Prin hotărârea din 4 mai 2023, în cauza F.F. împotriva Österreichische Datenschutzbehörde (C-487/21), Curtea de Justiție a Uniunii Europene (CJUE) a hotărât că operatorii de date cu caracter personal (companii, instituții publice, etc) trebuie să furnizeze persoanelor fizice, la cerere, accesul la propriile date cu caracter personal și la documentele care conțin aceste date (extrase de documente, extrase din baze de date, documente întregi, e-mailuri, etc).
Litigiul a pornit în Austria. O persoană fizică F.F. a solicitat unei agenții de consultanță comercială – care avea date privind solvabilitatea unor persoane, să îi furnizeze accesul la datele cu caracter personal. F.F. a solicitat furnizarea unei copii a documentelor, și anume e-mailurile și extrasele din bazele de date, care conțin printre altele datele sale, „într-un format tehnic standard”. Agenția de consultanță a transmis către F.F. o listă sintetică a datelor cu caracter personal prelucrate, însă a refuzat să transmită și copii după documente (e-mailuri, documente și extrase din baze de date).
Te-ar putea interesa și:
F.F. a considerat că agenția de consultanță ar fi trebuit să îi comunice nu doar o listă a datelor personale prelucrate, ci și documentele care conținut aceste date (e-mailuri, extrase de documente, extrase din baze de date, etc). F.F. a acționat în instanță agenția de consultanță. Cauza a ajuns la CJUE.
Ce a hotărât CJUE?
CJUE a explicat că dreptul de acces la datele cu caracter personal (art. 15 GDPR) acoperă și documentele aferente datelor cu caracter personal prelucrate. Astfel, operatorii de date (companii, instituții publice, etc) care primesc o cerere de acces la datele cu caracter personal, trebuie să furnizeze persoanei fizice toate documentele relevante care conțin date cu caracter personal. Potrivit CJUE, „acest drept (dreptul de acces) îl presupune pe cel de a obține copia unor extrase din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele menționate, dacă furnizarea unei astfel de copii este indispensabilă pentru a‑i permite persoanei vizate să își exercite în mod efectiv drepturile care îi sunt conferite de acest regulament, subliniindu‑se că trebuie să se țină seama în această privință de drepturile și de libertățile altora”.
Implementează GDPR și evită amenzile!
CJUE a reamintit și faptul că atunci când cererea de acces a fost depusă pe cale electronică, informațiile (datele cu caracter personal și documentele aferente) trebuie furnizate tot pe cale electronică, cu excepția cazului în care persoana vizată indică altfel.
Ce se întâmplă dacă respectivele documente conțin secrete comerciale sau informații protejate (e.g., drepturi de autor)?
CJUE explică faptul că, într-o atare situație, operatorul trebuie să găsească un echilibru între respectarea dreptului de acces și respectarea drepturilor, libertăților și intereselor altora (secrete comerciale, drepturi de autor asupra programelor de calculator, etc). CJUE subliniază că operatorul trebuie să găsească o modalitate de a furniza accesul la datele personale și la documentele aferente, inclusiv atunci când documentele care conțin date personale conțin și alte informații protejate (secrete comerciale, drepturi de autor asupra programelor de calculator, etc). CJUE nu explică modul în care se poate realiza acest lucru în practică, însă cel mai probabil furnizarea documentelor se poate realiza prin blurarea sau ștergerea informațiilor confidențiale sau protejate de drepturi de autor.
