OBLIGAȚIA COMPANIILOR DE A DEZVALUI NUMELE PARTENERILOR DE AFACERI CU CARE PARTAJEAZĂ DATELE PERSONALE

Article OBLIGAȚIA COMPANIILOR DE A DEZVALUI NUMELE PARTENERILOR DE AFACERI CU CARE PARTAJEAZĂ DATELE PERSONALE

Luna aceasta, Curtea europeană de justiție a emis o hotărâre în cauza în cauza C‑154/21, având ca obiect o cerere de decizie preliminară formulată în baza TFUE. Cererea de decizie preliminară privea interpretarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1) (denumit în continuare „Regulamentul”), mai exact clarificarea articolului 15, alin (2) lit c.

Curtea a decis că dreptul de acces al persoanei vizate prevăzut de Regulament presupune obligația operatorului de a furniza identitatea destinatarilor datelor personale relevante, cu excepția situației în care este imposibil sau operatorul demonstrează că cererea de exercitare a dreptului este excesivă sau nefondată. 

Articolul 15 alin (1) lit c, ” Dreptul de acces al persoanei vizate”, cu privire la care Curtea a dat lămuriri, prevede următoarele:”(1) Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii: [...] c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;[...]”

Care a fost situatia de fapt?

În speță, un cetățean a solicitat operatorului de servicii poștale și logistice din Austria, Österreichische Post, execitarea dreptului de acces la date, conform articolului 15, și a cerut comunicarea identității destinatarilor cărora le fuseseră comunicate datele lui personale. Răspunsul operatorului a fost vag, nedetaliat și s-a limitat la indicarea faptul că partajează datele personale în cauză cu parteneri comerciali în scopuri de marketing. Nu au fost furnizate alte informații cu privire la identificarea precisă a partenerilor comerciali. În timpul procesului, operatorul a informat din nou reclamantul de faptul că datele sale fuseseră transmise unor clienți, de data aceasta menționând categoria destinatarilor - agenți de publicitate în sectorul vânzării prin corespondență și al comerțului fizic, întreprinderi informatice, editori de adrese și asociații, precum organizații caritabile, organizații neguvernamentale (ONG) sau partide politice. 

Prima instanță a respins plângerea persoanei vizate, ca nefondată. În urma apelului făcut de persoana vizată, Curtea Supremă din Austria a adresat o întrebare Curții de Justiție – dacă Regulamentul lasă la libera alegere a operatorului datelor să comunice fie identitatea concretă a destinatarilor, fie numai categoriile de destinatari, sau dacă Regulamentul menționat oferă persoanei vizate dreptul de a cunoaște identitatea concretă a acestora.

Prin hotărârea pronunțată, Curtea de Justiție a clarificat că, atunci când datele personale au fost sau urmează să le fie divulgate unor destinatari, operatorul are obligația de a-i furniza persoanei vizate, la cerere, identitatea destinatarilor. Doar dacă nu este posibil să se identifice acești destinatari, operatorul se poate limita la indicarea categoriilor de destinatari în cauză, sau atunci când operatorul demonstrează că cererea este în mod vădit nefondată sau excesivă. 

Curtea a analizat în detaliu articolul 15 și a observat faptul că din formularea acestuia nu este clar dacă persoana vizată are dreptul de a cere informații privind identitatea destinatarilor datelor sale personale. Totuși, toate prelucrările trebuie să respecte principiul transparenței menționat la articolul 5 din Regulament. Orice prelucrare de date cu caracter personal ar trebui să fie făcută în mod legal şi echitabil, iar pentru asta e necesară transparența față de colectarea, utilizarea sau prelucrarea în orice alt mod a datelor personale. Principiul transparenţei presupune o comunicare cu persoana vizată uşor de accesat și de înţeles, printr-un limbaj simplu şi clar. Operatorul trebuie să ofere informații cu privire la identitatea sa și la scopurile prelucrării, dar și informații suplimentare, pentru a se asigura dreptul persoanelor vizate de a li se confirma şi comunica datele cu caracter personal care le privesc.

Mai mult, dacă articolele 13 și 14 impun o obligație generală de informare a persoanelor vizate, articolul 15 oferă persoanei vizate efectiv posibilitatea solicitării mai multor informații cu privire la propriile date personale. Așadar, ar trebui ca persoana vizată să poată cere informații specifice în exercitarea acestui drept. Dreptul de acces este un drept oferit persoanei vizate și pentru a verifica dacă datele sale personale sunt corecte, dar și modalitatea procesării.

Curtea a conturat în decizii anterioare sfera de înțelegere și de aplicare a dreptului de acces, în sensul în care acesta să fie efectiv un drept real pentru persoanele vizate, care să ofere posibilitatea lămuririi unor neclarități, și nu doar un instrument abstract. În cauza Nowak, C-434/16, instanța a subliniat că protecția dreptului fundamental la respectarea vieții private presupune, printre altele, ca orice persoană fizică să poată să se asigure că datele cu caracter personal care o privesc sunt exacte și sunt prelucrate în mod legal. Pentru a putea efectua verificările necesare, persoana vizată are un drept de acces la datele sale ce fac obiectul unei prelucrări. Regulamentul impune operatorului obligația de informare detaliată cu privire la prelucrările pe care le efectuează, în acest sens e necesară menționarea riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea. Accentul este pus în principal pe comunicarea scopurilor prelucrării de date personale, pentru că acestea determină restul informațiilor – ce date se culeg, pentru cât timp se păstrează șamd.

Detalii despre dreptul de acces

Acest drept de acces este necesar, printre altele, pentru a‑i permite persoanei vizate să obțină din partea operatorului, după caz, rectificarea, ștergerea sau blocarea datelor respective. Curtea a adăugat că acest drept de acces al persoanei vizate este necesar pentru a-i permite să își exercite și celelalte drepturi care îi sunt recunoscute de Regulament, și anume dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul de opoziție la prelucrare sau dreptul la o cale de atac în cazul în care suferă un prejudiciu.

Prin urmare, informațiile furnizate în baza articolului 15, trebuie să fie cât mai precise, în particular, Curtea argumentează faptul că dreptul de acces ar trebui să ofere posibilitatea persoanei vizate de a obține de la operator detalii cu privire la destinatarii datelor sale personale sau, alternativ, persoana vizată să poată cere doar categoriile de destinatari. Așadar, persoana vizată are dreptul de a alege informațiile de interes pentru ea.

Curtea a luat în calcul și limitările acestui drept de acces. Drepturile persoanelor vizate trebuie raportate la funcţia acestor drepturi şi echilibrate cu alte drepturi fundamentale, în conformitate cu principiul proporţionalităţii.  Prima excepție de la obligația de a identifica precis destinatarii datelor personale se referă la imposibilitatea identificării acestora. Așadar, o solicitare ce are ca obiect dreptul de acces va fi considerată soluționată dacă se limitează la categoriile de destinatari implicați în procesare, atunci când identificarea lor precisă nu este posibilă. A doua limitare identificată se referă la cereri excesive sau nefondate, conform articolelor 5 alin (2) și paragrafului 74 din Regulament, ce impune responsabilitatea şi răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său, dar operatorii trebuie să ia în calcul faptul că sunt singurii responsabili de demonstrarea excesului sau nefondării cererii. 

Așadar, în cazul în care primiți o cerere de acces la date, iar persoana vizată vă cere informații detaliate cu privire la destinatarii datelor sale personale, sunteți obligați să le furnizați numele exacte ale partenerilor dumneavoastră cărora le-ați partajat aceste date personale. Doar în cazul în care nu cunoașteți acești parteneri sau în cazul în care cererea este excesivă, nu sunteți obligați să oferiți informațiile cerute. Cu toate acestea, rețineți faptul că responsabilitatea demonstrării acestor cazuri este a dumneavoastră.

Acest articol a fost redactat de:

Maria IOSIF | Senior Privacy & Data Protection Consultant la Decalex

Share:
Decalex
Autor: DECALEX
Ultimele articole
REGULI PRIVIND PRELUCRAREA DATELOR ÎN PROCESUL DE RECRUTARE

REGULI PRIVIND PRELUCRAREA DATELOR ÎN PROCESUL DE RECRUTARE

Riscul AI depășește beneficiile sale?

Riscul AI depășește beneficiile sale?

Implementarea prevederilor din legea privind avertizorii de interes public

Implementarea prevederilor din legea privind avertizorii de interes public

Partajarea Datelor în Sectorul Sănătății

Partajarea Datelor în Sectorul Sănătății

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI