţiunea de „măsuri rezonabile” trebuie privită în contextul mai larg al obligaţiei operatorilor de a avea în vedere protejarea drepturilor persoanelor vizate pe parcursul întregului ciclu al prelucrării datelor astfel încât să poată fi asigurată trasabilitatea datelor cu caracter personal oricând pe parcursul prelucrării potrivit principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.
În încheiere precizăm că, potrivit art. 7 din Legea nr. 190/2018[26], în vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, pe de o parte, şi libertatea de exprimare şi dreptul la informaţie, pe de altă parte, prelucrarea datelor cu caracter personal realizată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, poate fi efectuată prin derogare de la dreptul la ştergerea datelor[27], însă numai atunci când datele respective fie au fost făcute publice în mod manifest de către persoana vizată, fie este vorba de date care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.
Totuşi, nici în atare situaţii nu excludem posibilitatea persoanei vizate de a se prevala, mai devreme sau mai târziu, de beneficiul dreptului la uitare iar acesta întrucât dacă dreptul la protecția datelor cu caracter personal nu este un drept absolut – acesta fiind luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității – şi reciproca trebuie să se verifice.
[19] A se vedea Curtea de casaţie din Belgia, decizia nr. C.15.0052.F din 29 aprilie 2016, disponibilă pe http://jure.juridat.just.fgov.be, precum şi S.-D. Șchiopu, Un reper jurisprudențial din practica instanțelor belgiene în materia dreptului la uitare digitală, în Revista Universul Juridic nr. 4/2018, pp. 36-44.
[20] A se vedea Curtea de casaţie din Franţa, decizia nr. 15-17.729 din 12 mai 2016, ECLI:FR:CCASS:2016:C100502, disponibilă pe https://www.legifrance.gouv.fr şi S.-D. Șchiopu, Un reper jurisprudențial din practica instanțelor franceze în materia dreptului la uitare digitală, în Revista Universul Juridic nr. 9/2018, pp. 101-107.
[21] Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg: Oficiul pentru Publicaţii al Uniunii Europene, 2014, p. 85.
[22] A se vedea Guvernul României, Expunere de motive la proiectul de lege pentru modificarea şi completarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii, p. 3, document disponibil la http://www.cdep.ro/proiecte/2018/500/90/3/em790.pdf, consultat la data de 24.08.2019.
[23] Legea nr. 95 din 14 aprilie 2006 privind reforma în domeniul sănătăţii, republicată în M. Of. nr. 652 din data de 28 august 2015, cu modificările şi completările ulterioare.
[24] Potrivit art. 34612 alin. (1) din Legea nr. 95/2006, prin anonimizare se înţelege adoptarea unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea datelor privind sănătatea unor persoane fizice identificate sau identificabile.
[25] A se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, p. 31. Succesorul acestuia, Comitetul european pentru protecția datelor (CEPD) și-a însușit poziția Grupului de lucru art. 29. A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.
[26] Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicată în M. Of. nr. 651 din data de 26 iulie 2018.
[27] Această derogare a fost adoptată în temeiul art. 23 din GDPR potrivit căruia, dreptul intern care se aplică operatorului de date poate restricționa printr-o măsură legislativă domeniul de aplicare al drepturilor persoanelor vizate, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică.
Arhive
- aprilie 2025
- martie 2025
- februarie 2025
- ianuarie 2025
- decembrie 2024
- noiembrie 2024
- octombrie 2024
- septembrie 2024
- august 2024
- iulie 2024
- iunie 2024
- mai 2024
- aprilie 2024
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- Supliment 2021
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
| L | Ma | Mi | J | V | S | D |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.