Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

Protecția datelor cu caracter personal pe înțelesul tuturor. Caiet de seminar – nr. 3/2022
28.07.2022 | Răzvan Nicolae POPESCU

Secţiuni: Cyberlaw, Data protection, Opinii, Selected
JURIDICE - In Law We Trust
Răzvan Nicolae Popescu

Răzvan Nicolae Popescu

« Caiet de seminar – nr. 2/2022

1. Preambul

Prezentul articol face parte din initiativa noastra “Protectia datelor cu caracter personal pe intelesul tuturor“ si se doreste a fi un material de familiarizare a oricaror persoane interesate, juristi sau nu, cu privire la modul in care legislatia privind protectia datelor cu caracter personal se interpreteaza si se aplica in practica.

Materialul este structurat astfel: (i) o situatie de fapt ipotetica sau nu (J) si (ii) o lista de intrebari si raspunsuri argumentate prin raportare la situatia de fapt, normele juridice aplicabile, considerentele unor hotarari judecatoresti pronuntate de Curtea Europeana de Justitie, hotarari obligatorii intocmai ca si legea.

Sunt prezentate informatii referitoare la:

(3.1) interpretarea si aplicarea legislatiei privind protectia datelor cu caracter personal in concordanta cu drepturile si libertatile fundamentale ale cetatenilor (3.2) informatii privind dreptul fundamental la protectia datelor cu caracter personal ca fiind un drept absolut sau supus unor limitari (3.3) stabilirea daca prelucrarea anumitor informatii privind veniturile dintr-o activitate profesionala poate sau nu sa reprezinte o atingere aduse dreptului la viata privata (3.4) conditiile pe care o lege care impune prelucrarea datelor trebuie sa le indeplineasca pentru a servi drept fundament juridic in prelucrarea datelor.

2. Situatia de fapt

La nivelul anului 2000 in Romania a intrat in vigoarea Legea nr. X/2000.

Potrivit art. 1 alin. 1 din Legea nr. X/2000 scopul legii consta in asigurarea cheltuirii banilor publici intr-un mod transparent si rezonabil.

In vederea atingerii scopului legii, art. 2 din acelasi act normativ impune obligatia tuturor autoritatilor / institutiilor publice care pot fi controlate de Curtea de Conturi a Romaniei sa comunice anual catre Parlamentul Romaniei informatii referitoare la persoanele care in decursul unui an calendaristic au primit sume de bani ce depasesc de 30 de ori nivelul salariului mediu brut pe economie.

Sunt vizate sumele de bani platite cu orice fel de titlu (ex. salarii, sporuri, prime, pensii etc).

In acest sens, la finalul fiecarui an calendaristic toate autoritatile / institutiile publice care pot fi controlate de Curtea de Conturi a Romaniei transmit catre Parlamentul Romaniei liste care identifica persoanele ce au primit bani peste plafonul expus anterior.

Listele cuprind: numele si prenumele persoanelor, sumele primite in decursul anului si semnificatia sumelor platite (ex. salarii, sporuri, pensii etc.).

Parlamentul Romaniei intocmeste pe baza listelor un raport anual care este oferit spre consultare publicului larg. Raportul cuprinde toate informatiile din listele primite (ex. nume, prenume, nivelul sumelor platite, semnificatia sumelor etc.).

Legea nr. X/2000 nu prevede in mod expres ca autoritatile / institutiile publice sunt obligate sa furnizeze Parlamentului Romaniei numele si prenumele persoanelor vizate, aceasta masura fiind o interpretare a legii din partea autoritatilor statale.

La nivelul anului 2022, una din autoritatile statului (Institutul A), careia ii revine obligatia de transmitere a datelor expuse mai sus, refuza comunicarea informatiilor catre Parlamentul Romaniei, apreciind ca Legea nr. X/2000 incalca legislatia privind protectia datelor cu caracter personal.

Fata de aceasta imprejurare Curtea de Conturi a Romaniei initiaza un control la Institutul A, control in care se pun in discutie intrebarile expuse in continuare.

