Consideratii referitoare la un (potential) conflict intre anumite prevederi ale Regulamentului general privind protectia datelor
In cele ce urmeaza, vom analiza succint doua prevederi cuprinse in Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE ( Regulamentul ) care par a genera un potential conflict, avand in vedere faptul ca, potrivit informatiilor noastre, nu exista inca indrumari oficiale referitoare la abordarea recomandata de autoritatile relevante.
Pe de o parte, ne referim in particular la articolul 28, paragraful 1 din Regulament, potrivit caruia:
In cazul in care prelucrarea urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul regulament si sa asigure protectia drepturilor persoanei vizate.
si, pe de alta parte, la articolul 10, care prevede urmatoarele:
Prelucrarea de date cu caracter personal referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe in temeiul articolului 6 alineatul (1) se efectueaza numai sub controlul unei autoritati de stat sau atunci cand prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern care prevede garantii adecvate pentru drepturile si libertatile persoanelor vizate. Orice registru cuprinzator al condamnarilor penale se tine numai sub controlul unei autoritati de stat.
1. Obligatia de verificare prealabila ce revine operatorilor de date in legatura cu persoanele imputernicite de acestia sa efectueze prelucrarea datelor
Articolul 28 la care se face referire mai sus prevede o obligatie de verificare prealabila in baza careia operatorii de date trebuie sa se asigure de faptul ca persoanele imputernicite pe care acestia le selecteaza detin capacitatea de a indeplini standardele de securitate stabilite prin Regulament. Prin prisma principiului responsabilitatii, care este o trasatura de o importanta primordiala a regimului privind confidentialitatea datelor stabilit prin Regulament, masura in care operatorul de date indeplineste aceasta obligatie trebuie documentata in mod corespunzator inainte de incheierea efectiva a unui contract si a unui acord aferent cu privire la prelucrarea datelor.
O modalitate de asigurare a faptului ca aceasta obligatie este indeplinita si documentata corespunzator consta in includerea in cadrul acordului privind prelucrarea datelor a unor declaratii si garantii corespunzatoare acordate de persoana imputernicita in legatura cu capacitatea sa de a implementa masuri tehnice si organizatorice adecvate; cu cat sunt mai complete aceste declaratii si garantii, cu atat mai bine. Cu toate acestea, e posibil ca acest lucru sa nu fie (considerat) suficient (si, in practica, poate conduce la incalcarea declaratiilor si garantiilor de catre persoane imputernicite care nu dispun de resurse pentru compensarea daunelor pe care le provoaca) si, in opinia noastra, e posibil sa fie necesara o verificare mai extinsa, cel putin in anumite cazuri.
E posibil sa fie necesare verificari prealabile suplimentare, precum prin verificarea informatiilor disponibile din surse publice, inclusiv pe internet. E posibil, de asemenea, ca astfel de verificari sa scoata la iveala faptul ca persoana imputernicita vizata si/sau o persoana-cheie din cadrul organizatiei persoanei imputernicite sa fie suspectata de a fi savarsit sau sa fi savarsit efectiv o infractiune relevanta/infractiuni relevante (de ex., transfer neautorizat de date informatice, acces ilegal la sisteme informatice, alterare a integritatii datelor informatice, astfel de infractiuni fiind incriminate de Codul penal roman). Mai mult decat atat, in cadrul unui exercitiu de verificare de acest tip, pot fi relevante nu doar infractiunile strict legate de date, ci si infractiunile economice si cele legate de integritate (cum ar fi cea de fals).
De fapt, inainte de efectuarea verificarilor prealabile asupra partenerilor contractuali vizati, indiferent daca acestea sunt legate de acordurile privind prelucrarea datelor sau nu, in numeroase domenii, aspectele de etica au devenit un standard si acestea sunt din ce in ce mai apreciate de societati.
2. Limitari drastice cu privire la prelucrarea datelor cu caracter personal referitoare la condamnari si infractiuni penale
Articolul 10 din Regulament stabileste limitari drastice cu privire la prelucrarea datelor cu caracter personal referitoare la condamnari si infractiuni penale, care pot fi prelucrate numai sub controlul unei autoritati de stat sau atunci cand prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern . Desi nu este clar daca o astfel de autoritate de stat poate fi doar o autoritate cu competente in domeniul dreptului penal sau alte autoritati pot prelua rolul prevazut de articolul 10 (cum ar fi insasi autoritatea de supraveghere din domeniul protectiei datelor), imprejurarile concrete in care dreptul Uniunii Europene sau al statului membru prevede un temei pentru prelucrarea datelor referitoare la condamnari si infractiuni penale sunt destul de limitate ca numar si nu acopera cele mai multe dintre situatiile in care societatile sunt interesate sau chiar obligate prin procedurile de la nivel global si prin standardele din domeniu sa efectueze verificari prealabile cu privire la partenerii contractuali vizati.
Mai mult decat atat, nu este clar daca aria de aplicare a articolului 10 acopera doar datele cu caracter personal referitoare la condamnari si infractiuni penale cu privire la care instantele au stabilit o sanctiune sau daca acopera si simplele informatii cu privire la faptul ca o persoana face obiectul unei investigatii penale.
In plus, articolul 10 nu pare a exclude din aria sa de aplicare datele care sunt deja publice, fie pentru ca insasi persoana vizata a facut publice datele respective, fie pentru ca datele sunt disponibile in registrele publice (de exemplu, un dosar penal inregistrat in cartea funciara in care este inregistrat titlul de proprietate al persoanei vizate) sau au intrat in alt mod in domeniul public.
3. Conflictul
Indiferent care este aria de aplicare a articolului 10, aceasta genereaza un conflict grav cu articolul 28 mentionat mai sus in ceea ce priveste obligatia de verificare prealabila a operatorului de date. Cu alte cuvinte, in cazul in care, pe parcursul verificarii prealabile a datelor, operatorii de date identifica informatii referitoare la condamnari penale si infractiuni presupus savarsite de persoane-cheie din cadrul organizatiei persoanei imputernicite vizate de operator, cum ar trebui sa procedeze operatorul de date in asemenea situatie prin prisma limitarilor stabilite de articolul 10?
Intr-o interpretare potentiala care vizeaza asigurarea aplicarii fiecareia dintre prevederile in cauza, articolul 28 si obligatia operatorului de date prevazuta prin acesta ar trebui considerate ca fiind una dintre situatiile in care prelucrarea datelor cu caracter personal este autorizata de dreptul Uniunii sau de dreptul intern (astfel cum se impune prin articolul 10); potrivit unei astfel de interpretari, prelucrarea datelor referitoare la infractiuni in baza articolului 28, si in scopul prevazut prin acesta, ar putea fi considerata ca fiind posibila.
Cu toate acestea, o astfel de interpretare nu este utila pentru numeroase alte situatii in care este necesara o astfel de prelucrare in lumina interesului legitim al societatilor de a efectua verificari prealabile cu privire la partenerii contractuali vizati de acestea. Sub acest aspect, in cele mai multe cazuri, dreptul Uniunii Europene sau dreptul intern tace, iar societatile se confrunta cu riscul de a fi (in mod injust) identificate ca incalcand articolul 10 din Regulament. O interpretare potentiala suplimentara este aceea conform careia informatiile care sunt publice (fie pentru ca insasi persoana vizata a facut publice datele respective, fie pentru ca datele sunt disponibile in registrele publice) nu intra sub incidenta articolului 10 din Regulament.
Potrivit informatiilor noastre, niciuna dintre interpretarile de mai sus nu a fost confirmata formal de autoritatile din domeniul protectiei datelor, iar interventia acestora din urma pentru a face lumina asupra ariei de aplicare a articolului 10 este de maxima stringenta.
Pe de o parte, ne referim in particular la articolul 28, paragraful 1 din Regulament, potrivit caruia:
In cazul in care prelucrarea urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul regulament si sa asigure protectia drepturilor persoanei vizate.
si, pe de alta parte, la articolul 10, care prevede urmatoarele:
Prelucrarea de date cu caracter personal referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe in temeiul articolului 6 alineatul (1) se efectueaza numai sub controlul unei autoritati de stat sau atunci cand prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern care prevede garantii adecvate pentru drepturile si libertatile persoanelor vizate. Orice registru cuprinzator al condamnarilor penale se tine numai sub controlul unei autoritati de stat.
1. Obligatia de verificare prealabila ce revine operatorilor de date in legatura cu persoanele imputernicite de acestia sa efectueze prelucrarea datelor
Articolul 28 la care se face referire mai sus prevede o obligatie de verificare prealabila in baza careia operatorii de date trebuie sa se asigure de faptul ca persoanele imputernicite pe care acestia le selecteaza detin capacitatea de a indeplini standardele de securitate stabilite prin Regulament. Prin prisma principiului responsabilitatii, care este o trasatura de o importanta primordiala a regimului privind confidentialitatea datelor stabilit prin Regulament, masura in care operatorul de date indeplineste aceasta obligatie trebuie documentata in mod corespunzator inainte de incheierea efectiva a unui contract si a unui acord aferent cu privire la prelucrarea datelor.
O modalitate de asigurare a faptului ca aceasta obligatie este indeplinita si documentata corespunzator consta in includerea in cadrul acordului privind prelucrarea datelor a unor declaratii si garantii corespunzatoare acordate de persoana imputernicita in legatura cu capacitatea sa de a implementa masuri tehnice si organizatorice adecvate; cu cat sunt mai complete aceste declaratii si garantii, cu atat mai bine. Cu toate acestea, e posibil ca acest lucru sa nu fie (considerat) suficient (si, in practica, poate conduce la incalcarea declaratiilor si garantiilor de catre persoane imputernicite care nu dispun de resurse pentru compensarea daunelor pe care le provoaca) si, in opinia noastra, e posibil sa fie necesara o verificare mai extinsa, cel putin in anumite cazuri.
E posibil sa fie necesare verificari prealabile suplimentare, precum prin verificarea informatiilor disponibile din surse publice, inclusiv pe internet. E posibil, de asemenea, ca astfel de verificari sa scoata la iveala faptul ca persoana imputernicita vizata si/sau o persoana-cheie din cadrul organizatiei persoanei imputernicite sa fie suspectata de a fi savarsit sau sa fi savarsit efectiv o infractiune relevanta/infractiuni relevante (de ex., transfer neautorizat de date informatice, acces ilegal la sisteme informatice, alterare a integritatii datelor informatice, astfel de infractiuni fiind incriminate de Codul penal roman). Mai mult decat atat, in cadrul unui exercitiu de verificare de acest tip, pot fi relevante nu doar infractiunile strict legate de date, ci si infractiunile economice si cele legate de integritate (cum ar fi cea de fals).
De fapt, inainte de efectuarea verificarilor prealabile asupra partenerilor contractuali vizati, indiferent daca acestea sunt legate de acordurile privind prelucrarea datelor sau nu, in numeroase domenii, aspectele de etica au devenit un standard si acestea sunt din ce in ce mai apreciate de societati.
2. Limitari drastice cu privire la prelucrarea datelor cu caracter personal referitoare la condamnari si infractiuni penale
Articolul 10 din Regulament stabileste limitari drastice cu privire la prelucrarea datelor cu caracter personal referitoare la condamnari si infractiuni penale, care pot fi prelucrate numai sub controlul unei autoritati de stat sau atunci cand prelucrarea este autorizata de dreptul Uniunii sau de dreptul intern . Desi nu este clar daca o astfel de autoritate de stat poate fi doar o autoritate cu competente in domeniul dreptului penal sau alte autoritati pot prelua rolul prevazut de articolul 10 (cum ar fi insasi autoritatea de supraveghere din domeniul protectiei datelor), imprejurarile concrete in care dreptul Uniunii Europene sau al statului membru prevede un temei pentru prelucrarea datelor referitoare la condamnari si infractiuni penale sunt destul de limitate ca numar si nu acopera cele mai multe dintre situatiile in care societatile sunt interesate sau chiar obligate prin procedurile de la nivel global si prin standardele din domeniu sa efectueze verificari prealabile cu privire la partenerii contractuali vizati.
Mai mult decat atat, nu este clar daca aria de aplicare a articolului 10 acopera doar datele cu caracter personal referitoare la condamnari si infractiuni penale cu privire la care instantele au stabilit o sanctiune sau daca acopera si simplele informatii cu privire la faptul ca o persoana face obiectul unei investigatii penale.
In plus, articolul 10 nu pare a exclude din aria sa de aplicare datele care sunt deja publice, fie pentru ca insasi persoana vizata a facut publice datele respective, fie pentru ca datele sunt disponibile in registrele publice (de exemplu, un dosar penal inregistrat in cartea funciara in care este inregistrat titlul de proprietate al persoanei vizate) sau au intrat in alt mod in domeniul public.
3. Conflictul
Indiferent care este aria de aplicare a articolului 10, aceasta genereaza un conflict grav cu articolul 28 mentionat mai sus in ceea ce priveste obligatia de verificare prealabila a operatorului de date. Cu alte cuvinte, in cazul in care, pe parcursul verificarii prealabile a datelor, operatorii de date identifica informatii referitoare la condamnari penale si infractiuni presupus savarsite de persoane-cheie din cadrul organizatiei persoanei imputernicite vizate de operator, cum ar trebui sa procedeze operatorul de date in asemenea situatie prin prisma limitarilor stabilite de articolul 10?
Intr-o interpretare potentiala care vizeaza asigurarea aplicarii fiecareia dintre prevederile in cauza, articolul 28 si obligatia operatorului de date prevazuta prin acesta ar trebui considerate ca fiind una dintre situatiile in care prelucrarea datelor cu caracter personal este autorizata de dreptul Uniunii sau de dreptul intern (astfel cum se impune prin articolul 10); potrivit unei astfel de interpretari, prelucrarea datelor referitoare la infractiuni in baza articolului 28, si in scopul prevazut prin acesta, ar putea fi considerata ca fiind posibila.
Cu toate acestea, o astfel de interpretare nu este utila pentru numeroase alte situatii in care este necesara o astfel de prelucrare in lumina interesului legitim al societatilor de a efectua verificari prealabile cu privire la partenerii contractuali vizati de acestea. Sub acest aspect, in cele mai multe cazuri, dreptul Uniunii Europene sau dreptul intern tace, iar societatile se confrunta cu riscul de a fi (in mod injust) identificate ca incalcand articolul 10 din Regulament. O interpretare potentiala suplimentara este aceea conform careia informatiile care sunt publice (fie pentru ca insasi persoana vizata a facut publice datele respective, fie pentru ca datele sunt disponibile in registrele publice) nu intra sub incidenta articolului 10 din Regulament.
Potrivit informatiilor noastre, niciuna dintre interpretarile de mai sus nu a fost confirmata formal de autoritatile din domeniul protectiei datelor, iar interventia acestora din urma pentru a face lumina asupra ariei de aplicare a articolului 10 este de maxima stringenta.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Cazuri practice
18Iun2019
Decizia BCI de stabilire a normelor interne privind prelucrarea datelor de catre Directia de personal a BCI
de Colectivul de Specialisti Rentrop&Straton
18 Iun 2019
13Iun2019
Decizia (UE) 2019/682 referitoare la prelucrarea automatizata a datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
13 Iun 2019
Un produs marca