« Secţiuni « Articole « RNSJOpiniiPovestim cărţi
Opinii

Dreptul de acces la datele personale – cine, ce, de ce și cum…
28.05.2021 | Monica IANCU, Alexandru DANILIUC

JURIDICE - In Law We Trust Video juridice
Monica Iancu

Monica Iancu

Alexandru Daniliuc

Alexandru Daniliuc

O cauză recentă a unei instanțe din Amsterdam ne dă prilejul de a repune în discuție dreptul de acces la datele personale reglementat de art. 15 din Regulamentul General pentru Protecția Datelor Personale (GDPR) și în special anumite aspecte legate de dificultățile pe care le poate genera pentru un operator de date, în anumite situații, exercitarea acestui drept de către persoanele vizate.

Astfel, la 11 martie 2021, instanța în cauză a soluționat o speță (link aici) între societatea care deține drepturile de exploatare a aplicației UBER (‘UBER’) și câțiva șoferi colaboratori ai UBER în jurisdicția respectivă. Aceștia formulaseră anterior o cerere de acces referitoare la datele lor personale prelucrate de UBER și, nemulțumiți fiind de răspunsul primit de la UBER, s-au adresat instanței de judecată.

Speța este interesantă prin prisma faptului că pune în discuție (și concluzionează, deși nu neapărat de o manieră coerentă cu demersuri anterioare) cu privire la câteva aspecte legate, între altele, de perimetrul dreptului de acces la datele personale pe care este important ca un operator de date personale, inclusiv un angajator în relația cu angajații săi, să le aibă în vedere în managementul răspunsului la astfel de solicitări pentru a nu-și crea expunere / răspundere suplimentară.

A. Câteva aspecte puse în discuție în cauza UBER menționată

1. Din faptele speței rezultă că persoanele vizate și-au exercitat dreptul de acces nu numai pentru consultarea datelor personale prelucrate de UBER, ci pentru a folosi asemenea informații în vederea negocierii contractului de colaborare cu UBER. Pornind de la Considerentul 63 din Preambulul GDPR, instanța a considerat că, atât timp cât dreptul de acces este exercitat și pentru ca persoana vizată să fie “informată cu privire la prelucrare și pentru a verifica legalitatea acesteia”, solicitarea de acces nu este abuzivă și este în limitele legii, chiar dacă a fost înaintată și pentru alte scopuri, adiționale. Notăm că într-o decizie dată de o instanță din Anglia (link aici), s-a considerat că persoana vizată  care are un scop colateral, anume să utilizeze informații și documente noi într-un litigiu cu operatorul, nu a exercitat dreptul de acces în limitele legale. Totuși, este important că circumstanțele acestei din urmă decizii au presupus și că persoana vizată a formulat cereri privind dreptul de acces în mod repetitiv și excesiv.

2. S-a confirmat și prin cauza UBER menționată mai sus că un operator de date are dreptul de a solicita persoanei vizate să indice clar la ce date cu caracter personal se referă cererea de acces, cu scopul de a limita răspunsul dacă cererea astfel precizată de persoana vizată o permite.

3. Esența cauzei în discuție pare a fi legată însă de măsura în care opiniile angajaților, respectiv opiniile despre angajați (ale altor angajați, de exemplu evaluatori, examinatori) reprezintă date personale și, prin urmare, dacă pot face sau nu obiectul cererilor de acces la date în baza art. 15 din GDPR. În opinia instanței în cauză, opiniile nu sunt date cu caracter personal, întrucât acestea nu pot fi verificate și în consecință, o persoană vizată nu poate să își exercite drepturile de a le verifica acuratețea, de a le rectifica, de a le șterge. În contrast, fapte (pe care se bazează opiniile) sunt date cu caracter personal.

4. Astfel, cu privire la opiniile consemnate în anumite notițe de către angajații UBER cu privire la șoferii colaboratori petenți, instanța de judecată a respins plângerea. Decizia aceasta este în acord cu o alta, dată tot de o instanță de judecată din Amsterdam (link aici), în care curtea a decis că note interne ale unor angajați, care ar cuprinde gânduri/ opinii destinate pentru uz intern și deliberare, nu cuprind / nu reprezintă date cu caracter personal[i].

5. Cu toate acestea, în mod contradictoriu, curtea a decis în cauza UBER că aprecierile/ scorul (feedback-ul) exprimat de utilizatori reprezintă dată cu caracter personal. Mai mult, soluția din cauza UBER pare să vină în contradicție și cu concluziile Curții Europene de Justiție (CJUE) în cauza C‑434/16 (“Speța NOWAK”) (link aici), în care s-a dispus că “răspunsurile scrise furnizate de un candidat în cadrul unui examen profesional și eventualele observații ale examinatorului referitoare la aceste răspunsuri constituie date cu caracter personal, în sensul acestei dispoziții.

6. În argumentarea acestei poziții, CJUE menționează 43 Astfel, conținutul acestor observații reflectă opinia sau aprecierea examinatorului cu privire la performanțele individuale ale candidatului în cadrul examenului, în special cu privire la cunoștințele și la competențele sale în domeniul vizat. Pe de altă parte, observațiile menționate au tocmai ca finalitate să documenteze evaluarea de către examinator a performanțelor candidatului și sunt susceptibile să aibă efecte asupra acestuia din urmă, după cum se arată la punctul 39 din prezenta hotărâre.

44  Constatarea că observațiile examinatorului referitoare la răspunsurile furnizate de candidat în cadrul examenului constituie informații care, ca urmare a conținutului, a finalității și a efectului lor, sunt legate de acest candidat nu este infirmată de faptul că aceste observații constituie de asemenea informații referitoare la examinator.

Mai mult, CJUE reține în Speța NOWAK (sublinierea noastră) 34 Astfel, utilizarea expresiei „orice informație” în cadrul definiției noțiunii „date cu caracter personal”, care figurează la articolul 2 litera (a) din Directiva 95/46, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care nu este restrânsă la informațiile sensibile sau de ordin privat, ci înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea să fie „referitoare” la persoana în cauză.

35 În ceea ce privește această din urmă condiție, ea este îndeplinită atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este legată de o persoană determinată.

7. De altfel, în spiritul Cauzei NOWAK, o instanță de judecată din Germania (link aici) a reținut că o persoană care a susținut un examen are dreptul să primească o copie a examenului susținut, dar și o copie a raportului examinatorului pe marginea prestației persoanei care a susținut examenul. O altă instanța, din Olanda (link aici) a reținut că persoana vizată are dreptul să accese date personale cuprinse în note interne și comunicări între angajații a două autorități publice. Notele interne în discuție vizau aprecieri ale funcționarilor publice cu privire la procesul de reinserție socială (după o condamnare) al persoanei vizate, dar și aspecte mai deosebite, precum consemnări despre limbajul non-verbal, tonul vocii, personalitatea și starea mentala ale persoanei vizate.

B. Alte aspecte cu privire la dreptul de acces ala datele personale reținute în alte spețe sau în aprecieri ale unor autorități de reglementare

8. În cadrul unui răspuns la o cerere de acces la date, Operatorul trebuie să informeze persoanele vizate dacă a transferat date personale către alte entități și către cine, chiar dacă la momentul soluționării cererii de acces nu mai deține respectivele date cu caracter personal (fiind încheiată perioada de retenție a datelor) (link aici).

9. Dreptul de acces la date cu caracter personal trebuie exercitat cu bună-credință, iar abuzul de drept trebuie sancționat. Astfel, autoritatea de reglementare în materie din Regatul Unit a menționat că o cerere de exercitare a dreptului de acces poate fi abuzivă când este evident că persoana vizată nu are intenția de a exercita dreptul în scopul pentru care a fost recunoscut (de exemplu, își manifestă intenția de a-și retrage cererea în schimbul unui beneficiu) sau când scopul real al cererii este de a hărțui operatorul în cauză ori o persoană din cadrul acestuia.

10. O altă limită privind dreptul de acces a fost indicată tot într-o speță din Regatul Unit, în care instanța de judecată a menționat că este disproporționat pentru operator să verifice back-up-uri digitale și spații de stocare folosite în trecut de persoana vizată (fost angajat), întrucât asemenea cercetare prezintă un risc semnificativ de divulgare de date personale cu privire la alte persoane vizate (link aici). În același sens, o instanță din Belgia a reținut că accesul persoanei vizate la email-urile pe care le-a primit cât a lucrat în cadrul operatorului ar încălca drepturile altor persoane (de exemplu, alți destinatari sau expeditorii acelor email-uri) (link aici).

11. Cu privire la adresele IP, o instanță din Haga a reținut că dacă o persoană trebuie să desfășoare eforturi excesive pentru a corobora adresele IP cu alte informații pentru a identifica o persoană vizată, atunci adresele IP nu sunt date cu caracter personal (link aici).

Cele de mai sus care reprezintă dar o selecție a aspectelor ce se pot dovedi dificile în rezolvarea unei cereri de acces la date personale. Analiza atentă a solicitărilor pentru a exclude sau minimiza atât riscul de sancțiuni pentru nerespectarea dreptului de acces la date personale cât și riscul unor alte expuneri generate de dezvăluirea unor informații în exces este de importanță vitală. O dovedește însăși multitudinea de situații ajunse în fața instanțelor de judecată a căror diversitate abundă.


[i] Cele două decizii ale instanțelor olandeze par să rezoneze în oare care măsură cu interpretarea dată de Curtea de Justiție a Uniunii Europene (“CJUE”) în cauzele reunite C‑141/12 și C‑372/12 („Cauza YS”) – link aici, în care CJUE a dispus că “datele referitoare la solicitantul unui permis de ședere care figurează într‑un document administrativ precum „minuta” în discuție în litigiile principale, care expune motivele pe care le invocă funcționarul în susținerea proiectului de decizie pe care trebuie să îl redacteze în cadrul procedurii prealabile adoptării unei decizii referitoare la cererea privind un astfel de permis și, după caz, cele care figurează în analiza juridică cuprinsă în acest document, constituie „date cu caracter personal”, în sensul acestei dispoziții, analiza menționată neputând primi în schimb, în sine, aceeași calificare.” Astfel, din Speța YS, pare a că reieși că informațiile sub formă de opinii (judecățile de valoare) nu intră în categoria de dată cu caracter personal (cel puțin nu dacă opinia în cauză nu privește în mod direct o persoană). Totuși, paralela dintre speța UBER și Cauza YS ar putea să nu fie foarte relevantă întrucât cauza YS are în vedere opinii sub forma unor analize juridice, iar nu neapărat opinii despre persoane. Mai degrabă o analiză juridică reprezintă o dată personală în măsura în care caracterizează persoana care a exprimat/ realizat analiza juridică în cauză.


Monica Iancu – Avocat Asociat BONDOC & ASOCIAȚII
Alexandru Daniliuc – Avocat Colaborator BONDOC & ASOCIAȚII

Opinie susținută în legătură cu dezbaterea Top 3 cele mai împovărătoare obligații ale angajatorilor privind protecția datelor, ediția 463, organizată de Societatea de Științe Juridice (SSJ)

 
Secţiuni: Data protection, Dreptul muncii, Opinii, Selected | Toate secţiunile
Cuvinte cheie: , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill

Faci un comentariu sau dai un răspuns?

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD