Conţinutul informării în situația în care datele cu caracter personal sunt colectate de la însăşi persoana vizată

- iulie 2, 2019

1. Considerații introductive

Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului şi participării acesteia în ceea ce priveşte prelucrarea datelor sale cu caracter personal[1], în acest sens, considerentul (7) precizând că „persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică (…) ar trebui să fie consolidată”.

Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă, cu cât condiționează exercitarea de către acestea din urmă a drepturilor conferite de Regulamentul general privind protecția datelor (GDPR)[2], precum dreptul de acces şi de rectificare a datelor prelucrate şi dreptul de opoziție al acestora față de prelucrarea datelor respective[3]. Potrivit considerentului (60), această cerință decurge din aplicarea principiilor prelucrării echitabile și transparente[4], astfel că, de regulă, persoana vizată trebuie să fie informată cu privire la operațiunea de prelucrare.

Art. 13 din GDPR precizează informațiile pe care operatorul, nu mai târziu de momentul obținerii datelor, este obligat a le furniza persoanei vizate atunci când datele sunt colectate direct de la aceasta din urmă. În practică, furnizarea datelor ar trebui să se întrepătrundă cu operaţiunea de colectare a datelor cu caracter personal. Divulgarea datelor de către operatorul care a colectat aceste date cu caracter personal de la persoana vizată nu dă naştere în sarcina acestuia la o obligaţie de informare cu privire la noua prelucrare, aceasta revenind în temeiul art. 14 alin. (3) lit. a) din GDPR operatorului care a obţinut în acest mod datele[5].

De aceea, în cele ce urmează, vom analiza prevederile art. 13 din GDPR privind conținutul informării persoanei vizate în situația în care datele cu caracter personal au fost colectate de la aceasta din urmă[6], dispoziţie prin care s-a urmărit crearea cadrului în care persoanei vizate îi sunt furnizate de către operator o serie de informaţii cu privire la existența operațiunii de prelucrare şi anumite detalii care ţin de aceasta. Subliniem că obligația de a furniza informații persoanei vizate nu depinde de vreo solicitare venită din partea acesteia din urmă, ci trebuie respectată proactiv de către operator, indiferent dacă persoana ale cărei date cu caracter personal le prelucrează se arată interesată sau nu de aceste informații[7]. În plus, potrivit art. 5 alin. (2) din GDPR, operatorul are obligația de a putea proba la nevoie faptul că respectă principiile legate de prelucrarea datelor cu caracter personal, inclusiv principiile prelucrării echitabile și transparente.

2. Conținutul informării persoanei vizate

Lista informațiilor de furnizat persoanei vizate este cuprinsă în alin. (1) și (2) ale art. 13 din GDPR. Deși informațiile impuse în sarcina operatorului sunt divizate în două alineate, lista informațiilor este una exhaustivă și obligatorie[8], operatorul având obligația de a furniza toate aceste informații.

Art. 13 alin. (1) lit. a) şi b) din GDPR – identitatea şi datele de contact ale operatorului și ale reprezentantului acestuia, precum şi datele de contact ale responsabilului cu protecţia datelor (nu și identitatea acestuia), după caz. Potrivit Grupului de Lucru Art. 29, informaţia ar trebui să permită identificarea facilă şi este preferabil ca persoanei vizate să i se pună la dispoziţie diferite forme de comunicare precum, număr de telefon, e-mail, adresă poştală etc.[9].

Art. 13 alin. (1) lit. c) din GDPR – scopurile prelucrării datelor cu caracter personal, precum și temeiul juridic al prelucrării. Pe lângă scopul prelucrării, operatorul trebuie să indice și un temei juridic al prelucrării, precum consimţământul persoanei vizate, executarea unui contract în care persoana vizată este parte, îndeplinirea unei obligaţii legale a operatorului sau interesele legitime urmărite de acesta sau de o parte terţă, etc. Potrivit Grupului de Lucru Art. 29, în cazul categoriilor speciale de date cu caracter personal trebuie specificate şi dispoziţiile relevante prevăzute de art. 9 din GDPR, precum şi actul normativ în temeiul căreia aceste date sunt procesate atunci când datele sunt prelucrate în temeiul dreptului Uniunii sau al dreptului intern. La fel, trebuie precizată legea în temeiul căreia aceste date sunt procesate și în cazul datelor cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe[10].

Art. 13 alin. (1) lit. d) din GDPR – interesele legitime[11] urmărite de operator sau de un terţ atunci când prelucrarea are loc în temeiul art. 6 alin. (1) lit. f) din GDPR. Potrivit Grupului de Lucru Art. 29, pe lângă indicarea interesului specific în cazul concret, ca un exemplu de bune practici, operatorul ar trebui de asemenea să furnizeze persoanei vizate informaţii privind testul comparativ (balancing test)[12] care trebuie efectuat de către operator, anterior colectării datelor cu caracter personal, pentru a putea recurge la art. 6 alin. (1) lit. f) din GDPR ca bază legală a prelucrării. Informaţiile privind testul comparativ ar trebui incluse în cadrul unei notificări stratificate[13]. În orice caz, Grupul de Lucru Art. 29 consideră că, din informaţiile furnizate persoanei vizate, trebuie să rezulte în mod clar faptul că aceasta din urmă poate obţine la cerere informaţii privind testul comparativ. Această cerinţă este considerată a fi esenţială pentru o efectivă transparenţă atunci când persoana vizată are dubii privind echitatea efectuării testului comparativ, precum şi dacă doreşte să se plângă autorităţii de supraveghere.

Art. 13 alin. (1) lit. e) din GDPR – destinatarii sau categoriile de destinatari ai datelor cu caracter personal. Potrivit art. 4 pct. 9 din GDPR, prin destinatar înţelegem „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță”. Astfel, sunt incluşi în sfera noţiunii de destinatar: alţi operatori, operatorii asociaţi şi persoanele împuternicite de operatori cărora datele le sunt transferate sau dezvăluite[14]. Potrivit Grupului de Lucru Art. 29, în temeiul principiului prelucrării echitabile, operatorii trebuie să furnizeze persoanei vizate cele mai relevante informaţii privind destinatarii. În practică, informaţia va cuprinde numele destinatarilor, astfel încât persoana vizată să cunoască exact cine prelucrează datele sale cu caracter personal. În situaţia în care operatorul alege să indice doar categoriile de destinatari, acesta trebuie să poată demonstra echitatea alegerii sale. În acest caz, informaţiile privind categoriile de destinatari ar trebui să fie cât mai specifice prin indicarea tipului de destinatar, de exemplu prin referire la activitatea pe care o desfăşoară, a industriei, a sectorului şi sub-sectorului, precum şi a localizării destinatarilor.

Art. 13 alin. (1) lit. f) din GDPR – intenţia transferului de date către o ţară terţă sau o organizaţie internaţională, detaliile privind garanţiile transferului şi mijloacele de a obţine o copie a acestora. Potrivit Grupului de Lucru Art. 29, operatorul ar trebui să indice temeiul juridic al transferului şi mecanismul corelativ[15]. De asemenea, operatorul ar trebui să furnizeze informaţii privind unde şi cum pot fi accesate sau obţinute documentele relevante, de exemplu prin punerea la dispoziţia persoanei vizate a unui link către mecanismul întrebuinţat. În plus, potrivit principiului echităţii, informaţia privind transferul de date către o ţară terţă ar trebui să fie cât mai semnificativă pentru persoana vizată, adică de regulă va trebui să se indice în mod explicit numele ţărilor terţe către care vor fi transferate datele.

Art. 13 alin. (2) lit. a) din GDPR – perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă. Această cerinţă decurge din principiile reducerii la minimum a datelor şi a limitării legate de stocare. Perioada de stocare sau criteriile pentru a determina durata sunt indicate de regulă în cadrul unor prevederi legale sau decurg din interpretarea acestora. Potrivit Grupului de Lucru Art. 29, nu este suficient ca operatorul să indice la modul general faptul că datele vor fi păstrate pe perioada necesară scopului legitim al prelucrării. În plus, atunci când această informaţie este relevantă, operatorul va indica diferitele perioade de stocare pentru fiecare categorie de date cu caracter personal în parte şi/sau pentru fiecare scop al prelucrării în parte, inclusiv perioada de arhivare acolo unde este cazul[16].

DOWNLOAD FULL ARTICLE

[1] G. Zanfir, Protecţia datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, Bucureşti, 2015, p. 81.

