Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecom
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 
Print Friendly, PDF & Email

Despre vânzarea datelor personale fără consimțământul persoanelor vizate, dar cu respectarea GDPR
13.11.2019 | Andrei SĂVESCU

Andrei Săvescu

Andrei Săvescu

1. Colectarea datelor cu caracter personal nu doar că este prima în enumerarea exemplificativă de la art. 4 pct. 2 GDPR[1], ci are și un regim juridic distinct, mai aspru. Explicația regimului mai aspru în privința colectării este că această operațiune este baza tuturor celorlalte operațiuni, poarta de intrare.

2. Astfel, spre exemplu, art. 5 alin. 1 lit. b) GDRP[2], referitor la principiile prelucrării datelor cu caracter personal, are exigențe diferite în privința colectării și prelucrărilor ulterioare. Scopurile colectării trebuie să fie (i) determinate, (ii) explicite și (iii) legitime, în vreme ce scopurile celorlalte prelucrări ale datelor colectate, deși sunt diferite de scopurile colectării, trebuie să nu fie incompatibile cu scopurile colectării, adică trebuie să fie compatibile cu scopurile colectării, nefiind deci necesar să fie identice cu acestea.

3. Textul art. 5 alin. 1 lit. b) GDPR reglementează câteva prezumții de compatibilitate a scopurilor prelucrării ulterioare, și anume arhivarea în interes public, cercetarea științifică sau istorică și scopurile de ordin statistic, prevăzute de art. 89 alin. 1 GDPR[3]. La acestea trebuie să adăugăm și prelucrările în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, prevăzute de art. 85 alin. 1 GDPR[4], care au un regim chiar mai relaxat decât cele prevăzute la art. 89, întrucât vizează inclusiv colectarea, nu doar prelucrările ulterioare colectării.

4. În lipsa unei reglementări exprese în corpul GDPR a unor alte prelucrări care nu sunt incompatibile cu scopurile colectării, pentru înțelegerea cu limpezime a art. 5 alin. 1 lit. b) GDPR, în scopul de a ne asigura că aplicăm corect dispozițiile sale, este necesar să cercetăm considerentele GDPR, pentru a găsi criterii. La fel ca în alte situații, din fericire, considerentele ne oferă nu doar criterii, ci și exemple.

5. Bunăoară, potrivit considerentului 48[5], operatorii care fac parte dintr-un grup își pot transmite unul altuia date cu caracter personal ale clienților sau angajaților, prelucrarea acestora fiind întemeiată pe interesul legitim (subl. AES)[6].

6. În plus, considerentul 50[7] explică art. 5 alin. 1 lit. b) „nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri” (ale colectării – nota AES) eliminând dubla negație, în sensul că prelucrarea în alte scopuri decât cele pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă atunci când prelucrarea este compatibilă cu scopurile respective. Mai important este însă că, pe fond, considerentul 50 precizează și felul în care trebuie cântărită compatibilitatea scopurilor în cazul în care prelucrările ulterioare se întemeiază pe interesul legitim (subl. AES), oferindu-ne, exemplificativ, 5 împrejurări de care ar trebui să se țină seama, și anume:
– orice legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate;
– contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor;
– natura datelor cu caracter personal;
– consecințele prelucrării ulterioare preconizate asupra persoanelor vizate;
– existența garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.

7. Tot considerentul 50 precizează că, în cazul în care persoana vizată și-a dat consimțământul sau prelucrarea se bazează pe dispoziții legale[8], operatorul ar trebui să aibă posibilitatea de a prelucra în continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor (subl. AES).

8. Este locul aici să evidențiem o chestiune foarte importantă, și anume că, art. 5 alin. 1 lit. b) trebuie înțeles din perspectiva explicațiilor considerentelor, respectiv că regula pe care el o prevede se referă la prelucrarea întemeiată pe interesul legitim (subl. AES). În cazurile prelucrărilor speciale prevăzute la art. 89 și 85 GDPR, precum și în cazul prelucrărilor bazate pe consimțământ sau pe dispoziții legale, problema compatibilității scopurilor nu se pune.

9. Așadar, transmiterea datelor cu caracter personal colectate în scop de marketing de către un operator către altul, întemeiată pe consimțământul în acest sens al persoanelor vizate, nu ridică probleme de compatibilitate a scopurilor. Nu ridică astfel de probleme nici, spre exemplu, transmiterea datelor în caz de fuziune a operatorilor, întrucât se bucură de reglementare legală atât în ce privește procedura cât și în ce privește efectele. Dar dacă transmiterea și prelucrarea ulterioară a datelor se întemeiază pe interesul legitim al operatorului care le-a colectat, atunci trebuie să țină seama de criteriile menționate mai sus la pct. 6.

