« Flux noutăţi
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateCyberlawDrept comercialEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveDrepturile omuluiData protectionDreptul familieiDreptul munciiDreptul sportuluiMalpraxis medicalProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrepturile omuluiDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 

Let me wrap my arms around you: dreptul de acces la datele cu caracter personal
28.01.2021 | Juanita GOICOVICI

JURIDICE - In Law We Trust Monitor Dosare
Juanita Goicovici

Juanita Goicovici

Paragrafele care urmează[1] abordează problematica exercitării dreptului de acces al persoanei vizate la datele cu caracter personal colectate și prelucrare de către operatorii de date personale, astfel cum este trasată configurația acestui drept în textul art. 15 din Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Exercițiul dreptului de acces[2] la datele personale nu implică efecte de tip insular, ci angajează efecte-arhipelag, întrucât se situează în avanpostul exercitării eficace a altor drepturi esențiale ale persoanei vizate, în reglementarea RGDP, condiționând implicit, într-o măsură considerabilă, exercițiul dreptului la portabilitatea datelor, al dreptului la rectificarea datelor personale și al dreptului de opoziție[3] la prelucrarea datelor personale. Controlul exercitat asupra datelor personale care o privesc și participarea activă a persoanei vizate la actualizarea  datelor sale cu caracter personal, inclusiv luarea deciziei de portare a datelor personale către un alt operator își găsesc expresia normativă în dreptul de acces al persoanei vizate. Pe celălalt versant, însăși executarea adecvată, de către operatorul de date cu caracter personal, a obligației care îi incumbă, de informare transparentă a persoanelor vizate depinde, într-o măsură apreciabilă, de facilitarea exercițiului dreptului de acces la datele personale, întrucât persoana vizată, pentru a fi informată cu privire la scopurile, durata și tipurile de prelucrare și, îndeosebi, pentru a putea verifica legalitatea acestei prelucrări[4], ar trebui să beneficieze, potrivit considerentului (63) din RGDP, de un drept de acces[5] la datele cu caracter personal colectate care o privesc[6] și ar trebui „să își exercite acest drept cu ușurință și la intervale de timp rezonabile.”

Vom aborda, în paragrafele următoare, epitomul principalelor modalități de exercitare a dreptului de acces (a), conținutul acestuia și reverberațiile în materia executării obligației de informare care incumbă operatorului de date cu caracter personal (b), dreptul de a obține o versiune (care poate fi stocată) a datelor cu caracter personal care fac obiectul prelucrării (c) și drepturile persoanei vizate subsecvent încălcării de către operatorul de date a dreptului său de acces asupra acestor date (d).

1. Imbricarea (suprapunerea parțială) a fațetelor dreptului de acces și a celorlalte drepturi esențiale ale persoanei vizate

1.1. Implicații ale dreptului de acces – obligația de informare transparentă

În temeiul dreptului de acces, potrivit considerentului (63) al RGDP, orice persoană vizată ar trebui să aibă dreptul de a cunoaște și de a i se comunica în special: (a) scopurile în care sunt prelucrate datele sale personale; (b) dacă este posibil, perioada pentru care se prelucrează datele cu caracter personal, (c) destinatarii datelor cu caracter personal, (d) logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. De asemenea, operatorul de date, numai atunci când acest lucru este posibil, „ar trebui să poată furniza acces de la distanță la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal.”

Persoana vizată are dreptul să fie informată[7] inclusiv cu privire la garanțiile adecvate în temeiul art. 46 RGDP referitoare la transferul datelor personale, în ipotezele în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională. De asemenea, operatorul este obligat să menționeze existența, pentru persoana vizată, a unei serii de drepturi: existența dreptului de a solicita operatorului rectificarea, ștergerea și restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată, a dreptului de a se opune prelucrării, precum și a dreptului de a depune o plângere în fața unei autorități de supraveghere.

Formalismul informativ este, la rândul său, incident în această materie, în ceea ce privește obligația specifică de informare care incumbă operatorilor de date conform art. 13, (2) RGDP: „În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă: (a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; (b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor; (c) atunci când prelucrarea se bazează pe art. 6, alin. (1), lit. (a) sau pe art. 9, alin. (2), lit. (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia; (d) dreptul de a depune o plângere în fața unei autorități de supraveghere; (e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații; (f) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la art. 22, alin. (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.”

