Comunicat de presă
În cursul lunii octombrie 2015, Curtea de Justitiție a Uniunii Europene a pronunțat trei hotărâri cu impact asupra prelucrării și protecției datelor personale, astfel:
1. Hotărârea din 1 octombrie 2015 în cauza Smaranda Bara și alții împotriva Președintelui Casei Naționale de Asigurări de Sănătate, Casei Naționale de Asigurări de Sănătate și Agenției Naționale de Administrare Fiscală (ANAF) – (C-201/14).
Prin această hotărâre, Curtea a statuat faptul că articolele 10, 11 și 13 din Directiva 95/46/CE trebuie interpretate în sensul că se opun unor măsuri naționale precum cele în discuție în litigiul principal, care permit unei autorități a administrației publice a unui stat membru să transmită date personale unei alte autorități a administrației publice și prelucrarea lor ulterioară, fără ca persoanele vizate să fi fost informate despre această transmitere sau despre această prelucrare.
Această hotârâre consfințește importanța deosebită a asigurării dreptului la informare a persoanei vizate, în contextul prelucrării datelor care o privesc.
Autoritatea de Supraveghere a subliniat în mod constant faptul că acest prim drept garantat de art. 12 din Legea nr. 677/2001 trebuie respectat de către operatori, indiferent de condițiile de legitimitate a prelucrării datelor, respectiv la consimțământ sau în baza unor excepții.
Autoritatea de Supraveghere atrage atenția asupra faptului că informarea persoanei vizate este foarte importantă, atât sub aspectul informațiilor ce trebuie în mod obligatoriu făcute cunoscute persoanei vizate, cât și al exercitării ulterioare a celorlalte drepturi de către persoana vizată, precum dreptul de acces la date, de intervenţie asupra datelor, de opoziţie, pentru a da posibilitatea persoanei respective să reacționeze în consecință.
De asemenea, hotărârea are importanță deosebită întrucât instanța Uniunii Europene a constatat faptul că informațiile transmise, precum și modalitățile de efectuare a transmiterii acestora au fost stabilite nu prin intermediul unei măsuri legislative, ci prin intermediul Protocolului din 2007 încheiat între ANAF și CNAS, care nu ar fi făcut obiectul unei publicări oficiale.
Textul integral al hotărârii poate fi consultat pe link-ul de mai jos: http://curia.europa.eu/juris/document/document.jsf?text=&docid=168943&pageIndex=0&doclang=RO&mode=req&dir=&occ=first&part=1&cid=121396
2. Hotărârea din 6 octombrie 2015 în cauza Maximillian Schrems împotriva Data Protection Commissioner din Irlanda (C-362/14), prin care Curtea a declarat nevalidă Decizia Comisiei Europene 2000/520 (cunoscută sub numele de Decizia ”Safe Harbour”).
Astfel, Curtea a statuat faptul că articolul 25 alineatul (6) din Directiva 95/46/CE , astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003 al Parlamentului European și al Consiliului din 29 septembrie 2003, interpretat în lumina articolelor 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că o decizie adoptată în temeiul acestei dispoziții, precum Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46 privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A., prin care Comisia Europeană constată că o țară terță asigură un nivel de protecție adecvat, nu se opune ca o autoritate de supraveghere dintr-un stat membru, în sensul articolului 28 din această directivă, cu modificările ulterioare, să examineze cererea unei persoane de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal care o privesc, care au fost transferate dintr-un stat membru către această țară terță, atunci când această persoană invocă faptul că dreptul și practicile în vigoare în aceasta nu asigură un nivel de protecție adecvat.
Textul integral al hotărârii poate fi consultat pe link-ul de mai jos:
3. Hotărârea din 1 octombrie 2015 în cauza Weltimmo s. r. o. împotriva Nemzeti Adatvédelmi és Információszabadság Hatóság din Ungaria (C-230/2014), prin care Curtea a statuat următoarele:
1. Articolul 4 alineatul (1) litera (a) din Directiva 95/46/CE trebuie interpretat în sensul că permite aplicarea legislației privind protecția datelor cu caracter personal a unui alt stat membru decât cel în care este înmatriculat operatorul, în măsura în care acesta exercită, într-o formă de instalare stabilă pe teritoriul acestui stat membru, o activitate efectivă și reală, chiar minimă, în cadrul căreia este efectuată prelucrarea în discuție.
Pentru a determina, în împrejurări precum cele în discuție în litigiul principal, dacă acest condiții sunt îndeplinite, instanța de trimitere poate îndeosebi să țină cont de faptul, pe de o parte, că activitatea operatorului, în cadrul căreia are loc prelucrarea, constă în exploatarea unor site-uri internet de anunțuri imobiliare privind bunuri imobile situate pe teritoriul statului membru menționat și redactate în limba acestuia și că ea este, în consecință, în principal sau chiar în întregime orientată către acest stat membru și, pe de altă parte, că acest operator dispune de un reprezentant în statul membru menționat, care este însărcinat să recupereze creanțele care rezultă din această activitate, precum și să îl reprezinte în proceduri administrative și judiciare privind prelucrarea datelor în cauză.
În schimb, este lipsit de pertinență aspectul cetățeniei persoanelor vizate de această prelucrare de date.
2. În ipoteza în care autoritatea de supraveghere a unui stat membru sesizată cu plângeri, conform articolului 28 alineatul (4) din Directiva 95/46, ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal în cauză este nu dreptul statului membru respectiv, ci cel al unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din această directivă trebuie interpretat în sensul că această autoritate de supraveghere nu ar putea exercita competențele efective de intervenție care i-au fost conferite în conformitate cu articolul 28 alineatul (3) din directiva menționată decât pe teritoriul statului membru din care provine. Prin urmare, ea nu poate aplica sancțiuni pe baza dreptului acestui stat membru operatorului care nu este stabilit pe acest teritoriu, ci ar trebui, în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere provenind din statul membru al cărui drept este aplicabil să intervină.
Textul integral al hotărârii poate fi consultat pe link-ul de mai jos: