Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti
Banner BA-01
Banner BA-02
Articole Cyberlaw Data protection Note de studiu RNSJ SELECTED

GDPR și dreptul de a fi informat – când poate un operator să NU informeze persoana vizată?

10 iunie 2024 | Cosmina SIMION, Petruș PARTENE
Cosmina Simion

Cosmina Simion

Petruș Partene

Petruș Partene

În data de 25 mai 2024, am sărbătorit 6 ani de la intrarea în vigoare a regulamentului General privind protecția datelor (denumit în continuare „GDPR” sau „Regulamentul”). Fără îndoială, printre cele mai „de impact” obligații pe care acest regulament le-a impus în sarcina operatorilor de date cu caracter personal este dreptul persoanelor vizate de a fi corect și complet informate în legătură cu prelucrarea datelor cu caracter personal.

Expresia acestui drept (al cărui fundament juridic îl reprezintă art. 13 și 14 din GDPR) comportă o flexibilitate sporită și, prin urmare, poate fi regăsită într-o multitudine de forme. După cum rezultă și din preambulul Regulamentului (paragraful 58), dreptul la informare trebuie analizat și din perspectiva principiului transparenței, conform căruia „orice informații care se adresează publicului sau persoanei vizate [n.n. trebuie] să fie concise, ușor accesibile și ușor de înțeles, și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul”. Același paragraf prevede că „aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site”.

Spre exemplu, Information Commissioner’s Office (ICO), autoritatea de resort din Marea Britanie, subliniază că o variantă eficientă este oferirea de informații persoanelor în legătură cu activitățile de prelucrare a datelor cu caracter personal utilizând o combinație de tehnici diferite, inclusiv prin “stratificare”, panouri privind confidențialitatea sau prin notificări de tip „just in time” (oportune)[1]. De asemenea, ICO recomandă obținerea feedback-ului persoanelor vizate, acesta fiind un instrument extrem de util pentru a identifica gradul de eficiență al livrării informațiilor privind prelucrările de date cu caracter personal.

Astfel, conform Orientărilor privind transparența în temeiul Regulamentului 2016/679 emise de Grupul de lucru în temeiul articolului 29 (denumite în continuare „Orientările privind transparența”)[2] operatorii trebuie să efectueze propria analiză a naturii, împrejurărilor, domeniului de aplicare și contextului prelucrării datelor cu caracter personal pe care o efectuează și să decidă cum să seteze prioritatea informațiilor care trebuie transmise persoanelor vizate și care este gradul de detaliu și metoda adecvată pentru transmiterea informațiilor[3]. Spre exemplu, acolo unde datele cu caracter personal sunt colectate prin intermediul conversațiilor telefonice, cele mai importante informații (scopul prelucrării, identitatea operatorului, existența drepturilor persoanei vizate, precum și informații cu privire la impactul cel mai puternic al prelucrării sau al prelucrării care ar putea surprinde persoana vizată) ar putea fi oferite la primul contact telefonic, iar informațiile exhaustive pot fi furnizate prin mijloace ulterioare, precum prin transmiterea politicii de confidențialitate prin e-mail[4].

În schimb, în cazul în care datele cu caracter personal sunt colectate prin intermediul unui site web, este recomandat ca informațiile privind activitățile de prelucrare a datelor cu caracter personal să fie furnizate prin nota de informare publicată pe website[5].

Totuși, regula comportă excepții. Astfel, dacă aplicabilitatea prevederilor alineatelor (1), (2) și (3) ale art. 13 din GDPR, care stabilesc, în esență, obligația de informare în sarcina operatorului și care sunt aplicabile atunci când datele cu caracter personal sunt colectate de la persoana vizată este exceptată doar în măsura în care persoana vizată deține deja informațiile respective, nu aceeași este situația și pentru situațiile în care datele cu caracter personal nu au fost obținute de la persoana vizată. Conform art. 14 din GDPR, care reglementează obligația de informare atunci când datele cu caracter personal nu sunt obținute de la persoana vizată, există mai multe excepții de la obligația de informare a persoanelor vizate, anume:

– Atunci când persoana vizată deține deja informațiile.

– Atunci când furnizarea acestor informații se dovedește imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 89 alineatul (1).

– Atunci când furnizarea de informații este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective (caz în care operatorul are obligația de a lua măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului).

– Obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate

– În cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.

În continuare, ne-am propus să analizăm aceste excepții. Având în vedere că ipoteza în care persoana vizată deține deja informațiile legate de activitatea de prelucrare a datelor cu caracter personal este suficient de clară, analiza noastră va viza, cu precădere, celelalte excepții prevăzute în art. 14 din GDPR, care trebuie interpretate într-un mod restrictiv.

Furnizarea informațiilor de dovedește imposibilă sau ar implica eforturi disproporționate

Conform Orientărilor privind transparența, în cazul în care un operator dorește să facă uz de această excepție, acesta are obligația de a demonstra existența factorilor care fac imposibilă furnizarea informațiilor către persoanele vizate. În practică, astfel de situații în care un operator poate demonstra că este practic imposibil să furnizeze informațiile privind activitățile de prelucrare persoanelor vizate sunt întâlnite extrem de rar[6]. În ceea ce privește noțiunea de eforturi disproporționate, Orientările privind transparența subliniază faptul că accentul pus pe activitățile de arhivare și pe scopurile statistice și de cercetare este în măsură să indice că operatorii care nu prelucrează date cu caracter personal în aceste scopuri nu ar trebui să se prevaleze în mod uzual de o astfel de excepție[7]. Totuși, factori precum numărul persoanelor vizate, vechimea datelor și garanțiile adecvate implementate pot reprezenta elemente apte să demonstreze caracterul disproporționat pentru a justifica aplicabilitatea acestei excepții. În astfel de situații, operatorul ar trebui să realizeze o analiză detaliată pentru a compara efortul implicat pentru operator de a furniza informațiile persoanei vizate cu impactul și efectele asupra persoanei vizate în cazul în care acesteia nu i-ar fi furnizate informațiile. Evident, această evaluare ar trebui să fie documentată de către operator, în conformitate cu principiul responsabilității (art. 5 alin. (2) din GDPR)[8].

Furnizarea de informații este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective

Teza finală a art. 14 alin. (5) lit. b) reglementează situația în care furnizarea informațiilor de către un operator persoanei vizate este de natură a face imposibilă sau să afecteze în mod grav îndeplinirea obiectivelor prelucrării. Într-o astfel de situație, operatorii trebuie să demonstreze că furnizarea acestor informații ar putea anula obiectivele prelucrării[9]. Orientările privind transparența oferă drept exemplu situația prelucrării datelor cu caracter personal desfășurate de bănci în scopul prevenirii și combaterii spălării banilor, caz în care informarea persoanei vizate ar putea compromite eficacitatea măsurilor de prevenire și combatere a spălării banilor. Totuși, în astfel de situații entitățile bancare ar trebui, spre exemplu, să transmită titularilor de cont informații generale la deschiderea conturilor legate de posibilitatea ca datele lor cu caracter personal să fie prelucrate în astfel de scopuri.

De asemenea, aplicabilitatea unei astfel de excepții poate fi discutată în contextul în care un angajator, pe baza unor indicii temeinice cu privire la o eventuală acțiune a unui angajat care ar putea compromite activitatea societății, decide să monitorizeze activitatea respectivului angajat. Într-o astfel de situație, o eventuală informare prealabilă ar putea compromite eforturile de identificare ale unui posibil furt de secrete comerciale sau a transferului către concurenți a unor informații privind cercetările, invențiile brevetabile sau a unor alte elemente protejate de drepturi de proprietate intelectuală.

Totuși, aceste situații pot avea doar caracter excepțional și trebuie susținute de o documentare temeinică, în conformitate cu principiul responsabilității.

Obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate

Conform Orientărilor privind transparența, această derogare este condiționată de legea în cauză care prevede „măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate”. Pentru ca excepția să fie aplicabilă, o astfel de lege trebuie să vizeze în mod direct operatorul de date cu caracter personal, iar eventuala obținere sau divulgare a datelor ar trebui să prezinte caracter obligatoriu. Așadar, operatorul ar trebui să fie în măsură să demonstreze modul în care legea în cauză i se aplică și îi impune acestuia să obțină sau să divulge datele cu caracter personal[10]. Exemplul oferit de către Orientările privind transparența este cel al unei autorități fiscale care are obligația de a obține detaliile cu privire la salariile angajaților de la angajatori. Datele cu caracter personal sunt transmise de către angajatori către autoritate, prin urmare aceasta nu obține în mod direct datele cu caracter personal de la persoanele vizate, prin urmare administrația fiscală se poate încadra în excepția prevăzută de articolul 14 din GDPR, caz în care cerințele în materie de informare nu se aplică în acest caz[11].

Datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul

Premisa posibilității aplicării acestei derogări este ca operatorul să fie în măsură să demonstreze că a identificat o astfel de derogare și să arate modul în care obligația de păstrare a secretului profesional vizează direct operatorul, astfel încât acestuia să îi fie interzis să furnizeze informațiile prevăzute de art. 14. Exemplul oferit de Orientările privind transparența pentru o astfel de situație este oferirea de către o persoană a informațiilor privind starea de sănătate și afecțiunile de care suferă membrii familiei sale pentru a putea sprijini efectuarea corectă a actului medical. Într-o astfel de situație, medicul se poate prevala de această excepție și nu va fi obligat să informeze membrii familiei pacientului în legătură cu prelucrarea datelor cu caracter personal ale acestora furnizate de pacient.

Un alt exemplu în care această excepție poate fi aplicată este confidențialitatea avocat-client, în special în cazurile în care serviciile juridice vizează analiza posibilității deschiderii unui litigiu de către client. Într-o astfel de situație, pe lângă obligația de confidențialitate, se poate argumenta că o eventuală informare a persoanei vizate legate de prelucrarea datelor cu caracter personal ar putea compromite drepturile și interesele clientului, caz în care ar putea fi aplicabilă și excepția conform căreia informarea ar putea să afecteze în mod grav realizarea obiectivelor prelucrării.

În concluzie, aceste excepții au rolul de a asigura un just echilibru între dreptul de a fi informat, pe de o parte, și eventualele drepturi și/sau obligații ale operatorilor de date cu caracter personal. Deși aceste excepții au o natură restrictivă, ele totuși demonstrează că dreptul de a fi informat nu are caracter absolut. De asemenea, existența acestor excepții demonstrează, din nou, că GDPR nu este un act normativ care să limiteze sau să rescricționeze în vreun fel activitățile de prelucrare a datelor cu caracter personal, cu condiția desfășurării acestora conform regulilor trasate de acesta, reguli care au ca scop final protejarea drepturilor și libertăților fundamentale ale omului.


[1] https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/the-right-to-be-informed/
[2] https://ec.europa.eu/newsroom/article29/items/622227
[3] Orientările privind transparența, paragraful 34.
[4] Orientările privind transparența, paragraful 38,.
[5] Ustaran Eduardo (coord.), „European Data Protection: Law and Practice” Ediția a treia, pagina 184.
[6] Orientările privind transparența, paragraful 59.
[7] Orientările privind transparența, paragraful 61.
[8] Orientările privind transparența. Paragraful 64.
[9] Orientările privind transparența. Paragraful 65.
[10] Orientările privind transparența, paragraful 66.
[11] Orientările privind transparența, paragraful 66.


Cosmina Simion, Managing Partner WH Simion & Partners
Petruș Partene, Senior Associate WH Simion & Partners

Citeşte mai mult despre , , , , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

 
Homepage J JURIDICE   Cariere   Evenimente   Dezbateri   Profesionişti   Lawyers Week   Video
 
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Sustenabilitate
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi
Drept maritim
Parteneri ⁞ 
Specialişti
Arii de practică
Business ⁞ 
Litigation ⁞ 
Protective
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul penal al afacerilor
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul sportului
Articole
Essentials
Interviuri
Opinii
Revista de note şi studii juridice ISSN
Note de studiu ⁞ 
Studii
Revista revistelor
Autori ⁞ 
Publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională a României
Înalta Curte de Casaţie şi Justiţie
Dezlegarea unor chestiuni de drept
Recurs în interesul legii
Jurisprudenţă curentă ÎCCJ
Curţi de apel
Tribunale
Judecătorii
Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene
Flux noutăţi
Selected
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi
RSS ⁞ 
Publicare comunicate
Proiecte speciale
Cărţi
Condoleanţe
Covid-19 Legal React
Creepy cases
Life
Povestim cărţi
Poveşti juridice
Războiul din Ucraina
Wisdom stories
Women in Law

Servicii J JURIDICE   Membership   Catalog   Recrutare   Talent Search   Comunicare   Documentare   Evenimente   Website   Logo   Foto   Video   Partnership