1.2. Implicații ale dreptului de acces – portabilitatea datelor

Exercitarea dreptului de acces la datele personale reprezintă un mecanism-premisă pentru exercitarea unui alt drept esențial al persoanei vizate, în economia dispozițiilor Regulamentului 2016/679, și anume dreptul la portabilitatea datelor[8]. Art. 23 din RGPD reglementează dreptul la portabilitatea datelor, aflat în strânsă conexiune cu dreptul de acces. Acesta permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită respectivele date altui operator. După cum rezultă din cuprinsul Ghidului Grupului de lucru „Articol 29”  privind dreptul la portabilitatea datelor, „Noul drept la portabilitatea datelor are ca scop responsabilizarea persoanelor vizate în ceea ce privește propriile date cu caracter personal întrucât facilitează capacitatea lor de a muta, copia sau transmite datele cu caracter personal cu ușurință de la un mediu IT la altul (fie la propriile sisteme, fie la sistemele unor părți terțe de încredere sau cele ale noilor operatori de date). Prin afirmarea drepturilor și controlul persoanelor vizate asupra datelor cu caracter personal care le privesc, portabilitatea datelor reprezintă, de asemenea, o oportunitate de a reechilibra relația dintre persoanele vizate și operatorii de date”[9].

În ceea ce privește modalitățile de exercitare a dreptului de acces al persoanei vizate, se cuvine precizat că persoana vizată, potrivit considerentului (63), ar trebui să-și exercite dreptul de acces cu ușurință, într-o manieră facilă, neîngreunată inutil și să-și poată exercita acest drept de acces la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Informațiile furnizate, orice comunicare și orice măsuri luate în temeiul art. 15 RGDP privind dreptul de acces trebuie oferite de către operator în mod gratuit. Exigențele privind caracterul rezonabil al intervalelor de timp la care este adresată cererea presupune ca solicitările de acces la date să fie făcute în scopul pentru care acest drept a fost garantat, adică să nu fie făcute, de exemplu, pentru a șicana operatorul de date. Potrivit art. 12 RGDP privind transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, operatorului îi incumbă obligația de a facilita exercitarea dreptului de acces de către persoana vizată, implicând antamarea unor măsuri rezonabile, inclusiv prin prisma configurațiilor by design necesare pentru exercitarea facilă a dreptului de acces al persoanei vizate la datele care o privesc.

Exercitându-și dreptul de acces la datele care o privesc, persoana vizată are dreptul de a primi un duplicat (furnizat în format digital, dacă solicitarea a fost adresată prin mijloace digitale) al datelor sale personale pe care operatorul le deține la momentul adresării cererii, urmând ca acest set de date să poată face obiectul portării către un alt operator de date, dacă persoana vizată va lua o decizie în acest sens[10]. După cum rezultă din textul art. 15, alin. (3) și (40 RGDP, „operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent. (4) Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.” Obținând o versiune a datelor sale personale pe un suport durabil sau în format digital, în funcție de maniera de adresare a cererii de acces, persoana vizată poate recurge la portabilitatea datelor sale către alți operatori, ca alternativă la versiunea transmiterii automate a datelor către alți operatori, de către operatorul care le-a procesat inițial, conform dispozițiilor art. 20 RGDP, din care rezultă că „(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care: (a) prelucrarea se bazează pe consimțământ în temeiul art. 6, alin. (1), lit. (a) sau al art. 9, alin. (2), lit. (a) sau pe un contract în temeiul art. 6, alin. (1), lit. (b); și (b) prelucrarea este efectuată prin mijloace automate. (2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.”

1.3. Implicații ale dreptului de acces asupra altor drepturi și efectul de tip „arhipelag”

Exercitarea dreptul de acces reverberează și asupra exercițiului altor drepturi ale persoanei vizate, permițându-i acesteia să exercite drepturile prevăzute în art. 15-18 RGDP, și anume: dreptul de a obține de la operator rectificarea, ștergerea[11] sau restricționarea prelucrării datelor sale. Dreptul de acces, în măsura în care este invocat conform scopului recunoașterii sale, permite persoanei vizate să exercite, în temeiul art. 19 RGDP, dreptul de a fi informată cu privire la destinatarii cărora operatorul le-a comunicat orice rectificare sau ștergere a datelor cu caracter personal conform art. 16, art. 17 și art. 18 din RGDP. Acest drept de acces este, de asemenea, elementar pentru a‑i permite persoanei vizate să exercite dreptul de opoziție la prelucrarea datelor sale cu caracter personal prevăzut de art. 21 RGDP sau dreptul la contestarea măsurilor, prevăzut de art. 77-79 RGDP.

În cazurile în care colectarea și prelucrarea datelor personale s-a bazat pe consimțământul persoanei vizate, este important de remarcat faptul că exercitarea ulterioară adecvată a dreptului său de acces la aceste date îi va permite persoanei vizate să afle care sunt datele personale concrete pe care operatorul le-a stocat și / sau le prelucrează la un anumit moment în timp și să poată lua, în cunoștință de cauză, decizia menținerii sau a retragerii consimțământului pentru viitor, legat de respectiva prelucrare a datelor. Consimțământul emis pentru prelucrarea datelor sale cu caracter personal poate fi retras în orice moment, fără aplicarea de penalități și fără suportarea altor sancțiuni, în mod discreționar, fără limite ținând de motivele retractării, fiind vorba, în esență, despre exercițiul unui drept potestativ. Ca regulă generală, exercitarea dreptului de retractare a consimțământului trebuie să poată avea loc într-o manieră la fel de facilă ca cea în care a fost solicitat consimțământul acestuia de către operatorul de date. Precizăm că retragerea consimțământului privind prelucrarea datelor personale poate fi, la rândul său, secvențială, putând viza unul sau mai multe dintre scopurile prelucrării enunțate inițial, cu menținerea consimțământului pentru unul sau mai multe dintre aceste scopuri, în funcție de decizia persoanei vizate. Simetric, secvențializarea retragerii consimțământului poate viza toate operațiunile de prelucrare a datelor la care a consimțit inițial persoana vizată, operațiuni multiple sau, după caz, doar una din categoriile de operațiuni pentru care a existat acordul inițial al persoanei vizate; de exemplu, posterior exercitării dreptului său de acces sau independent de exercitarea prealabilă a acestui drept, persoana vizată își poate retrage ulterior acordul pentru prelucrarea datelor sale personale în scopuri de marketing direct, menținând, dacă dorește, consimțământul la colectarea și prelucrarea datelor în scopul realizării de statistici. De asemenea, potrivit dispozițiilor art. 21 din Regulamentul (UE) 2016/679, în orice moment, persoana vizată are dreptul de a se opune prelucrării datelor sale în temeiul art. 6, alin. (1), lit. (e) și (f) sau al art. 6, alin. (1), putându-se opune inclusiv creării de profiluri pe baza respectivelor date colectate. Ca urmare a exercitării dreptului de opoziție al persoanei vizate (strâns conexat exercitării dreptului de acces la propriile date personale), operatorul de date personale trebuie să înceteze prelucrarea acestor date, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate  sau că scopul prelucrării vizează constatarea, exercitarea sau apărarea unui drept de-al său în instanță. Pe de altă parte, în situațiile când prelucrarea datelor cu caracter personal ale consumatorului are ca scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de operațiunile de marketing direct. Menționăm că, în cazul în care consumatorul se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai pot fi prelucrate în acest scop.

1.4. Implicații ale dreptului de acces asupra aplicării principiului exactității prelucrării datelor personale

Principiul exactității în colectarea și prelucrarea de către operator a datelor personale se numără printre principiile fundamentale ale prelucrării datelor cu caracter personal, astfel cum au fost acestea enunțate în textul art. 5 RGDP; conform art. 5, par. (1), lit. d) RGDP, operatorii de dale au obligația să se asigure că datele cu caracter personal colectate și prelucrate sunt „exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere”. Exercitarea dreptului de acces la propriile date personale reverberează inclusiv asupra aplicării în practică a principiului exactității de către operatorii de date personale, astfel încât persoanele vizate au dreptul de a obține o versiune a setului de date care le privesc și care au făcut obiectul colectării sau prelucrării de către operatorul de date, urmând ca, posterior obținerii acestei versiuni a datelor existente, persoana vizată să poată solicita rectificarea, actualizarea sau ștergerea datelor inexacte. De altfel, o suită de implicații juridice în materia exercitării dreptului de acces la propriile date personale pot fi remarcate inclusiv din perspectiva unui alt principiu – pilon al prelucrării datelor conform art. 5 RGDP, referitor la proporționalitatea si reducerea la minim a prelucrării datelor cu caracter personal (minimizarea prelucrării datelor cu caracter personal), conform căruia datele personale sunt procesate într-o maniera adecvată, relevantă și limitată la necesitatea de a realiza scopurile legitime si precis determinate pentru care sunt prelucrate; or, exercitând în mod adecvat dreptul său de acces la datele care o privesc, persoana vizată poate formula sesizări inclusiv cu privire la caracterul disproporționat al prelucrării datelor sale sau să solicite verificări în acest sens, îndeosebi din perspectiva caracterului minimal (și minimalist) al procesării datelor personale de către operatorul de date.

2. Unde sfârșește libertatea accesării datelor personale și unde începe libertatea altora: exercițiul dreptului de acces

Exercitarea dreptului de acces, după cum rezultă din Considerentul 63 al RGDP, „nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software.” Totuși, aceste interferențe nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate[12]. Astfel, secretul comercial, proprietatea intelectuală, drepturile de autor care asigură protecția programelor software și alte drepturi sau libertăți ale altora nu pot justifica refuzul total al operatorului de a furniza informațiile persoanei vizate, ci eventual pot justifica aplicarea anumitor restricții / limitări, în măsura în care sunt echilibrate.  De asemenea, atunci când operatorul prelucrează un volum masiv de informații privind persoana vizată, operatorul poate solicita ca persoana vizată să precizeze (pe cât posibil, punctual) informațiile sau activitățile de prelucrare la care se referă solicitarea sa (însă nu poate refuza comunicarea informațiilor solicitate de persoana vizată, pe motiv că prelucrează un volum mare de date).

Din considerentul 64 al RGDP rezultă cerințe specifice legate de identificarea persoanei vizate / stabilirea identității acesteia, cu respectarea principiului potrivit căruia accesul la datele cu caracter personal este limitat, în planul sferei subiective de incidență, ca regulă generală, la persoana vizată / reprezentantul legal sau convențional al acesteia; prin urmare, revine operatorului de date personale obligația specifică de a antama „măsuri rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online și al identificatorilor online.”

3. Termenul de comunicare a datelor solicitate de persoana vizată. Operatorul, potrivit art. 12, alin. (3) RGDP, are obligația să furnizeze persoanei vizate informații privind acțiunile întreprinse în urma unei cereri de acces, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor, situație în care operatorul, în termen de o lună de la primirea cererii, are obligația de a informa persoana vizată cu privire la orice astfel de prelungire, indicând inclusiv motivele întârzierii. În ipotezele în care solicitantul nu primește, într-un termen rezonabil (plafonat, prin dispozițiile RGDP, la o lună de la data primirii cererii de către operatorul de date, cu posibilitatea prelungirii la un interval maxim de două luni de la momentul amintit) un răspuns relativ la admiterea / refuzul legitim al cererii sale de acces la propriile date personale, persoana vizată poate adresa o plângere ANSPDCP[13].

