Secţiuni » Arii de practică » Protective » Data protection
Data protection
DezbateriConferinţeToate evenimenteleCărţiProfesionişti

3 comentarii

After Bara. Cerere de sesizare a CJUE adresată ICCJ
23.02.2016 | Cosmin Flavius COSTAȘ

Secţiuni: CJUE, Data protection, Dreptul Uniunii Europene, Jurisprudența ÎCCJ, Selected, Studii
JURIDICE - In Law We Trust

1. Într-un litigiu aflat pe rol, care opune o persoană fizică Agenţiei Naţionale de Integritate, Înaltei Curţi de Casaţie şi Justiţie – Secţia Contencios Administrativ şi Fiscal i s-a solicitat, în temeiul art. 267 par. (3) TFUE, să sesizeze Curtea de Justiţie a Uniunii Europene (şi) cu o întrebare referitoare la compatibilitatea legislaţiei naţionale cu dreptul Uniunii Europene.

2. În litigiul principal, raportat la materialul documentar existent la dosarul cauzei, recurentul-reclamant reţine că, în perioada 31.07.2012 – 17.06.2013, Agenţia Naţională de Integritate a solicitat unor instituţii şi autorităţi publice, date cu caracter personal referitoare la domnia sa. Temeiul juridic al acestor solicitări pare să-l constituie în special art. 8 alin. (1) din Legea nr. 176/2010, care permite încheierea unor „protocoale de colaborare” între Agenţia Naţională de Integritate şi diverse instituţii şi autorităţi publice, din ţară şi din străinătate. Recurentul-reclamant remarcă, în acest context, similitudinea dintre aceste protocoale, nepublice, şi protocolul nepublic din afacerea Bara şi alţii (C-201/14).

3. Trebuie menționat faptul că la dosarul cauzei nu se află copii ale protocoalelor în baza cărora s-a făcut transmiterea informațiilor și nici dovada informării recurentului-reclamant, la vreun moment dat în timp, cu privire la faptul că au fost solicitate, colectate și utilizate datele sale personale. În faţa instanţei supreme, recurentul-reclamant a solicitat aceste documente în probațiune. În ședința publică din 27 ianuarie 2016, Înalta Curte de Casație și Justiție a respins această solicitare, fără nicio motivare și fără o analiză propriu-zisă a cererii. De asemenea, cu aceeași ocazie, reprezentanta Agenției Naționale de Integritate a precizat faptul că dosarul administrativ nu conține alte documente decât cele depuse la dosarul cauzei. Există prin urmare certitudinea că recurentului-reclamant nu a fost informat, în sensul art. 11 din Directiva 95/46/CE.

A. Legislația europeană incidentă în cauză

4. Din lectura tuturor dispoziţiilor din Directiva 95/46/CE rezultă existenţa unui înalt standard de protecţie a datelor cu caracter personal. Facem referire în special la considerentele Directivei, anume considerentele 2 și 10 (respectul cuvenit dreptului la viață privată), considerentul 25 (principiul protecției datelor, care trebuie să se manifeste în dreptul persoanelor de a avea acces la date, de a se opune prelucrării lor și de a solicita corectarea lor), considerentul 28 (prelucrarea datelor să fie onestă față de persoana vizată, iar scopurile în care sunt utilizate datele personale să fie explicite și determinate la data colectării datelor), respectiv considerentele 38 și 39 ale Directivei. Pe cale de consecință, atunci când analizăm conduita autorităților naționale, trebuie să ne raportăm expres la aceste standarde.

5. Textele relevante, respectiv art. 10, 11 și 13 din Directiva 95/46/CE, sunt redactate astfel:

Art. 10: Informaţiile în cazurile de colectare a datelor de la persoana vizată. Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puţin informaţiile menţionate mai jos, cu excepţia cazului în care persoana este deja informată cu privire la aceste date:
a) identitatea operatorului şi, dacă este cazul, a reprezentantului;
b) scopul prelucrării căreia îi sunt destinate datele;
c) orice alte informaţii suplimentare, cum ar fi:
– destinatarii sau categoriile de destinatari ai datelor;
– dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum şi consecinţele posibile ale evitării răspunsului;
– existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal, în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

Art. 11: Informaţii în cazul în care datele nu au fost obţinute de la persoana vizată. (1) Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terţi, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puţin informaţiile menţionate mai jos, cu excepţia cazului în care persoana vizată este deja informată cu privire la aceste date:
a) identitatea operatorului şi, dacă este cazul, a reprezentantului său;
b) scopurile prelucrării;
c) orice alte informaţii suplimentare, cum ar fi:
– categoriile de date în cauză;
– destinatarii sau categoriile de destinatari ai datelor;
– existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal; în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

(2) Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori ştiinţifică, informarea persoanei vizate se dovedeşte a fi imposibilă, implică eforturi disproporţionate sau dacă legislaţia prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanţii corespunzătoare.

Art. 13: Excepţii şi restricţii. (1) Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligaţiilor şi drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 şi articolul 21, dacă o astfel de restricţie constituie o măsură necesară pentru a proteja:
a) securitatea statului;
b) apărarea;
c) siguranţa publică;
d) prevenirea, investigarea, detectarea şi punerea sub urmărire a infracţiunilor sau a încălcării eticii în cazul profesiunilor reglementate;
e) un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar şi fiscal;
f) o funcţie de monitorizare, inspecţie sau de reglementare legată, chiar şi ocazional, de exercitarea autorităţii publice în cazurile menţionate la literele (c), (d) şi (e);
g) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora.

(2) Sub rezerva garanţiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieţii private a persoanei vizate, să restrângă printr-o măsură legislativă drepturile prevăzute la articolul 12 atunci când datele sunt prelucrate exclusiv în scopul cercetării ştiinţifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depăşeşte perioada necesară în scopul unic de realizare a statisticilor.

B. Jurisprudența europeană în materie

6. Pentru ca Înalta Curte de Casație și Justiție să aibă în memorie, la momentul pronunțării asupra cererii de sesizare, un exemplu recent, viu, în cererea de sesizare au fost menţionate, in extenso, pasajele relevante din hotărârea Curții de Justiție a Uniunii Europene din 1 octombrie 2015, în afacerea C-201/14, Bara și alții:

29 În această privință, este necesar să se constate, pe baza informațiilor oferite de instanța de trimitere, că datele fiscale transferate de ANAF către CNAS constituie date cu caracter personal în sensul articolului 2 litera (a) din directiva menționată, întrucât este vorba despre „informații referitoare la o persoană fizică identificată sau identificabilă” (Hotărârea Satakunnan Markkinapörssi și Satamedia, C‑73/07, EU:C:2008:727, punctul 35). Atât transmiterea lor de către ANAF, organism responsabil cu administrarea bazei de date care le include, cât și prelucrarea lor ulterioară de către CNAS prezintă, așadar, caracterul unei „prelucrări a datelor cu caracter personal” în sensul articolului 2 litera (b) din aceeași directivă (a se vedea în acest sens în special Hotărârea Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 64, precum și Hotărârea Huber, C‑524/06, EU:C:2008:724, punctul 43).

30 Potrivit dispozițiilor capitolului II din Directiva 95/46, intitulat „Condițiile generale de legalitate a prelucrării datelor cu caracter personal”, sub rezerva derogărilor permise în temeiul articolului 13 din această directivă, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile referitoare la calitatea datelor, enunțate la articolul 6 din directiva menționată, și, pe de altă parte, să respecte unul dintre criteriile privind legitimitatea prelucrării datelor, enumerate la articolul 7 din aceeași directivă (Hotărârea Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 65, Hotărârea Huber, C‑524/06, EU:C:2008:724, punctul 48, precum și Hotărârea ASNEF și FECEMD, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 26).

31 În plus, operatorul sau reprezentantul său are o obligație de informare, ale cărei condiții, prevăzute la articolele 10 și 11 din Directiva 95/46, variază în funcție de aspectul dacă aceste date sunt sau nu sunt colectate de la persoana vizată, sub rezerva derogărilor admise în temeiul articolului 13 din această directivă.