[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[3] CJUE, Concluziile avocatului general Pedro Cruz Villalón prezentate la 9 iulie 2015, cauza C-201/14, Bara şi alţii, ECLI: EU:C:2015:461, parag. 74, şi CJUE, hotărârea din 1 octombrie 2015, Bara şi alţii, C-201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), parag. 33.

[4] Pentru analiza celor două principii, se vedea D.-M. Şandru, Principiul echității în prelucrarea datelor cu caracter personal, în „Pandectele Române” nr. 3/2018, pp. 57-63 şi Principiul transparenţei în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018, pp. 59-67.

[5] În acest sens, a se vedea CJUE, hotărârea din 1 octombrie 2015, Bara şi alţii, C-201/14, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), parag. 43-44.

[6] De exemplu, atunci când se completează un formular on-line sau când operatorul colectează datele prin observarea persoanei vizate, precum în cazul întrebuinţării unui dispozitiv de captare automată a datelor sau a unui software de captare a datelor.

[7] Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg, Oficiul pentru Publicaţii al Uniunii Europene, 2014, p. 99.

[8] S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, Bucureşti, 2017, p. 136.

[9] A se vedea Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, p. 35. Comitetul European pentru Protecția Datelor a aprobat orientările Grupului de Lucru Art. 29 referitoare la GDPR – a se vedea Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, Brussels, 25 May 2018. Cu privire la importanţa documentelor Grupului de lucru pentru Articolul 29, a se vedea: D.-M. Şandru, Protecţia datelor personale: surse legislative, jurisprudenţiale şi soft law, în Pandectele Române nr. 2/2018, pp. 83-84. În continuare, brevitatis causa, referirile din text la Grupul de Lucru Art. 29, fără nici o altă precizare, fac trimitere la Orientările privind transparența în temeiul Regulamentului 2016/679, versiunea în limba engleză, pp. 35-40.

[10] În cazul României, a se vedea Legea 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, publicată în M. Of. nr. 13 din data de 7 ianuarie 2019.

[11] Pentru detalii privind conceptul de interes legitim, a se vedea Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, adopted on 9 April 2014, pp. 24-26.

[12] Acest test implică punerea în balanţă a intereselor legitime urmărite de operator sau de o parte terţă, pe de o parte, şi a intereselor sau drepturilor şi libertăţilor fundamentale ale persoanei vizate, pe de altă parte, temeiul juridic al prelucrării putând fi reprezentat de „interesele legitime” numai atunci când acestea prevalează.

[13] Cum unele persoane vizate vor dori a fi informate pe scurt despre prelucrarea datelor lor cu caracter personal în timp ce altele vor solicita explicaţii detaliate, Grupul de Lucru Art. 29 a recomandat, ca exemplu de bune practici, utilizarea unor notificări stratificate ce permit persoanei vizate a alege nivelul de detaliu pe care îl preferă, formatul total al notificării, adică toate straturile luate împreună, conţinând ansamblul informaţiilor pe care operatorul este obligate a le furniza. Pentru mai multe detalii, a se vedea Article 29 Data Protection Working Party, Opinion on More Harmonised Information Provisions, WP100, adopted on 25 November 2004, p. 6 şi urm, precum şi Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, pp. 19-20.

[14] Potrivit art. 4 pct. 10 GDPR, prin „parte terță” înţelegem o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

[15] De exemplu, decizia privind caracterul adecvat al nivelului de protecţie (art. 45 din GDPR), regulile corporatiste obligatorii (art. 47 din GDPR), transferul în baza unor garanţii adecvate [art. 46 alin. (2) din GDPR], derogările pentru situaţiile specifice (art. 49 din GDPR) etc.

[16] Perioada de arhivare poate fi extrasă de operator, în calitate de creator şi deţinător de documente, din nomenclatorul arhivistic prevăzut de Legea Arhivelor Naţionale. A se vedea art. 8 alin. (2) din Legea nr. 16 din 2 aprilie 1996, republicată în M. Of. nr. 293 din data de 22 aprilie 2014, precum şi Anexa nr. 1 la Instrucţiunile privind activitatea de arhivă la creatorii şi deţinătorii de documente, aprobate de conducerea Arhivelor Naţionale prin Ordinul de zi nr. 217 din 23 mai 1996, document disponibil la: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf.

Lasă un răspuns

1 2