Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

Protecția datelor cu caracter personal pe înțelesul tuturor. Caiet de seminar – nr. 2/2022
20.06.2022 | Răzvan Nicolae POPESCU

Secţiuni: Articole, Cyberlaw, Data protection, Opinii, Selected
JURIDICE - In Law We Trust
Răzvan Nicolae Popescu

Răzvan Nicolae Popescu

« Protecția datelor cu caracter personal pe înțelesul tuturor. Caiet de seminar – nr. 1/2022

1. Preambul

Prezentul articol face parte din initiativa noastra “Protectia datelor cu caracter personal pe intelesul tuturor“ si se doreste a fi un material de familiarizare a oricaror persoane interesate, juristi sau nu, cu privire la modul in care legislatia privind protectia datelor cu caracter personal se interpreteaza si se aplica in practica.

Materialul este structurat astfel: (i) o situatie de fapt ipotetica sau nu (J) si (ii) o lista de intrebari si raspunsuri argumentate prin raportare la situatia de fapt, normele juridice aplicabile, considerentele unor hotarari judecatoresti pronuntate de Curtea Europeana de Justitie, hotarari obligatorii intocmai ca si legea.

Sunt prezentate informatii referitoare la:

(3.1.) daca informatiile referitoare la o anumita persoana, mai precis numele, prenumele, sumele de bani primite in decursul unui an si semnificatia sumelor primite reprezinta date cu caracter personal; (3.2) daca angajatorii (din domeniul public sau privat) ar trebui sa considere salariul, primele, bonusurile si pensiile ca fiind date cu caracter personal, (3.3 si 3.4) daca inregistrarea de catre un angajator a sumelor de bani platite catre proprii angajati reprezinta o prelucrare a datelor cu caracter personal, ( .5 si 3.6) daca transmiterea datelor de catre un angajator catre un tert reprezinta o prelucrare de date si daca publicarea acestora de catre tert reprezinta o prelucrare de date sau nu, (3.7) daca autoritatile sau institutiile statului au temeiuri juridice care sa le permita prelucrarea datelor, (3.8) daca un angajator poate sa prelucreze datele angajatilor fara consimtamantul acestora, (3.9 si 3.10) care sunt conditiile pe care orice prelucrare de date trebuie sa le indeplineasca in principiu.

2. Situatia de fapt

La nivelul anului 2000 in Romania a intrat in vigoarea Legea nr. X/2000.

Potrivit art. 1 alin. 1 din Legea nr. X/2000 scopul legii consta in asigurarea cheltuirii banilor publici intr-un mod transparent si rezonabil.

In vederea atingerii scopului legii, art. 2 din acelasi act normativ impune obligatia tuturor autoritatilor / institutiilor publice care pot fi controlate de Curtea de Conturi a Romaniei sa comunice anual catre Parlamentul Romaniei informatii referitoare la persoanele care in decursul unui an calendaristic au primit sume de bani ce depasesc de 30 de ori nivelul salariului mediu brut pe economie.

Sunt vizate sumele de bani platite cu orice fel de titlu (ex. salarii, sporuri, prime, pensii etc.).

In acest sens, la finalul fiecarui an calendaristic toate autoritatile / institutiile publice care pot fi controlate de Curtea de Conturi a Romaniei transmit catre Parlamentul Romaniei liste care identifica persoanele ce au primit bani peste plafonul expus anterior.

Listele cuprind: numele si prenumele persoanelor, sumele primite in decursul anului si semnificatia sumelor platite (ex. salarii, sporuri, pensii etc.).

Parlamentul Romaniei intocmeste pe baza listelor un raport anual care este oferit spre consultare publicului larg. Raportul cuprinde toate informatiile din listele primite (ex. nume, prenume, nivelul sumelor platite, semnificatia sumelor etc.).

Legea nr. X/2000 nu prevede in mod expres ca autoritatile / institutiile publice sunt obligate sa furnizeze Parlamentului Romaniei numele si prenumele persoanelor vizate, aceasta masura fiind o interpretare a legii din partea autoritatilor statale.

La nivelul anului 2022, una din autoritatile statului (Institutul A), careia ii revine obligatia de transmitere a datelor expuse mai sus, refuza comunicarea informatiilor catre Parlamentul Romaniei, apreciind ca Legea nr. X/2000 incalca legislatia privind protectia datelor cu caracter personal.

Fata de aceasta imprejurare Curtea de Conturi a Romaniei initiaza un control la Institutul A, control in care se pun in discutie intrebarile expuse in continuare.

3. Intrebari & raspunsuri

3.1. Informatiile referitoare la o anumita persoana, mai precis numele, prenumele, sumele de bani primite in decursul unui an si semnificatia sumelor primite reprezinta date cu caracter personal?

