GDPR. Modurile în care o companie prelucrează date cu caracter personal
24 septembrie 2018 | Răzvan Nicolae POPESCU
Răzvan Nicolae Popescu
Abstract
Activitatea oricarui profesionist (exemplu: o societate comerciala, un ONG, o autoritate/ institutie publica, un liber profesionist etc.) se realizeaza prin intermediul unor operatiuni diverse.
O parte din activitatile obisnuite, din activitatea de zi cu zi a unui profesionist, implica, constient sau nu, prelucrari de date cu caracter personal, caz in care activitatile trebuie sa respecte anumite reguli impuse de legislatia privind protectia datelor cu caracter personal.
In cadrul prezentului material, vom incerca sa va prezentam, atat din punct de vedere practic, cat si din punct de vedere teoretic, activitatile desfasurate de unii dintre dumneavoastra si care reprezinta prelucrari de date cu caracter personal.
Prima parte a prezentului material descrie, prin intermediul unor serii de exemple, activitatile obisnuite efectuate de catre unii dintre dumneavoastra, activitati care reprezinta, potrivit legii, operatiuni de prelucrare a datelor cu caracter personal.
A doua parte a prezentului material este dedicata explicarii si exemplificarii conceptului de prelucrare a datelor cu caracter personal, astfel cum acest concept a fost inteles si conturat in ultimii 20 de ani de autoritatile/ institutiile cu competente in aceasta materie.
1. Modurile in care un profesionist prelucreaza, in mod obisnuit, date cu caracter personal
In cadrul activitatii obisnuite, un profesionist prelucreaza date cu caracter personal prin intermediul unor serii de operatiuni (activitati).
Pentru a ilustra cele mai obisnuite activitati de prelucrare a datelor cu caracter personal, vom folosi urmatoarea structura:
Din structura expusa mai sus rezulta ca, in mod obisnuit, un profesionist prelucreaza date cu caracter personal prin intermediul unor activitati cum ar fi:
1. cautarea;
2. colectarea;
3. stocarea;
4. inregistrarea;
5. organizarea;
6. generarea;
7. consultarea/ accesarea;
8. transmiterea;
9. modificarea;
10. folosirea;
11. stergerea;
12. distrugerea.
1.1. Cautarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma cautarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. cautarea numarului de telefon al unei persoane in agenda telefonului mobil;
2. cautarea unui adrese de e-mail a unei persoane in cadrul aplicatiei de e-mail;
3. cautarea dosarului aferent unei persoane in cadrul unui dulap;
4. cautarea unui document aferent unei persoane in cadrul unui dosar/ biblioraft;
5. cautarea unui client al unei companii in cadrul propriei baze de date;
6. cautarea anumitor informatii referitoare la o persoana pe internet, folosind un motor de cautare;
7. cautarea cazierului judiciar a unei persoane in cadrul unei baze de date dedicate;
8. cautarea situatiei financiare a unei persoane in cadrul unei baze de date dedicate;
9. cautarea unei persoane in baza de date a Oficiului Registrului Comertului;
10. cautarea unui client al unei institutii de credit in propria baza de date, in vederea verificarii bonitatii acestuia;
11. cautarea unui asigurat intr-o baza de date dedicate in vederea aflarii daca acesta figureaza cu asigurarile platite la zi.
1.2. Colectarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma colectarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. colectarea in cadrul unei discutii fata in fata, fie cu persoana vizata (persoana ale carei date sunt colectate), fie cu o alta persoana (persoana care furnizeaza datele);
2. colectarea in cadrul unei discutii telefonice;
3. colectarea prin intermediul schimbului de e-mail-uri;
4. colectarea prin intermediul corespondentei fizice;
5. colectarea prin intermediul mediului online (exemplu: prin simpla cautarea folosind un motor de cautare, prin consultarea unei baze de date publice etc.);
6. colectarea prin folosirea de cookies-uri (exemplu: in cazul vizitarii unui website care foloseste cookies-uri);
7. colectarea prin intermediul folosirii unor sisteme de autentificare/ logare (exemplu: in cazul folosirii unui card de acces intr-o cladire, in cazul folosirii unei carti de credit pentru efectuarea unei plati etc.);
8. colectarea prin intermediul folosirii unor sisteme care monitorizeaza activitatea utilizatorului (exemplu: in cazul unui angajat al carui e-mail este monitorizat, atat din punct de vedere al e-mail-urilor transmise, cat si din punct de vedere al celor primite);
9. colectarea prin simpla generare si/ sau modificare a unui document de tip Word, Excel, PowerPoint, PDF (exemplu: in cazul generarii unui document electronic nou pe desktop-ul unui calculator/ latop etc.);
10. colectarea prin intermediul folosirii unor sistem de monitorizare (exemplu: in cazul unei persoane care intra in raza de actiune a unei camere de luat vederi etc.).