10. Interpretarea criteriilor de apreciere a compatibilității scopurilor ar trebui făcută într-un mod care să nu împiedice realizarea interesului legitim al operatorilor, dacă acesta nu are consecințe de natură să prejudicieze persoanele vizate și nu depășește cadrul așteptărilor rezonabile ale persoanelor vizate[9]. Aprecierea cu privire la compatibilitatea scopurilor lasă deschisă posibilitatea transmiterii datelor cu caracter personal, însă preocuparea pentru protejarea nu doar a drepturilor, ci și a susceptibilității persoanelor vizate trebuie să fie constantă.

11. În concluzie, nimic nu se opune vânzării datelor personale, chiar și în lipsa consimțământului în acest sens al persoanelor vizate, transmiterea datelor justificată exclusiv de interesul legitim este posibilă. Însă nivelul de exigență trebuie să fie ridicat. Avem convingerea că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și instanțele judecătorești, vor găsi un just echilibru între, pe de o parte, interesul operatorilor de a funcționa normal și, pe de altă parte, drepturile și susceptibilitățile (subl. AES) persoanelor vizate.


[1] Potrivit art. 4 pct. 2 GDPR, „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.
[2] Potrivit art. 5 alin. 1 lit. b) GDPR, datele cu caracter personal sunt “colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop”);”.
[3] Potrivit art. 89 alin. 1 GDPR, „Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice are loc cu condiția existenței unor garanții corespunzătoare, în conformitate cu prezentul regulament, pentru drepturile și libertățile persoanelor vizate. Respectivele garanții asigură faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Respectivele măsuri pot include pseudonimizarea, cu condiția ca respectivele scopuri să fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.
[4] Potrivit art. 85 alin. 1 GDPR, “Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament și dreptul la libertatea de exprimare și de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.
[5] Potrivit considerentului 48 GDPR, „Operatorii care fac parte dintr-un grup de întreprinderi sau instituții afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienților sau angajaților. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o țară terță rămân neschimbate.
[6] După părerea noastră, transmiterea datelor către un alt operator în interiorul grupului poate fi justificată și de dispoziții legale, cum ar fi cele care reglementează conducerea și controlul activității persoanei juridice, de către asociați/acționari sau de către organe de control. La fel, transmiterea datelor se poate realiza în baza unor dispoziții referitoare la procedura insolvenței.
[7] Potrivit considerentului 50 GDPR, „Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operațiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.
În cazul în care persoana vizată și-a dat consimțământul sau prelucrarea se bazează pe dreptul Uniunii sau pe dreptul intern, care constituie o măsură necesară și proporțională într-o societate democratică pentru a proteja, în special, obiective importante de interes public general, operatorul ar trebui să aibă posibilitatea de a prelucra în continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri și la drepturile sale, inclusiv dreptul la opoziție, ar trebui să fie garantate. Indicarea unor posibile infracțiuni sau amenințări la adresa siguranței publice de către operator și transmiterea către o autoritate competentă a datelor cu caracter personal relevante în cazuri individuale sau în mai multe cazuri legate de aceeași infracțiune sau de aceleași amenințări la adresa siguranței publice ar trebui considerată ca fiind în interesul legitim urmărit de operator. Cu toate acestea, o astfel de transmitere în interesul legitim al operatorului sau prelucrarea ulterioară a datelor cu caracter personal ar trebui interzisă în cazul în care prelucrarea nu este compatibilă cu o obligație legală, profesională sau cu o altă obligație de păstrare a confidențialității.
[8] Așa cum ne-am obișnuit, este vorba despre dispoziții legale care constituie măsuri necesare și proporționale într-o societate democratică pentru a proteja, în special, obiective importante de interes public general.
[9] De exemplu, este rezonabil ca un operator care oferă persoanelor vizate cadouri sau reduceri provenind de la un alt operator să transmită acestuia din urmă datele celor care au acceptat cadourile/reducerile. La fel, este rezonabil ca un operator care vinde, spre exemplu, pantofi multi-brand să informeze furnizorii cu privire la vânzările realizate, însă nu este rezonabil ca un operator care vinde pantofi sub brand propriu să transmită altui operator datele clienților săi, pentru ca persoanele vizate să primească oferte de la alți producători de pantofi.


Av. dr. Andrei Săvescu, Managing Partner SĂVESCU & ASOCIAȚII


Aflaţi mai mult despre , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!






JURIDICE.ro utilizează şi recomandă SmartBill
JURIDICE GOLD pentru studenţi foarte buni, free
Newsletter JURIDICE.ro
Youtube JURIDICE.ro
Instagram JURIDICE.ro
Facebook JURIDICE.ro
LinkedIn JURIDICE.ro

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.