Pilonii prelucrării datelor cu caracter personal

- iunie 1, 2017

Astfel, cei trei piloni ai prelucrării datelor cu caracter personal sunt reprezentați de principiile referitoare la calitatea datelor, criteriile (temeiurile juridice) privind legitimitatea prelucrării datelor și obligația de informare. Principiile referitoare la calitatea datelor au fost transpuse în cadrul art. 4 din lege (caracteristicile[22] datelor cu caracter personal în cadrul prelucrării), criteriile privind legitimitatea prelucrării datelor în cadrul art. 5 (condiţii de legitimitate privind prelucrarea datelor) iar obligația de informare în art. 12 (informarea persoanei vizate).

A. În ceea ce priveşte calitatea datelor cu caracter personal destinate a face obiectul prelucrării, potrivit art. 6 din Directiva 95/46/CE, acestea trebuie să fie prelucrate în mod corect și legal (principiul prelucrării legale); colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri (principiul limitării şi specificităţii scopului); adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și prelucrate ulterior (principul pertinenţei datelor); exacte și, dacă este necesar, actualizate (principiul exactităţii datelor); precum şi păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior (principiul limitării duratei de păstrare a datelor)[23].

Aceste caracteristici ale datelor cu caracter personal în cadrul prelucrării, respectiv prelucrarea legală, limitarea şi specificitatea scopului, pertinenţa şi exactitatea datelor, precum şi limitarea duratei de păstrare a datelor, trebuie însumate cumulativ de orice prelucrare a datelor cu caracter personal.

Precum deja am menţionat, în speţa noastră ANSPDCP a sancționat furnizorul de servicii de telefonie întrucât datele cu caracter personal ale clienţilor au fost prelucrate într-un scop incompatibil cu scopul iniţial pentru care acestea au fost colectate, datele personale ale clienţilor fiind colectate iniţial în scopul furnizării de servicii de telefonie, însă ulterior fiind prelucrate în scopul încheierii de poliţe de asigurare. Potrivit art. 4 alin. (1) lit. b) din lege: „datele cu caracter personal destinate a face obiectul prelucrării trebuie să fie colectate în scopuri determinate, explicite şi legitime (s.n.).

În temeiul principiului limitării şi specificităţii scopului, scopul prelucrării datelor trebuie să fie definit înainte de începerea prelucrării, utilizarea ulterioară a datelor pentru un alt scop necesitând un temei juridic suplimentar în cazul în care scopul prelucrării este incompatibil cu cel iniţial iar transferul de date către terţi constituind un scop nou care necesită un temei juridic suplimentar[24].

Astfel, legitimitatea prelucrării datelor cu caracter personal depinde de scopul prelucrării, scop ce trebuie menţionat şi evidenţiat de operator înainte de începerea prelucrării datelor. De asemenea un scop care este vag sau general, de exemplu „îmbunătăţirea experienţei utilizatorului”, „în scop de marketing” etc. – fără a se preciza mai multe detalii – în principiu nu va îndeplini criteriul de a fi „determinat”[25]. În plus, scopul prelucrării trebuie să fie unul explicit în sensul că acesta trebuie înţeles în acelaşi fel atât de către operator, cât şi de către persoana vizată, iar această explicitare trebuie să aibă loc nu mai târziu de momentul colectării datelor cu caracter personal. Tocmai de aceea atât instanţa de fond, cât şi cea de recurs au considerat că furnizorul de servicii de telefonie nu a acţionat în executarea contractelor încheiate cu clienţii săi, de vreme ce în contractele încheiate nu a fost prevăzută încheierea poliţelor de asigurare şi nici posibilitatea acordării anumitor „cadouri” constând în poliţe de asigurare.

Cum utilizarea ulterioară a datelor pentru un alt scop necesită un temei juridic suplimentar în cazul în care scopul prelucrării este incompatibil cu cel iniţial iar transferul de date către terţi constituie un scop nou care necesită un temei juridic suplimentar, noul scop în vederea căruia au fost prelucrate datele de către furnizorul de servicii telefonice, respectiv încheierea de poliţe de asigurare, ar fi trebuit să aibă propriul temei juridic special, operatorul neputându-se baza pe faptul că datele au fost dobândite sau prelucrate iniţial în alt scop legitim, precum furnizarea de servicii de telefonie.

B. În ceea ce priveşte criteriile (temeiurile juridice) privind legitimitatea prelucrării (art. 7 din Directiva 95/46/CE), datele cu caracter personal să fie prelucrate numai dacă persoana vizată și-a dat consimțământul neechivoc (consimţământul) sau prelucrarea este necesară fie pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului (relaţia contractuală), fie în vederea îndeplinirii unei obligații legale care îi revine operatorului (obligaţiile legale ale operatorului), fie în scopul protejării interesului vital al persoanei vizate (interesele vitale ale persoanei vizate), fie pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele (interesul public şi exercitarea autorităţii oficiale), fie pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți (interesele legitime urmărite de operator sau de un terţ), cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul art. 1 alin. (1)[26] din Directiva 95/46/CE[27]. Din conţinutul art. 7 reiese că în oricare din cele șase situaţii enumerate prelucrarea datelor va fi considerată a fi legitimă.

ANSPDCP a sancționat furnizorul de servicii de telefonie întrucât a prelucrat datele cu caracter personal ale clienţilor săi în scopul încheierii unor poliţe de asigurare, fără ca aceştia să-şi fi exprimat consimţământul expres şi neechivoc pentru această prelucrare. Potrivit art. 5 alin. (1) din lege, „orice prelucrare de date cu caracter personal, cu excepţia prelucrărilor care vizează date din categoriile menţionate la art. 7 alin. (1), art. 8 şi 10, poate fi efectuată numai dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare (s.n.)”.

Furnizorul de servicii de telefonie, în privinţa legitimităţii prelucrării, şi-a concentrat apărarea pe invocarea relaţiei contractuale şi pe faptul că, potrivit art. 5 alin. (2) lit. f) din lege, prelucrarea ar privi date obţinute din documente accesibile publicului[28]. Precum deja am văzut, furnizorul de servicii de telefonie nu a acţionat în executarea contractelor încheiate cu clienţii săi. Nici invocarea prelucrării de date obţinute din documente accesibile publicului nu a avut succesul scontat întrucât instanţa de recurs a considerat că furnizorul de servicii de telefonie a fost autorizat de ANSPDCP să utilizeze datele clienţilor săi numai pentru acordarea serviciilor de telefonie, astfel că dezvăluirea datelor către terţi în vederea prelucrării în alte scopuri decât cele colectate putea fi realizată numai pe baza consimţământului expres şi neechivoc al persoanei vizate.

Totuşi, în speţa noastră, consimţământul persoanei vizate nu constituie unicul temei juridic care ar fi putut legitima prelucrarea datelor personale în alt scop decât cel iniţial. Furnizorul de servicii de telefonie ar mai fi putut invoca ca şi temei juridic al prelucrării interesele legitime urmărite de operator sau de un terţ, însă a omis sau a preferat să nu se prevaleze de realizarea interesului legitim[29].

C. În ceea ce priveşte obligația de informare a persoanei vizate considerentul 38 al Directivei 95/46/CE, precizează că „dacă prelucrarea datelor este corectă, persoanele vizate ar trebui să aibă posibilitatea de a afla despre existența prelucrărilor”. Precum în speţa noastră, întrucât datele pot fi comunicate în mod legitim unui terț, chiar atunci când această comunicare nu a fost prevăzută în momentul colectării datelor de la persoana vizată, persoana vizată trebuie informată cel târziu atunci când datele sunt comunicate pentru prima dată unui terț.

Potrivit art. 10 şi 11 din Directiva 95/46/CE, distingem între situaţia în care datele au fost colectate de la persoana vizată, pe de o parte, şi situația în care datele nu au fost obținute de la persoana vizată, pe de altă parte. În ambele situaţii obligaţia de informare nu există în cazul în care persoana vizată este deja informată cu privire la aceste date.

Atunci când datele au fost colectate de la persoana vizată, operatorul sau reprezentantul său trebuie să furnizeze persoanei vizate cel puţin identitatea operatorului și, dacă este cazul, a reprezentantului; scopul prelucrării căreia îi sunt destinate datele; precum şi orice alte informații suplimentare[30]. Atunci când datele nu au fost obținute de la persoana vizată operatorul sau reprezentantul său este obligat, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puțin următoarele informații: identitatea operatorului și, dacă este cazul, a reprezentantului său; scopurile prelucrării; precum și orice alte informații suplimentare[31]. În cea din urmă situație, obligaţia de informare nu există atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori științifică, informarea persoanei vizate se dovedește a fi imposibilă[32], implică eforturi disproporționate sau dacă legislația prevede expres înregistrarea ori comunicarea datelor.

