TOP LEGAL
Înregistrările video sunt accesibile pentru membri şi parteneri. Cheltuială deductibilă fiscal. Reducere 39,6 euro pentru avocaţii din barourile Bucureşti, Ilfov, Dolj, Timiş, Prahova şi Sibiu. Se acordă 20 de puncte de pregătire profesională. UNBR încurajează extinderea naţională, detalii aici. Reducere 19,8 euro pentru executorii Camerei Executorilor Bucureşti, membrii UNELM şi notarii Camerei Notarilor Publici Bucureşti.
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Situații în care nu se aplică Regulamentul general privind protecția datelor cu caracter personal

21.03.2018 | Laurențiu PETRE
Laurențiu Petre

Laurențiu Petre

Rezumat: Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date nu lasă mult loc pentru evitarea aplicării sale. În cuprinsul Regulamentului sunt prevăzute expres și limitativ cazurile în care nu se aplică. Din punct de vedere material, Regulamentul nu se aplică prelucrărilor de date cu caracter personal realizate în cadrul unei activități care nu intră sub incidența dreptului Uniunii, politicii de securitate și apărare comună a statelor membre ale Uniunii Europene, activităților de prelucrare realizate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice și prelucrărilor de date cu caracter personal realizate de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora. Din punct de vedere teritorial, Regulamentul nu se aplică în cazul în care nici operatorul, nici eventualul său împuternicit, nici persoanele vizate și nici măcar comportamentul persoanelor vizate nu se manifestă în Uniunea Europeană, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

Regulamentul 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare „Regulamentul”) are o aplicabilitate foarte largă, ceea ce este pe deplin explicabil prin importanța pe care legiuitorul european o acordă protejării drepturilor fundamentale ale omului. Dreptul la protecția datelor cu caracter personal, fiind un drept fundamental al omului, prevăzut de art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene, stabilirea domeniului de aplicare material, realizată prin art. 2 din Regulament a fost făcută în așa fel încât sa fie foarte cuprinzătoare. Regulamentul se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

1. Din punct de vedere material, Regulamentul nu se aplică următoarelor prelucrări de date cu caracter personal:

– Prelucrările de date cu caracter personal realizate în cadrul unei activități care nu intră sub incidența dreptului Uniunii. În analiza activităților care nu intră sub incidența dreptului Uniunii trebuie avut în vedere și considerentul (16) din preambulul Regulamentului, unde se precizează că activitățile privind securitatea națională nu intră sub incidența dreptului Uniunii. Considerentul unui act de drept derivat al Uniunii este folosit pentru interpretarea dispozițiilor aferente din Regulament, însă, deși poate permite clarificarea interpretării care trebuie dată unei norme de drept, nu poate constitui prin el însuși o astfel de normă[1]. În jurisprudența sa, Curtea de Justiție a Uniunii Europene (în continuare „Curtea”) a mai apelat la considerentele unui regulament pentru a analiza domeniul de aplicare a acestuia din urmă[2]. Prin urmare, tot Curții îi va reveni sarcina să analizeze și să stabilească dacă o situație dedusă judecății se va afla sau nu în domeniul de aplicare al Regulamentului.

În ceea ce privește sintagma „securitate națională”, conținutul acesteia conturat de interpretările la nivel european s-ar putea să fie diferit de cel existent la nivel național, în România. În jurisprudența sa, Curtea a analizat în mai multe rânduri domeniul de aplicare al Directivei 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (în continuare „Directiva 94/46”) cu privire la securitatea statului. Astfel, s-a susținut că prelucrarea de date cu caracter personal este exclusă din domeniul de aplicare al Directivei 95/46 în aplicarea articolului 3 alineatul (2) prima liniuță din aceasta, potrivit căruia directiva menționată nu se aplică, în orice caz, prelucrărilor de date cu caracter personal care au ca obiect siguranța publică, apărarea, securitatea statului, inclusiv bunăstarea economică a statului, atunci când aceste prelucrări sunt legate de probleme de securitate a statului, și activitățile statului în domeniul dreptului penal. Curtea a reținut că în cauza principală, din decizia de trimitere a reieșit că datele în discuție erau colectate și utilizate în scopul perceperii impozitului și al combaterii fraudei fiscale. Sub rezerva verificărilor care trebuie efectuate în această privință de instanța de trimitere, nu rezultă însă că prelucrarea acestor date are ca obiect siguranța publică, apărarea sau securitatea statului[3].

Curtea a reținut că este necesar să se stabilească dacă prelucrarea datelor cu caracter personal în discuție în litigiul principal, și anume adresele IP dinamice ale utilizatorilor anumitor site-uri de internet ale organismelor federale germane, nu este exclusă din domeniul de aplicare al Directivei 95/46 în conformitate cu articolul 3 alineatul (2) prima liniuță din aceasta, în temeiul căruia directiva menționată nu se aplică prelucrării datelor cu caracter personal care au ca obiect printre altele activitățile statului în domeniul dreptului penal. În această privință, a fost reamintit faptul că activitățile menționate cu titlu de exemplu în cuprinsul dispoziției menționate sunt, în toate cazurile, activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor[4]. Or, în cauza principală, sub rezerva verificărilor care trebuie efectuate în această privință de instanța de trimitere, se pare că organismele federale germane, care furnizează servicii de comunicații electronice și care sunt responsabile de prelucrarea adreselor IP dinamice, acționează, în pofida statutului lor de autorități publice, în calitate de particulari și în afara cadrului activităților statului în domeniul dreptului penal[5].

Există concluzii ale avocaților generali care sugerează că, de regulă, trebuie să existe prezumția – atunci când o cauză ajunge pe rolul unei instanțe naționale – că ne aflăm în domeniul de aplicare a dreptului Uniunii. Judecătorului național îi revine sarcina să stabilească dacă în litigiul respectiv se aplică sau nu dreptul Uniunii. În ipoteza în care judecătorul național nu-și poate motiva decizia pe o jurisprudență clară a Curții ar trebui să formuleze o trimitere preliminară[6].

Apreciem că va rămâne în sarcina judecătorilor să decidă care anume activități nu intră sub incidența dreptului Uniunii Europene, în concret, de la caz la caz, în măsura în care operatorii vor invoca această apărare în cazul aplicării unor sancțiuni sau, după caz, în cazul în care persoanele vizate vor pretinde angajarea răspunderii civile în baza dispozițiilor Regulamentului.

– Prelucrările de date cu caracter personal realizate de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE. Reglementările la care se referă Regulamentul vizează politica de securitate și apărare comună a statelor membre ale Uniunii Europene.

– Prelucrările de date cu caracter personal realizate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice. Activitățile exclusiv personale sunt activitățile fără conotație de afaceri, la fel și cele exclusive domestice. Potrivit considerentului (18) din preambulul Regulamentului, activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Însă, Regulamentul se va aplica operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.

Cu privire la sfera activităților domestice, în concluziile Avocatului General în cauza C-25/17 (încă pendinte)[7] s-a reținut că activitatea de predicare nu este exclusă din domeniul de aplicare al Directivei 95/46 în temeiul articolului 3 alineatul (2). A fost apreciat că din jurisprudența Curții domeniul de aplicare al articolului 3 alineatul (2) a doua liniuță din Directiva 95/46 poate fi clarificat în mod util de considerentul (12) al acesteia, care menționează, drept exemple de prelucrare a datelor efectuată de o persoană fizică în exercitarea unor activități exclusiv personale sau domestice, corespondența și păstrarea repertoriului de adrese. Prin urmare, „[a]ceastă excepție trebuie interpretată, așadar, în sensul că vizează numai activitățile care se includ în cadrul vieții private sau familiale a particularilor”, adică atunci când prelucrarea „este efectuată în sfera exclusiv personală sau domestică a persoanei care efectuează această prelucrare”. Curtea consideră că această situație nu se regăsește, în mod evident, în cazul prelucrării de date cu caracter personal „care constă în publicarea lor pe internet, astfel încât aceste date devin accesibile unui număr nedeterminat de persoane”, sau „al [cărei] obiect este aducerea datelor colectate la cunoștința unui număr nedeterminat de persoane”. Astfel, nici din ceea ce este „îndreptat în afara sferei private a persoanei care efectuează prelucrarea datelor” nu poate fi considerat drept o activitate exclusiv personală sau domestică în sensul articolului 3 alineatul (2) a doua liniuță din Directiva 95/46. Având în vedere dimensiunea activității de predicare și faptul că aceasta implică în mod necesar că persoana care prelucrează datele în acest context iese din sfera sa privată și familială pentru a întâlni, la domiciliul lor, persoane care nu fac parte din cercul său intim, colectarea și prelucrarea datelor cu caracter personal efectuate de membrii unei comunități religioase în cadrul unei activități de predicare din casă în casă nu pot fi excluse din domeniul de aplicare al Directivei 95/46.

După părerea noastră, chiar dacă ar fi lipsit din textul Regulamentului reglementarea expresă a excluderii prelucrărilor de date cu caracter personal realizate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice, ea ar fi fost construită și impusă de jurisprudență.

– Prelucrările de date cu caracter personal realizate de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora. Pentru aceste categorii de prelucrări urmează să se aplice dispozițiile Directivei (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, statele membre având ca termen de transpunere data de 6 mai 2018 și dispozițiile Directivei (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, statele membre având ca termen de transpunere data de 25 mai 2018.

Sfera autorităților cu astfel de atribuții este destul de largă. Această excepție ridică o problemă spinoasă pentru operatori: transferul datelor cu caracter personal către și de la aceste autorități cărora Regulamentul nu li se aplică. Apreciem că dispozițiile Regulamentului rămân pe deplin aplicabile operatorilor care transmit informații către astfel de autorități, precum și împuterniciților unor astfel de autorități. Operatorii care transmit date cu caracter personal către aceste autorități trebuie să vegheze ca transmiterea acestor date să fie realizată exclusiv în baza unui temei legal bine verificat. Împuterniciții care prelucrează pentru astfel de autorități date cu caracter personal nu au, după părerea noastră, opțiunea să “decadă” ca operatori asociați, adică nu pot să utilizeze datele cu caracter personal în scopuri proprii. În orice caz, în ambele situații Regulamentul rămâne în realitate aplicabil, atât cu privire la transmiterea datelor în temeiul legii cât și cu privire la raporturile juridice dintre autorități și împuterniciți. După părerea noastră, prevederile Regulamentului în ce privește reglementarea relațiilor dintre aceste autorități și împuterniciți sunt aplicabile atât în ce privește obligațiile împuterniciților cât și obligațiile autorităților, care în realitate trebuie să funcționeze ca niște veritabili operatori în relațiile cu împuterniciții lor.

O precizare se impune în cazul prelucrării datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, pentru care se aplică Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 și alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal ar trebui adaptate la principiile și normele stabilite cu privire la protecția conferită de Regulament.

Regulamentul reglementează și o excepție de la aplicarea foarte bogată în nuanțe care necesită clarificare. Potrivit art. 2 alin. 4, Regulamentul nu aduce atingere aplicării Directivei 2000/31/CE, în special normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12-15 din directiva menționată. Fondul principal de idei al acestei directive a fost implementat în România prin Legea nr. 365/2002 privind comerțul electronic, ale cărei dispoziții se completează, potrivit art. 2 alin. 4 lit. b) cu dispozițiile legale care reglementează protecția persoanelor în privința prelucrării datelor cu caracter personal şi libera circulație a acestor date, precum și cele care reglementează prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor. Îngemănarea reglementărilor din materia comerțului electronic și telecomunicațiilor cu reglementările din materia protecției datelor cu caracter personal trebuie analizată având în vedere forța juridică de cel mai înalt nivel a Regulamentului general privind protecția datelor cu caracter personal și, totodată, caracterul său declarat subsidiar.

Ar mai trebui avute în vedere și reținute dispozițiile considerentelor (14) și (15) din preambul care se referă la faptul că Regulamentul nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice. În același mod, nici dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al Regulamentului.

2. Din punct de vedere teritorial, Regulamentul nu se aplică în cazul în care nici operatorul, nici eventualul său împuternicit, nici persoanele vizate și nici măcar comportamentul persoanelor vizate nu se manifestă în Uniunea Europeană, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. În toate celelalte cazuri Regulamentul este aplicabil, indiferent de legea națională a persoanei fizice. Practic, Regulamentul are în vedere activitățile de prelucrare atât legate de oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată cât și monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Dispozițiile art. 3 trebuie interpretate având în vedere și considerentului (14) din preambul care statuează că protecția Regulamentului ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.

Privit ca normă conflictuală, art. 3 din Regulament, care reglementează domeniul său de aplicare teritorial, este mai aspru chiar decât reglementarea națională a legii aplicabile existenței și conținutului drepturilor inerente ființei umane, care, potrivit art. 2577 din Codul civil român, sunt supuse legii naționale a persoanei fizice, ceea ce sugerează că problematica datelor cu caracter personal este mai importantă decât ne sugerează numărul 8, numărul articolului privind protecția datelor cu caracter personal în Carta Drepturilor Fundamentale a Uniunii Europene.


[1] Hotărârea din 13 iulie 1989, Casa Fleischhandel, 215/88, EU:C:1989:331, punctul 31.
[2] Hotărârea din 9 noiembrie 2017, Tünkers France/Expert France, Cauza C-641/16, EU:C:2017:847, în special pct. 18, 19 și 20.
[3] Hotărârea din 27 septembrie 2017, Peter Puškár/Finančné riaditeľstvo Slovenskej republiky, Cauza C-73/16, EU:C:2017:725, în special pct. 35 și 39.
[4] A se vedea Hotărârea din 6 noiembrie 2003, Lindqvist, C 101/01, EU:C:2003:596, punctul 43, și Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia, C 73/07, EU:C:2008:727, punctul 41.
[5] Hotărârea din 19 octombrie 2016, Patrick Breyer/Bundesrepublik Deutschland, Cauza C-582/14, EU:C:2016:779, în special pct. 51, 52 și 53.
[6] Pentru o analiză detaliată a se vedea teza de doctorat „Protecția jurisdicțională a drepturilor fundamentale la nivel național”, Mihaela D. MAZILU, pag. 92-105.
[7] Concluziile avocatului general prezentate la 1 februarie 2018, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta, Cauza C-25/17, EU:C:2018:57, în special pct. 39 și 42.


Avocat Laurențiu Petre, Partner SĂVESCU & ASOCIAȚII


Aflaţi mai mult despre , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.