Raspuns: categoric da

De ce:

· potrivit art. 4 pct. 1 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European prin notiunea de date cu caracter personal se inteleg orice fel de informatii care pot conduce la identificarea unei persoane fizice (ex. un nume, un element specific identitatii economice – cum ar putea fi nivelul unei sume de bani primite, semnificatia banilor primiti etc.);

· notiunea de date cu caracter personal se interpreteaza in mod extensiv astfel incat sa acopere orice fel de informatie, de orice natura, care ar putea sa conduca la identificarea unei persoane fizice;

· utilizand numele si prenumele + suma de bani primita + semnificatia sumei de bani primite + institutia / autoritatea publica care a efectuat plata se poate realiza identificarea unica si precisa a unei persoane fizice (persoana care a primit banii);

· Curtea Europeana de Justitie (actualmente Curtea de Justitie a Uniunii Europene) a stabilit deja ca informatii precum banii primiti de o anumita persoana, precum si semnificatia acestora (ex. salarii, pensii) impreuna cu mentionarea persoanei care primeste acesti bani reprezinta date cu caracte personal (a se vedea par. 64 din Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00));

· hotararile pronuntate de C.E.J. (actualmente C.J.U.E.) privind interpretarea si aplicarea dreptului Uniunii Europene sunt obligatorii intocmai ca si actele normative interpretate.

3.2. Angajatorii (din domeniul public sau privat) ar trebui sa considere salariul, primele, bonusurile si pensiile ca fiind date cu caracter personal?

Raspuns: categoric da.

De ce:

· definitia legala a notiunii de “date cu caracter personal“, stabilita de art. 4 pct. 1 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European vorbeste de “orice“ fel de informatii care pot conduce la identificarea unei persoane fizice („date cu caracter personal” înseamnă orice informaţii privind o persoană fizică…);

· deoarece textul legal vorbeste de “orice“ informatii privind o persoana fizica notiunea de “date cu caracter personal“ trebuie interpretata in mod extensiv;

· textul legal nu prevede niciun fel de exceptii referitoare la informatiile legate de locul de munca al unei persoane fizice, sens in care informatiile referitoare la locul de munca pot reprezenta date cu caracter personal;

· salariul unei persoane este o data cu caracter personal deoarece raspunde la intrebarea “Cine primeste aceasta suma de bani de la acest angajator?“ caz in care poate servi la identificarea unei persoane fizice (salariatul);

· in acelasi sens, orice alte sume de bani platite unui salariat (ex. prime, bonusuri, zile de concediu neefectuate, pensii etc.), deoarece raspund la aceeasi intrebare (Cine a primit aceste sume de bani?) reprezinta date cu caracter personal deoarece pot conduce la identificarea unei persoane fizice (salariatul in cauza);

· faptul ca informatiile referitoare la sumele de bani platite de un angajator catre un angajat sunt generate in contextul raporturilor de munca nu este in masura sa atraga inaplicabilitatea legislatiei privind protectia datelor cu caracter personal.

3.3. Inregistrarea de catre Institutul A a sumelor de bani platite catre proprii angajati reprezinta o prelucrare a datelor cu caracter personal?

Raspuns: categoric da.

De ce:

· notiunea de “prelucrare“ a datelor cu caracter personal este definita de art. 4 pct. 2 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European ca fiind orice fel de operatiune asupra datelor (ex. inregistrarea);

· fata de faptul ca notiunea de prelucrare este definita folosind cuvantul “orice“ operatiune / set de operatiuni aceasta notiune trebuie interpretata in mod extensiv pentru a acoperi chiar orice fel de operatiune asupra datelor;

· inregistrarea unor date cu caracter personal (ex. intr-o baza de date, intr-un document etc.) reprezinta o prelucrare a datelor cu caracter personal;

· faptul ca simpla inregistrare a datelor reprezinta o prelucrare, in sensul legislatiei privind protectia datelor cu caracter personal, a fost deja stabilit de C.E.J. (actualmente C.J.U.E.) (a se vedea par. 64 din Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof C-465/00));

· hotararile pronuntate de C.E.J. (actualmente C.J.U.E.) privind interpretarea si aplicarea dreptului Uniunii Europene sunt obligatorii intocmai ca si actele normative interpretate.

3.4. Ca regula generala, inregistrarea de catre un angajator (din domeniul public / privat) a sumelor de bani platite angajatilor reprezinta o prelucrare de date cu caracter personal?

Raspuns: in principiu da.

De ce:

· pentru ca ori de cate ori nu ne vom afla in fata unei exceptii de la aplicarea legislatiei privind protectia datelor cu caracter personal (exceptiile sunt stabilite fie prin dreptul nostru national, fie prin dreptul Uniunii Europene) rationamentul prezentat ca raspuns la intrebarea precedenta isi pastreaza eficienta.

3.5. Daca Institutul A ar fi transmis datele catre Parlamentul Romaniei, iar acesta din urma le-ar fi cuprins in raportul anual, am fi fost in prezenta unor prelucrari de date cu caracter personal?

Raspuns: categoric da.

De ce:

· notiunea de “prelucrare“ a datelor cu caracter personal este definita de art. 4 pct. 2 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European ca fiind orice fel de operatiune asupra datelor (ex. divulgarea prin transmitere, punerea la dispozitie in orice mod – prin publicarea in cadrul unui raport destinat publicului larg etc.);

· fata de faptul ca notiunea de prelucrare este definita folosind cuvantul “ orice “ operatiune / set de operatiuni aceasta notiune trebuie interpretata in mod extensiv pentru a acoperi, in mod real, chiar orice fel de operatiune asupra datelor, inclusiv transmiterea sau publicarea datelor;

· faptul ca transmiterea datelor, respectiv publicarea acestora, reprezinta prelucrari de date cu caracter personal, in sensul legislatiei privind protectia datelor cu caracter personal, a fost deja stabilit de C.E.J. (actualmente C.J.U.E.) (a se vedea par. 64 din Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00));

· hotararile pronuntate de C.E.J. (actualmente C.J.U.E.) privind interpretarea si aplicarea dreptului Uniunii Europene sunt obligatorii intocmai ca si actele normative interpretate.

3.6. Ca regula generala, transmiterea de catre un angajator (din domeniul public / privat) a unor informatii referitoare la proprii angajati (ex. nume, prenume, sume de bani platite, semnificatia sumelor) catre o autoritate / institutie publica reprezinta o prelucrare de date cu caracter personal?

Raspuns: in principiu da.

De ce:

· pentru ca, ori de cate ori, nu ne vom afla in fata unei exceptii de la aplicarea legislatiei privind protectia datelor cu caracter personal (exceptiile sunt stabilite fie prin dreptul nostru intern, fie prin dreptul Uniunii Europene) rationamentul prezentat ca raspuns la intrebarea precedenta isi pastreaza eficienta.

3.7. In speta, autoritatile / institutiile statului au vreun temei juridic care sa le permita prelucrarea datelor cu caracter personal (au voie sa prelucreze datele)?

Raspuns: in principiu da.

De ce:

· orice prelucrare de date cu caracter personal trebuie sa aiba la baza un temei juridic (adica un motiv legal care sa permita prelucrarea datelor);

· pentru datele din speta lista cu temeiurile juridice este data de art. 6 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· este suficient sa existe un singur temei juridic care sa permita prelucrarea;

· in speta, fata de faptul ca Legea nr. X/2000 impune obligatia autoritatilor / institutiilor publice de a colecta si transmite datele catre Parlamentul Romaniei, temeiul juridic ar putea consta in “necesitatea indeplinirii unei obligatii legale“, temei prevazut de art. 6 alin. 1 lit. c din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· totodata, fata de scopul Legii nr. X/2000 (cheltuirea rezonabila a banilor publici), temeiul juridic ar putea consta si in “necesitatea indeplinirii unei sarcini care serveste unui interes public“, temei prevazut de art. 6 alin. 1 lit. e din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· faptul ca, in principiu, orice prelucrare a datelor cu caracter personal trebuie sa aiba la baza un temei juridic a fost deja stabilit de C.E.J. (actualmente C.J.U.E.) (a se vedea par. 65 din Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00));

· hotararile pronuntate de C.E.J. (actualmente C.J.U.E.) privind interpretarea si aplicarea dreptului Uniunii Europene sunt obligatorii intocmai ca si actele normative interpretate.

3.8. Ca regula generala, un angajator poate sa prelucreze datele cu caracter personal ale propriilor sai angajati fara consimtamantul acestora?

Raspuns: in principiu da.

De ce:

· potrivit art. 6 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European este suficient un singur temei juridic care sa permita prelucrarea datelor pentru ca prelucrarea sa poata fi considerata legala, din aceasta perspectiva;

· consimtamantul persoanei vizate (adica al persoanei ale carei date sunt prelucrate) reprezinta doar unul dintre temeiurile juridice care pot justifica prelucrarea datelor;

· exista o serie de temeiuri juridice care pot permite angajatorilor sa prelucreze datele cu caracter personal ale propriilor angajati (ex. necesitatea indeplinirii unei obligatii legale constand in intocmirea si pastrarea contractului de munca, a statului de salarii sau a documentelor financiar – contabile etc.);

· in privinta datelor sensibile (ex. date privind starea de sanatate) temeiul juridic trebuie gasit intre cele prevazute de art. 9 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· si in privinta datelor sensibile consimtamantul persoanei vizate reprezinta doar unul dintre temeiurile juridice care pot justifica prelucrarea datelor;

· Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European nu impune angajatorilor luarea consimtamantului angajatilor in vederea prelucrarii datelor cu caracter personal;

· este recomandat ca angajatorii sa foloseasca consimtamantul angajatilor ca fundament al prelucrarii numai in masura in care nu gasesc un alt temei juridic care sa le permita prelucrarea datelor.

3.9. In speta, autoritatile / institutiile statului sunt tinute sa respecte principiile de prelucrare a datelor (art. 5 din Regulament)?

Raspuns: in principiu da.

De ce:

· ca regula generala orice prelucrare de date cu caracter personal trebuie sa indeplineasca doua conditii principale: (i) sa aiba la baza un temei juridic si (ii) sa indeplineasca cumulativ toate principiile de prelucrare a datelor cu caracter personal;

· mai concret, este necesar ca orice prelucrare sa aiba la baza unul din temeiurile juridice expuse de art. 6, art. 9 sau alta norma juridica care fundamenteaza o prelucrare din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European (ex. art. 49 alin. 1 etc.) si, in acelasi timp, sa indeplineasca toate principiile de prelucrare a datelor astfel cum acestea sunt stabilite prin art. 5 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· faptul ca, ca regula generala, orice prelucrare a datelor cu caracter personal trebuie sa aiba la baza un fundament juridic si, in acelasi timp, sa respecte principiile de prelucrare a datelor a fost deja stabilit de C.E.J. (actualmente C.J.U.E.) (a se vedea par. 65 din Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00));

· hotararile pronuntate de C.E.J. (actualmente C.J.U.E.) privind interpretarea si aplicarea dreptului Uniunii Europene sunt obligatorii intocmai ca si actele normative interpretate;

· existenta unui temei juridic nu inseamna automat ca prelucrarea datelor este una legala, fiind necesar ca respectiva prelucrare sa intruneasca si toate conditiile impuse de art. 5 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· cu alte cuvinte, faptul ca o institutie / autoritate publica este obligata de lege sa prelucreze anumite date cu caracter personal nu inseamna ca prelucrarea se va realiza oricum si in orice conditii, ci numai cu respectarea stricta a principiilor de prelucrare a datelor, astfel cum acestea sunt impuse de art. 5 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· in acest sens (de ex.) datele vor fi prelucrate in mod transparent (ex. cu informarea persoanei vizate), datele vor fi colectate numai in scopuri determinate, explicite si legitime (ex. in scopul indeplinirii unei obligatii legale), vor fi colectate numai datele necesare indeplinirii scopului impus de lege (ex. nu vor fi colectate mai multe date decat cele necesare furnizarii informatiilor impuse de lege) etc.

3.10. Ca regula generala, in situatiile in care legea impune anumitor angajatori (din domeniul public sau privat) sa prelucreze anumite date cu caracter personal ale propriilor angajati, angajatorii sunt tinuti sa respecte principiile de prelucrare a datelor (art. 5 din Regulament)?

Raspuns: categoric da.

De ce:

· dupa cum am mentionat si anterior, orice prelucrare a datelor cu caracter personal trebuie sa aiba la baza un temei juridic si sa indeplineasca toate principiile de prelucrare a datelor, astfel cum acestea sunt stabilite prin art. 5 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· exceptiile de la regulile expuse la pct. precedent pot fi stabilite fie prin dreptul intern al fiecarui stat membru al U.E., fie prin dreptul U.E., astfel cum rezulta din interpretarea prevederilor art. 23 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· daca nu exista exceptii impuse de lege, orice angajator trebuie sa respecte toate principiile de prelucrare a datelor cu caracter personal, astfel cum acestea sunt stabilite prin art. 5 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European.

La baza formularii prezentului material au fost folosite dispozitiile legale din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European, precum si considerentele Hotararii pronuntate de C.E.J. (actualmente C.J.U.E.) din 20.05.2003, in cauzele conexate C-465/00, C-138/01 si C-139/01, cauze intitulate Rechnungshof C-465/00, care desi este pronuntata in interpretarea vechii legislatii privind protectia datelor cu caracter personal isi mentine efectele juridice obligatorii.

Revenim cu materiale noi, in timp util.

Av. Răzvan Nicolae Popescu, Partener DUMITRU POPESCU ȘI ASOCIAȚII SPARL
Membru al DPA Legal Team

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti