La data de 12 ianuarie 2023, în cauza C-154/21, Curtea de Justiție a Uniunii Europene (CJUE) a hotărât că persoanele fizice au dreptul să știe unde au fost dezvăluite datele cu caracter personal, precum și identitatea concretă a destinatarilor. Cauza a pornit în Austria unde o persoană fizică a solicitat unei companii care deținea anuare telefonice să îi comunice identitatea destinatarilor unde datele cu caracter personal fuseseră divulgate. Compania a refuzat să furnizeze identitatea concretă a destinatarilor deoarece a apreciat că, potrivit art. 15 alin. (1) lit. c) din RGPD, are posibilitatea de a indica persoanei vizate numai categoriile de destinatari, fără a trebui să desemneze nominal destinatarii concreți cărora le sunt transmise datele cu caracter personal.
Într-adevăr, art. 15 alin. (1) lit. c) din RGPD prevede că „Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: […] (c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale”. Dacă interpretăm gramatical textul indicat anterior, deducem faptul că operatorul are un drept de opțiune între a indica destinatarii sau categoriile de destinatari.
Ce a hotărât CJUE?
Pusă în fața acestei probleme de interpretare, CJUE s-a îndepărtat de la interpretarea gramaticală a textului și a propus o interpretare teleologică motivând că, „potrivit unei jurisprudențe constante, interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte”.
CJUE a hotărât că, atunci când primește o cerere de acces la datele cu caracter personal, operatorul nu are un drept de opțiune între a indica destinatarii sau categoriile de destinatari. Potrivit CJUE, operatorul trebuie să furnizeze persoanei fizice informații privind identitatea destinatarilor, cu excepția cazului în care este imposibil să se identifice acești destinatari sau a cazului în care operatorul menționat demonstrează că cererile de acces ale persoanei vizate sunt în mod vădit nefondate sau excesive. Potrivit CJUE, dreptul persoanelor de a cunoaște identitatea destinatarilor se justifică deoarece persoanele trebuie să știe cu privire la ce entități să își exercite celelalte drepturi prevăzute de GDPR: drept de acces, restricționare, ștergere, portabilitate, etc.
Relevanță practică
Această hotărâre CJUE va fi obligatorie în toată Uniunea Europeană, inclusiv în România. Hotărârea va avea o relevanță practică deosebită, atât pentru persoane fizice, cât și pentru persoane juridice, instituții ale statului și alte entități. Persoanele fizice își vor putea exercita dreptul de acces și vor putea afla cu mai multă ușurință pe unde au ajuns datele lor. Persoanele juridice, instituțiile statului și alți operatori vor trebui să răspundă acestor cereri și să indice în mod concret identitatea destinatarilor datelor cu caracter personal. Acești operatori vor trebui să acorde o atenție deosebită la fluxurile de date personale și să documenteze cu mai multă atenție intrările și ieșirile de date.
Autor Av. Ruxandra Sava
Image by 8photo on Freepik