1.3. Stocarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma stocarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. stocarea datelor de contact ale unei persoane in cadrul agendei electronice a telefonului mobil;
2. stocarea datelor de contact ale unei persoane in cadrul telefonului mobil prin simpla pastrare a unui sms/ mms primit de la aceasta sau transmis catre aceasta;
3. stocarea datelor de contact ale unei persoane prin simpla pastrarea a unui e-mail primit de la aceasta sau transmis catre aceasta;
4. stocarea datelor de contact ale unei persoane prin simpla pastrare a unei carti de vizita a acesteia;
5. stocarea cartii de identitate/ buletinului unei persoane;
6. stocarea unui contract incheiat cu persoana vizata, fie in numele sau propriu, fie in numele unei entitati pe care o reprezinta (exemplu: in numele unei societati unde detine functia de administrator/ director);
7. stocarea unui document sau unui dosar referitor la o anumita persoana in cadrul unei arhive, fie fizice (exemplu: un dulap, un sertar), fie electronice (exemplu: in cadrul unei adrese de e-mail, in cadrul unui folder localizat pe un calculator etc.);
8. stocarea informatiilor referitoare la consumul de utilitati al unei anumite persoane (exemplu: apa, gaze, curent etc.);
9. stocarea informatiilor referitoare la incasarile si platile efectuate de o anumita persoana prin intermediul unui cont bancar;
10. stocarea informatiilor referitoare la modul in care o persoana navigheaza in mediul online (exemplu: ce tip de calculator/ browser foloseste atunci cand se conecteaza la internet, care este IP-ul calculatorului folosit pentru conectarea la internet, care sunt paginile vizualizate, care este timpul petrecut pe anumite pagini, ce informatii cauta in mod regulat etc.).
1.4. Inregistrarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma inregistrarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. inregistrarea datelor unei persoane la momentul nasterii, inregistrarea urmand sa fie efectuata in registrele unitatii medicale in care are loc nasterea;
2. inregistrarea datelor unei persoane ulterior nasterii, inregistrarea urmand sa fie efectuata in cadrul registrelor de stare civila ale primariei in raza careia are loc nasterea;
3. inregistrarea datelor unei persoane cu ocazia casatoriei, inregistrarea urmand sa fie efectuata in cadrul registrelor de stare civila ale primariei in raza careia are loc casatoria;
4. inregistrarea datelor unei persoane cu ocazia stabilirii/ modificarii domiciliului/ resedintei, inregistrarea urmand sa fie efectuata in cadrul registrelor de stare civila ale primariei in raza careia se stabileste domiciliul / resedinta;
5. inregistrarea datelor unei persoane cu ocazia aderarii de catre aceasta la o asociatie de proprietari/ locatari, inregistrarea urmand sa fie efectuata in cadrul registrelor tinute de asociatia de proprietari/ locatari;
6. inregistrarea datelor unei persoane cu ocazia obtinerii de catre aceasta a permisului de conducere, inregistrarea urmand sa fie efectuata in cadrul bazei de date administrata de Ministerul Afacerilor Interne;
7. inregistrarea datelor unei persoane la momentul la care infiinteaza o societate (comerciala), inregistrarea fiind efectuata in cadrul bazei de date administrata de Oficiul Registrului Comertului;
8. inregistrarea datelor unei persoane la momentul in care devine asociat/ actionar/ administrator/ director al unei societati (comerciale), inregistrarea fiind efectuata in cadrul bazei de date administrata de Oficiul Registrului Comertului;
9. inregistrarea datelor unei persoane la momentul la care incheie un contract de munca, inregistrarea fiind efectuata in cadrul bazei de date administrata de Inspectoratul Teritorial de Munca;
10. inregistrarea datelor unei persoane la momentul la care devine pacientul unui doctor sau clientul unei unitati medicale, inregistrarea fiind efectuata in registrele doctorului/ baza de date a unitatii medicale.
1.5. Organizarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma organizarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. organizarea intr-un anumit mod a actelor, in format fizic, in cadrul unei societati (exemplu: pastrarea actelor in cadrul unor dosare aferente anumitor clienti);
2. organizarea intr-un anumit mod a informatiilor detinute in forma electronica, in cadrul unei societati (exemplu: pastrarea datelor numai in e-mail, pastrarea datelor in cadrul unor foldere, pastrarea datelor in cadrul unei baze de date etc.).
1.6. Generarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma generarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. generarea CNP-ului unei persoane nou nascute;
2. alocarea unui anumit IP unui nou client al unui furnizor de servicii de telecomunicatie;
3. alocarea unui anumit numar de telefon unui nou client al unui furnizor de servicii de telecomunicatie;
4. generarea unei adrese de e-mail de tipul: nume.prenume@companiaX.com, unui nou angajat al unei societati;
5. generarea unei semnaturi electronice aferente e-mail-ului unui angajat al unei societati;
6. generarea unui identificator unic aferent unei anumite persoane (exemplu: un cod de bare inserat in cadrul unei cartele de acces in cadrul unui imobil, un numar unic folosit pentru ca un salariat sa poata accesa o imprimanta etc.).
1.7 . Consultarea/ accesarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal sub forma consultarii/ accesarii acestora se poate intalni, de exemplu, in urmatoarele cazuri:
1. accesarea datelor de contact ale unei persoane in agenda electronica de contacte a telefonului mobil;
2. accesarea datelor de contact ale unei persoane in cadrul adresei de e-mail;
3. accesarea documentelor tinute in format fizic (exemplu: intr-un dosar) privind o anumita persoana (exemplu: un client, un pacient etc.);
4. accesarea documentelor tinute in format electronic (exemplu: intr-un e-mail) privind o anumita persoana;
5. accesarea imaginilor suprinse de o camera de luat vederi etc.
1.8. Transmiterea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma transmiterii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. transmiterea in cadrul unei discutii purtate verbal, fata in fata;
2. transmiterea prin intermediul unei conversatii telefonice;
3. transmiterea prin intermediul expedierii unui sms/ mms;
4. transmiterea prin intermediul expedierii unui e-mail;
5. transmiterea prin intermediul expedierii unui document etc.
1.9. Modificarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma modificarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. modificarea numarului de telefon aferent unui contact stocat in agenda telefonului mobil;
2. modificarea adresei de e-mail aferenta unui contact, in cadrul aplicatiei de e-mail;
3. modificarea datelor privind o anumita persoana in cadrul unei baze de date;
4. modificarea datelor privind o anumita persoana in cadrul unui dosar tinut in format fizic (exemplu: modificarea datelor privind un pacient inscrise pe coperta dosarului medical).
1.10. Folosirea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma folosirii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. completarea unui contract in vederea transmiterii spre semnare;
2. completarea unei facturi in vederea expedierii acesteia;
3. intocmirea unui document (exemplu: o adresa, o cerere, un memoriu, un raport de activitate etc.);
4. stabilirea cuantumului facturii aferente consumului de utilitati (apa, gaze, curent);
5. stabilirea cuantumului facturii aferente serviciilor de telefonie mobila si/ sau internet mobil consumate de un anumit utilizator;
6. stabilirea cuantumului facturii aferente serviciilor de ingrijiri medicale acordate unui anumit pacient;
7. publicarea datelor pe internet (exemplu: publicarea declaratiilor de avere in ceea ce priveste functionarii publici pe site-urile autoritatilor/ institutiilor publice).
1.11. Stergerea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma stergerii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. stergerea unui contact din agenda telefonului mobil;
2. stergerea unui e-mail din aplicatia de e-mail;
3. stergerea unui cont online, in cadrul unei aplicatii (exemplu: un magazin online, o platforma online etc.);
4. stergerea unor date referitoare la o persoana dintr-o baza de date;
5. anonimizarea unor date din cadrul unui document.
1.12. Distrugerea datelor cu caracter personal
Prelucrarea datelor cu caracter personal, sub forma distrugerii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:
1. distrugerea unui document, in format fizic, care contine date cu caracter personal (exemplu: un contract, o factura, o adresa etc.);
2. distrugerea unui dosar, in format fizic, care contine date cu caracter personal (exemplu: dosarul unui angajat, dosarul unui client, dosarul unui pacient etc.);
3. distrugerea unui calculator care contine date cu caracter personal;
4. distrugerea unui telefon mobil care contine date cu caracter personal.
Din cele expuse mai sus rezulta ca un profesionist (exemplu: o societate comerciala un ONG, o autoritate/ institutie publica, un liber profesionist etc.), in cadrul activitatii obisnuite prelucreaza date cu caracter personal printr-o serie de activitati/ operatiuni curente.
Fata de aceasta imprejurare, in ceea ce priveste fiecare operatiune in parte, ce reprezinta o prelucrare de date cu caracter personal, orice profesionist trebuie sa ia in considerare respectarea cerintelor impuse de legislatia privind datele cu caracter personal.
2. Definitia legala a notiunii de prelucrare a datelor cu caracter personal
La momentul intrarii in vigoare a GDPR-ului, notiunea de date cu caracter personal a fost definita de art. 4 pct. 2 din acest act, dupa cum urmeaza:
“In sensul prezentului regulament: „prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie în orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea”.
3. Aspecte general valabile in ceea ce priveste notiunea de prelucrare a datelor cu caracter personal
In vederea familiarizarii pe deplin cu notiunea de “prelucrare a datelor cu caracter personal”, vom prezenta in continuare o serie de reguli privitoare la acest concept.
