Dilemele legate de prelucrarea categoriilor speciale de date cu caracter personal in conformitate cu Regulamentul general privind protectia datelor (II)

Acest articol este al doilea dintr-o serie referitoare la Dilemele legate de prelucrarea categoriilor speciale de date cu caracter personal in conformitate cu Regulamentul general privind protectia datelor , fiind urmarea primului articol in cadrul caruia am discutat despre corelarea articolelor 6 si 9 din GDPR, disponibil in nr. 17 al Revistei Romane de Protectia Datelor.
De aceasta data, ne propunem sa abordam primele sapte situatii in care prelucrarea categoriilor speciale de date cu caracter personal este permisa in conformitate cu GDPR, urmand ca celelalte situatii sa fie analizate in cadrul urmatorului articol, care va fi si ultimul din aceasta serie.

Nu exista prevederi GDPR cu privire la diferenta dintre consimtamantul explicit necesar pentru prelucrarea categoriilor speciale de date (articolul 9) si consimtamantul simplu necesar pentru prelucrarea categoriilor de date cu caracter personal care nu sunt speciale (articolul 6). Dimpotriva, consimtamantul trebuie sa fie lipsit de ambiguitate si specific cu privire la toate prelucrarile de date cu caracter personal, indiferent daca acestea sunt speciale sau nu.

Pe baza considerentelor oferite de GL29, un operator de date care intentioneaza sa prelucreze categorii speciale de date cu caracter personal trebuie sa ia masuri suplimentare pentru a obtine consimtamantul explicit. O modalitate prin care se poate face acest lucru consta, de exemplu, in obtinerea consimtamantului sub semnatura scrisa sau electronica sau in stabilirea unui proces de verificare alcatuit din doua etape inainte de confirmarea consimtamantului.

In absenta unei interpretari comprehensive a conceptului, sarcina de a gasi forme adecvate pentru acordarea consimtamantului explicit de catre persoanele vizate le revine operatorilor de date.

Existenta unei astfel de situatii de prelucrare a categoriilor speciale de date cu caracter personal in contextul relatiilor de munca nu prezinta niciun fel de aspecte surprinzatoare in sine (indeosebi pentru faptul ca, potrivit GL29, e posibil ca un temei alternativ, cum este consimtamantul, sa nu constituie un temei valabil datorita dezechilibrului de forte prezumat in relatiile de munca). Cu toate acestea, acest temei trebuie aplicat in masura in care legislatia statelor membre asigura garantii adecvate pentru drepturile fundamentale si interesele persoanei vizate.
Cel mai adesea, operatorii de date nu analizeaza masura in care legislatia locala stabileste masuri de protectie adecvate, in timp ce cea mai mare a parte a legislatiei nu prevede neaparat, cel putin nu explicit, niciun fel de astfel de masuri de protectie, cu atat mai mult cu cat aceasta a fost emisa anterior adoptarii GDPR. In opinia noastra, acest lucru genereaza riscul de neconformitate pentru operatorii de date, iar o modalitate de a depasi acest risc este aceea ca operatorii de date sa implementeze propriile masuri de protectie cu privire la prelucrare (cum ar fi masuri imbunatatite de securitate).

Chiar daca este putin probabil ca aceasta situatie sa fie relevanta pentru activitatile obisnuite si pentru tipurile obisnuite de prelucrare (fiind mai degraba incidenta in cazul unor situatii de urgenta medicala), operatorii de date trebuie sa demonstreze atat lipsa de capacitate (dovada cu privire la incapacitatea juridica fiind mai dificil de obtinut), cat si faptul ca interesul protejat este unul cu adevarat vital.

Situatia de prelucrare prevazuta de articolul 9 alin. (2) lit. (d) din GDPR este reglementata atat in ceea ce priveste operatorul de date (un organism fara scop lucrativ cu scop politic, filozofic, religios sau sindical), cat si persoanele vizate (membri, fosti membri sau persoane care au contacte permanente cu organismul fara scop lucrativ). Ramane in continuare neclar motivul pentru care alte organisme fara scop lucrativ, cum ar fi cele care promoveaza sportul sau sanatatea, nu sunt acoperite de aceasta exceptie.

Prelucrarea bazata pe aceasta situatie se va realiza cel mai probabil in conjunctie cu temeiul interesului legitim prevazut de articolul 6 alin. (1) lit. (e) si, prin urmare, va trebui efectuat un test al echilibrului de catre operatorul de date inaintea prelucrarii. Cu toate acestea, dupa cum se prevede in mod expres in textul articolului 9 alin. (2) lit. (d), consimtamantul este necesar pentru divulgarea mai departe a datelor cu caracter personal catre terte persoane, iar un astfel de consimtamant trebuie sa fie unul explicit in sensul articolului 9 alin. (2) lit. (a).

Aceasta situatie se explica de la sine; totusi, vom mentiona doar faptul ca atunci cand este necesara o combinatie intre situatiile de prelucrare prevazute de articolul 9 si temeiurile pentru prelucrare prevazute de articolul 6, e posibil sa fie necesare conditii suplimentare pentru prelucrare, cum ar fi efectuarea unui test al echilibrului, in cazul in care prelucrarea se bazeaza pe un interes legitim.

Exceptia prevazuta de articolul 9 alin. (2) lit. (f) permite prelucrarea categoriilor speciale de date cu caracter personal acolo unde aceasta este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta (indiferent daca este vorba de proceduri judiciare sau proceduri administrative ori extrajudiciare) sau ori de cate ori instantele actioneaza in exercitiul functiei lor judiciare.

Chiar daca considerentul 52 din GDPR vine cu informatii suplimentare, exceptia pare a nu acoperi prelucrarea realizata de avocati atunci cand acorda servicii de consultanta juridica sau activitatile de prelucrare realizate de alti profesionisti (cum ar fi consultantii fiscali). Mai mult decat atat, potrivit GL29, se pare ca exceptia nu poate fi invocata pentru justificarea prelucrarii de date cu caracter personal in cazul in care nu exista o probabilitate iminenta legata de initierea unor proceduri legale, fapt care, in opinia noastra, este unul regretabil.

In conformitate cu exceptia prevazuta de articolul 9 alin. (2) lit. (g), operatorii de date pot prelucra categorii speciale de date cu caracter personal daca prelucrarea este necesara din motive de interes public major, in baza dreptului Uniunii sau a dreptului intern, in masura in care o astfel de prelucrare

Chiar daca exceptia pare sa se concentreze asupra interesului public major, din informatiile noastre, nu exista nicio mentiune cu privire la modalitatea de evaluare a unui astfel de interes major, fapt care, inca o data, reprezinta o situatie in care GDPR lasa loc interpretarilor. Statelor membre le revine sarcina de a clarifica suplimentar acest concept.

Romania a reglementat detaliat aceasta exceptie si, drept urmare, indeplinirea unei sarcini care serveste interesului public este limitata la acele activitati ale partidelor politice sau ale organizatiilor cetatenesti care apartin minoritatilor nationale ori ale organizatiilor neguvernamentale care servesc la realizarea obiectivelor prevazute de dreptul constitutional sau de dreptul international public sau la functionarea sistemului democratic, inclusiv la incurajarea participarii cetatenilor la procesul decizional sau la cel de formulare a politicilor si la promovarea principiilor si valorilor democratice.

Mai mult decat atat, legea romana de punere in aplicare a GDPR stabileste masuri de protectie suplimentare in cazul prelucrarii categoriilor speciale de date cu caracter personal in contextul indeplinirii unei sarcini de interes public, respectiv:

Cu toate acestea, masurile suplimentare enumerate mai sus nu asigura o mai mare protectie decat cea stabilita de standardele prevazute in GDPR si, prin urmare, prevederile din legea romana de punere in aplicare a GDPR sunt mai degraba redundante in ceea ce priveste aceasta exceptie.

ANSPDCP. Prima amenda in aplicarea GDPR
In cursul lunii iunie 2019, Autoritatea Nationala de Supraveghere a finalizat o investigatie la operatorul UNICREDIT BANK S.A. si a constatat ca acesta a incalcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor).

Operatorul a fost sanctionat contraventional cu amenda in cuantum de 613.912 lei, echivalentul in euro al sumei de 130.000 euro.
Sanctiunea a fost aplicata UNICREDIT BANK S.A. ca urmare a neaplicarii masurilor tehnice si organizatorice adecvate, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele RGPD si a proteja drepturile persoanelor vizate. Aceasta a condus la dezvaluirea in documentele ce contin detaliile tranzactiilor si care sunt puse on-line la dispozitia clientilor beneficiari ai platilor, a datelor privind CNP-ul si adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la o alta institutie de credit tranzactii externe si depuneri la casierie), respectiv a datelor privind adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la UNICREDIT BANK SA tranzactii interne), pentru un numar de 337.042 persoane vizate, in perioada 25 mai 2018 10 decembrie 2018.

Sanctiunea a fost aplicata ca urmare a unei sesizari a Autoritatii Nationale de Supraveghere din data de 22.11.2018 prin care se semnala faptul ca datele privind CNP-ul si adresa persoanelor care efectuau plati la UNICREDIT BANK S.A., prin intermediul tranzactiilor on-line, erau dezvaluite catre beneficiarul tranzactiei, prin formularele de extras de cont/detalii.

Potrivit art. 5 alin. (1) lit. c) din RGPD ( Principii legate de prelucrarea datelor cu caracter personal ), operatorul avea obligatia de a prelucra date limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate datele.

In acelasi timp, considerentul (78) din Regulament precizeaza: Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezentul regulament. Pentru a fi in masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa respecte in special principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, in reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cat mai curand posibil, transparenta in ceea ce priveste functiile si prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranta si sa le imbunatateasca. Atunci cand elaboreaza, proiecteaza, selecteaza si utilizeaza aplicatii, servicii si produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-si indeplini rolul, producatorii acestor produse si furnizorii acestor servicii si aplicatii ar trebui sa fie incurajati sa aiba in vedere dreptul la protectia datelor la momentul elaborarii si proiectarii unor astfel de produse, servicii si aplicatii si, tinand cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii si persoanele imputernicite de operatori sunt in masura sa isi indeplineasca obligatiile referitoare la protectia datelor. Principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor ar trebui sa fie luate in considerare si in contextul licitatiilor publice.