Regimul juridic al protecţiei datelor cu caracter personal este în proces de regândire
29 ianuarie 2015 | Daniel-Mihail ȘANDRU1. Dezbaterile actuale cu noul cadru legislativ al UE*
Propunerea de regulament general și propunerea de directivă (este secundară ca importanţă).
Regulamentul abroga directiva în vigoare şi se va aplica direct în litigiile între particulari.
Noul cadru va fi mult mai restrictiv/detaliat în comparaţie cu cel actual.
Există o administraţie descentralizată a UE în statele membre.
2. Jurisprudenţa Curţii de Justiţie a Uniunii Europene – independenţa autorităților naționale de supraveghe a datelor
a) C-518/07, hotărârea din 9 martie 2010, Comisia/Germania, ECR 2010 p. I-1885, ECLI:EU:C:2010:125
Republica Federală Germania nu și‑a îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, prin supunerea la tutela statului a autorităților de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal de către alte organismele decât cele publice și de către întreprinderile de drept public care iau parte la concurența pe piață (öffentlich‑rechtliche Wettbewerbsunternehmen) în diferitele landuri, transpunând astfel în mod eronat cerința potrivit căreia aceste autorități își exercită atribuțiile „în condiții de independență deplină”.
b) C-614/10, hotărârea din 16 octombrie 2012, Comisia / Austria, ECLI:EU:C:2012:631
Republica Austria nu și‑a îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, întrucât nu a adoptat toate dispozițiile necesare pentru ca legislația în vigoare în Austria să respecte criteriul de independență în privința Datenschutzkommission (Comisia de protecție a datelor), mai precis, întrucât a instituit un cadru legislativ în temeiul căruia:
– membrul administrator al Datenschutzkommission este un funcționar federal supus unui control ierarhic,
– secretariatul Datenschutzkommission este integrat în serviciile cancelariei federale și
– cancelarul federal dispune de un drept necondiționat la informare cu privire la toate aspectele legate de administrarea Datenschutzkommission.
c) C-288/12, hotărârea din 8 aprilie 2014, Comisia / Ungaria, ECLI:EU:C:2014:237
Prin faptul că a pus capăt în mod anticipat mandatului autorității de supraveghere a protecției datelor cu caracter personal, Ungaria nu și‑a îndeplinit obligațiile care îi revin în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
3. Droit d’etre oubli/dreptul de a fi uitat
a) C-131/12, hotărârea din 13 mai 2014, Google Spain şi Google, CLI:EU:C:2014:317
1) Articolul 2 literele (b) și (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretat în sensul că, pe de o parte, activitatea unui motor de căutare care constă în găsirea informațiilor publicate sau introduse pe internet de către terți, indexarea acestora în mod automat și stocarea lor temporară și, în cele din urmă, punerea acestora la dispoziția utilizatorilor de internet într‑o anumită ordine de preferință trebuie calificată drept „prelucrare a datelor cu caracter personal”, în sensul acestui articol 2 litera (b), atunci când informațiile respective conțin date cu caracter personal și, pe de altă parte, operatorul acestui motor de căutare trebuie considerat „operator” în sensul articolului 2 litera (d) menționat.
2) Articolul 4 alineatul (1) litera (a) din Directiva 95/46 trebuie interpretat în sensul că o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într‑un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru.
3) Articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46 trebuie interpretate în sensul că, pentru respectarea drepturilor prevăzute de aceste dispoziții și în măsura în care condițiile prevăzute de acestea sunt îndeplinite efectiv, operatorul unui motor de căutare este obligat să elimine de pe lista de rezultate, afișată în urma unei căutări efectuate plecând de la numele unei persoane, linkurile către paginile web publicate de terți și care conțin informații referitoare la această persoană și în ipoteza în care acest nume sau aceste informații nu sunt șterse în prealabil sau simultan de pe paginile web respective, iar aceasta, dacă este cazul, chiar dacă publicarea lor în sine pe paginile menționate este licită.
4) Articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46 trebuie interpretate în sensul că, în cadrul aprecierii condițiilor de aplicare a acestor dispoziții, trebuie să se examineze în special dacă persoana vizată are dreptul ca informația respectivă referitoare la persoana sa să nu mai fie, în stadiul actual, asociată cu numele său de o listă de rezultate, afișată în urma unei căutări efectuate plecând de la numele său, fără însă ca constatarea unui asemenea drept să presupună ca includerea informației respective pe această listă să cauzeze un prejudiciu acestei persoane. Întrucât persoana vizată poate, având în vedere drepturile sale fundamentale prevăzute la articolele 7 și 8 din cartă, să solicite ca informația în cauză să nu mai fie pusă la dispoziția marelui public prin intermediul includerii sale într‑o asemenea listă de rezultate, aceste drepturi prevalează în principiu nu numai asupra interesului economic al operatorului motorului de căutare, ci și asupra interesului acestui public de a avea acces la informația respectivă cu ocazia unei căutări referitoare la numele acestei persoane. Nu aceasta ar fi însă situația dacă ar reieși că, din motive speciale, precum rolul jucat de persoana respectivă în viața publică, ingerința în drepturile sale fundamentale este justificată de interesul preponderent al publicului menționat de a avea acces, prin intermediul acestei includeri, la informația în cauză.
Efectele la dreptul la uitare vizează statele membre.
GRUPUL DE LUCRU „ARTICOLUL 29” PRIVIND PROTECȚIA DATELOR. Grupul de la art. 29 din toamna 2014 care cere extinderea la nivel global a ștergerii de pe Google.
4. Datele personale – CJUE: Digital Ireland și CCR
a) C-301/06, hotărârea din 10 februarie 2009, Irlanda/Parlamentul si Consiliul, ECR 2009 p. I-593, ECLI:EU:C:2009:68.
Irlanda a solicitat Curții anularea Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de reţele de comunicații publice și de modificare a Directivei 2002/58/CE (JO L 105, p. 54, Ediţie specială, 13/vol. 53, p. 51), pentru motivul că nu a fost adoptată pe baza unui temei juridic adecvat.
Decizia nr. 1258/2009 a Curții Constituționale referitoare la excepția de neconstituționalitate a prevederilor Legii nr. 298/2008 privind reținerea datelor generate sau prelucrate de furnizorii de servicii de comunicații electronice destinate publicului sau de rețele publice de comunicații, precum și pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, Monitorul Oficial nr. 798/23.11.2009: „Admite excepţia de neconstituţionalitate ridicată de Comisariatul pentru Societatea Civilă în Dosarul nr. 2971/3/2009 al Tribunalului Bucureşti – Secţia comercială şi constată că dispoziţiile Legii nr. 298/2008 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice sunt neconstituţionale.”
:: Decizia Curţii Constituţionale Germane.
b) C-293/12 şi C-594/12, hotărârea din 8 aprilie 2014, Digital Rights Ireland şi Seitlinger şi alţii, ECLI:EU:C:2014:238
„Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE este nevalidă.”
Decizia Curţii Constituţionale nr. 17 din 21 ianuarie 2015 asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind securitatea cibernetică a României: Admite obiecţia de neconstituţionalitate şi constată că Legea privind securitatea cibernetică a României este neconstituţională, în ansamblul ei.
5. Concluzii
Rolul trimiterii preliminare: C-293/12 şi C-594/12, hotărârea din 8 aprilie 2014, Digital Rights Ireland şi Seitlinger şi alţii, ECLI:EU:C:2014:238.
Există o preocupare constituţională.
În viitor, orice acord de transfer de date personale către ţări terţe va putea ajunge la CEJ.
Cea mai nouă propunere publică.
Rolul CEJ în aplicarea principiului proporţionalităţii.
Prof. univ. dr. Daniel Mihail ȘANDRU
Preşedintele Asociaţiei Române de Drept şi Afaceri Europene
* Note ale alocuţiunii din 28 ianuarie 2015 prezentată la Simpozionul „Ziua Europeană a Protecţiei Datelor – reforma cadrului normativ al protecţiei datelor personale la nivel european”, organizată de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal la Palatul Parlamentului, Bucureşti. Articolul „Regimul juridic al protecţiei datelor cu caracter personal este în proces de regândire” va apărea în Revista română de dreptul afacerilor (RRDA). Mulţumim, Afaceri juridice europene nr. 1/2015.