4. Refuzul operatorului de date personale de a permite accesul solicitantului la datele cu caracter personal

Operatorul poate refuza să dea curs cererii persoanei vizate de a-și exercita dreptul de acces, în măsura în care poate demonstra că nu este în măsură să identifice persoana vizată. Este necesar de menționat că, în cazul în care este posibil, operatorul informează persoana vizată în mod corespunzător asupra acestui aspect, iar persoana vizată, în temeiul art. 11, alin. (2) RGDP, în scopul exercitării dreptului de acces, poate oferi informații suplimentare care permit identificarea sa. De asemenea, potrivit art. 12, alin. (6) RGDP, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate și atunci când are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea de acces. După cum am menționat în paragrafele precedente, implicațiile volumetrice ale admiterii cererilor de acces la datele personale (sub aspectul volumului mare de cereri procesate sau al volumului amplu de date implicate) nu constituie un motiv legitim de refuz al accesului la propriile date personale; operatorul de date nu poate refuza comunicarea informațiilor solicitate de persoana vizată, pe motiv că prelucrează un volum mare de date, însă poate percepe o taxă suplimentară (prin excepție de la regula caracterului gratuit al admiterii cererii de acces la datele personale) în ipotezele în care apreciază că eventualul caracter repetitiv al adresării acestor cereri de către persoana vizată, la intervale scurte de timp, ar genera implicații excesive asupra volumului activității specifice de comunicare a acestor date, ceea ce ar justifica derogarea de la caracterul gratuit al admiterii solicitării[14]. Răspunderea operatorului de date pentru eventualul refuz abuziv de a da curs cererii de accesare a datelor personale (sau tardivitatea ori pasivitatea exagerată în maniera de tratare a cererii de accesare a datelor personale formulate de către persoana vizată) este secvențială în economia răspunderii specifice a operatorilor reglementate de art. 82 RGDP este, astfel cum indică și considerentul 146 RGDP, fără efect eluziv asupra răspunderii posibil a fi reglementată deja în dreptul european sau național, normele din dreptul intern rămânând la rândul lor incidente. Persoanele responsabile sunt, în primul rând, operatorul și, în subsidiar, împuternicitul operatorului, în literatura de specialitate subliniindu-se că „Regulamentul instituie o răspundere graduală, agravată pentru operator, limitată pentru împuternicitul acestuia.”[15]

5. Inversarea caracterului gratuit – comunicarea oneroasă a datelor cu caracter personal solicitate de persoana vizată. În cazul cererilor de acces care sunt în mod vădit nefondate sau excesive, în special datorită caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării (a), fie să refuze să dea curs cererii (b) Sarcina probei pentru a demonstra caracterul vădit nefondat sau excesiv al cererii revine operatorului de date. Fără a se putea metamorfoza într-un motiv legitim de refuz al accesului la datele personale, repetarea adresării cererii de acces, de către persoana vizată, la intervale relativ scurte de timp poate justifica inversarea caracterului gratuit al admiterii acestor cereri, iar operatorul de date va putea aplica o taxă rezonabilă de acces la datele personale ale persoanei vizate.

6. Formatul comunicării datelor personale către persoana vizată. Potrivit art. 12, alin. (3) RGDP, atunci când persoana vizată introduce o cerere de acces în format electronic, informațiile sunt furnizate într-o manieră simetrică, în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format. Astfel, potrivit art. 12, alin. (1) RGDP, operatorul furnizează informațiile în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. De asemenea, la solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace. Comunicările referitoare la prelucrare trebuie furnizate într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar. De regulă, este vorba despre obținerea de către persoana vizată a unui fișier electronic, ceea ce implică furnizarea datelor într-un format structurat, „utilizat în mod curent și care poate fi citit automat”.

7. Conținutul dreptului de acces

În primul rând, persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează date cu caracter personal care o privesc (sau o infirmare a acestui fapt). În al doilea rând, în cazul afirmativ, persoana vizată, pe de o parte, are dreptul de a-i fi furnizate o serie de informații (a), iar, pe de altă parte, are un drept de acces la datele respective, în sensul de a-i fi furnizată o copie / o versiune – duplicat a datelor sale cu caracter personal care fac obiectul prelucrării (b). În ipotezele în care operatorul confirmă că prelucrează date cu caracter personal care o privesc, persoana vizată are dreptul de a obține o serie informații cu privire la conținutul, natura, durata și scopurile prelucrării; menționăm că acest drept la informare subzistă inclusiv în situația în care operatorul nu confirmă prelucrarea datelor cu caracter personal ale persoanei vizate, însă exercitarea dreptului la informare, în acest din urmă caz, este condiționată factual, fie de recunoașterea de operator a existenței prelucrării, fie de dovedirea prelucrării prin alte mijloace probatorii.

Primul pas, posterior admiterii cererii de acces la datele personale, îl reprezintă comunicarea de către operator, conform art. 15, alin. (1) RGDP a unui set de informații, în măsura în care acesta confirmă persoanei vizate faptul că a procesat sau procesează la acel moment date care o privesc: „(1)   Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: (a) scopurile prelucrării; (b) categoriile de date cu caracter personal vizate; (c) destinatarii sau categoriile de destinatari[16] cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale; (d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; (e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării; (f) dreptul de a depune o plângere în fața unei autorități de supraveghere; (g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora; (h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la art. 22, alin. (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” Controversată rămâne problematica notificărilor privind existența unor breșe de securitate[17], inclusiv din perspectiva exercitării dreptului de acces și al accesului neautorizat la datele personale procesate de către un operator.

Informațiile pe care operatorul datelor este obligat să le transmită solicitantului care și-a exercitat dreptul de acces la datele sale personale includ informații privitoare la existența unui proces decizional automatizat incluzând crearea de profiluri, menționat în art. 22, alin. (1) și (4) RGDP. Dreptul persoanei vizate de a nu face obiectul unei decizii automatizate este enunțat în art. 22, alin. (1) din Regulamentul (UE) 2016/679, fiind un răspuns al legiuitorului european la pericolele care pot rezulta pentru persoana ale cărei date personale au fost colectate, din operațiunile mașinale de prelucrare a acestor date. Relevantă în acest context este explicația furnizată în Considerentul 71 din regulamentul european citat, care menționează dreptul persoanei vizate de a se opune unei decizii automatizate, „atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”. Pentru a contracara opacitatea unor astfel de decizii[18], consumatorul are dreptul de a fi informat, în momentul solicitării consimțământului său la colectarea și la prelucrarea datelor personale, cu privire la faptul că aceste date pot face obiectul  unei decizii automatizate  și cu privire la dreptul său de opoziție, în termenii art. 22, alin. (1) din Regulamentul (UE) 2016/679.

8. Reverberații asupra cazurilor colectării bazate pe consimțământ a datelor personale

Dreptul de acces la propriile date personale, neîndoielnic, nu a fost conceput pentru a se aplica exclusiv cazurilor în care colectarea și prelucrarea datelor personale se bazează pe consimțământul persoanei vizate, nici nu are o sferă materială de incidență limitată la aceste cazuri; dimpotrivă, dreptul de acces subzistă în toate celelalte situații, inclusiv în cele în care colectarea și prelucrarea datelor personale s-a fundamentat pe alte temeiuri juridice decât consimțământul persoanei vizate. Astfel cum rezultă din Considerentul 47 al Regulamentului (UE) 2016/679, interesele legitime ale unui operator de date cu caracter personal, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrarea acestor date în absența unei acțiuni clare a consumatorului în sensul consimțirii la prelucrare, cu condiția să fie vorba despre situații în care asupra interesului operatorului nu prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate; acest din urmă aspect va fi evaluat, după cum rezultă din Considerentul 47, teza a doua, din Regulamentul General privind protecția datelor cu caracter personal, „luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul de date”. Acest interes legitim ar putea exista, de exemplu, după cum specifică legiuitorul european în textul considerentului citat, „atunci când există o relație relevantă și adecvată între persoana vizată și operatorul de date”, cum ar fi cazul în care persoana vizată este un client al operatorului de date, iar acesta urmărește executarea unui contract valabil încheiat. O remarcă suplimentară se impune, totuși, a fi făcută privind faptul că existența unui interes legitim al operatorului de date (care să facă dispensabilă solicitarea consimțământului consumatorului) va necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, că datele sale personale vor fi prelucrate în respectivul scop (al comunicării de tipul marketing-ului direct, de exemplu) de către operatorul de date cu caracter personal.

9. Sfera materială de incidență a dreptului de acces include și datele personale care au fost supuse pseudonimizării sau anonimizării? Ca regulă generală, dispozițiile Regulamentului (UE) 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE se aplică datelor referitoare la o persoană fizică identificată (a) sau identificabilă (b). Sub incidența dispozițiilor acestui regulament intră și datele cu caracter personal care au fost supuse pseudonimizării și care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, întrucât acestea sunt considerate date referitoare la o persoană fizică identificabilă. Menționăm că, pentru a se determina dacă o persoană fizică este identificabilă, pot fi luate în considerare toate mijloacele pe care, în mod rezonabil, le-ar putea utiliza fie operatorul de date personale, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. La polul opus se situează datele anonimizate, astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, dispozițiile Regulamentului (UE) 2016/679 nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare. În opinia noastră, dreptul de acces al persoanei vizate ar trebui recunoscut inclusiv în materia datelor pseudonimizate, dat fiind faptul că, potrivit argumentelor expuse mai sus, acestea sunt date care, în continuare, chiar posterior derulării algoritmului de pseudonimizare[19], ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, astfel încât acestea pot fi considerate date referitoare la o persoană fizică identificabilă[20]. Dimpotrivă, asupra datelor anonimizate exercitarea dreptului de acces nu numai că nu mai este posibilă, însă este chiar inutilă, dat fiind faptul că procesul de anonimizare (atât prin randomizare, cât și prin generalizare[21]) a presupus înlăturarea oricăror elemente care să permită identificarea persoanei vizate, datele anonimizate ieșind din sfera materială de aplicare a dispozițiilor Regulamentului General privind protecția datelor cu caracter personal.


[1] Titlul calchiază unul din versurile (și titlul) piesei lui Solomon Burke („Let me wrap my arms around you”, 1975).
[2] A se vedea Silviu-Dorin Şchiopu, Scurte considerații asupra dreptului de acces al persoanei vizate în lumina Regulamentului (UE) 2016/679, postat în 4 mai 2018, disponibil aici
[3] A se vedea, pentru detalii, Silviu-Dorin Şchiopu, Considerații asupra dreptului la opoziție al persoanei vizate, postat în 2 mai 2018, disponibil aici; autorul citat subliniază că „Prin dreptul la opoziție s-a urmărit crearea cadrului prin care persoana vizată se poate opune prelucrării datelor cu caracter personal care o privesc din motive legate de situația sa particulară sau atunci când datele sunt prelucrate în scop de marketing direct. Acest drept privește exercitarea efectivă de către persoana vizată a obiecției față de prelucrarea datelor sale cu caracter personal, inclusiv crearea de profiluri.”
[4] A se vedea, pentru o analiză din perspectiva implicațiilor dreptului de acces la datele personale asupra comportamentului consumatorilor,  I. van Ooijen, H. U. Vrabec, „Does the GDPR Enhance Consumers’ Control over Personal Data? An Analysis from a Behavioural Perspective”, Journal of Consumer Policy, vol. 42, 2019, pg. 91–107.
[5] Importanța enormă a dreptului de acces în materia prelucrării datelor sensibile, în special a datelor privind starea de sănătate a persoanei, este accentuată expres în cuprinsul Considerentului 63 al RGDP: „Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată.”
[6] Restricțiile și eventualele limite impuse în dreptul intern cu privire la exercițiul dreptului de acces numai în măsura în care se verifică atribute precum caracterul proporțional și echilibrat al măsurii, respectiv caracterul necesar al acesteia într-o societate democratică, cum ar fi protejarea împotriva amenințărilor la adresa siguranței publice sau împotriva încălcării eticii în cazul profesiilor reglementate; potrivit considerentului (73) al RGDP, „Dreptul Uniunii sau dreptul intern poate impune restricții în privința unor principii specifice, în privința dreptului de informare, a dreptului de acces la datele cu caracter personal și de rectificare sau ștergere a acestora, în privința dreptului la portabilitatea datelor, a dreptului la opoziție, a deciziilor bazate pe crearea de profiluri, precum și în privința comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și a anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau executarea pedepselor, inclusiv protejarea împotriva amenințărilor la adresa siguranței publice sau împotriva încălcării eticii în cazul profesiilor reglementate și prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, menținerea de registre publice din motive de interes public general, prelucrarea ulterioară a datelor cu caracter personal arhivate pentru a transmite informații specifice legate de comportamentul politic în perioada regimurilor fostelor state totalitare, protecția persoanei vizate sau a drepturilor și libertăților unor terți, inclusiv protecția socială, sănătatea publică și scopurile umanitare. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de cartă și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.”
[7] Conform art. 12, alin. (7) RGDP, „Informațiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor 13 și 14 pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.”
[8] Pentru detalii privind portabilitatea datelor personale, a se consulta Ghidul Grupului de lucru „Articol 29”  privind dreptul la portabilitatea datelor, adoptat în data de 13 decembrie 2016, revizuit și adoptat în versiunea finală în 5 aprilie 2017; textul integral al ghidului este disponibil aici. Grupul de lucru „Articolul 29” a fost creat în temeiul articolului 29 din Directiva 95/46/CE, fiind un organ consultativ european independent care se ocupă cu analiza normelor din dreptul european privind protecția și confidențialitatea datelor. Sarcinile sale sunt descrise la articolul 30 din Directiva 95/46/CE și în articolul 15 din Directiva 2002/58/CE.
[9] Idem, p. 4.
[10] Data Protection Commissioner, „Rights of Individuals under the General Data Protection Regulation” 2018, accesibil aici.
[11] Alin Chifor, „Dreptul de a fi uitat, astfel cum este reglementat de legislația europeană. Procedura de sesizare a ANSPDCP„, postat în 22.01.2021, disponibil aici; Silviu-Dorin Șchiopu, „Considerații generale asupra dreptului la ștergerea datelor cu caracter personal”, postat în 09.09.2019, disponibil aici.
[12] G. Desgens-Pasanau, La protection des données personnelles, ediția a 4-a, LexisNexis, Paris, 2019, p. 98-112.
[13] Conform definiției din art. 4, pct. 22 RGDP, sintagma „autoritate de supraveghere vizată” se referă la „o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal întrucât: (a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective; (b) persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau (c) la autoritatea de supraveghere respectivă a fost depusă o plângere”.
[14] Cu privire la implicațiile unui eventual refuz abuziv al operatorului în materia răspunderii civile a acestuia, a se consulta I.-F. Popa, „Impactul Regulamentului privind protecția datelor cu caracter personal asupra răspunderii civile”, postat în 28.02.2020, disponibil aici; autorul citat arată că textele din dreptul intern privind răspunderea civilă rămân în continuare relevante, întrucât „pot fi invocate alături (conjunct) de cele din Regulament sau individual, pentru obținerea de despăgubiri.”
[15] Ibidem.
[16] E. Cellina, La commercialisation des données personnelles. Aspects de droit contractuel et de protection des données, Schulthess, Geneva, 2020, p. 109-121.
[17] În 19 ianuarie 2021, Comitetul European pentru Protecția Datelor (European Data Protection Board – EDPB) a lansat în dezbatere publică proiectul „Orientări nr. 1/2021 privind exemplele de notificare a încălcării securității datelor cu caracter personal” (Guidelines 01/2021 on Examples regarding Data Breach Notification); textul proiectului poate fi accesat aici.
[18] B. Goodman, S.  Flaxman, „European Union Regulations on Algorithmic Decision-Making and a Right to Explanation”, Artificial Inteligence Magazine, vol. 38, nr. 3/2017, p. 51-57.
[19] Un exemplu elocvent în acest sens îl reprezintă pseudonimizarea obținută prin înlocuirea unui element de identificare cu un cod, ceea ce nu implică faptul că datele vor fi separate definitiv și iremediabil de identitatea persoanei vizate, ci doar că asocierea între aceste date și elementele de identificare nu ar trebui să fie posibilă în mod direct și imediat sau în mod automat; în aceste ipoteze, posterior pseudonimizării (totale sau parțiale) a datelor persoanei vizate, pentru persoanele sau operatorii care nu posedă cheia  de decodificare / codul de acces, reidentificarea / restabilirea conexării datelor cu persoana identificabilă este dificil de realizat.
[20] Nathalie Martial-Braz, Judith Rochfeld, Droit des données personnelles, Dalloz, Paris, 2019, p. 214-219.
[21] Jessica Eynard, L’identité numérique. Quelle définition pour quelle protection?, Larcier, 2020, p. 117-126.


Lect. univ. dr. Juanita Goicovici, Facultatea de Drept a Universității Babeș-Bolyai din Cluj-Napoca

PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , , , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară

Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Monitorizarea inteligentă a dosarelor de instanţă: Monitor Dosare

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.