Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Manual de legislaie
european privind
protecia datelor
00 800 6 7 8 9 10 11
(*) Informaiile primite sunt gratuite, la fel ca i cea mai mare parte a apelurilor telefonice (unii operatori
i unele cabine telefonice i hoteluri taxeaz totui aceste apeluri).
Manual de legislaie
european privind
proteciadatelor
Cuvnt nainte
Prezentul manual de legislaie european privind protecia datelor este ntocmit prin
cooperarea dintre Agenia pentru Drepturi Fundamentale a Uniunii Europene (FRA)
i Consiliul Europei alturi de Grefa Curii Europene a Drepturilor Omului. Este al treilea dintr-o serie de manuale juridice ntocmite prin cooperarea dintre FRA i Consiliul
Europei. n luna martieaanului2011 a fost publicat primul manual de legislaie european privind nediscriminarea, iar n luna iunieaanului2013, cel de al doilea manual
de legislaie european privind azilul, frontierele i imigraia.
Am hotrt s ne continum cooperarea cu privire la un subiect de actualitate, care
ne afecteaz pe toi n fiecare zi, i anume protecia datelor cu caracter personal.
Europa se bucur de unul dintre cele mai protective sisteme n acest domeniu, care
se bazeaz pe Convenia108 a Consiliului Europei, pe instrumentele Uniunii Europene(UE), precum i pe jurisprudena Curii Europene a Drepturilor Omului(CEDO) i
a Curii de Justiie a Uniunii Europene(CJUE).
Scopul prezentului manual este acela de a sensibiliza i de a ameliora cunoaterea
reglementrilor n materie de protecie a datelor n cadrul Uniunii Europene i n statele membre ale Consiliului Europei, servind drept principal punct de referin pentru cititori. Manualul se adreseaz profesionitilor nespecializai din domeniul juridic,
judectorilor, autoritilor naionale pentru protecia datelor i altor persoane care
activeaz n domeniul proteciei datelor.
Odat cu intrarea n vigoare a Tratatului de la Lisabona n luna decembrie a anului2009, Carta Drepturilor Fundamentale a Uniunii Europene a devenit obligatorie
din punct de vedere juridic i, astfel, dreptul la protecia datelor cu caracter personal
a fost ridicat la statutul de drept fundamental individual. O mai bun nelegere a
Conveniei108 a Consiliului Europei i a instrumentelor UE, care au pregtit drumul
pentru protecia datelor n Europa, precum i a jurisprudenei CJUE i a CEDO este
esenial pentru protecia acestui drept fundamental.
Dorim s mulumim Institutului pentru Drepturile Omului Ludwig Bolzmann pentru
contribuia sa la elaborarea acestui manual. De asemenea, adresm mulumiri biroului Autoritii Europene pentru Protecia Datelor pentru contribuia adus pe parcursul etapei de redactare. Mulumim n mod deosebit unitii pentru protecia datelor
a Comisiei Europene pentru sprijinul acordat pe parcursul ntocmirii acestui manual.
n cele din urm, am dori s ne exprimm recunotina fa de Autoritatea Naional
de Supraveghere a Prelucrrii Datelor cu Caracter Personal, care a revizuit traducerea
manualului n limba romn.
Philippe Boillat
Director General pentru Drepturile omului
i statul de drept Consiliul Europei
Morten Kjaerum
Director al Ageniei Europene
pentru Drepturi Fundamentale
3
Cuprins
CUVNT NAINTE
............................................................................................................................................................................................................ 3
ABREVIERI I ACRONIME
...................................................................................................................................................................................... 9
............................................................................................................................. 11
.......................................................................................... 14
............................................................................................................ 15
................................................................. 17
........................................................................................................................................ 23
............................................................................................................................................. 26
............................................................................................................................ 31
.................................................................................................................................................. 32
................................... 37
.............................................................................. 44
........................................................................................................ 45
........................................................... 50
......................................................................................................................................................... 55
................................................................................................... 57
................................................ 62
........................................................................................................................................................ 65
................................................................................ 68
............................................................................................................................. 72
................................................................................................................................. 73
................................................................................ 75
.................................................................................................................................................................... 76
................................................................................................................ 77
................................................................................................. 83
........................................................................................................ 89
........................................................................................................................... 93
........................................................................................................................................................... 96
............................................................................................................................................................................ 99
4.3.2. Notificare
..........................................................................................................................................................................102
................................................................................................................................................103
........................................................104
...................................................................................................................................................104
........................................................................................................................................................110
..................................................................................................................................................117
...........................................................................................................................124
....................................................................................126
.........................................................................................................................127
............................................................................................................................................................................132
....................................................................139
........................................................................................................141
.................................................................................................................................................143
........................................................................................................................145
................................................................................................................145
.....................................................................................152
.......................................156
7.2.
...............................................................................................158
............................................................................................................................................................................... 191
...................................................................................................................................................................................................... 205
Abrevieri i acronime
AELS
AEPD
BCR
Carta
CE
Comunitatea European
CEDO
CETS
CIS
CJUE
CoE
Consiliul Europei
Convenia108
Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Consiliul Europei)
CRM
C-SIS
DUDO
EAW
ESMA
eTEN
eu-LISA
EuroPriSe
FRA
10
GPS
JSB
N-SIS
OCDE
ONG
Organizaie neguvernamental
ONU
PIN
PNR
SEE
SEPA
SIS
SWIFT
TFUE
TUE
TVCI
UE
Uniunea European
UNE
VIS
11
Legislaia CoE este prezentat prin scurte trimiteri la o selecie de cazuri ale Curii
Europene a Drepturilor Omului (CEDO). Acestea au fost alese dintr-un numr mare
de hotrri i decizii CEDO existente cu privire la aspecte legate de protecia datelor.
Legislaia UE este disponibil n msurile legislative adoptate, n dispoziiile relevante
ale tratatelor i n Carta Drepturilor Fundamentale a Uniunii Europene, astfel cum
sunt interpretate n jurisprudena Curii de Justiie a Uniunii Europene [CJUE, denumit
Curtea European de Justiie (CEJ) nainte de anul 2009 ].
Jurisprudena descris sau citat n prezentul manual ofer exemple de o importan
semnificativ att pentru jurisprudena CEDO, ct i pentru cea a CJUE. Orientrile
de la sfritul prezentului ghid sunt destinate s ajute cititorul n cutarea online a
jurisprudenei.
n plus, ilustraii practice cu scenarii ipotetice sunt oferite n casete de text pentru o
mai bun exemplificare a aplicrii n practic a normelor europene privind protecia
datelor, n special acolo unde nu exist o jurispruden CEDO sau CJUE specific pe
tema respectiv.
Manualul ncepe cu o scurt descriere a rolului celor dou sisteme juridice, rol stabilit prin legislaia Conveniei europene a drepturilor omului i dreptul UE (capitolul1).
Capitolele2-8 trateaz urmtoarele aspecte:
terminologia n domeniul proteciei datelor;
principiile-cheie ale legislaiei europene privind protecia datelor;
normele legislaiei europene privind protecia datelor;
drepturile persoanei vizate i aplicarea acestora;
fluxurile transfrontaliere de date;
protecia datelor n contextul poliiei i justiiei penale;
alte legi europene specifice privind protecia datelor.
12
Contextul i cadrul
legislaiei europene
privind protecia datelor
UE
Aspecte vizate
CoE
Convenia european
a drepturilor omului,
articolul8 (dreptul la
respectarea vieii private i
de familie, a domiciliului i a
corespondenei)
Convenia pentru protejarea
persoanelor fa de
prelucrarea automatizat a
datelor cu caracter personal
(Convenia 108)
Echilibrarea drepturilor
CJUE, Cauzele conexate C-92/09 i
C-93/09, Volker und Markus Schecke GbR
i Hartmut Eifert /Land Hessen, 2010
CJUE, C-73/07, Tietosuojavaltuutettu/
Satakunnan Markkinaprssi Oy i
Satamedia Oy, 2008
n general
Libertatea de
exprimare
CEDO, Trsasg a
Szabadsgjogokrt/Ungaria,
2009
13
n temeiul dreptului UE, protecia datelor a fost reglementat pentru prima dat prin
Directiva privind protecia datelor.
Dreptul de a proteja sfera privat a unei persoane fizice mpotriva intruziunii din partea altora, n special din partea statului, a fost prevzut pentru prima dat n cadrul
unui instrument juridic internaional n articolul12 din Declaraia Universal a Drepturilor Omului(DUDO) din 1948 a Organizaiei Naiunilor Unite(ONU) privind respectarea vieii private i de familie1. DUDO a influenat dezvoltarea n Europa a altor
instrumente pentru drepturile omului.
14
A se vedea, de exemplu, Hotrrea CEDO din 2 august 1984 n cauza Malone/Regatul Unit, nr. 8691/79;
Hotrrea CEDO din 3aprilie2007 n cauza Copland/Regatul Unit, nr.62617/00.
A se vedea, de exemplu, Hotrrea CEDO din 6 septembrie 1978 n cauza Klass i alii/Germania,
nr.5029/71; Hotrrea CEDO din 2septembrie2010 n cauza Uzun/Germania, nr.35623/05.
A se vedea, de exemplu, Hotrrea CEDO din 17 iulie 2008, I./Finlanda, nr.20511/03; Hotrrea CEDO
din 2decembrie2008 n cauza K.U./Finlanda, nr.2872/02.
15
omului7. n anul 1981, a fost deschis spre semnare o Convenie pentru protejarea
persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (Convenia 108)8. Convenia 108 a fost, i rmne nc, singurul instrument internaional
obligatoriu din punct de vedere juridic n domeniul proteciei datelor.
Convenia108 se aplic tuturor prelucrrilor de date efectuate att n sectorul
public,
ct i n cel privat, cum ar fi prelucrrile de date efectuate de sistemul judiciar i autoritile de aplicare a legii. Aceasta protejeaz persoanele mpotriva abuzurilor care
pot nsoi colectarea i prelucrarea datelor cu caracter personal i, totodat, urmrete s reglementeze fluxul transfrontalier de date cu caracter personal. n ceea ce
privete colectarea i prelucrarea datelor cu caracter personal, principiile stabilite n
convenie se refer, n special, la colectarea i prelucrarea automatizat corect i
legal a datelor, stocarea n scopuri determinate i legitime, utilizarea numai n scopuri compatibile cu acestea i pstrarea ntr-o form care s permit identificarea
persoanelor n cauz pe o durat ce nu o depete pe cea necesar scopurilor pentru care datele sunt nregistrate. Principiile vizeaz, de asemenea, calitatea datelor, n
special faptul c acestea trebuie s fie adecvate, pertinente i neexcesive (principiul
proporionalitii), precum i exacte
Pe lng faptul c ofer garanii pentru colectarea i prelucrarea datelor cu caracter
personal, convenia interzice, n absena unor garanii juridice adecvate, prelucrarea
datelor sensibile, precum cele referitoare la originea rasial, opiniile politice, starea
de sntate, convingerile religioase, viaa sexual sau condamnrile penale.
Convenia consacr, de asemenea, dreptul unei persoane fizice de a fi informat cu
privire la stocarea informaiilor sale cu caracter personal i, dac este cazul, de a solicita corectarea acestora. Limitarea drepturilor prevzute n convenie este posibil
numai atunci cnd sunt n joc interese prioritare, cum ar fi securitatea statului sau
aprarea.
Dei convenia prevede libera circulaie a datelor cu caracter personal ntre statele
semnatare ale conveniei, aceasta impune i unele restricii asupra fluxurilor de date
ctre statele n care reglementrile juridice nu prevd o protecie echivalent.
16
CoE, Comitetul de Minitri (1973), Rezoluia(73)22 privind protejarea vieii private a persoanelor n ceea
ce privete bazele de date electronice din sectorul privat, 26septembrie1973; CoE, Comitetul de Minitri
(1974), Rezoluia(74)29 privind protejarea vieii private a persoanelor n ceea ce privete bazele de
date electronice din sectorul public, 20septembrie1974.
Pentru a dezvolta n continuare principiile generale i normele prevzute de Convenia 108, Comitetul de Minitri al CoE a adoptat mai multe recomandri fr caracter
obligatoriu din punct de vedere juridic (a se vedea capitolele 7 i 8).
Toate statele membre ale UE au ratificat Convenia 108. n 1999, Convenia 108 a
fost modificat pentru a permite UE s devin parte la aceasta.9 n 2001, a fost adoptat un Protocol adiional la Convenia 108, care introduce dispoziii privind fluxurile
transfrontaliere de date ctre rile care nu sunt parte la convenie, aa-numitele ri
tere, i cu privire la nfiinarea obligatorie a autoritilor naionale de supraveghere
a proteciei datelor.10.
Perspective
Ca urmare a deciziei de modernizare a Conveniei108, o consultare public desfurat n 2011 a fcut posibil confirmarea celor dou obiective principale ale acestei
lucrri: sporirea proteciei vieii private n domeniul digital i consolidarea mecanismului de urmrire al conveniei.
Convenia108 este deschis pentru aderare statelor non-membre ale CoE, inclusiv
rilor din afara Europei. Potenialul conveniei ca standard universal i caracterul su
deschis pot servi drept baz pentru promovarea proteciei datelor la nivel mondial.
Pn n prezent, 45 dintre cele 46 de pri contractante ale Conveniei108 sunt state
membre ale CoE. Uruguay, prima ar din afara Europei, a aderat n luna august a
anului 2013, iar Maroc, care a fost invitat de Comitetul de Minitri s adere la Convenia108, se afl n proces de oficializare a aderrii.
CoE, Amendamente la Convenia pentru protecia persoanelor cu privire la prelucrarea automat a datelor
cu caracter personal (ETS No.108), care s permit Uniunii Europene s adere, adoptat de Comitetul de
Minitri, la Strasbourg, la 15iunie1999; Art.23(2) din Convenia108, n forma sa modificat.
17
18
11
12
13
Hotrrea CJUE din 24 noiembrie 2011 n cauzele comune C-468/10 i C-469/10, Asociacin Nacional
de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, alineatele2829.
protecia datelor (n consecin, aceast caracteristic a fost preluat n cadrul legislaiei CoE n 2001 prin Protocolul adiional la Convenia108).
Aplicarea teritorial a Directivei privind protecia datelor se extinde dincolo de cele
28 de state membre ale UE, incluznd i statele non-membre ale UE care fac parte
din Spaiul Economic European (SEE)14 i anume, Islanda, Liechtenstein i Norvegia.
CJUE de la Luxemburg are jurisdicia de a stabili dac un stat membru i-a ndeplinit
obligaiile n conformitate cu Directiva privind protecia datelor i de a adopta decizii
preliminare cu privire la valabilitatea i interpretarea directivei, pentru a asigura aplicarea eficient i uniform a acesteia n statele membre. O excepie important de
la aplicabilitatea Directivei privind protecia datelor este aa-numita excepie referitoare la activitile domestice, i anume prelucrarea datelor cu caracter personal de
ctre o persoan fizic n cursul unei activiti exclusiv personale sau domestice15.
Acest tip de prelucrare este considerat, n general, ca fcnd parte din libertile persoanelor fizice.
Corespunztor legislaiei primare a UE n vigoare la data adoptrii Directivei privind
protecia datelor, domeniul de aplicare material al directivei se limiteaz la aspectele
pieei interne. n afara domeniului su de aplicare se situeaz, cel mai important,
aspectele legate de cooperarea poliieneasc i judiciar n materie penal. Protecia
datelor n aceste privine rezult din diferite instrumente juridice, care sunt descrise
detaliat n capitolul7.
Avnd n vedere c Directiva privind protecia datelor se adresa numai statelor
membre ale UE, era necesar un instrument juridic suplimentar pentru a stabili protecia datelor pentru prelucrarea datelor cu caracter personal de ctre instituiile i
organismele UE. Regulamentul (CE) nr.45/2001 privind protecia persoanelor fizice
cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele
comunitare i privind libera circulaie a acestor date (Regulamentul privind protecia
datelor de ctre instituiile europene) ndeplinete aceast atribuie16.
n plus, chiar i n domeniile vizate de Directiva privind protecia datelor, sunt deseori necesare dispoziii mai detaliate privind protecia datelor n scopul obinerii
14
Acordul privind Spaiul Economic European, MO1994L1, care a intrat n vigoare la 1ianuarie1994.
15
16
19
claritii necesare pentru echilibrarea altor interese legitime. Dou astfel de exemple
sunt Directiva2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice (Directiva asupra confidenialitii i
comunicaiilor electronice)17 i Directiva2006/24/CE privind pstrarea datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice
accesibile publicului sau de reele de comunicaii publice i de modificare a Directivei2002/58/CE (Directiva privind pstrarea datelor)18 (declarat invalid la 8 aprilie
2014). Alte exemple vor fi discutate n capitolul8. Aceste dispoziii trebuie s fie n
conformitate cu Directiva privind protecia datelor.
20
17
18
Dei iniial a fost doar un document politic, Carta a dobndit caracter juridic obligatoriu19 ca legislaie primar a UE [a se vedea articolul6alineatul (1) din TUE)] odat cu
intrarea n vigoare a Tratatului de la Lisabona la 1decembrie200920.
Legislaia primar a UE include, de asemenea, competena general a UE de a legifera n materie de protecie a datelor (articolul16 din TFUE).
Carta nu numai c asigur respectarea vieii private i familial (articolul7), dar
stabilete i dreptul la protecia datelor (articolul8), ridicnd n mod explicit nivelul acestei protecii la acela de drept fundamental n temeiul legislaiei europene.
Instituiile UE i statele membre trebuie s respecte i s garanteze acest drept,
care este, de asemenea, valabil n cazul statelor membre atunci cnd pun n aplicare
legislaia Uniunii (articolul51 din Cart). Formulat la civa ani dup Directiva privind
protecia datelor, articolul8 din Cart trebuie neles ca ncorpornd legislaia european preexistent privind protecia datelor. Prin urmare, Carta nu numai c menioneaz explicit dreptul la protecia datelor la articolul8alineatul (1), dar face referire
i la principiile-cheie privind protecia datelor la articolul8alineatul (2). n cele din
urm, articolul8alineatul (3) din Cart garanteaz c o autoritate independent va
controla respectarea acestor principii.
Perspective
n luna ianuarie2012, Comisia European a propus un pachet de reform privind protecia datelor, declarnd c normele actuale privind protecia datelor trebuie modernizate prin prisma evoluiilor tehnologice rapide i a globalizrii. Pachetul de reform
const ntr-o propunere de Regulament general privind protecia datelor21, destinat
s nlocuiasc Directiva privind protecia datelor, precum i ntr-o nou Directiv privind protecia datelor22, care s prevad protecia datelor n domeniile cooperrii
poliieneti i judiciare n materie penal. La data publicrii prezentului manual, discuia referitoare la pachetul de reform era n plin desfurare.
19
20
A se vedea versiunea consolidat a Comunitilor Europene (2012), Tratatul privind Uniunea European,
MO2012C326; i versiunea consolidat a Comunitilor Europene (2012), TFUE, MO2012C326.
21
22
21
Dreptul la protecia datelor nu este un drept absolut; acesta trebuie echilibrat cu alte
drepturi.
22
23
A se vedea, de exemplu, Hotrrea CJUE din 9noiembrie2010 n cauzele conexate C-92/09 i C-93/09,
Volker und Markus Schecke GbR i Hartmut Eifert/Land Hessen, punctul48.
24
Ibidem, punctul50.
25
Hotrrea CEDO din 7februarie2012 n cauza Von Hannover/Germania (nr. 2) [T], nr.40660/08
i 60641/08; Hotrrea CJUE din 24noiembrie2011 n cauzele conexate C-468/10 i C-469/10,
Asociacin Nacional de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio
Electrnico y Marketing Directo (FECEMD)/Administracin del Estado, punctul48; Hotrrea CJUE din
29ianuarie2008 n cauza Productores de Msica de Espaa (Promusicae)/Telefnica de Espaa SAU,
C-275/06, punctul68. A se vedea, de asemenea, Consiliul Europei (2013), jurisprudena Curii Europene
a Drepturilor Omului n ceea ce privete protecia datelor cu caracter personal, Jurisprudena DP (2013),
disponibil la: www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/DP%202013%20
Case%20Law_Eng%20%28final%2018%2007%202013%29.pdf.
26
27
23
28
24
Hotrrea CEDO din 7februarie2012 n cauza Axel Springer AG/Germania [T], nr.39954/08,
punctele90 i91.
Hotrrea CEDO din 7 februarie 2012 n cauza Von Hannover/Germania (nr. 2) [T], nr.40660/08 i
60641/08, punctele118 i 124.
30
Hotrrea CEDO din 10 mai 2011 n cauza Mosley/Regatul Unit, nr.48009/08, punctele129 i 130.
25
26
autoritile publice a fost recunoscut ca drept important al fiecrui cetean european i al oricrei persoane fizice sau juridice cu domiciliul sau sediul social ntr-un
stat membru.
n temeiul legislaiei CoE, se poate face trimitere la principiile consacrate n Recomandarea privind accesul la documentele oficiale, care a inspirat autorii Conveniei
privind accesul la documentele oficiale (Convenia 205)32. n temeiul dreptului european, dreptul de acces la documente este garantat prin Regulamentulnr.1049/2001
privind accesul public la documentele Parlamentului European, ale Consiliului i ale
Comisiei (Regulamentul privind accesul la documente)33. Articolul42 din Cart i articolul15alineatul (3) din TFUE au extins acest drept de acces la documentele instituiilor, organelor, oficiilor i ageniilor Uniunii, indiferent de suportul pe care se afl
aceste documente. n conformitate cu articolul52alineatul (2) din Cart, dreptul de
acces la documente se exercit, de asemenea, n condiiile i cu respectarea limitelor
stabilite de articolul15alineatul(3) din TFUE. Acest drept poate intra n conflict cu
dreptul la protecia datelor n cazul n care accesul la un document ar dezvlui datele
cu caracter personal ale altora. Prin urmare, este posibil ca solicitrile de acces la
documentele sau informaiile deinute de autoritile publice s presupun echilibrarea cu dreptul la protecia datelor persoanelor ale cror date sunt cuprinse n documentele solicitate.
Exemplu: n cauza Comisia/Bavarian Lager34, CJUE a definit domeniul de aplicare
al proteciei datelor cu caracter personal n contextul accesului la documentele
instituiilor UE i raportul ntre Regulamentul nr.1049/2001 (Regulamentul privind accesul la documente) i Regulamentul nr.45/2001 (Regulamentul privind
protecia datelor). Bavarian Lager, nfiinat n anul 1992, import bere german
mbuteliat n Regatul Unit, n principal pentru pub-uri i baruri. Cu toate acestea,
a ntmpinat dificulti, ntruct legislaia britanic de facto favorizeaz productorii naionali. Ca rspuns la plngerea introdus de Bavarian Lager, Comisia European a decis s formuleze o aciune mpotriva Regatului Unit pentru
nendeplinirea obligaiilor, care a condus la modificarea dispoziiilor contestate
i la alinierea acestora la dreptul european. Ulterior, Bavarian Lager a solicitat
32
Consiliul Europei, Comitetul de Minitri (2002), Recomandarea Rec(2002)2 din 21februarie2002 ctre
statele membre privind accesul la documentele oficiale; Consiliul Europei, Convenia din 18iunie2009
privind accesul la documentele oficiale, CETS nr.205. Convenia nu a intrat nc n vigoare.
33
Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului din 30mai2001 cu privire
la accesul public la documentele Parlamentului European, ale Consiliului i ale Comisiei, MO2001L145.
34
Hotrrea CJUE din 29 iunie 2010 n cauza Comisia European/The Bavarian Lager Co. Ltd., C-28/08 P,
punctele60, 63, 76, 78 i 79.
27
28
Potrivit acestei hotrri, atingerea adus dreptului la protecia datelor n ceea ce privete accesul la documente necesit o motivare precis i ntemeiat. Dreptul de
acces la documente nu poate anula automat dreptul la protecia datelor35.
Un aspect specific al unei solicitri de acces a fost tratat n urmtoarea hotrre a
CEDO.
