Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti
UNBR Caut avocat
UNBR Caut avocat
UNBR Caut avocat
Citeşte mai mult în legătură cu CJUE, Cyberlaw, Data protection, Dreptul Uniunii Europene, SELECTED

CJUE. C-683/21 | Nacionalinis visuomenės sveikatos centras. Numai o încălcare culpabilă a GDPR poate conduce la aplicarea unei amenzi administrative. Jud. dr. Octavia Spineanu-Matei, membru al completului de judecată

5 decembrie 2023 | JURIDICE.ro

Jud. dr. Octavia Spineanu-Matei, judecătorul român la Curtea de Justiție a Uniunii Europene, a fost membru al completului de judecată.

„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Noțiunile de «prelucrare» și de «operator» – Dezvoltarea unei aplicații informatice mobile – Responsabilitate comună privind prelucrarea – Impunerea unor amenzi administrative – Cerința ca încălcarea să fie comisă intenționat sau din neglijență.”

Cererea de decizie preliminară privește interpretarea articolului 4 punctele 2 și 7, a articolului 26 alineatul (1), precum și a articolului 83 alineatul (1) din Regulamentul (UE) 2016/679 privind protecția datelor[1], denumit în continuare „RGPD”.

În contextul pandemiei provocate de virusul COVID–19, ministrul sănătății al Republicii Lituania, printr‑o primă decizie din 24 martie 2020, l‑a însărcinat pe directorul Centrului Național de Sănătate Publică din cadrul Ministerului Sănătății (CNSP) să organizeze achiziționarea imediată a unui sistem informatic în vederea înregistrării și a monitorizării datelor persoanelor expuse virusului respectiv, în scopul unei monitorizări epidemiologice.

Prin e‑mailul din 27 martie 2020, A.S., care s‑a prezentat ca reprezentant al CNSP, a informat societatea UAB „IT sprendimai sėkmei” (ITSS) că CNSP a selectat‑o pentru a crea o aplicație mobilă în acest scop. Ulterior, A.S. a trimis societății ITSS e‑mailuri referitoare la diverse aspecte ale creării acestei aplicații, o copie a e‑mailurilor respective fiind adresată directorului CNSP. La crearea acestei aplicații mobile a fost elaborată o politică de confidențialitate în cadrul căreia societatea ITSS și CNSP erau desemnate ca fiind operatori.

În perioada 4 aprilie 2020-26 mai 2020, 3 802 persoane au utilizat această aplicație și au furnizat datele solicitate de aplicația menționată, precum numărul de identitate, coordonatele geografice (latitudine și longitudine), țara, orașul, comuna, codul poștal, numele străzii, numărul imobilului, numele, prenumele, codul personal, numărul de telefon și adresa.

Printr‑o a doua decizie din 10 aprilie 2020, ministrul sănătății al Republicii Lituania a decis să încredințeze directorului CNSP sarcina de a organiza achiziționarea aplicației mobile în cauză de la societatea ITSS. Cu toate acestea, niciun contract de achiziții publice având ca obiect achiziționarea oficială a acestei aplicații de către CNSP nu a fost atribuit societății amintite.

Servicii JURIDICE.ro

Evenimente juridice

Arbitraj comercial

Interviuri JURIDICE.ro

Astfel, la 15 mai 2020, CNSP a solicitat respectivei societăți să nu îl menționeze în niciun mod în aplicația mobilă în cauză. În plus, prin scrisoarea din 4 iunie 2020, CNSP a informat aceeași societate că, din cauza unei lipse de finanțare pentru achiziționarea acestei aplicații, a pus capăt procedurii privind o asemenea achiziție.

În cadrul unei investigații privind prelucrarea datelor cu caracter personal inițiată la 18 mai 2020, Inspectoratul Național pentru Protecția Datelor din Lituania (INPD) a stabilit că au fost colectate date cu caracter personal cu ajutorul aplicației mobile în cauză.

Prin decizia din 24 februarie 2021, INPD a impus CNSP o amendă administrativă de 12 000 de euro în temeiul articolului 83 din RGPD, având în vedere încălcarea de către acesta a articolelor 5, 13, 24, 32 și 35 din respectivul regulament. Prin această decizie, o amendă administrativă de 3 000 de euro a fost de asemenea impusă societății ITSS în calitate de operator asociat.

