Dreptul Uniunii EuropeneDrept constituţionalDrept civilCyberlaw
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecom
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
 
Dreptul muncii
ConferinţeDezbateriCărţiProfesionişti
SAVESCU & ASOCIATII
 
Print Friendly, PDF & Email

Stimați angajatori, fugiți de consimțământul angajaților privind prelucrarea datelor cu caracter personal
05.03.2019 | Răzvan Nicolae POPESCU


Răzvan Nicolae Popescu

Răzvan Nicolae Popescu

Cuprins:
1 Preambul
2 Motivele pentru care consimtamantul angajatilor privind prelucrarea datelor poate sa fie considerat lipsit de orice valabilitate
2.1 Consimtamantul nu indeplineste conditia de a fi liber
2.1.1 Prevederi legale aplicabile
2.1.2 Modul de interpretare a prevederilor legale aplicabile
2.1.3 Situatii practice in care consimtamantul nu poate fi considerat liber
2.2 Consimtamantul nu indeplineste conditia de a fi informat
2.2.1 Prevederi legale aplicabile
2.2.2 Modul de interpretare a prevederilor legale aplicabile
2.2.3 Situatii practice in care consimtamantul nu poate fi considerat informat
2.3 Consimtamantul nu indeplineste conditia de a fi specific
2.3.1 Prevederi legale aplicabile
2.3.2 Modul de interpretare a prevederilor legale aplicabile
2.3.3 Situatii practice in care consimtamantul nu poate fi considerat specific
2.4 Consimtamantul nu indeplineste conditia de a fi lipsit de ambiguitate (neechivoc)
2.4.1 Prevederi legale aplicabile
2.4.2 Modul de interpretare a prevederilor legale aplicabile
2.4.3 Situatii practice in care consimtamantul nu poate fi considerat ca fiind lipsit de ambiguitate.
2.5 Consimtamantul nu poate fi retras si / sau desi retras nu produce niciun fel de efect
2.5.1 Prevederi legale aplicabile
2.5.2 Modul de interpretare a prevederilor legale aplicabile
2.5.3 Situatii practice in care consimtamantul nu poate fi retras si / sau desi retras nu produce efecte
2.5.4 Retragerea consimtamantului ar trebui sa determine oprirea oricaror prelucrari si stergerea datelor
2.6  Consimtamantul cuprins intr-o declaratie scrisa nu indeplineste conditia de a fi distinct de restul prevederilor cuprinse in declaratie
2.6.1 Prevederi legale aplicabile
2.6.2 Modul de interpretare a prevederilor legale aplicabile
2.6.3 Situatii practice in care consimtamantul dat in scris nu indeplineste conditia de a fi distinct
2.7 Consimtamantul, prin el insusi, nu este suficient pentru a asigura o prelucrare legala a datelor cu caracter personal
3 Motivele pentru care angajatorii pot prelucra datele cu caracter personal ale angajatilor si in lipsa consimtamantului acestora
3.1 Prevederi legale aplicabile
3.2 Modul de interpretare a prevederilor legale aplicabile
3.3 Cazurile practice in care un angajator poate sa prelucreze datele cu caracter personal ale propriilor angajati si in lipsa consimtamantului acestora
4 Exemple din practica CEJ in care datele cu caracter personal au putut fi prelucrate in baza altui temei juridic decat consimtamantul
4.1 Prelucrarea este necesara in vederea indeplinirii unei obligatii legale ce ii revine operatorului.
4.2 Prelucrarea este necesara in vederea aducerii la indeplinire a unei sarcini de interes public
4.3 Prelucrarea este necesara pentru realizarea interesului legitim urmarit de operatorul de date cu caracter personal
5 Concluzii
6 Materialele care au fundamentat prezenta opinie

1. Preambul

La data de 25 mai 2018 a intrat in vigoare Regulamentul nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE – Regulamentul general privind protectia datelor (cunoscut in practica sub denumirea de GDPR – General Data Protection Regulation), denumit in cadrul prezentului material GDPR.

Intrarea in vigoare a GDPR-ului a determinat o serie de societati (comerciale) din Romania sa solicite consimtamantul propriilor angajati, in vederea prelucrarii datelor cu caracter personal ale acestora si sa-l obtina sub forma unor documente scrise si semnate de angajati (ex. contracte de munca, acte aditionale la contractele de munca, declaratii etc.)

De asemenea, intrarea in vigoare a noii legislatii a condus o serie de societati (comerciale) din Romania la concluzia ca nu mai pot prelucra datele cu caracter personal ale propriilor angajati decat in baza consimtamantului acestora.

Prezentul material este redactat in scopul informarii tuturor persoanelor interesate cu privire la urmatoarele aspecte:

1. societatile (comerciale) pot prelucra datele cu caracter personal ale propriilor angajati si in lipsa consimtamantului acestora;
2. societatile (comerciale) pot prelucra datele cu caracter personal ale propriilor angajati in baza altor temeiuri juridice;
3. este de dorit ca societatile (comerciale) sa prelucreze datele cu caracter personal ale propriilor angajati in baza altor temeiuri juridice decat consimtamantul;
4. exista o mare posibilitatea ca o parte din consimtamintele obtinute de la angajati sa fie nelegale din perspectiva GDPR-ului si astfel, chiar daca au fost date prin inscrisuri semnate si insusite de angajati, sa nu produca niciun fel de efecte juridice;
5. exista o mare posibilitate ca societatile (comerciale) sa incalce prevederile GDPR-ului daca se bazeaza numai pe consimtamantul propriilor angajati in prelucrarea datelor, iar acesta nu produce efecte din perspectiva GDPR-ului.

2. Motivele pentru care consimtamantul angajatilor privind prelucrarea datelor poate sa fie considerat lipsit de orice valabilitate.

In prezent, o serie de societati (comerciale) incearca sa dovedeasca respectarea prevederilor GDPR-ului prin faptul ca au obtinut documente semnate de salariati prin care acestia isi dau consimtamantul privind prelucrarea datelor care ii privesc.

In acest sens, angajatorii prezinta o serie de inscrisuri semnate de angajati, inscrisuri ce cuprind formulari de genul: „Subsemnatul … prin prezenta / prezentul imi dau consimtamantul / acordul ca societatea … sa-mi prelucreze datele cu caracter personal in urmatoarele scopuri…”

In cadrul capitolelor urmatoare vom detalia motivele pentru care astfel de inscrisuri, desi sunt semnate de angajati, sunt nelegale si nu pot produce niciun fel de efecte juridice, neputand astfel asigura angajatorul ca prelucreaza datele cu caracter personal intr-un mod legal, conform prevederilor GDPR-ului.

2.1 Consimtamantul nu indeplineste conditia de a fi liber

2.1.1 Prevederi legale aplicabile

Articolul 6 alin. 1 lit. a din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.

Articolul 7 alin. 1 din GDPR prevede: „In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.”

Articolul 7 alin. 4 din GDPR prevede: „Atunci cand se evalueaza daca consimtamantul este dat in mod liber, se tine seama cat mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este conditionata sau nu de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.”

Articolul 4 pct. 11 din GDPR prevede: „In sensul prezentului regulament: 11. „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate.”

Paragraful 32 din preambulul GDPR-ului prevede: „Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal.”

Paragraful 42 din preambulul GDPR-ului prevede: „Consimtamantul nu ar trebui considerat ca fiind acordat in mod liber daca persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa isi retraga consimtamantul fara a fi prejudiciata.

Paragraful 43 din preambulul GDPR-ului prevede: „Pentru a garanta faptul ca a fost acordat in mod liber, consimtamantul nu ar trebui sa constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal in cazul particular in care exista un dezechilibru evident intre persoana vizata si operator, in special in cazul in care operatorul este o autoritate publica, iar acest lucru face improbabila acordarea consimtamantului in mod liber in toate circumstantele aferente respectivei situatii particulare. Consimtamantul este considerat a nu fi acordat in mod liber in cazul in care aceasta nu permite sa se acorde consimtamantul separat pentru diferitele operatiuni de prelucrare a datelor cu caracter personal, desi acest lucru este adecvat in cazul particular, sau daca executarea unui contract, inclusiv furnizarea unui serviciu, este conditionata de consimtamant, in ciuda faptului ca consimtamantul in cauza nu este necesar pentru executarea contractului.

2.1.2 Modul de interpretare a prevederilor legale aplicabile

Toate prevederile expuse in cadrul capitolului precedent se interpreteaza in conformitate cu opiniile Grupului de lucru.

In cadrul Opiniei nr. 8/2001 Grupul de lucru a considerat ca: „Grupul de lucru este de parere ca, acolo unde prelucrarea datelor este necesara si reprezinta o consecinta inevitabila a raporturilor de munca un angajator se insala atunci cand incearca sa justifice aceasta prelucrare pe baza consimtamantului. Folosirea consimtamantului de catre angajator ar trebui sa se limiteze la cazurile in care angajatul are o reala libertate de alegere si poate sa-si retraga consimtamantul fara a fi prejudiciat.” (n.n. traducerea si adaptarea noastra). [1]

In cadrul opiniei nr. 15/2011 Grupul de lucru a considerat ca: „Un exemplu al celor de mai sus este furnizat de cazul in care persoana vizata se afla sub jurisdictia / influenta operatorului de date, cum ar fi o relatie de munca. In acest exemplu, desi nu intotdeauna persoana vizata poate fi intr-o situatie de dependenta fata de operatorul de date, datorita naturii relatiei sau a circumstantelor speciale, aceasta ar putea sa se teama ca ar putea fi tratata diferit daca nu accepta prelucrarea datelor.” (n.n. traducerea si adaptarea noastra).[2]

In cadrul orientarilor privind consimtamantul din 2018 Grupul de lucru a considerat ca: „Un dezechilibru de putere apare, de asemenea, in contextul relatiilor de munca. Avand in vedere dependenta care rezulta din relatia dintre angajator si angajat, este putin probabil ca persoana vizata sa poata refuza sa-si acorde consimtamantul fata de angajatorul sau pentru prelucrarea datelor fara a se confrunta cu temerea sau cu riscul real de consecinte negative ca urmare a unui refuz. Este putin probabil ca un angajat sa poata raspunde in mod liber la o cerere de consimtamant din partea angajatorului sau, de exemplu pentru a activa sisteme de monitorizare, cum ar fi camerele de supraveghere la locul de munca, sau pentru a completa formulare de evaluare, fara a simti presiunea de a consimti.” [3]

2.1.3 Situatii practice in care consimtamantul nu poate fi considerat liber

Din cele expuse in cadrul capitolelor precedente rezulta ca, in principiu, in toate cazurile, in relatia dintr-un angajator si angajat consimtamantul privind prelucrarea datelor este prezumat a nu fi liber, indiferent de modul in care este acordat (ex. prin intermediul contractului de munca, prin intermediul unui act aditional la contractul de munca, prin intermediul unei declaratii asumate de salariat etc).

2.2 Consimtamantul nu indeplineste conditia de a fi informat

2.2.1 Prevederi legale aplicabile

Articolul 6 alin. 1 lit. a din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”

Articolul 7 alin. 1 din GDPR prevede: „In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.”

Articolul 4 pct. 11 din GDPR prevede: „In sensul prezentului regulament: 11. „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;”

Paragraful 32 din preambulul GDPR-ului prevede: „Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal.”

Paragraful 42 din preambulul GDPR – ului prevede: „Pentru ca acordarea consimtamantului sa fie in cunostinta de cauza, persoana vizata ar trebui sa fie la curent cel putin cu identitatea operatorului si cu scopurile prelucrarii pentru care sunt destinate datele cu caracter personal.”

2.2.2 Modul de interpretare a prevederilor legale aplicabile

Toate prevederile expuse in cadrul capitolului precedent se interpreteaza in conformitate cu opiniile Grupului de lucru.

Potrivit opiniei nr. 8/2001 a Grupului de lucru notiunea de consimtamant informat presupune ca: „… angajatul trebuie sa aiba informatii cu privire la prelucrarea necesara in conformitate cu art. 10 si 11” (n.n. traducerea si adaptarea noastra). [4]

Potrivit opiniei nr. 15/2011 a Grupului de lucru notiunea de consimtamant informat presuspune ca: „Pentru a fi valabil, consimtamantul trebuie sa fie informat. Aceasta inseamna ca toate informatiile necesare trebuie sa se acorde in momentul solicitarii consimtamantului si ca acest lucru ar trebui sa vizeze aspectele esentiale ale prelucrarii pe care consimtamantul intentioneaza sa le legitimeze. Acesta ar acoperi, in mod normal, informatiile enumerate la articolul 10 din directiva, dar va depinde si de momentul si de circumstantele in care este solicitat consimtamantul.

Aceasta inseamna ca, in practica, consimtamantul persoanei vizate trebuie sa se bazeze pe o apreciere personala si pe intelegerea faptelor si implicatiilor unei actiuni. Persoanei in cauza trebuie sa-i fie date, intr-un mod clar, usor de inteles si corect informatii complete privind toate aspectele relevante, in special cele mentionate la articolul 10 si articolul 11 ​​din directiva, cum ar fi natura datelor prelucrate, scopul procesarii, destinatarii posibilelor transferuri si drepturile persoanei vizate.” (n.n. traducerea si adaptarea noastra). [5]

Potrivit orientarilor privind consimtamantul din 2018 emise de Grupul de lucru notiunea de consimtamant informat presupune ca: „Furnizarea de informatii persoanelor vizate inainte de obtinerea consimtamantului acestora este esentiala pentru a le permite sa ia decizii in cunostinta de cauza, sa inteleaga aspectele fata de care isi exprima acordul si, de exemplu, sa isi exercite dreptul de a-si retrage consimtamantul. Daca operatorul nu furnizeaza informatii accesibile, controlul utilizatorului devine iluzoriu, iar consimtamantul nu va constitui un temei valabil pentru prelucrare.

Pentru ca un consimtamant sa fie in cunostinta de cauza, este necesar ca persoana vizata sa fie informata cu privire la anumite elemente care sunt esentiale pentru a face o alegere.

Prin urmare, GL 29 considera ca cel putin urmatoarele informatii sunt necesare pentru obtinerea unui consimtamant valabil:
(i) identitatea operatorului,
(ii) scopul fiecarei operatiuni de prelucrare pentru care se solicita consimtamantul,
(iii) tipul de date care vor fi colectate si utilizate,
(iv) existenta dreptului de retragere a consimtamantului,
(v) informatii privind utilizarea datelor pentru procesul decizional automatizat in conformitate cu articolul 22 alineatul (2) litera (c), daca este cazul,
(vi) cu privire la posibilele riscuri legate de transferurile de date din cauza lipsei unei decizii privind caracterul adecvat al nivelului de protectie si a garantiilor adecvate, astfel cum se descrie la articolul 46.” [6]

2.2.3 Situatii practice in care consimtamantul nu poate fi considerat informat

In practica pot fi intalnite o serie de situatii in care consimtamantul angajatilor privind prelucrarea datelor nu indeplineste conditia de a fi informat:

1. angajatorul a obtinut din partea salariatilor o declaratie prin care acestia isi manifesta consimtamantul privind prelucrarea datelor, insa declaratia nu este precedata de o informare a angajatilor cu privire la o serie de aspecte (ex. scopurile prelucrarii, categoriile de date prelucrate, existenta dreptului de retragere a consimtamantului etc);

2. angajatorul a obtinut din partea salariatilor o declaratie prin care acestia isi manifesta consimtamantul privind prelucrarea datelor, iar declaratia este precedata de o informare a angajatilor cu privire la o serie de aspecte, insa aceste aspecte sunt formulate fie intr-un mod incomplet, fie intr-un mod mult prea general (ex. scopurile prelucrarii sunt luate cu copy / paste din GDPR si nu exista o detaliere concreta a acestora, categoriile de date cu caracter personal utilizate fie lipsesc, fie sunt vagi, existenta dreptului de retragere a consimtamantului fie lipseste, fie nu este prevazut mecanismul prin care acest drept poate fi exercitat in practica etc);

3. angajatorul a obtinut din partea salariatilor o declaratie prin care acestia isi manifesta consimtamantul privind prelucrarea datelor, iar declaratia este precedenta de o informare a angajatilor cu privire la o serie de aspecte, insa aceste aspecte sunt formulate intr-un limbaj juridic care nu poate fi inteles decat de un avocat;

4. angajatorul a obtinut din partea salariatilor o declaratie prin care acestia isi manifesta consimtamantul privind prelucrarea datelor, iar declaratia este precedata de o informare a angajatilor cu privire la o serie de aspecte, insa aceste aspecte nu reflecta realitatea (ex. sistemul de acces pe baza de cartele de acces este folosit atat in scopul asigurarii securitatii incintei, cat si in vederea realizarii pontajului angajatilor, camerele de luat de vederi sunt montate atat pentru asigurarea securitatii incintei, cat si pentru a monitoriza activitatea salariatilor la locul de munca etc).

2.3 Consimtamantul nu indeplineste conditia de a fi specific

2.3.1 Prevederi legale aplicabile

Articolul 6 alin. 1 lit. a din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”

Articolul 7 alin. 1 din GDPR prevede: „In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.

Articolul 4 pct. 11 din GDPR prevede: „In sensul prezentului regulament: 11. „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;”

Paragraful 32 din preambulul GDPR-ului prevede: „Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal. … Consimtamantul ar trebui sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri. Daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii.”

Paragraful 43 din preambulul GDPR-ului prevede: „Consimtamantul este considerat a nu fi acordat in mod liber in cazul in care aceasta nu permite sa se acorde consimtamantul separat pentru diferitele operatiuni de prelucrare a datelor cu caracter personal, desi acest lucru este adecvat in cazul particular…”

2.3.2 Modul de interpretare a prevederilor legale aplicabile

Toate prevederile expuse in cadrul capitolului precedent se interpreteaza in conformitate cu opiniile Grupului de lucru.

In cadrul opiniei nr. 15/2011 Grupul de lucru a considerat ca: „Pentru a fi valabil, consimtamantul trebuie sa fie specific. Cu alte cuvinte, consimtamantul in alb fara specificarea scopului exact al prelucrarii nu este acceptabil. Pentru a fi specific, consimtamantul trebuie sa fie inteligibil, ar trebui sa se refere clar si precis la domeniul de aplicare si consecintele prelucrarii datelor. Consimtamantul specific nu se poate aplica unui set deschis al activitatilor de prelucrare. Aceasta inseamna, cu alte cuvinte, ca contextul in care consimtamantul este acordat este este limitat. Consimtamantul trebuie sa fie dat in legatura cu diferitele aspecte ale prelucrarii, in mod clar identificate. Acesta conditie priveste in special datele care sunt prelucrate si scopurile prelucrarii.” (n.n. traducerea si adaptarea noastra). [7]

In cadrul orientarilor privind consimtamantul din 2018 Grupul de lucru a considerat ca: „Mecanismele de consimtamant trebuie sa fie detaliate nu numai pentru a indeplini cerinta privind caracterul „liber”, ci si pentru a satisface conditia referitoare la caracterul „specific”. Acest lucru inseamna ca un operator care solicita consimtamantul pentru o serie de scopuri diferite ar trebui sa ofere o optiune separata pentru fiecare scop in parte, astfel incat sa permita utilizatorilor sa acorde un consimtamant specific pentru scopuri specifice. In cele din urma, operatorii ar trebui sa furnizeze informatii specifice, impreuna cu fiecare cerere separata de consimtamant, referitoare la datele care sunt prelucrate in fiecare scop, pentru ca persoanele vizate sa fie constiente de impactul diferitelor optiuni pe care le au la dispozitie.” [8]

2.3.3 Situatii practice in care consimtamantul nu poate fi considerat specific

In practica pot fi intalnite o serie de situatii in care consimtamantul angajatilor privind prelucrarea datelor nu indeplineste conditia de a fi specific:

1. angajatorul ofera angajatului o declaratie prin care acesta urmeaza sa consimta la orice fel de prelucrari ale datelor de catre angajator, fara ca acestea din urma sa fie detaliate intr-un mod clar si concis, fiind formulate intr-o maniera extrem de generala si la latitudinea angajatorului;

2. angajatorul ofera angajatului o declaratie prin care acesta nu are alta posibilitate decat de a accepta toate scopurile prelucrarii in bloc sau de a le refuza;

3. angajatorul oferta angajatului o declaratie prin care prin care angajatul poate selecta scopurile prelucrarii datelor pentru care isi poate da consimtamantul, insa declaratia nu cuprinde si datele ce urmeaza a fi folosite pentru fiecare scop in parte.

2.4 Consimtamantul nu indeplineste conditia de a fi lipsit de ambiguitate (neechivoc)

2.4.1 Prevederi legale aplicabile

Articolul 6 alin. 1 lit. a din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”

Articolul 7 alin. 1 din GDPR prevede: „In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.”

Articolul 4 pct. 11 din GDPR prevede: „In sensul prezentului regulament: 11. „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;”

Paragraful 32 din preambulul GDPR-ului prevede: „Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal.”

2.4.2 Modul de interpretare a prevederilor legale aplicabile

Toate prevederile expuse in cadrul capitolului precedent se interpreteaza in conformitate cu opiniile Grupului de lucru.

In cadrul opiniei nr. 15/2011 Grupul de lucru a considerat ca: „Pentru ca consimtamantul sa fie neechivoc, procedura de a cauta si de a da consimtamantul trebuie inlature orice fel de indoieli cu privire la intentia persoanei vizate de a emite consimtamantul. Cu alte cuvinte, manifestarea de vointa prin care persoana vizata isi exprima acordul nu trebuie sa lase loc pentru ambiguitate cu privire la intentia sa. Daca exista o indoiala rezonabila cu privire la intentia persoanei, exista ambiguitati.” (n.n. traducerea si adaptarea noastra) [9]

In cadrul orientarilor privind consimtamantul din 2018 Grupul de lucru a considerat ca: „De asemenea, un operator trebuie sa fie constient de faptul ca consimtamantul nu poate fi obtinut prin aceeasi actiune prin care se consimte la incheierea unui contract sau se accepta termenele si conditiile generale ale unui serviciu. Acceptarea in alb a termenelor si conditiilor generale nu poate fi considerata drept o actiune fara echivoc de a consimti la utilizarea datelor cu caracter personal.” [10]

2.4.3 Situatii practice in care consimtamantul nu poate fi considerat ca fiind lipsit de ambiguitate

In practica pot fi intalnite o serie de situatii in care consimtamantul angajatilor privind prelucrarea datelor nu indeplineste conditia de a fi lipsit de ambiguitate:

1. simpla incheiere a unui contract de munca, prin ea insasi, nu semnifica consimtamantul angajatului cu privire la prelucrarea datelor sale cu caracter personal;

2. simpla prezenta la un loc de munca in care accesul se realizeaza pe baza unor carduri de acces, prin ea insasi, nu semnifica acordul angajatului de a i se realiza pontajul pe baza inregistrarilor apararatului care ii permite accesul prin folosirea cardului;

3. simpla prezenta la un loc de munca in care salariatii sunt monitorizati prin camere video, prin ea insasi, nu semnifica acordul angajatilor de a fi monitorizati prin mijloace video;

4. simpla utilizare a unor soft-uri / programe / aplicatii IT de catre un angajat, prin ea insasi, nu semnifica acordul angajatului de a fi monitorizat la locul de munca prin mijloace IT.

2.5 Consimtamantul nu poate fi retras si / sau desi retras nu produce niciun fel de efect

2.5.1 Prevederi legale aplicabile

Articolul 6 alin. 1 lit. a din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”

Articolul 7 alin. 1 din GDPR prevede: „In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.”

Articolul 7 alin. 3 din GDPR prevede: „Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia.

Articolul 4 pct. 11 din GDPR prevede: „In sensul prezentului regulament: 11. „consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;”

Paragraful 42 din preambulul GDPR-ului prevede: „Consimtamantul nu ar trebui considerat ca fiind acordat in mod liber daca persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa isi retraga consimtamantul fara a fi prejudiciata.”

2.5.2 Modul de interpretare a prevederilor legale aplicabile

Toate prevederile expuse in cadrul capitolului precedent se interpreteaza in conformitate cu opiniile Grupului de lucru.

Prin opinia nr. 15/2011 Grupul de lucru a considerat ca: „Notiunea de control este, de asemenea, legata de faptul ca persoana vizata ar trebui sa poata sa isi retraga consimtamantul. Retragerea nu este retroactiva, dar ar trebui, in principiu, sa previna orice prelucrare ulterioara a datelor persoanei de catre operator.” (n.n. traducerea si adaptarea noastra) [11]

Prin orientarile privind consimtamantul din 2018 Grupul de lucru a considerat ca: „Cerinta privind retragerea cu usurinta a consimtamantului este descrisa ca un aspect necesar al consimtamantului valabil in RGPD. Daca dreptul de retragere nu respecta cerintele RGPD, atunci mecanismul de consimtamant al operatorului nu respecta RGPD. Astfel cum se mentioneaza la punctul 3.1 cu privire la conditia consimtamantului in cunostinta de cauza, operatorul trebuie sa informeze persoana vizata asupra dreptului de retragere a consimtamantului inainte de acordarea efectiva a consimtamantului, in conformitate cu articolul 7 alineatul (3) din RGPD. Mai mult, ca parte a obligatiei de transparenta, operatorul trebuie sa informeze persoanele vizate cu privire la modul de exercitare a drepturilor lor.” [12]

2.5.3 Situatii practice in care consimtamantul nu poate fi retras si / sau desi retras nu produce efecte

In practica pot fi intalnite o serie de situatii in care consimtamantul angajatilor privind prelucrarea datelor fie nu poate fi retras, fie desi retras nu produce niciun fel de efecte:

1. atata timp cat legea stabileste o prezumtie relativa in sensul ca un angajat nu este liber sa-si exprime consimtamantul, consideram ca aceeasi prezumtie se aplica si in ceea ce priveste posibilitatea unui angajat de a-si retrage consimtamantul acordat; Cu alte cuvinte, potrivit legii, un angajat este prezumat ca nu isi poate retrage consimtamantul fara a putea fi prejudiciat (ex. concediat);

2. in masura in care un salariat isi retrage consimtamantul privind prelucrarea datelor, iar angajatorul continua sa prelucreze datele, dar pe baza altor temeiuri juridice, temeiuri ce nu au fost aduse niciodata la cunostinta angajatului, se poate considera ca retragerea consimtamantului este iluzorie, ea neproducand niciun fel de efecte.

2.5.4 Retragerea consimtamantului ar trebui sa determine oprirea oricaror prelucrari si stergerea datelor

Fata de faptul ca acordarea consimtamantului privind prelucrarea datelor este intrinsec legata de posibilitatea de control a persoanei vizate (angajatul) atat cu privire la inceperea activitatilor de prelucrare, cat si cu privire la incetarea prelucrarii, consideram ca, in cazul retragerii consimtamantului, operatorul de date cu caracter personal (angajatorul) ar trebui sa opreasca orice fel de activitate de prelucrare si sa procedeze la stergerea tuturor datelor.

In acelasi sens este si opinia Grupului de lucru mentionata in cadrul orientarilor privind consimtamantul din 2018: „Ca regula generala, in cazul retragerii consimtamantului, toate operatiunile de prelucrare a datelor care s-au bazat pe consimtamantul respectiv si au avut loc inainte de retragerea acestuia – si in conformitate cu RGPD – continua sa fie legale, insa operatorul trebuie sa opreasca actiunile de prelucrare in cauza. Daca nu exista un alt temei legal care sa justifice prelucrarea (de exemplu, stocarea ulterioara) a datelor, acestea ar trebui sa fie sterse de catre operator.” [13]

Pentru ca o persoana sa fie in deplin control in ceea ce priveste prelucrarea datelor sale cu caracter personal, consideram ca ar fi necesar ca aceasta sa poata determina incetarea prelucrarii datelor sale la fel de usor precum poate determina inceperea prelucrarii.

Spre exemplu, presupunand ca un angajat este in masura sa acorde un consimtamant legal, in conditiile GDPR, acelasi angajat ar trebui sa fie in masura sa determine, in mod efectiv, incetarea activitatilor de prelucrare, la momentul la care isi retrage consimtamantul.

In practica, consideram ca un astfel de control, in principiu, nu poate exista pentru urmatoarele motive.

Sa luam exemplul in care un angajat consimte ca datele sale sa fie prelucrate de catre propriul angajator, iar dupa o perioada de 5 ani isi retrage consimtamantul privind prelucrarea datelor, fara a inceta raportul de munca.

In aceasta situatie, angajatorul ar trebui sa dispuna stergerea tuturor datelor cu caracter personal ale angajatului respectiv, ceea ce, in practica, s-ar dovedi anevoios daca nu chiar imposibil si / sau nelegal:

1. anumite date cu caracter personal ale angajatului sunt mentionate in cuprinsul contractului de munca ( ex. nume, prenume, domiciliu, functia, programul de munca, salariul etc ), motiv pentru care acestea nu pot fi distruse, intrucat angajatorul are interes in a pastra aceste date pentru a putea executa in continuare contractul de munca cu salariatul in discutie;

2. anumite date cu caracter personal ale angajatului sunt mentionate in cuprinsul statelor de plata ( ex. nume, prenume, salariu etc ), motiv pentru care acestea nu pot fi distruse, deoarece angajatorul are obligatia legala de a pastra statele de plata pentru o perioada de 50 ani;

3. anumite date cu caracter personal ale angajatului sunt mentionate in extrasele de banca care atesta plata salariului, motiv pentru care acestea nu pot fi distruse intrucat angajatorul are interesul legitim de a dovedi ca si-a executat obligatia de plata a salariului.

Fata de aceste imprejurari, putem observa cum, desi salariatul isi exercita dreptul de a-si retrage consimtamantul privind prelucrarea datelor sale, aceasta retragere nu va produce niciun efect juridic motivat de faptul ca datele sale vor continua sa fie prelucrate de catre angajator.

Cu alte cuvinte, retragerea consimtamantului privind prelucrarea datelor nu va produce, in realitate, niciun fel de efect juridic, caz in care retragerea consimtamantului ar fi golita de continut.