Exemplu: n cauza Trsasg a Szabadsgjogokrt/Ungaria36, reclamanta, un
ONG pentru aprarea drepturilor omului, a solicitat Curii Constituionale accesul la informaii privind o cauz aflat pe rol. Fr a se consulta cu membrul
Parlamentului care i adresase cauza, Curtea Constituional a respins solicitarea de acces n temeiul faptului c plngerile care i sunt adresate pot fi puse
la dispoziia strinilor numai cu aprobarea reclamantului. Instanele interne au
aprobat aceast respingere pe motiv c protecia acestor date cu caracter personal nu poate fi anulat de alte interese legale, inclusiv accesul la informaii
publice. Reclamanta a acionat n calitate de entitate de supraveghere social,
activitile sale garantnd o protecie similar celei oferite presei. n legtur cu
libertatea presei, CEDO a considerat n mod consecvent c publicul are dreptul
s primeasc informaii de interes general. Informaiile solicitate de reclamant
erau complete i disponibile i nu necesitau niciun fel de colectare de date.
n aceste circumstane, statul avea obligaia s nu mpiedice fluxul de informaii solicitat de reclamant. Pe scurt, CEDO a considerat c barierele destinate s
mpiedice accesul la informaii de interes public pot descuraja acele persoane
care lucreaz n mass-media sau n domenii asociate n rolul lor vital de entitate
public de supraveghere. Curtea s-a pronunat asupra nclcrii articolului 10.
n temeiul dreptului european, importana transparenei este stabilit n mod
ferm. Principiul transparenei este consacrat n articolele 1 i 10 din TUE i n
articolul 15 alineatul (1) din TFUE 37. Potrivit considerentului 2 din Regulamentul (CE) nr. 1049/2001, aceasta permite cetenilor s participe ndeaproape la
35
A se vedea totui dezbaterile detaliate ale Autoritii Europene pentru Protecia Datelor (AEPD)
(2011), Public access to documents containing personal data after the Bavarian Lager ruling (Accesul
public la documente care conin date cu caracter personal n urma hotrrii din cauza Bavarian Lager),
Bruxelles, 24martie2011, disponibile la: www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
36
37
UE (2012), Versiunile consolidate ale Tratatului privind Uniunea European i ale TFUE, MO2012C326.
29
procesul decizional i garanteaz faptul c administraia beneficiaz de o legitimitate mai mare, este mai eficient i rspunztoare fa de ceteni, ntr-un sistem
democratic38.
Ca urmare a acestei argumentri, Regulamentul (CE) nr.1290/2005 al Consiliului
privind finanarea politicii agricole comune i Regulamentul (CE) nr.259/2008 al
Comisiei de stabilire a normelor de aplicare a Regulamentului (CE) nr.1290/2005
al Consiliului impun publicarea informaiilor despre beneficiarii anumitor fonduri ale
UE din sectorul agricol i a sumelor primite de fiecare beneficiar39. Publicarea ar trebui s contribuie la controlul public al utilizrii adecvate a fondurilor publice de ctre
administraie. Proporionalitatea acestei publicri a fost contestat de mai muli
beneficiari.
Exemplu: n cauza Volker und Markus Schecke i Hartmut Eifert/Land Hessen40,
CJUE a trebuit s se pronune asupra proporionalitii publicrii, impus de
legislaia UE, a numelor beneficiarilor subveniilor agricole ale UE i a sumelor pe
care acetia le-au primit.
Remarcnd faptul c dreptul la protecia datelor nu este absolut, Curtea a argumentat c publicarea pe un site a datelor care denumesc beneficiarii a dou fonduri ale UE de ajutoare pentru agricultur i a sumelor exacte primite constituie
o ingerin n viaa privat, la nivel general, i n protecia datelor cu caracter
personal ale acestora, la nivel particular.
Curtea a considerat c o astfel de atingere adus articolelor7 i 8 din Cart este
prevzut de lege i rspunde unui obiectiv de interes general recunoscut de
UE, i anume, includerea consolidrii transparenei n ceea ce privete utilizarea
fondurilor comunitare. Cu toate acestea, CJUE a considerat c publicarea numelor
persoanelor fizice care sunt beneficiare ale unui ajutor al UE pentru agricultur
n cadrul acestor dou fonduri i a sumelor exacte primite constituie o msur
30
38
Hotrrea CJUE din 6martie2003 n cauza Interporc Im- und Export GmbH/Comisia Comunitilor
Europene, C-41/00P, punctul39; i Hotrrea CJUE din 29iunie2010 n cauza Comisia European/The
Bavarian Lager Co. Ltd., C-28/08P, punctul54.
39
Regulamentul (CE) nr.1290/2005 al Consiliului din 21iunie2005 privind finanarea politicii agricole
comune, MO2005L209; i Regulamentul (CE) nr.259/2008 al Comisiei din 18martie2008 de stabilire
a normelor de aplicare a Regulamentului (CE) nr.1290/2005 al Consiliului n ceea ce privete publicarea
informaiilor referitoare la beneficiarii fondurilor provenite din Fondul European de Garantare Agricol
(FEGA) i din Fondul European Agricol pentru Dezvoltare Rural (FEADR), MO2008L76.
40
Hotrrea CJUE din 9 noiembrie 2010 n cauzele conexate C-92/09 i C-93/09, Volker und Markus
Schecke GbR i Hartmut Eifert /Land Hessen, punctele47-52, 58, 66-67, 75, 86 i 92.
42
43
Hotrrea CEDO din 25 ianuarie 2007 n cauza Vereinigung bildender Knstler/Austria, nr. 68345/01; a
se vedea n mod special punctele26 i 34.
31
nelimitat a expunerii tabloului este disproporionat. Curtea s-a pronunat asupra nclcrii articolului10 din Convenia european a drepturilor omului.
n ceea ce privete tiina, legislaia european privind protecia datelor cunoate
valoarea special a tiinei pentru societate. Prin urmare, restriciile generale pentru
utilizarea datelor cu caracter personal sunt diminuate. Att Directiva privind protecia datelor, ct i Convenia 108 permit pstrarea datelor pentru cercetare tiinific
dup ce acestea nu mai servesc scopului iniial pentru care au fost colectate. Mai
mult, utilizarea ulterioar a datelor cu caracter personal pentru cercetare tiinific nu
este considerat ca fiind un scop incompatibil. Legislaiei naionale i revine atribuia
de a elabora dispoziii mai detaliate, inclusiv garaniile necesare, pentru a pune n
acord interesul pentru cercetare tiinific i dreptul la protecia datelor (a se vedea i
seciunile3.3.3 i 8.4).
32
44
45
Hotrrea CJUE din 29 ianuarie 2008 n cauza Productores de Msica de Espaa (Promusicae)/Telefnica
de Espaa SAU, C275/06, punctele54 i 60.
46
Ibidem, punctele 65 i 68; a se vedea i Hotrrea CJUE din 16 februarie 2012, SABAM/Netlog N.V.,
C-360/10.
33
Terminologia n domeniul
proteciei datelor
UE
Aspecte vizate
Definiie juridic
CoE
Convenia108, articolul2
litera(a)
CEDO, Bernh Larsen
Holding AS i alii/Norvegia,
nr.24117/08, 14 martie
2013
Definiii
Convenia108, articolul2
litera(c)
Operator
Convenia108, articolul2
litera(d)
Recomandare privind
crearea de profile,
articolul(1) litera(g) *
35
UE
Aspecte vizate
Persoan
mputernicit de
ctre operator
Destinatar
CoE
Recomandare privind
crearea de profile,
articolul(1) litera(h)
Convenia 108, Protocol
adiional, articolul2
alineatul(1)
Ter
Definiie i
cerine privind
consimmntul
valabil
Recomandare privind
datele medicale, articolul
6 i diferite recomandri
ulterioare
Not: *
Consiliul Europei, Comitetul de Minitri (2010), Recomandarea Rec(2010)13 din 23 noiembrie 2010
ctre statele membre privind protecia persoanelor fa de prelucrarea automatizat a datelor cu
caracter personal n contextul crerii de profile (Recomandarea privind crearea de profile).
36
Exist categorii speciale de date, aa-numitele date sensibile, prevzute n Convenia 108 i n Directiva privind protecia datelor, care necesit protecie sporit i, prin
urmare, sunt supuse unui regim juridic special.
Datele sunt an onimizate n cazul n care nu mai conin niciun element de identificare;
acestea sunt pseudonimizate n cazul n care elementele de identificare sunt codificate.
Persoana
Dreptul la protecia datelor decurge din dreptul la respectarea vieii private. Conceptul de via privat este asociat fiinelor umane. Prin urmare, persoanele fizice sunt
beneficiarii principali ai proteciei datelor. n plus, potrivit avizului Grupului de lucru
Articolul 29, numai fiinele umane sunt protejate de legislaia european privind protecia datelor48.
Jurisprudena CEDO cu privire la articolul8 din Convenia european a drepturilor
omului arat c separarea complet a aspectelor legate de viaa privat i cea profesional poate fi dificil49.
Exemplu: n cauza Amann/Elveia50, autoritile au interceptat o conversaie
telefonic de afaceri a reclamantului. Pe baza acestei conversaii, autoritile
au ntreprins cercetarea reclamantului i au completat o fi pe numele reclamantului pentru dosarul de securitate naional. Dei interceptarea privea o conversaie telefonic de afaceri, CEDO a considerat c stocarea datelor cu privire
la aceast conversaie ine de viaa privat a reclamantului. A scos n eviden
faptul c noiunea de via privat nu trebuie interpretat n mod restrictiv, n special, ntruct respectarea vieii private cuprinde dreptul de a stabili i
47
Directiva privind protecia datelor, articolul 2 litera (a); Convenia108, articolul2 litera (a).
48
Grupul de lucru Articolul 29 (2007), Avizul 4/2007 privind conceptul de date cu caracter personal,
WP136, 20iunie2007, p.22.
49
A se vedea, de exemplu, Hotrrea CEDO din 4 mai 2000 n cauza Rotaru/Romnia [T], nr. 28341/95,
punctul 43; Hotrrea CEDO din 16decembrie1992 n cauza Niemietz/Germania, 13710/88, punctul29.
50
37
dezvolta relaii cu alte fiine umane. n plus, nu a existat niciun motiv principial
care s justifice excluderea activitilor de natur profesional sau de afaceri din
noiunea de via privat. Aceast interpretare general corespunde cu cea a
Conveniei108. CEDO a constatat n continuare c ingerina n cazul reclamantului nu este n conformitate cu legea, deoarece dreptul intern nu conine dispoziii
specifice i detaliate privind colectarea, nregistrarea i stocarea informaiilor.
Astfel, a concluzionat c articolul8 din Convenia european a drepturilor omului
a fost nclcat.
Mai mult, n cazul n care i aspectele legate de viaa profesional pot face obiectul
proteciei datelor, pare discutabil c numai persoanele fizice ar trebui s beneficieze
de protecie. Drepturile prevzute n Convenia european a drepturilor omului sunt
garantate tuturor, nu doar persoanelor fizice.
Exist o jurispruden a CEDO care se pronun asupra cererilor entitilor juridice
care invoc nclcarea dreptului la protecie mpotriva utilizrii datelor lor, n conformitate cu articolul8 din Convenia european a drepturilor omului. Cu toate acestea,
Curtea a examinat cauza n baza dreptului la respectarea domiciliului i a corespondenei, i nu n baza vieii private:
Exemplu: Cauza Bernh Larsen Holding AS i alii/Norvegia51 se refer la plngerea formulat de trei societi norvegiene cu privire la decizia unei autoriti fiscale prin care li se impunea s pun la dispoziia auditorilor fiscali o copie a tuturor datelor aflate pe un server informatic pe care cele trei l utilizau n comun.
CEDO a considerat c obligaia impus societilor reclamante constituie o atingere adus drepturilor lor la respectarea domiciliului i a corespondenei
n sensul articolului8 din Convenia european a drepturilor omului. Cu toate
acestea, Curtea a constatat c autoritile fiscale posed garanii eficiente i
adecvate mpotriva abuzurilor: societile reclamante au fost notificate cu suficient timp n avans; au fost prezente i n msur s fac observaii n timpul
interveniei la faa locului; iar materialul urma a fi distrus dup finalizarea auditului fiscal. n aceste condiii, s-a gsit un echilibru echitabil ntre dreptul societilor reclamante la respectarea domiciliului i a corespondenei i interesul
acestora de protejare a vieii private a persoanelor care lucreaz pentru ele, pe
de o parte, i interesul public de asigurare a unei inspecii eficiente n scopuri
51
38
Hotrrea CEDO din 14martie2013 n cauza Bernh Larsen Holding AS i alii/Norvegia, nr.24117/08. A
se vedea totui i Hotrrea CEDO din 1iulie2008 n cauza Liberty i alii/Regatul Unit, nr.58243/00.
53
Hotrrea CJUE din 9 noiembrie 2010 n cauzele conexate C-92/09 i C-93/09, Volker und Markus
Schecke GbR i Hartmut Eifert /Land Hessen, punctul53.
54
Ibidem, punctul52.
39
omului este aceeai cu cea din Convenia108, n special n ceea ce privete condiia
de referire la persoane identificate sau identificabile55.
Definiiile juridice ale datelor cu caracter personal nu clarific momentul n care o
persoan este considerat identificat56. Identificarea n mod evident presupune
elemente care descriu o persoan ntr-un mod n care aceasta se poate distinge de
toate celelalte persoane i poate fi recunoscut ca persoan fizic. Numele unei persoane este un prim exemplu de element de descriere. n cazuri excepionale, alte
elemente de identificare pot avea un efect similar ca cel al numelui. De exemplu, n
cazul persoanelor publice, este suficient s se fac referire la funcia persoanei, de
exemplu, Preedintele Comisiei Europene.
Exemplu: n cauza Promusicae57, CJUE a declarat c nu se contest faptul c
respectiva comunicare a numelui i a adreselor anumitor utilizatori ai [unei
anumite platforme de partajare de fiiere prin internet], solicitat de Promusicae, presupune punerea la dispoziie a unor date, cu caracter personal, mai
precis a unor informaii privind persoane fizice identificate sau identificabile,
n conformitate cu definiia cuprins la articolul2 litera(a) din Directiva95/46
[]. Aceast comunicare de informaii care, n opinia Promusicae, sunt stocate
de Telefnica fapt necontestat de aceasta din urm constituie o prelucrare
de date cu caracter personal, n sensul articolului2 primul paragraf din Directiva2002/58, coroborat cu articolul2 litera(b) din Directiva95/46.
Deoarece multe dintre nume nu sunt unice, stabilirea identitii unei persoane poate
necesita elemente de identificare suplimentare pentru a garanta c o persoan nu
este confundat cu altcineva. Data i locul naterii sunt deseori utilizate. n plus, n
unele ri au fost introduse numere personalizate pentru o mai bun difereniere a
cetenilor. Datele biometrice, cum ar fi amprentele, fotografiile digitale sau scanarea irisului, devin din ce n ce mai importante pentru identificarea persoanelor n era
tehnologic.
40
55
A se vedea Hotrrea CEDO din 16 februarie 2000 n cauza Amann/Elveia [T], nr.27798/95, punctul 65
etal.
56
A se vedea i Hotrrea CEDO din 13 februarie 2003 n cauza Odivre/Frana [T], nr. 42326/98; i
Hotrrea CEDO din 25septembrie2012 n cauza Godelli/Italia, nr.33783/09.
57
Hotrrea CJUE din 29 ianuarie 2008 n cauza Productores de Msica de Espaa (Promusicae)/Telefnica
de Espaa SAU, C275/06, punctul45.
59
CoE, Comitetul de Minitri (1990), Recomandarea nr. R Rec(90) 19 privind protecia datelor cu caracter
personal utilizate pentru pli i alte operaiuni conexe, 13septembrie1990.
41
Autentificarea
Aceasta este o procedur prin care o persoan poate dovedi c are o anumit identitate i/sau este autorizat s ntreprind anumite aciuni, cum ar fi s ptrund ntr-o
zon de securitate sau s retrag bani dintr-un cont bancar. Autentificarea se poate
realiza prin compararea datelor biometrice, cum ar fi o fotografie sau amprenta digital ntr-un paaport, cu datele cu care persoana se identific, de exemplu, la controlul imigraiei; prin solicitarea de informaii care pot fi cunoscute numai de ctre
persoana avnd o anumit identitate sau autorizare, cum ar fi un numr personal de
identificare(PIN) sau o parol sau prin solicitarea prezentrii unui anumit token, care
ar trebui s aparin exclusiv persoanei cu o anumit identitate sau autorizare, cum
ar fi o cartel cu cip sau cheia unui seif bancar. Pe lng parole sau cartele cu cip,
uneori, semnturile electronice, utilizate mpreun cu PIN-ul, sunt un instrument prin
care o persoan se poate identifica i autentifica n cadrul comunicaiilor electronice.
Natura datelor
Orice tip de informaii pot fi date cu caracter personal cu condiia ca acestea s fac
referire la o persoan.
Exemplu: Evaluarea performanei profesionale a unui angajat realizat de un
supervizor, stocat n dosarul personal al angajatului, reprezint date cu caracter
personal ale angajatului, chiar dac reflect, integral sau parial, numai opinia
personal a supervizorului, cum ar fi: angajatul nu este dedicat muncii sale, i
nu fapte concrete, cum ar fi: angajatul a lipsit de la locul de munc cinci sptmni n ultimele ase luni.
Datele cu caracter personal includ informaiile care aparin vieii private a unei persoane, precum i informaiile referitoare la viaa profesional sau public a acesteia.
n cauza Amann60, CEDO a interpretat c noiunea de date cu caracter personal nu
se limiteaz la aspecte ale sferei private a unei persoane (a se vedea seciunea2.1.1).
Acest neles al termenului de date cu caracter personaleste relevant i pentru
Directiva privind protecia datelor:
60
42
61
Cauzele conexate C-92/09 i C-93/09, Volker und Markus Schecke GbR i Hartmut Eifert/Land Hessen,
9noiembrie2010, punctul59.
62
63
Hotrrea CEDO din 24iunie2004 n cauza Von Hannover/Germania, nr.59320/00; Hotrrea CEDO din
11ianuarie2005 n cauza Sciacca/Italia, nr.50774/99.
43
video prin TVCI64 sau sunete65. Informaiile nregistrate pe suport electronic, precum
i informaiile pe suport de hrtie, pot fi date cu caracter personal; chiar i probele de
celule de esut uman pot constitui date cu caracter personal, ntruct conin ADN-ul
unei persoane.
44
64
Hotrrea CEDO din 28ianuarie2003 n cauza Peck/RegatulUnit, nr.44647/98; Hotrrea CEDO din
5octombrie2010 n cauza Kpke/Germania, nr.420/07.
65
Directiva privind protecia datelor, considerentele16 i17; Hotrrea CEDO din 25septembrie2001 n
cauza P.G. i J.H./RegatulUnit, nr.44787/98, punctele59 i60; Hotrrea CEDO din 20decembrie2005
n cauza Wisse/Frana, nr.71611/01.
66
Datele anonimizate
Datele devin anonime n cazul n care toate elementele de identificare sunt eliminate
dintr-un set de date cu caracter personal. Niciun element nu poate fi lsat n informaiile care, prin exercitarea unui efort rezonabil, ar putea servi la reidentificarea
persoanei (persoanelor) vizate68. n cazul n care datele au fost anonimizate cu succes, acestea nu mai constituie date cu caracter personal.
Dac datele cu caracter personal nu mai servesc scopului lor iniial, dar urmeaz a
fi pstrate ntr-o form personalizat n scopul utilizrii istorice, statistice sau tiinifice, Directiva privind protecia datelor i Convenia108 permit aceast posibilitate
cu condiia aplicrii unor garanii adecvate mpotriva utilizrii incorecte69.
Datele pseudonimizate
Informaiile personale conin elemente de identificare, cum ar fi numele, data naterii, sexul i adresa. Cnd informaiile personale devin pseudonime, elementele de
67
Directiva privind protecia datelor, articolul 6 alineatul (1) litera (e); Convenia108, art.5 litera(e).
68
Ibidem, considerentul26.
69
Ibidem, articolul 6 alineatul (1) litera (e); i Convenia 108, articolul5 litera(e).
45
identificare sunt nlocuite cu un pseudonim. Pseudonimizarea se obine, spre exemplu, prin codificarea elementelor de identificare din datele cu caracter personal.
Datele pseudonimizate nu sunt menionate n mod explicit n definiiile juridice ale
Conveniei108, i nici n cele ale Directivei privind protecia datelor. Cu toate acestea, Raportul explicativ al Conveniei108 prevede la articolul42 c [c]erina [...]
privind limitele de timp pentru stocarea datelor n forma asociat numelui acestora
nu nseamn c dup o anumit perioad de timp datele trebuie s fie separate irevocabil de numele persoanei la care se refer, doar c asocierea ntre date i elementele de identificare nu ar trebui s fie posibil n mod direct. Acesta este un
efect care poate fi obinut prin procesul de pseudonimizare a datelor. Pentru toate
persoanele care nu dein o cheie de decodificare, datele devenite pseudonime pot fi
identificabile cu dificultate.,Legtura cu o identitate nc exist sub forma pseudonimului plus cheia de decodificare. Pentru acele persoane care au dreptul s utilizeze
cheia de decodare, reidentificarea este uor posibil. Trebuie create garanii speciale
mpotriva utilizrii cheilor de codificare de ctre persoane neautorizate.
ntruct pseudonimizarea datelor reprezint unul dintre cele mai importante mijloace
de protecie a datelor la scar larg, n cazul n care reinerea total de la utilizarea
datelor cu caracter personal nu este posibil, logica i efectul unei astfel de aciuni
trebuie explicate n detaliu.
Exemplu: Propoziia Charles Spencer, nscut la 3aprilie1967, este tatl a
patrucopii, doibiei i doufete poate fi, de exemplu, pseudonimizat dup
cum urmeaz:
C.S.1967 este tatl a patrucopii, doibiei i doufete sau
324este tatl a patru copii, doibiei i doufete sau
YESz320l este tatl a patrucopii, doibiei i doufete.
Utilizatorii care acceseaz aceste date pseudonimizate nu vor putea, n mod normal,
s l identifice pe Charles Spencer, nscut la 3aprilie1967 din 324 sau YESz3201.
Prin urmare, datele pseudonimizate pot fi mai sigure mpotriva utilizrii incorecte.
Cu toate acestea, primul exemplu este mai puin sigur. Dac afirmaia C. S.1967,
este tatl a patru copii, doi biei i dou fete este utilizat n localitatea de domiciliu
46
Convenia 108, articolul 2 litera (c) i Directiva privind protecia datelor, articolul2 litera (b) i articolul3
alineatul(1).
47
71
48
Hotrrea CJUE din 6 noiembrie 2003 n cauza Bodil Lindqvist, C-101/01, punctul27.
72
73
Ibidem, considerent27.
74
75
76
n ceea ce privete natura operaiunilor de prelucrare incluse, conceptul de prelucrare este cuprinztor att n temeiul dreptului european, ct i n temeiul legislaiei CoE: prelucrarea datelor cu caracter personal [] nseamn orice operaiune
[] cum ar fi colectarea, nregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvluirea prin transmitere, diseminare
sau n orice alt mod, alturarea ori combinarea, blocarea, tergerea sau distrugerea77 care se efectueaz asupra datelor cu caracter personal. Termenul prelucrare
include i aciuni prin care datele nu se mai afl n responsabilitatea unui operator i
sunt transferate sub rspunderea unui alt operator.
Exemplu: Angajatorii colecteaz i prelucreaz datele angajailor lor, inclusiv
informaiile legate de salariile acestora. Temeiul juridic pentru a aciona astfel n
mod legitim este contractul de munc.
Angajatorii vor trebui s transmit autoritilor fiscale datele privind salariile
personalului. Acest transfer de date va constitui, de asemenea, prelucrare
n sensul acestui termen din Convenia 108 i din directiv. Cu toate acestea,
temeiul juridic pentru aceast dezvluire nu este contractul de munc. Trebuie
s existe un temei juridic suplimentar pentru operaiunile de prelucrare care au
drept rezultat transferul datelor privind salariile de la angajator ctre autoritile
fiscale. Acest temei juridic este, de obicei, cuprins n dispoziiile legislaiei fiscale
naionale. Fr o astfel de dispoziie, transferul datelor ar constitui prelucrare
ilegal.
Oricine decide s prelucreze datele cu caracter personal ale altor persoane este un
operator n conformitate cu legislaia privind protecia datelor; n cazul n care mai
multe persoane iau aceast decizie mpreun, acestea pot fi operatori comuni.
77
Directiva privind protecia datelor, articolul 2 litera (b). n mod similar, a se vedea i Convenia108,
articolul2 litera(c).
49
Un destinatar ter este o persoan sau o entitate separat din punct de vedere juridic
de operator, dar care primete date cu caracter personal de la operator.
50
Operatorul
n temeiul dreptului european, operatorul este definit ca fiind persoana care singur sau mpreun cu altele, stabilete scopurile i mijloacele de prelucrare a datelor
cu caracter personal82. Decizia unui operator stabilete motivul i metoda prelucrrii
datelor. n temeiul legislaiei CoE, definiia operatorului precizeaz n plus c un
operator decide categoriile de date cu caracter personal care trebuie nregistrate83.
Convenia 108 face referire n definiia operatorului la un aspect ulterior al controlului, care necesit atenie. Aceast definiie vizeaz persoana sau autoritatea competent conform legii s prelucreze anumite date pentru o anumit finalitate. Cu toate
acestea, n cazul n care se presupune c au loc operaiuni de prelucrare ilegale, iar
operatorul responsabil trebuie identificat, operator va fi considerat persoana sau
entitatea, cum ar fi o societate sau autoritate, care a luat decizia prelucrrii datelor,
79
80
Ibidem, punctul27.
81
Ibidem, punctul47.
82
83
51
indiferent dac era ndreptit legal s acioneze astfel sau nu84. Prin urmare, cererea de tergere trebuie ntotdeauna adresat operatorului efectiv.
Controlul comun
Definiia operatorului din Directiva privind protecia datelor prevede c pot
exista i mai multe entiti separate din punct de vedere juridic, care, mpreun sau
n comun cu altele, acioneaz n calitate de operator. nseamn c acestea decid
mpreun s prelucreze date pentru un scop comun85. Totui, acest lucru este posibil
din punct de vedere juridic numai n cazul n care exist un temei juridic special care
s prevad prelucrarea n comun a datelor pentru un scop comun.
Exemplu: O baz de date administrat n comun de mai multe instituii de credit
pentru clienii lor ru platnici este un exemplu frecvent de control comun. Atunci
cnd o persoan solicit o linie de credit la una dintre bncile care deine control
comun, bncile vor consulta baza de date pentru a putea lua decizii informate cu
privire la bonitatea solicitantului.
Regulamentele nu menioneaz explicit dac un control comun presupune ca scopul
comun s fie acelai pentru fiecare dintre operatori sau dac este suficient ca scopurile acestora s se suprapun doar parial. Cu toate acestea, nicio jurispruden
relevant nu este nc disponibil la nivel european i nu exist claritate cu privire la
consecinele asumrii rspunderii. Grupul de lucru Articolul29 susine o interpretare
mai larg a conceptului de control comun cu scopul de a permite o oarecare flexibilitate pentru a satisface complexitatea tot mai mare a realitii actuale privind prelucrarea datelor86. Un caz care implic Societatea pentru Telecomunicaii Financiare
Interbancare Mondiale(SWIFT) ilustreaz poziia Grupului de lucru.
Exemplu: n aa-numitul caz SWIFT, instituiile bancare europene au angajat
SWIFT, iniial n calitate de operator, pentru a efectua transferul de date n timpul tranzaciilor bancare. SWIFT a dezvluit datele legate de aceste tranzacii
bancare, stocate ntr-un centru de servicii informatice din Statele Unite, Departamentului american al Trezoreriei, fr a i se impune acest lucru n mod explicit
52
84
A se vedea, de asemenea, Grupul de lucru Articolul 29 (2010), Avizul 1/2010 privind conceptele de
operator i persoan mputernicit de ctre operator, WP 169, Bruxelles, 16februarie2010, p.15.
85
86
Grupul de lucru Articolul 29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP 169, Bruxelles, 16februarie2010, p.19.
de ctre instituiile bancare europene care au angajat-o. Dup evaluarea legalitii acestei situaii, Grupul de lucru Articolul 29 a ajuns la concluzia c instituiile bancare europene care au angajat SWIFT, precum i SWIFT, trebuiau s fie
considerate operatori comuni responsabili n faa clienilor europeni pentru dezvluirea datelor lor autoritilor americane87. Prin decizia de a transmite datele,
SWIFT i-a asumat n mod ilegal rolul de operator; instituiile bancare nu i-au
respectat, n mod evident, obligaiile de supraveghere a persoanei mputernicite
i, prin urmare, nu puteau fi absolvite complet de responsabilitatea lor n calitate
de operator. Aceast situaie atrage dup sine controlul comun.
87
Grupul de lucru Articolul 29 (2006), Avizul 10/2006 privind prelucrarea datelor cu caracter personal
de ctre Societatea Internaional pentru Telecomunicaii Financiare Interbancare (SWIFT), WP128,
Bruxelles, 22noiembrie2006.
88
53
54
Grupul de lucru Articolul 29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP 169, Bruxelles, 16februarie2010, p.25; i Grupul de lucru
Articolul29 (2006), Avizul10/2006 privind prelucrarea datelor cu caracter personal de ctre
Societatea Internaional pentru Telecomunicaii Financiare Interbancare (SWIFT), WP128, Bruxelles,
22noiembrie2006.
Grupul de lucru Articolul29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP169, Bruxelles, 16februarie2010, p.26.
91
92
93
55
este persoana fizic sau juridic, autoritatea public, agenia sau orice organism,
altul dect persoana vizat, operatorul, persoana mputernicit i persoanele care,
sub directa autoritate a operatorului sau a persoanei mputernicite, sunt autorizate
s prelucreze date. Aceasta nseamn c persoanele care lucreaz pentru o organizaie diferit din punct de vedere juridic de operator chiar dac aparine aceluiai grup sau societi de tip holding vor fi (sau vor aparine unui) ter. Pe de
alt parte, sucursalele unei bnci care prelucreaz conturile clienilor sub autoritatea
direct a sediului lor central nu pot fi considerate teri94.
Destinatar este un termen cu semnificaie mai larg dect ter. n sensul articolului2 litera(g) din Directiva privind protecia datelor, destinatar nseamn persoana
fizic sau juridic, autoritatea public, agenia sau orice alt organism cruia i sunt transmise datele, indiferent dac este sau nu ter. Acest destinatar poate fi o persoan din
afara operatorului sau a persoanei mputernicite de ctre operator n acest caz un ter
sau cineva din cadrul operatorului sau al persoanei mputernicite de ctre operator,
cum ar fi un angajat sau o alt divizie din cadrul aceleiai societi sau autoriti.
Diferena ntre destinatari i teri este important numai datorit condiiilor pentru
dezvluirea legal a datelor. Angajaii unui operator sau ai unei persoane mputernicite de ctre operator pot fi, fr nicio alt dispoziie juridic, destinatari ai datelor
cu caracter personal, n cazul n care sunt implicai n operaiunile de prelucrare ale
operatorului sau persoanei mputernicite de ctre operator. Pe de alt parte, un ter,
separat din punct de vedere juridic de operator i de persoana mputernicit de ctre
operator, nu este autorizat s utilizeze datele cu caracter personal prelucrate de operator, cu excepia cazului n care exist temeiuri juridice ntr-o anumit situaie. Prin
urmare, destinatarii teri ai datelor vor avea ntotdeauna nevoie de un temei juridic
pentru primirea legal a datelor cu caracter personal.
Exemplu: Angajatul unei persoane mputernicite de ctre operator, care utilizeaz datele cu caracter personal n limita atribuiilor ncredinate de angajator,
este destinatarul datelor, ns nu ter, deoarece utilizeaz datele n numele i n
conformitate cu instruciunile persoanei mputernicite de ctre operator.
Cu toate acestea, n cazul n care acelai angajat decide s utilizeze datele, pe
care le poate accesa n calitate de angajat al persoanei mputernicite de ctre
operator, n scopuri proprii i le vinde unei alte societi, atunci se consider
c angajatul a acionat n calitate de ter. Acesta nu mai respect ordinele
94
56
Grupul de lucru Articolul29 (2010), Avizul 1/2010 privind conceptele de operator i persoan
mputernicit de ctre operator, WP169, Bruxelles, 16februarie2010, p.31.
persoanei mputernicite de ctre operator (angajatorul). n calitate de ter, angajatul are nevoie de un temei juridic pentru a achiziiona i a vinde datele. n acest
exemplu, angajatul, n mod cert, nu posed un astfel de temei juridic i, prin
urmare, aciunile sale sunt ilegale.
2.4. Consimmntul
Puncte-cheie
Ca temei juridic pentru prelucrarea datelor cu caracter personal, consimmntul trebuie s fie liber, informat i specific.
95
57
Numai n cazul n care toate aceste trei condiii sunt ndeplinite, consimmntul va fi
valabil n sensul legislaiei privind protecia datelor.
Convenia 108 nu conine o definiie a consimmntului; acesta este lsat la aprecierea legislaiei interne. Cu toate acestea, n temeiul legislaiei CoE, elementele unui
consimmnt valabil corespund celor explicate mai sus, astfel cum se prevede n
recomandrile elaborate n conformitate cu Convenia10896. Cerinele privind consimmntul sunt aceleai ca pentru o declaraie de intenie valabil, conform dreptului civil european.
Cerinele suplimentare conform dreptului civil pentru un consimmnt valabil, cum
ar fi capacitatea juridic, se aplic evident i n contextul proteciei datelor, ntruct
aceste cerine reprezint condiii juridice prealabile. Consimmntul nevalid al persoanelor lipsite de capacitate juridic va avea ca rezultat absena unui temei juridic
pentru prelucrarea datelor acelor persoane.
Consimmntul poate fi acordat fie explicit97, fie implicit. Primul tip nu las loc de
ndoial cu privire la inteniile persoanei vizate i poate fi acordat verbal sau n scris;
al doilea tip este dedus din circumstane. Orice consimmnt se acord n mod
neechivoc98. Aceasta nseamn c nu trebuie s existe nicio ndoial cu privire la
dorina persoanei vizate de a-i da consimmntul pentru prelucrarea datelor sale.
De exemplu, deducerea consimmntului din simpla inactivitate nu poate constitui
un consimmnt neechivoc. n cazul n care datele care trebuie prelucrate sunt sensibile, consimmntul explicit este obligatoriu i trebuie s fie neechivoc.
96
58
97
98
99
A se vedea, de asemenea, Grupul de lucru Articolul29 (2011), Avizul 15/2011 privind conceptul de
consimmnt, WP187, Bruxelles, 13iulie2011, p.12.
Exemplu: n multe aeroporturi, pasagerii trebuie s treac prin scanere corporale pentru a putea intra n zona de mbarcare100. Avnd n vedere c datele
persoanelor sunt prelucrate n timpul scanrii, aceast prelucrare trebuie s
se conformeze unuia dintre temeiurile juridice n baza articolului 7 din Directiva privind protecia datelor (a se vedea seciunea4.1.1). Uneori trecerea prin
scanerele corporale este prezentat pasagerilor sub form de opiune, ceea ce
presupune c prelucrarea poate fi justificat prin consimmntul lor. Cu toate
acestea, pasagerii se tem c refuzul de a trece prin scanerele corporale poate
crea suspiciune sau poate determina controale suplimentare, cum ar fi percheziiile corporale. Muli pasageri consimt scanarea deoarece evit, astfel, posibile
probleme sau ntrzieri. Se presupune c acest consimmnt nu este suficient
de liber exprimat.
Prin urmare, un temei juridic solid poate exista numai ntr-un act al legislatorului, n baza articolului 7 litera (e) din Directiva privind protecia datelor, avnd
ca rezultat obligarea pasagerilor de a coopera innd seama de interesul public
predominant. Aceast legislaie poate prevedea totui alegerea ntre scanare i
control manual, dar numai ca msuri suplimentare de control la frontier n circumstane speciale. Acestea sunt aspecte prevzute de Comisia European n
dou regulamente viznd scanerele de securitate din anul 2011101.
Consimmntul liber exprimat poate fi ameninat i n situaii de subordonare,
n cazul n care exist un dezechilibru semnificativ economic sau de alt natur
ntre operatorul care asigur consimmntul i persoana vizat care acord
consimmntul102.
Exemplu: O societate mare intenioneaz s creeze un repertoriu cu numele
tuturor angajailor, funcia acestora n cadrul societii i adresele profesionale,
100 Acest exemplu este luat din Ibidem, p.15.
101 Regulamentul (UE) nr. 1141/2011 al Comisiei din 10noiembrie2011 de modificare a Regulamentului
(CE) nr.272/2009 de completare a standardelor de baz comune n domeniul securitii aviaiei civile n
ceea ce privete utilizarea scanerelor de securitate n aeroporturile UE, MO2011L293, i Regulamentul
de punere n aplicare (UE) nr.1147/2011 al Comisiei din 11noiembrie2011 de modificare a
Regulamentului (UE) nr.185/2010 de stabilire a msurilor detaliate de implementare a standardelor
de baz comune n domeniul securitii aviaiei n ceea ce privete utilizarea scanerelor de securitate n
aeroporturile UE, MO2011L294.
102 A se vedea, de asemenea, Grupul de lucru Articolul29 (2001), Avizul8/2001 privind prelucrarea datelor
cu caracter personal n contextul ocuprii forei de munc, WP48, Bruxelles, 13septembrie2001;
i Grupul de lucru Articolul29 (2005), Document de lucru privind interpretarea comun a
articolului26alineatul (1) din Directiva95/46/CE din 24octombrie1995, WP114, Bruxelles,
25noiembrie2005.
59
60
Consimmntul informat
Persoana vizat trebuie s dein suficiente informaii nainte de a lua o decizie.
Dac informaiile furnizate sunt sau nu suficiente se poate stabili numai de la caz la
caz. De obicei, consimmntul informat va cuprinde o descriere precis i uor de
neles a scopului pentru care se solicit consimmntul i, n plus, va prezenta consecinele acordrii sau neacordrii consimmntului. Limbajul utilizat pentru informare trebuie s fie adaptat pentru destinatarii previzibili ai informaiilor.
De asemenea, informaiile trebuie s fie uor accesibile persoanei vizate. Accesibilitatea i vizibilitatea informaiilor sunt elemente importante. ntr-un mediu online,
notificrile stratificate pot fi o soluie optim, ntruct, pe lng o versiune concis a
informaiilor, persoana vizat poate accesa i o versiune mai extins a acestora.
Consimmntul specific
Pentru a fi valabil, consimmntul trebuie s fie i specific. Acest lucru este dublat
de calitatea informaiilor furnizate cu privire la scopul pentru care se solicit consimmntul. n acest context, ateptrile rezonabile ale unei persoane vizate obinuite
vor fi relevante. Consimmntul unei persoane vizate trebuie solicitat din nou atunci
cnd operaiunile de prelucrare urmeaz a fi adugate sau modificate ntr-un mod
care nu putea fi prevzut n mod rezonabil n momentul acordrii consimmntului
iniial.
Exemplu: n cauza Deutsche Telekom AG103, CJUE a analiza problema dac un
furnizor de servicii de telecomunicaii care a trebuit s transmit datele cu
caracter personal ale abonailor n temeiul articolului 12 din Directiva asupra
confidenialitii i comunicaiilor electronice104 trebuia s rennoiasc consimmntul persoanelor vizate, ntruct destinatarii nu au fost stabilii n momentul
acordrii consimmntului iniial.
CJUE a considerat c, n temeiul acelui articol, rennoirea consimmntului nainte de transmiterea datelor nu este necesar, deoarece persoanele vizate au
103 Hotrrea CJUE din 5mai2011 n cauza C-543/09, Deutsche Telekom AG/Bundesrepublik Deutschland;
a se vedea n special punctele53 i54.
104 Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind prelucrarea
datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice, MO2002L201
(Directiva asupra confidenialitii i comunicaiilor electronice).
61
avut posibilitatea, n baza acestei dispoziii, s consimt numai n ceea ce privete prelucrarea, i anume, dezvluirea datelor lor, i nu au putut opta pentru
alte directoare n care s poat fi nregistrate aceste date.
Aa cum a evideniat Curtea, dintr-o interpretare contextual i sistematic a
articolului12 din Directiva asupra confidenialitii i comunicaiilor electronice
reiese c, n temeiul alineatului (2) al acestui articol, consimmntul privete
finalitatea publicrii datelor cu caracter personal ntr-o list public de abonai,
iar nu identitatea furnizorului unei liste de abonai specifice105. De asemenea,
nsi publicarea datelor cu caracter personal ntr-o list public de abonai cu
o finalitate specific se poate dovedi prejudiciabil pentru un abonat106, i nu
pentru autorul acestei publicri.
105 Hotrrea CJUE din 5mai2011 n cauza Deutsche Telekom AG/Bundesrepublik Deutschland, C-543/09;
a se vedea n special punctul61.
106 Ibidem, a se vedea n special punctul62.
62
Principiile-cheie ale
legislaiei europene
privind protecia datelor
UE
Aspecte vizate
CoE
CEDO, Taylor-Sabori/
Regatul Unit, nr.47114/99,
22octombrie2002
CEDO, Peck/Regatul
Unit, nr.44647/98,
28ianuarie2003
CEDO, Khelili/
Elveia, nr.16188/07,
18octombrie2011
Principiul limitrii
i specificitii
scopului
Principiile calitii
datelor:
Pertinena datelor
CEDO, Leander/Suedia,
nr.9248/81, 26 martie 1987
Convenia108,
articolul5litera(b)
Convenia108, articolul5
litera(c)
Exactitatea datelor Convenia108, articolul5
litera(d)
Limitarea duratei Convenia108, articolul5
de pstrare a
litera(e)
datelor
63
UE
Aspecte vizate
Excepii pentru
cercetare tiinific
i statistici
Directiva privind protecia datelor, articolul6 Principiul prelucrrii
alineatul (1) litera (a)
corecte
Directiva privind protecia datelor, articolul6
alineatul (1) litera (e)
CoE
Convenia108, articolul9
alineatul(3)
Convenia108, articolul5
litera(a)
CEDO, Haralambie/
Romnia, nr.21737/03,
27octombrie2009
CEDO, K.H. i alii/
Slovacia, nr.32881/04,
6noiembrie2009
Principiul
responsabilitii
Principiile prevzute la articolul5 din Convenia108 consacr esena legislaiei europene privind protecia datelor. Acestea apar i la articolul6 din Directiva privind protecia datelor ca punct de plecare pentru dispoziii mai detaliate n articolele urmtoare ale directivei. Orice legislaie ulterioar privind protecia datelor la nivelul CoE
sau UE trebuie s respecte aceste principii, iar acestea trebuie avute n vedere n
momentul interpretrii legislaiei. Orice derogri i restricii cu privire la aceste principii-cheie pot fi prevzute la nivel naional107; acestea trebuie s fie prevzute de
lege, s urmreasc un scop legitim i s constituie o msur necesar ntr-o societate democratic. Toate cele trei condiii trebuie ndeplinite.
este necesar ntr-o societate democratic pentru atingerea unui scop legitim.
107 Convenia108, articolul9 alineatul (2); Directiva privind protecia datelor, articolul13 alineatul(2).
64
n temeiul dreptului european i al legislaiei CoE privind protecia datelor, principiul prelucrrii legale este primul principiu denumit; acesta este exprimat n termeni
aproape identici n articolul5 din Convenia108 i articolul6 din Directiva privind
protecia datelor.
Niciuna dintre aceste dispoziii nu conine o definiie a ceea ce constituie prelucrarea legal. Pentru a nelege acest termen juridic, este necesar s se fac referire la
intervenia legitim n temeiul Conveniei europene a drepturilor omului, astfel cum
este interpretat de jurisprudena Conveniei europene a drepturilor omului, i la
condiiile limitrilor legale n temeiul articolului52 din Cart.
Conformitatea cu legea
Potrivit jurisprudenei CEDO, intervenia este n conformitate cu legea dac se
bazeaz pe o prevedere a dreptului intern, care prezint anumite caliti. Legea trebuie s fie accesibil persoanelor n cauz i previzibil n ceea ce privete efectele108. O norm este previzibil numai atunci cnd este redactat cu suficient precizie, n aa fel nct s permit oricrei persoane fizice care, la nevoie, poate apela la
consultan de specialitate s i corecteze conduita109. Gradul de precizie impus
legii n legtur cu acest aspect va depinde de finalitatea specific110.
108 Hotrrea CEDO din 16februarie2000 n cauza Amann/Elveia [T], nr.27798/95, punctul50; a se vedea
i Hotrrea CEDO din 25martie1998 n cauza Kopp/Elveia, nr.23224/94, punctul55 i Hotrrea
CEDO din 10februarie2009 n cauza Iordachi i alii/Moldova, nr.25198/02, punctul50.
109 Hotrrea CEDO din 16februarie2000 n cauza Amann/Elveia [T], nr.27798/95, punctul56; a se
vedea, de asemenea, Hotrrea CEDO din 2august1984 n cauza Malone/RegatulUnit, nr.8691/79,
punctul66; Hotrrea CEDO din 25martie1983 n cauza Silver i alii/RegatulUnit, nr.5947/72,
6205/73, 7052/75, 7061/75, 7107/75, 7113/75, punctul88.
110 Hotrrea CEDO din 26aprilie1979 n cauza The Sunday Times/RegatulUnit, nr.6538/74, punctul49;
a se vedea, de asemenea, Hotrrea CEDO din 25martie1983 n cauza Silver i alii/RegatulUnit,
nr.5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75, punctul88.
65
Exemplu: n cauza Rotaru/Romnia111, CEDO a constatat o nclcare a articolului8 din Convenia european a drepturilor omului, ntruct Romnia a permis
colectarea, nregistrarea i arhivarea n fiiere secrete a unor informaii care
aduc atingere securitii naionale, fr a stabili limitri ale exercitrii acestor
puteri, care au rmas la aprecierea autoritilor. De exemplu, legislaia intern
nu definea tipul de informaii care puteau fi prelucrate, categoriile de persoane
mpotriva crora se puteau lua msuri de supraveghere, circumstanele n care
aceste msuri puteau fi adoptate sau procedura care trebuia urmat. Avnd n
vedere aceste deficiene, Curtea a concluzionat c legislaia intern nu respect
cerina de previzibilitate n temeiul articolului8 din Convenia european a drepturilor omului i c articolul fusese nclcat.
Exemplu: n cauza Taylor-Sabori/Regatul Unit112, reclamantul fusese inta msurilor de supraveghere ale poliiei. Utiliznd o clon a pager-ului acestuia, poliia
a putut intercepta mesajele care i erau trimise. Ulterior, reclamantul a fost arestat i acuzat de conspiraie la trafic de substane controlate. O parte a dosarului
de acuzare consta n note scrise contemporane din mesajele primite pe pager,
care fuseser transcrise de poliie. Cu toate acestea, la data procesului reclamantului, legislaia britanic nu coninea nicio dispoziie care s reglementeze
interceptarea comunicaiilor transmise prin intermediul unui sistem personal
de telecomunicaii. Prin urmare, intervenia asupra drepturilor sale nu a fost n
conformitate cu legea. CEDO a concluzionat c articolul8 din Convenia european a drepturilor omului a fost nclcat.
66
67
116 Hotrrea CEDO din 11iulie1985 n cauza Leander/Suedia, nr.9248/81, punctele59 i67.
68
69
Corespondena ntre principiul prelucrrii legale n temeiul dreptului european i dispoziiile relevante ale Conveniei europene a drepturilor omului este promovat i
prin articolul6 alineatul(3) din TUE, care prevede c drepturile fundamentale, astfel
cum sunt garantate prin Convenia european pentru aprarea drepturilor omului i
a libertilor fundamentale [], constituie principii generale ale dreptului Uniunii.
Scopul prelucrrii datelor trebuie s fie definit n mod vizibil nainte de nceperea
prelucrrii.
Utilizarea ulterioar a datelor pentru un alt scop necesit un temei juridic suplimentar n
cazul n care scopul prelucrrii este incompatibil cu cel iniial.
Transferul de date ctre teri constituie un scop nou care necesit un temei juridic
suplimentar.
119 Convenia108, articolul5 litera(b); Directiva privind protecia datelor, articolul6 alineatul(1) litera(b).
120 A se vedea, de asemenea, Grupul de lucru Articolul 29 (2013), Avizul 3/2013 privind limitarea scopului,
WP203, Bruxelles, 2aprilie2013.
70
Orice scop nou de prelucrare a datelor trebuie s aib propriul temei juridic special
i nu se poate baza pe faptul c datele au fost dobndite sau prelucrate iniial n alt
scop legitim. n schimb, prelucrarea legitim este limitat la scopul specificat iniial
i orice scop nou de prelucrare va necesita un nou temei juridic separat. Dezvluirea
datelor ctre teri va trebui analizat cu deosebit atenie, deoarece dezvluirea va
constitui, de regul, un nou scop i, prin urmare, va necesita un temei juridic diferit
de cel pentru care au fost colectate datele.
Exemplu: O companie aerian colecteaz date de la pasagerii si pentru ca
ageniile de rezervare de bilete s gestioneze zborurile n mod adecvat. Compania aerian va avea nevoie de date privind: numerele de loc ale pasagerilor; limitri fizice speciale, cum ar fi necesitatea unui scaun cu rotile; i cerine
alimentare speciale, cum ar fi alimente de tip kosher sau halal. n cazul n care
companiilor aeriene li se solicit s transfere aceste date, care sunt incluse n
registrele cu numele pasagerilor, ctre autoritile n domeniul imigraiei de la
locul de debarcare, aceste date sunt astfel utilizate n scopuri de control al imigraiei, care difer de scopul iniial pentru care au fost colectate. Prin urmare,
transferul acestor date ctre o autoritate din domeniul imigraiei va necesita un
temei juridic nou i separat.
Atunci cnd analizeaz ntinderea i limitele unui anumit scop, Convenia108 i
Directiva privind protecia datelor recurg la conceptul de compatibilitate: utilizarea
datelor n scopuri compatibile este permis n baza temeiului juridic iniial. Cu toate
acestea, semnificaia compatibilitii nu este definit i las loc pentru interpretare
de la caz la caz.
Exemplu: Vnzarea datelor privind clienii societii Sunshine obinute n timpul
gestionrii relaiei cu clienii(CRM) ctre o societate de marketing direct, societatea Moonlight, care dorete s utilizeze aceste date pentru a oferi asisten
campaniilor de marketing ale unor tere societi, constituie un scop nou, care
nu este compatibil cu CRM, scopul iniial al societii Sunshine pentru colectarea
datelor privind clienii. Prin urmare, vnzarea datelor ctre societatea Moonlight
necesit un nou temei juridic.
n schimb, utilizarea de societatea Sunshine a datelor CRM pentru propriul scop
de marketing, i anume transmiterea de mesaje de marketing ctre clieni n
legtur cu produsele sale, este n general acceptat drept scop compatibil.
71
Principiile calitii datelor trebuie implementate de operator n cadrul tuturor operaiunilor de prelucrare.
Principiul limitrii duratei de pstrare a datelor face necesar tergerea datelor imediat
ce acestea nu mai servesc scopului pentru care au fost colectate.
Excepiile de la principiul limitrii duratei de pstrare a datelor trebuie stabilite prin lege
i necesit garanii speciale pentru protejarea datelor persoanelor vizate.
72
73
Exemplu: O societate care comercializeaz mobil a colectat date privind identitatea i adresa unui client pentru transmiterea unei facturi. ase luni mai trziu, aceeai societate dorete s nceap o campanie de marketing i dorete
s intre n contact cu fotii clieni. Pentru a-i contacta, societatea dorete s
acceseze registrul naional al rezidenilor, care poate conine adresele actualizate, ntruct rezidenii sunt obligai prin lege s informeze registrul cu privire
la adresa lor curent. Accesul la datele incluse n acest registru este limitat la
persoanele i entitile care pot oferi un motiv ntemeiat.
n aceast situaie, societatea nu poate utiliza argumentul conform cruia datele
trebuie pstrate exacte i actualizate pentru a susine c este ndreptit s
colecteze datele privind noile adrese ale tuturor fotilor si clieni din registrul rezidenilor. Datele au fost colectate n timpul facturrii; pentru acest scop,
adresa de la momentul vnzrii este relevant. Nu exist niciun temei juridic
pentru colectarea datelor privind noile adrese, ntruct marketingul nu reprezint un interes care s surclaseze dreptul la protecia datelor i, prin urmare, nu
poate justifica accesarea datelor din registru.
Pot exista cazuri n care actualizarea datelor stocate s fie interzis prin lege, ntruct
scopul stocrii datelor este, n principal, acela de a documenta evenimente.
Exemplu: Un raport medical de operare nu trebuie modificat, altfel spus, actualizat, chiar dac ulterior se dovedete c observaiile menionate n raport sunt
greite. n astfel de situaii, pot fi fcute numai completri la observaiile raportului, att timp ct acestea sunt marcate n mod clar ca fiind contribuii efectuate
ulterior.
Pe de alt parte, exist situaii n care verificarea periodic a exactitii datelor, inclusiv actualizarea, constituie o necesitate absolut dat fiind daunele poteniale care
pot fi cauzate persoanei vizate n cazul n care datele ar rmne inexacte.
Exemplu: Dac o persoan dorete s ncheie un contract cu o instituie bancar,
atunci banca va verifica n mod normal bonitatea potenialului client. n acest
sens exist baze de date speciale, care conin date privind istoricul de credibilitate al unor persoane particulare. Dac o astfel de baz de date furnizeaz date
incorecte sau care nu mai sunt de actualitate cu privire la o persoan, aceast
persoan se poate confrunta cu probleme grave. Prin urmare, operatorii unor
74
75
Cu excepia cazului n care legea permite n mod special acest lucru, prelucrarea datelor
nu se realizeaz n secret sau pe ascuns.
Persoanele vizate au dreptul s i acceseze datele indiferent de locul n care sunt prelucrate acestea.
Principiul prelucrrii corecte guverneaz n principal relaia dintre operator i persoana vizat.
3.4.1. Transparena
Acest principiu stabilete obligaia operatorului de a informa persoanele vizate cu
privire la modul n care le sunt utilizate datele.
Exemplu: n cauza Haralambie/Romnia125, reclamantul a solicitat accesul la un
dosar pe care organizaia serviciilor secrete l-a pstrat cu privire la persoana sa,
ns solicitarea a fost onorat abia dup cinci ani. CEDO a reiterat c persoanele
care fac obiectul dosarelor personale deinute de autoritile publice au un interes vital n a le putea accesa. Autoritile aveau datoria de a asigura o procedur
eficient pentru obinerea accesului la aceste informaii. CEDO a considerat c
nici cantitatea dosarelor transferate i nici deficienele sistemului de arhivare nu
justific o ntrziere de cinci ani n acordarea accesului reclamantului la dosarele
care l privesc. Autoritile nu au asigurat reclamantului o procedur eficient i
accesibil pentru a-i permite s obin accesul la dosarele personale ntr-o perioad de timp rezonabil. Curtea a concluzionat c articolul8 din Convenia european a drepturilor omului a fost nclcat.
76
77
de convingtoare pentru a respinge accesul efectiv al reclamantelor la informaiile privind starea lor de sntate. Curtea a concluzionat c articolul8 a fost
nclcat.
n legtur cu serviciile de internet, caracteristicile sistemelor de prelucrare a datelor
trebuie s permit persoanelor vizate s neleag efectiv ce se ntmpl cu datele
lor.
Prelucrarea corect nseamn, de asemenea, c operatorii sunt pregtii s depeasc cerinele juridice minime obligatorii de serviciu pentru persoanele vizate, n
cazul n care interesele legitime ale persoanelor vizate impun acest lucru.
Responsabilitatea presupune implementarea activ a unor msuri de ctre operatori pentru promovarea i garantarea proteciei datelor n timpul activitilor lor de
prelucrare.
Operatorii trebuie s poat demonstra n orice moment conformitatea cu dispoziiile privind protecia datelor persoanelor vizate, publicului larg i autoritilor de
supraveghere.
Organizaia pentru Cooperare i Dezvoltare Economic(OCDE) a adoptat n 2013 orientri privind viaa privat care au scos n eviden faptul c operatorii au un rol
important n aplicarea proteciei datelor. Orientrile elaboreaz un principiu al responsabilitii n sensul c un operator de date trebuie s fie responsabil pentru conformitatea cu msurile care dau efect principiilor [materiale] susmenionate127.
ntruct Convenia 108 nu face nicio referire la responsabilitatea operatorilor, lsnd
acest subiect, n esen, n seama dreptului intern, articolul6 alineatul(2) din Directiva privind protecia datelor menioneaz c operatorii trebuie s asigure conformitatea cu principiile referitoare la calitatea datelor incluse la alineatul1.
127 OCDE (2013), Orientri privind reglementarea proteciei vieii private i a fluxurilor transfrontaliere de
date cu caracter personal, articolul14.
78
79
Normele legislaiei
europene privind protecia
datelor
UE
Aspecte vizate
CoE
Recomandarea privind
crearea de profile,
articolul3.4 litera (b)
iarticolul3.6
Relaie (pre)
Recomandarea privind
contractual
crearea de profile,
articolul3.4 litera (b)
Obligaiile legale Recomandarea privind
ale operatorului
crearea de profile,
articolul3.4 litera (a)
Interesele vitale ale Recomandarea privind
persoanei vizate crearea de profile,
articolul3.4 litera (b)
Interesul public
Recomandarea privind
i exercitarea
crearea de profile,
autoritii oficiale articolul3.4 litera (b)
Interesele legitime Recomandarea privind
ale altora
crearea de profile,
articolul3.4 litera (b)
81
UE
Aspecte vizate
82
CoE
Convenia108, articolul6
Convenia108, articolul6
Convenia108, articolul6
Convenia108, articolul7
CEDO, I./Finlanda,
nr.20511/03, 17iulie2008
Notificri privind
nclcarea
securitii datelor
Obligaia de
confidenialitate
Transparena n
general
Informare
Excepii de la
obligaia de
informare
Notificare
Convenia108, articolul8(a)
Convenia108,
articolul8litera (a)
Convenia 108, articolul 9
Recomandarea privind
crearea de profile,
articolul9.2 litera (a)
Verificare
prealabil
Responsabili de
Recomandarea privind
protecia datelor cu crearea de profile,
caracter personal articolul8.3
Coduri de conduit
Principiile au, n mod necesar, caracter general. Aplicarea lor unor situaii concrete
las o anumit marj de interpretare i alegere a mijloacelor. n temeiul legislaiei
CoE, este la latitudinea prilor la Convenia108 s clarifice aceast marj de interpretare n cadrul legislaiilor lor interne. Situaia n temeiul dreptului european este
diferit: pentru stabilirea proteciei datelor n cadrul pieei interne, s-a considerat
necesar elaborarea unor norme detaliate la nivel european pentru armonizarea
nivelului de protecie a datelor din cadrul legislaiilor naionale ale statelor membre.
Directiva privind protecia datelor stabilete, n temeiul principiilor prevzute la articolul6, un nivel de norme detaliate care trebuie aplicate fidel n legislaia naional.
Aadar, urmtoarele observaii privind normele detaliate de protecie a datelor la
nivel european vizeaz n mod predominant dreptul european.
interesele vitale ale persoanelor vizate necesit prelucrarea datelor lor sau
Prelucrarea legal a datelor sensibile cu caracter personal se supune unui regim special, mai strict.
Directiva privind protecia datelor conine dou seturi diferite de norme pentru prelucrarea legal a datelor: unul pentru date nesensibile, la articolul7, i unul pentru
date sensibile, la articolul8.
83
Consimmntul
n temeiul legislaiei CoE, consimmntul nu este prevzut la articolul8din Convenia european a drepturilor omului i nici n Convenia108. Este, totui, menionat
n jurisprudena CEDO i n mai multe recomandri ale Consiliului Europei. n temeiul
dreptului european, consimmntul, ca temei pentru prelucrarea legitim a datelor,
este stabilit ferm la articolul7litera (a) din Directiva privind protecia datelor i este
menionat n mod explicit i n articolul8 din Cart.
Relaia contractual
Un alt temei pentru prelucrarea legitim a datelor cu caracter personal n temeiul
dreptului european, enumerat la articolul7litera (b) din Directiva privind protecia
datelor, este legat de [necesitatea] pentru executarea unui contract la care subiectul datelor este parte. Aceast dispoziie reglementeaz i relaiile precontractuale.
De exemplu: o parte intenioneaz s ncheie un contract, ns nu a fcut-o nc,
posibil din cauza unor verificri rmase de finalizat. n cazul n care una dintre pri
trebuie s prelucreze date n acest scop, aceast prelucrare este legitim n msura
n care exist posibilitatea lurii unor msuri, la cererea persoanei vizate, nainte de
ncheierea contractului.
n temeiul legislaiei CoE, protecia drepturilor i libertilor altora este prevzut
la articolul8alineatul (2) din Convenia european a drepturilor omului ca motiv
pentru intervenia legitim n dreptul la protecia datelor.
84
sectorul privat; obligaiile legale ale operatorilor de date din sectorul privat intr sub
incidena articolului7litera (e) din directiv. Exist multe cazuri n care operatorii din
sectorul privat sunt obligai prin lege s prelucreze date despre alte persoane, de
exemplu, medicii i spitalele au obligaia legal de a stoca date privind tratamentul
pacienilor pentru mai muli ani, angajatorii trebuie s prelucreze datele angajailor
din motive de securitate social i fiscal, iar ntreprinderile trebuie s prelucreze
datele clienilor din motive de impozitare.
n contextul transferului obligatoriu al datelor privind pasagerii de ctre companiile
aeriene ctre autoritile strine privind controlul imigraiei, a aprut ntrebarea dac
obligaiile legale n temeiul legislaiei strine ar putea constitui sau nu un temei legal
pentru prelucrarea datelor n temeiul dreptului european (acest aspect este discutat
n detaliu n seciunea6.2).
Obligaiile legale ale operatorului servesc drept temei juridic pentru prelucrarea legitim a datelor i n temeiul legislaiei CoE. Astfel cum a fost subliniat anterior, obligaiile legale ale unui operator din sectorul privat reprezint doar un caz specific de
interese legitime ale altor persoane, dup cum se menioneaz n articolul8 alineatul (2) din Convenia european a drepturilor omului. Exemplul de mai sus este, prin
urmare, relevant i pentru legislaia CoE.
85
86
87
137 Hotrrea CJUE din 24noiembrie2011 n cauzele conexate C-468/10 i C-469/10, Asociacin Nacional
de Establecimientos Financieros de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD) Administracin del Estado.
138 Ibidem, punctul28. A se vedea i Directiva privind protecia datelor, considerentele8 i10.
88
89
90
fcute publice de ctre persoanele vizate n mod manifest. Aceast dispoziie presupune n mod evident c dezvluirea de ctre persoana vizat a datelor sale trebuie
interpretat ca implicnd consimmntul persoanei vizate pentru utilizarea acestor
date.
91
Interesul public
n plus, n conformitate cu articolul8 alineatul(4) din Directiva privind protecia datelor, statele membre pot prevedea scopuri suplimentare pentru prelucrarea datelor
sensibile, atta timp ct:
datele sunt prelucrate pentru un motiv de interes public important;
se prevede astfel prin legislaia intern sau prin decizia autoritii de supraveghere i
legislaia intern sau decizia autoritii de supraveghere include garanii corespunztoare n vederea protejrii efective a intereselor persoanelor vizate149.
Un exemplu elocvent l constituie sistemele electronice de date medicale, care
urmeaz a fi instituite n multe state membre. Aceste sisteme permit punerea la dispoziie a datelor privind starea de sntate, colectate de ctre furnizorii de asisten
medical pe parcursul tratrii unui pacient, pentru ali furnizori de asisten medical
ai aceluiai pacient, la scar larg, de regul, la nivel naional.
Grupul de lucru Articolul 29 a concluzionat c aceste sisteme nu pot fi instituite n
conformitate cu normele juridice existente privind prelucrarea datelor pacienilor, n baza articolului8 alineatul(3) din Directiva privind protecia datelor. Cu toate
acestea, presupunnd c existena acestor sisteme electronice de date medicale
constituie un motiv de interes public important, se poate ntemeia pe articolul8
148 Ibidem, articolul8 alineatul (2) litera (e).
149 Ibidem, articolul8 alineatul (4).
92
Normele privind securitatea prelucrrii implic obligarea operatorului i a persoanei mputernicite de ctre operator de a implementa msuri tehnice i organizatorice
adecvate pentru prevenirea unei intervenii neautorizate asupra operaiunilor de prelucrare a datelor.
costuri i
Prelucrarea securizat a datelor este garantat n plus prin obligaia general a tuturor
persoanelor, operatorilor sau persoanelor mputernicite de ctre operatori de a asigura
confidenialitatea datelor.
Obligarea operatorilor i a persoanelor mputernicite de ctre operatori de a implementa msuri adecvate pentru asigurarea securitii datelor este, aadar, prevzut
de legislaia CoE privind protecia datelor, precum i n legislaia european privind
protecia datelor.
93
94
95
ce dosarul era napoiat ctre arhiv. Pentru Curte, determinant a fost faptul c
registrul de evidene funcional n spital nu era, n mod evident, conform cu dispoziiile legislaiei interne, fapt cruia instanele interne nu au acordat importana cuvenit.
4.2.2. Confidenialitate
n temeiul dreptului european, prelucrarea securizat a datelor este garantat n
plus prin obligaia general a tuturor persoanelor, operatorilor sau persoanelor
mputernicite de ctre operatori, de a garanta confidenialitatea datelor.
Exemplu: Angajata unei societi de asigurri primete un apel telefonic la locul
de munc de la o persoan care spune c este client i solicit informaii cu privire la contractul su de asigurare.
155 A se vedea Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind
prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor electronice,
(Directiva asupra confidenialitii i comunicaiilor electronice), MO2002L201, articolul4 alineatul(3),
modificat prin Directiva2009/136/CE a Parlamentului European i a Consiliului din 25noiembrie2009
de modificare a Directivei2002/22/CE privind serviciul universal i drepturile utilizatorilor cu privire la
reelele i serviciile de comunicaii electronice; a se vedea i Directiva2002/58/CE privind prelucrarea
datelor personale i protejarea confidenialitii n sectorul comunicaiilor electronice i Regulamentul
(CE) nr.2006/2004 privind cooperarea dintre autoritile naionale nsrcinate s asigure aplicarea
legislaiei n materie de protecie a consumatorului, MO2009L337.
96
156 Directiva privind protecia datelor, articolul3 alineatul (2) a doua liniu.
157 Ibidem
158 Hotrrea CJUE din 6 noiembrie 2003 n cauza Bodil Lindqvist, C-101/01.
97
s asigure documentarea intern a prelucrrii cu ajutorul unui responsabil independent de protecia datelor cu caracter personal, n cazul n care legislaia naional
prevede aceast procedur.
Principiul prelucrrii corecte impune transparena prelucrrii. Legislaia CoE stabilete, n acest sens, c orice persoan trebuie s poat stabili existena fiierelor de
98
4.3.1. Informare
n conformitate cu legislaia CoE, precum i cu dreptul european, operatorii prelucrrilor au obligaia s informeze n prealabil persoana vizat cu privire la intenia
de prelucrare161. Aceast obligaie nu depinde de o solicitare din partea persoanei
vizate, ns trebuie respectat n mod proactiv de operator, indiferent dac persoana
vizat se arat interesat sau nu de informaii.
Coninutul informaiilor
Informaiile trebuie s includ scopul prelucrrii, precum i identitatea i datele de
contact ale operatorului162. Directiva privind protecia datelor impune furnizarea de
informaii suplimentare n msura n care innd seama de circumstanele specifice
n care sunt colectate datele, sunt necesare pentru asigurarea unei prelucrri corecte
a datelor cu privire la persoana vizat. Articolele10 i 11 din directiv subliniaz,
printre altele, categoriile de date prelucrate i destinatarii acestor date, precum i
existena dreptului de acces la date i a dreptului de rectificare a acestora. n cazul n
care datele sunt colectate de la persoanele vizate, informaiile ar trebui s clarifice
dac rspunsurile la ntrebri sunt obligatorii sau voluntare, precum i consecinele
posibile ale evitrii rspunsului163.
159 Convenia108, articolul8 litera (a).
160 Ibidem, articolul9 alineatul (2) i Directiva privind protecia datelor, articolul13 alineatul(1).
161 Convenia108, articolul8 litera (a); Directiva privind protecia datelor, articolele10i11.
162 Convenia108, articolul8 litera (a) i Directiva privind protecia datelor, articolul10 literele(a) i(b).
163 Directiva privind protecia datelor, articolul10 litera(c).
99
100
101
4.3.2. Notificare
Legislaia naional poate obliga operatorii s notifice autoritatea de supraveghere
competent cu privire la operaiunile lor de prelucrare astfel nct acestea s poat fi
publicate. Alternativ, legislaia naional poate prevedea ca operatorii s angajeze un
responsabil de protecia datelor cu caracter personal, care s rspund n special de
pstrarea unui registru cu operaiunile de prelucrare efectuate de operator167. Registrul intern trebuie s fie pus la dispoziia membrilor publicului, la cerere.
Exemplu: O notificare, precum i documentarea unui responsabil intern de protecia datelor cu caracter personal trebuie s descrie principalele funcii ale prelucrrii de date n cauz. Aceast descriere va include informaii despre operator, scopul prelucrrii, temeiul juridic al prelucrrii, categoriile de date prelucrate,
posibilii destinatari teri i msura n care sunt prevzute fluxuri transfrontaliere
de date, i dac da, care sunt acestea.
Publicarea notificrilor de ctre autoritatea de supraveghere trebuie s ia forma unui
registru special. Pentru ndeplinirea obiectivului, accesul la acest registru ar trebui s
fie facil i gratuit. Acelai lucru este valabil pentru documentaia pstrat de responsabilul de protecia datelor cu caracter personal al operatorului.
Excepiile de la obligativitatea de notificare a autoritii de supraveghere competente sau de angajare a unui responsabil intern de protecia datelor pot fi prevzute
n legislaia naional, operaiunile de prelucrare care nu sunt susceptibile a prezenta
un risc specific pentru persoanele vizate fiind enumerate n articolul18 alineatul(2)
din Directiva privind protecia datelor168.
Prin dezvoltarea principiului responsabilitii, Directiva privind protecia datelor menioneaz mai multe instrumente pentru promovarea conformitii:
102
responsabilii de protecia datelor cu caracter personal, care vor asigura operatorului expertiz special n domeniul proteciei datelor;
Legislaia CoE propune instrumente similare pentru promovarea conformitii n Recomandarea sa privind crearea de profile.
103
104
drept intern adoptate de statele membre n temeiul directivei, n funcie de particularitile diferitelor sectoare172.
Pentru a asigura conformitatea acestor coduri de conduit cu dispoziiile de drept
intern adoptate n temeiul Directivei privind protecia datelor, statele membre trebuie s stabileasc o procedur de evaluare a codurilor. Aceast procedur ar necesita, de regul, implicarea autoritii naionale, a asociaiilor profesionale i a altor
organe reprezentnd alte categorii de operatori173.
Proiectele de coduri comunitare i modificrile sau prorogrile codurilor comunitare
existente pot fi prezentate Grupului de lucru Articolul29 pentru evaluare. n urma
aprobrii de ctre Grupul de lucru, Comisia European poate asigura o publicitate
adecvat acestor coduri174.
Exemplu: Federaia European de Marketing Direct i Interactiv(FEDMA) a elaborat un Cod european de practic pentru utilizarea datelor cu caracter personal
n cadrul marketingului direct. Codul a fost prezentat cu succes Grupului de lucru
Articolul29. n anul2010 a fost adugat o anex privind comunicrile electronice de marketing175.
105
Drepturile persoanelor
vizate i punerea
naplicare a acestora
UE
Dreptul de acces
Directiva privind protecia datelor,
articolul12
Aspecte vizate
CoE
Convenia108,
articolul8litera (c)
CEDO, Cemalettin Canli/
Turcia, nr.22427/04,
18noiembrie2008
CEDO, Segerstedt-Wiberg i
alii/Suedia, nr.62332/00,
6iunie2006
CEDO, Ciubotaru/
Moldova, nr.27138/04,
27aprilie2010
Dreptul de opoziie
Directiva privind protecia datelor,
articolul14 alineatul (1)litera (a)
Dreptul de opoziie
ca urmare a
situaiei speciale a
persoanei vizate
Dreptul de opoziie
fa de utilizarea
ulterioar a datelor
n scopuri de
marketing
Recomandarea privind
crearea de profile,
articolul5.3
Recomandarea privind
marketingul direct,
articolul4.1
107
UE
Directiva privind protecia datelor,
articolul15
Supraveghere independent
Carta, articolul8alineatul (3)
Directiva privind protecia datelor,
articolul28
Aspecte vizate
CoE
Cerere ctre
operator
Cereri depuse la
o autoritate de
supraveghere
Instane
judectoreti (n
general)
Instane naionale
Convenia108,
articolul8litera (b)
Convenia108, Protocol
adiional, articolul1alineatul
(2)litera (b)
Convenia european
a drepturilor omului,
articolul13
Convenia 108, Protocol
adiional, articolul1
alineatul(4)
CJUE
108
Convenia european
a drepturilor omului,
articolul34
UE
Ci de atac i sanciuni
Carta, articolul47
Directiva privind protecia datelor,
articolele22 i 23
CJUE, C-14/83, Sabine von Colson i Elisabeth
Kamann/Land Nordrhein-Westfalen,
10aprilie1984
Aspecte vizate
Pentru nclcri ale
legislaiei naionale
privind protecia
datelor
Convenia european
a drepturilor omului,
articolul13 (doar pentru
statele membre ale CoE)
Convenia108, articolul10
CEDO, K.U./Finlanda,
nr.2872/02, 2martie2008
CoE
CEDO, Biriuk/Lituania,
nr.23373/03,
25noiembrie2008
Pentru nclcri
ale dreptului UE de
ctre instituiile i
organele UE
Eficacitatea normelor juridice, n general, i a drepturilor persoanelor vizate, n special, depinde ntr-o msur considerabil de existena unor mecanisme adecvate
pentru punerea n aplicare a acestora. n conformitate cu legislaia european privind
protecia datelor, persoana vizat trebuie s fie mputernicit n temeiul legislaiei
naionale s i protejeze datele personale. De asemenea, trebuie nfiinate autoriti
independente de supraveghere, conform legislaiei naionale, care s asiste persoanele vizate n exercitarea drepturilor lor i pentru a supraveghea procesul de prelucrare a datelor cu caracter personal. n plus, dreptul de acces la o cale de atac eficient, astfel cum este garantat prin Convenia european a drepturilor omului i prin
Cart, prevede punerea la dispoziie a cilor de atac juridice pentru fiecare persoan.
Orice persoan are dreptul, n temeiul legislaiei naionale, s solicite de la orice operator, informaii care s indice dac operatorul respectiv prelucreaz datele acesteia.
109
solicite rectificarea (sau blocarea, dup caz) a datelor personale de ctre operatorul care se ocup de prelucrarea datelor acestora, n cazul n care datele respective
sunt incorecte;
solicite tergerea sau blocarea, dup caz, a datelor personale de ctre operator, n
cazul n care acesta prelucreaz datele respective n mod ilegal.
110
111
112
n cazul n care se efectueaz evaluri automate, se impune explicarea logicii generale a evalurii, inclusiv criteriile specifice care au fost luate n considerare pentru
evaluarea persoanei vizate.
Directiva nu specific n mod clar dac dreptul de acces la informaii se refer la trecut i, dac da, la ce perioad anume din trecut. n acest sens, astfel cum se subliniaz n jurisprudena CJUE, dreptul de acces la datele proprii nu poate fi restricionat
n mod nejustificat prin termene limit. Persoanelor vizate trebuie s li se acorde, de
asemenea, o posibilitate rezonabil de a obine informaii cu privire la operaiunile
de prelucrare a datelor efectuate anterior.
Exemplu: n cauza Rijkeboer179, CJUE i s-a solicitat s stabileasc dac, n conformitate cu articolul12 litera(a) din directiv, dreptul unei persoane de a avea
acces la informaii privind destinatarii sau categoriile de destinatari ai datelor cu
caracter personal i coninutul datelor comunicate poate fi limitat la o perioad
de un an anterioar datei de prezentare a cererii de acces.
Pentru a stabili dac la articolul12 litera(a) din directiv se prevede un astfel de
termen limit, Curtea a hotrt s interpreteze acest articol n lumina scopului
directivei. Curtea a concluzionat iniial c dreptul de acces este necesar pentru a
permite persoanei vizate s i exercite dreptul de a solicita operatorului rectificarea, tergerea sau blocarea datelor sale [articolul12 litera(b)] sau s notifice
terii crora le-au fost comunicate datele respective privind rectificarea, tergerea sau blocarea acestora [articolul112 litera(c)]. Dreptul de acces este, de
asemenea, necesar pentru a permite persoanei vizate s i exercite dreptul de
opoziie la prelucrarea datelor sale cu caracter personal (articolul14) sau dreptul
su la o cale de atac n cazul n care sufer un prejudiciu (articolele22 i23).
Pentru a asigura efectul practic al dispoziiilor susmenionate, Curtea a hotrt
c dreptul respectiv trebuie s fac referire, n mod obligatoriu, la trecut. Dac
nu se procedeaz astfel, persoana vizat nu are posibilitatea efectiv de a-i
exercita dreptul de a rectifica, terge sau bloca datele pe care le consider a fi
deinute ilegal sau inexacte sau de a intenta o aciune n justiie i de a obine
despgubiri pentru prejudiciul suferit.
179 Hotrrea CJUE din 7mai2009 n cauza College van burgemeester en wethouders van Rotterdam/
M.E.E. Rijkeboer, C-553/07.
113
114
115
116
Cu toate acestea, dac, ntre timp, datele au fost publicate pe internet, de exemplu,
tergerea acestora n toate cazurile poate fi imposibil, ntruct destinatarii datelor
nu pot fi identificai. n conformitate cu Directiva privind protecia datelor, contactarea destinatarilor datelor n scopul rectificrii, tergerii sau blocrii datelor este obligatorie, cu excepia cazului n care acest lucru se dovedete imposibil sau presupune un efort disproporionat186.
117
interesele persoanei vizate, fie nu sunt n joc ntruct decizia a fost luat n favoarea
persoanei vizate, fie sunt protejate prin alte mijloace adecvate188. Dreptul de opoziie
fa de deciziile automatizate este, de asemenea, inerent n cadrul legislaiei CoE,
astfel cum rezult din Recomandarea privind crearea de profile189.
118
Pentru a asigura o protecie eficient a datelor, se impune nfiinarea de autoriti independente de supraveghere n conformitate cu legislaia naional.
s rspund plngerilor i s asiste persoana vizat n probleme legate de presupusele nclcri ale drepturilor de protecie a datelor;
sesizarea instanei.
Directiva privind protecia datelor prevede supravegherea independent ca mecanism important n asigurarea unei protecii eficiente a datelor. Directiva a introdus
192 CoE, Comitetul de Minitri (1985), articolul4 alineatul (1) din Recomandarea Rec(85)20 din
25octombrie1985 ctre statele membre privind protecia datelor cu caracter personal utilizate n
scopuri de marketing direct.
119
193 OCDE (2013), Orientri privind reglementarea proteciei vieii private i a fluxurilor transfrontaliere de
date cu caracter personal, punctul19 litera (c).
194 Regulamentul (CE) nr.45/2001 al Parlamentului European i al Consiliului din 18decembrie2000 privind
protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i
organele comunitare i privind libera circulaie a acestor date, MO2001L8, articolele41-48.
120
195 Directiva privind protecia datelor, articolul28 alineatul (1), ultima tez; Convenia108, Protocol adiional,
articolul1 alineatul(3).
196 A se vedea FRA (2010), Drepturi fundamentale: provocri i realizri n2010, Raport anual2010, p.59.
FRA a abordat acest aspect n detaliu n raportul privind Protecia datelor n Uniunea European: rolul
autoritilor naionale pentru protecia datelor, publicat n mai2010.
197 Hotrrea CJUE din 9martie2010 n cauza Comisia European/Republica Federal Germania, C-518/07,
punctul27.
198 Ibidem, punctele17 i29.
121
prelucrarea datelor cu caracter personal199. Curtea a concluzionat c n exercitarea atribuiilor cu care sunt nvestite, autoritile de supraveghere trebuie
s acioneze n mod obiectiv i imparial. n acest sens, acestea trebuie s acioneze independent de orice influen exterioar, inclusiv de influena direct
sau indirect a statului sau a landurilor, i nu numai de influena organelor
supravegheate200.
CJUE a constatat, de asemenea, c sensul sintagmei n condiii de independen deplin trebuie interpretat avnd n vedere independena AEPD, astfel
cum este definit n Regulamentul privind protecia datelor de ctre instituiile
europene. Astfel cum a subliniat Curtea, la articolul 44 alineatul(2) din respectivul regulament se clarific noiunea de independen adugnd specificaia c
AEPD nu solicit i nici nu primete instruciuni din partea altcuiva, n ndeplinirea atribuiilor sale. Aceast regul exclude supravegherea de ctre stat a unei
autoriti independente de supraveghere a proteciei datelor201.
n consecin, CJUE a constatat c instituiile germane pentru protecia datelor la
nivel de land responsabile de monitorizarea prelucrrii datelor cu caracter personal de ctre alte organisme dect cele publice nu i-au exercitat atribuiile n
condiii de independen deplin deoarece acestea au fcut obiectul supravegherii de ctre stat.
Exemplu: n cauza Comisia/Austria202, CJUE a evideniat probleme similare privind poziia unor membri ai personalului Autoritii pentru protecia datelor din
Austria (Comisia pentru Protecia Datelor, DSK). Curtea a concluzionat n spe
c legislaia austriac nu a permis Autoritii pentru protecia datelor din Austria
s i exercite atribuiile n condiii de independen deplin, n sensul Directivei privind protecia datelor. Independena APD din Austria nu a fost garantat
n mod suficient deoarece Cancelaria Federal asigur fora de munc a DSK,
supravegheaz aceast instituie i are dreptul de a fi informat n permanen
cu privire la activitatea acesteia.
122
203 Hotrrea CJUE din 8 aprilie2014 n cauza Comisia European/Ungaria, C-288/12, punctele50 i67.
204 Directiva privind protecia datelor, articolul28; a se vedea, de asemenea, Convenia108, Protocol
adiional, articolul1.
123
n conformitate cu Convenia108 i Directiva privind protecia datelor, legislaia naional trebuie s stabileasc ci de atac i sanciuni corespunztoare pentru nclcarea
dreptului de protecie a datelor.
n conformitate cu dreptul UE, dreptul la o cale de atac eficient presupune stabilirea n legislaia naional a unor proceduri legale mpotriva nclcrii drepturilor de
protecie a datelor, indiferent dac este posibil sau nu sesizarea unei autoriti de
supraveghere.
n ultim instan i n anumite condiii, persoanele vizate pot s aduc n atenia CEDO
cazurile de nclcare a legislaiei privind protecia datelor.
De asemenea, persoanele vizate pot sesiza CJUE, ns ntr-o msur extrem de limitat.
124
din punct de vedere legal ctre operator, n special dac se impune sau nu s ia
forma unei cereri scrise, sunt aspecte ce trebuie reglementate de legislaia naional.
Entitatea care a fost sesizat, n calitate de operator, trebuie s rspund la cerere,
chiar dac aceasta nu este operatorul. n orice caz, trebuie transmis un rspuns persoanei vizate n termenul stabilit n legislaia naional, chiar dac acesta nu conine
dect meniunea c nu exist date care fac obiectul prelucrrii n ceea ce privete
solicitantul. n conformitate cu dispoziiile articolului 12 litera(a) din Directiva privind protecia datelor, precum i cu articolul8 litera(b) din Convenia108, la cererea
respectiv trebuie s se rspund fr ntrzieri excesiv. n consecin, legislaia
naional trebuie s prevad un termen de rspuns suficient de scurt, dar care s
permit operatorului s trateze cererea n mod corespunztor.
nainte de a rspunde cererii, entitatea sesizat n calitate de operator trebuie s
stabileasc identitatea solicitantului pentru a constata dac acesta este ntr-adevr
persoana care susine c este i s evite astfel nclcarea grav a confidenialitii.
n cazul n care cerinele privind stabilirea identitii nu sunt reglementate n mod
specific n legislaia naional, acestea trebuie stabilite de ctre operator. Cu toate
acestea, principiul prelucrrii corecte impune operatorilor s nu stabileasc condiii
excesiv de mpovrtoare n ceea ce privete confirmarea identificrii (i autenticitatea cererii, astfel cum s-a discutat n seciunea2.1.1).
Legislaia naional trebuie s trateze, de asemenea, problema dac, nainte de a
rspunde cererii, operatorii au dreptul de a pretinde solicitantului plata unei taxe:
la articolul12 litera(a) din directiv i la articolul8 litera(b) din Convenia108 se
stipuleaz c rspunsul la cererile de acces trebuie furnizat fr cheltuieli [...] excesive. Legislaia naional din numeroase ri europene prevede ca rspunsurile la
cererile formulate n baza legislaiei privind protecia datelor s fie furnizate gratuit,
att timp ct acest lucru nu implic un efort excesiv i neobinuit; la rndul lor, operatorii sunt protejai, n general, prin legislaia naional mpotriva exercitrii abuzive
a dreptului de a obine un rspuns la cereri.
Dac persoana, instituia sau organismul sesizat n calitate de operator nu i contest statutul, entitatea n cauz are obligaia, n termenul prevzut de legislaia
naional:
fie s admit cererea i s notifice solicitantul privind modul n care cererea a fost
soluionat, fie
125
126
utilizarea unui sistem de urmrire a plcuelor de nmatriculare ale autovehiculelor considerat a fi ilegal. Datele nregistrate de aparatele de fotografiat au
fost stocate att n bazele de date locale aparinnd organelor de poliie, ct i
ntr-o baz de date centralizat. Fotografiile plcuelor de nmatriculare au fost
stocate pe o perioad de doi ani, iar fotografiile autoturismelor timp de 90 de
zile. S-a concluzionat c utilizarea excesiv a aparatelor de fotografiat i a altor
forme de supraveghere nu a fost proporional cu problema care se inteniona
a fi soluionat.
127
Dei cererile adresate CEDO pot fi formulate exclusiv mpotriva prilor contractante,
acestea pot viza, de asemenea, n mod indirect, aciuni sau omisiuni ale unor pri
private, n msura n care o parte contractant nu i-a ndeplinit obligaiile pozitive
care i revin n conformitate cu Convenia european a drepturilor omului i nu a prevzut, n legislaia naional, un nivel corespunztor de protecie mpotriva nclcrii
drepturilor de protecie a datelor.
Exemplu: n cauza K.U./Finlanda209, reclamantul minor a depus o plngere privind postarea unui anun de natur sexual la adresa sa pe un site web de
anunuri matrimoniale. Identitatea persoanei care a postat informaia nu a
fost divulgat de furnizorul de servicii n vederea respectrii obligaiilor privind
confidenialitatea impuse de legislaia din Finlanda. Reclamantul a susinut c
legislaia finlandez nu a asigurat un nivel suficient de protecie mpotriva unor
astfel de aciuni desfurate de o persoan privat, care posteaz pe internet informaii incriminatoare privind reclamantul. CEDO a hotrt c statele nu
numai c au obligaia de a se abine de la a interveni n mod arbitrar n viaa
personal a persoanelor fizice, ci trebuie s ndeplineasc, de asemenea, o serie
de obligaii pozitive care implic adoptarea unor msuri care s asigure respectarea vieii private chiar i n ceea ce privete relaiile dintre persoane. n
cazul reclamantului, pentru a se asigura protecia practic i eficient a acestuia,
a fost necesar s se ia msuri eficiente pentru a identifica i urmri penal autorul
infraciunii. Cu toate acestea, protecia respectiv nu a fost acordat de ctre
stat, iar Curtea a concluzionat c s-a nclcat articolul8 dinConvenia european
a drepturilor omului.
Exemplu: n cauza Kpke/Germania210, reclamanta a fost suspectat de furt la
locul de munc i, astfel, a fost supus supravegherii video sub acoperire. CEDO
a concluzionat c niciun aspect nu a indicat c autoritile naionale nu au stabilit un echilibru corect, n aplicarea marjei de apreciere, ntre dreptul reclamantei privind respectul fa de viaa privat a acesteia prevzut la articolul8 i att
interesul angajatorului n protejarea drepturilor de proprietate deinute, ct i
interesul public de bun administrare a justiiei. n consecin, cererea a fost
declarat inadmisibil.
Dac CEDO constat c un stat parte a nclcat oricare dintre drepturile protejate de
Convenia european a drepturilor omului, statul parte n cauz are obligaia de a
209 Hotrrea CEDO din 2martie2009 n cauza K.U./Finlanda, nr.2872/02.
210 Hotrrea CEDO din 5octombrie2010 n cauza Kpke/Germania (dec.), nr.420/07.
128
129
130
n consecin, domnul Seitlinger a formulat o aciune naintea Curii Constituionale a Austriei, n care a susinut c obligaiile legale impuse furnizorului de servicii de telecomunicaii au nclcat drepturile sale fundamentale, n conformitate
cu articolul8 din CartaUE.
CJUE emite o decizie numai privind elementele constitutive ale cererii de hotrre
preliminar formulat n faa acesteia. Instana naional i pstreaz competena
de a se pronuna n cauza iniial.
n principiu, Curtea de Justiie trebuie s rspund la ntrebrile care i sunt adresate.
Aceasta nu poate refuza pronunarea unei hotrri preliminare pe motiv c acest
rspuns nu ar fi relevant sau furnizat n timp util n cauza iniial. Cu toate acestea,
instana poate refuza furnizarea unui rspuns dac ntrebarea nu se ncadreaz n
sfera sa de competen.
n cele din urm, dac se invoc nclcarea drepturilor de protecie a datelor, garantate n temeiul articolului16 din TFUE, de ctre o instituie sau organism european n
timpul prelucrrii datelor cu caracter personal, persoana vizat poate sesiza Tribunalul CJUE [articolul32alineatele (1) i (4) din Regulamentul privind protecia datelor
de ctre instituiile europene]. Aceeai regul se aplic n cazul deciziilor pronunate
de AEPD privind astfel de nclcri [articolul32alineatul (3) din Regulamentul privind
protecia datelor de ctre instituiile europene].
Chiar dac Tribunalul CJUE deine competena de a pronuna hotrri n cauze care au
legtur cu Regulamentul privind protecia datelor de ctre instituiile europene, n
cazul n care o persoan, n calitate de membru al personalului unei instituii sau unui
organism european, formuleaz, totui, o cale de atac, aceasta trebuie s nainteze
recursul la Tribunalul Funciei Publice a UE.
Exemplu: Cauza Comisia European/The Bavarian Lager Co. Ltd213 ilustreaz cile
de atac disponibile mpotriva activitilor sau deciziilor instituiilor i organismelor europene n ceea ce privete protecia datelor.
Bavarian Lager a solicitat Comisiei Europene s i acorde accesul la coninutul complet al procesul-verbal al unei reuniuni organizate de Comisie i despre care se susine c vizeaz aspecte juridice relevante pentru societate. Comisia a respins cererea
213 Hotrrea CJUE din 29iunie2010 n cauza Comisia European/The Bavarian Lager Co. Ltd, C-28/08 P.
131
5.3.4. Sanciuni
n temeiul legislaiei CoE, articolul 10 din Convenia108 prevede ca fiecare parte s stabileasc sanciuni i ci de atac adecvate pentru nclcarea dispoziiilor dreptului intern
care pun n aplicare principiile de baz privind protecia datelor prevzute n Convenia108215. n temeiul dreptului UE, articolul24 din Directiva privind protecia datelor
prevede c statele membre adopt msuri adecvate pentru a asigura aplicarea integral a dispoziiilor prezentei directive i, n special, stabilete sanciunile care urmeaz
s fie aplicate n caz de nclcare a dispoziiilor [].
Ambele instrumente acord statelor membre o marj de apreciere considerabil n
alegerea sanciunilor i a cilor de atac adecvate. Niciunul dintre cele dou instrumente juridice nu furnizeaz indicaii speciale privind natura sau tipul de sanciuni
corespunztoare i nici nu prezint exemple de sanciuni.
Cu toate acestea:
Cu toate c statele membre ale UE beneficiaz de o marj de apreciere n a
stabili care sunt cele mai adecvate msuri pentru protejarea drepturilor care
le revin persoanelor fizice n baza dreptului UE, n conformitate cu principiul
cooperrii loiale prevzut la articolul4alineatul (3) din TUE, trebuie s se
214 Pentru analiza argumentului, a se vedea: AEPD (2011), documentul Accesul public la documente
coninnd date cu caracter personal ulterior hotrrii n cauza Bavarian Lager, Bruxelles, AEPD, disponibil
la: www.secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/
Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
215 Hotrrea CEDO din 17iulie2008 n cauza I./Finlanda, nr.20511/03; Hotrrea CEDO din
2decembrie2008 n cauza K.U./Finlanda, nr.2872/02.
132
133
Fluxuri transfrontaliere
dedate
UE
Aspecte vizate
Definiie
ntre statele
membre ale UE
ntre prile
contractante la
Convenia108
Ctre ri tere cu
nivel corespunztor
de protecie a
datelor
Ctre ri tere n
cazuri specifice
CoE
Convenia 108, Protocol
adiional, articolul2
alineatul(1)
Convenia108, articolul12
alineatul (2)
Convenia108, Protocol
adiional, articolul2 alineatul
(1)
Convenia108, Protocol
adiional, articolul2 alineatul
(2) litera (a)
135
Directiva privind protecia datelor nu prevede doar un flux liber de date ntre statele
membre, ci conine i dispoziii privind cerinele pentru transferul de date cu caracter
personal ctre ri tere din afara UE. CoE a recunoscut, de asemenea, importana
punerii n aplicare a normelor privind fluxurile transfrontaliere de date ctre rile
tere i a adoptat n anul2001 Protocolul adiional la Convenia108. Acest protocol a
preluat principalele caracteristici normative privind fluxurile transfrontaliere de date
de la prile la convenie i statele membre ale UE.
Articolul2 alineatul (1) din Protocolul adiional la Convenia108 descrie fluxul transfrontalier de date ca transferul de date cu caracter personal ctre un destinatar aflat
sub o jurisdicie strin. Articolul25alineatul (1) din Directiva privind protecia datelor reglementeaz transferul ctre o ar ter a datelor cu caracter personal care
fac obiectul prelucrrii sau sunt destinate prelucrrii dup transfer [...]. Un astfel de
transfer de date este permis doar n conformitate cu normele stabilite la articolul2
din Protocolul adiional la Convenia108, iar n cazul statelor membre ale UE, de asemenea, la articolele25 i26 din Directiva privind protecia datelor.
Exemplu: n cauza Bodil Lindqvist218, CJUE a constatat c actul care face trimitere, pe o pagin de internet, la diverse persoane i le identific dup nume
sau prin alte mijloace, de exemplu, prin furnizarea numrului de telefon al acestora sau prin furnizarea de informaii referitoare la condiiile de munc i pasiunile persoanelor respective, constituie prelucrarea datelor personale integral
sau parial prin mijloace automatizate, n sensul articolului3 alineatul(1) din
Directiva95/46.
Pe de alt parte, Curtea a subliniat c directiva stabilete, de asemenea, norme
specifice care au rolul de a permite statelor membre s monitorizeze transferul
de date cu caracter personal ctre ri tere.
218 Hotrrea CJUE din 6noiembrie2003 n cauza Bodil Lindqvist, C-101/01, punctele27, 68 i69.
136
Cu toate acestea, avnd n vedere, n primul rnd, stadiul de dezvoltare a internetului n momentul elaborrii directivei i, n al doilea rnd, lipsa din directiv a
criteriilor aplicabile utilizrilor internetului, nu se poate presupune c legiuitorul
Comunitii a intenionat ca expresia transfer [de date] ctre o ar ter s
includ ncrcarea [...] unor date pe o pagin de internet, chiar dac datele sunt
accesibile persoanelor din rile tere care dispun de mijloacele tehnice pentru
a le accesa.
n caz contrar, dac directiva ar fi interpretat n sensul c transferul de date
ctre o ar ter are loc de fiecare dat cnd datele cu caracter personal sunt
ncrcate pe o pagin de internet, transferul ar fi, n mod obligatoriu, un transfer
ctre toate rile tere n care exist mijloacele tehnice necesare pentru accesarea internetului. Astfel, regimul special prevzut [de directiv] ar deveni, n
mod obligatoriu, un regim de aplicare general, n ceea ce privete operaiunile
desfurate pe internet. n consecin, n cazul n care Comisia ar constata [...]
c o singur ar ter nu asigur un nivel de protecie adecvat, statele membre ar fi obligate s mpiedice publicarea pe internet a oricror date cu caracter
personal.
Principiul conform cruia simpla publicare a datelor (cu caracter personal) nu este
considerat drept flux transfrontalier de date se aplic, de asemenea, i n cazul
registrelor publice online sau mijloacelor de informare n mas, precum ziarele (electronice) i televiziunea. Numai comunicarea care este direcionat ctre anumii destinatari este eligibil pentru noiunea de flux transfrontalier de date.
Transferul de date cu caracter personal ctre un alt stat membru din Spaiul Economic European sau ctre o alt parte contractant la Convenia108 nu trebuie s fie
restricionat.
n conformitate cu articolul12 alineatul (2) din Convenia108, n temeiul legislaiei CoE trebuie s existe un flux liber de date cu caracter personal ntre prile la
convenie. Dreptul intern nu poate restriciona exportul de date cu caracter personal
ctre o parte contractant, cu excepia cazului n care:
137
138
Transferul de date cu caracter personal ctre ri tere nu este restricionat n conformitate cu dreptul naional privind protecia datelor, atunci cnd:
este necesar pentru interesele specifice ale persoanei vizate sau pentru interesele
legitime prioritare ale altor persoane, n special interese publice importante.
n temeiul dreptului UE, caracterul adecvat al proteciei datelor ntr-o ar ter este
evaluat de Comisia European. n conformitate cu legislaia CoE, reglementarea evalurii caracterului adecvat revine dreptului naional.
139
O decizie a Comisiei Europene privind caracterul adecvat are efect obligatoriu. Atunci
cnd Comisia European public o decizie privind caracterul adecvat, pentru o anumit ar, n Monitorul Oficial al Uniunii Europene, toate rile membre ale SEE i
organele acestora sunt obligate s respecte decizia respectiv, ceea ce nseamn c
datele pot circula ctre ara n cauz fr a fi necesar desfurarea de proceduri de
verificare sau de autorizare n faa autoritilor naionale224.
De asemenea, Comisia European poate evalua seciuni ale sistemului juridic al unei
ri sau s se limiteze la subiecte specifice. Comisia a luat o decizie privind caracterul adecvat, de exemplu, numai cu privire la dreptul comercial privat al Canadei225.
Exist, de asemenea, mai multe constatri privind caracterul adecvat n cazul transferurilor efectuate n baza acordurilor ncheiate ntre UE i statele strine. Aceste
decizii se refer exclusiv la un singur tip de transfer de date, precum transmiterea
registrelor cu numele pasagerilor de ctre companiile aeriene autoritilor de control
la frontierele strine, atunci cnd o companie aerian efectueaz zboruri din UE ctre
anumite destinaii transoceanice (a se vedea seciunea6.4.3). Practica recent de
transferare a datelor n baza unor acorduri specifice ncheiate ntre UE i rile tere,
n general, anuleaz necesitatea adoptrii de decizii privind caracterul adecvat, presupunnd c acordul n sine ofer un nivel adecvat de protecie a datelor226.
Una dintre cele mai importante decizii privind caracterul adecvat nu se refer de fapt
la un set de prevederi legale227. Aceasta vizeaz, mai curnd normele, n genul unui
cod de conduit, cunoscute sub denumirea de Principiile sferei de siguran privind
protecia vieii private. Aceste principii au fost elaborate ntre Uniunea European
i StateleUnite ale Americii pentru societile comerciale din SUA. Apartenena la
224 Pentru o list permanent actualizat a rilor care au primit o decizie privind caracterul adecvat, a se
vedea pagina de ntmpinare a Comisiei Europene, Direcia General pentru Justiie, disponibil la: http://
ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm.
225 Comisia European (2002), Decizia 2002/2/CE din 20decembrie2001 n conformitate cu
Directiva95/46/CE a Parlamentului European i a Consiliului privind caracterul adecvat al proteciei
datelor cu caracter personal asigurat prin legea canadian referitoare la protecia informaiilor personale
i documentele electronice, MO2002L2.
226 De exemplu, Acordul dintre Statele Unite ale Americii i Uniunea European privind utilizarea i transferul
de date din registrele cu numele pasagerilor ctre Departamentul pentru Securitate Intern al Statelor
Unite (MO2012L215, pp.5-14), sau Acordul ntre Uniunea European i Statele Unite ale Americii
privind prelucrarea i transferul datelor de mesagerie financiar din Uniunea European ctre Statele
Unite ale Americii n cadrul Programului de urmrire a finanrilor n scopuri teroriste, MO2010L8,
pp.1116.
227 Comisia European (2000), Decizia 2000/520/CE a Comisiei din 26iulie2000 n temeiul
Directivei95/46/CE a Parlamentului European i a Consiliului privind caracterul adecvat al proteciei
oferite de principiile sferei de siguran privind protecia vieii private i ntrebrile de baz aferente
publicate de Departamentul de Comer al SUA, MO2000L215.
140
Principiile sferei de siguran privind protecia vieii private se obine prin angajament voluntar declarat n faa Departamentului de Comer al SUA i documentat
ntr-o list publicat de respectivul departament. Avnd n vedere c unul dintre cele
mai importante elemente ale caracterului adecvat este eficiena punerii n aplicare
a proteciei datelor, Acordul privind sfera de siguran asigur, de asemenea, un
anumit nivel de supraveghere din partea statului: numai societile care fac obiectul
supravegherii Comisiei Federale pentru Comer din SUA pot deveni pri la Acordul
privind sfera de siguran.
Interesele legitime ale altor persoane pot justifica fluxul liber transfrontalier de
date228:
datorit unui interes public important, altele dect interesele de siguran naional sau public, ntruct acestea nu fac obiectul Directivei privind protecia datelor sau
pentru a formula, aplica sau apra cereri legale.
Cazurile menionate mai sus trebuie nelese drept excepii de la norma potrivit
creia transferul direct de date ctre alte ri necesit un nivel adecvat de protecie
a datelor n ara destinatar. Excepiile trebuie s fie ntotdeauna interpretate n mod
restrictiv. Acest aspect a fost subliniat n mod repetat de ctre Grupul de lucru Articolul29 n contextul articolului26 alineatul (1) din Directiva privind protecia datelor,
n special atunci cnd se pretinde c transferul de date se efectueaz pe baz de
consimmnt229. Grupul de lucru Articolul29 a concluzionat c normele generale
cu privire la semnificaia juridic a consimmntului se aplic, de asemenea, articolului26 alineatul (1) din directiv. n cazul n care, n cadrul relaiilor de munc, de
exemplu, nu este clar dac consimmntul dat de angajai a fost de fapt liber exprimat, transferurile de date nu pot fi efectuate n temeiul articolului 26 alineatul(1)
litera (a) din directiv. n astfel de cazuri, se aplic articolul26 alineatul (2), prin care
se solicit autoritilor naionale pentru protecia datelor s emit o autorizaie pentru transferurile de date.
nainte de a exporta date ctre ri tere care nu asigura un nivel adecvat de protecie
a datelor, i se poate solicita operatorulului s supun fluxul de date respectiv unei analize efectuate de ctre autoritatea de supraveghere.
142
Msurile pentru asigurarea unui nivel adecvat de protecie a datelor la destinatar pot
include:
prevederi contractuale ntre operatorul care export date i destinatarul din strintate al datelorsau
Transferurile de date ctre autoritile strine pot fi, de asemenea, reglementate printr-un acord internaional specific.
Directiva privind protecia datelor i Protocolul adiional la Convenia108 autorizeaz dreptul naional s stabileasc regimuri pentru fluxurile transfrontaliere de
date ctre ri tere care nu asigur un nivel adecvat de protecie a datelor, att timp
ct operatorul a luat msuri speciale pentru a oferi garanii adecvate de protecie
a datelor la destinatar i cu condiia ca operatorul s poat dovedi acest lucru n
faa unei autoriti competente. Aceast cerin este menionat explicit numai n
Protocolul adiional la Convenia108; cu toate acestea, cerina este considerat, de
asemenea, a fi o procedur standard n conformitate cu Directiva privind protecia
datelor.
143
144
Registrecunumelepasagerilor
Datele incluse n registrul cu numele pasagerilor (PNR) sunt colectate de transportatorii aerieni pe parcursul procesului de rezervare i includ nume, adrese, detalii
ale crilor de credit i numerele locurilor pasagerilor transportului aerian. n conformitate cu legislaia SUA, companiile aeriene sunt obligate s furnizeze aceste
date Departamentului de Securitate Intern nainte de plecarea pasagerilor. Aceast
regul se aplic zborurilor ctre sau dinspre Statele Unite ale Americii.
Pentru a se asigura protecia adecvat datelor PNR i n conformitate cu prevederile
Directivei95/46/CE, un pachet PNR237 a fost adoptat n 2004. Pachetul includea
235 Coninutul i structura regulilor corporatiste obligatorii corespunztoare sunt explicate n cadrul Grupului
de lucru Articolul29 (2008), Document de lucru de stabilire a unui cadru pentru structura regulilor
corporatiste obligatorii, WP154, Bruxelles, 24iunie2008 i cadrul Grupului de lucru Articolul29 (2008),
Document de lucru pentru crearea unui tabel cu elementele i principiile care trebuie incluse n regulile
corporatiste obligatorii, WP153, Bruxelles, 24iunie2008.
236 Grupul de lucru Articolul 29 (2007), Recomandarea 1/2007 privind cererea standard pentru aprobarea
regulilor corporatiste obligatorii pentru transferul de date cu caracter personal, WP133, Bruxelles,
10ianuarie2007.
237 Decizia Consiliului nr. 496/2004 privind ncheierea unui Acord ntre Comunitatea European i Statele
Unite ale Americii privind prelucrarea i transferul datelor PNR de la transportatorii aerieni ctre
Departamentul de Securitate Intern al Statelor Unite, Biroul Vamal i de Protecie a Frontierelor,
MO2004L183, p.83 i Decizia Comisiei nr. 2004/533/CE din 14 mai 2004 privind protecia adecvat a
datelor cu caracter personal din registrele nominale ale pasagerilor aerieni transferate ctre Biroul vamal
i de protecie la frontier al Statelor Unite ale Americii, MO2004L235, pp.11-22.
145
238 Hotrrea CJUE din 30 mai 2006, cauze comune Parlamentul European/Consiliul Uniunii Europene,
C-317/04 i C-318/04, punctele.57, 58 i 59, n care Curtea a decis c att decizia privind nivelul
adecvat, ct i acordul privind prelucrarea datelor sunt excluse din domeniul de aplicare al Directivei.
239 Decizia2012/472/UE a Consiliului din 26aprilie2012 privind ncheierea Acordului ntre Statele Unite ale
Americii i Uniunea European privind utilizarea i transferul de date din registrele cu numele pasagerilor
ctre Departamentul pentru Securitate Intern al Statelor Unite, MO2012L215/4. Textul Acordului este
anexat la prezenta Decizie, MO2012L215, pp.5-14.
240 Decizia 2012/381/UE a Consiliului din 13decembrie2011 privind ncheierea Acordului ntre Uniunea
European i Australia privind prelucrarea i transferul datelor din registrul cu numele pasagerilor
(PNR) de ctre transportatorii aerieni ctre Serviciul vamal i de protecie a frontierelor din Australia,
MO2012L186/3. Textul acordului, care a nlocuit forma anterioar din 2008, este anexat la prezenta
decizie, MO2012 L186, pp.4-16.
146
orientri globale privind PNR 241, realizarea unui sistem PNR al UE242 i negocierea
unor acorduri cu rile tere243.
n luna aprilie2011, Parlamentul European a solicitat FRA s furnizeze un aviz privind aceast propunere
i conformitatea acesteia cu Carta Drepturilor Fundamentale a Uniunii Europene. A se vedea: FRA (2011),
Avizul 1/2011 Registrul cu numele pasagerilor, Viena, 14iunie2011.
243 UE negociaz un nou acord PNR cu Canada, care va nlocui acordul din 2006 care este n prezent n
vigoare.
244 A se vedea n acest context, Grupul de lucru Articolul29 (2011), Avizul 14/2011 privind aspecte de
protecie a datelor legate de prevenirea splrii banilor i a finanrii terorismului, WP186, Bruxelles,
13iunie2011; Grupul de lucru Articolul29 (2006), Avizul 10/2006 privind prelucrarea datelor cu
caracter personal de ctre Societatea pentru Telecomunicaii Financiare Interbancare Mondiale(SWIFT),
WP128, Bruxelles, 22noiembrie2006; Comisia pentru protecia vieii private (Commission de la
protection de la vie prive) din Belgia (2008), Procedur de control i recomandare iniiat n legtur
cu societatea SWIFT scrl, Decizie, 9decembrie2008.
245 Decizia 2010/412/UE a Consiliului din 13iulie2010 privind ncheierea Acordului dintre Uniunea
European i Statele Unite ale Americii privind prelucrarea i transferul datelor de mesagerie financiar
din Uniunea European ctre Statele Unite ale Americii n cadrul Programului de urmrire a finanrilor
n scopuri teroriste, MO2010L195, pp.3 i4. Textul acordului este anexat la prezenta decizie,
MO2010L195, pp.5-14.
147
148
n cazul n care comunicarea datelor este esenial pentru prevenirea unei ameninri imediate i grave la adresa securitii publice.
Supraveghetori independeni, inclusiv o persoan desemnat de Comisia European,
monitorizeaz conformitatea cu principiile acordului SWIFT.
Persoanele vizate au dreptul de a obine confirmarea din partea autoritii competente pentru protecia datelor din UE c drepturile de protecie a datelor lor cu
caracter personal au fost respectate. Persoanele vizate au, de asemenea, dreptul la
rectificare, dreptul de tergerea sau de blocare a datelor lor colectate i stocate de
Departamentul de Trezorerie al SUA n temeiul acordului SWIFT. Cu toate acestea,
drepturile de acces ale persoanelor vizate pot fi supuse unor restricii legale. Atunci
cnd se refuz accesul, persoana vizat trebuie informat n scris privind refuzul i
dreptul acesteia de a formula ci de atac administrative i judiciare n Statele Unite
ale Americii.
Acordul SWIFT rmne in vigoare pentru o perioad de cinci ani, pn n luna
august2015, i se prelungete automat cu perioade ulterioare de cte un an, cu
excepia cazului n care una dintre pri notific celeilalte intenia sa de a nu prelungi
acordul, cu un preaviz de cel puin ase luni.
149
Protecia datelor
ncontextul poliiei
icercetrii penale
UE
Aspecte vizate
n general
Poliia
CoE
Convenia108
Recomandarea privind sectorul poliienesc
CEDO, B.B./Frana, nr.5335/06,
17decembrie2009
CEDO, S. i Marper/RegatulUnit,
nr.30562/04 i 30566/04,
4decembrie2008
CEDO, Vetter/Frana, nr.59842/00,
31mai2005
Convenia privind criminalitatea informatic
Criminalitate
informatic
Protecia datelor n contextul cooperrii transfrontaliere ntre autoritile poliieneti i judiciare
Decizia-cadru privind
n general
Convenia 108
protecia datelor
Recomandarea privind sectorul poliienesc
Decizia Prm
Decizia Europol
Decizia Eurojust
Regulamentul Frontex
Decizia SchengenII
Regulamentul VIS
Regulamentul Eurodac
Decizia CIS
Pentru date
speciale: amprente,
ADN, huliganism
etc.
De ctre agenii
speciale
Convenia 108
Recomandarea privind sectorul poliienesc
Convenia108
Recomandarea privind datele deinute de
poliie
Prin sisteme de
Convenia 108
informare comune Recomandarea privind sectorul poliienesc
speciale
CEDO, Dalea/Frana, nr.964/07,
2februarie2010
151
247 CoE, Comitetul de Minitri (1987), Recomandare Rec(87)15 ctre statele membre de reglementare a
utilizrii datelor cu caracter personal n sectorul poliienesc, 17septembrie1987.
152
articolului8 alineatul (1) din Convenia european a drepturilor omului. Multe hotrri ale CEDO trateaz motivarea unor astfel de atingeri aduse drepturilor248.
Exemplu: n cauza B.B./Frana249, CEDO a hotrt c introducerea unui delicvent
sexual condamnat ntr-o baz de date naional judiciar intr sub incidena articolului8 din Convenia european a drepturilor omului. Cu toate acestea, avnd
n vedere c au fost implementate suficiente garanii de protecie a datelor, cum
ar fi dreptul persoanei vizate de a solicita tergerea datelor, durata limitat de
pstrare a datelor i accesul limitat la datele respective, s-a stabilit un echilibru
corect ntre interesele concurente din sectorul privat i din sectorul public aflate
n joc. Curtea a concluzionat c nu a existat nicio nclcare a articolului 8din Convenia european a drepturilor omului.
Exemplu: n cauza S. i Marper/RegatulUnit250, ambii reclamani au fost acuzai,
dar nu i condamnai, pentru infraciuni penale. Cu toate acestea, amprentele,
profilurile ADN i probele celulare ale acestora au fost pstrate i stocate de
ctre poliie. Pstrarea pe termen nelimitat a datelor biometrice era permis
prin lege n cazul n care o persoan era suspectat de o infraciune penal,
chiar dac ulterior suspectul era achitat sau exonerat. CEDO a constatat c pstrarea general i nedifereniat a datelor cu caracter personal, care nu a fost
limitat n timp i n cazul n care persoanele achitate aveau doar posibiliti
limitate de a solicita tergerea datelor, a adus atingere n mod disproporionat
dreptului reclamanilor de respectare a vieii private. Curtea a concluzionat c
articolul8din Convenia european a drepturilor omului a fost nclcat.
Multe hotrri ulterioare ale CEDO trateaz motivarea atingerii aduse dreptului la
protecia datelor prin supraveghere.
Exemplu: n cauza Allan/Regatul Unit251, conversaiile private ale unui deinut cu
un prieten n zona de vizit a penitenciarului i cu un coacuzat ntr-o celul au
fost nregistrate n secret de ctre autoriti. CEDO a constatat c utilizarea de
248 A se vedea, de exemplu, Hotrrea CEDO din 26 martie 1987 n cauza Leander/Suedia, nr.9248/81;
Hotrrea CEDO din 13noiembrie2012 n cauza M.M./RegatulUnit, nr.24029/07; Hotrrea CEDO din
18aprilie2013 n cauza M.K./Frana, nr.19522/09.
249 Hotrrea CEDO din 17decembrie2009 n cauza B.B./Frana, nr.5335/06.
250 Hotrrea CEDO din 4decembrie2008n cauza S. i Marper/RegatulUnit, nr.30562/04 i nr.30566/04,
punctele119 i125.
251 Hotrrea CEDO din 5noiembrie2002 n cauza, Allan/RegatulUnit, nr.48539/99.
153
154
155
Scopul datelor deinute de poliie ar trebui s fie limitat n mod strict. Acest lucru are
consecine pentru comunicarea datelor deinute de poliie ctre teri: transferul sau
comunicarea acestor date n cadrul sectorului poliienesc ar trebui reglementate n
funcie de existena sau nu a unui interes legitim n comunicarea informaiilor. Transferul sau comunicarea acestor date n afara sectorului poliienesc ar trebui permise
doar n cazul n care exist o obligaie sau o autorizaie legal clar. Transferul sau
comunicarea la nivel internaional ar trebui s se limiteze la autoritile poliieneti
strine i s se ntemeieze pe dispoziii legale speciale, posibil acorduri internaionale, cu excepia cazului n care sunt necesare pentru prevenirea unui pericol grav i
iminent.
Prelucrarea datelor de ctre poliie trebuie s fac obiectul unei supravegheri independente n vederea asigurrii conformitii cu legislaia naional privind protecia datelor. Persoanele vizate trebuie s aib toate drepturile de acces prevzute
n Convenia108. n cazul n care drepturile de acces ale persoanelor vizate au fost
restrnse n conformitate cu articolul9 din Convenia108 n interesul unor investigaii eficiente, persoana vizat trebuie s aib dreptul, n temeiul legislaiei naionale,
s fac apel la autoritatea naional de supraveghere a proteciei datelor sau la un
alt organism independent.
156
La nivelul UE, protecia datelor n domeniul poliiei i cercetrii penale este reglementat exclusiv n contextul cooperrii transfrontaliere ntre autoritile poliieneti i
judiciare.
Exist regimuri speciale de protecie a datelor pentru Oficiul European de Poliie (Europol) i unitatea de cooperare judiciar a UE (Eurojust), care sunt organe ale UE care
asist i promoveaz aplicarea legii la nivel transfrontalier.
157
158
159
membre i Decizia Consiliului privind acordurile de cooperare ntre unitile de informaii financiare ale statelor membre n ceea ce privete schimbul de informaii262.
Este important de reinut c o cooperare transfrontalier263 ntre autoritile competente implic din ce n ce mai mult schimbul de date privind imigraia. Acest domeniu al legislaiei nu vizeaz aspecte legate de poliie i cercetare penal, dar este n
multe privine relevant pentru activitatea autoritilor poliieneti i judiciare. Acelai
lucru este valabil pentru datele referitoare la mrfurile importate n sau exportate
din UE. Eliminarea controalelor la frontierele interne n cadrul UE a sporit riscul de fraud, ceea ce impune ca statele membre s i intensifice cooperarea, n special prin
consolidarea schimbului transfrontalier de informaii n vederea eficientizrii depistrii i urmririi n justiie a nclcrilor legislaiei vamale naionale i europene.
Decizia Prm
Un exemplu important de cooperare transfrontalier instituionalizat prin schimbul de date deinute la nivel naional este Decizia2008/615/JAI a Consiliului privind
intensificarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere (Decizia Prm), prin care Tratatul Prma fost
integrat n dreptul european n anul2008264. Tratatul Prm a fost un acord internaional de cooperare poliieneasc semnat n2005 de Austria, Belgia, Frana, Germania,
Luxemburg, rile de Jos i Spania265.
Scopul Deciziei Prm este acela de a ajuta statele membre s mbunteasc
schimbul de informaii n scopul prevenirii i combaterii criminalitii n trei domenii:
262 Consiliul Uniunii Europene (2009), Decizia-cadru 2009/315/JAI a Consiliului din 26februarie2009
privind organizarea i coninutul schimbului de informaii extrase din cazierele judiciare ntre statele
membre, MO2009L93, Consiliul Uniunii Europene (2000), Decizia 2000/642/JAI a Consiliului
din17octombrie2000 privind acordurile de cooperare ntre unitile de informaii financiare ale statelor
membre n ceea ce privete schimbul de informaii, MO2000L271.
263 Comisia European (2012), Comunicarea Comisiei ctre Parlamentul European i Consiliu Consolidarea
cooperrii ntre autoritile responsabile de aplicarea legii n UE: Modelul European de Schimb de
Informaii(EIXM), COM(2012)735final, Bruxelles, 7decembrie2012.
264 Consiliul Uniunii Europene (2008), Decizia 2008/615/JAI a Consiliului din 23iunie2008 privind
intensificarea cooperrii transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii
transfrontaliere, MO2008L210.
265 Convenia ntre Regatul Belgiei, Republica Federal Germania, Regatul Spaniei, Republica Francez,
Marele Ducat al Luxemburgului, Regatul rilor de Jos i Republica Austria privind intensificarea
cooperrii transfrontaliere, n special n domeniul combaterii terorismului, a criminalitii transfrontaliere
i a migraiei ilegale; disponibil la: http://register.consilium.europa.eu/pdf/en/05/st10/st10900.en05.
pdf.
160
161
n materie penal i alte informaii prin intermediul UNE. Sistemul de informaii Europol poate fi utilizat pentru a pune la dispoziie date referitoare la: persoane suspectate sau care au fost condamnate pentru o infraciune de competena Europol ori
persoane cu privire la care exist indicii concrete c vor comite astfel de infraciuni. Europol i UNE pot introduce date direct n Sistemul de informaii Europol i pot
prelua date din acesta. Doar partea care a introdus datele n sistem poate modifica,
corecta sau terge datele.
n cazul n care este necesar pentru ndeplinirea sarcinilor sale, Europol poate stoca,
modifica i utiliza date referitoare la infraciuni n fiiere de lucru pentru analiz. Fiierele de lucru pentru analiz sunt deschise n vederea asamblrii, prelucrrii sau utilizrii datelor n vederea asistrii anchetelor penale concrete coordonate de Europol
mpreun cu statele membre ale UE.
Ca rspuns la noile dezvoltri, 1ianuarie2013, la Europol a fost nfiinat Centrul
european de combatere a criminalitii informatice267. Acesta funcioneaz ca centru
de informaii al UE privind criminalitatea informatic, contribuind la accelerarea reaciei n cazul infraciunilor online, dezvoltnd i implementnd capaciti criminalistice digitale i furniznd bune practici n legtur cu anchetele privind criminalitatea
informatic. Centrul se axeaz pe acte de criminalitate informatic:
comise de grupuri organizate cu scopul de a genera profituri considerabile din
infraciuni, cum ar fi frauda online
care aduc prejudicii grave victimelor lor, cum ar fi exploatarea sexual a minorilor
pe internet;
ndreptate mpotriva infrastructurii critice i a sistemelor informatice dinUE.
Regimul de protecie a datelor care reglementeaz activitile Europol este mbuntit. Decizia Europol prevede n articolul27 c se aplic principiile prevzute n
Convenia108 i n Recomandarea privind datele deinute de poliie cu privire la prelucrarea de date automatizate i neautomatizate. Transferul de date ntre Europol i
statele membre trebuie s respecte, de asemenea, normele cuprinse n Decizia-cadru privind protecia datelor.
267 A se vedea, de asemenea, AEPD (2012), Avizul Autoritii Europene pentru Protecia Datelor privind
Comunicarea Comisiei Europene ctre Consiliu i Parlamentul European privind instituirea unui Centru
european de combatere a criminalitii informatice, Bruxelles, 29iunie2012.
162
Eurojust
Eurojust, nfiinat n anul2002, este un organism al Uniunii Europene, cu sediul la
Haga, care promoveaz cooperarea n materie judiciar n cadrul anchetelor i urmririlor penale legate de infraciuni grave care implic cel puin dou state membre270.
Eurojust are competena de a:
stimula i mbunti coordonarea investigaiilor i urmririlor penale ntre autoritile competente din diferite state membre;
facilita executarea cererilor i deciziilor privind cooperarea judiciar.
Funciile Eurojust sunt ndeplinite de membrii naionali. Fiecare stat membru deleg
un judector sau un procuror la Eurojust, al crui statut se supune legislaiei naionale
268 Decizia Europol, articolul34.
269 Ibidem, articolul52.
270 Consiliul Uniunii Europene (2002), Decizia 2002/187/JAI a Consiliului din 28februarie2002 de instituire
a Eurojust n scopul consolidrii luptei mpotriva formelor grave de criminalitate, MO2002L63,
Consiliul Uniunii Europene (2003), Decizia 2003/659/JAI a Consiliului din 18iunie2003 de modificare a
Deciziei2002/187/JAI de instituire a Eurojust n scopul consolidrii luptei mpotriva formelor grave de
criminalitate, MO2003L44; Consiliul Uniunii Europene (2009), Decizia 2009/426/JAI a Consiliului din
16decembrie2008 privind consolidarea Eurojust i de modificare a Deciziei2002/187/JAI de instituire a
Eurojust n scopul consolidrii luptei mpotriva formelor grave de criminalitate, MO2009L138 (Deciziile
Eurojust).
163
271 Versiunea consolidat a Deciziei 2002/187/JAI a Consiliului, astfel cum a fost modificat prin Decizia
2003/659/JAI a Consiliului i prin Decizia2009/426/JAI a Consiliului, articolul15alineatul(2).
272 Regulament de procedur privind prelucrarea i protecia datelor cu caracter personal la Eurojust,
MO2005,C68/01, 19martie2005, p.1.
164
273 Regulamentul (UE) nr. 1077/2011 al Parlamentului European i al Consiliului din 25octombrie2011 de
instituire a Ageniei europene pentru gestionarea operaional a sistemelor informatice la scar larg n
spaiul de libertate, securitate i justiie, MO2011L286.
274 Acordul dintre guvernele statelor Uniunii Economice Benelux, Republicii Federale Germania i Republicii
Franceze privind eliminarea treptat a controalelor la frontierele lor comune, MO2000L239.
165
Ca urmare a aderrii altor state la acordul Schengen, sistemul Schengen a fost n cele
din urm integrat n cadrul juridic al UE prin Tratatul de la Amsterdam275. Punerea n
aplicare a acestei decizii a avut loc n anul1999. Cea mai nou versiune a Sistemului
de Informaii Schengen, denumit SISII, a intrat n vigoare la 9aprilie2013. Aceasta
deservete n prezent toate statele membre ale UE plus Islanda, Liechtenstein, Norvegia i Elveia276. Europol i Eurojust au, de asemenea, acces la SISII.
SISII const ntr-un sistem central(C-SIS), un sistem naional(N-SIS) n fiecare stat
membru i o infrastructur de comunicaii ntre sistemul central i sistemele naionale. C-SIS conine anumite date introduse de statele membre cu privire la persoane
i obiecte. C-SIS este utilizat de autoritile naionale de control la frontier, organele
de poliie, autoritile vamale, autoritile responsabile de vize i autoritile judiciare din ntreg spaiul Schengen. Statele membre opereaz copii naionale ale C-SIS,
cunoscute sub numele de Sisteme naionale de informaii Schengen (N-SIS), care
sunt actualizate n permanen, astfel actualiznd C-SIS. Se consult N-SIS i se va
emite o alert n cazul n care:
persoana nu are dreptul de a intra sau de a rmne pe teritoriul Schengen; sau
persoana sau obiectul este urmrit de autoritile judiciare sau de aplicare a legii;
sau
persoana a fost raportat ca disprut; sau
bunuri, cum ar fi bancnote, autoturisme, autoutilitare, arme de foc i documente
de identitate, au fost raportate ca fiind furate sau pierdute.
n cazul unei alerte, se vor iniia activiti de urmrire prin intermediul Sistemelor
naionale de informaii Schengen.
SISII are noi funcionaliti, cum ar fi posibilitatea de a introduce: date biometrice,
precum amprente i fotografii; sau noi categorii de alerte, cum ar fi furturi de brci,
aeronave, containere sau mijloace de plat; i alerte mbuntite cu privire la
275 Comunitile Europene (1997), Tratatul de la Amsterdam de modificare a Tratatului privind Uniunea
European, a Tratatelor de instituire a Comunitilor Europene i anumite acte conexe, MO1997C340.
276 Regulamentul (CE) nr.1987/2006 al Parlamentului European i al Consiliului din 20decembrie2006
privind instituirea, funcionarea i utilizarea Sistemului de informaii Schengen de a doua generaie,
MO2006L381 (SISII) i Consiliul Uniunii Europene (2007), Decizia2007/533/JAI a Consiliului din
12iunie2007 privind nfiinarea, funcionarea i utilizarea Sistemului de informaii Schengen de a doua
generaie, (SISII), MO2007L205.
166
persoane i obiecte; copii ale mandatelor europene de arestare (MEA) privind persoanele cutate pentru deinere, predare sau extrdare.
Decizia 2007/533/JAI a Consiliului privind nfiinarea, funcionarea i utilizarea Sistemului de Informaii Schengen de a doua generaie (Decizia SchengenII) include
Convenia108: Datele cu caracter personal prelucrate n temeiul prezentei decizii
sunt protejate n conformitate cu Convenia108 a Consiliului Europei277. n cazul n
care utilizarea datelor cu caracter personal de ctre autoritile poliieneti naionale
se face n temeiul Deciziei SchengenII, prevederile Conveniei108, precum i cele
ale Recomandrii privind datele deinute de poliie, trebuie implementate n legislaia naional.
Autoritatea naional de supraveghere competent din fiecare stat membru supravegheaz sistemul N-SIS intern. n special, aceasta trebuie s verifice calitatea datelor pe care statul membru le introduce n C-SIS, prin intermediul N-SIS. Autoritatea
naional de supraveghere trebuie s asigure efectuarea unui audit al operaiunilor
de prelucrare a datelor n cadrul sistemului N-SIS intern cel puin o dat la patru ani.
Autoritile de supraveghere naionale i AEPD coopereaz i asigur supravegherea
coordonat a SIS, n timp ce AEPD este responsabil pentru supravegherea C-SIS. Din
motive de transparen, un raport comun de activitate trebuie prezentat Parlamentului European, Consiliului i eu-LISA la fiecare doi ani.
Drepturile de acces ale persoanelor fizice cu privire la SISII pot fi exercitate n orice
stat membru, ntruct fiecare N-SIS este o copie exact a C-SIS.
Exemplu: n cauza Dalea/Frana278, reclamantului nu i s-a acordat viz pentru a
vizita Frana, deoarece autoritile franceze au raportat n Sistemul de informaii
Schengen c reclamantului trebuie s i se refuze intrarea. Reclamantul a solicitat, fr succes, accesul la i rectificarea sau tergerea datelor n faa Comisiei
pentru Protecia Datelor din Frana i, n cele din urm, n faa Consiliul de Stat.
CEDO a constatat c raportarea reclamantului la Sistemul de informaii Schengen
este n conformitate cu legea i urmrete scopul legitim de protecie a securitii naionale. ntruct solicitantul nu a dovedit prejudiciul efectiv pe care l-a
suferit ca urmare a faptului c i-a fost refuzat intrarea n spaiul Schengen i
277 Consiliul Uniunii Europene (2007), Decizia 2007/533/JAI a Consiliului din 12iunie2007 privind
nfiinarea, funcionarea i utilizarea Sistemului de informaii Schengen de a doua generaie,
MO2007L205, articolul57.
278 Hotrrea CEDO din 2februarie2010 n cauza Dalea/Frana (dec.), nr.964/07.
167
ntruct au fost instituite suficiente msuri pentru a-l proteja mpotriva deciziilor arbitrare, atingerea adus dreptului acestuia de respectare a vieii private a
fost proporionat. Plngerea reclamantului n temeiul articolului8 a fost, prin
urmare, declarat inadmisibil.
279 Consiliul Uniunii Europene (2004), Decizia Consiliului din 8iunie2004 de instituire a Sistemului de
informaii privind vizele (VIS), MO2004L213, Regulamentul (CE) nr.767/2008 al Parlamentului
European i al Consiliului din 9iulie2008 privind Sistemul de informaii privind vizele(VIS) i schimbul
de date ntre statele membre cu privire la vizele de scurt edere, MO2008L218 (Regulamentul VIS);
Consiliul Uniunii Europene (2008), Decizia2008/633/JAI a Consiliului din 23iunie2008 privind accesul
la Sistemul de informaii privind vizele (VIS) n vederea consultrii de ctre autoritile desemnate ale
statelor membre i de ctre Europol n scopul prevenirii, depistrii i cercetrii infraciunilor de terorism i
a altor infraciuni grave, MO2008L218.
280 Articolul5 din Regulamentul (CE) nr. 767/2008 al Parlamentului European i al Consiliului din 9iulie2008
privind Sistemul de informaii privind vizele (VIS) i schimbul de date ntre statele membre cu privire la
vizele de scurt edere (Regulamentul VIS), MO2008L218.
168
la datele introduse n VIS n scopul prevenirii, depistrii i cercetrii actelor de terorism i a infraciunilor penale281.
Eurodac
Numele Eurodac se refer la dactilograme sau amprente digitale. Acesta este un sistem centralizat care conine datele dactiloscopice ale resortisanilor din rile tere
care solicit azil ntr-unul dintre statele membre ale UE282. Sistemul este operaional
din luna ianuarie a anului2003, iar scopul acestuia este de a facilita stabilirea statului membru care trebuie s rspund de examinarea unei anumite cereri de azil n
conformitate cu Regulamentul (CE) nr.343/2003 al Consiliului de stabilire a criteriilor
i mecanismelor de determinare a statului membru responsabil cu examinarea unei
cereri de azil prezentate ntr-unul dintre statele membre de ctre un resortisant al
unei ri tere (Regulamentul DublinII)283. Datele cu caracter personal din Eurodac nu
pot fi utilizate dect n scopul facilitrii aplicrii Regulamentului DublinII; utilizarea n
orice alt scop este pasibil de sanciuni.
Eurodac const ntr-o unitate central, operat de eu-LISA, pentru stocarea i compararea amprentelor digitale i un sistem pentru transmiterea de date electronice
ntre statele membre i baza de date central. Statele membre preleveaz i transmit amprentele digitale ale fiecrui resortisant din afara UE sau apatrid cu vrsta
de cel puin 14 de ani, care solicit azil pe teritoriul lor sau care este reinut pentru
trecerea neautorizat a frontierei externe a acestora. Statele membre pot, de asemenea, s preleveze i s transmit amprentele digitale ale resortisanilor din afara
UE sau apatrizilor identificai ca locuind pe teritoriul acestora fr permisiune.
281 Consiliul Uniunii Europene (2008), Decizia 2008/633/JAI a Consiliului din 23iunie2008 privind accesul
la Sistemul de informaii privind vizele (VIS) n vederea consultrii de ctre autoritile desemnate ale
statelor membre i de ctre Europol n scopul prevenirii, depistrii i cercetrii infraciunilor de terorism i
a altor infraciuni grave, MO2008L218.
282 Regulamentul (CE) nr.2725/2000 al Consiliului din 11decembrie2000 privind instituirea sistemului
Eurodac pentru compararea amprentelor digitale n scopul aplicrii eficiente a Conveniei de la Dublin,
MO2000L316; Regulamentul (CE) nr.407/2002 al Consiliului din 28februarie2002 de stabilire a
anumitor norme de punere n aplicare a Regulamentului (CE) nr.2725/2000 privind instituirea sistemului
Eurodac pentru compararea amprentelor digitale n scopul aplicrii eficiente a Conveniei de la Dublin,
MO2002L62 (Regulamentele Eurodac).
283 Regulamentul (CE) nr.343/2003 al Consiliului din 18februarie2003 de stabilire a criteriilor i
mecanismelor de determinare a statului membru responsabil de examinarea unei cereri de azil
prezentate ntr-unul dintre statele membre de ctre un resortisant al unei ri tere, MO2003L50
(Regulamentul DublinII).
169
Datele dactiloscopice sunt stocate n baza de date Eurodac numai sub form pseudonimizat. n cazul unei corespondene, pseudonimul, mpreun cu numele primului
stat membru care a transmis datele dactiloscopice, este dezvluit celui de-al doilea
stat membru. Apoi, cel de-al doilea stat membru se va adresa primului stat membru,
deoarece, n conformitate cu Regulamentul DublinII, primul stat membru este responsabil pentru prelucrarea cererii de azil.
Datele cu caracter personal stocate n Eurodac care se refer la solicitanii de azil
sunt pstrate timp de 10 ani de la data la care au fost prelevate amprentele digitale,
cu excepia cazului n care persoana vizat obine cetenia unui stat membru al UE.
n acest caz, datele trebuie terse imediat. Datele privind resortisanii strini reinui
pentru trecerea ilegal a frontierei externe sunt stocate timp de doi ani. Aceste date
trebuie terse imediat n cazul n care persoana vizat primete un permis de edere,
prsete teritoriul UE sau obine cetenia unui stat membru.
Pe lng toate statele membre ale UE, Islanda, Norvegia, Liechtenstein i Elveia utilizeaz, de asemenea, Eurodac n baza unor acorduri internaionale.
Eurosur
Sistemul european de supraveghere a frontierelor (Eurosur)284 este conceput pentru
a intensifica controlul frontierelor externe Schengen prin detectarea, prevenirea i
combaterea imigraiei ilegale i a criminalitii transfrontaliere. Scopul acestuia este
de a mbunti schimbul de informaii i cooperarea operaional ntre centrele
naionale de coordonare i Frontex, agenia UE responsabil pentru dezvoltarea i
aplicarea noului concept de gestionare integrat a frontierelor285. Obiectivele sale
generale sunt:
reducerea numrului de imigrani ilegali care intr n UE nedetectai;
reducerea numrului de decese n rndul imigranilor ilegali prin salvarea mai
multor viei pe mare;
170
286 A se vedea, de asemenea: Comisia European (2008), Comunicarea Comisiei ctre Parlamentul
European, Consiliu, Comitetul Economic i Social European i Comitetul Regiunilor: Analiznd crearea
unui sistem european de supraveghere a frontierelor (Eurosur), COM(2008)68final, Bruxelles,
13februarie2008, Comisia European (2011), Evaluarea impactului care nsoete propunerea
de regulament al Parlamentului European i al Consiliului de instituire a Sistemului european de
supraveghere a frontierelor (Eurosur), document de lucru al serviciilor Comisiei, SEC (2011)1536 final,
Bruxelles, 12decembrie2011, p.18.
287 Consiliul Uniunii Europene (1995), Actul Consiliului din 26iulie1995 de elaborare a Conveniei
privind utilizarea tehnologiei informaiei n domeniul vamal, MO1995C316, modificat prin Consiliul
Uniunii Europene (2009), Regulamentul nr.515/97 privind asistena reciproc ntre autoritile
administrative ale statelor membre i cooperarea dintre acestea i Comisie n vederea asigurrii aplicrii
corespunztoare a legislaiei din domeniile vamal i agricol, Decizia2009/917/JAI a Consiliului din
30noiembrie2009 privind utilizarea tehnologiei informaiei n domeniul vamal, 2009L323
(Decizia CIS).
171
Prelucrarea datelor cu caracter personal trebuie s respecte normele specifice prevzute de Regulamentul nr. 515/97 i de Convenia CIS288 i dispoziiile Directivei privind protecia datelor, ale Regulamentului privind protecia datelor de ctre instituiile UE, ale Conveniei108 i ale Recomandrii privind datele deinute de poliie. AEPD
este responsabil pentru supravegherea conformitii CIS cu dispoziiile Regulamentului (CE)nr. 45/2001 i va convoca o intlnire cel puin o dat pe an cu toate autoritile de supraveghere competente pentru supravegherea aspectelor referitoare la
CIS.
288 Ibidem.
172
Alte legislaii europene
specifice privind protecia
datelor
UE
Aspecte vizate
Comunicaii
electronice
Relaii de munc
Date medicale
Studii clinice
Statistici
CoE
Convenia 108
Recomandarea privind
serviciile de comunicaii
Convenia108
Recomandarea privind
relaiile de munc
CEDO, Copland/RegatulUnit,
nr.62617/00, 3aprilie2007
Convenia108
Recomandarea privind
datele medicale
CEDO, Z./Finlanda,
nr.22009/93,
25februarie1997
Statistici oficiale
Convenia108
Recomandarea privind
datele statistice
Convenia108
Recomandarea privind
datele statistice
173
UE
Directiva 2004/39/CE privind pieele
instrumentelor financiare
Aspecte vizate
Date financiare
CoE
Convenia108
Recomandarea 90(19)
utilizat pentru pli i alte
operaiuni conexe
CEDO, Michaud/
Frana, nr.12323/11,
6decembrie2012
n mai multe cazuri, au fost adoptate instrumente juridice speciale la nivel european,
care pun n aplicare normele generale ale Conveniei108 sau ale Directivei privind
protecia datelor n detaliu, n funcie de situaii specifice.
Prelucrarea datelor cu caracter personal n legtur cu furnizarea de servicii de comunicaii la nivelul UE este reglementat n Directiva privind protecia vieii private n sectorul comunicaiilor electronice.
Confidenialitatea comunicaiilor electronice se refer nu doar la coninutul unei comunicri, ci i la datele de trafic, cum ar fi informaii cu privire la persoanele ntre care are
loc comunicarea, momentul i durata comunicrii i datele de localizare, cum ar fi locul
de unde au fost comunicate datele.
174
n anul1995, CoE a emis o Recomandare privind protecia datelor n domeniul telecomunicaiilor, cu referire special la domeniul serviciilor de telefonie289. n conformitate cu aceast recomandare, scopurile legate de colectarea i prelucrarea datelor
cu caracter personal n contextul telecomunicaiilor ar trebui s se limiteze la: conectarea unui utilizator la reea, punerea la dispoziie a serviciului specific de telecomunicaii, facturare, verificare, asigurarea funcionrii tehnice optime i dezvoltarea
reelei i a serviciului.
O atenie special a fost acordat, de asemenea, utilizrii reelelor de comunicaii
pentru trimiterea de mesaje n scop de marketing direct. n general, mesajele de
marketing direct nu pot fi direcionate ctre niciun abonat care a renunat n mod
expres la primirea de mesaje publicitare. Dispozitivele de apelare automat pentru
transmiterea de mesaje publicitare pre-nregistrate pot fi utilizate numai n cazul n
care un abonat i-a dat consimmntul n mod expres. Legislaia naional prevede
norme detaliate n acest domeniu.
n ceea ce privete cadrul juridic al UE, dup o prim ncercare n anul1997, Directiva
privind protecia vieii private n sectorul comunicaiilor electronice (Directiva asupra
confidenialitii electronice) a fost adoptat n anul2002 i modificat n anul2009,
n scopul completrii i particularizrii dispoziiilor Directivei privind protecia datelor
pentru sectorul telecomunicaiilor290. Aplicarea Directivei privind protecia vieii private n sectorul comunicaiilor electronice se limiteaz la serviciile de comunicaii n
reelele electronice publice.
Directiva asupra confidenialitii electronice distinge trei categorii principale de date
generate n cursul unei comunicri:
datele care constituie coninutul mesajelor trimise n timpul comunicrii; aceste
date sunt strict confideniale;
289 CoE, Comitetul de Minitri (1995), Recomandarea Rec (95)4 ctre statele membre privind protecia
datelor cu caracter personal n domeniul serviciilor de telecomunicaii, cu referire special la serviciile de
telefonie, 7februarie1995.
290 Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12iulie2002 privind prelucrarea
datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice, MO2002L201
(Directiva asupra confidenialitii i comunicaiilor electronice), modificat prin Directiva2009/136/CE
a Parlamentului European i a Consiliului din 25noiembrie2009 de modificare a Directivei2002/22/CE
privind serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile de comunicaii
electronice, a Directivei2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii
n sectorul comunicaiilor publice i a Regulamentului (CE) nr.2006/2004 privind cooperarea dintre
autoritile naionale nsrcinate s asigure aplicarea legislaiei n materie de protecie a consumatorului,
MO2009L337.
175
176
177
Norme specifice privind protecia datelor n domeniul relaiilor de munc sunt incluse n
Recomandarea CoE referitoare la datele privind angajarea.
n Directiva privind protecia datelor, relaiile de munc sunt tratate n mod specific
numai n contextul prelucrrii datelor sensibile.
298 Hotrrea CJUE din 8 aprilie 2014, n cauzele comune Drepturile Digitale Irlanda i Seitlinger i ceilali,
C-293/12 i C-594/12, punctul65.
299 Hotrrea CEDO din 2 august 1984n cauza Malone/RegatulUnit, nr.8691/79.
178
300 Consiliul Europei, Comitetul de Minitri (1989), Recomandarea Rec(89)2 ctre statele membre privind
protecia datelor cu caracter personal utilizate n scopuri de angajare, 18ianuarie1989. A se vedea n
continuare Comitetul consultativ pentru Convenia108, Studiu asupra Recomandrii nr.R(89)2 privind
protecia datelor cu caracter personal utilizate n scopuri de angajare i privind propuneri de revizuire a
Recomandrii susmenionate, 9septembrie2011.
301 Grupul de lucru Articolul 29 (2001), Avizul 8/2001 privind prelucrarea datelor cu caracter personal n
contextul angajrii, WP48, Bruxelles, 13septembrie2001.
302 Grupul de lucru Articolul 29 (2005), Document de lucru privind o interpretare comun a articolului 26
alineatul (1) din Directiva 95/46/CE din 24octombrie1995, WP114, Bruxelles, 25noiembrie2005.
179
180
Datele privind starea de sntate nu pot fi colectate din alte surse dect de la angajatul n cauz, cu excepia cazului n care s-a obinut consimmntul expres i informat sau atunci cnd legislaia naional prevede acest lucru.
n conformitate cu Recomandarea privind angajarea, angajaii ar trebui informai cu
privire la scopul prelucrrii datelor lor cu caracter personal, tipul de date cu caracter
personal stocate, entitile ctre care datele sunt comunicate n mod periodic, precum i scopul i temeiul juridic al acestor comunicri. Angajatorii trebuie s i informeze, de asemenea, angajaii, n prealabil cu privire la introducerea sau adaptarea
sistemelor automatizate de prelucrare a datelor cu caracter personal ale angajailor
sau de monitorizare a deplasrilor sau productivitii angajailor.
Angajaii trebuie s aib drept de acces la datele lor privind angajarea, precum i
drept de rectificare sau tergere. n cazul prelucrrii datelor coninute n sentine,
angajaii trebuie s aib, n plus, dreptul de a contesta hotrrea. Aceste drepturi pot
fi ns limitate temporar n scopul efecturii de anchete interne. n cazul n care unui
angajat i este refuzat dreptul de acces, rectificare sau tergere a datelor sale personale privind angajare, legislaia naional trebuie s prevad proceduri adecvate
pentru contestarea refuzului respectiv.
Datele medicale sunt date sensibile i, prin urmare, beneficiaz de protecie special.
Datele cu caracter personal privind starea de sntate a persoanei vizate sunt calificate drept date sensibile n conformitate cu articolul8 alineatul(1) din Directiva privind
protecia datelor i cu articolul6 din Convenia108. La rndul lor, datele medicale sunt
supuse unui regim de prelucrare a datelor mai strict dect n cazul datelor nesensibile.
Exemplu: n cauza Z./Finlanda304, fostul so al reclamantei, care era infectat
cu HIV, a comis o serie de infraciuni de natur sexual. Acesta a fost ulterior
304 Hotrrea CEDO din 25februarie1997 n cauza Z./Finlanda, nr.22009/93, punctele94 i 112; a
se vedea, de asemenea, Hotrrea CEDO din 27august1997 n cauza M.S./Suedia, nr.20837/92;
Hotrrea CEDO din 10octombrie2006 n cauza L.L./Frana, nr.7508/02; Hotrrea CEDO din
17iulie2008 n cauza I./Finlanda, nr.20511/03; Hotrrea CEDO din 28aprilie2009 n cauza K.H. i alii/
Slovacia, nr.32881/04; Hotrrea CEDO din 2iunie2009 n cauza Szuluk/RegatulUnit, nr.36936/05.
181
condamnat pentru ucidere din culp, pe motiv c i-a expus cu bun tiin victimele riscului de infectare cu HIV. Instana naional a dispus c hotrrea definitiv i documentele cauzei trebuie s rmn confideniale timp de 10ani, n
ciuda cererilor din partea reclamantei de acordare a unei perioade mai lungi de
confidenialitate. Aceste cereri au fost respinse de ctre Curtea de apel i hotrrea adoptat de curte meniona att numele i prenumele reclamantei, ct i
ale fostului so. CEDO a constatat c atingerea adus dreptului nu se consider o
msur necesar ntr-o societate democratic, deoarece protecia datelor medicale are o importan fundamental pentru exercitarea dreptului de respectare
a vieii private i de familie, n special, n cazul informaiilor despre infeciile cu
HIV, avnd n vedere stigmatizarea legat de aceast afeciune n multe societi. Prin urmare, Curtea a concluzionat c acordarea accesului la datele de identificare i privind starea de sntate a reclamantului, astfel cum se descrie n
hotrrea Curii de Apel, dup o perioad de numai 10 ani de la adoptarea hotrrii constituie o nclcare a articolului8 dinConvenia european a drepturilor
omului.
Articolul8 alineatul(3) din Directiva privind protecia datelor permite prelucrarea
datelor medicale n cazul n care acest lucru este necesar n scopuri legate de medicina preventiv, de diagnosticare, de administrare a unor ngrijirii sau tratamente ori
de gestionare a serviciilor de sntate. Cu toate acestea, prelucrarea este permis
numai n cazul n care aceasta este efectuat de un cadru medical care se supune
secretului profesional sau de ctre o alt persoan care se spune unei obligaii
echivalente305.
Recomandarea CoE din 1997 privind datele medicale aplic mai n amnunt principiile Conveniei108 legate de prelucrarea datelor n domeniul medical306. Normele
propuse sunt n conformitate cu cele ale Directivei privind protecia datelor n ceea
ce privete scopurile legitime ale prelucrrii datelor medicale, obligaiile necesare
privind secretul profesional n cazul persoanelor care utilizeaz date medicale, precum i drepturile persoanelor vizate privind transparena i accesul, rectificarea i
tergerea datelor. n plus, datele medicale care sunt prelucrate n mod legal de ctre
cadrele medicale nu pot fi transferate ctre autoritile responsabile de aplicarea
legii, cu excepia cazului n care sunt asigurate garanii adecvate pentru a mpiedica
182
dezvluirea incompatibil cu respectarea [...] vieii private garantate n temeiul articolului8 din Convenia european a drepturilor omului307.
n plus, Recomandarea privind datele medicale conine dispoziii speciale cu privire
la datele medicale ale copiilor nenscui i ale persoanelor aflate n incapacitate i cu
privire la prelucrarea datelor genetice. Activitatea de cercetare tiinific este recunoscut n mod explicit ca justificare a conservrii datelor pe o perioad mai lung
dect este necesar, cu toate c acest lucru va necesita, de obicei, anonimizarea acestora. Articolul12 din Recomandarea privind datele medicale propune reglementri
detaliate pentru situaiile n care cercettorii au nevoie de date cu caracter personal,
iar datele anonimizate sunt insuficiente.
Pseudonimizarea poate fi un mijloc adecvat pentru a rspunde nevoilor tiinifice i,
n acelai timp, protejeaz interesele pacienilor n cauz. Conceptul de pseudonimizare n contextul proteciei datelor este explicat n detaliu la seciunea2.1.3.
S-au purtat discuii intense la nivel naional i european cu privire la iniiativele de
stocare a datelor privind tratamentul medical al unui pacient ntr-un dosar electronic de sntate308. Un aspect deosebit legat de sistemele de dosare electronice de
sntate la nivel naional este disponibilitatea acestora n strintate: un subiect de
interes deosebit n cadrul UE n contextul asistenei medicale transfrontaliere309.
Un alt domeniu n curs de dezbatere cu privire la noile dispoziii este acela al studiilor clinice, cu alte cuvinte, testarea de noi medicamente pe pacieni ntr-un mediu
de cercetare documentat; din nou, acest subiect are implicaii considerabile cu privire la protecia datelor. Studiile clinice referitoare la produsele medicamentoase de
uz uman sunt reglementate prin Directiva 2001/20/CE a Parlamentului European i
a Consiliului din 4 aprilie 2001 de apropiere a actelor cu putere de lege i a actelor administrative ale statelor membre privind aplicarea bunelor practici clinice n
cazul efecturii de studii clinice pentru evaluarea produselor medicamentoase de uz
uman (Directiva privind studiile clinice)310. n luna decembrie a anului2012, Comisia
307 Hotrrea CEDO din 6iunie2013 n cauza Avilkina i alii/Rusia, nr.1585/09, punctul53 (nefinal).
308 Grupul de lucru Articolul 29 (2007), Document de lucru privind prelucrarea datelor medicale cu caracter
personal din dosarul electronic de sntate (DES), WP131, Bruxelles, 15februarie2007.
309 Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9martie2011 privind aplicarea
drepturilor pacienilor n cadrul asistenei medicale transfrontaliere, MO2011L88.
310 Directiva 2001/20/CE a Parlamentului European i a Consiliului din 4aprilie2001 de apropiere a actelor
cu putere de lege i a actelor administrative ale statelor membre privind aplicarea bunelor practici
clinice n cazul efecturii de studii clinice pentru evaluarea produselor medicamentoase de uz uman,
MO2001L121.
183
Datele colectate n mod legitim n orice scop pot fi utilizate ulterior n scopuri statistice,
cu condiia ca legislaia naional s prevad garanii corespunztoare, care trebuie
ndeplinite de ctre utilizatori. n acest scop, anonimizarea sau pseudonimizarea ar trebui avute n vedere nainte de transmiterea ctre teri.
184
nainte de transmiterea acestora ctre un ter n scopuri statistice, cu excepia cazului n care persoana vizat i-a exprimat acordul n acest sens sau dac acest lucru
este prevzut n mod expres prin legislaia naional. Acest lucru decurge din cerina
privind garaniile corespunztoare prevzut la articolul6alineatul(1)litera (b) din
Directiva privind protecia datelor.
Cele mai importante cazuri de utilizare a datelor n scopuri statistice sunt statisticile
oficiale realizate de birourile de statistic naionale i europene n temeiul legislaiei
naionale i europene privind statisticile oficiale. n conformitate cu aceste legislaii,
cetenii i ntreprinderile au, de regul, obligaia de a dezvlui date autoritilor de
statistic. Funcionarii din cadrul birourilor de statistic se supun unor obligaii speciale privind secretul profesional, care sunt atent respectate, deoarece sunt eseniale
pentru asigurarea unui nivel ridicat de ncredere al cetenilor, necesar n cazul n
care datele sunt puse la dispoziia autoritilor de statistic.
Regulamentul (CE) nr.223/2009 privind statisticele europene (Regulamentul privind
statisticele europene) conine norme eseniale pentru protejarea datelor n contextul
statisticilor oficiale i, prin urmare, poate fi, de asemenea, considerat relevant pentru
dispoziiile privind statisticile oficiale la nivel naional313. Regulamentul susine principiul conform cruia operaiunile statistice oficiale necesit un temei juridic suficient
de explicit314.
Exemplu: n cauza Huber/Bundesrepublik Deutschland315, CJUE a constatat c,
att colectarea, ct i stocarea datelor cu caracter personal de ctre o autoritate
n scopuri statistice nu reprezint, n sine, un motiv suficient pentru ca prelucrarea s fie considerat legal. Legea care prevede prelucrarea datelor cu caracter
personal, trebuia, de asemenea, s ndeplineasc cerina de necesitate, ceea ce,
n spe, nu era valabil.
313 Regulamentul (CE) Nr.223/2009 al Parlamentului European i al Consiliului din 11martie2009 privind
statisticile europene i de abrogare a Regulamentului (CE, Euratom) nr.1101/2008 al Parlamentului
European i al Consiliului privind transmiterea de date statistice confideniale Biroului Statistic al
Comunitilor Europene, a Regulamentului (CE) nr.322/97 al Consiliului privind statisticile comunitare i
a Deciziei89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale
Comunitilor Europene, MO2009L87.
314 Acest principiu urmeaz a fi detaliat n Codul de practic al Eurostat, care, n conformitate cu articolul11
din Regulamentul privind statisticile europene, prevede orientri etice cu privire la modul de efectuare
a statisticilor oficiale, inclusiv utilizarea prudent a datelor cu caracter personal, disponibil la: http://epp.
eurostat.ec.europa.eu/portal/page/portal/about_eurostat/introduction.
315 Hotrrea CJUE din 16decembrie2008 n cauza Huber/Bundesrepublik Deutschland, C-524/06; a se
vedea, n special, punctul68.
185
316 Consiliul Europei, Comitetul de Minitri (1997), Recomandarea Rec(97)18 ctre statele membre privind
protecia datelor personale colectate i prelucrate n scopuri statistice, 30septembrie1997.
186
Dei datele financiare nu sunt date sensibile n sensul Conveniei108 sau al Directivei
privind protecia datelor, prelucrarea acestora necesit anumite msuri de protecie n
vederea asigurrii acurateei i securitii datelor.
Exemplu: n cauza Michaud/Frana317, reclamantul, un avocat francez, a contestat obligaia care i revine n baza legislaiei franceze de a raporta suspiciuni
privind posibilele activiti de splare de bani de ctre clienii si. CEDO a observat c solicitarea avocailor de a raporta autoritilor administrative informaii
cu privire la o alt persoan, care au intrat n posesia acestora prin efectuarea
de schimburi de informaii cu persoana respectiv, constituie o atingere asupra
dreptului avocailor de respectare a corespondenei i a vieii private, n conformitate cu articolul8 din Convenia european a drepturilor omului, ntruct
noiunea respectiv vizeaz activitile cu caracter profesional sau de afaceri.
Cu toate acestea, atingerea adus a fost n conformitate cu legea i a urmrit un
scop legitim, respectiv prevenirea dezordinii i a criminalitii. ntruct avocaii
317 Hotrrea CEDO din 6decembrie2012 n cauza Michaud/Frana, nr.12323/11; a se vedea, de
asemenea, Hotrrea CEDO din 16decembrie1992 n cauza Niemietz/Germania, nr.13710/88,
punctul29 i Hotrrea CEDO din 25iunie1997 n cauza Halford/RegatulUnit, nr.20605/92, punctul42.
187
318 CoE, Comitetul de Minitri (1990), Recomandarea Nr.R(90)19 privind protecia datelor cu caracter
personal utilizate pentru pli i alte operaiuni conexe, 13septembrie1990.
319 Comisia European (2011), Propunere de directiv a Parlamentului European i a Consiliului privind
pieele instrumentelor financiare, de abrogare a Directivei 2004/39/CE a Parlamentului European i a
Consiliului, COM(2011)656final, Bruxelles, 20octombrie2011; Comisia European (2011), Propunere
de regulament al Parlamentului European i al Consiliului privind pieele instrumentelor financiare i de
modificare a Regulamentului [EMIR] privind instrumentele derivate extrabursiere, contraprile centrale
i registrele de tranzacii, COM(2011)652final, Bruxelles, 20octombrie2011; Comisia European
(2011), Propunere de directiv a Parlamentului European i a Consiliului cu privire la activitatea
instituiilor de credit i supravegherea prudenial a instituiilor de credit i a societilor de investiii i
de modificare a Directivei2002/87/CE a Parlamentului European i a Consiliului privind supravegherea
suplimentar a instituiilor de credit, a ntreprinderilor de asigurare i a societilor de investiii care
aparin unui conglomerat financiar, COM(2011)453final, Bruxelles, 20iulie2011.
320 Comisia European (2011), Propunere de regulament al Parlamentului European i al Consiliului
privind utilizrile abuzive ale informaiilor privilegiate i manipulrile pieei (abuzul de pia),
COM(2011)651final, Bruxelles, 20octombrie2011; Comisia European (2011), Propunere de
directiv a Parlamentului European i a Consiliului privind sanciunile penale pentru utilizrile abuzive ale
informaiilor privilegiate i manipulrile pieei, COM(2011)654final, Bruxelles, 20octombrie2011.
188
189
Lecturi suplimentare
Capitolul 1
Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unin
Europea, Bilbao, Fundacin BBVA.
Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen
Freiheit und Sicherheit, Viena, Manzsche Verlags- und Universittsbuchhandlung.
EDRi, An introduction to data protection (O introducere n protecia datelor), Bruxelles, disponibil la: www.edri.org/files/paper06_datap.pdf.
Frowein, J. i Peukert, W. (2009), Europische Menschenrechtskonvention, Berlin,
N.P. Engel Verlag.
Grabenwarter, C. i Pabel,K. (2012), Europische Menschenrechtskonvention, Mnchen, C.H. Beck.
Harris, D., OBoyle,M., Warbrick,C. i Bates,E. (2009), Law of the European Convention on Human Rights (Legea privind Convenia european a drepturilor omului),
Oxford, Oxford UniversityPress.
Jarass, H. (2010), Charta der Grundrechte der Europischen Union, Mnchen, C.H.
Beck.
Mayer, J. (2011), Charta der Grundrechte der Europischen Union, Baden-Baden,
Nomos.
191
Capitolul 2
Biroul comisarului pentru informaii din Regatul Unit (2012), Anonymisation:
managing data protection risk. Code of practice (Anonimizarea: administrarea riscului privind protecia datelor. Cod de practic), disponibil la: www.ico.org.uk/
for_organisations/data_protection/topic_guides/anonymisation.
Carey, P. (2009), Data protection: A practical guide to UK and EU law (Protecia datelor: ghid practic privind legislaia Regatului Unit i a UE), Oxford, Oxford University
Press.
Delgado, L. (2008), Vida privada y proteccin de datos en la Unin Europea, Madrid,
Dykinson S.L.
Desgens-Pasanau,G. (2012), La protection des donnes caractre personnel, Paris,
LexisNexis.
192
Lecturi suplimentare
Capitolele 3 - 5
Biroul comisarului pentru informaii din Regatul Unit, Privacy Impact Assessment (Evaluarea impactului asupra vieii private), disponibil la: www.ico.org.uk/
for_organisations/data_protection/topic_guides/privacy_impact_assessment.
Brhann,U. (2012), Richtlinie 95/46/EG zum Schutz natrlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr n: Grabitz,
E., Hilf, M. i Nettesheim, M. (eds.), Das Recht der Europischen Union, BandIV, A.30,
Mnchen, C.H. Beck.
Conde Ortiz,C. (2008), La proteccin de datos personales, Cadiz, Dykinson.
Coudray, L. (2010), La protection des donnes personnelles dans lUnion europenne, Saarbrcken, ditions universitaires europennes.
Dammann, U. i Simitis,S. (1997), EG-Datenschutzrichtlinie, Baden-Baden, Nomos.
FRA (Agenia pentru Drepturi Fundamentale a Uniunii Europene) (2010), Protecia
datelor n Uniunea European: rolul autoritilor naionale pentru protecia datelor
(Consolidarea arhitecturii drepturilor fundamentale n UEII), Luxemburg, Oficiul pentru Publicaii al Uniunii Europene (Oficiul pentru Publicaii).
FRA (2010), Elaborarea indicatorilor pentru protecia, respectarea i promovarea
drepturilor copilului n Uniunea European (Ediie de conferin), Viena, FRA.
193
Capitolul 6
Gutwirth, S., Poullet,Y., De Hert,P., De Terwangne,C. i Nouwt,S. (2009), Reinventing data protection? (Reinventarea proteciei datelor?), Berlin, Springer.
Kuner, C. (2007), European data protection law (Legislaia european privind protecia datelor), Oxford, Oxford University Press.
Kuner, C. (2013), Transborder data flow regulation and data privacy law (Reglementarea fluxului transfrontalier de date i legislaia privind confidenialitatea datelor),
Oxford, Oxford University Press.
Capitolul 7
Drewer, D., Ellermann,J. (2012), Europols data protection framework as an asset in
the fight against cybercrime (Cadrul Europol privind protecia datelor drept instrument important n lupta mpotriva criminalitii informatice), Forumul ERA, Vol.13,
Nr.3, pp.381-395.
Europol (2012), Data Protection at Europol (Protecia datelor la Europol), Luxemburg,
Oficiul de publicaii, disponibil la: www.europol.europa.eu/sites/default/files/publications/europol_dpo_booklet_0.pdf.
Eurojust, Data protection at Eurojust: A robust, effective and tailor-made regime
(Protecia datelor la Eurojust: un regim solid, eficace i adaptat), Haga, Eurojust.
Gutwirth, S., Poullet,Y. i De Hert,P. (2010), Data protection in a profiled world (Protecia datelor ntr-o lume bazat pe profile), Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. i Leenes,R. (2011), Computers, privacy and data
protection: An element of choice (Computere, confidenialitate i protecia datelor: o
chestiune de alegere), Dordrecht, Springer.
194
Lecturi suplimentare
Capitolul 8
Bllesbach, A., Gijrath,S., Poullet,Y. i Hacon,R. (2010), Concise European IT law
(Legislaia european concis privind tehnologia informaiei), Amsterdam, Kluwer
Law International.
Gutwirth, S., Leenes,R., De Hert,P. i Poullet,Y. (2012), European data protection: In
good health? (Protecia datelor n Europa: este sigur?) , Dordrecht, Springer.
Gutwirth, S., Poullet,Y. i De Hert,P. (2010), Data protection in a profiled world (Protecia datelor ntr-o lume bazat pe profile), Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. i Leenes,R. (2011), Computers, privacy and data
protection: An element of choice (Computere, confidenialitate i protecia datelor: o
chestiune de alegere), Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it?
The Data Retention Directive, the surveillance state and our constitutional ecosystem (Distrugerea democraiei sub pretextul aprrii ei? Directiva privind pstrarea
datelor, supravegherea statului i ecosistemul nostru constituional), European Law
Review, Vol.36, Nr.5, pp.722-776.
Rosemary, J. i Hamilton,A. (2012), Data protection law and practice (Legislaia i
practica privind protecia datelor), Londra, Sweet & Maxwell.
195
Jurispruden
Jurispruden selectat a Curii Europene a
Drepturilor Omului
Acces la date cu caracter personal
Cauza Gaskin/RegatulUnit, nr.10454/83, 7iulie1989
Cauza Godelli/Italia, nr.33783/09, 25septembrie2012
Cauza K.H. i alii/Slovacia, nr.32881/04, 28aprilie2009
Cauza Leander/Suedia, nr.9248/81, 26martie1987
Cauza Odivre/Frana [T], nr.42326/98, 13februarie2003
Ponderarea proteciei datelor cu libertatea de exprimare
Cauza Axel Springer AG/Germania [T], nr.39954/08, 7februarie2012
Cauza Von Hannover/Germania, nr.59320/00, 24iunie2004
Cauza Von Hannover/Germania (nr. 2) [T], nr. 40660/08 i nr. 60641/08,
7februarie2012
Provocri legate de protecia datelor online
Cauza K.U./Finlanda, nr.2872/02, 2decembrie2008
Coresponden
Cauza Amann/Elveia [T], nr.27798/95, 16februarie2000
Cauza Bernh Larsen Holding AS i alii/Norvegia, nr.24117/08, 14martie2013
197
198
Jurispruden
199
200
Jurispruden
201
202
Jurispruden
203
Lista cauzelor
Jurisprudena Curii Europene de Justiie
Asociacin Nacional de Establecimientos Financieros de Crdito
(ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD)/Administracin del Estado, Cauzele conexate
C-468/10 i C-469/10,
24noiembrie201 .................................................................... 18, 22, 81, 84, 88, 89, 202
Bodil Lindqvist, C-101/01,
6noiembrie2003...................................................35, 36, 44, 48, 51, 97, 135, 136, 201
College van burgemeester en wethouders van Rotterdam/M.E.E.
Rijkeboer, C-553/07, 7mai2009 .................................................................. 107, 113, 202
Comisia European/Regatul Suediei, C-270/11, 30mai2013........................................ 201
Comisia European/Republica Austria, C-614/10,
16octombrie2012.......................................................................................... 108, 122, 202
Comisia European/Republica Federal Germania, C-518/07,
9martie2010....................................................................................................108, 121, 202
Comisia European/The Bavarian Lager Co. Ltd., C-28/08P,
29iunie2010.................................................................................13, 27, 30, 109, 131, 203
Comisia European/Ungaria, C-288/12, 8aprilie2014................................. 108, 123, 201
Deutsche Telekom AG/Bundesrepublik Deutschland, C-543/09,
5mai2011....................................................................................................... 36, 61, 62, 202
Dimitrios Pachtitis/Comisia European, F-35/08, 15iunie2010.................................... 203
205
206
Lista cauzelor
207
208
Lista cauzelor
209
10.2811/55294
TK-01-13-772-RO-C
Dezvoltarea rapid a tehnologiilor informaiei i comunicaiilor subliniaz nevoia tot mai mare
de o protecie solid a datelor cu caracter personal un drept garantat att de instrumentele
Uniunii Europene (UE), ct i de instrumentele Consiliului Europei (CE). Progresele tehnologice
extind limitele supravegherii, interceptrii comunicrilor i stocrii datelor, acestea reprezentnd
provocri importante pentru dreptul de protecie a datelor. Prezentul manual este conceput
pentru a familiariza practicienii n domeniul dreptului, nespecializai n domeniul proteciei datelor,
cu acest domeniu de drept. Acesta ofer o imagine de ansamblu asupra cadrelor juridice ale UE
i CoE n vigoare. Ghidul explic jurisprudena-cheie, rezumnd hotrri majore att ale Curii
Europene a Drepturilor Omului (CEDO), ct i ale Curii de Justiie a Uniunii Europene (CJUE). n
cazul n care nu exist o astfel de jurispruden, se prezint ilustraii practice cu scenarii ipotetice.
ntr-un cuvnt, prezentul manual are scopul de a asigura susinerea cu vigoare i determinare a
dreptului de protecie a datelor.