Aici descoperim
dreptul tehnologiei

GoogleHistory-2014071104305612.jpg

Acest articol este un scurt fragment din lucrarea „Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020) care poate fi descărcată gratuit de aici.

 

C-507/17, Google (Portée territoriale du déréférencement), hotărârea din 24 septembrie 2019, ECLI:EU:C:2019:772

Cuvinte-cheie: dreptul la ștergerea datelor, dreptul de a fi uitat, dreptul la dezindexare, motoare de căutare pe internet, întinderea teritorială a dreptului la ștergere, geoblocare

Litigiul principal

Printr‑o decizie din 21 mai 2015, președinta CNIL a pus în întârziere Google ca, atunci când admite cererea unei persoane fizice având ca obiect eliminarea din lista de rezultate, afișată în urma unei căutări efectuate plecând de la numele său, a unor linkuri care duc spre pagini web, să aplice această eliminare în privința tuturor extensiilor numelui de domeniu al motorului său de căutare. Google a refuzat să se conformeze acestei puneri în întârziere, limitându‑se la eliminarea linkurilor în cauză doar din rezultatele afișate ca răspuns la căutări efectuate plecând de la numele de domeniu care corespund declinărilor motorului său de căutare în statele membre. După ce a constatat că Google nu s‑a conformat punerii în întârziere menționate în termenul acordat, CNIL, printr‑o deliberare din data de 10 martie 2016, a aplicat acestei societăți o sancțiune de 100 000 de euro, care a fost adusă la cunoștința publicului.

Prin cererea formulată în fața Conseil d’État (Consiliul de Stat, Franța), Google a solicitat anularea acestei deliberări.

Conseil d’État (Consiliul de Stat) a hotărât să suspende judecarea cauzei și să adreseze Curții trei întrebări preliminare.

KIT GDPR Premium

 

Întrebările preliminare

„1)      «Dreptul la dezindexare», astfel cum a fost consacrat de [Curte] prin Hotărârea din 13 mai 2014 [Google Spain și Google (C‑131/12, EU:C:2014:317)] în temeiul dispozițiilor articolului 12 litera (b) și ale articolului 14 [primul paragraf] litera (a) din Directiva [95/46], trebuie interpretat în sensul că operatorul unui motor de căutare are obligația, în cazul în care admite o cerere de dezindexare, să efectueze această dezindexare din toate numele de domeniu ale motorului său de căutare, astfel încât linkurile în litigiu să nu mai fie afișate indiferent de locul de unde este lansată căutarea privind numele solicitantului, inclusiv atunci când acest loc se află în afara domeniului de aplicare teritorial al Directivei [95/46]?

2)           În cazul unui răspuns negativ la această primă întrebare, «dreptul la dezindexare», astfel cum a fost consacrat de [Curte] prin hotărârea citată anterior, trebuie interpretat în sensul că operatorul unui motor de căutare are obligația, în cazul în care admite o cerere de dezindexare, să elimine linkurile în litigiu din lista rezultatelor afișate în urma unei căutări efectuate plecând de la numele solicitantului doar din numele de domeniu corespunzător statului în care se consideră că s‑a efectuat căutarea sau, în sens mai general, din numele de domeniu ale motorului de căutare corespunzătoare extensiilor naționale ale acestui motor în toate statele membre […]?

 

Te-ar putea interesa și:

 

3)           În plus, pe lângă obligația menționată [în cea de a doua întrebare], «dreptul la dezindexare», astfel cum a fost consacrat de [Curte] prin hotărârea citată anterior, trebuie interpretat în sensul că operatorul unui motor de căutare are obligația, în cazul în care admite o cerere de dezindexare, să elimine prin tehnica denumită de «geoblocare», pornind de la o adresă IP considerată a fi localizată în statul de reședință al beneficiarului «dreptului la dezindexare», rezultatele în litigiu ale căutărilor efectuate plecând de la numele acestui beneficiar sau chiar, în sens mai general, de la o adresă IP considerată a fi localizată în unul dintre statele membre care intră sub incidența Directivei [95/46], indiferent de numele de domeniu folosit de utilizatorul de internet care efectuează căutarea?”

Hotărârea și argumentele Curții de Justiție

Curtea a examinat întrebările împreună și a răspuns că „atunci când operatorul unui motor de căutare admite o cerere de dezindexare în temeiul acestor dispoziții, el nu este obligat să efectueze această dezindexare în ansamblul versiunilor motorului său, ci în versiunile acestuia care corespund ansamblului statelor membre, iar aceasta, dacă este necesar, în combinație cu măsuri care, îndeplinind totodată cerințele legale, permit efectiv să îi împiedice sau, cel puțin, să îi descurajeze în mod serios pe utilizatorii de internet care efectuează o căutare pe baza numelui persoanei vizate din unul dintre statele membre de la a avea acces, prin intermediul listei de rezultate afișate în urma acestei căutări, la linkurile care fac obiectul acestei cereri” (pct. 73).

CJUE subliniază, de asemenea, faptul că o „autoritate de supraveghere sau o autoritate judiciară dintr‑un stat membru rămâne competentă să efectueze, în raport cu standardele naționale de protecție a drepturilor fundamentale (…) o evaluare comparativă între, pe de o parte, dreptul persoanei vizate la respectarea vieții sale private și la protecția datelor cu caracter personal care o privesc și, pe de altă parte, dreptul la libertatea de informare și, în urma acestei evaluări comparative, să impună, dacă este cazul, operatorului acestui motor de căutare să procedeze la o dezindexare privind ansamblul versiunilor acestui motor” (pct. 72).

Printre argumentele reținute de Curte se află următoarele: (i) dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și trebuie echilibrat cu alte drepturi fundamentale (para. 60); (ii) dreptul la respectarea vieții private și la protecția datelor cu caracter personal, pe de o parte, și libertatea de informare a utilizatorilor de internet, pe de altă parte, este susceptibil să varieze în mod semnificativ la nivel mondial (para. 60); (iii) revine operatorului motorului de căutare sarcina de a lua măsuri suficient de eficiente pentru a asigura o protecție efectivă a drepturilor fundamentale ale persoanei vizate. Aceste măsuri trebuie, ele însele, să îndeplinească toate cerințele legale și să aibă ca efect împiedicarea sau, cel puțin, descurajarea în mod serios a utilizatorilor de internet din statele membre de la a avea acces la linkurile în cauză plecând de la o căutare efectuată pe baza numelui acestei persoane (para. 70).

 

Legislație relevantă Art. 17 RGPD[1], Considerentele (65)-(66) RGPD

***

[1] Art. 17 RGPD prevede dreptul la ștergerea datelor sau dreptul de a fi uitat. Dreptul nu este absolut și poate fi exercitat doar în anumite cazuri exprese prevăzute în art. 17 RGPD.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

  • Consultanță și implementare GDPR. Află mai multe aici. 
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



cards-positive-commitment-consent-spiral-yes-many_121-68480.jpg

Acest articol este un scurt fragment din lucrarea „Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020) care poate fi descărcată gratuit de aici.

 

C-673/17, Planet49, hotărârea din 1 octombrie 2019, ECLI:EU:C:2019:801

Cuvinte-cheie: comunicații electronice, cookie-uri, consimțământ, declarare a consimțământului prin intermediul unei căsuțe bifate în prealabil, informarea persoanei vizate, e-privacy

Litigiul principal

La 24 septembrie 2013, Planet49 a organizat un joc promoțional pe site‑ul internet www.dein‑macbook.de. Internauții doritori să participe la acest joc trebuiau să comunice codul poștal, ceea ce îi conducea pe o pagină web pe care trebuiau să își înscrie numele și adresa. Sub căsuțele care trebuiau completate pentru adresă se regăseau două mențiuni, însoțite de două căsuțe de bifat. 

Prima căsuță nu era bifată în prealabil și avea următorul cuprins „Sunt de acord să primesc, prin poștă, prin telefon sau prin e‑mail/SMS informații cu privire la oferte din domeniul de activitate comercială al unor sponsori și parteneri, pe care, dacă nu îi numesc eu aici, îi va selecta organizatorul. Pot revoca acest acord oricând. Informații suplimentare în legătură cu acest aspect, pot fi găsite aici.”

A doua căsuță era bifată în prealabil și avea următorul cuprins: „Sunt de acord cu utilizarea, în cazul meu, a serviciului de analiză web Remintrex, ceea ce înseamnă că organizatorul jocului promoțional, [Planet49], va instala cookie‑uri, după înregistrarea mea în cadrul jocului de noroc, ceea ce îi va permite să exploateze cu ajutorul Remintrex navigările mele pe internet și vizitele mele pe site‑urile internet ale partenerilor publicitari și, astfel, să îmi adreseze publicitate axată pe interesele mele. Pot șterge din nou cookie‑urile în orice moment. Puteți citi mai multe detalii în legătură cu acest aspect aici.”

KIT GDPR Premium

 

Participarea la jocul de noroc era posibilă numai după bifarea cel puțin a primei căsuțe de bifat.

Federația a introdus o acțiune în fața Landgericht Frankfurt am Main (Tribunalul Regional din Frankfurt pe Main, Germania) prin care se solicita în esență încetarea utilizării de către Planet49 a unor astfel de declarații de consimțământ și obligarea acesteia la plata sumei de 214 euro majorată cu dobânzi începând cu 15 martie 2014. Instanța a admis în parte acțiunea. Planet49 a declarant apel în fața în fața Oberlandesgericht Frankfurt am Main (Tribunalul Regional Superior din Frankfurt pe Main, Germania) susținând că a existat un consimțământ valabil al utilizatorilor deoarece „utilizatorul avea cunoștință de posibilitatea de debifare a căsuței și, pe de altă parte, aceasta se prezenta într‑o tipografie suficient de clară și oferea informații cu privire la modalitățile de utilizare a cookie‑urilor, fără a fi necesar să se divulge identitatea terților care pot avea acces la informațiile colectate.” (pct. 35).

Instanța a suspendat judecarea cauzei și a adresat Curții mai multe întrebări preliminare.

 

Te-ar putea interesa și:

 

Întrebările preliminare

„1)      a)             Se consideră că există un consimțământ valabil, în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva [2002/58] coroborat cu articolul 2 litera (h) din Directiva [95/46], atunci când stocarea de informații sau dobândirea accesului la informații deja stocate în echipamentul terminal al utilizatorului este permisă pe baza unei casete de selectare predefinite, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul vizat?

b)       În cazul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva [2002/58] coroborat cu articolul 2 litera (h) din [Directiva 95/46], prezintă relevanță aspectul dacă informațiile stocate sau accesate constituie date cu caracter personal?

c)       În condițiile menționate la [prima întrebare] litera a) există un consimțământ valabil în sensul articolului 6 alineatul (1) litera (a) din Regulamentul [2016/679]?

2)           În conformitate cu articolul 5 alineatul (3) din Directiva [2002/58], ce date trebuie să comunice furnizorul de servicii utilizatorului, astfel încât acestea să constituie informații clare și complete în sensul acestei dispoziții? Este obligatoriu ca aceste date să se refere și la durata de funcționare a cookie‑urilor și la aspectul dacă terții pot să dobândească acces la acestea?”

 

Hotărârea și argumentele Curții de Justiție

Având în vedere circumstanțele cauzei, instanța a considerat necesar să se răspundă la întrebările adresate atât în raport cu Directiva 95/46, cât și cu RGPD.

***

Prin intermediul primei întrebări lit. a) și c), instanța de trimitere a solicitat, în esență, să se stabilească dacă un consimțământ[1] este valabil atunci când este dat prin intermediul unei căsuțe bifate în prealabil (pct. 44). CJUE a răspuns că un consimțământ dat prin intermediul unei căsuțe bifate în prealabil pe care utilizatorul are posibilitatea de a o debifa nu este valabil în conformitate cu prevederile art. (2) lit. f) și art. 5 alin. (3) Directiva 2002/58 și art. 6 alin. (1) lit. a) RGPD.

Pentru a ajunge la această concluzie, CJUE a reținut mai multe argumente (pct. 45-63), iar o parte din ele vor fi prezentate succint în continuare. CJUE a adus în discuție două cerințe importante pe care trebuie să le îndeplinească un consimțământ, respectiv acesta trebuie să fie activ și neechivoc. CJUE a subliniat faptul că legislația privind protecția datelor „impune o manifestare de voință <<liberă, specifică, informată și lipsită de ambiguitate>> a persoanei vizate, sub forma unei declarații sau a unei <<acțiuni fără echivoc>> care reprezintă acordul său pentru prelucrarea datelor cu caracter personal care o privesc.” (pct. 61). CJUE a adus în discuție considerentul (32) din RGPD potrivit căruia „exprimarea consimțământului ar putea include printre altele bifarea unei căsuțe atunci când persoana vizitează un site. În schimb, considerentul respectiv exclude în mod expres ca <<absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni>> să constituie un consimțământ.” (pct. 62). CJUE consideră că „este necesară o acțiune a utilizatorului pentru a‑și exprima consimțământul” (pct. 49), iar posibilitatea de a debifa o căsuță nu reprezintă o acțiune activă, ci una pasivă (pct. 52). Cu privire la cerința consimțământului de a fi neechivoc, CJUE precizează că „numai un comportament activ din partea acestei persoane, în scopul de a‑și manifesta consimțământul, este de natură să îndeplinească această cerință” (pct. 54).

***

Prin intermediul primei întrebări lit. b), instanța de trimitere solicită în esență să se stabilească dacă art. (2) lit. f) și art. 5 alin. (3) Directiva 2002/58[2] coroborate cu dispozițiile din Directiva 95/46 și RGPD trebuie să fie interpretate diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal. La această întrebare, CJUE a răspuns că este necesar un consimțământ al utilizatorului indiferent dacă informațiile stocate constituie sau nu date cu caracter personal (pct. 70-71) deoarece informațiile stocate pe echipamentul terminal fac parte din sfera privată a utilizatorului care trebuie protejată conform Convenției europene pentru apărarea drepturilor omului și a libertăților fundamentale. „Această protecție se aplică oricărei informații stocate pe acest echipament terminal, indiferent dacă este vorba sau nu despre date cu caracter personal și urmărește printre altele, astfel cum reiese din același considerent, să protejeze utilizatorii împotriva riscului ca hidden identifiers sau alte procedee similare să acceseze echipamentul terminal al acestor utilizatori fără știrea lor.” (pct. 70).

***

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 5 alineatul (3) din Directiva 2002/58 trebuie interpretat în sensul că informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri. La această întrebare CJUE a răspuns în sens pozitiv, respectiv că „informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri.” CJUE a precizat că este necesară o informare clară și completă a utilizatorilor (pct. 74) care să cuprindă „durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri” (pct. 75) și, „pe lângă identitatea operatorului și scopul prelucrării căreia îi sunt destinate datele, orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor, în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.” (pct. 77).

 

Legislație relevantă

art. (2) lit. f) și art. 5 alin. (3) Directiva 2002/58, Art. 7 RGPD, Considerentele (32)-(33), (42)-(43) RGPD

 

Referințe:

[1] Pentru mai multe informații despre standardele RGPD în materia consimțământului persoanei vizate a se consulta, de exemplu, GL29, Orientări privind consimțământul în temeiul Regulamentului 2016/679, adoptate la 28 noiembrie 2017, astfel cum au fost revizuite ultima dată și adoptate la 10 aprilie 2018, document disponibil la https://www.dataprotection.ro/servlet/ViewDocument?id=1600, link accesat la 01.12.2020.

[2] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37-47.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

  • Consultanță și implementare GDPR. Află mai multe aici. 
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



illustration-waving-european-union-flag-with-gdpr-general-data-protection-regulation-blue-background_212889-4543.jpg

Comitetul European pentru Protecția Datelor (CEPD) a publicat luna aceasta o declarație prin intermediul căreia subliniază faptul că legislația pentru combaterea spălării banilor trebuie să respecte dreptul la viață privată și dreptul la protecția datelor personale. Redăm mai jos un extras din declarația CEPD:

„În acest context, CEPD subliniază că actualizarea cadrului de combatere a spălării banilor nu se poate realiza fără o revizuire a relației dintre măsurile de combatere a spălării banilor și  drepturilor la viață privată și la protecția datelor. În această discuție, relevanța și acuratețea datelor colectate joacă un rol primordial.

CEPD consideră că este extrem de important ca măsurile de combatere a spălării banilor să fie compatibile cu drepturile la viață privată și la protecția datelor consacrate la articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene, cu principiile necesității unor astfel de măsuri într-o societate democratică și cu proporționalitatea acestora, precum și cu jurisprudența Curții de Justiție a Uniunii Europene. Prin urmare, CEPD solicită Comisiei Europene să fie asociată procesului de elaborare a oricărei noi legislații privind combaterea spălării banilor în stadiile incipiente, în vederea furnizării de consiliere juridică cu privire la unele aspecte-cheie din perspectiva protecției datelor, fără a aduce atingere consultării Comisiei Europene în conformitate cu articolul 42 din Regulamentul 2018/1725 într-o etapă ulterioară.

CEPD este, de asemenea, pregătit să contribuie la discuțiile din cadrul Consiliului UE și al Parlamentului European în timpul procesului legislativ. În viitor, CEPD este pregătit să fie implicat și consultat în timp util de către orice organisme de reglementare europene sau internaționale sau organisme de standardizare, ar fi Grupul de acțiune financiară, prezidat în prezent de un stat membru al UE, înainte de a emite revizuirea recomandărilor lor.”