Astfel, furnizorul de servicii de telefonie ar fi trebuit să informeze în prealabil, beneficiarii poliţelor de asigurare cu privire la intenţia prelucrării datelor cu caracter personal în acest scop. Trebuie să subliniem că „această obligaţie nu depinde de o solicitare din partea persoanei vizate, însă trebuie respectată în mod proactiv de operator, indiferent dacă persoana vizată se arată interesată sau nu de informaţii”[33]. În speța noastră, la solicitarea instanței de fond, referitoare la faptul dacă clienții au fost informați înainte sau după încheierea polițelor de asigurare, apărătorul furnizorului de servicii de telefonie a arătat că această informare s-a făcut odată cu transmiterea polițelor[34], deci ulterior prelucrării datelor.

Deşi obligaţia de informare a persoanei vizate constituie cel de-al treilea pilon al prelucrării datelor cu caracter personal iar încălcarea acesteia constituie contravenţie potrivit art. 32 raportat la art. 12 din lege, ANSPDCP nu a sancționat furnizorul de servicii de telefonie pentru nesocotirea dreptului persoanei vizate de a fi informată, deși considerăm că ar fi putut și ar fi trebuit să o facă, cu atât mai mult cu cât şi instanţa de recurs a reţinut că furnizorul de servicii de telefonie a prelucrat şi comunicat către societatea de asigurări datele personale ale clienţilor săi în vederea încheierii poliţelor de asigurare, de vreme ce poliţele de asigurare au fost semnate şi parafate de furnizorul de servicii de telefonie, în calitate de contractant, şi societatea de asigurări, în calitate de asigurator.

Chiar şi în ipoteza în care furnizorul de servicii de telefonie ar fi reuşit să probeze lipsa vreunui transfer de date şi faptul că societatea de asigurări ar fi emis poliţele de asigurare a locuinţei pentru clienţii furnizorului de servicii de telefonie în alb iar acesta din urmă ar fi fost cel care a completat aceste poliţie cu datele clienţilor săi, obligaţia de informare în prealabil a persoanelor vizate tot ar fi existat cel puţin în privinţa scopului în care s-a făcut prelucrarea datelor, respectiv încheierea de poliţe de asigurare.

[22] La titlul articolului 4, pentru un plus de rigoare în înţelegerea corectă a sensului acestuia, s-a propus înlocuirea expresiei „calitatea datelor” prin expresia „caracteristicile datelor”, a se vedea Consiliul Legislativ, Aviz referitor la proiectul de Lege pentru protecţia persoanelor în privinţa prelucrării datelor cu caracter personal şi libera circulaţie a acestor date, din 1 martie 2001, p. 4, disponibil la https://www.senat.ro/legis/PDF/2001/01L118LG.pdf (consultat la data de 28.05.2017).[23] A se vedea şi European Union Agency for Fundamental Rights, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2014, p. 61-73.

[24] Idem, p. 68.

[25] Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, WP 203, Brussels, adopted on 2 April 2013, p. 16, disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf.

[26] Art. 1 alin. (1) din Directiva 95/46/C: „Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal”.

[27] A se vedea şi European Union Agency for Fundamental Rights, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2014, p. 81-87.

[28] Această ipoteză nu este prevăzută în Directiva 95/46/CE, ci doar în legea de transpunere.

[29] Pentru detalii, a se vedea Article 29 Data Protection Working Party, Opinion 06/2014 on on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP 217, Brussels, adopted on 9 April 2014, disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.

[30] Destinatarii sau categoriile de destinatari ai datelor; dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului; existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal, în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

[31] Categoriile de date în cauză; destinatarii sau categoriile de destinatari ai datelor; existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal; în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

[32] Pentru situaţia în care informarea se poate realiza prin includerea informaţiilor prevăzute de art. 12 alin. (2) din lege în cadrul unui site web, nefiind necesară realizarea unei informări individuale a fiecărei persoane vizate, informare care ar fi imposibil de realizat, v. T. București, s. a II-a contencios administrativ şi fiscal, sentința nr. 6120 din 2 octombrie 2014, disponibilă pe http://www.rolii.ro.

[33] European Union Agency for Fundamental Rights, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2014, p. 96. Pentru unele aspecte privind informarea corectă a persoanei vizate, a se vedea Article 29 Data Protection Working Party, Opinion 10/2004 on More Harmonised Information Provisions, WP 100, Brussels, adopted on 25 November 2004, disponibilă la http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_en.pdf.

[34] A se vedea T. Bucureşti, s. a IX-a contencios administrativ şi fiscal, sent. civ. nr. 858 din 2 martie 2011 (nepublicată).

Lasă un răspuns

1 2 3 4