Uniunea Europeana

Necesitatea asigurării unei protecții adecvate a datelor cu caracter personal ale persoanelor fizice. O primă analiză privind evaluarea riscului iminent al unei amenzi substanțiale pentru neconformarea operatorilor la cerințele “GDPR” prin raportare la legalitatea prelucrării datelor personale

20 septembrie 2019

access-algorithm-binary-193349

Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal a informat în ultima perioadă că a aplicat sancțiuni pentru nerespectarea Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor). Comunicatul privind aceste sancțiuni a trezit din amorțeală operatorii de date cu caracter personal, i-a făcut să conștientizeze pericolul unei amenzi și cel mai important, i-a determinat să solicite ajutorul persoanelor specializate în acest domeniu pentru că, în definitiv, o amendă care poate ajunge chiar până la 200.000 lei va afecta serios activitatea operatorului. Mult mai important este că, deși exista un cadru legal pentru protecția datelor cu caracter personal, deși Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal există încă din anul 2005, nu a fost acordată atenția necesară acestor prevederi.

În timp ce drepturile noastre fundamentale, respectiv dreptul la viață privată, dreptul la protecția datelor cu caracter personal, erau încălcate de către operatorii de date, fără opreliști din partea autorităților, cu toții ne-am mulțumit să obținem rezultatul dorit fără a mai analiza în ce măsură ne sunt respectate drepturile. Or, mă întreb, raportat la respectarea drepturilor fiecăruia dintre noi, care este prima persoană responsabilă să întreprindă orice demers pentru apărarea acestor drepturi?

Evoluția tehnologiei într-un ritm mult mai alert decât ne-am fi așteptat poate mulți dintre noi, devine o sarcină greoaie care pune multe semne de întrebare în sfera juridică raportat la protecția fiecărei persoane fizice, devenind tot mai pregnantă întrebarea: În ce măsură ne putem asigura respectarea acestor drepturi?

La sfârșitul lunii august a acestui an, Autoritatea Suedeză de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat aplicarea primei sancțiuni[1], respectiv amendarea unei școli din nordul Suediei, cu suma de aproximativ 20.000 euro, pentru utilizarea unui sistem de recunoaștere facială a elevilor cu ajutorul căruia era monitorizată prezența acestora la cursuri. Astfel, școala a utilizat date biometrice[2] sensibile invocând ca temei al prelucrării datelor cu caracter personal consimtământul persoanei vizate, fără a consulta Autoritatea de Supraveghere mai înainte, aceasta din urmă reținând că nu putea exista un consimțământ valid, dată fiind poziția de subordonare a elevilor.

Sanțiuni au fost aplicate de curând și în alte state. În Letonia[3], spre exemplu, un comerciant online a fost amendat pentru încălcarea Articolului 17 din Regulament, respectiv pentru încălcarea dreptului la ștergerea datelor cu caracter personal. Deși a solicitat în mod repetat comerciantului ștergerea tuturor datelor cu caracter personal, inclusiv a numărului de telefon, persoana vizată nu a obținut respectarea acestui drept, datele cu caracter personal fiind prelucrate în continuare de către operator.

În Austria[4], un operator de date din sectorul medical a fost amendat cu 50.000 euro pentru încălcarea dispozițiilor art. 13 și art. 37 din Regulament, respectiv pentru informarea necorespunzătoare a persoanelor vizate și pentru nedesemnarea Responsabilului cu protecția datelor, iar în Bulgaria[5] au fost sancționate atât o bancă, cât și Agenția Națională pentru Venituri pentru neasigurarea unor măsuri tehnice și organizaționale vizând securitatea datelor cu caracter personal deținute.

Astfel de amenzi au fost aplicate tot mai des în statele europene în ultima perioadă, în Germania fiind aplicate un număr de 102 sancțiuni până în prezent. De altfel, ulterior intrării în vigoare a Regulamentului, respectiv după data de 25.05.2018, au fost aplicate patru sancțiuni de către Autoritatea de Supraveghere, astfel că se impune ca fiecare operator de date cu caracter personal să depună eforturile necesare în vederea asigurării respectării cadrului normativ impus de Regulament.

Unicredit Bank S.A. a fost sancționată cu amendă echivalând 130.000 de euro pentru nerespectarea obligației de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele[6], operatorul World Trade Center Bucharest S.A. a fost sancționat cu amendă în cuantum echivalent cu 15.000 euro pentru că nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal[7]. Alte două amenzi, cu un cuantum mai mic, au fost aplicate operatorilor români pentru neimplementarea măsurilor tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării[8], dar și pentru lipsa informării persoanelor vizate cu privire la prelucrare și dezvăluirea informațiilor cu caracter personal, în mod neautorizat[9].

Legislație aplicabilă:

  • Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor); – abrogă Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
  • Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii;
  • Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare;
  • Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
  • Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date;
  • Legea nr. 129 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Important a fi menționat este și faptul că există o serie de documente emise de Comitetul European pentru Protecția Datelor de care trebuie să ținem cont raportat la respectarea drepturilor persoanelor vizate, dintre care vom aminti, nu în mod limitativ, Declarația Comitetului European pentru Protecția Datelor 3/2019 referitoare la Regulamentul privind confidențialitatea în mediul electronic[10], Declarația 2/2019 privind utilizarea datelor cu caracter personal în cadrul campaniilor politice[11], Declarația Comitetului European pentru Protecția Datelor 01/2019 referitoare la Legea privind respectarea impozitului pe contul străin al Statelor Unite (FATCA)[12], Declarația Comitetului European pentru Protecția Datelor privind ePrivacy – 25.05.2018[13], dar la fel de importante sunt și Rapoartele, Informările și Opiniile lansate de Comitet.

Analiza Regulamentului general privind protecția datelor comportă o deosebită atenție și o expunere detaliată, expunere care nu poate fi realizată în câteva rânduri, astfel că prezentarea de față va avea în vedere legalitatea prelucrării datelor cu caracter personal.

Legalitatea prelucrării datelor cu caracter personal presupune, mai înainte de toate, o analiză a categoriilor de date personale prelucrare, astfel că vom distinge, după cum Regulamentul prevede, între categorii obișnuite de date și categorii speciale de date, incluzând în această categorie și datele cu caracter personal referitoare la condamnări penale și infracțiuni.

Regulamentul General privind Protecția Datelor prevede la art. 6 temeiurile prelucrării datelor cu caracter personal, astfel că orice prelucrare subsumată regulamentului care nu se înscrie în unul din cazurile indicate va fi susceptibilă pentru a fi încadrată ca fiind o prelucrare ilegală.

Dispozițiile Regulamentului prevăd următoarele: „(1)Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:

a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil”.

Astfel, putem desprinde din prevederile indicate supra existența a șase temeiuri legale menite să asigure protecția necesară prelucrării datelor cu caracter personal, așa cum și recenta literatură de specialitate a reținut[14], respectiv consimțământul persoanei vizate, existența unui raport contractual care necesită o prelucrare a datelor personale, existența unei obligații legale impusă în sarcina operatorului, protejarea unui interes vital al persoanei vizate, interesul public care justifică prelucrarea datelor și în cele din urmă, existența unui interes legitim al operatorului în activitatea de prelucrare a datelor.

Important a fi menționat este faptul că legalitatea prelucrării poate avea în vedere unul sau mai multe dintre temeiurile arătate, fiind necesară identificarea acestora încă de la începutul prelucrării datelor personale.

În măsura în care temeiul sau temeiurile în baza cărora prelucrarea s-a realizat încă de la început au încetat să mai existe, operatorul va fi obligat să înceteze orice formă de prelucrare a datelor cu caracter personal, cu excepția cazului în care pot fi identificate noi temeiuri legale și cu respectarea dreptului la informare al persoanei vizate. În acest sens, înțelegem să nu achiesăm la opinia[15] potrivit căreia nu se poate migra către un alt temei legal odată ce temeiul ales la începutul prelucrării nu mai este valabil, considerând că identificarea unor noi temeiuri pentru aceeași prelucrare poate conduce la o astfel de „migrare”, prelucrarea fiind circumscrisă în continuare unui cadru legal.

Ne vom mărgini în prezentarea de față la a face scurte precizări cu privire la consimțământul persoanei vizate, dar și a celorlalte temeiuri legale, o analiză mai detaliată urmând a fi prezentată în cuprinsul unor lucrări viitoare.

Analizând temeiul legal vizând consimțământul personei vizate este necesar să avem în vedere considerentele Regulamentului, dar și prevederile interne vizând capacitatea persoanelor fizice. Prin urmare, consimțământul va trebui să provină de la o persoană având deplină capacitate de exercițiu, în timp ce, în ceea ce privește consimțământul persoanelor fizice cu capacitate restrânsă de exercițiu sau lipsite de capacitate de exercițiu, va fi necesară o analizare în concret a raporturilor juridice existente între părți.

În plus, cerințele Regulamentului subliniază că acest consimțământ trebuie să fie dat în mod liber, să fie obținut în urma unei informări prealabile a persoanei vizate, să fie clar și specific unui anumit scop.

În ceea ce privește retragerea consimțământului, operatorii de date trebuie să țină seama de faptul că persoana vizată își poate retrage consimțământul în orice moment, fiind obligați să ofere mijloacele necesare în vederea asigurării acestui drept.

Prelucrarea datelor cu caracter personal în temeiul existenței unui raport contractual nu prezintă dificultăți sporite, astfel că necesitatea executării obligațiilor contractuale va servi drept temei pentru ca prelucrarea să poată fi înscrisă în cadrul legal. La fel se prezintă și situația îndeplinirii unei obligații legale, astfel că orice prelucrare a detelor cu caracter personal ale unor persoane fizice efectuată în temeiul unei obligații care rezultă dintr-un act normativ sau care poate fi subscrisă unei obligații legale va fi calificată ca fiind, în sine, o prelucrare legală.

Analizând condiția interesului vital, vom observa că Regulamentul protejează atât interesele vitale ale persoanei vizate, cât și a oricărei alte persoane. În considerentele Regulamentului se precizează, pentru o mai bună înțelegere a noțiunii de interes vital, că „Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecţiei unui interes care este esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice”. Putem desprinde concluzia că interesul vital se află într-o strânsă legătură cu viața unor persoane, or, o prelucrare care are ca scop protejarea dreptului primordial la viață nu poate fi considerată a fi altcumva decât legală.

În privința prelucrării întemeiate pe existența unui interes public este necesar a apela la dispozițiile legislației interne, dispozițiile Regulamentului făcând trimitere în acest sens în cadrul paragrafului 45 din considerentele Regulamentului: „În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autorităţii publice, prelucrarea ar trebui să aibă un temei în dreptul Uniunii sau în dreptul intern”.

Prin urmare, o definiție a interesului public în prelucrarea datelor cu caracter personal regăsim în Legea nr. 190/ 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE.

Este necesar, deci, să avem în vedere prevederile art. 2 alin. (1) din Legea antemenționată, dispoziții potrivit cărora „îndeplinirea unei sarcini care serveşte unui interes public – include acele activităţi ale partidelor politice sau ale organizaţiilor cetăţenilor aparţinând minorităţilor naţionale, ale organizaţiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public ori funcţionării sistemului democratic, incluzând încurajarea participării cetăţenilor în procesul de luare a deciziilor şi a pregătirii politicilor publice, respectiv promovarea principiilor şi valorilor democraţiei”. Astfel, ori de câte ori prelucrarea se va înscrie în cadrul dispozițiilor arătate, va fi o prelucrare legală, operatorul de date având temeiul legal pe care se poate spijini în prelucrare.

În ceea ce privește ultimul temei legal al prelucrării datelor cu caracter personal, respectiv atunci când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, existenţa unui interes legitim necesită o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul şi în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop.

Sintetizând, putem afirma că se va înscrie în cadrul legal orice prelucrare care va justifica unul dintre temeiurile legale prevăzute în Regulamentul General privind Protecția Datelor, operatorii de date fiind obligați ca la fiecare prelucrare a datelor cu caracter personal ale persoanelor vizate să nominalizeze in concreto temeiul sau temeiurile prelucrării.

În lumina celor menționate mai sus, deși aplicarea Regulamentului General privind Protecția Datelor a întâmpinat multe dificultăți de-a lungul timpului, atât din perspectiva comprehensiunii sale pe plan teoretic, dar mai ales, din perspectiva aplicabilității sale la realitatea juridică existentă până la intrarea acestuia în vigoare, având în vedere dezideratul pe care s-a fundamentat, respectiv salvgardarea drepturilor interente personalității fiecărui individ, apreciem că respectarea și aplicarea lui în condiții de deplină conformitate este posibilă numai în baza unui efort comun și susținut, bazat pe cunoștințe solide furnizate de specialiștii din domeniu.

———————

[1] https://www.datainspektionen.se/nyheter/facial-recognition-in-school-renders-swedens-first-gdpr-fine/

[2] Art. 4 punctul 14 din Regulament definește datele biometrice ca fiind „date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;”.

[3] https://www.dvi.gov.lv/en/news/data-state-inspectorate-of-latvia-imposes-a-financial-penalty-of-7000-euros-against-online-retailer/;

[4] https://www.derstandard.at/story/2000107377808/fussballerinnen-nackt-gefilmt-mostviertler-trainer-muss-strafe-zahlen;

[5] https://www.cpdp.bg/index.php?p=news_view&aid=1519;

[6] https://www.dataprotection.ro/?page=Comunicat_Amenda_Unicredit&lang=ro;

[7] https://www.dataprotection.ro/?page=O_noua_amenda_GDPR&lang=ro;

[8] https://www.dataprotection.ro/?page=2019%20A%20treia%20amenda%20in%20aplicarea%20RGPD&lang=ro;

[9] https://www.dataprotection.ro/?page=A_patra_amenda&lang=ro;

[10] https://www.dataprotection.ro/servlet/ViewDocument?id=1590;

[11] https://www.dataprotection.ro/servlet/ViewDocument?id=1592;

[12] https://www.dataprotection.ro/servlet/ViewDocument?id=1635;

[13] https://www.dataprotection.ro/servlet/ViewDocument?id=1496;

[14] Regulamentul General privind Protecția Datelor (GDPR) pe înțelesul tău. Sinteză teoretică și recomandări practice, Ruxandra Sava, Universul Juridic, București, 2019;

[15] Idem, p. 77;