KIT GDPR Premium

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



horizontal-shot-desks-inside-scottish-parliament-building_181624-15462.jpg

Acest articol este un fragment din cartea Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020)

 

C-272/19, Land Hessen, hotărârea din 9 iulie 2020, ECLI:EU:C:2020:535

 

Cuvinte-cheie: dreptul de acces, noțiunea de „operator”, calitatea de operator a unei comisii pentru petiții din cadrul unui Parlament, drepturile persoanei vizate

Litigiul principal. Situația de fapt

VQ a adresat o petiție către Comisia pentru petiții din cadrul Parlamentului landului Hessa. Ulterior, VQ a solicitat acestei comisii, în temeiul articolului 15 din Regulamentul 2016/679, accesul la datele cu caracter personal care îl privesc. Cererea a fost respinsă de către Parlament deoarece s-a considerat că parlamentul respectiv nu intră în domeniul de aplicare al RGPD. Împotriva acestei decizii, VQ introdus o acțiune la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), instanță care a hotărât să suspende judecarea cauzei și să adreseze Curții două întrebări preliminare.

 

Întrebările preliminare

1)      [Regulamentul 2016/679], mai precis articolul 15 [din acesta], [intitulat «Dreptul de acces al persoanei vizate»], este aplicabil și comisiei din cadrul parlamentului unui stat federat al unui stat membru competent pentru prelucrarea datelor cetățenilor, în speță Comisia pentru petiții din cadrul Parlamentului landului Hessa, iar aceasta din urmă trebuie considerată în această privință o autoritate publică în sensul articolului 4 punctul 7 din [Regulamentul 2016/679]?

2)      Instanța de trimitere este o instanță judecătorească independentă și imparțială în sensul dispozițiilor coroborate ale articolului 267 TFUE și ale articolului 47 al doilea paragraf din [cartă]?”

 

Argumentele Curții de Justiție

Curtea de Justiție a răspuns în sens afirmativ la prima întrebare preliminară, concluzionând faptul că o comisie pentru petiții din cadrul unui Parlament are calitatea de operator în temeiul RGPD. Pentru a ajunge la această concluzie, unul dintre argumentele reținute de Curtea de Justiție a fost acela că în RGPD „nu este prevăzută nicio excepție în ceea ce privește activitățile parlamentare”.

 

KIT GDPR Premium

 

Comentariu

Art. 4 pct. 7 din RGPD definește operatorul drept „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”. Această definiție ar trebui interpretată într-o modalitate extinsă pentru a include, așa cum indică și Curtea de Justiție, „orice organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare”.

Față de operatorul de date, persoana vizată are o serie de drepturi (art. 13-22 RGPD), printre care și dreptul de acces (art. 15 RGPD) la datele respective și la următoarele informații: scopurile prelucrării, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale, acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă, existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării, dreptul de a depune o plângere în fața unei autorități de supraveghere, orice informații disponibile privind sursa datelor și existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată. (art. 15 RGPD).

Te-ar putea interesa și: E-book Gratuit. Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020)

Cu privire la o cerere de acces, operatorul trebuie să răspundă persoanei vizate în termen de maxim o lună de la data primii cererii sau, în cazuri complexe, în termen de maxim trei luni de la data primii cererii (art. 12 alin. (2)-(3) RGPD). Dacă nu va da curs cererii de acces din varii motive (de exemplu, cererea este abuzivă sau persoana nu poate fi identificată), operator trebuie să informeze persoana vizată cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară (art. 12 alin. (4) RGPD). Prin intermediul unei acțiuni în instanță, persoana vizată poate obliga operatorul să furnizeze acces la date (art. 79 RGPD) și poate solicita despăgubiri materiale și/sau morale (art. 82 RGPD). De asemenea, în situația în care persoana vizată depune o plângere la o autoritate de supraveghere (art. 77 RGPD), aceasta din urmă poate, printre altele, să oblige operatorul să furnizeze persoanei vizate accesul la date (art. 58 alin. 2 lit. c) RGPD) și/sau să aplice o sancțiune contravențională (art. 58 alin. 2 lit. i) RGPD). La stabilirea cuantumului amenzii administrative, autoritatea de supraveghere ține cont și de nivelul prejudiciilor suferite de persoana vizată căreia nu i s-a permis accesul la datele personale. (art. 83 alin. 2 lit. a) RGPD).

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



top-view-orange-slices_23-2148795863.jpg

Din moment ce dreptul la protecția datelor cu caracter personal nu este un drept absolut înseamnă că acesta poate comporta, în anumite condiții, derogări prin intermediul legislației naționale sau legislației Uniunii, în special pentru atingerea unor obiective importante sau pentru a nu intra în conflict cu alte drepturi și libertăți fundamentale. Art. 23 din RGPD prevede condițiile pe care trebuie să le respecte măsurile legislative europene și naționale care restrâng dreptul la protecția datelor. Din economia art. 23 RGPD și ale considerentului (73) se desprind cel puțin patru condiții pe care trebuie să le respecte cumulativ o măsură legislativă pentru a putea restricționa dreptul la protecția datelor, respectiv:

i) respectarea esenței drepturilor și libertăților fundamentale;

ii) măsura trebuie să fie necesară și proporțională într-o societate democratică;

iii) existența unui obiectiv important;

iv) includerea unui minim de dispoziții specifice.

În continuare vom explica noțiunea de „esență” a dreptului la protecția datelor.

Esența sau inima unui drept fundamental a fost definită în doctrină drept nucleul intangibil al unui drept care nu poate fi diminuat, restricționat sau perturbat[1]. Art. 52 alin. (1) din Cartă prevede că „orice restrângere a exercițiului drepturilor și libertăților recunoscute prin prezenta cartă trebuie să fie prevăzută de lege și să respecte substanța acestor drepturi și libertăți”. Până în prezent, CJUE nu a oferit un test clar pentru a determina unde începe și unde se termină nucleul unui drept fundamental, însă anumite hotărâri au oferit indicii importante cu privire la înțelegerea conceptului de „esență” a unui drept fundamental. În Avizul 1/15, CJUE arată că substanța dreptului la protecția datelor este reprezentantă de securitatea, confidențialitatea și integritatea datelor cu caracter personal, precum și de legalitatea prelucrării[2]. Cu alte cuvinte, dacă securitatea datelor a fost compromisă sau principiul legalității nu a fost respectat, dreptul la protecția datelor și-a pierdut esența. Orice măsură legislativă care restrânge dreptul la protecția datelor trebuie să nu pună în primejdie securitatea, confidențialitatea și integritatea datelor cu caracter personal sau principiul legalității. Principiul legalității și principiul integrității și confidențialității sunt, în viziunea CJUE, elemente indispensabile ale esenței dreptului la protecția datelor, însă, mergând pe același raționament apreciem faptul că și celelalte principii-cheie ale RGPD reprezintă parte din nucleul dreptului la protecția datelor (echitatea și transparența, limitarea scopului, limitarea duratei de stocare, reducerea la minimum a datelor, exactitatea).

***

Referințe:

[1] Maja Brkan, The concept of Essence of Fundamental Rights in the EU Legal Order: Peeling the Onion to its Core, disponibil la următoarea adresă , link accesat 05.01.2021.

[2] „În ceea ce privește substanța dreptului fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, chiar dacă datele PNR pot să reveleze, dacă este cazul, informații foarte prețioase cu privire la viața privată a unei persoane, natura acestor informații este limitată la anumite aspecte ale acestei vieți private, referitoare în special la călătoriile pe calea aerului între Canada și Uniune. Cât privește substanța dreptului la protecția datelor cu caracter personal, consacrat la articolul 8 din cartă, acordul preconizat stabilește concret, la articolul 3, finalitățile prelucrării datelor PNR și prevede, la articolul 9, norme destinate să asigure, printre altele, securitatea, confidențialitatea și integritatea acestor date, precum și să le protejeze împotriva accesului și a prelucrărilor nelegale”, CJUE, Avizul 1/15 din 26 iulie 2017, ECLI:EU:C:2017:592, pct. 150.

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



young-couple-going-holidays-with-colorful-suitcases_8087-2567.jpg

Își poate pierde angajatul dreptul la compensarea în bani a concediului de odihnă neefectuat? Când se poate considera că angajatul a renunțat în mod deliberat și în deplină cunoștință de cauză să își ia concediul anual plătit?

Într-o cauză aflată pe rolul Tribunalului Ialomița[1], reclamantul a cerut compensarea în bani a zilelor de concediu neefectuate în perioada 2015-2016. Tribunalul Ialomița a obligat societatea pârâtă să plătească reclamantului zilele de concediu neefectuate. Curtea de Apel București a confirmat soluția Tribunalului. Deși nu este nou faptul că art. 146 din Codul Muncii prevede dreptul la compensare în bani a zilelor de concediu neefectuate, ceea ce este interesant la cauza amintită anterior, este interpretarea oferită de instanță dreptului la indemnizație în bani a concediului neefectuat.

Angajatorul încearcă să se apere spunând faptul că dreptul la compensare în bani este excepția, iar efectuarea concediului în natură este regula. El afirmă că angajatul trebuia să aibă motive justificate privind neefectuarea concediului, iar în lipsa acestor motive temeinice care să justifice neefectuarea concediului de odihnă „în anul calendaristic în care s-a născut dreptul, zilele de concediu de odihnă neefectuate nu se reportează automat, ci se pierd, indiferent de motivele pentru care nu s-a efectuat concediul, dacă acesta nu justifică conform legii reportarea”. Cu alte cuvinte, ce încearcă să spună angajatorul este că angajatul își pierde dreptul la plata în bani a concediului dacă nu dovedește că a avut motive temeinice pentru a nu efectua concediul.

Această apărare în mod vehement este respinsă de Curtea de Apel București. Această instanță a stabilit că un angajat nu își pierde atât de ușor dreptul la compensarea în bani a concediului de odihnă.

KIT GDPR Premium

 

În primul rând, Curtea arată că de la regula efectuării în natură a concediului de odihnă, Codul muncii prevede o singură excepție prin art. 146 alin. 3 care prevede: “Compensarea în bani a concediului de odihnă neefectuat este permisă numai în cazul încetării contractului individual de muncă este permisă”. „Or, Curtea apreciază că interpretarea sistematică și gramaticală a dispozițiilor art. 146 alin. 2 și alin. 3 din Codul muncii conduc la concluzia că singura condiție impusă pentru compensarea în bani a concediului de neefectuat este încetarea contractului individual de muncă, neavând nicio relevanță dacă motivul pentru care concediul neefectuat este sau nu imputabil salariatului”.

În al doilea rând, Curtea aduce în discuție jurisprudența Curții de Justiție a Uniunii Europene,  potrivit căreia ”un lucrător nu își poate pierde în mod automat dreptul dobândit la concediu anual plătit pentru că nu a solicitat concediu, în schimb, dacă angajatorul dovedește că lucrătorul s-a abținut în mod deliberat și în deplină cunoștință de cauză să își ia concediul anual plătit după ce i s-a oferit posibilitatea să își exercite în mod efectiv dreptul la acest concediu, dreptul Uniunii nu se opune pierderii acestui drept și nici, în cazul încetării raportului de muncă, lipsei corelative a unei indemnizații financiare”[2].

Curtea de Apel București arată că „aceste drepturi [compensarea în bani a concediului de odihnă neefectuat] nu se pot stinge decât dacă lucrătorului i s-a oferit efectiv posibilitatea de către angajator, în special printr-o informare corespunzătoare din partea acestuia din urmă, de a efectua zilele de concediu în cauză în timp util, aspect care trebuie dovedit de angajator. Astfel, lucrătorul trebuie să fie considerat ca fiind partea vulnerabilă în cadrul raportului de muncă. Așadar, el ar putea fi descurajat să se prevaleze în mod explicit de drepturile pe care le are față de angajator, în condițiile în care în special revendicarea acestora îl poate expune la măsuri adoptate de acesta din urmă de natură să afecteze raportul de muncă în detrimentul lucrătorului respectiv”.

 

Hotărârea integrală poate fi consultată aici. 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



politia-sfat-pentru-taximetristii-bucuresteni-sa-renunte-la-clever-taxi-si-star-taxi-reprezentantii-aplicatiilor-revoltati-265182.jpg

La data de 3 decembrie 2020, CJUE a pronunțat o hotărâre preliminară[1] cu privire la interpretarea dreptului Uniunii în ceea ce privește aplicația Star Taxi App. Deși într-o cauză anterioară din 2017, Asociación Profesional Elite Taxi[2],CJUE a considerat că Uber nu este un serviciu al societății informaționale, ci este „indisociabil legat de un serviciu de transport”[3], în cauza Star Taxi, CJUE a considerat că aplicația Star Taxi, având în vedere funcțiile sale tehnice și operaționale, are un regim diferit și este un serviciu al societății informaționale, cu toate consecințele ce decurg din această calificare. În acest articol vom rezuma hotărârea CJUE în Cauza Star Taxi App și vom compara anumite elemente cu speța Uber. La finalul articolului, vom aduce în discuție câteva implicații practice ale acestor două hotărâri.

Situația de fapt (litigiul principal)

Litigiul principal are ca părți Star Taxi App SRL, pe de o parte, Municipiul București și Consiliul General al Municipiului București, pe de altă parte, în legătură cu o reglementare internă (Hotărârea nr. 626/2017[4]) care are drept efect condiționarea aplicației Star Taxi App SRL de obținerea unei autorizații prealabile.

Instanța de trimitere (Tribunalul București) a avut îndoieli în privința a două aspecte. În primul rând, instanța de trimitere a dorit să afle dacă serviciul furnizat de aplicația Star Taxi trebuie să fie calificat drept „serviciu al societății informaționale”. În al doilea rând, Tribunalul București a dorit să afle dacă o reglementare care supune prestarea unui astfel de serviciu unui regim de autorizare prealabilă este conformă cu Directiva 2000/31 și trebuie să fie comunicată Comisiei înainte de adoptarea sa, conform articolului 5 din Directiva 2015/1535 (pct. 35). În vederea lămuririi acestor aspecte, Tribunalul București a adresat CJUE patru întrebări preliminare[5].

Hotărârea CJUE

(i) Serviciu al societății informaționale sau serviciu de transport?

CJUE a considerat că aplicația Star Taxi App reprezintă un „serviciu al societății informaționale” în sensul Directivei 2015/1535.

CJUE a ajuns la concluzia că serviciul oferit de aplicația Star Taxi App este un „serviciu al societății informaționale” deoarece îndeplinește patru condiții cumulative vizate la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535 (pct. 48).

Potrivit articolului 1 alineatul (1) litera (b) din Directiva 2015/1535, prin „serviciu al societății informaționale” se înțelege „orice serviciu al societății informaționale, adică orice serviciu prestat în mod normal în schimbul unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului” (pct. 42).

Din lectura definiției de mai sus, rezultă că un serviciu al societății informaționale trebuie să îndeplinească patru condiții cumulative, respectiv:

  1. trebuie să fie un serviciu prestat în mod normal în schimbul unei remunerații;
  2. serviciul trebuie să fie prestat „la distanță”;
  3. serviciul trebuie să fie prestat „prin mijloace electronice”;
  4. serviciul trebuie să fie prestat „la solicitarea individuală a beneficiarului serviciului”.

Din moment ce este clar că toate condițiile de la pct. 2-4 de mai sus sunt îndeplinite în situația serviciului oferit de aplicația Star Taxi, serviciu care este, în mod evident, prestat la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului, în continuare vom explica doar prima condiție.

Cu privire la punctul 1. de mai sus, respectiv cu privire la condiția ca serviciul să fie prestat în mod normal în schimbul unei remunerații, CJUE a arătat că această condiție este îndeplinită chiar dacă persoana care dorește să efectueze o deplasare nu plătește pentru aplicație deoarece între aplicație și fiecare șofer de taxi autorizat există un contract de prestări servicii „însoțit de plata de către acesta din urmă a unui abonament lunar”. Astfel cum arată Curtea la pct. 45 „rezultă dintr‑o jurisprudență constantă că remunerația pentru un serviciu furnizat de un prestator în cadrul unei activități economice nu este plătită neapărat de toate persoanele care beneficiază de acesta” (pct. 45).

(ii) Este autorizarea prealabilă a aplicației conformă cu dreptul Uniunii?

CJUE a arătat că art. 56 TFUE, art. 3 alin. (2) și (4) din Directiva 2000/31 și art. 16 din Directiva 2006/123 nu sunt aplicabile unui litigiu precum cel principal. În primul rând, „dispozițiile Tratatului FUE în materie de liberă prestare a serviciilor nu își găsesc aplicarea într‑o situație în care toate elementele se limitează la interiorul unui singur stat membru” (pct. 71), cum este cazul aplicației Star Taxi care funcționează doar pe teritoriul României.  În al doilea rând, Directiva 2000/31 și Directiva 2006/123 se aplică doar serviciilor societății informaționale care provin dintr-un alt stat membru (pct. 72-73), ceea ce nu este cazul în situația Star Taxi, fiind o aplicație furnizată de o societate română pe teritoriul României.

Cu toate acestea, celelalte dispoziții invocate de Tribunalul București, respectiv Directiva 2000/31 și Directiva 2006/123, dispoziții care interzic, în principiu, interzicerea autorizării prealabile a serviciilor societății informaționale, se aplică și în situații pur interne care se limitează la un singur stat membru. Astfel cum subliniază CJUE la pct. 77 „o reglementare a unui stat membru care organizează un astfel de serviciu [serviciu al societății informaționale] este, în consecință, susceptibilă să intre în domeniul de aplicare al Directivei 2000/31, ca și în cel al Directivei 2006/123” din moment ce s-a stabilit deja că ne aflăm în situația unui serviciu al societății informaționale, iar nu în situația „unui serviciu în domeniul transporturilor”.

CJUE nu a putut răspunde dacă regimul autorizării prealabile instituit prin Hotărârea nr. 626/2017 este conformă cu dreptul Uniunii deoarece a considerat că instanța de trimitere (Tribunalul București) nu i-a oferit suficiente elemente care să îi permită să ofere un răspuns util (pct. 88). Așadar, arată Curtea la pct. 80 „va reveni acesteia din urmă [Tribunalului București] sarcina de a aprecia, având în vedere ansamblul elementelor relevante, dacă regimul de autorizare prealabilă stabilit de reglementarea în discuție în litigiul principal îndeplinește efectiv cele două serii de cerințe amintite la punctele 86 și 87 din prezenta hotărâre”.

Deși s-a abținut în a spune prea multe, CJUE a oferit instanței de trimitere indicii importante la pct. 90-92, respectiv condiționarea eliberării „unei autorizații de furnizare a unui serviciu de îndeplinirea unor cerințe tehnice neadaptate la serviciul respectiv și, prin urmare, generatoare de cheltuieli și de costuri nejustificate pentru prestatorii lui nu poate fi conform cu articolul 10 alineatul (2) din Directiva 2006/123” (pct. 90). Mai departe, la pct. 91-92, CJUE explică ce s-ar putea înțelege prin „cerințe tehnice neadaptate”, respectiv:

„Aceasta poate fi în special situația unei obligații impuse prestatorilor unui serviciu de intermediere având ca obiect, cu ajutorul unei aplicații pentru smartphone, punerea în legătură, în schimbul unei remunerații, a unor persoane care doresc să efectueze o deplasare urbană și a unor șoferi de taxi autorizați de a transmite cursele acestor șoferi printr‑o stație radio de emisie‑recepție, aspect a cărui verificare este însă de competența instanței de trimitere.

Într‑adevăr, o asemenea obligație, care stabilește în sarcina atât a prestatorului serviciului de intermediere, cât și a șoferilor de taxi obligația de a dispune de un astfel de dispozitiv de transmisie și care impune totodată prestatorului serviciului de intermediere să dispună de personal special însărcinat cu transmiterea curselor către șoferi, este nu numai inutilă, ci și lipsită de legătură cu caracteristicile unui serviciu care este legat în întregime de capacitățile tehnice ale smartphone‑urilor, care permit, fără intermediere umană directă, localizarea atât a șoferilor de taxi, cât și a clienților lor potențiali și punerea lor în legătură în mod automat”.

O comparație cu situația Uber

Într-o cauză anterioară din 2017, Asociación Profesional Elite Taxi[6],CJUE a considerat că Uber nu este un serviciu al societății informaționale, ci este „indisociabil legat de un serviciu de transport”[7]. În cauza Star Taxi analizată mai sus, CJUE a considerat că serviciile furnizate de Star Taxi nu sunt servicii de transport, ci servicii ale societății informaționale.

Este necesară o scurtă paranteză pentru a înțelege contextul. Diferența între serviciu al societății informaționale și serviciu de transport prezintă numeroase implicații importante în practică, deoarece, spre deosebire de serviciul societății informaționale, serviciul de transport este supus unui regim mult mai strict (autorizări, condiții suplimentare, răspundere mai ridicată etc). Cu alte cuvinte, analizând comparativ cele două hotărâri CJUE, se observă că, dintr-un anumit unghi juridic, aplicația Star Taxi (și altele asemănătoare) are un regim juridic mai favorabil decât aplicația Uber.

CJUE a considerat că Uber nu se rezumă la un simplu serviciu de intermediere între călători și șoferi așa cum se rezumă aplicația Star Taxi, ci desfășoară mai multe activități care, privite împreună, conduc către concluzia că se furnizează servicii de transport urban. În concret, așa cum arată Curtea la pct. 39[8], Uber selectează șoferii și le impune diverse reguli (calitatea autovehiculului, comportamentul șoferilor etc), stabilind inclusiv prețul maxim pe cursă, și încasează costul deplasării de la client înainte de a achita o parte șoferului. Mai mult, Uber poate, în anumite condiții, exlude șoferii din sistem.

Concluzie

Economia digitală colaborativă („peer-to-peer” sau P2P) se extinde cu viteza luminii în toate ariile vieții, iar în fața instanțelor se ridică probleme juridice noi, la intersecția dintre drept și tehnologie. Calificarea unei platforme digitale sau a unei aplicații drept serviciu al societății informaționale prezintă numeroase consecințe în practică deoarece această calificare conduce către un regim juridic mai puțin strict, în comparație cu un serviciu digital care ar fi considerat că nu doar intermediază, ci oferă direct servicii. Dacă o platformă sau o aplicație este calificată ca serviciu al societății informaționale, atunci reglementările legale care prevăd autorizarea și care  sunt discriminatorii sau nu sunt proporționale în raport cu un interes public vor fi incompatibile cu dreptul Uniunii[9]. Mai mult, această calificare poate conduce și către aplicabilitatea derogării privind răspunderea furnizorilor de servicii ale societății informaționale, în condițiile stabilite la  art. 14 din Directiva e-commerce.

 

Referințe:

[1] CJUE, Cauza C-62/19, Star Taxi App, Hotărârea din 3 decembrie 2020, ECLI:EU:C:2020:980

[2] CJUE, C-434/15, Asociación Profesional Elite Taxi, hotărârea din 20 decembrie 2017, ECLI:EU:C:2017:981.

[3] Idem, pct. 48.

[4] „În această privință, instanța de trimitere arată că această hotărâre, prin introducerea punctelor (i1) și (i2) la articolul 3 din anexa nr. 1 la Hotărârea nr. 178/2008, a extins definiția activității de „dispecerat”, supusă autorizării prealabile prevăzute de Legea nr. 38/2003, la activitatea de aceeași natură efectuată prin intermediul unei aplicații informatice. Prin modificarea articolului 21 din această anexă, hotărârea menționată a impus de asemenea obligativitatea serviciilor de dispecerat pentru toate taxiurile transportatorilor autorizați. Astfel, aceste servicii nu pot fi furnizate decât de dispeceri de taxi autorizați de autoritatea competentă, în condiții care asigură clientului posibilitatea de a apela la aceste servicii prin telefon sau prin alte mijloace, inclusiv prin intermediul aplicațiilor conectate la internet care poartă obligatoriu numele dispeceratului care figurează în autorizația de dispecerat eliberată de autoritatea competentă. În sfârșit, aceeași hotărâre a adăugat, la punctul 6al articolului 59 din Hotărârea nr. 178/2008, că nerespectarea acestor reguli se sancționează cu amendă de la 4 500 la 5 000 RON [între circa 925 și 1025 de euro]”, CJUE, Cauza C-62/19, hot. cit. supra n.1., pct. 30.

[5] „1)      [Articolul 1 primul paragraf punctul 2 din Directiva 98/34 și articolul 2 litera (a) din Directiva 2000/31], care prevăd că serviciul societății informaționale este «serviciul prestat în scopul obținerii unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului», trebuie interpretate în sensul că o activitate de tipul celei prestate de Star Taxi App (respectiv serviciul ce constă în punerea în legătură directă, prin intermediul unei aplicații electronice, a clienților [de] taxi cu șoferi de taxi) trebuie considerată un serviciu specific societății informaționale și economiei colaborative [ținând cont de faptul că Star Taxi App nu îndeplinește criteriile avute în vedere de Curte la punctul 39 din Hotărârea din 20 decembrie 2017, Asociación Profesional Elite Taxi (C‑434/15, EU:C:2017:981), referitoare la Uber, pentru a fi transportator]?

2)      În situația în care [serviciul prestat de] Star Taxi App este considerat serviciu al societății informaționale, prevederile articolului 4 din Directiva 2000/31, ale articolelor 9, 10 și 16 din Directiva 2006/123, precum și ale articolului 56 TFUE introduc activitatea Star Taxi App sub incidența principiului libertății de a presta servicii [și], în caz afirmativ, acestea se opun unei reglementări de tipul [celei care figurează la articolul 3, la articolul 21 alineatele (1) și (31), la articolul 41 alineatul (21) și la articolul 59 punctul 61 din anexa nr. 1 la Hotărârea nr. 178/2008]?

3)      În cazul în care Directiva 2000/31 este aplicabilă în ceea ce privește serviciul prestat de Star Taxi App, limitările prevăzute de un stat membru în privința libertății de a presta serviciul electronic, prin impunerea, în ceea ce privește serviciul, a obligației de a deține autorizație sau licență, constituie măsuri [care pot deroga, în temeiul alineatului (4) al articolului 3 din această directivă, de la alineatul (2) al acestui articol]?

4)      Prevederile articolului 5 din Directiva 2015/1535 se opun adoptării fără notificarea prealabilă a Comisiei a unei reglementări de tipul [celei care figurează la articolul 3, la articolul 21 alineatele (1) și (31), la articolul 41 alineatul (21) și la articolul 59 punctul 61 din anexa nr. 1 la Hotărârea nr. 178/2008]?”

[6] CJUE, C-434/15, hot. cit. supra n.2.

[7] Idem, pct. 48.

[8] Idem, pct. 39.

[9] Emma Psaila, Sara Fiorentini, Marta Santos Silva, Ana Gomez, Exploratory study of consumer issues in online peer-to-peer platform markets Task 5 Report – Legal Analysis Report, European Commission, februarie 2017, p. 25.

 


hand-drawn-international-human-right-day-illustration_23-2148703732.jpg

Deși atunci când facem referire la protecția datelor cu caracter personal, primul instrument care ne vine în minte este Regulamentul GDPR, în realitate, viața privată și datele personale sunt protejate printr-o serie de instrumente naționale, europene și internaționale. În acest articol vom descrie cum sunt reglementate protecția vieții private și protecția datelor personale prin trei instrumente internaționale: Convenția 108 (108+), Declarația Universală a Drepturilor Omului și Convenția Universală a Drepturilor Omului.

1. Convenția 108

Primul instrument juridic internațional cu forță juridică obligatorie adoptat în domeniul protecției datelor cu caracter a fost Convenția 108 din 28 ianuarie 1981[1], Convenție ce a  modernizată în luna mai 2018, după o perioadă de activitate intensă și negocieri[2], devenind Convenția 108+. Convenția 108 (108+) este deschisă spre semnare atât statelor din Uniunea Europeană, cât și celor din afara Uniunii[3]. Până în anul 1994, înainte de adoptarea Directivei 95/46, Convenția 108 a format cadrul european privind protecția datelor[4] și a servit drept inspirație pentru legiuitorul Uniunii[5] în dezvoltarea legislației europene privind protecția datelor cu caracter personal și libera circulația a acestor date[6], iar în prezent se aplică simultan cu celelalte acte normative europene sau internaționale privind protecția datelor cu caracter personal. Modernizarea Convenției 108 urmărește, printre altele, îmbunătățirea eficienței sale, abordarea provocărilor la adresa protecției datelor și a vieții private prin utilizarea noilor tehnologii[7], extinderea domeniului de aplicare, creșterea nivelului de protecție a datelor[8] (de exemplu, prin includerea principiului prelucrării legale, detalierea consimțământului persoanei vizate și consolidarea drepturilor persoanei vizate[9]), instituirea unor garanții suplimentare privind transferurile internaționale de date[10] și obligarea statelor membre de a institui autorități independente de supraveghere a datelor cu caracter personal[11].

2. Declarația Universală a Drepturilor Omului

Un alt instrument internațional relevant este Declarația Universală a Drepturilor Omului, adoptată la 10 decembrie 1948, deși nu conține prevederi specifice cu privire la dreptul la protecția datelor personale, conține prevederi cu privire la dreptul la viață privată și de familie, stabilind, prin intermediul art. 12 faptul că „nimeni nu va fi supus la imixtiuni arbitrare în viaţa sa personală, în familia sa, în domiciliul lui sau în corespondenţa sa, nici la atingeri aduse onoarei şi reputaţiei sale. Orice persoană are dreptul la protecţia legii împotriva unor asemenea imixtiuni sau atingeri”.

3. Convenția Europeană a Drepturilor Omului (CEDO)

Convenția Europeană a Drepturilor Omului este alt instrument internațional relevant al drepturilor fundamentale elaborat de Consiliul Europei[12] care, deși nu conține prevederi specifice cu privire la dreptul la protecția datelor personale, conține prevederi cu privire la dreptul la viață privată și de familie. Art. 8 din CEDO este asemănător cu art. 12 din Declarația Universală a Drepturilor Omului și prevede la alin. (1) faptul că orice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale” și la alin. (2) faptul că „nu este admis amestecul unei autorităţi publice în exercitarea acestui drept decât în măsura în care acesta este prevăzut de lege şi constituie, într-o societate democratică, o măsură necesară pentru securitatea naţională, siguranţa publică, bunăstarea economică a ţării, apărarea ordinii şi prevenirea faptelor penale, protecţia sănătăţii, a moralei, a drepturilor şi a libertăţilor altora”.

 

Surse:

[1] Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal din 28.01.1981, text publicat în Monitorul Oficial, Partea I nr. 830 din 21 decembrie 2001, în vigoare de la 21 decembrie 2001.

[2]Conform comunicatului de presă ANSPDCP disponibil la următorul link, link accesat 2.12.2020.

[3] Sian Rudgard, Origins and Historical Context of Data Protection Law în lucrarea Eduardo Ustaran, Hogan Lovells (eds.), European Data Protection Law and Practice, International Association of Privacy Professionals (IAPP), 2018, p. 23.

[4] Adriana-Maria Sandru, Daniel-Mihail Sandru, Reforma protecției datelor din perspectiva Consiliului Europei (New Meanings of the Data Protection Regulations Given by the Council of Europe), Septembrie 2019, Studii si cercetari juridice, nr. 3/2019, p. 317, disponibil la SSRN, link accesat 02.12.2020.

[5] Hielke Hijmans în lucrarea Christopher Kuner, Lee A. Bygrave, Christopher Docksey (coord.), The EU General Data Protection Regulation (GDPR). A commentary, Oxford University Press, 2020, p. 52.

[6] Adriana-Maria Sandru, Daniel-Mihail Sandru, op. cit. supra n. 4, p. 317.

[7] supra n. 2.

[8] europarl.europa.eu, link accesat 2.12.2020.

[9] Adriana-Maria Sandru, Daniel-Mihail Sandru, op. cit. supra n. 4, p. 323.

[10] coe.int, link accesat 12.02.2020.

[11] supra n. 9.

[12] A fost semnată pe 4 noiembrie 1950 la Roma și intrat în vigoare pe 3 septembrie 1953.


escape-from-prison-man-prisoner-run-from-jail_33099-2411.jpg

CJUE, Cauza C-399/11, Melloni, hotărârea din 26 februarie 2013

ECLI:EU:C:2013:107

 

Situația de fapt

Domnul Melloni a fost extrădat din Spania în Italia pentru a fi judecat pentru bancrută frauduloasă. El a fost condamnat la 10 ani închisoare.

El a fost condamnat în lipsă deoarece s-a sustras judecății, însă a fost reprezentat de avocații aleși.

În 2004, în Italia a fost emis un mandatul european de arestare pe numele domnului Melloni.

În 2008, Melloni a fost arestat de poliția spaniolă urmând să fie predat, în baza mandatului de arestare, autorităților italiene.

Domnul Melloni s-a opus predării. În primul rând, el a argumentat faptul că reprezentarea prin cei avocați nu a fost una legală deoarece, deși a revocat mandatul acordat acestor avocați, autoritățile au efectuat în continuare procedurile cu avocații. În al doilea rând, Melloni a argumentat faptul că dacă ar fi predat către autoritățile italiene, acesta nu ar avea o cale de atac împotriva hotărârii pronunțate în lipsă deoarece legea italiană nu prevedea această posibilitate. Prin urmare, Melloni a considerat că executarea mandatului de arestare poate fi realizată doar sub condiția ca Italia să garanteze posibilitatea de a formula o cale de atac împotriva hotărârii prin care a fost condamnat.

Instanța a respins argumentele invocate de Melloni și a decis predarea către autoritățile italiene.

Domnul Melloni a introdus în fața Tribunalului Constitutional o plângere constituțională prin care a invocat încălcarea dreptului la un proces echitabil din Constituția spaniolă; În concret Melloni a considerat că dacă ar fi extrădat către un stat unde nu are o cale de atac împotriva hotărârilor pronunțate în lipsă, s-ar încălca dreptul la un proces echitabil într-o manieră care îi afectează demnitatea umană.

Potrivit Tribunal Constitucional, se pune, așadar, problema dacă Decizia-cadru 2002/584 interzice instanțelor spaniole să condiționeze predarea domnului Melloni de posibilitatea revizuirii hotărârii de condamnare în cauză.

Tribunalul a suspendat judecarea cauzei și a adresat Curții trei întrebări preliminare.

Întrebările preliminare:

1)       Articolul 4a alineatul (1) din Decizia-cadru 2002/584/JAI, în versiunea în vigoare care rezultă din Decizia-cadru 2009/299/JAI, trebuie interpretat în sensul că nu permite autorităților judiciare naționale, în cazurile menționate în dispoziția respectivă, să supună executarea unui mandat european de arestare condiției ca respectiva hotărâre de condamnare să poată fi revizuită, pentru a garanta dreptul la apărare al persoanei interesate?

2)      În cazul unui răspuns afirmativ la prima întrebare, articolul 4a alineatul (1) din Decizia-cadru 2002/584/JAI este compatibil cu cerințele care decurg din dreptul la o cale de atac eficientă și la un proces echitabil prevăzut la articolul 47 din cartă […], precum și cu dreptul la apărare garantat de articolul 48 alineatul (2) din aceasta?

3)      În cazul unui răspuns afirmativ la a doua întrebare, articolul 53 din cartă, interpretat sistematic în coroborare cu drepturile recunoscute la articolele 47 și 48 din cartă, permite unui stat membru să condiționeze predarea unei persoane condamnate în lipsă de posibilitatea ca hotărârea de condamnare să fie supusă revizuirii în statul solicitant, conferind astfel drepturilor respective un mai mare nivel de protecție decât cel care decurge din dreptul Uniunii Europene, cu scopul de a evita o interpretare care restrânge sau aduce atingere unui drept fundamental recunoscut de constituția statului membru respectiv?

Hotărârea și argumentele Curții de Justiție

La prima întrebare preliminară, CJUE a răspuns că Decizia-cadru 2002 se opune ca autoritatea judiciară de executare să condiționeze, în cazurile excepționale de la art. 4a alin. 1, executarea unui mandat european de arestare de existența unei căi de atac în statul membru. (pct. 46).

Pentru a decide în sensul celor indicate anterior, CJUE a oferit mai multe argumente. Un prim argument este acela că „în temeiul articolului 1 alineatul (2) din Decizia-cadru 2002/584 menționată, statele membre sunt, în principiu, obligate să dea curs unui mandat european de arestare” (pct. 38), iar potrivit aceleași decizii statele membre pot refuza executarea unui mandat doar în cazurile indicate de decizie. Cu alte cuvinte, în viziunea CJUE, dreptul intern nu poate adăuga cazuri noi care să permită neexecutarea unui mandat de arestare. Rezultă indirect din par. 37 faptul că CJUE dorește să sublinieze că includerea unor cazuri noi de neexecutare prin dreptul intern ar putea îngreuna cooperarea judiciară și ar putea reprezenta piedici în realizarea obiectivului Uniunii de a deveni un spațiu de libertate, securitate și justiție întemeindu-se pe gradul ridicat de încredere care trebuie să existe între statele membre.

Prin cea de-a doua întrebare preliminară, instanța de trimitere pune în discuție compatibilitatea Deciziei cadru 2002 cu art. 47 din cartă (dreptul la un proces echitabil) și cu art. 48 alin. 2 din cartă (dreptul la apărare).

CJUE consideră că Decizia este compatibilă cu articolele din cartă indicate anterior, explicând faptul că dreptul persoanei acuzate de a fi prezentă la proces (ca element esențial al dreptului la un proces echitabil) nu este un drept absolut (par. 49). Mai departe, la par. 52, CJUE arată că, din interpretarea dispozițiilor deciziei-cadru 2002, rezultă că există două situații în care se poate considera că persoana a renunțat în mod voluntar și neechivoc să se prezinte la proces. Prin urmare, în aceste situații, executarea mandatului european nu poate fi realizată sub condiția existenței unei posibilități de rejudecare a cauzei în dreptul intern al statului emitent.

Prin intermediul celei de-a treia întrebări preliminare, instanța de trimitere dorește să afle dacă art. 53 din Cartă[1] permite statului membru de executare să condiționeze predarea unei persoane condamnate de existența unei căi de atac în statul membru (par. 55) cu scopul de a evita să se aducă atingere dreptului la un proces echitabil și dreptului la apărare garantate de constituția acestuia. Așa cum arată Curtea la par. 56, ipoteza este reprezentată de o situație în care constituția unui stat membru are un standard de protecție a drepturilor omului superior dispozițiilor din dreptul Uniunii și dacă, în virtutea acestui standard mai protecție, i se poate permite să acorde o prioritate dreptului intern.

CJUE a răspuns că art. 53 din Cartă nu permite statului membru de executare să condiționeze predarea unei persoane condamnate de existența unei căi de atac în statul membru (par. 55) cu scopul de a evita să se aducă atingere dreptului la un proces echitabil și dreptului la apărare garantate de constituția acestuia (par. 64).

În viziunea CJUE, în situația unui conflict juridic între dreptul constituțional intern și dreptul Uniunii, prevalează dreptul Uniunii în virtutea principiului supremației, inclusiv în situațiile în care dreptul constituțional intern are dispoziții mai favorabile. Cu alte cuvinte, în această speță, CJUE a dat prioritate supremației dreptului Uniunii chiar dacă această supremație va conduce, în cele din urmă, către o protecție mai slabă a drepturilor.

În concret, dacă domnul Melloni ar fi executat pedeapsa în Spania ar fi avut dreptul la revizuire, în schimb, executând pedeapsa în Italia, nu poate beneficia de un drept la revizuire deoarece legea procesuală penală din Italia nu include un astfel de drept la revizuire.

***

[1] Articolul 53

Nivelul de protecție

Nici una dintre dispozițiile prezentei carte nu poate fi interpretată ca restrângând sau aducând atingere drepturilor omului și libertăților fundamentale recunoscute, în domeniile de aplicare corespunzătoare, de dreptul Uniunii și dreptul internațional, precum și de convențiile internaționale la care Uniunea sau toate statele membre sunt părți, și în special Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, precum și prin constituțiile statelor membre.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



coronavirus-tracking-location-app-concept_23-2148658926.jpg

Introducere

Pandemia COVID-19 generează noi provocări pentru protecția datelor cu caracter personal. Avantajul utilizării datelor cu caracter personal pentru limitarea răspândirii pandemiei este incontestabil, însă prezintă riscuri pentru viața privată și celelalte drepturi fundamentale.[1] Cheia este echilibrul. În timp ce în China, Israel, Singapore și Coreea de sud, supravegherea digitală joacă un rol masiv[2], Europa are un regim de protecția a datelor cu caracter personal mai sever, iar cetățenii europeni sunt mai reticenți în utilizarea acestor tehnologii. De exemplu, în Franța, aplicația StopCovid a fost descărcată de mai puțin de 3% din populație[3].

Aplicațiile COVID-19 de urmărire și localizare sunt aplicații mobile (software) concepute pentru a ajuta la combaterea expansiunii pandemiei COVID-19.[4] Aplicațiile de urmărire a contactelor sunt create și implementate pentru a servi trei scopuri principale în lupta pentru combaterea pandemiei. În primul rând, acestea sunt destinate informării și sfătuirii cetățenilor, de regulă printr-un chestionar de autodiagnosticare, urmat de un control medical al celor care prezintă simptome asociate virusului. În al doilea rând, aceste aplicații sunt menite să urmărească și să avertizeze persoanele care sunt detectate că ar fi intrat în contact cu o persoană infectată, cu scopul de a întrerupe lanțul infectării. În al treilea rând, aplicațiile servesc funcția de a monitoriza respectarea măsurilor de carantinare de către persoanele infectate[5].

Cum putem asigura o prelucrare rezonabilă a datelor cu caracter personal prin intermediul aplicațiilor COVID-19 pentru a spori încrederea publicului în utilizarea acestor aplicații? Ar putea fi utilizate aceste aplicații astfel încât riscurile asupra vieții private să fie reduse la minimum?

Comitetul European pentru Protecția Datelor (CEPD) are o viziune optimistă. Ulterior aducerii în discuție a riscului unei ireversibilități ale unor măsuri[6], CEPD subliniază că „nu ar trebui să fim nevoiți să alegem între un răspuns eficace la criza actuală și protecția drepturilor noastre fundamentale: le putem asigura pe ambele și, în plus, principiile de protecție a datelor pot juca un rol foarte important în lupta împotriva virusului. Legislația europeană privind protecția datelor permite utilizarea în mod responsabil a datelor cu caracter personal în scopul gestionării sănătății, asigurând în același timp că nu se restrâng drepturile și libertățile individuale în cursul acestui proces”[7].

RGPD[8] și Directiva 2002/58/CE[9] sunt aplicabile în toate elementele sale pe perioada pandemiei, iar principiile legislației privind protecția datelor ar putea inspira la proiectarea unor sisteme și aplicații compatibile cu drepturile fundamentale.[10]

2. Riscuri ale aplicațiilor COVID-19

Principalul risc identificat de către Comisia Europeană vizează lipsa unei evaluări privind eficacitatea acestor aplicații. Comisia atrage atenția că datele colectate cu prilejul implementării acestor aplicații ar putea fi utilizate în alte scopuri[11] decât acela de a combate pandemia, cum ar fi asigurarea respectării legii sau scopurile comerciale. De exemplu, autoritățile publice ar putea fi tentate să utilizeze datele în scopul înfăptuirii justiției, prin localizarea unor persoane care trebuie trase la răspundere penală. De asemenea, datele ar putea fi utilizate în scopuri comerciale, cum ar fi publicitatea de medicamente specifice direcționată către persoanele infectate sau posibil infectate[12]. Acest risc este reiterat și de către Comitetul European pentru Protecția Datelor (CEPD)[13]:

„În plus, în ceea ce privește principiul colectării datelor cu caracter personal numai în scopurile prevăzute, scopurile trebuie să fie suficient de specifice pentru a exclude prelucrarea ulterioară în scopuri care nu au legătură cu gestionarea crizei sanitare generate de COVID-19 (de exemplu, în scopuri comerciale sau de asigurare a respectării legii). Odată ce obiectivul a fost clar definit, va fi necesar să se asigure că utilizarea datelor cu caracter personal este adecvată, necesară și proporțională[14].”

Riscurile identificate de CEPD sunt, în principiu, următoarele (i) aplicațiile ar putea fi lipsite de eficiență dacă nu vor fi implementate corect[15]; (ii) caracterul ireversibil al unor măsuri de supraveghere asupra drepturilor și libertăților fundamentale[16]; (iii) restrângerea nejustificată a drepturilor și libertăților fundamentale[17]; (iv) riscul ca persoanele să utilizeze aplicații neoficiale dezvoltate de terți[18]; (v) prelucrarea mai multor date decât sunt necesare pentru combaterea pandemiei și stocarea pe o perioadă mai lungă de timp decât cea strict necesară[19]; (vi) eșuarea anonimizării; (vii) utilizarea datelor în alte scopuri; (viii) inexactitatea aplicațiilor care poate genera rezultate fals negative sau fals pozitive[20].

3. Elemente pentru o utilizare responsabilă a datelor

Comisia și CEPD prezintă mai multe elemente care trebuie luate în considerare înainte de lansarea aplicațiilor COVID-19, printre care (1) stabilirea calității de operator[21]; (2) asigurarea faptului că persoana fizică rămâne în control; (3) identificarea corectă a temeiului juridic pentru prelucrare; (4) asigurarea principiului minimizării datelor; (5) limitarea divulgării datelor/accesului la date; (6) asigurarea unui scopuri precise a prelucrării datelor; (7) limitarea duratei de stocare a datelor; (8) asigurarea securității datelor; (9) asigurarea exactității datelor; (10) implicarea autorităților pentru protecția datelor.

Concluzii

 

Și Comisia și CEPD recomandă o abordare echilibrată a implementării noilor tehnologii în combaterea pandemiei cu luarea în calcul a integrării unor elemente tehnice, juridice și organizatorice care să conducă la respectarea tuturor drepturilor și libertăților fundamentale. Orientările europene recomandă a nu se alege între drepturi, ci a se integra aceste drepturi într-un context al universalității drepturilor și libertăților fundamentale. Protecția datelor nu ar trebui privită ca o piedică în combaterea pandemiei, ci dimpotrivă, ca un set de principii care pot conduce, în cele din urmă, la încrederea cetățenilor în astfel de sisteme. În prezent, cetățenii devin tot mai conștienți de importanța protecției datelor, iar astăzi, afirmația „nu colectăm date” ridică semne de întrebare. Operatorii acestor aplicații ar trebui să se îndepărteze de la clasicul „nu colectăm date” către o abordare mai transparentă și mai aproape de utilizator. Atât Comisia, cât și CEPD recomandă ca autoritățile să pună la dispoziție codul sursă al acestor aplicații pentru a putea fi verificat de toate persoanele interesate.

Societatea se află într-un proces de schimbare profundă, proces care este dificil de înțeles, însă, este important să nu ne abatem de la principiile și valorile care stau la baza unor societăți democratice. Protecția datelor este un drept fundamental, în conexiune cu dreptul la viață privată care protejează persoana vizată de ingerințele nejustificate din partea terților, fie într-un raport orizontal (alte persoane fizice sau operatori privați), fie într-un raport vertical (în raport cu instituțiile statului). Protecția datelor cu caracter personal este un drept interdisciplinar și o premisă esențială pentru protecția altor drepturi și libertăți fundamentale.

Noile sisteme și tehnologii trebuie configurate să integreze respectarea drepturilor și libertăților fundamentale încă din faza de concept, pentru a nu se ajunge la efecte nedorite ireversibile asupra persoanelor și asupra societății în ansamblu.

 

Surse:

[1] Curtea de Justiție a Uniunii Europene (CJUE) a arătat că accesul unor instituții publice la datele cu caracter personal ale unor persoane fizice constituie o ingerință în dreptul fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, inclusiv în situația în care această ingerință nu poate fi calificată drept „gravă”. Mai departe Curtea arată că, pentru a se stabili existența unei ingerințe, nu este relevant dacă respectivele date au caracter sensibil sau dacă persoanele interesate au suferit eventuale inconveniente ca urmare a acestei ingerințe. A se vedea CJUE, Cauza C-207/16, Ministerio Fiscal, hotărârea din 2 octombrie 2018, ECLI:EU:C:2018:788, pct. 51.

[2] Laura R. Bradford, Mateo Aboy, Kathleen Liddell, COVID-19 Contact Tracing Apps: A Stress Test for Privacy, the GDPR and Data Protection Regimes (3 iunie 2020), Journal of Law and the Biosciences (2020), University of Cambridge Faculty of Law Research Paper No. 23/2020.

[3] Ian Ayres, Alessandro Romano, Chiara Sotis, How to Make COVID-19 Contact Tracing Apps Work: Insights From Behavioral Economics (9 septembrie 2020). Yale Law School, Public Law Research Paper Forthcoming.

[4] Wikipedia, disponibil aici, link accesat 08.05.2020.

[5] Ibidem.

[6] „Cu toate acestea, apreciem că măsurile excepționale care permit o astfel de supraveghere ar trebui să înceteze la momentul încetării situației excepționale care le-au generat”, Daniel-Mihail ȘANDRU, Tipologia protecției datelor cu caracter personal în situații de criză medicală: Coronavirus COVID-19, Pandectele Române nr. 1/2020, p. 34.

[7] CEPD, Orientările 4/2020 privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în contextul pandemiei de COVID-19, Adoptate la 21 aprilie 2020, Bruxelles, p. 12, disponibil la la următorul link  accesat 17.11.2020.

[8] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE), JO L 119, 4.5.2016, p. 1–88.

[9] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37–47.

[10] Laura R. Bradford, Mateo Aboy, Kathleen Liddell, op. cit., p. 18.

[11] Principiul limitării legate de scop este un principiu esențial al RGPD. Potrivit art. 5 alin. (1) lit. b datele trebuie „colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri”.

[12] „Transmiterea datelor cu privire la aceste persoane este ilegală către operatori privați, care nu au legătură cu sistemul medical”, Daniel-Mihail ȘANDRU, op. cit., p. 36.

[13] CEPD, op. cit.  supra n. 5, p. 8.

[14] „Publicarea unor liste cu persoanele carantinate, izolate sau infectate, de către autoritățile administrației publice locale, pe rețele de socializare, fie pe site-ul primăriei, pe pagina de rețea socială a primăriei sau pe pagina primarului, ori a listei doctorilor infectați, publicată de un consilier local sau județean – toate constituind exemple din România, dar exemple negative întrucât nu există nicio proporționalitate în aceste măsuri, care nu ar putea fi justificate nici măcar de frica persoanelor care au trecut la asemenea divulgări de date cu caracter personal”, Daniel-Mihail ȘANDRU, op. cit., p. 36.

[15] „Eficiența pe care o pot avea aplicațiile de urmărire a contactelor în gestionarea pandemiei depinde de mulți factori (de exemplu, procentul de persoane care își vor instala o astfel de aplicație, definirea termenului „contact” din perspectiva proximității și a duratei.) În plus, astfel de aplicații trebuie să facă parte dintr-o strategie cuprinzătoare în domeniul sănătății publice pentru combaterea pandemiei, care să includă, printre altele, testarea persoanelor și urmărirea manuală ulterioară a contactelor acestora, cu scopul de a se elimina orice îndoială. Punerea la dispoziție a acestor aplicații ar trebui să fie însoțită de măsuri de sprijin pentru a se asigura faptul că informațiile care le sunt furnizate utilizatorilor sunt contextualizate și că alertele generate pot fi utile pentru sistemul de sănătate publică. În caz contrar, este posibil ca aceste aplicații să nu poată avea impactul scontat”, CEPD, op. cit. supra n. 5, p. 5.

[16] Idem, p. 12.

[17] Ibidem.

[18] CEPD, op. cit. supra n. 5, p. 11.

[19] Idem, p. 6-8.

[20] Idem, p. 9-10.

[21] „ Este esențial să se stabilească cine decide cu privire la mijloacele și scopurile prelucrării datelor (și anume, cine este operatorul de date) pentru a stabili cine este responsabil cu respectarea normelor UE privind protecția datelor cu caracter personal și în special: cine ar trebui să informeze persoanele care descarcă aplicația cu privire la ceea ce va întâmpla cu datele lor personale (deja existente sau care urmează să fie generate prin intermediul dispozitivului, cum ar fi un telefon inteligent, pe care se instalează aplicația), drepturile pe care le vor avea, cine va fi responsabil în cazul încălcării securității datelor etc”, Comisia Europeană, Orientări în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de COVID-19, JO C 124I , 17.4.2020.


Intră în comunitate