Considerații referitoare la un (potențial) conflict între anumite prevederi ale Regulamentului general privind protecția datelor
7 mai 2019 | Monica IANCU, Alexandru DANILIUC
Monica Iancu
Alexandru Daniliuc
În cele ce urmează, vom analiza succint două prevederi cuprinse în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (“Regulamentul”) care par a genera un potențial conflict, având în vedere faptul că, potrivit informațiilor noastre, nu există încă îndrumări oficiale referitoare la abordarea recomandată de autoritățile relevante.
Pe de o parte, ne referim în particular la articolul 28, paragraful 1 din Regulament, potrivit căruia:
“În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.”,
și, pe de altă parte, la articolul 10, care prevede următoarele:
“Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.”
1. Obligația de verificare prealabilă ce revine operatorilor de date în legătură cu persoanele împuternicite de aceștia să efectueze prelucrarea datelor
Articolul 28 la care se face referire mai sus prevede o obligație de verificare prealabilă în baza căreia operatorii de date trebuie să se asigure de faptul că persoanele împuternicite pe care aceștia le selectează dețin capacitatea de a îndeplini standardele de securitate stabilite prin Regulament. Prin prisma principiului responsabilității, care este o trăsătură de o importanță primordială a regimului privind confidențialitatea datelor stabilit prin Regulament, măsura în care operatorul de date îndeplinește această obligație trebuie documentată în mod corespunzător înainte de încheierea efectivă a unui contract și a unui acord aferent cu privire la prelucrarea datelor.
O modalitate de asigurare a faptului că această obligație este îndeplinită și documentată corespunzător constă în includerea în cadrul acordului privind prelucrarea datelor a unor declarații și garanții corespunzătoare acordate de persoana împuternicită în legătură cu capacitatea sa de a implementa măsuri tehnice și organizatorice adecvate; cu cât sunt mai complete aceste declarații și garanții, cu atât mai bine. Cu toate acestea, a posibil ca acest lucru să nu fie (considerat) suficient (și, în practică, poate conduce la încălcarea declarațiilor și garanțiilor de către persoane împuternicite care nu dispun de resurse pentru compensarea daunelor pe care le provoacă) și, în opinia noastră, e posibil să fie necesară o verificare mai extinsă, cel puțin în anumite cazuri.
E posibil să fie necesare verificări prealabile suplimentare, precum prin verificarea informațiilor disponibile din surse publice, inclusiv pe internet. E posibil de asemenea ca astfel de verificări să scoată la iveală faptul că persoana împuternicită vizată și/sau o persoană-cheie din cadrul organizației persoanei împuternicite să fie suspectată de a fi săvârșit sau să fi săvârșit efectiv o infracțiune relevantă/infracțiuni relevante (de ex., transfer neautorizat de date informatice, acces ilegal la sisteme informatice, alterare a integrității datelor informatice, astfel de infracțiuni fiind incriminate de Codul penal român). Mai mult decât atât, în cadrul unui exercițiu de verificare de acest tip, pot fi relevante nu doar infracțiunile strict legate de date, ci și infracțiunile economice și cele legate de integritate (cum ar fi cea de fals).
De fapt, înainte de efectuarea verificărilor prealabile asupra partenerilor contractuali vizați, indiferent dacă acestea sunt legate de acordurile privind prelucrarea datelor sau nu, în numeroase domenii, aspectele de etică au devenit un standard și acestea sunt din ce în ce mai apreciate de societăți.
2. Limitări drastice cu privire la prelucrarea datelor cu caracter personal referitoare la condamnări și infracțiuni penale
Articolul 10 din Regulament stabilește limitări drastice cu privire la prelucrarea datelor cu caracter personal referitoare la condamnări și infracțiuni penale, care pot fi prelucrate numai “sub controlul unei autorități de stat” sau atunci când “prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern”. Deși nu este clar dacă o astfel de autoritate de stat poate fi doar o autoritate cu competențe în domeniul dreptului penal sau alte autorități pot prelua rolul prevăzut de articolul 10 (cum ar fi însăși autoritatea de supraveghere din domeniul protecției datelor), împrejurările concrete în care dreptul Uniunii Europene sau al statului membru prevede un temei pentru prelucrarea datelor referitoare la condamnări și infracțiuni penale sunt destul de limitate ca număr și nu acoperă cele mai multe dintre situațiile în care societățile sunt interesate sau chiar obligate prin procedurile de la nivel global și prin standardele din domeniu să efectueze verificări prealabile cu privire la partenerii contractuali vizați.
Mai mult decât atât, nu este clar dacă aria de aplicare a articolului 10 acoperă doar datele cu caracter personal referitoare la condamnări și infracțiuni penale cu privire la care instanțele au stabilit o sancțiune sau dacă acoperă și simplele informații cu privire la faptul că o persoană face obiectul unei investigații penale.
În plus, articolul 10 nu pare a exclude din aria sa de aplicare datele care sunt deja publice fie pentru că însăși persoana vizată a făcut publice datele respective fie pentru că datele sunt disponibile în registrele publice (de exemplu, un dosar penal înregistrat în cartea funciară în care este înregistrat titlul de proprietate al persoanei vizate) sau au intrat în alt mod în domeniul public.
3. Conflictul
Indiferent care este aria de aplicare a articolului 10, aceasta generează un conflict grav cu articolul 28 menționat mai sus în ceea ce privește obligația de verificare prealabilă a operatorului de date. Cu alte cuvinte, în cazul în care, pe parcursul verificării prealabile a datelor, operatorii de date identifică informații referitoare la condamnări penale și infracțiuni presupus săvârșite de persoane-cheie din cadrul organizației persoanei împuternicite vizate de operator, cum ar trebui să procedeze operatorul de date în asemenea situație prin prisma limitărilor stabilite de articolul 10?
Într-o interpretare potențială care vizează asigurarea aplicării fiecăreia dintre prevederile în cauză, articolul 28 și obligația operatorului de date prevăzută prin acesta ar trebui considerate ca fiind una dintre situațiile în care prelucrarea datelor cu caracter personal “este autorizată de dreptul Uniunii sau de dreptul intern” (astfel cum se impune prin articolul 10); potrivit unei astfel de interpretări, prelucrarea datelor referitoare la infracțiuni în baza articolului 28, și în scopul prevăzut prin acesta, ar putea fi considerată ca fiind posibilă.
Cu toate acestea, o astfel de interpretare nu este utilă pentru numeroase alte situații în care este necesară o astfel de prelucrare în lumina interesului legitim al societăților de a efectua verificări prealabile cu privire la partenerii contractuali vizați de acestea. Sub acest aspect, în cele mai multe cazuri, dreptul Uniunii Europene sau dreptul intern tace, iar societățile se confruntă cu riscul de a fi (în mod injust) identificate ca încălcând articolul 10 din Regulament. O interpretare potențială suplimentară este aceea conform căreia informațiile care sunt publice (fie pentru că însăși persoana vizată a făcut publice datele respective fie pentru că datele sunt disponibile în registrele publice) nu intră sub incidența articolului 10 din Regulament.
Potrivit informațiilor noastre, niciuna dintre interpretările de mai sus nu a fost confirmată formal de autoritățile din domeniul protecției datelor, iar intervenția acestora din urmă pentru a face lumină asupra ariei de aplicare a articolului 10 este de maximă stringență.
Av. Monica Iancu, BONDOC & ASOCIAȚII
Av. Alexandru Daniliuc, BONDOC & ASOCIAȚII
