Acest articol este un fragment din cartea Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020)
C-272/19, Land Hessen, hotărârea din 9 iulie 2020, ECLI:EU:C:2020:535
Cuvinte-cheie: dreptul de acces, noțiunea de „operator”, calitatea de operator a unei comisii pentru petiții din cadrul unui Parlament, drepturile persoanei vizate
Litigiul principal. Situația de fapt
VQ a adresat o petiție către Comisia pentru petiții din cadrul Parlamentului landului Hessa. Ulterior, VQ a solicitat acestei comisii, în temeiul articolului 15 din Regulamentul 2016/679, accesul la datele cu caracter personal care îl privesc. Cererea a fost respinsă de către Parlament deoarece s-a considerat că parlamentul respectiv nu intră în domeniul de aplicare al RGPD. Împotriva acestei decizii, VQ introdus o acțiune la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), instanță care a hotărât să suspende judecarea cauzei și să adreseze Curții două întrebări preliminare.
Întrebările preliminare
1) [Regulamentul 2016/679], mai precis articolul 15 [din acesta], [intitulat «Dreptul de acces al persoanei vizate»], este aplicabil și comisiei din cadrul parlamentului unui stat federat al unui stat membru competent pentru prelucrarea datelor cetățenilor, în speță Comisia pentru petiții din cadrul Parlamentului landului Hessa, iar aceasta din urmă trebuie considerată în această privință o autoritate publică în sensul articolului 4 punctul 7 din [Regulamentul 2016/679]?
2) Instanța de trimitere este o instanță judecătorească independentă și imparțială în sensul dispozițiilor coroborate ale articolului 267 TFUE și ale articolului 47 al doilea paragraf din [cartă]?”
Argumentele Curții de Justiție
Curtea de Justiție a răspuns în sens afirmativ la prima întrebare preliminară, concluzionând faptul că o comisie pentru petiții din cadrul unui Parlament are calitatea de operator în temeiul RGPD. Pentru a ajunge la această concluzie, unul dintre argumentele reținute de Curtea de Justiție a fost acela că în RGPD „nu este prevăzută nicio excepție în ceea ce privește activitățile parlamentare”.
KIT GDPR Premium
Comentariu
Art. 4 pct. 7 din RGPD definește operatorul drept „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”. Această definiție ar trebui interpretată într-o modalitate extinsă pentru a include, așa cum indică și Curtea de Justiție, „orice organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare”.
Față de operatorul de date, persoana vizată are o serie de drepturi (art. 13-22 RGPD), printre care și dreptul de acces (art. 15 RGPD) la datele respective și la următoarele informații: scopurile prelucrării, categoriile de date cu caracter personal vizate, destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale, acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă, existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării, dreptul de a depune o plângere în fața unei autorități de supraveghere, orice informații disponibile privind sursa datelor și existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată. (art. 15 RGPD).
Te-ar putea interesa și: E-book Gratuit. Protecția Datelor Personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2020)
Cu privire la o cerere de acces, operatorul trebuie să răspundă persoanei vizate în termen de maxim o lună de la data primii cererii sau, în cazuri complexe, în termen de maxim trei luni de la data primii cererii (art. 12 alin. (2)-(3) RGPD). Dacă nu va da curs cererii de acces din varii motive (de exemplu, cererea este abuzivă sau persoana nu poate fi identificată), operator trebuie să informeze persoana vizată cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară (art. 12 alin. (4) RGPD). Prin intermediul unei acțiuni în instanță, persoana vizată poate obliga operatorul să furnizeze acces la date (art. 79 RGPD) și poate solicita despăgubiri materiale și/sau morale (art. 82 RGPD). De asemenea, în situația în care persoana vizată depune o plângere la o autoritate de supraveghere (art. 77 RGPD), aceasta din urmă poate, printre altele, să oblige operatorul să furnizeze persoanei vizate accesul la date (art. 58 alin. 2 lit. c) RGPD) și/sau să aplice o sancțiune contravențională (art. 58 alin. 2 lit. i) RGPD). La stabilirea cuantumului amenzii administrative, autoritatea de supraveghere ține cont și de nivelul prejudiciilor suferite de persoana vizată căreia nu i s-a permis accesul la datele personale. (art. 83 alin. 2 lit. a) RGPD).
Te-ar putea interesa și:
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]