In aceste situatii nu se poate spune ca a existat un consimtamant valabil in conditiile impuse de GDPR, din moment ce retragerea acestuia nu produce niciun fel de efect juridic.

2.6 Consimtamantul cuprins intr-o declaratie scrisa nu indeplineste conditia de a fi distinct de restul prevederilor cuprinse in declaratie

2.6.1 Prevederi legale aplicabile

Articolul 6 alin. 1 lit. a din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii: a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”

Articolul 7 alin. 1 din GDPR prevede: „In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.”

Articolul 7 alin. 2 din GDPR prevede: „In cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Nicio parte a respectivei declaratii care constituie o incalcare a prezentului regulament nu este obligatorie.”

Paragraful 42 din preambulul GDPR-ului prevede: „In cazul in care prelucrarea se bazeaza pe consimtamantul persoanei vizate, operatorul ar trebui sa fie in masura sa demonstreze faptul ca persoana vizata si-a dat consimtamantul pentru operatiunea de prelucrare. In special, in contextul unei declaratii scrise cu privire la un alt aspect, garantiile ar trebui sa asigure ca persoana vizata este constienta de faptul ca si-a dat consimtamantul si in ce masura a facut acest lucru. In conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebui furnizata o declaratie de consimtamant formulata in prealabil de catre operator, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu, iar aceasta declaratie nu ar trebui sa contina clauze abuzive.

2.6.2 Modul de interpretare a prevederilor legale aplicabile

Din interpretarea normelor juridice anterior mentionate rezulta ca, ori de cate ori, declaratia privind acordarea consimtamantului privind prelucrarea datelor este cuprinsa in cadrul unui document care priveste si alte aspecte (ex. in cadrul unui contract de munca etc.), pentru ca aceasta sa fie valabila si sa produca efecte juridice trebuie, pe de o parte, sa fie evidentiata intr-o forma care sa o distinga in mod clar de restul prevederilor, iar pe de alta parte, sa fie formulata intr-un limbaj usor accesibil.

2.6.3 Situatii practice in care consimtamantul dat in scris nu indeplineste conditia de a fi distinct

In practica pot fi intalnite o serie de situatii in care consimtamantul angajatilor privind prelucrarea datelor, consimtamant dat in scris, nu indeplineste conditia de a fi distinct:

1. consimtamantul este mentionat in cadrul unui document care priveste si alte aspecte decat datele cu caracter personal (ex. in cadrul unui contract de munca etc), iar acesta nu este evidentiat intr-un mod distinct fata de restul prevederilor (ex. nu este cuprins in cadrul unui capitol dedicat, este scris cu acelasi tip de caractere, nu este evidentiat fata de restul prevederilor prin ingrosarea textului sau in orice alt mod etc);

2. consimtamantul este mentionat in cadrul unui document care priveste si alte aspecte decat datele cu caracter personal (ex. in cadrul unui act aditional la contractul de munca etc), iar acesta nu este mentionat prin intermediul unui limbaj usor accesibil si inteligibil (ex. este folosit un limbaj specific avocatilor etc).

2.7 Consimtamantul, prin el insusi, nu este suficient pentru a asigura o prelucrare legala a datelor cu caracter personal

Orice prelucrare de date cu caracter personal trebuie, pe de o parte, sa indeplineasca toate cerintele prevazute de art. 5 alin. 1 din GDPR („Principii legate de prelucrarea datelor cu caracter personal”), iar pe de alta parte, sa aiba la baza cel putin unul din temeiurile juridice prevazute de art. 6 alin. 1 din GDPR („Legalitatea prelucrarii”).

Intrucat consimtamantul persoanei vizate reprezinta doar unul din temeiurile juridice care pot justifica prelucrarea datelor acesta, prin el insusi, nu este suficient pentru a asigura legalitatea prelucrarii de catre un operator, acesta din urma fiind tinut sa respecte si conditiile prevazute de art. 5 alin. 1 din GDPR.

In acelasi sens este si opinia Grupului de lucru. [14]

In acest sens, Grupul de lucru a aratat deja ca pot exista situatii in care prelucrarea datelor cu caracter personal sa fie considerata nelegala fata de faptul ca, desi salariatul si-a dat consimtamantul privind prelucrarea datelor, datele colectate de angajator erau excesive (n.n. incalcand astfel conditia prevazuta de art. 5 alin. 1 lit. c din GDPR privind colectarea numai a datelor limitate la ceea ce este necesar pentru ca scopurile prelucrarii sa fie atinse). [15]

Tot Grupul de lucru a invederat cu alta ocazie ca simpla acordare a consimtamantului de catre persoana vizata nu va legitima niciodata operatorul in a colecta date cu caracter personal excesive prin raportare la scopul in care sunt colectate / prelucrate.[16]

In anumite situatii operatorii de date cu caracter personal recurg la solicitarea consimtamantului persoanei vizate pentru a transfera responsabilitatea datelor asupra acestora (ex. am procedat la divulgarea datelor / transmiterea datelor intrucat clientul a fost de acord etc).

O astfel de practica este nelegala, fata de faptul ca, astfel cum am invederat anterior, simpla existenta a consimtamantului persoanei vizate nu acorda operatorului de date cu caracter personal libertatea de a prelucra datele in orice mod.

De altfel, Grupul de lucru a subliniat faptul ca existenta consimtamantului nu trebuie inteleasca ca determinand exonerarea operatorului de a prelucra datele in conformitate cu prevederile art. 5 din GDPR (n.n. fost art. 6 din Directiva). [17]

3 Motivele pentru care angajatorii pot prelucra datele cu caracter personal ale angajatilor si in lipsa consimtamantului acestora

3.1 Prevederi legale aplicabile

Articolul 6 alin. 1 din GDPR prevede: „Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:

a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;

c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;

d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;

f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

Litera (f) din primul paragraf nu se aplica in cazul prelucrarii efectuate de autoritati publice in indeplinirea atributiilor lor.

3.2 Modul de interpretare a prevederilor legale aplicabile

Prevederile legale anterior mentionate se interpreteaza in conformitate cu hotararile pronuntate de Curtea Europeana de Justitie (CEJ).

Curtea Europeana de Justitie (CEJ) a stabilit, in mai multe randuri, ca:

1. „… orice prelucrare a datelor cu caracter personal trebuie sa respecte … unul dintre criteriile pentru legitimitatea prelucrarii datelor enumerate la articolul 7” (n.n. traducerea noastra); [18]

2. „… orice prelucrare a datelor cu caracter personal trebuie … sa respecte unul dintre criteriile privind legitimitatea prelucrarii datelor, enumerate la articolul 7 din aceeasi directiva ( a se vedea in acest sens Hotararea din 20 mai 2003, Osterreichischer Rundfunk si altii, C‑465/00, C‑138/01 si C‑139/01, Rec., p. I‑4989, punctul 65).” [19]

3. ” … orice prelucrare a datelor cu caracter personal trebuie… sa respecte unul dintre cele sase principii privind legitimitatea prelucrarii datelor, enumerate la articolul 7 din aceeasi directiva ( a se vedea in acest sens Hotararea din 20 mai 2003, Osterreichischer Rundfunk si altii, C‑465/00, C‑138/01 si C‑139/01, Rec., p. I‑4989, punctul 65, precum si Hotararea Huber, citata anterior, punctul 48 ).” [20]

4. „… orice prelucrare a datelor cu caracter personal trebuie … sa respecte unul dintre principiile privind legitimitatea prelucrarii datelor, enumerate la articolul 7 din aceeasi directiva (Hotararea Osterreichischer Rundfunk si altii, citata anterior, punctul 65, Hotararea Huber, citata anterior, punctul 48, precum si Hotararea din 24 noiembrie 2011, ASNEF si FECEMD, C‑468/10 si C‑469/10, Rep., p. I‑12181, punctul 26).” [21]

5. „… orice prelucrare a datelor cu caracter personal trebuie … sa respecte unul dintre principiile privind legitimitatea prelucrarii datelor enumerate la articolul 7 din directiva mentionata (a se vedea Hotararea Osterreichischer Rundfunk si altii, EU:C:2003:294, punctul 65, Hotararea ASNEF si FECEMD, C‑468/10 si C‑469/10, EU:C:2011:777, punctul 26, precum si Hotararea Worten, C‑342/12, EU:C:2013:355, punctul 33).” [22]

6. „… orice prelucrare a datelor cu caracter personal trebuie … sa respecte unul dintre criteriile privind legitimitatea prelucrarii datelor, enumerate la articolul 7 din aceeasi directiva (Hotararea Osterreichischer Rundfunk si altii, C‑465/00, C‑138/01 si C‑139/01, EU:C:2003:294, punctul 65, Hotararea Huber, C‑524/06, EU:C:2008:724, punctul 48, precum si Hotararea ASNEF si FECEMD, C‑468/10 si C‑469/10, EU:C:2011:777, punctul 26 .” [23]

7. „… orice prelucrare a datelor cu caracter personal trebuie … sa respecte unul dintre principiile privind legitimitatea prelucrarii datelor, enumerate la articolul 7 din aceeasi directiva (a se vedea in special Hotararea din 13 mai 2014, Google Spain si Google, C 131/12, EU:C:2014:317, punctul 71, precum si jurisprudenta citata).” [24]

8. „… orice prelucrare a datelor cu caracter personal trebuie … sa respecte unul dintre criteriile privind legitimitatea prelucrarii datelor, enumerate la articolul 7 din aceeasi directiva (a se vedea Hotararea din 1 octombrie 2015, Bara si altii, C 201/14, EU:C:2015:638, punctul 30).” [25]

3.3 Cazurile practice in care un angajator poate sa prelucreze datele cu caracter personal ale propriilor angajati si in lipsa consimtamantului acestora

Din cele expuse in cadrul capitolelor precedente rezulta ca un angajator are posibilitatea de a prelucra datele cu caracter personal ale propriilor angajati si in lipsa consimtamantului acestora, pe baza unor alte temeiuri juridice.

Spre exemplu:
1. datele privind numele, prenumele, data si numarul contractului de munca, salariul, contul bancar ale salariatului pot fi prelucrate de catre angajator pentru a executa contractul de munca (art. 6 alin. 1 lit. b din GDPR);

2. datele privind numele, prenumele, nivelul salariului, perioada angajarii pot fi prelucrate de catre un angajator sub forma intocmirii si stocarii statelor de plata pentru o perioada de 50 de ani in vederea indeplinirii unei obligatii legale (art. 6 alin. 1 lit. c din GDPR);

3. inregistrarea datelor privind un salariat in cadrul programului Revisal ar putea fi realizata de catre un angajator in vederea indeplinirii unei obligatii legale (art. 6 alin. 1 lit. c din GDPR);

4. monitorizarea unui salariat prin intermediul camerelor video la locul de munca poate fi realizata de catre un angajator in vederea atingerii unui interes legitim al acestuia (ex. interesul de a fi sigur ca salariatul respecta conditiile de munca impuse ) ( art. 6 alin. 1 lit. f din GDPR).

4 Exemple din practica CEJ in care datele cu caracter personal au putut fi prelucrate in baza altui temei juridic decat consimtamantul

4.1 Prelucrarea este necesara in vederea indeplinirii unei obligatii legale ce ii revine operatorului

In cauza „Worten – Equipamentos para o Lar SA” Curtea Europeana de Justitie („CEJ”) a analizat daca o societate putea justifica prelucrarea datelor cu caracter personal constand in evidenta timpului de lucru a propriilor angajati.

In urma analizei CEJ a stabilit ca tinerea unei evidente privind timpul de lucru a propriilor angajati si punerea acesteia la dispozitia autoritatii de control ar fi putut fi legala, putand fi fundamentata pe temeiul juridic privind necesitatea indeplinirii unei obligatii legale (n.n. art. 6 alin. 1 lit. c din GDPR):

(11) Articolul 202 din Codul muncii (codigo do trabalho), aprobat prin Legea nr. 7/2009 din 12 februarie 2009, prevede, sub titlul „Evidenta timpului de lucru”: „1) Angajatorul trebuie sa pastreze evidenta timpului de lucru – inclusiv pentru lucratorii care nu au un program fix – intr‑un loc accesibil, care sa permita consultarea sa imediata.

(35) Acesta pare sa fie cazul intr‑o situatie precum cea din cauza principala, in masura in care se constata, pe de o parte, ca datele personale care figureaza in evidenta timpului de lucru sunt colectate in scopul de a se asigura respectarea reglementarii referitoare la conditiile de lucru si, pe de alta parte, ca prelucrarea acestor date cu caracter personal este necesara in vederea indeplinirii unei obligatii legale care ii revine angajatorului, precum si pentru aducerea la indeplinire a sarcinilor de control incredintate autoritatii nationale competente sa monitorizeze conditiile de munca, imprejurari care trebuie verificate de catre instanta de trimitere.[26]

In cauza „ Salvatore Manni” Curtea Europeana de Justitie („CEJ”) a analizat daca organizarea registrului comertului, cuprinzand o serie de date cu caracter personal, putea fi justificata de catre entitatea care realiza administrarea registrului.

In urma analizei CEJ a stabilit ca o prelucrare a datelor cu caracter personal prin intermediul administrarii registrului comertului era legala, putand fi fundamentata pe mai multe temeiuri juridice, printre care si necesitatea indeplinirii unei obligatii legale (art. 6 alin. 1 lit. c din GDPR):

(32) In aceasta privinta, trebuie mai intai sa se arate ca, potrivit articolului 2 alineatul (1) litera (d) din Directiva 68/151, statele membre trebuie sa adopte masurile necesare pentru ca publicitatea obligatorie privind societatile sa vizeze cel putin numirea, incetarea functiei, precum si identitatea persoanelor care, in calitate de organ constituit in temeiul legii sau ca membri ai unui astfel de organ, au competenta de a angaja societatea fata de terti si de a o reprezenta in justitie sau participa la administrarea, supravegherea si controlul acestei societati. In plus, potrivit aceluiasi articol 2 alineatul (1) litera (j), trebuie facute publice de asemenea numirea si identitatea lichidatorilor, precum si, in principiu, competentele acestora.

(33) In conformitate cu articolul 3 alineatele (1)-(3) din Directiva 68/151, aceste informatii trebuie transcrise in fiecare stat membru fie in registrul central, fie in registrul comercial sau in registrul societatilor (denumite in continuare impreuna „registrul”), iar o copie integrala sau partiala a acestor informatii trebuie sa poata fi obtinuta la cerere.

(42) In aceasta privinta, astfel cum a aratat avocatul general la punctul 52 din concluzii, trebuie sa se constate ca prelucrarea datelor cu caracter personal efectuata de autoritatea insarcinata cu tinerea registrului in vederea punerii in aplicare a articolului 2 alineatul (1) literele (d) si (j) si a articolului 3 din Directiva 68/151 corespunde mai multor motive de legitimitate prevazute la articolul 7 din Directiva 95/46, si anume celor care figureaza la litera (c), referitoare la respectarea unei obligatii legale, la litera (e), referitoare la exercitarea autoritatii publice sau la aducerea la indeplinire a unei sarcini de interes public, si la litera (f) referitoare la realizarea unui interes legitim urmarit de responsabilul prelucrarii sau de tertii carora le sunt comunicate datele.” [27]

4.2 Prelucrarea este necesara in vederea aducerii la indeplinire a unei sarcini de interes public

In cauza Heinz Huber Curtea Europeana de Justitie („CEJ”) a analizat daca un organism public aflat in subordinea Ministerului Federal de Interne putea justifica prelucrarea datelor cu caracter personal cuprinse intr-un registru centralizat privind strainii care locuiau pe teritoriul Germaniei, altfel decat cu titlu exclusiv temporal.

In urma analizei CEJ a stabilit ca o prelucrare a datelor cu caracter personal prin intermediul administrarii unui astfel de registru era legala, putand fi fundamentata pe temeiul juridic privind necesitatea prelucrarii in vederea aducerii la indeplinire a unei sarcini de interes public (n.n. art. 6 alin. 1 lit. e din GDPR):

(49) In special, litera (e) a articolului 7 mentionat anterior prevede ca prelucrarea datelor cu caracter personal este legala daca „este necesara pentru aducerea la indeplinire a unei sarcini de interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul sau tertul caruia ii sunt comunicate datele”

(53) Din decizia de trimitere reiese ca AZR este un registru centralizat care contine anumite date cu caracter personal referitoare la cetatenii Uniunii care nu sunt resortisanti germani si care poate fi consultat de diferite organisme publice si private

(58) Trebuie, prin urmare, sa se considere ca este necesar ca un stat membru sa dispuna de informatiile si de documentele pertinente pentru a verifica, in cadrul definit de reglementarea comunitara aplicabila, daca exista un drept de sedere pe teritoriul sau in ceea ce priveste un resortisant al unui alt stat membru, precum si faptul ca nu exista motive care sa justifice o restrictie adusa acestui drept. Prin urmare, utilizarea unui registru precum AZR in scopul de a sprijini autoritatile insarcinate cu aplicarea dispozitiilor privind dreptul de sedere este, in principiu, legitima si, avand in vedere natura sa, este compatibila cu interzicerea discriminarii exercitate pe motiv de cetatenie, continuta in articolul 12 primul paragraf CE.

(59) Trebuie subliniat insa ca un astfel de registru nu poate contine alte informatii decat cele care sunt necesare in acest scop. In aceasta privinta, in stadiul actual al dreptului comunitar, prelucrarea datelor cu caracter personal care rezulta din documentele mentionate la articolul 8 alineatul (3) si la articolul 27 alineatul (1) din Directiva 2004/38 trebuie considerata ca fiind necesara, in sensul articolului 7 litera (e) din Directiva 95/46, pentru aplicarea dispozitiilor privind dreptul de sedere.” [28]

In cauza „Salvatore Manni” Curtea Europeana de Justitie („CEJ”) a analizat daca organizarea registrului comertului, cuprinzand o serie de date cu caracter personal, putea fi justificata de catre entitatea care realiza administrarea registrului.

In urma analizei CEJ a stabilit ca o prelucrare a datelor cu caracter personal prin intermediul administrarii registrului comertului era legala, putand fi fundamentata pe mai multe temeiuri juridice, printre care si necesitatea indeplinirii unei sarcini de interes public (art. 6 alin. 1 lit. e din GDPR):

(32) In aceasta privinta, trebuie mai intai sa se arate ca, potrivit articolului 2 alineatul (1) litera (d) din Directiva 68/151, statele membre trebuie sa adopte masurile necesare pentru ca publicitatea obligatorie privind societatile sa vizeze cel putin numirea, incetarea functiei, precum si identitatea persoanelor care, in calitate de organ constituit in temeiul legii sau ca membri ai unui astfel de organ, au competenta de a angaja societatea fata de terti si de a o reprezenta in justitie sau participa la administrarea, supravegherea si controlul acestei societati. In plus, potrivit aceluiasi articol 2 alineatul (1) litera (j), trebuie facute publice de asemenea numirea si identitatea lichidatorilor, precum si, in principiu, competentele acestora.

(33) In conformitate cu articolul 3 alineatele (1)-(3) din Directiva 68/151, aceste informatii trebuie transcrise in fiecare stat membru fie in registrul central, fie in registrul comercial sau in registrul societatilor (denumite in continuare impreuna „registrul”), iar o copie integrala sau partiala a acestor informatii trebuie sa poata fi obtinuta la cerere.

(42) In aceasta privinta, astfel cum a aratat avocatul general la punctul 52 din concluzii, trebuie sa se constate ca prelucrarea datelor cu caracter personal efectuata de autoritatea insarcinata cu tinerea registrului in vederea punerii in aplicare a articolului 2 alineatul (1) literele (d) si (j) si a articolului 3 din Directiva 68/151 corespunde mai multor motive de legitimitate prevazute la articolul 7 din Directiva 95/46, si anume celor care figureaza la litera (c), referitoare la respectarea unei obligatii legale, la litera (e), referitoare la exercitarea autoritatii publice sau la aducerea la indeplinire a unei sarcini de interes public, si la litera (f) referitoare la realizarea unui interes legitim urmarit de responsabilul prelucrarii sau de tertii carora le sunt comunicate datele.” [29]

In cauza „Peter Puskar” Curtea Europeana de Justitie („CEJ”) a analizat daca organizarea de catre autoritatile fiscale a unei liste privind persoane considerate ca fiind interpuse pentru a ocupa functii de conducere putea fi justificata.

In urma analizei CEJ a stabilit ca o prelucrare a datelor cu caracter personal prin intermediul administrarii unei astfel de liste era legala, putand fi fundamentata pe temeiul privind necesitatea indeplinirii unei sarcini de interes public (art. 6 alin. 1 lit. e din GDPR):

(106) In special, trebuie subliniat ca punctul (e) al articolului 7 mentionat prevede ca prelucrarea datelor cu caracter personal este legala daca „este necesara pentru aducerea la indeplinire a unei sarcini de interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul sau tertul caruia ii sunt comunicate datele”

(107) Or, intocmirea listei in litigiu apare ca fiind susceptibila sa intre sub incidenta acestei dispozitii.

(108) Astfel, este cert ca perceperea impozitului si combaterea fraudei fiscale, in scopul carora este intocmita lista in litigiu, trebuie sa fie considerate ca fiind sarcini de interes public in sensul acestei dispozitii.” [30]

4.3 Prelucrarea este necesara pentru realizarea interesului legitim urmarit de operatorul de date cu caracter personal

In cauza Google Spain Curtea Europeana de Justitie („CEJ”) a analizat daca o entitate precum compania Google Inc poate justifica prelucrarea datelor cu caracter personal folosite in cadrul propriului motor de cautare.

In urma analizei CEJ a stabilit ca o prelucrare a datelor cu caracter personal de catre operatorul unui motor de cautare era legala, putand fi fundamentata pe necesitatea realizarii interesului legitim urmarit de operator (n.n. art. 6 alin. 1 lit. f din GDPR):

(28) Prin urmare, trebuie constatat ca, prin explorarea in mod automat, constant si sistematic a internetului in cautarea informatiilor publicate acolo, operatorul unui motor de cautare „colecteaza” astfel de date, pe care apoi le „extrage”, le „inregistreaza” si le „organizeaza” in cadrul programelor sale de indexare, le „stocheaza” pe serverele sale si, dupa caz, le „dezvaluie” si le pune la dispozitia utilizatorilor sai sub forma unor liste cu rezultatele cautarilor acestora. Intrucat aceste operatiuni sunt mentionate in mod explicit si neconditionat la articolul 2 litera (b) din Directiva 95/46, ele trebuie calificate drept „prelucrare” in sensul acestei dispozitii, fiind lipsit de relevanta faptul ca operatorul motorului de cautare aplica aceleasi operatiuni si altor tipuri de informatii si nu face distinctie intre acestea si datele cu caracter personal.

(73) In ceea ce priveste legitimitatea, in temeiul articolului 7 din Directiva 95/46, a unei prelucrari precum cea in discutie in litigiul principal efectuate de operatorul unui motor de cautare, aceasta se poate circumscrie motivului prevazut la acest articol 7 litera (f).”[31]

5 Concluzii

Din cele expuse mai sus rezulta ca in raporturile dintre angajatori si angajati, angajatorii, in calitate de operatori de date cu caracter personal ale propriilor angajati, ar trebui sa se bazeze pe consimtamantul angajatilor pentru a le prelucra datele numai in masura in care nu identifica un alt temei juridic (ex. necesitatea executarea contractului de munca, necesitatea indeplinirii unei obligatii legale, existenta unui interes legitim etc).

In caz contrar, desi ar putea obtine obtine din partea angajatilor o declaratie scrisa si semnata, in sensul ca angajatii isi manifesta acordul privind prelucrarea datelor lor cu caracter personal, angajatorii ar putea fi expusi, intrucat declaratia obtinuta ar putea sa nu produca, in realitate, niciun fel de efecte juridice si astfel sa nu reprezinte un consimtamant valabil pentru prelucrarea datelor.

6 Materialele care au fundamentat prezenta opinie

In perioada 1995 – 2018 la nivelul Uniunii Europene (al Comunitatilor Europene) datele cu caracter personal au fost reglementate, in principal, de Directiva nr. 95/46/CE din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date („Directiva”), directiva ce a fost transpusa in legislatia fiecarui stat membru prin diverse acte normative specifice.

In Romania, Directiva nr. 95/46/CE din 24 octombrie 1995 a fost transpusa prin intermediul Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Potrivit art. 29 din Directiva a fost instituit un grup de lucru cu caracter consultativ („Grupul de lucru”), format dintr-un reprezentant al autoritatii / autoritatilor de supraveghere desemnat de fiecare stat membru, un reprezentant al autoritatii / autoritatilor create pentru institutiile / organismele comunitare si un reprezentant al Comisiei.

In perioada 1995 – 2018 Grupul de lucru a emis o serie de avize si de recomandari privind modul de aplicare a prevederilor legislative privind protectia datelor cu caracter personal, avize si recomandari menite sa asigure, pe de o parte, un nivel cat mai inalt de protectie a drepturilor persoanelor ale caror date cu caracter personal erau prelucrate, iar pe de alta parte, un mod unitar de interpretare a dispozitiilor Directivei in toate statele membre.

Tot in aceeasi perioada, modul de interpretare al prevederilor Directivei a fost clarificat si impus cu forta juridica obligatorie pentru statele membre de catre Curtea Europeana de Justitie („CEJ”), prin numeroasele hotarari pronuntate in diverse spete in care se punea problema prelucrarii datelor cu caracter personal.

La data de 25 mai 2018 Directiva a fost abrogata, iar modul de prelucrare a datelor cu caracter personal a inceput sa fie reglementat de Regulamentul nr. 679/2016 („GDPR”).

Potrivit art. 68 din GDPR in locul Grupului de lucru a fost instituit un nou organism denumit Comitetul European pentru protectia datelor („Comitetul”).

In perioada 25 mai 2018 – prezent Comitetul a emis o serie de opinii si orientari in ceea ce priveste modul de aplicare a noilor prevederi legislative.

Potrivit art. 94 alin. 2. din GDPR orice trimitere realizata la fostul Grup de lucru se considera o trimitere la Comitet.

Din interpretarea acestei norme juridice rezulta ca avizele si recomandarile emise in perioada 1995 – 2018 de fostul Grup de lucru sunt inca de actualitate, in masura in care nu contravin noilor prevederi in materia datelor cu caracter personal, acestea urmand a fi intregite cu opiniile si orientarile emise de Comitet.

In acelasi sens este si opinia Grupului de lucru.[32]

La redactarea prezentului material au fost folosite atat opiniile Grupului de lucru, cat si hotararile relevante pronuntate de CEJ.


[1] Opinia nr. 8/2001 a Grupului de lucru, pag. 3
[2] Opinia nr. 15/2011 a Grupului de lucru, pag. 13
[3] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag 7
[4] Opinia nr. 8/2001 a Grupului de lucru, pag. 23
[5] Opinia nr. 15/2011 a Grupului de lucru, pag. 9, 19
[6] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 14, 15
[7] Opinia nr. 15/2011 a Grupului de lucru, pag. 17
[8] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 14
[9] Opinia nr. 15/2011 a Grupului de lucru, pag. 21
[10] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 18
[11] Opinia nr. 15/2011 a Grupului de lucru, pag. 9
[12] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 25
[13] Orientari privind consimtamantul din 2018 emise de Grupul de lucru, pag. 25
[14] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 4
[15] Opinia nr. 8/2001 a Grupului de lucru, pag. 18;
[16] Opinia nr. 15/2011 a Grupului de lucru, pag. 7; Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 4
[17] Opinia nr. 15/2011 a Grupului de lucru, pag. 9
[18] Hotararea CEJ din 20.05.2003 pronuntata in Cauzele reunite C 465/00, C 138/01, C 139/01 (Osterreichischer Rundfunk and others), par. 65
[19] Hotararea CEJ din 16.12.2008 pronuntata in cauza C 524/06 (Heinz Huber), par. 48
[20] Hotararea CEJ din 24.11.2011 pronuntata in cauzele reunite C 468/10, C 469/10 (ASNEF si FECEMD), par. 26
[21] Hotararea CEJ din 30.05.2013 pronuntata in cauza C 342/12 (Worten – Equipamentos para o Lar SA), par. 33
[22] Hotararea CEJ din 13.05.2014 pronuntata in cauza C 131/12 (Google Spain), par. 71
[23] Hotararea CEJ din 01.10.2015 pronuntata in cauza C 201/14 (Smaranda Bara si altii), par. 30
[24] Hotararea CEJ din 09.03.2017 pronuntata in cauza C 398/15 (Salvatore Manni), par. 41
[25] Hotararea CEJ din 27.09.2017 pronuntata in cauza C 73/16 (Peter Puskar), par. 104
[26] Hotararea CEJ din 30.05.2013 pronuntata in cauza C 342/12 (Worten – Equipamentos para o Lar SA), par. 11, 35
[27] Hotararea CEJ din 09.03.2017 pronuntata in cauza C 398/15 (Salvatore Manni), par. 32, 33, 42
[28] Hotararea CEJ din 16.12.2008 pronuntata in cauza C 524/06 (Heinz Huber), par. 49, 53, 58, 59
[29] Hotararea CEJ din 09.03.2017 pronuntata in cauza C 398/15 (Salvatore Manni), par. 32, 33, 42
[30] Hotararea CEJ din 27.09.2017 pronuntata in cauza C 73/16 (Peter Puskar), par. 106, 107, 108
[31] Hotararea CEJ din 13.05.2014 pronuntata in cauza C 131/12 (Google Spain), par. 28, 73
[32] Orientari privind consimtamantul 2018 emise de Grupul de lucru, pag. 3


Razvan Nicolae Popescu
Avocat Partener in cadrul DUMITRU, POPESCU si ASOCIATII
Membru al DPA Legal Team

Newsletter JURIDICE.ro
Youtube JURIDICE.ro
Instagram JURIDICE.ro
Facebook JURIDICE.ro
LinkedIn JURIDICE.ro

Aflaţi mai mult despre , , , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. JURIDICE.ro este o platformă de exprimare. Pentru a publica vă rugăm să citiţi Condiţiile de publicare şi să ne scrieţi la adresa redactie@juridice.ro!

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereEvenimenteProfesioniştiRLWCorporate