CNSP a contestat această decizie în fața Tribunalului Administrativ Regional din Vilnius, Lituania, care este instanța de trimitere, arătând că societatea ITSS este cea care trebuie considerată ca fiind unicul operator, în sensul articolului 4 punctul 7 din RGPD. La rândul său, societatea ITSS susține că a acționat în calitate de persoană împuternicită de operator în sensul articolului 4 punctul 8 din RGPD urmând instrucțiunile CNSP care este, în opinia sa, unicul operator.

Prin hotărârea pronunțată la data de 5 decembrie 2023[2], Curtea a stabilit că articolul 4 punctul 7 din Regulamentul (UE) 2016/679 trebuie interpretat în sensul că poate fi considerată operator, în sensul acestei dispoziții, o entitate care a însărcinat o întreprindere să dezvolte o aplicație informatică mobilă și care, în acest context, a participat la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal realizate prin intermediul acestei aplicații, chiar dacă această entitate nu a efectuat ea însăși operațiuni de prelucrare a unor astfel de date, nu și-a dat în mod explicit acordul pentru realizarea unor operațiuni concrete ale unei astfel de prelucrări sau pentru punerea la dispoziția publicului a respectivei aplicații mobile și nu a achiziționat aceeași aplicație mobilă, cu excepția cazului în care, înainte de această punere la dispoziția publicului, entitatea menționată s-a opus în mod expres acesteia și prelucrării datelor cu caracter personal care au rezultat din aceasta.

Curtea a mai stabilit că articolul 4 punctul 7 și articolul 26 alineatul (1) din Regulamentul 2016/679 trebuie interpretate în sensul că o calificare a două entități drept operatori asociați nu presupune nici existența unui acord între aceste entități cu privire la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal în cauză, nici existența unui acord care stabilește condițiile referitoare la responsabilitatea comună privind prelucrarea.

De asemenea, Curtea a reținut că articolul 4 punctul 2 din Regulamentul 2016/679 trebuie interpretat în sensul că constituie o „prelucrare” în sensul acestei dispoziții utilizarea unor date cu caracter personal în scopul testării informatice a unei aplicații mobile, cu excepția cazului în care asemenea date au fost anonimizate astfel încât persoana vizată de aceste date nu este sau nu mai este identificabilă ori este vorba despre date fictive care nu se referă la o persoană fizică existentă.

Totodată, Curtea a statuat că articolul 83 din Regulamentul 2016/679 trebuie interpretat în sensul că, pe de o parte, o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai dacă se stabilește că operatorul a săvârșit, intenționat sau din neglijență, o încălcare prevăzută la alineatele (4)-(6) ale acestui articol și, pe de altă parte, o asemenea amendă poate fi impusă unui operator în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal efectuate de o persoană împuternicită de operator în numele acestuia, cu excepția cazului în care, în cadrul acestor operațiuni, persoana împuternicită de operator a efectuat prelucrări în scopuri proprii sau a prelucrat aceste date într-un fel incompatibil cu cadrul sau cu modalitățile de prelucrare așa cum au fost stabilite de operator sau într-un fel cu privire la care nu se poate considera în mod rezonabil că operatorul respectiv și-ar fi dat consimțământul.


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).
[2] Hotărârea integrală, în limba de procedură, care a fost limba lituaniană, dar și traducerea în limba română pot fi accesate aici.

Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

Login | Pentru a putea posta comentarii trebuie să fiţi abonat. Dacă încă nu sunteţi, click aici pentru a afla despre avantaje!

Lasă un răspuns

Arii de practică
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Business
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul penal al afacerilor
Dreptul sportului
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Litigation
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protective
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi

Parteneri arii de practică  Specialişti


JURIDICE.ro
Main page
Cariere
Evenimente ⁞ 
Dezbateri
Profesionişti
Lawyers Week
WinLaw.ro
VIDEO
Servicii
Flux noutăţi
Selected ⁞ 
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi / JURIDICE NEXT
RSS  Publicare comunicate profesionale
Articole
Essentials
Interviuri
Opinii
Revista de note, studii şi opinii juridice
ISSN 2066-0944
       Studii şi note de studiu
Revista revistelor
Autori  Condiţii de publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională
Înalta Curte de Casaţie şi Justiţie
       Jurisprudenţă curentă ÎCCJ
       Dezlegarea unor chestiuni de drept
       Recurs în interesul legii
Curţi de apel ⁞ 
Tribunale ⁞ 
Judecătorii

Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene

Proiecte speciale
Cărţi
Covid-19 Legal React
Creepy cases
Life
Mesaje de condoleanţe
Povestim cărţi
Războiul din Ucraina
Wisdom stories