Adevarul gol-golut despre dreptul de a fi uitat
1. Potrivit art. 17 alin. (1) GDPR, "Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive". In lipsa unor motive, datele cu caracter personal nu se sterg. Prin urmare, regula este pastrarea datelorcu caracter personal, iar exceptiile de la aceasta regula, adica stergerea,suntcele mentionate de lit. a)-f) ale aceluiasi alineat. Chiar si exceptiile au o aplicare restransa. Iata in continuare de ce!
2. Cu referire la exceptia prevazuta de art. 17 alin. (1) lit. a), observam ca datele cu caracter personal trebuie sterse atuncicand nu maisunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate. Insa necesitatea prelucrarii ar putea sa nu fie actuala, ci viitoare, adica datele sa fie necesare pentru operatiuni de prelucrare viitoare, astfel incat datele vor fi pastrate.
3. Cu referire la exceptia prevazuta de art. 17 alin. (1) lit. b),cand prelucrarea s-a bazat pe consimtamantul persoanei vizate, dar consimtamantul nu a fost unicul temei al prelucrarii, trebuie sa observam ca, daca exista un alt temei juridic pentru prelucrare, acesta va fi prevalent fata de intemeierea pe consimtamant, in pofida faptului ca persoana vizata isi retrage consimtamantul.
4. Potrivit art. 17 alin. (1) lit. c), o alta situatie de exceptie in care datele cu caracter personal trebuie sterse este aceea in care persoana vizata se opune prelucrarii in temeiul articolului 21 alin. (1) GDPR si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea. Insa art. 21 alin. (1) GDPR se refera doar la prelucrarea realizata in temeiul art. 6 alin. (l) lit. e) sau f) GDPR, adica, pe de o parte, la situatiile in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, iar pe de alta parte, la situatiile in care prelucrarea este necesara in scopul intereselor legitime urmarite de operatorsau de o parte terta,cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil. In ceea ce priveste lit. e), este greu de imaginat ca indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul nu are prevalenta fata de simpla opunere la prelucrare pe care persoana vizata o comunica operatorului. In ceea ce priveste litera f), observam ca GDPR trimite in mod circular la prevalenta ,caci atat art. 17 alin. (1) lit.c) prima teza, cat si art. 6 alin. (1) lit. f) impun operatorului sa cantareasca daca prevaleaza temeiurile mentionate sau solicitarea de stergere a datelor care ii este adresata de persoana vizata. Fireste, in cazul in care divergenta persista, in ultima instanta, aprecierea va reveni unui judecator. De aceea apreciem ca exceptia are in realitate o putere slaba.
5. Pe de alta parte, potrivit celei de-a doua teze a aceleiasi lit. c), daca persoana vizata se opune prelucrarii in temeiul art. 21 alin. (2) GDPR, adica atuncicand prelucrarea datelorcu caracter personal are drept scop marketingul direct, ea are, intr-adevar, dreptul de a se opune in orice moment prelucrarii in acest scop a datelor cu caracter personalcare o privesc, inclusiv crearii de profiluri, dar numai in masura in care prelucrarea este legata de marketingul direct respectiv. Cu alte cuvinte, nu este vorba de o veritabila stergere a datelor cu caracter personal, ci doar de o limitare a utilizarii lor.
6. Exceptia stergerii datelor cu caracter personal in cazul in care ele au fost prelucrate ilegal, prevazuta de art. 17 alin. (1) lit. d), desi poate parea eficienta, in realitate are o sfera de aplicare limitata, intrucat nu atrage dupa sine stergerea datelor decat daca insasi colectarea a fost ilegala. In cazul oricaror altor activitati de prelucrare, care s-au dovedit a fi ilegale,se opresc acele prelucrari, nu sistocarea datelor pentru realizarea ulterioara de prelucrari legale, de aceasta data.
7. Singura exceptie necircumstantiata este cea reglementata de art. 17 alin. (1) lit. e). Pe buna dreptate, datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniuniisau al dreptului intern sub incidenta caruia se afla operatorul.
8. In privinta exceptiei prevazute de art. 17 alin. (1) lit. f), care vizeaza colectarea de date cu caracter personal de la persoane vizate care nu au ajuns la varsta majoratului, desi pare ca este ilegala colectarea de date cu caracter personal pe baza de consimtamant de la minor, in realitate GDPR, prin art. 8 alin. (1) coboara varsta necesara pentru exprimarea valabila a consimtamantului, adica se preocupa sa nu fie prea restrictiv. Mai mult decat atat, art. 8 alin. 1 nu poate fi interpretat in mod izolat, ci impreuna cu alin. (2) al aceluiasi articol, care prevede ca alin. (1) nu afecteaza dreptul general al contractelor aplicabil in statele membre, cum ar fi normele privind valabilitatea, incheierea sau efectele unui contract in legatura cu un copil. Prin urmare, interpretarea art. 8, si deci si interpretarea art. 17 alin. (1) lit. f), despre care discutam aici, este aceea ca in privinta consimtamantului minorilor este aplicabil regimul juridic national, iar doar in lipsa unor prevederi in acestsens devin aplicabile prevederile restrictive ale art. 8 alin. (1) GDPR.
9. Pentru a limita si mai mult aplicarea dreptului de a sterge ( dreptul de a fi uitat ), legiuitorul european a prevazut limitarisuplimentare privind aplicarea exceptiilor de la regula ca datele cu caracter personal nu se sterg, in cuprinsul alin. (3) al art. 17, pe care le vom discuta in continuare.
10. Potrivit art. 17 alin. (3) lit. a), datele cu caracter personal nu se sterg daca prelucrarea este necesara pentru exercitarea dreptului la libera exprimare si la informare. Aceasta limitare are caracter suplimentar, de intarire, caci concluzia formulata explicit in art. 17 alin. (3) lit. a) decurgea pe cale de simpla interpretare a art. 17 alin. (1) lit. d), potrivitcaruia datele prelucrate ilegal se sterg, iar cele prelucrate legal nu. Apreciem totusi ca aceasta intarire a ideii este binevenita, fiind de natura sa elimine eventuale controverse intre persoanele vizate si operatori, intrucat, subliniem, stergerea datelor cu caracter personal in incercarea persoanei vizate de a fi uitata se face la solicitarea acesteia. In momentul in care persoana vizata face o solicitare de stergere a datelor sale cu caracter personal, samburele de galceava este deja incoltit, astfel incat clarificarea adusa de art. 17 alin. (3) lit. a) este binevenita, cu atat mai mult cu cat ea este destinata sa protejeze, de exemplu, libera exprimare pe retelele de socializare si libertatea presei.
11. In mod asemanator, datele cu caracter personal nu se sterg, in pofida faptului ca persoana vizata solicita, atuncicand sunt necesare pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul,conform art. 17 alin. (3) lit. b), din motive de interes public in domeniul sanatatii publice, in conformitate cu articolul 9 alineatul (2) literele h) si i) si cu articolul 9 alineatul (3),conform art. 17 alin. (3) lit. c) sau in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in masura in care dreptul mentionat la alineatul (1) este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective, conform art. 17 alin. (3) lit. d). Remarcam redundanta reglementarii, chiar si in privinta lit. b) de mai sus,care preia ratiunea reglementarii de la art. 6 alin. (1) lit.c)si e), precum si de la art. 6 alin. (3) GDPR. Apreciem ca ratiunea redundantei este aceea a clarificarii limitarilor dreptului de a fi uitat chiar in interiorul textului articoluluiGDPR care se refera in titlul marginal la dreptul de a fi uitat .
12. In fine, potrivit art. 17 alin. (3) lit. e) GDPR, datele cu caracter personal nu se sterg atunci cand sunt necesare pentru constatarea, exercitarea sau apararea unui drept in instanta. Aceasta problema se pune nu in privinta datelor care sunt utilizate, caci orice utilizare trebuie sa aiba alte temeiuri, ci in privinta datelor care sunt stocate fara alta prelucrare. Avand in vedere termenele de prescriptie extinctiva, precum si reglementarea suspendarii cursului termenului de prescriptie extinctiva si a repunerii in termenul de prescriptie, termenele de pastrare este bine sa fie stabilite cu grija de catre un operator prudent, adica este nevoie sa fie destul de lungi. Pe de alta parte, in momentul in care o persoana vizata formuleaza o cerere de stergere a datelor cu caracter personal, este limpede ca s-a nascut un potential litigios, care el insusi justifica pastrarea datelor cu caracter personal, tocmai pentru ca operatorulsa se poata apara in cazul unui litigiu.
13. Daca totusi, in pofida relaxarii permise de legiuitorul european, operatorul are obligatia sa stearga datele cu caracter personal, adica in putinele ipoteze in care are aceasta obligatie,cauzata de ilegalitatea colectarii, asa cum am aratat mai sus, atunci executarea acestei obligatii trebuie realizata fara intarzieri nejustificate . In lipsa unei definitii legale a intarzierii nejustificate, va ramane in sarcina autoritatii nationale si, in ultima instanta, a judecatorului sa aprecieze daca intarzierea este sau nu nejustificata. Avand in vedere aceasta imprejurare, intarzierea stergerii pentru a da posibilitatea unui judecator sa se pronunte asupra ei este, dupa parerea noastra, un motiv suficient de temeinic pentru a aprecia ca intarzierea este justificata. De aceea, in realitate, prevederea din finalul regulii prevazute de art. 17 alin. (1) GDPR lasa operatorului o marja de apreciere destul de larga. Fireste, in cazul in care autoritatea sau, dupa caz, judecatorul vor aprecia ca operatorulsi-a exercitatcu rea-credinta prerogativa de a refuza sau a intarzia stergerea datelorcu caracter personal, acesta va suporta consecintele administrative si, dupa caz, prejudiciile materiale ale deciziei sale.
14. In concluzie, reglementarea dreptului de a fi uitat, prin art. 17 GDPR, contine in realitate limitari ale dreptului de a fi uitat,care sunt foarte numeroase sicu un camp foarte larg de aplicare, astfel incat, in realitate, dreptul la stergerea datelorcu caracter personal ( dreptul de a fi uitat ) are in mod vadit un caracter de exceptie, nicidecum nu este o regula.
2. Cu referire la exceptia prevazuta de art. 17 alin. (1) lit. a), observam ca datele cu caracter personal trebuie sterse atuncicand nu maisunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate. Insa necesitatea prelucrarii ar putea sa nu fie actuala, ci viitoare, adica datele sa fie necesare pentru operatiuni de prelucrare viitoare, astfel incat datele vor fi pastrate.
3. Cu referire la exceptia prevazuta de art. 17 alin. (1) lit. b),cand prelucrarea s-a bazat pe consimtamantul persoanei vizate, dar consimtamantul nu a fost unicul temei al prelucrarii, trebuie sa observam ca, daca exista un alt temei juridic pentru prelucrare, acesta va fi prevalent fata de intemeierea pe consimtamant, in pofida faptului ca persoana vizata isi retrage consimtamantul.
4. Potrivit art. 17 alin. (1) lit. c), o alta situatie de exceptie in care datele cu caracter personal trebuie sterse este aceea in care persoana vizata se opune prelucrarii in temeiul articolului 21 alin. (1) GDPR si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea. Insa art. 21 alin. (1) GDPR se refera doar la prelucrarea realizata in temeiul art. 6 alin. (l) lit. e) sau f) GDPR, adica, pe de o parte, la situatiile in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, iar pe de alta parte, la situatiile in care prelucrarea este necesara in scopul intereselor legitime urmarite de operatorsau de o parte terta,cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil. In ceea ce priveste lit. e), este greu de imaginat ca indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul nu are prevalenta fata de simpla opunere la prelucrare pe care persoana vizata o comunica operatorului. In ceea ce priveste litera f), observam ca GDPR trimite in mod circular la prevalenta ,caci atat art. 17 alin. (1) lit.c) prima teza, cat si art. 6 alin. (1) lit. f) impun operatorului sa cantareasca daca prevaleaza temeiurile mentionate sau solicitarea de stergere a datelor care ii este adresata de persoana vizata. Fireste, in cazul in care divergenta persista, in ultima instanta, aprecierea va reveni unui judecator. De aceea apreciem ca exceptia are in realitate o putere slaba.
5. Pe de alta parte, potrivit celei de-a doua teze a aceleiasi lit. c), daca persoana vizata se opune prelucrarii in temeiul art. 21 alin. (2) GDPR, adica atuncicand prelucrarea datelorcu caracter personal are drept scop marketingul direct, ea are, intr-adevar, dreptul de a se opune in orice moment prelucrarii in acest scop a datelor cu caracter personalcare o privesc, inclusiv crearii de profiluri, dar numai in masura in care prelucrarea este legata de marketingul direct respectiv. Cu alte cuvinte, nu este vorba de o veritabila stergere a datelor cu caracter personal, ci doar de o limitare a utilizarii lor.
6. Exceptia stergerii datelor cu caracter personal in cazul in care ele au fost prelucrate ilegal, prevazuta de art. 17 alin. (1) lit. d), desi poate parea eficienta, in realitate are o sfera de aplicare limitata, intrucat nu atrage dupa sine stergerea datelor decat daca insasi colectarea a fost ilegala. In cazul oricaror altor activitati de prelucrare, care s-au dovedit a fi ilegale,se opresc acele prelucrari, nu sistocarea datelor pentru realizarea ulterioara de prelucrari legale, de aceasta data.
7. Singura exceptie necircumstantiata este cea reglementata de art. 17 alin. (1) lit. e). Pe buna dreptate, datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniuniisau al dreptului intern sub incidenta caruia se afla operatorul.
8. In privinta exceptiei prevazute de art. 17 alin. (1) lit. f), care vizeaza colectarea de date cu caracter personal de la persoane vizate care nu au ajuns la varsta majoratului, desi pare ca este ilegala colectarea de date cu caracter personal pe baza de consimtamant de la minor, in realitate GDPR, prin art. 8 alin. (1) coboara varsta necesara pentru exprimarea valabila a consimtamantului, adica se preocupa sa nu fie prea restrictiv. Mai mult decat atat, art. 8 alin. 1 nu poate fi interpretat in mod izolat, ci impreuna cu alin. (2) al aceluiasi articol, care prevede ca alin. (1) nu afecteaza dreptul general al contractelor aplicabil in statele membre, cum ar fi normele privind valabilitatea, incheierea sau efectele unui contract in legatura cu un copil. Prin urmare, interpretarea art. 8, si deci si interpretarea art. 17 alin. (1) lit. f), despre care discutam aici, este aceea ca in privinta consimtamantului minorilor este aplicabil regimul juridic national, iar doar in lipsa unor prevederi in acestsens devin aplicabile prevederile restrictive ale art. 8 alin. (1) GDPR.
9. Pentru a limita si mai mult aplicarea dreptului de a sterge ( dreptul de a fi uitat ), legiuitorul european a prevazut limitarisuplimentare privind aplicarea exceptiilor de la regula ca datele cu caracter personal nu se sterg, in cuprinsul alin. (3) al art. 17, pe care le vom discuta in continuare.
10. Potrivit art. 17 alin. (3) lit. a), datele cu caracter personal nu se sterg daca prelucrarea este necesara pentru exercitarea dreptului la libera exprimare si la informare. Aceasta limitare are caracter suplimentar, de intarire, caci concluzia formulata explicit in art. 17 alin. (3) lit. a) decurgea pe cale de simpla interpretare a art. 17 alin. (1) lit. d), potrivitcaruia datele prelucrate ilegal se sterg, iar cele prelucrate legal nu. Apreciem totusi ca aceasta intarire a ideii este binevenita, fiind de natura sa elimine eventuale controverse intre persoanele vizate si operatori, intrucat, subliniem, stergerea datelor cu caracter personal in incercarea persoanei vizate de a fi uitata se face la solicitarea acesteia. In momentul in care persoana vizata face o solicitare de stergere a datelor sale cu caracter personal, samburele de galceava este deja incoltit, astfel incat clarificarea adusa de art. 17 alin. (3) lit. a) este binevenita, cu atat mai mult cu cat ea este destinata sa protejeze, de exemplu, libera exprimare pe retelele de socializare si libertatea presei.
11. In mod asemanator, datele cu caracter personal nu se sterg, in pofida faptului ca persoana vizata solicita, atuncicand sunt necesare pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul,conform art. 17 alin. (3) lit. b), din motive de interes public in domeniul sanatatii publice, in conformitate cu articolul 9 alineatul (2) literele h) si i) si cu articolul 9 alineatul (3),conform art. 17 alin. (3) lit. c) sau in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in masura in care dreptul mentionat la alineatul (1) este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective, conform art. 17 alin. (3) lit. d). Remarcam redundanta reglementarii, chiar si in privinta lit. b) de mai sus,care preia ratiunea reglementarii de la art. 6 alin. (1) lit.c)si e), precum si de la art. 6 alin. (3) GDPR. Apreciem ca ratiunea redundantei este aceea a clarificarii limitarilor dreptului de a fi uitat chiar in interiorul textului articoluluiGDPR care se refera in titlul marginal la dreptul de a fi uitat .
12. In fine, potrivit art. 17 alin. (3) lit. e) GDPR, datele cu caracter personal nu se sterg atunci cand sunt necesare pentru constatarea, exercitarea sau apararea unui drept in instanta. Aceasta problema se pune nu in privinta datelor care sunt utilizate, caci orice utilizare trebuie sa aiba alte temeiuri, ci in privinta datelor care sunt stocate fara alta prelucrare. Avand in vedere termenele de prescriptie extinctiva, precum si reglementarea suspendarii cursului termenului de prescriptie extinctiva si a repunerii in termenul de prescriptie, termenele de pastrare este bine sa fie stabilite cu grija de catre un operator prudent, adica este nevoie sa fie destul de lungi. Pe de alta parte, in momentul in care o persoana vizata formuleaza o cerere de stergere a datelor cu caracter personal, este limpede ca s-a nascut un potential litigios, care el insusi justifica pastrarea datelor cu caracter personal, tocmai pentru ca operatorulsa se poata apara in cazul unui litigiu.
13. Daca totusi, in pofida relaxarii permise de legiuitorul european, operatorul are obligatia sa stearga datele cu caracter personal, adica in putinele ipoteze in care are aceasta obligatie,cauzata de ilegalitatea colectarii, asa cum am aratat mai sus, atunci executarea acestei obligatii trebuie realizata fara intarzieri nejustificate . In lipsa unei definitii legale a intarzierii nejustificate, va ramane in sarcina autoritatii nationale si, in ultima instanta, a judecatorului sa aprecieze daca intarzierea este sau nu nejustificata. Avand in vedere aceasta imprejurare, intarzierea stergerii pentru a da posibilitatea unui judecator sa se pronunte asupra ei este, dupa parerea noastra, un motiv suficient de temeinic pentru a aprecia ca intarzierea este justificata. De aceea, in realitate, prevederea din finalul regulii prevazute de art. 17 alin. (1) GDPR lasa operatorului o marja de apreciere destul de larga. Fireste, in cazul in care autoritatea sau, dupa caz, judecatorul vor aprecia ca operatorulsi-a exercitatcu rea-credinta prerogativa de a refuza sau a intarzia stergerea datelorcu caracter personal, acesta va suporta consecintele administrative si, dupa caz, prejudiciile materiale ale deciziei sale.
14. In concluzie, reglementarea dreptului de a fi uitat, prin art. 17 GDPR, contine in realitate limitari ale dreptului de a fi uitat,care sunt foarte numeroase sicu un camp foarte larg de aplicare, astfel incat, in realitate, dreptul la stergerea datelorcu caracter personal ( dreptul de a fi uitat ) are in mod vadit un caracter de exceptie, nicidecum nu este o regula.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!