Folosirea regulilor expuse in continuare prin raportare la o anumita operatiune (activitate) referitoare la o anumita informatie determina incadrarea sau, dupa caz, neincadrarea acestei operatiuni in notiunea de prelucrare a datelor cu caracter personal.
Cu alte cuvinte, prin folosirea regulilor expuse in continuare se poate raspunde la intrebarea daca anumite operatiuni (activitati) reprezinta sau nu prelucrari de date cu caracter personal si daca acestora le sunt aplicabile prevederile legale in materia prelucrarii datelor cu caracter personal.
In situatia in care, in urma aplicarii regulilor expuse in continuare, se ajunge la concluzia ca anumite operatiuni (activitati) reprezinta prelucrari de date cu caracter personal, atunci, in ceea ce priveste aceste operatiuni (activitati), sunt pe deplin aplicabile prevederile legale din materia prelucrarii datelor cu caracter personal.
3.1. Notiunea de prelucrare a datelor cu caracter personal semnifica orice fel de operatiune (activitate) privind datele cu caracter personal
Notiunea de prelucrare a datelor cu caracter personal este o notiune care se interpreteaza intr-un sens larg, astfel incat sa acopere orice fel de operatiune (activitate) efectuata asupra/ in legatura cu datele cu caracter personal.
Aceasta concluzie rezulta din interpretarea coroborata a definitiilor legale ale conceptului de prelucrare a datelor cu caracter personal, astfel cum acestea au fost edictate atat de legiuitorul european, cat si de legiuitorul national, atat in prezent, cat si in trecut.
In acest sens, in primul rand, trebuie subliniat faptul ca fiecare definitie legala in parte cuprinde sintagme identice ca si inteles, respectiv: “orice operatiune sau serie de operatiuni”, “orice operatiune sau set de operatiuni”, tocmai pentru a genera un inteles cat mai larg notiunii de prelucrare.
In al doilea rand, trebuie subliniat faptul ca fiecare definitie legala in parte cuprinde o enumerare a celor mai dese activitati privind datele cu caracter personal: colectare, inregistrare, stocare, vizualizare, transmitere, stergere, distrugere etc., tocmai pentru sublinia ca orice fel de operatiune privind datele cu caracter personal, de la momentul colectarii si pana la momentul distrugerii, inclusiv, se incadreaza in notiunea de prelucrare.
In al treilea rand, trebuie subliniat faptul ca fiecare definitie legala prevede o serie de activitati ce reprezinta prelucrari de date cu caracter personal, insa acestea sunt oferite numai in mod exemplificativ, in realitate putand exista o serie de alte operatiuni (activitati) care, de asemenea, sa reprezinte prelucrari de date cu caracter personal.[1]
Faptul ca notiunea de prelucrare a datelor cu caracter personal este o notiune care se interpreteaza in sens larg, mai precis in sensul ca se refera la orice fel de operatiune (activitate) asupra datelor cu caracter personal este sustinuta si de Curtea Europeana de Justitie (CEJ).
Prin hotararea din 06.11.2003, pronuntata in cauza C–101/01, CEJ a stabilit (par. 25):
“Conform definitiei de la articolul 2 litera (b) din Directiva 95/46, termenul „prelucrare” a acestor date utilizate la articolul 3 alineatul (1) acopera „orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, indiferent daca sunt sau nu folosite mijloace automate. Aceasta dispozitie ofera cateva exemple de astfel de operatiuni, inclusiv divulgarea prin transmitere, diseminare sau punerea in alt mod la dispozitie a datelor. In acest sens, rezulta ca operatiunea de incarcare a datelor personale pe o pagina de internet trebuie sa fie considerata a fi o astfel de prelucrare.”
Prin hotararea din 17.10.2013, pronuntata in cauza C–291/12, CEJ a stabilit (par. 28):
“Pe de alta parte, astfel cum reiese din cuprinsul articolului 2 litera (b) din Directiva 95/46, constituie o prelucrare de date cu caracter personal orice operatiune efectuata de un tert asupra acestor date, cum ar fi colectarea, inregistrarea, stocarea, consultarea sau utilizarea lor”.
3.2. Notiunea de prelucrare a datelor cu caracter personal este independenta de modificarea sau, dupa caz, nemodificarea datelor
Pentru a fi in prezenta unei prelucrari de date cu caracter personal nu este necesar ca in urma acesteia datele sa fie modificate, in tot sau in parte.
Cu alte cuvinte, orice fel de operatiune (activitate) asupra/ in legatura cu datele cu caracter personal, chiar daca prin aceasta nu se modifica datele, reprezinta o prelucrare de date cu caracter personal.
Aceasta concluzie rezulta din analiza si interpretarea definitiilor legale ale conceptului de prelucrare a datelor cu caracter personal, furnizate atat de legiuitorul european, cat si de legiuitorul national.
In acest sens, in primul rand, trebuie observat ca fiecare definitie legala vorbeste de orice fel de operatiuni sau set de operatiuni (activitati) asupra datelor cu caracter personal, fara a conditiona aceasta notiune de modificarea datelor.
Modificarea datelor reprezinta unul din cazurile de prelucrare a datelor cu caracter personal, iar nu o conditie esentiala care sa fundamenteze fiecare prelucrare in parte.
In al doilea rand, trebuie subliniat faptul ca fiecare definitie legala ofera o serie de exemple de prelucrari ale datelor cu caracter personal, exemple, care prin ele insale, nu presupun, in niciun fel, modificarea, in tot sau in parte, a datelor: stocarea, inregistrarea, vizualizarea, divulgarea, transmiterea etc.
Fata de aceste imprejurari, trebuie concluzionat in sensul ca notiunea de prelucrare a datelor cu caracter personal cuprinde:
1. activitatile prin care se manipuleaza datele, fara ca acestea din urma sa fie modificate, in tot sau in parte;
2. activitatile prin care se manipuleaza datele, iar acestea din urma sunt modificate, in tot sau in parte.
In sensul ca prelucrarea datelor cu caracter personal nu presupune, in mod necesar, modificarea acestora s-a pronuntat si Curtea Europeana de Justitie (CEJ).
Prin hotararea, pronuntata la data de 13.05.2014, in cauza C–131/12, CEJ a stabilit (par. 31):
„In plus, reiese din definitia prevazuta la articolul 2 litera (b) din Directiva 95/46 ca, desi modificarea datelor cu caracter personal constituie, desigur, o prelucrare in sensul acestei directive, celelalte operatiuni mentionate la acest articol nu necesita, in schimb, in niciun caz, ca datele respective sa fie modificate.”
3.3. Notiunea de prelucrare a datelor cu caracter personal se aplica pentru fiecare operatiune (activitate), in parte, asupra datelor
Prelucrarea datelor cu caracter personal exista ori de cate ori o activitate, aceeasi sau diferita, este realizata asupra/ in legatura cu datele cu caracter personal.
Cu alte cuvinte, in situatia in care cu privire la anumite date cu caracter personal este realizata aceeasi activitate (exemplu: consultarea, vizualizarea), la anumite intervale de timp, mai mari sau mai mici, suntem in prezenta mai multor prelucrari de date cu caracter personal.
De asemenea, in situatia in care cu privire la anumite date cu caracter personal sunt realizate activitati diferite (exemplu: colectare, stocare, vizualizare, transmitere, stergere), la anumite intervale de timp, mai mari sau mai mici, suntem in prezenta mai multor prelucrari de date cu caracter personal.
Aceasta concluzie se degaja din analiza si interpretarea definitiilor legale, europene si nationale, privind conceptul de prelucrare a datelor cu caracter personal, precum si din ansamblul regulilor stabilite in aceasta materie.
In cadrul fiecarei definitii legale, legiuitorul a mentionat, in mod expres, ca prin prelucrare se intelege „orice fel de operatiune”, iar in continuare, a enumerat o serie de modalitati distincte de prelucrare, tocmai pentru a evidentia ca fiecare activitate in parte, asupra datelor, constituie o prelucrare distincta a acestora.
In cuprinsul fiecarui act normativ, legiuitorul a stabilit atat conditii general valabile oricarui tip de prelucrare a datelor cu caracter personal, cat si conditii speciale prin raportare la anumite modalitati de prelucrare (exemplu: colectarea, exercitarea dreptului de acces, exercitarea dreptului la portabilitatea datelor, divulgarea datelor, transmiterea datelor in afara Uniunii Europene etc.), tocmai pentru a sublinia, o data in plus, faptul ca fiecare activitate in parte, asupra datelor, reprezinta o prelucrare a acestora.
3.4. Notiunea de prelucrare a datelor cu caracter personal se aplica si in situatia in care datele au fost anterior prelucrate, fie de catre aceeasi persoana, fie de catre alta
Pentru a fi in prezenta unei prelucrari de date cu caracter personal nu are nicio importanta daca respectivele date au fost sau nu prelucrate anterior, fie de catre aceeasi persoana, fie de catre alta.
Fiecare operatiune realizata asupra datelor reprezinta o prelucrare a acestora, independent de prelucrarile anterioare.
Aceasta concluzie se degaja din interpretarea definitiilor legale, din cuprinsul carora rezulta ca legiuitorul, fie european, fie national, nu a limitat notiunea de prelucrare numai la prima operatiune asupra datelor (exemplu: colectarea), ci a acoperit orice fel de operatiuni asupra acestora (exemplu: colectare si ulterior stocare si ulterior vizualizare etc.).
In acelasi sens este si opinia Curtii Europene de Justitie (CEJ).
Prin hotararea din 13.05.2014, pronuntata in cauza C–131/12, CEJ a stabilit (par. 28):
„Constatarea de mai sus nu este infirmata nici de faptul ca datele respective au facut deja obiectul unei publicari pe internet si ca nu sunt modificate de acest motor de cautare.”
3.5. Notiunea de prelucrare a datelor cu caracter personal se aplica si in situatiile in care datele prelucrate sunt aduse deja la cunostinta publicului
In cadrul unui alt articol (”GDPR. Datele cu caracter personal prelucrate de o societate”) aratam ca notiunea de date cu caracter personal include si informatiile aduse deja la cunostinta publicului (exemplu: prin postarea acestora pe un site, prin publicarea in presa etc.).
Fata de aceasta imprejurare, notiunea de prelucrare a datelor cu caracter personal se aplica si operatiunilor ce privesc date ce au fost deja aduse la cunostinta publicului.
De altfel, o astfel de concluzie rezulta din faptul ca niciuna din definitiile legale oferite de legiuitor nu exclude din notiunea de prelucrare a datelor cu caracter personal activitatile (operatiunile) care vizeaza, in tot sau in parte, informatii care au fost deja aduse la cunostinta publicului.
In acelasi sens s-a pronuntat si Curtea Europeana de Justitie (CEJ).
Prin hotararea din 16.12.2008, pronuntata in cauza C-73/07, CEJ a stabilit (par. 49):
„In consecinta, trebuie sa se raspunda la a patra intrebare in sensul ca activitatile de prelucrare a datelor cu caracter personal precum cele vizate la prima intrebare literele c) si d), care privesc sisteme de evidenta ale autoritatilor publice care contin date cu caracter personal care nu cuprind decat informatii deja publicate ca atare in mass‑media, fac parte din domeniul de aplicare al directivei.”
Prin hotararea din 13.05.2014, pronuntata in cauza C–131/12, CEJ a stabilit (par. 30):
„Astfel, Curtea a constatat deja ca operatiunile mentionate la articolul 2 litera (b) din Directiva 95/46 trebuie calificate ca fiind o asemenea prelucrare si in ipoteza in care privesc exclusiv informatii deja publicate ca atare in mass‑media. Curtea a aratat in aceasta privinta ca o derogare generala de la aplicarea Directivei 95/46 intr‑o asemenea ipoteza ar lipsi directiva in mare parte de sens (a se vedea in acest sens Hotararea Satakunnan Markkinapörssi si Satamedia, C‑73/07, EU:C:2008:727, punctele 48 si 49).”.
3.6. Notiunea de prelucrare a datelor cu caracter personal se aplica si atunci cand prelucrarea vizeaza, in acelasi timp, atat date cu caracter personal, cat si date fara caracter personal
Notiunea de prelucrare a datelor cu caracter personal se aplica ori de cate ori se efectueaza operatiuni asupra datelor, chiar si in situatia in care numai o parte din acestea reprezinta date cu caracter personal.
Cu alte cuvinte, vom fi in prezenta unei prelucrari de date si in situatia in care prelucrarea vizeaza, in acelasi timp, atat informatii care reprezinta date cu caracter personal, cat si informatii care nu reprezinta date cu caracter personal.
O astfel de concluzie se degaja din faptul ca definitiile legale ale conceptului de prelucrare nu au la baza operatiuni care sa vizeze, in mod exclusiv, numai datele cu caracter personal, ci chiar si acele operatiuni care vizeaza, numai in parte, date cu caracter personal.
Evident, intreaga legislatie aferenta datelor cu caracter personal se va aplica numai in ceea ce priveste o parte din prelucrarea in discutie, si anume partea din prelucrare care vizeaza datele cu caracter personal.
In acest sens este si opinia Curtii Europene de Justitie (CEJ).
Prin hotararea din 13.05.2014, pronuntata in cauza C–131/12, CEJ a stabilit (par. 27, 28):
“In ceea ce priveste activitatea in discutie in litigiul principal, nu se contesta ca printre datele gasite, indexate, stocate de motoarele de cautare si puse la dispozitia utilizatorilor acestora figureaza si informatii referitoare la persoane fizice identificate sau identificabile si deci „date cu caracter personal” in sensul articolului 2 litera (a) din aceasta directiva.
Prin urmare, trebuie constatat ca, prin explorarea in mod automat, constant si sistematic a internetului in căutarea informatiilor publicate acolo, operatorul unui motor de cautare „colecteaza” astfel de date, pe care apoi le „extrage”, le „inregistreaza” și le „organizeaza”… ”Intrucat aceste operatiuni sunt mentionate in mod explicit si neconditionat la articolul 2 litera (b) din Directiva 95/46, ele trebuie calificate drept „prelucrare” in sensul acestei dispozitii, fiind lipsit de relevanta faptul ca operatorul motorului de cautare aplica aceleasi operatiuni si altor tipuri de informatii si nu face distinctie intre acestea si datele cu caracter personal.”
4. Exemple de prelucrari de date cu caracter personal
In cadrul prezentului capitol, va vom prezenta o serie de activitati (operatiuni) care, in opinia autoritatilor/ institutiilor cu competente in domeniul prelucrarii datelor cu caracter personal, reprezinta prelucrari de date cu caracter personal:
1. colectarea de date;[2]
2. extragerea de date;[3]
3. obtinerea de date biometrice prin prelevarea unor probe (exemplu: sange);[4]
4. obtinerea imaginii unei persoane care acorda un interviu inregistrat video;[5]
5. inregistrarea video;[6]
6. inregistrarea unei voci;[7]
7. inregistrarea audio;[8]
8. prelevarea amprentelor;[9]
9. intocmirea unui registru telefonic;[10]
10. instalarea unui GPS pe un taxi;[11]
11. consemnarea participarii unei persoane in cadrul unei sedinte;[12]
12. inregistrarea datelor;[13]
13. inregistrarea sumelor platite unei persoane de catre o autoritate/ institutie;[14]
14. stocarea datelor;[15]
15. pastrarea desenului intocmit de un copil privind familia sa;[16]
16. pastrarea rezultatului unor analize de sange;[17]
17. pastrarea unor informatii privind bonitatea unui client bancar;[18]
18. pastrarea unor informatii privind expectativa de viata a unui asigurat;[19]
19. pastrarea unor informatii referitoare la calitatea muncii unui angajat;[20]
20. pastrarea rezultatelor unui test;[21]
21. pastrarea valorii unei case in vederea stabilirii impozitului;[22]
22. pastrarea unui registru al reparatiilor auto;[23]
23. pastrarea informatiilor referitoare la un anumit client;[24]
24. inregistrarea sumelor platite unei anumite persoane;[25]
25. incarcarea unor informatii pe o pagina de internet;[26]
26. realizarea de poze si filme;[27]
27. comunicarea informatiilor;[28]
28. comunicarea informatiilor referitoare la prescriptiile medicale emise de un anumit medic;[29]
29. publicarea datelor;[30]
30. publicarea datelor intr-un ziar;[31]
31. publicarea unui articol in presa privind un dosar penal;[32]
32. incarcarea datelor pe internet;[33]
33. publicarea datelor pe un site;[34]
34. activitatea editorilor web de a incarca informatii pe o pagina de internet;[35]
35. afisarea datelor pe o pagina cu rezultatele unei cautari;[36]
36. publicarea unei hotarari judecatoresti la un avizier;[37]
37. dezvaluirea datelor;[38]
38. transmiterea datelor;[39]
39. comunicarea de catre un furnizor de internet a datelor privind numele si adresa unui abonat cu un anumit IP;[40]
40. transferul datelor dintr-un stat membru EU intr-un stat tert;[41]
41. stabilirea impozitului fata de valoarea unei case;[42]
42. folosirea unui registru auto pentru facturare;[43]
43. folosirea unui registru auto pentru analiza productivitatii muncii;[44]
44. includerea unor informatii intr-un raport;[45]
45. accesarea datelor;[46]
46. transmiterea de sms-uri;[47]
47. organizarea datelor;[48]
48. utilizarea datelor;[49]
49. supravegherea exercitata prin intermediul unei camere video;[50]
50. monitorizarea traficului de internet de la serviciu sau a activitatii privind e-mail-ul;[51]
51. procesarea informatiilor privind consumul de energie prin intermediul unor contoare inteligente;[52]
52. eliberarea de catre Oficiul Registrului Comertului a informatiilor privind persoanele care au detinut calitate de administratori/ administratori judiciari/ lichidatori judiciari in cadrul unei societati;[53]
53. intocmirea de catre organele fiscale a unei liste in care anumite persoane sunt identificate prin raportare la faptul ca ar fi ocupat anumite functii fictive in cadrul unor persoane juridice.[54]
Speram ca, in urma lecturarii prezentului material, sa fiti mai familiarizati cu modul in care activitatile dvs de zi cu zi pot, in anumite situatii, sa reprezinte prelucrari de date cu caracter personal si astfel sa intre sub incidenta anumitor reguli legale.
[1] Mentionam, fara a limita: cautarea, copierea, transcrierea, traducerea, ascunderea, criptarea, pseudonomizarea datelor cu caracter personal etc.
[2] Hotararea CEJ din 16.12.2008, pronuntata in cauza C–524/06, par. 43, Hotararea CEJ din 16.12.2008, pronuntata in cauza C–73/07, par. 36, 37, Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 28, Hotararea CEJ din 30.05.2013, pronuntata in cauza C–342/12, par. 20, Opinia nr. 8/2001 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 2.
[3] Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 28.
[4] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 10.
[5] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 10.
[6] Raport de activitate 2016 Autoritatea pentru Protectia Datelor cu Caracter Personal Latvia, pag. 22
[7] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva
[8] Raport de activitate 2016 Autoritatea pentru Protectia Datelor cu Caracter Personal Latvia, p. 26.
[9] Hotararea CEJ din 17.10.2013, pronuntata in cauza C–291/12 par. 29.
[10] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 13.
[11] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 13.
[12] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 14.
[13] Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 28, Hotararea CEJ din 30.05.2013, pronuntata in cauza C–342/12, par. 2.
[14] Hotararea CEJ din 20.05.2003, pronuntata in cauzele reunite C–465/00, C-138/01 si C-139/01, par. 64, Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 28, Hotararea CEJ din 17.10.2013, pronuntata in cauza C–291/12, par. 29, Hotararea CEJ din 08.04.2014, pronuntata in cauzele reunite C–293/12, C–594/12, par. 26 – 29, Hotararea CEJ din 30.05.2013 pronuntata in cauza 342/12, par. 20, Hotararea CEJ din 07.11.2013, pronuntata in cauza C–473/12, par. 26
[15] Hotararea CEJ din 16.12.2008, pronuntata in cauza C–524/06, par. 43.
[16] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 9.
[17] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 7.
[18] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 7.
[19] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 7.
[20] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 7.
[21] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 10.
[22] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 10.
[23] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 11.
[24] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 11.
[25] Hotararea CEJ din 20.05.2003, pronuntata in cauzele reunite C–465/00, C–138/01, C–139/01, par. 64.
[26] Hotararea CEJ din 06.11.2003, pronuntata in cauza C–101/01, par. 25.
[27] Raport de activitate 2016 Autoritatea pentru Protectia Datelor cu Caracter Personal Latvia, p. 24.
[28] Hotararea CEJ din 20.05.2003, pronuntata in cauzele reunite C–465/00, C–138/01, C–139/01, par. 64, Hotararea CEJ din 29.01.2008, pronuntata in cauza C–275/06, par. 45,
[29] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 7.
[30] Hotarare CEJ din 16.12.2008, pronuntata in cauza C–73/07, par. 36, 37.
[31] Raport de activitate 2005 Autoritatea pentru Protectia Datelor cu Caracter Personal Latvia, p. 36.
[32] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 17.
[33] Hotararea CEJ din 01.10.2015, pronuntata in cauza C–230/14, par. 37, Raport de activitate 2008 Autoritatea pentru Protectia Datelor cu Caracter Personal Latvia, p. 34.
[34] Hotararea CEJ din 09.11.2010, pronuntata in cauzele reunite C–92/09, C-93/09, par. 60.
[35] Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 35.
[36] Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 57, Hotararea CEJ din 30.05.2013, pronuntata in cauza C–342/12, par. 20, Hotararea CEJ din 07.11.2013. pronuntata in cauza C–473/12, par. 26, Hotararea CEJ din 01.10.2015, pronuntata in cauza C–201/14, par. 29.
[37] Raport de activitate 2005 Autoritatea pentru Protectia Datelor cu Caracter Personal Latvia, p. 46.
[38] Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 28.
[39] Hotararea CEJ din 16.12.2008, pronuntata in cauza C–524/06, par. 43.
[40] Hotararea CEJ din 19.04.2012, pronuntata in cauza C–461/10, par. 51, 52.
[41] Hotararea CEJ din 06.10.2015, pronuntata in cauza C–362/14, par. 45.
[42] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 10.
[43] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 11.
[44] Avizul nr. 4/2007 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 11.
[45] Hotararea CEJ din 20.05.2003, pronuntata in cauzele reunite C–465/00, C–138/01, C–139/01, par. 64, Hotararea CEJ din 30.05.2013, pronuntata in cauza C–342/12, par. 20.
[46] Hotararea CEJ din 16.12.2008, pronuntata in cauza C–524/06, par. 61.
[47] Hotararea CEJ din 16.12.2008, pronuntata in cauza C–73/07, par. 36, 37.
[48] Hotararea CEJ din 13.05.2014, pronuntata in cauza C–131/12, par. 28, Hotararea CEJ din 30.05.2013, pronuntata in cauza C–342/12, par. 20.
[49] Hotararea CEJ din 30.05.2013, pronuntata in cauza C-342/12, par. 20.
[50] Hotararea CEJ din 11.11.2014, pronuntata in cauza C–212/13, par. 25.
[51] Opinia nr. 8/2001 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 2.
[52] Opinia nr. 12/2011 Grupul de Lucru infiintat in baza art. 29 din Directiva, p. 7, 8.
[53] Hotararea CEJ din 09.03.2017, pronuntata in cauza C–398/15, par. 35.
[54] Hotararea CEJ din 27.09.2017, pronuntata in cauza C–73/16, par. 103.
Razvan Nicolae Popescu
Avocat Partener in cadrul DUMITRU, POPESCU si Asociatii
Membru al DPA Legal Team
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