32 În ceea ce privește, în primul rând, articolul 10 din directiva menționată, acesta prevede că operatorul furnizează persoanei de la care colectează date care o privesc informațiile menționate la literele (a)-(c) ale acestui articol, cu excepția cazului în care această persoană este deja informată cu privire la datele respective. Aceste informații privesc identitatea operatorului, scopul prelucrării, precum și orice alte informații suplimentare necesare pentru asigurarea unei prelucrări corecte a datelor. Printre informațiile suplimentare necesare pentru a asigura o prelucrare corectă a acestor date, articolul 10 litera (c) din aceeași directivă menționează expres „destinatarii sau categoriile de destinatari ai datelor”, precum și „existența dreptului de acces la datele care […] privesc [persoana menționată] și de rectificare a datelor cu caracter personal”.

33 Astfel cum a arătat Avocatul general la punctul 74 din concluzii, această cerință a informării persoanelor vizate de prelucrarea datelor lor cu caracter personal este cu atât mai importantă cu cât este o condiție necesară exercitării de către aceste persoane a dreptului lor de acces și de rectificare a datelor prelucrate, definit la articolul 12 din Directiva 95/46, și a dreptului de opoziție al acestora față de prelucrarea datelor respective, vizat la articolul 14 din această directivă.

34 În consecință, cerința prelucrării corecte a datelor personale prevăzută la articolul 6 din Directiva 95/46 obligă o autoritate a administrației publice să informeze persoanele vizate despre transmiterea acestor date unei alte autorități a administrației publice, în vederea prelucrării de către aceasta din urmă în calitate de destinatar al datelor menționate.

35 Din explicațiile instanței de trimitere rezultă că reclamanții din litigiul principal nu au fost informați de ANAF despre transmiterea către CNAS a datelor personale care îi vizau.

36 Guvernul român susține totuși că ANAF are obligația, în temeiul articolului 315 din Legea nr. 95/2006, să transmită caselor regionale de asigurări de sănătate informațiile necesare pentru stabilirea de către CNAS a calității de asigurat a persoanelor care obțin venituri din activități independente.

37 Este adevărat că articolul 315 din Legea nr. 95/2006 prevede expres că „datele necesare pentru stabilirea calității de asigurat vor fi transmise în mod gratuit caselor de asigurări de sănătate de către autoritățile, instituțiile publice și alte instituții pe bază de protocol”. Cu toate acestea, din explicațiile oferite de instanța de trimitere rezultă că datele necesare pentru stabilirea calității de asigurat, în sensul dispoziției menționate, nu includ datele privind veniturile, legea recunoscând calitatea de asigurat și persoanelor fără venituri impozabile.

38 În astfel de condiții, articolul 315 din Legea nr. 95/2006 nu poate constitui, în sensul articolului 10 din Directiva 95/46, o informație prealabilă care să permită scutirea operatorului de obligația de a informa persoanele de la care colectează date privind veniturile lor despre destinatarii acestor date. În consecință, nu se poate considera că transmiterea în cauză a fost efectuată cu respectarea dispozițiilor articolului 10 din Directiva 95/46.

39 Trebuie analizat dacă lipsa acestei informări a persoanelor vizate poate intra sub incidența articolului 13 din directiva menționată. Astfel, din alineatul (1) literele (e) și (f) al acestui articol 13 rezultă că statele membre pot restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 10 din aceeași directivă dacă o astfel de restricție constituie o măsură necesară pentru a proteja „un interes economic sau financiar important al unui stat membru […], inclusiv în domeniile monetar, bugetar și fiscal”, precum și „o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e)”. Cu toate acestea, același articol 13 impune expres ca astfel de limitări să fie adoptate prin măsuri legislative.

40 Or, în plus față de împrejurarea, indicată de instanța de trimitere, că datele privind veniturile nu fac parte dintre datele personale necesare stabilirii calității de asigurat, trebuie subliniat că articolul 315 din Legea nr. 95/2006 nu face decât să vizeze, în principiu, transmiterea acestor date personale deținute de autorități, de instituții publice și de alte instituții. Din decizia de trimitere rezultă de asemenea că definiția informațiilor transmisibile, precum și modalitățile de efectuare a transmiterii acestor informații au fost elaborate nu prin intermediul unei măsuri legislative, ci prin intermediul Protocolului din 2007 încheiat între ANAF și CNAS, care nu ar fi făcut obiectul unei publicări oficiale.

41 În aceste împrejurări, nu se poate considera că sunt îndeplinite condițiile prevăzute la articolul 13 din Directiva 95/46 pentru ca un stat membru să poată deroga de la drepturile și obligațiile care decurg din articolul 10 din această directivă.

42 În ceea ce privește, în al doilea rând, articolul 11 din directiva menționată, acesta prevede la alineatul (1) că operatorul care prelucrează date care nu au fost colectate de la persoana vizată trebuie să îi comunice acesteia informațiile prevăzute la literele (a)-(c). Aceste informații privesc identitatea operatorului, scopul prelucrării, precum și orice alte informații suplimentare necesare pentru a asigura o prelucrare corectă a datelor. Printre aceste informații suplimentare, articolul 11 alineatul (1) litera (c) din aceeași directivă menționează expres „categoriile de date în cauză”, precum și „existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal”.

43 În consecință, conform articolului 11 alineatul (1) literele (b) și (c) din Directiva 95/46, în împrejurările din cauza principală, prelucrarea de către CNAS a datelor transmise de ANAF presupunea informarea persoanelor vizate de aceste date în legătură cu scopurile acestei prelucrări, precum și cu categoriile de date vizate.

44 Or, din explicațiile date de instanța de trimitere rezultă că CNAS nu a oferit reclamanților din litigiul principal informațiile prevăzute la articolul 11 alineatul (1) literele (a)-(c) din directiva menționată.

45 În plus, trebuie menționat că, conform articolului 11 alineatul (2) din Directiva 95/46, dispozițiile articolului 11 alineatul (1) din această directivă nu se aplică atunci când, printre altele, înregistrarea sau comunicarea datelor este prevăzută de lege, fiind necesar ca statele membre să prevadă în acest caz garanții corespunzătoare. Pentru motivele menționate la punctele 40 și 41 din prezenta hotărâre, dispozițiile Legii nr. 95/2006 invocate de guvernul român și Protocolul din 2007 nu pot intra nici sub incidența regimului derogatoriu instituit de articolul 11 alineatul (2), nici sub incidența celui care rezultă din articolul 13 din directiva menționată.

46 Având în vedere toate considerațiile precedente, trebuie să se răspundă la întrebarea adresată că articolele 10, 11 și 13 din Directiva 95/46 trebuie interpretate în sensul că se opun unor măsuri naționale precum cele în discuție în litigiul principal, care permit unei autorități a administrației publice a unui stat membru să transmită date personale unei alte autorități a administrației publice și prelucrarea lor ulterioară, fără ca persoanele vizate să fi fost informate despre această transmitere sau despre această prelucrare.

C. Întrebarea propusă

7. În opinia recurentului-reclamant, procedura desfășurată în fața Agenției Naționale de Integritate ridică problema modului în care au fost respectate dispoziţiile art. 10 şi 11 din Directiva 95/46/CE de către autorităţile naţionale, inclusiv sub aspectul verificării împrejurării dacă dispoziţiile art. 8 alin. (1) din Legea nr. 176/2010 şi protocoalele de colaborare (deocamdată necunoscute părţilor şi instanţei) sunt ”măsuri legislative” în sensul art. 13 din Directivă. Recurentul-reclamant observă, cu privire la această ultimă chestiune, că până în prezent nu s-a invocat nici măcar faptul că ar exista vreo derogare de la regulile înscrise în art. 10 și 11 din directivă.

8. Prin urmare, reclamantul-recurent a propus sesizarea Curţii de Justiţie a Uniunii Europene cu o întrebare preliminară, formulată astfel: Procedura prin care o autoritate publică solicită unor instituţii publice, autorităţi publice ori persoane fizice şi juridice de drept privat informaţii financiare, contractuale şi comerciale referitoare la situaţia unei persoane fizice, fără a informa persoana cercetată cu privire la faptul că s-au solicitat aceste informaţii de la persoanele menţionate anterior constituie o încălcare a prevederilor art. 10 , 11 şi 13 din Directiva 95/46/CE?

Lector dr. Cosmin Flavius Costaş
Facultatea de Drept, UBB Cluj-Napoca
Avocat – COSTAŞ, NEGRU & ASOCIAȚII

Cuvinte cheie: , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

Autori JURIDICE.ro
Juristi
JURIDICE pentru studenti
JURIDICE NEXT









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

3 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

↑  Înapoi în partea de sus a paginii  ↑

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti