Cauza C‑553/07
hotărârea pronunțată de Curtea de Justiției a Uniunii Europene
în data de 07.05.2009
Cuvinte cheie: articolul 12 Directiva 95/46; trimitere preliminară; accesul la datele personale ale persoanei vizate; ștergere automată;
I. Obiectul cauzei
Cererea de pronunțare a unei hotărâri preliminare formulate în temeiul art.234 TCE de Raad van State (Olanda), pentru interpretarea articolului 12 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Articolul 12 din directivă, prevede:
„Statele membre garantează oricărei persoane vizate dreptul de a obține de la operator:
(a)fără constrângere, la intervale rezonabile și fără întârzieri sau cheltuieli excesive:
– confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum și informații referitoare la scopul prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;
– comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor;
– informații cu privire la principiile de funcționare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puțin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1);
(b)după caz, rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile prezentei directive, în special datorită caracterului incomplet sau inexact a datelor;
(c)notificarea terților cărora le-au fost comunicate datele cu privire la orice rectificare, ștergere sau blocare efectuată în conformitate cu litera (b), dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat.”
II. Starea de fapt
Domnul Rijkeboer a inițiat un litigiu împotriva College van Burgemeester en Wethouders van Rotterdam (denumit în continuare „Colegiul”) ca urmare a refuzului parțial al Colegiului de a-i acorda reclamantului accesul la informațiile referitoare la comunicarea datelor sale personale făcută unor terțe persoane în cursul celor doi ani anteriori cererii de informare formulate de acesta.
Astfel, ca urmare a unei cereri formulate de domnul Rijkeboer prin care solicita Colegiului să îl informeze cu privire la toate cazurile în care au fost comunicate unor terți, în cursul celor doi ani anteriori cererii sale, informații care îl priveau și care proveneau de la administrația comunală, Colegiul i-a comunicat domnului Rijkeboer doar informații referitoare la perioada de un an anterioară cererii sale. Datele referitoare la o perioadă mai veche de un an anterior formulării cererii, sunt șterse în mod automat, potrivit legislației naționale
III. Întrebarea preliminară
Instanța de trimitere a hotărât să adreseze Curții următoarele întrebări preliminare:
Este compatibilă cu articolul 12 […] litera (a) din directivă, interpretat sau nu în coroborare cu articolul 6 alineatul (1) litera (e) din această directivă și cu principiul proporționalității, limitarea, prevăzută prin lege, a comunicării datelor la anul care precedă cererea în cauză?
IV. Considerentele Curții
Curtea a apreciat că întrebarea adresată de instanța de trimitere trebuie înțeleasă în sensul că vizează, în esență, să se stabilească dacă, potrivit directivei, în special potrivit articolului 12 litera (a) din aceasta, dreptul de acces al unei persoane la informații referitoare la destinatarii sau la categoriile de destinatari ai datelor cu caracter personal care o privesc, precum și la conținutul datelor comunicate poate fi limitat la perioada de un an care precedă cererea de acces a acesteia.
Pentru a soluționa cauza, Curtea a apreciat că trebuie avute în vedere cele 2 categorii de date utilizate în speță. Prima categorie privește datele cu caracter privat deținute de comună cu privire la o persoană, cum ar fi numele și adresa acesteia, care formează, în speță, date de bază.
A doua categorie are legătură cu informațiile referitoare la destinatarii sau categoriile de destinatari cărora le‑au fost comunicate aceste date, precum și la conținutul acestora din urmă și se referă, prin urmare, la prelucrarea datelor de bază. Or, în speță a doua categorie de date este supusă unei limitări în timp a dreptului de acces la informații.
Articolul 12 litera (a) din directivă prevede pe de o parte un drept de acces la datele de bază și pe de altă parte la informațiile referitoare la destinatarii sau categoriile de destinatari cărora le sunt comunicate aceste date.
Chiar dacă directiva nu precizează dacă acest drept se referă la trecut și nici, dacă este cazul, perioada vizată din trecut, Curtea reține că pentru asigurarea efectului util al drepturilor prevăzute la articolul 12 literele b) (dreptul de a obține de la operator rectificarea, ștergerea sau blocarea datelor sale) și c) (dreptul de a obține de la operator notificarea terților cărora datele le-au fost comunicate cu privire la această rectificare, ștergere sau blocare, dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat) din directivă, art.14 din directivă (dreptul de opoziție la prelucrarea datelor) sau articolele 22 și 23 (dreptul la o cale de atac în cazul în care suferă un prejudiciu) este obligatoriu ca dreptul de acces să se refere și la trecut.
În caz contrar, persoana interesată nu ar mai fi în măsură să își exercite în mod eficient dreptul de a obține rectificarea, ștergerea sau blocarea datelor prezumate nelegale sau incorecte și nici de a introduce o acțiune în justiție și de a obține repararea prejudiciului suferit.
Curtea a constatat că reglementarea națională în cauză, care limitează stocarea informațiilor referitoare la destinatarii sau la categoriile de destinatari ai datelor și la conținutul datelor transmise la o perioadă de un an și care limitează în mod corelativ accesul la aceste informații, în timp ce datele de bază sunt stocate mult mai mult timp, nu constituie un just echilibru între interesele și obligațiile în cauză, cu excepția situației în care se demonstrează că o stocare mai îndelungată a acestor informații ar constitui o sarcină excesivă pentru operator. Pe cale de consecință, Curtea a stabilit că revine în sarcina instanței naționale să efectueze verificările necesare cu privire la justul echilibru care trebuie să existe între drepturile și obligațiile în cauză.
În plus, Curtea a statuat că statele membre au sarcina de a stabili un termen de stocare a informațiilor referitoare la destinatarii sau categoriile de destinatari și la conținutul datelor comunicate și de a prevedea un acces la aceste informații care să constituie un echilibru just între, pe de o parte, interesul persoanei vizate de a proteja viața sa privată, în special prin intermediul drepturilor de rectificare, ștergere și blocare a acestor date, în cazul în care prelucrarea acestora nu respectă dispozițiile directivei, precum și al drepturilor de opoziție și de introducere a unei acțiuni în justiție, și, pe de altă parte, sarcina pe care obligația de stocare a acestor informații o reprezintă pentru operator.
V. Hotărârea Curții
1) Articolul 12 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date impune statelor membre obligația de a stabili un drept de acces la informațiile referitoare la destinatarii sau categoriile de destinatari ai datelor, precum și la conținutul informațiilor comunicate nu numai pentru prezent, ci și pentru trecut. Statele membre au sarcina de a stabili un termen de stocare a acestor informații, precum și un acces corelativ la acestea care să constituie un echilibru just între, pe de o parte, interesul persoanei vizate în privința protecției vieții sale private, în special prin intermediul căilor de intervenție și de atac prevăzute de Directiva 95/46, și, pe de altă parte, sarcina pe care obligația de stocare a acestor informații o reprezintă pentru operator.
2) O reglementare care limitează stocarea informațiilor referitoare la destinatarii sau categoriile de destinatari ai datelor și la conținutul datelor transmise la o perioadă de un an și care limitează în mod corelativ accesul la aceste informații, în timp ce datele de bază sunt stocate mult mai mult timp, nu poate constitui un just echilibru între interesele și obligațiile în cauză, cu excepția situației în care se demonstrează că o stocare mai îndelungată a acestor informații ar constitui o sarcină excesivă pentru operator. Instanța națională are sarcina de a efectua verificările necesare în acest sens.
VI. Aprecieri
Drepturile la care face referire Curtea de Justiție în hotărârea sa, constituie esența directivei 95/46/CE și, totodată a noii reglementări în domeniu(RGDP/GDPR)[1]. Construcția teleologică a directivei și a RGDP se întemeiază pe protecția vieții private în contextul prelucrărilor de date cu caracter personal, astfel că dreptul de acces la datele de bază, drept aparținând persoanei vizate are un conținut dinamic, care presupune o abordare de la caz la caz a modului în care operatorii de date își îndeplinesc obligația. Sunt reprezentative pentru hotărâre următoarele raționamente:
- Modul în care operatorul de date asigură accesul la date pentru persoana vizată trebuie să fie de așa natură încât să-i permită acesteia exercitarea drepturilor de ștergere, opoziție, rectificare și, în final, accesul la justiție pentru apărarea vieții sale private, recunoașterea dreptului și repararea prejudiciului cauzat;
- Între obligația operatorilor de stocare a datelor și drepturile de acces la bazele de date a persoanei vizate, trebuie să existe un just echilibru, în special în corelare cu drepturile prevăzute de directivă, de notificare, de rectificare, ștergere sau blocare, opoziție, acces o cale de atac eficientă
- Atunci când operatorul de date își stabilește mecanismul de acces la date a persoanei vizate trebuie să țină cont de efectul util al prevederilor directivei prin care se conferă drepturi persoanei vizate.
[1] GDPR conține un capitol întreg dedicat Drepturilor persoanei vizate(articolele 12-23, Capitolul III)
Comentarii
Trimiteți un comentariu