3. Intrebari & raspunsuri

3.1. Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European se interpreteaza si aplica in conformitate cu drepturile fundamentale ale cetatenilor Uniunii Europene (ex. dreptul la protectia datelor, dreptul la viata privata)?

Raspuns: categoric da

De ce:

· potrivit art. 6 alin. 1 din Tratatul privind Uniunea Europeana (TUE) Uniunea Europeana recunoaste drepturile, libertatile si principiile prevazute in Carta Drepturilor Fundamentale a Uniunii Europene (Carta);[1]

· potrivit aceleiasi norme juridice Carta are aceeasi valoare juridica cu cea a tratatelor (n.s. tratatelor privind infiintarea si functionarea Uniunii Europene);

· potrivit art. 7 din Carta orice persoana fizica are dreptul la viata privata, deci dreptul la viata privata este un drept fundamental al cetatenilor Uniunii Europene;[2]

· potrivit art. 8 din Carta orice persoana fizica are dreptul la protectia datelor sale cu caracter personal, deci dreptul la protectia datelor cu caracter personal este un drept fundamental al cetatenilor Uniunii Europene;[3]

· potrivit art. 16 din Tratatul privind Functionarea Uniunii Europene (TFUE) orice persoana fizica are dreptul la protectia datelor cu caracter personal care o privesc;

· potrivit par. 2 teza I din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European toate normele privind protectia datelor cu caracter personal trebuie sa respecte drepturile si libertatile fundamentale (n.s. dreptul la viata privata, dreptul la protectia datelor etc);[4]

· potrivit par. 4 teza a II – a din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European acest act normativ respecta toate drepturile si libertatile fundamentale recunoscute prin Carta, in special dreptul la viata privata si dreptul la protectia datelor;[5]

· potrivit art. 1 alin. 2 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European unul din scopurile acestui act normativ consta in asigurarea protectiei drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului fundamental la protectia datelor;[6]

· Curtea Europeana de Justitie (actualmente Curtea de Justitie a Uniunii Europene) a stabilit deja ca legislatia ce priveste prelucrarea datelor cu caracter personal, care ar putea interfera cu drepturile fundamentale, in special cu dreptul la viata privata, se va interpreta in lumina regulilor impuse de dreptul fundamental la viata privata (a se vedea par. 68 din Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00);

· hotararile pronuntate de C.E.J. (actualmente C.J.U.E.) privind interpretarea si aplicarea dreptului Uniunii Europene sunt obligatorii intocmai ca si actele normative interpretate;

· din moment ce dreptul la protectia datelor cu caracter personal este un drept fundamental orice legislatie privitoare la prelucrarea datelor trebuie interpretata si aplicata in conformitate cu regulile instituite de acest drept fundamental;

· acesta este si motivul pentru care Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European prevede in mai multe randuri ca: (i) regulamentul respecta drepturile fundamentale, (ii) regulamentul are ca scop protejarea drepturilor fundamentale, in special a dreptului la viata privata si a dreptului la protectia datelor cu caracter personal.

3.2. Dreptul la protectia datelor cu caracter personal este un drept absolut sau poate fi supus, in conditiile legii, unor limitari?

Raspuns: dreptul la protectia datelor cu caracter personal nu este un drept absolut, motiv pentru care el poate fi supus, in conditiile prescrise de lege, unor limitari (restrangeri)

De ce:

· prin art. 8 din Carta drepturilor fundamentale a Uniunii Europene (Carta) se recunoaste dreptul la protectia datelor cu caracter personal ca fiind un drept fundamental;

· potrivit art. 52 alin. 1 din Carta orice drept fundamental poate fi supus unei restrangeri (limitari), aspect din care rezulta ca dreptul la protectia datelor cu caracter personal nu este unul absolut (care sa nu poata comporta nicio restrangere);[7]

· potrivit par. 4 teza I din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European dreptul la protectia datelor cu caracter personal nu este un drept absolut, acesta urmand a fi luat in considerare (n.s. interpretat si aplicat) in corelatie cu functia pe care o indeplineste in societate si cu celelalte drepturi fundamentale;[8]

· potrivit art. 52 alin. 1 din Carta dreptul fundamental la protectia datelor cu caracter personal poate fi supus unei restrangeri prin intermediul unui act normativ care respecta substanta acestui drept;

· potrivit art. 52 alin. 1 din Carta orice restrangere a dreptului fundamental la protectia datelor cu caracter personal trebuie sa indeplineasca in mod cumulativ urmatoarele conditii: (i) restrangerea sa indeplineasca cerintele proportionalitatii, (ii) restrangerea sa fie necesara, (iii) restrangerea sa fie in masura sa raspunda efectiv obiectivelor de interes general recunoscute de U.E. sau necesitatii protejarii drepturilor si libertatilor celorlalti;

· in concluzie dreptul la protectia datelor cu caracter personal este un drept fundamental insa nu este un drept absolut, el putand fi supus unor limitari (restrangeri) in conditiile legii (ex. sa existe o lege care sa impuna limitarile, limitarile sa fie necesare etc.).

3.3. Colectarea informatiilor referitoare la veniturile unei persoane (nume, prenume, nivel sume, justificare sume) in scopul transmiterii catre terti (ex. autoritati / institutii publice) reprezinta o interferenta in dreptul la viata privata?

Raspuns: da

De ce:

· potrivit art. 7 din Carta orice persoana are dreptul la viata privata;

· potrivit art. 8 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale (CEDO) orice persoana are dreptul la viata privata;

· fiind reglementat atat prin Carta, cat si prin CEDO dreptul la viata privata este un drept fundamental;

· calificarea dreptului la viata privata ca fiind un drept fundamental este recunoscuta si prin art. 26 alin. 1 din Constitutia Romaniei;[9]

· potrivit jurisprudentei Curtii Europene a Drepturilor Omului (Curtea EDO) notiunea de viata privata include si aspectele din viata profesionala a persoanelor;[10]

· potrivit jurisprudentei Curtii Europene de Justitie (actualmente C.J.U.E.) notiunea de viata privata include si aspectele legate de viata profesionala a persoanelor fizice;[11]

· simpla inregistrare de catre un angajator a sumelor platite catre un angajat nu reprezinta o restrangere a vietii private, in schimb, transmiterea acestor informatii catre o autoritate / institutie publica reprezinta o restrangere a vietii private, in acest sens fiind jurisprudenta C.J.U.E.;[12]

· in concluzie, prelucrarea anumitor informatii referitoare la activitatea profesionala a unei persoane fizice, sub forma colectarii si transmiterii catre anumite autoritati / institutii publice, reprezinta o ingerinta (limitare / restrangere) a dreptului la viata privata.

3.4. Din moment ce prelucrarea unor date cu caracter personal este impusa printr-un act normativ nu devine evident ca prelucrarea are o baza legala (adica o justificare impusa direct prinlege)?

Raspuns: categoric nu

De ce:

· potrivit art. 5 alin. 1 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European datele cu caracter personal trebuie prelucrate in mod legal;

· prelucrarea in mod legal a datelor implica (cel putin) existenta unui temei juridic care sa fundamenteze prelucrarea;

· temeiurile juridice care pot fundamenta prelucrarea datelor cu caracter personal sunt stabilite prin art. 6 (datele normale) si art. 9 (datele sensibile) din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European;

· pentru a fi in prezenta unei prelucrari legale trebuie sa existe cel putin un temei juridic care sa fundamenteze respectiva prelucrare;

· printre temeiurile juridice care pot fundamenta prelucrarea datelor se numara si legea (ex. art. 6 alin. 1 lit. c din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European vorbeste de necesitatea indeplinirii unei obligatii legale ce ii revine operatorului (n.s. deci legea impune operatorului sa prelucreze anumite date));

· cu alte cuvinte, in anumite situatii, exista posibilitatea ca legea sa impuna prelucrarea datelor cu caracter personal;

· simplul fapt ca exista o lege care impune prelucrarea datelor cu caracter personal nu este suficient pentru a ajunge la concluzia ca exista un fundament juridic care sa permita prelucrarea sau ca prelucrarea impusa prin lege este 100% legala;

· dupa cum am mentionat si anterior dreptul la protectia datelor cu caracter personal este un drept fundamental, astfel cum rezulta din interpretarea prevederilor art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene (Carta),  art. 16 din Tratatul privind Functionarea Uniunii Europene (TFUE), par. 4 teza a II – a din preambulul Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European si art. 1 alin. 2 din acelasi act normativ;

· orice restrangere (limitare / ingerinta) a unui drept fundamental (deci si a dreptului la protectia datelor cu caracter personal) trebuie sa respecte cerintele art. 52 din Carta (ex. sa fie stabilita prin lege);

· orice lege care restrange un drept fundamental trebuie sa indeplineasca o serie de conditii;

· potrivit art. 6 alin. 3 din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European temeiurile juridice privind prelucrarea datelor (indeplinirea unei obligatii legale, respectiv indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul) trebuie sa fie prevazute intr-un act nomativ;

· potrivit par. 41 din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European, ori de cate ori, legea va fi cea care impune prelucrarea datelor cu caracter personal, aceasta trebuie sa indeplineasca anumite cerinte de accesibilitate si previzibilitate (n.s. adica persoanele carora li se adreseaza sa poata intelege ce comportament pot adopta si de ce);[13]

· potrivit art. 6 alin. 3 teza finala din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European atunci cand legea impune prelucrarea datelor, respectiva lege trebuie sa urmareasca un obiectiv de interes public si sa fie proportionala cu obiectivul legitim urmarit;

· din analiza coroborata a celor expuse anterior rezulta ca o lege care impune prelucrarea datelor cu caracter personal trebuie sa indeplineasca in mod cumulativ o serie de conditii: (i) sa fie accesibila, (ii) sa fie previzibila, (iv) sa urmareasca un obiectiv de interes public, (iv) sa respecte principiul proportionalitatii – restrangerea dreptului sa fie proportionala cu obiectivul urmarit;

· in acelasi sens este si practica Curtii Europene de Justitie (actualmente C.J.U.E.);[14]

· in masura in care o lege care impune prelucrarea datelor cu caracter personal nu este accesibila si/sau nu este previzibila si/sau nu urmareste un obiectiv de interes public si/sau nu respecta principiul proportionalitatii aceasta nu poate sa serveasca drept fundament pentru prelucrarea datelor cu caracter personal, caz in care prelucrarea in baza acesteia nu poate sa fie considerata legala;

· ori de cate ori o lege nu satisface cerintele in functie de care poate opera o restrangere a unui drept fundamental, respectiva lege nu poate fi catalogata ca fiind o restrangere realizata in conditiile legii, caz in care nu poate justifica o atingere adusa unui drept fundamental;

· Curtea Europenea de Justitie (actualmente C.J.U.E.) a stabilit ca in masura in care o lege este incompatibila cu cerintele impuse de art. 8 CEDO aceasta nu respecta cerintele privind existenta unui fundament legal care sa permita prelucrarea datelor cu caracter personal;[15]

· cu alte cuvinte, simpla existenta a unei legi care sa impuna prelucrarea datelor cu caracter personal nu este suficienta pentru a asigura o prelucrare legala;

· pentru a fi in prezenta unei prelucrari legale in baza cerintelor impuse de o lege, respectiva lege trebuie sa treaca urmatorul test: (i) sa fie accesibila, (ii) sa fie previzibila, (iii) sa urmareasca un obiectiv de interes public, (iv) sa respecte testul proportionalitatii;

· daca legea trece testul expus mai sus concluzia este in sensul ca exista un fundament juridic care sa permita prelucrarea datelor cu caracter personal;

· daca legea nu trece testul expus mai sus concluzia este in sensul ca aceasta nu reprezinta un fundament juridic care sa permita prelucrarea datelor cu caracter personal;

· cu alte cuvinte, in practica, pot exista situatii cand diverse acte normative (ex. legi, ordonante de urgenta, hotarari de guvern, ordine etc.) sa fie in vigoare si sa impuna prelucrarea anumitor categorii de date cu caracter personal, insa, fata de neindeplinirea conditiilor in care poate opera o restrangere a unui drept fundamental, respectivele acte normative sa nu poata fi considerate temeiuri juridice valabile care sa permita prelucrarea, caz in care prelucrarea sa fie in mod manifest nelegala.

La baza formularii prezentului material au fost folosite dispozitiile legale din Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European, precum si considerentele Hotararii pronuntate de C.E.J. (actualmente C.J.U.E.) din 20.05.2003, in cauzele conexate C-465/00, C-138/01 si C-139/01, cauze intitulate Rechnungshof C-465/00, care desi este pronuntata in interpretarea vechii legislatii privind protectia datelor cu caracter personal isi mentine efectele juridice obligatorii.

Revenim cu materiale noi, in timp util.


[1] Art. 6 alin. 1 din TUE: Uniunea recunoaşte drepturile, libertăţile şi principiile prevăzute în Carta drepturilor fundamentale a Uniunii Europene din 7 decembrie 2000, astfel cum a fost adaptată la 12 decembrie 2007, la Strasbourg, care are aceeaşi valoare juridică cu cea a tratatelor.
[2] Art. 7 din Carta: Orice persoană are dreptul la respectarea vieţii private şi de familie, a domiciliului şi a secretului comunicaţiilor.
[3] Art. 8 alin. 1 din Carta: Orice persoană are dreptul la protecţia datelor cu caracter personal care o privesc.
[4] Paragraful 2 teza I din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European: Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal.
[5] Paragraful 4 teza a II – a din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European: Prezentul regulament respectă toate drepturile fundamentale şi libertăţile şi principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieţii private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertăţii de gândire, de conştiinţă şi de religie, a libertăţii de exprimare şi de informare, a libertăţii de a desfăşura o activitate comercială, dreptul la o cale de atac eficientă şi la un proces echitabil, precum şi diversitatea culturală, religioasă şi lingvistică.
[6] Art. 1 alin 2 Regulamentul nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European: Prezentul regulament asigură protecţia drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi în special a dreptului acestora la protecţia datelor cu caracter personal.
[7] Art. 52 alin. 1 din Carta: Orice restrângere a exerciţiului drepturilor şi libertăţilor recunoscute prin prezenta cartă trebuie să fie prevăzută de lege şi să respecte substanţa acestor drepturi şi libertăţi. Prin respectarea principiului proporţionalităţii, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare şi numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesităţii protejării drepturilor şi libertăţilor celorlalţi.
[8] Par. 4 teza I din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European: Dreptul la protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporţionalităţii.
[9] Art. 26 alin. 1 din Constitutia Romaniei: Autorităţile publice respectă şi ocrotesc viaţa intimă, familială şi privată.
[10] Cauza Amann vs. Elvetia, nr. 27798/95, par. 65, ECHR 2000 – II; Cauza Rotaru vs. Romania, nr. 28341/95, par. 43, ECHR 2000 – V
[11] Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00), par. 73
[12] Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00), par. 74
[13] Par. 41 din preambulul Regulamentului nr. 679/2016 al Consiliului Uniunii Europene si Parlamentului European: Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerinţelor care decurg din ordinea constituţională a statului membru în cauză. Cu toate acestea, un astfel de temei juridic sau o astfel de măsură legislativă ar trebui să fie clară şi precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru persoanele vizate de aceasta, în conformitate cu jurisprudenţa Curţii de Justiţie a Uniunii Europene („Curtea de Justiţie”) şi a Curţii Europene a Drepturilor Omului.
[14] Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00), par. 77, 79, 80, 82, 83, 86, 88
[15] Hotararea C.E.J. din 20.05.2003, pronuntata in cauzele conexate C-465/00, C-138/01 si C-139/01, cauza intitulata Rechnungshof (C-465/00), par. 91


Av. Răzvan Nicolae Popescu, Partener DUMITRU POPESCU ȘI ASOCIAȚII SPARL
Membru al DPA Legal Team

Cuvinte cheie: , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti