60
UNIVERSITATEA FACULTATEA LUCRARE DE DISERTAŢIE DREPTUL FUNDAMENTAL LA PROTECŢIA DATELOR PERSONALE LA NIVELUL UNIUNII EUROPENE Coordonator stiintific: Masterand: PROMOŢIA 2010
DREPTUL FUNDAMENTAL LA PROTECIA DATELOR PERSONALE I PROTECIA ACESTUIA LA NIVELUL UNIUNII EUROPENE
UNIVERSITATEA FACULTATEA LUCRARE DE DISERTAIE
DREPTUL FUNDAMENTAL LA PROTECIA DATELOR PERSONALE LA NIVELUL UNIUNII EUROPENECoordonator stiintific:
Masterand:
PROMOIA 2010CUPRINS
Capitolul I
Cadrul legal internaional i comunitar privind protecia intimitii i a datelor cu caracter personal05
1.1. Scurt istoric privind adoptarea primelor documente privind protecia intimitii i a datelor cu caracter personal05
1.2. Domeniul de aplicare a Regulamentului (CE) nr. 45/2001 al Parlamentului European i al Consiliului08
Capitolul II
Aspecte generale privind legalitatea prelucrrii datelor cu caracter personal de ctre instituiile i organele comunitare11
2.1. Principiile referitoare la calitatea datelor11
2.2. Principiile legitimitii prelucrrii datelor13
2.2.1. Legalitatea prelucrrii datelor13
2.2.2. Transferul datelor cu caracter personal ntre instituii sau organe comunitare ori n cadrul acestora, precum i ctre ali destinatari14
2.3. Prelucrarea unor categorii speciale de date15
Capitolul III
Drepturile de care beneficiaz persoanele fizice ale cror date sunt prelucrate de instituiile i organele comunitare18
3.1. Dreptul la informare18
3.2. Dreptul de acces18
3.3. Dreptul de a interveni asupra datelor personale deinute de un operator18
3.4. Dreptul de opoziie al persoanei vizate20
3.5. Dreptul de a nu fi supus unei decizii individuale automatizate21
3.6. Excepii i restricii ale garaniilor conferite persoanelor vizate21
Capitolul IV
Msurile necesare pentru asigurarea securitii datelor cu caracter personal23
4.1. Confidenialitatea i securitatea prelucrrilor de date cu caracter personal23
4.2. Responsabilul cu protecia datelor24
Capitolul V
Autoritatea independent de supraveghere: Autoritatea European pentru Protecia Datelor26
5.1. Numirea membrilor autoritii26
5.2. Atribuiile Autoritii Europene pentru Protecia Datelor27
Capitolul VI
Cauza Copland vs Regatul Unit al Marii Britanii i Irlandei de Nord30
6.1. Istoricul cauzei30
6.2. Dispoziiile legale naionale relevante32
6.3. Pretinsa violare a articolului 8 din Convenie. Susinerile prilor33
6.4. Concluziile Curii35
6.5. Legalitatea prelucrrii datelor cu caracter personal ale angajailor la locul de munc. Importana deciziei CEDO pentru Romnia36
Bibliografie40
REZUMAT I CUVINTE CHEIELucrarea intitulat Dreptul fundamental la protecia datelor personale la nivelul Uniunii Europene este structurat n ase capitole urmate de concluzii i o bibliografie actual.
n prima parte a lucrrii am enumerat instituiile i organele comunitare (n calitate de operatori de date cu caracter personal) care au obligaia ca, n desfurarea activitii lor de prelucrare a datelor, s respecte o serie de principii. Unele dintre acestea se refer, n primul rnd, la calitatea datelor.n partea a doua am indicat c este necesar ca principiile proteciei datelor s se aplice oricrei informaii referitoare la o persoan identificat sau identificabil. Acestea ns nu se aplic datelor anonimizate, care fac ca persoana fizic vizat s nu mai fie identificabil.Ultima parte a lucrrii se axeaz pe faptul c, n primul rnd, datele cu caracter personal trebuie s fie prelucrate cu bun-credin, deci n mod corect i, de asemenea, s aib un temei legal.Totodat, datele trebuie colectate n scopuri determinate, explicite i legitime. In acest sens, operatorul trebuie s stabileasc foarte clar scopul sau scopurile n care va prelucra datele personale i nu ntr-o formulare generic sau ambigu. Scopul, aa cum vom vedea mai trziu, se aduce la cunotina persoanei vizate i reprezint o garanie a transparenei operatorului n activitatea sa.Cuvinte cheie: drepturi fundamentale, obligaii corelative, protecie, principii, bun credin, legitimitate.
Capitolul ICadrul legal internaional i comunitar privind protecia intimitii i a datelor cu caracter personal
1.1. Scurt istoric privind adoptarea primelor documente privind protecia intimitii i a datelor cu caracter personal
n prezent, majoritatea statelor lumii recunosc n constituiile lor cel puin un drept la intimitate/via intim. La nivel internaional intimitatea a fost conceput ca unul din drepturile fundamentale ale omului consfinit ntr-o serie de acte importante, adoptate dup cel de-al doilea rzboi mondial.Astfel, primul document internaional care a garantat protecia vieii private este Declaraia Universal a Drepturilor Omului din 1948 (art. 12). Ulterior, Pactul Internaional cu privire la Drepturile Civile i Politice, adoptat de Adunarea General n 1966, include referiri la protecia intimitii (art. 17). Aceeai valoare este protejat i la nivel regional, aa cum prevede art. 8 din Convenia European pentru Protecia Drepturilor Omului i a Libertilor Fundamentale din 1950. In plus, acest document face referire i la limitrile pe care autoritile publice le pot impune dreptului la intimitate.Drepturile omului, democraia i statul de drept sunt valorile centrale ale Uniunii Europene, fiind, de altfel i condiii ce trebuie ndeplinite de orice stat care vrea s adere la UE. Pentru a rentri aceste valori, Uniunea European a adoptat n decembrie 2000 Carta Drepturilor Fundamentale a Uniunii Europene, ce reunete ntr-un singur text ansamblul drepturilor civile, politice, economice i sociale ale cetenilor europeni i ale tuturor celor care locuiesc pe teritoriul Uniunii. Aceste drepturi sunt grupate n ase capitole principale: Demnitatea, Libertile, Egalitatea, Solidaritatea, Cetenia i Justiia. Astfel, n capitolul II - "Liberti" sunt garantate "Respectul vieii private i de familie" (art. 7) i "Protecia datelor personale" (art. 8).De asemenea, n versiunea consolidat a Tratatului de la Lisabona privind Uniunea European i a Tratatului privind funcionarea Uniunii Europene, partea I, Titlul II - Dispoziii de aplicare general" se regsete protecia datelor cu caracter personal n textul art. 16 (ex-articolul 286 TCE).La nivel european, n anii '60 i '70, ca urmare a avntului noilor tehnologii, interesul pentru adoptarea unor reglementri privind protecia intimitii a crescut. Astfel, Landul german Hesse a adoptat prima lege din lume de protecie a datelor n anul 1970, exemplu urmat i de alte landuri i care a condus, n anul 1977, la adoptarea unei astfel de legi la nivel federal.Un prim act comunitar adoptat n domeniul proteciei datelor personale este Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date. Directiva impune statelor membre s asigure protecia drepturilor i libertilor fundamentale ale persoanelor fizice, n special dreptul acestora la viaa privat n ceea ce privete prelucrarea datelor cu caracter personal, pentru a asigura libera circulaie a datelor cu caracter personal n cadrul Comunitii.Un alt act privind protecia datelor personale, de aceast dat adoptat n sectorul telecomunicaiilor, este Directiva 97/66/CE a Parlamentului European i a Consiliului din 15 decembrie 1997 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor. Aceast directiv aduce precizri specifice i completri Directivei 95/46/CE, n ceea ce privete prelucrarea datelor cu caracter personal n sectorul telecomunicaiilor, fiind ulterior abrogat de Directiva 2002/5 8/EC privind prelucrarea datelor personale i protecia vieii private n sectorul comunicaiilor electronice.Instituiile i organele comunitare, n activitile pe care le desfoar i care intr sub incidena domeniului de aplicare a dreptului comunitar, utilizeaz n mod frecvent date cu caracter personal. Acestea reprezint acele informaii referitoare la o persoan fizic identificat sau identificabil; o persoan identificabil este o persoan care poate fi identificat, direct sau indirect, n special prin referire la un numr de identificare sau la unul sau mai multe elemente specifice, proprii identitii sale fizice, fiziologice, psihice, economice, culturale sau sociale . Dar, pentru a determina dac o persoan este identificabil, trebuie s se ia n considerare toate mijloacele care pot fi utilizate n mod rezonabil, fie de ctre entitatea care deine informaiile, fie de ctre orice alt persoan, pentru a identifica persoana fizic respectiv.Volumul acestor date personale, fie c sunt obinute n mod direct de la persoanele fizice n cauz, fie indirect, cum ar fi de la alte organe ale Comunitii sau de la autoriti, instituii ori alte persoane juridice de drept privat din statele membre, a crescut considerabil n ultimii ani. In consecin, instituiile i organele comunitare trebuie s protejeze drepturile i libertile fundamentale ale persoanelor fizice, n special dreptul acestora la via privat n ceea ce privete prelucrarea datelor cu caracter personal i nu trebuie s limiteze sau s interzic libera circulaie a datelor cu caracter personal ntre acestea sau ctre destinatarii aflai sub incidena legislaiei interne a statelor membre care pun n aplicare Directiva 95/46/CE.Astfel, articolul 286 din Tratatul de instituire a Comunitii Europene impune aplicarea, dup 1 ianuarie 1999, n cazul instituiilor i organelor comunitare, a actelor comunitare privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal i la libera circulaie a acestor date. In acest sens, se prevede instituirea unei autoriti independente de supraveghere nsrcinate cu monitorizarea aplicrii respectivelor acte comunitare, precum i oricror alte dispoziii necesare. Raiunea a fost aceea c, un sistem complet dezvoltat de protecie a datelor cu caracter personal nu implic doar conferirea de drepturi persoanelor fizice i de obligaii n sarcina celor care le prelucreaz datele cu caracter personal, ci i stabilirea de sanciuni corespunztoare pentru contravenieni i monitorizarea acestora de ctre o autoritate independent de supraveghere.In urma propunerii de Regulament prezentate de Comisia European, la data de 14 iulie 2000, Parlamentul i Consiliul au adoptat poziii favorabile asupra unui text comun. Cteva luni mai trziu a fost adoptat Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date. Acesta confer persoanelor drepturi garantate din punct de vedere juridic, definete obligaiile instituiilor i organelor comunitare i prevede instituirea unei autoriti independente de supraveghere care s rspund de monitorizarea prelucrrii datelor cu caracter personal de ctre instituiile i organele comunitare. Autoritatea de supraveghere de la nivelul Uniunii Europene, instituit n temeiul Regulamentului (CE) nr. 45/2001 este Autoritatea European pentru Protecia Datelor.1.2. Domeniul de aplicare a Regulamentului (CE) nr. 45/2001 al Parlamentului European i al ConsiliuluiSub incidena prevederilor Regulamentului (CE) nr. 45/2001 nu intr prelucrarea de date efectuat de instituiile i organele Comunitii n domeniile cooperrii judiciare n materie penal, precum i n domeniile cooperrii poliieneti i vamale, precum i n domeniul politicii externe i de securitate comune.In cazul n care prelucrrile de date sunt efectuate de instituiile sau organele comunitare n desfurarea activitilor care nu intr sub incidena domeniului de aplicare a prezentului regulament, n special a acelora prevzute de titlurile V i VI din Tratatul privind Uniunea European, protecia drepturilor i libertilor fundamentale ale persoanelor este asigurat n conformitate cu articolul 6 din Tratatul privind Uniunea European. Accesul la documente, inclusiv condiiile de acces la documente coninnd date cu caracter personal, este reglementat prin normele adoptate n temeiul articolului 255 din Tratatul CE sub incidena cruia intr i titlurile V i VI din Tratatul privind Uniunea European.Dispoziiile Regulamentului (CE) 45/2001 nu se aplic organelor clin afara structurii comunitare, iar Autoritatea European pentru Protecia Datelor nu are competena de a monitoriza prelucrarea datelor cu caracter personal efectuat de ctre aceste organe. De asemenea, regulamentul menionat anterior nu aduce atingere drepturilor i obligaiilor statelor membre prevzute de Directivele 95/46/CE i 2002/5 8/CE, dar este obligatoriu n toate elementele sale i se aplic direct n toate statele membre. Cu alte cuvinte, orice cetean al Uniunii care este lezat prin modul n care instituiile i organele comunitare i prelucreaz datele cu caracter personal poate sesiza Autoritatea European pentru Protecia Datelor.Regulamentul (CE) 45/2001 este aplicabil prelucrrii de date efectuate de instituia sau organul comunitar, direcia general, unitatea sau orice alt entitate organizaional care stabilete, singur sau mpreun cu altele, scopurile i mijloacele de prelucrare a datelor. Instituiile i organismele enumerate anterior sunt, n accepiunea art. 1 lit. d) din Regulamentul (CE) 45/2001, operatori de date cu caracter personal. Acetia pot mputernici alte persoane fizice sau juridice, o autoritate public, agenie sau orice alt organism s prelucreze datele cu caracter personal n numele lor.In cazul n care scopurile i mijloacele de prelucrare sunt stabilite printr-un act comunitar special, operatorul poate fi desemnat printr-un astfel de act comunitar.Datele cu caracter personal colectate de instituiile i organismele Comunitii trebuie s fie organizate ns ntr-un sistem de eviden sau s fie destinate a fi incluse ntr-un asemena sistem, ulterior operaiei de colectare, pentru a intra sub incidena Regulamentului (CE) 45/2001. Un sistem de eviden a datelor cu caracter personal nseamn orice structur de date cu caracter personal, accesibil conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dup criterii funcionale sau geografice.CAPITOLUL IIAspecte generale privind legalitatea prelucrrii datelor cu caracter personal de ctre instituiile i organele comunitare
2.1. Principiile referitoare la calitatea datelorInstituiile i organele comunitare (n calitate de operatori de date cu caracter personal) au obligaia ca, n desfurarea activitii lor de prelucrare a datelor, s respecte o serie de principii. Unele dintre acestea se refer, n primul rnd, la calitatea datelor.Este necesar ca principiile proteciei datelor s se aplice oricrei informaii referitoare la o persoan identificat sau identificabil. Acestea ns nu se aplic datelor anonimizate, care fac ca persoana fizic vizat s nu mai fie identificabil.Astfel, n primul rnd, datele cu caracter personal trebuie s fie prelucrate cu bun-credin, deci n mod corect i, de asemenea, s aib un temei legal.Totodat, datele trebuie colectate n scopuri determinate, explicite i legitime. In acest sens, operatorul trebuie s stabileasc foarte clar scopul sau scopurile n care va prelucra datele personale i nu ntr-o formulare generic sau ambigu. Scopul, aa cum vom vedea mai trziu, se aduce la cunotina persoanei vizate i reprezint o garanie a transparenei operatorului n activitatea sa.Prelucrarea ulterioar a datelor cu caracter personal nu poate fi realizat. ntr-un mod incompatibil cu scopurile declarate iniial. De exemplu, prelucrarea ulterioar n scopuri istorice, statistice sau tiinifice nu este considerat incompatibil cu scopul sau scopurile iniiale. Dar n acest caz, operatorul trebuie s ia msuri de securitate adecvate, n special pentru a se asigura c datele nu sunt prelucrate n nici un alt scop i nici utilizate n sprijinul emiterii unor dispoziii sau decizii luate n privina unei persoane anume.Un alt principiu al calitii datelor este ca acestea s fie adecvate, relevante sau pertinente i neexcesive n raport de scopurile pentru care sunt colectate i prelucrate ulterior. Cu alte cuvinte, operatorul trebuie s stabileasc care sunt datele strict necesare ndeplinirii activitilor propuse sau stabilite prin acte normative. Alte date a cror furnizare nu este obligatorie, cum ar fi spre exemplu, preferinele sau obinuinele persoanei vizate, trebuie obinute numai cu consimmntul acesteia.In acelai timp, informaiile deinute de operator despre o persoan anume trebuie s fie exacte, i dac este necesar, actualizate. In acest sens, pot fi luate orice msuri justificate (fie din oficiu, fie la sesizarea persoanei n cauz ori a unui alt operator) pentru ca datele inexacte sau incomplete s fie terse sau rectificate, avnd n vedere scopurile pentru care acestea sunt colectate sau pentru care sunt ulterior prelucrate.Datele trebuie pstrate ntr-o form care s permit identificarea persoanelor vizate pentru o perioad de timp care nu o depete pe cea necesar ndeplinirii scopurilor pentru care au fost colectate sau pentru care sunt ulterior prelucrate.Instituiile sau organele comunitare stabilesc ca datele cu caracter personal care urmeaz s fie pstrate pe perioade mai lungi dect perioada menionat n scopuri istorice, statistice sau tiinifice trebuie pstrate doar ntr-o form anonim. In cazul n care acest lucru nu este posibil, datele trebuie s fie stocate numai cu condiia codificrii identitii persoanei vizate. In orice caz, datele nu trebuie folosite n alte scopuri dect cele istorice, statistice sau tiinifice.2.2. Principiile legitimitii prelucrrii datelor2.2.1. Legalitatea prelucrrii datelorPotrivit acestui principiu, se permite prelucrarea datelor cu caracter personal numai n anumite cazuri expres reglementate de Regulamentul (CE) 45/2001.O prim situaie este aceea n care prelucrarea este necesar pentru ndeplinirea unei sarcini de interes public n temeiul tratatelor de instituire a Comunitilor Europene sau a altor instrumente legislative adoptate n temeiul tratatelor ori pentru exercitarea atribuiilor de autoritate public cu care este nvestit instituia sau organul comunitar sau un ter cruia i sunt dezvluite datele.A doua situaie este aceea n care prelucrarea este necesar pentru a se respecta obligaia legal a operatorului stabilit ntr-un act comunitar.Alt caz este cel cnd prelucrarea este necesar pentru executarea unui contract la care persoana vizat este parte contractant sau pentru executarea unor dispoziii precontractuale adoptate la cererea persoanei vizate.Datele mai pot fi prelucrate atunci cnd persoana vizat i-a dat n mod clar consimmntul su la acea prelucrare.O ultim situaie stabilit de regulament este aceea n care prelucrarea este necesar pentru a proteja interesele vitale ale persoanei vizate (viaa, sntatea).Scopul n care datele au fost colectate pentru a fi prelucrate poate fi modificat, cu permisiunea expres a normelor interne ale instituiei sau organului comunitar, desigur, fr a se aduce atingere principiilor calitii datelor, amintite mai sus.In aceleai condiii, datele cu caracter personal colectate exclusiv n scopul asigurrii securitii sau controlului sistemelor sau operaiunilor de prelucrare (spre exemplu, datele de trafic) nu pot fi utilizate n alt scop, cu excepia prevenirii, cercetrii, depistrii i urmririi infraciunilor grave.2.2.2. Transferul datelor cu caracter personal ntre instituii sau organe comunitare ori n cadrul acestora, precum i ctre ali destinatariDatele cu caracter personal nu pot fi transferate ntre instituii sau organe comunitare ori n cadrul acestora dect n cazul n care sunt necesare pentru ndeplinirea legitim a sarcinilor care intr n competena destinatarului datelor.De asemenea, exist condiii i n cazul n care datele cu caracter personal sunt transferate numai ctre destinatari aflai sub incidena legislaiei interne adoptate de statele membre pentru punerea n aplicare a Directivei 95/46/CE: destinatarul demonstreaz c datele sunt necesare pentru ndeplinirea unei sarcini de interes public sau c in de domeniul exercitrii atribuiilor de autoritate public cu care este nvestit sau demonstreaz c exist necesitatea transferului de date i nu exist nici un motiv s se presupun c transferul ar putea aduce atingere intereselor legitime ale persoanei vizate.Datele cu caracter personal pot fi transferate i ctre ali destinatari dect instituiile i organele comunitare, situate n state din afara Uniunii Europene. Acestea nu se supun, desigur, legislaiei interne adoptate n aplicarea Directivei 95/46/CE, astfel c transferul este permis numai n cazul n care este asigurat un nivel adecvat de protecie a datelor, n ara destinatarului (sau n cadrul organizaiei internaionale destinatare). Caracterul adecvat al nivelului de protecie trebuie evaluat n lumina mai multor factori. Datele sunt transferate ns, exclusiv pentru a permite ndeplinirea sarcinilor care sunt de competena operatorului.Cu toate acestea, exist anumite situaii ce derog de la regulile amintite anterior, n care instituia sau organul comunitar poate transfera date cu caracter personal, dei nu se sigur un nivel de protecie adecvat .Totodat, pot exista i alte situaii n care un transfer sau un ansamblu de transferuri de date cu caracter personal ctre o ar ter sau o organizaie internaional care nu asigur un nivel adecvat de protecie se poate realiza, dar dup ce a fost autorizat de Autoritatea European pentru Protecia Datelor. In acest caz, operatorul este obligat s prezinte garanii adecvate (decurgnd n special din clauze contractuale) pentru protejarea vieii private i a drepturilor i libertilor fundamentale ale persoanelor, precum i n privina exercitrii drepturilor conexe.2.3. Prelucrarea unor categorii speciale de dateIn afara principiilor generale pe care fiecare operator trebuie s le respecte, n cadrul oricrei prelucrri de date cu caracter personal, exist i o serie de principii speciale care au rolul de a asigura o protecie sporit unor categorii speciale de date.Astfel, principiul generic instituit de art. 10 din Regulamentul (CE) 45/2001 interzice prelucrarea de date cu caracter personal care dezvluie originea rasial sau etnic, opiniile politice, convingerile religioase sau filozofice, apartenena sindical, precum i prelucrarea datelor privind sntatea sau viaa sexual.Situaiile de excepie la aceast regul, n care astfel de date i categorii de date speciale pot fi prelucrate, sunt limitative.O prim excepie, aa cum am mai ntlnit i n cazul categoriilor de date ordinare, este atunci cnd persoana vizat i-a dat consimmntul explicit pentru prelucrarea acestor date. Totui, nu se poate face aplicarea acestei excepii, n cazul n care normele interne ale instituiei sau organului comunitar prevd c regula interdiciei menionate anterior nu poate fi ridicat prin consimmntul persoanei vizate.Alt situaie n care prelucrarea acestor date sensibile este permis, se refer la necesitatea respectrii obligaiilor i drepturilor specifice ale operatorului n materie de dreptul muncii.Dac prelucrarea este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci cnd persoana vizat se afl n incapacitate fizic sau juridic s i dea consimmntul, se permite prelucrarea datelor din categoria celor interzise (poate fi vorba, spre exemplu, de date privind starea de sntate sau viaa sexual).Aceeai permisiune este valabil i n situaia n care prelucrarea se refer la date care sunt fcute publice de ctre persoana vizat n mod manifest sau prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n justiie.Un alt caz se refer la prelucrarea efectuat de ctre un organism non-profit care se constituie ca entitate care face parte integrant dintr-o instituie sau organ comunitar. In acest caz exist o serie de condiii, i anume ca organismul s aib un specific politic, filozofic, religios sau sindical, prelucrarea s se raporteze exclusiv la membrii acestui organism sau la persoane aflate n permanent contact cu acesta ca urmare a obiectivelor sale i ca datele s nu fie dezvluite unui ter fr consimmntul persoanelor vizate.De asemenea, regula interdiciei stabilit de art. 10 pct. 1 din Regulamentul (CE) 45/2001 nu se aplic n domeniul medical, pentru anumite activiti: atunci cnd prelucrarea datelor este necesar n scopuri legate de medicina preventiv, de stabilirea diagnosticelor medicale, de administrarea unor ngrijirii sau tratamente ori de gestionarea serviciilor de sntate. In aceste domenii, dat fiind caracterul sensibil al informaiilor despre pacieni, acestea nu pot fi prelucrate de oricine, ci numai de un cadru medical supus secretului profesional. In situaia n care totui sunt colectate i utilizate de o alt persoan, aceasta trebuie s fie supus, de asemenea, unei obligaii echivalente n ceea ce privete secretul.Aa cum am menionat mai sus, pot fi stabilite, prin tratatele de instituire a Comunitilor Europene sau alte instrumente legislative ori prin decizia Autoritii Europene pentru Protecia Datelor i alte situaii derogatorii.O categorie special de date personale o constituie cea referitoare la infraciuni, condamnri penale sau msuri de siguran. Prelucrarea acestora poate fi efectuat numai n cazul n care este autorizat prin tratatele de instituire a Comunitilor Europene sau de alte instrumente legislative adoptate n temeiul acestora sau, dac este necesar, de ctre Autoritatea European pentru Protecia Datelor, sub rezerva unor garanii speciale i corespunztoare.In ceea ce privete numerele unice personale sau orice alt element de identificare a persoanelor, cu aplicare general, prelucrate de ctre o instituie sau un organ comunitar se realizeaz numai n condiiile stabilite de Autoritatea European pentru Protecia Datelor.Capitolul IIIDrepturile de care beneficiaz persoanele fizice ale cror date sunt prelucrate de instituiile i organele comunitare
3.1. Dreptul la informare
Un prim drept pe care operatorul trebuie s l asigure persoanei vizate, indiferent dac datele pe care le obine sunt furnizate direct de aceasta ori sunt obinute din alte surse, este dreptul la informare. In acest sens, operatorul are obligaia s furnizeze persoanei n cauz o serie de informaii cum ar fi: identitatea operatorului; scopurile prelucrrii datelor; destinatarii sau categoriile de destinatari ai datelor; caracterul obligatoriu sau facultativ al rspunsului la ntrebri, precum i consecinele posibile n cazul absenei unui rspuns; existena dreptului de acces la datele care o privesc i de rectificare a acestor date.De asemenea, dac este necesar, avnd n vedere circumstanele speciale n care datele sunt colectate i pentru a garanta o prelucrare corect a acestora, mai pot fi comunicate i alte informaii suplimentare, cum ar fi: temeiul juridic al prelucrrii pentru care sunt destinate datele; termenele de stocare a datelor; dreptul de a sesiza n orice moment Autoritatea European pentru Protecia Datelor; originea datelor, n cazul n care acestea nu sunt obinute direct de la persoana n cauz.Uneori momentul la care se realizeaz informarea persoanei vizate poate fi amnat sau, alteori, operatorul chiar poate fi exonerat de obligaia de a respecta dreptul la informare pentru motive expres stabilite de lege i cu consultarea Autoritii Europene pentru Protecia Datelor.3.2. Dreptul de accesUn alt drept din sfera celor garantate de Regulamentul (CE) persoanelor vizate este dreptul de acces. Potrivit acestuia, orice persoan fizic are dreptul de a se adresa instituiilor i organismelor comunitare (operatorul) i de a obine, n termen de trei luni de la formularea cererii i n mod gratuit, urmtoarele informaii: confirmarea c datele care o privesc sunt sau nu sunt prelucrate de operator; informaii referitoare la scopul prelucrrii, categoriile de date avute n vedere i destinatarii sau categoriile de destinatari crora le sunt comunicate datele; comunicarea ntr-o form inteligibil a datelor care fac obiectul prelucrrii, precum i a altor informaii disponibile cu privire la originea datelor; informaii privind logica subiacent oricrei prelucrri automatizate a datelor care o privesc.3.3. Dreptul de a interveni asupra datelor personale deinute de un operator
In cadrul acestui drept complex se confer persoanei ale crei date sunt deinute de ctre un operator, mai multe posibiliti de aciune asupra datelor sale. Astfel, dac datele respective sunt inexacte sau incomplete ori sunt prelucrate n mod ilegal, persoana vizat are dreptul s solicite rectificarea sau tergerea datelor ori blocarea acestora.In ceea ce privete blocarea datelor acestea nu vor mai fi prelucrate (cu excepia operaiunii de stocare), dect exclusiv n scop probatoriu sau cu consimmntul persoanei vizate ori pentru protejarea drepturilor terilor.Totodat, n cazul n care datele au suferit modificri n urma exercitrii dreptului de intervenie a persoanei vizate, acesteia i se recunoate i dreptul de a obine din partea operatorului notificarea unui ter cruia i-au fost comunicate datele. Excepie fac situaiile n care acest lucru este imposibil sau presupune un efort disproporionat din partea operatorului.3.4. Dreptul de opoziie al persoanei vizateAcest drept este reglementat de art. 18 din Regulamentul (CE) 45/2001 i privete dreptul persoanei vizate de a se opune n orice moment, din motive ntemeiate i legitime legate de situaia sa particular, ca datele care o privesc s fac obiectul unei prelucrri. In cazul n care opoziia este justificat, prelucrarea n cauz nu mai poate viza datele respective.Dreptul de opoziie nu se poate exercita n cazurile prevzute la articolul 5 literele (b), (c) i (d) din Regulamentul (CE) 45/2001, respectiv atunci cnd: prelucrarea este necesar pentru a se respecta obligaia legal a operatorului stabilit ntr-un act comunitar; cnd prelucrarea este necesar pentru executarea unui contract la care persoana vizat este parte contractant sau pentru executarea unor dispoziii precontractuale adoptate la cererea persoanei vizate; cnd persoana vizat i-a dat n mod clar consimmntul su la acea prelucrare.n domeniul marketingului direct, posibilitatea exercitrii dreptului de opoziie, n mod gratuit, trebuie adus la cunotina persoanei vizate nainte ca datele cu caracter personal s fie comunicate pentru prima dat terilor sau nainte ca datele s fie utilizate n numele terilor.3.5. Dreptul de a nu fi supus unei decizii individuale automatizatePersoana vizat are dreptul de a cere retragerea sau anularea unei decizii ce produce efecte juridice asupra sa sau care i aduce atingere n mod semnificativ i care s fie ntemeiat exclusiv pe prelucrarea automatizat a datelor sale. Decizia respectiv trebuie s fie destinat s evalueze anumite aspecte ale personalitii persoanei n cauz, cum ar fi randamentul profesional (n cazul raporturilor de munc sau serviciu), credibilitatea (spre exemplu, cea financiar n cazul satisfacerii unor cereri de credit bancar, prin aplicarea automatizat a unor criterii care conduc la acumularea unui anumit punctaj sau scor) sau conduita.Regulamentul (CE) 45/2001 permite luarea unei astfel de decizii numai dac aceasta este autorizat n mod expres n temeiul legislaiei interne sau comunitare sau, dac este necesar, de ctre Autoritatea European pentru Protecia Datelor.In ambele cazuri, trebuie luate msuri de garantare a intereselor legitime ale persoanei vizate, respectiv de a i se permite exprimarea propriului punct de vedere cu privire la decizia luat.3.6. Excepii i restricii ale garaniilor conferite persoanelor vizateInstituiile i organele comunitare pot limita, n anumite situaii, aplicarea principiilor referitoare la calitatea datelor, respectarea dreptului la informare a persoanelor vizate, a dreptului de acces i intervenie asupra datelor, precum i a dreptului de a terge sau anonimiza datele de trafic i de facturare la terminarea unei comunicaii electronice sau a altui tip de conexiune.Astfel de situaii de excepie se refer la: asigurarea prevenirii, cercetrii, depistrii i urmririi n justiie a infraciunilor; protejarea unui interes financiar sau economic important al unui stat membru sau al Comunitilor Europene, inclusiv n domeniile monetar, bugetar sau fiscal; garantarea proteciei persoanei vizate sau a drepturilor i libertilor altora; asigurarea siguranei naionale, siguranei publice i aprarea statelor membre; asigurarea unei funcii de monitorizare, de inspecie sau de reglementare legat, chiar i ocazional, de exercitarea prerogativelor de autoritate public n domeniul dreptului penal sau pentru protejarea unui interes financiar sau economic important.Drepturile de acces, de a cere rectificarea, blocarea sau tergerea datelor nu pot fi exercitate n cazul n care datele sunt prelucrate exclusiv n scopuri de cercetare tiinific sau sunt stocate sub form de date cu caracter personal pentru o perioad de timp care s nu depeasc perioada necesar unicului scop de a realiza statistici. Condiiile pentru restricionarea acestor drepturi sunt acelea de a nu exista nici un risc de a se aduce atingere vieii private a persoanei vizate, operatorul trebuind s ofere garanii juridice corespunztoare, n special s se asigure c datele nu sunt utilizate pentru luarea de msuri sau decizii privind persoane determinate.Dreptul de informare al persoanei vizate trebuie ns respectat, n cazul n care se impune aplicarea unei restricii dintre cele prevzute mai sus. In acest sens, celui n cauz i se vor aduce la cunotin principalele motive pe care se ntemeiaz restricia respectiv i faptul c are dreptul de a sesiza Autoritatea European pentru Protecia Datelor.In privina dreptului de acces, n cazul n care se invoc o restricie pentru a se refuza accesul persoanei vizate la datele sale, Autoritatea European pentru Protecia Datelor doar informeaz persoana respectiv, pe parcursul investigrii plngerii sale, dac datele au fost prelucrate corect i, n caz contrar, dac au fost efectuate rectificrile necesare.Totui, furnizarea informaiilor menionate mai sus, att din partea operatorului, ct i din partea autoritii, poate fi amnat att timp ct aceast informaie lipsete de efect restricia impus.Capitolul IVMsurile necesare pentru asigurarea securitii datelor cu caracter personal
4.1. Confidenialitatea i securitatea prelucrrilor de date cu caracter personalInstituiile sau organele comunitare, n calitate de operatori, trebuie s pun n aplicare msurile organizatorice i tehnice adecvate pentru a asigura un nivel de securitate a datelor, n concordan cu riscurile reprezentate de faptul c prelucreaz date cu caracter personal i de tipul datelor cu caracter personal care trebuie protejate.Astfel, persoanele angajate de o instituie sau un organ comunitar, precum i cele care acioneaz n calitate de persoan mputernicit a acestora, cu acces la date cu caracter personal, nu pot prelucra datele dect pe baza instruciunilor operatorului, cu excepia cazului n care legislaia intern sau comunitar impune acest lucru.Msurile se iau n mod special pentru a preveni orice dezvluire sau acces neautorizat, distrugerea ilegal sau accidental, pierderea sau modificarea accidental, sau orice alt modalitate ilegal de prelucrare .Astfel, n cazul angajailor si, operatorul trebuie s realizeze instruirea acestora cu privire la aplicarea i respectarea politicii de securitate a datelor, pe care este obligat s o ntocmeasc n funcie de natura datelor pe care le prelucreaz i de stadiul tehnicii utilizate n activitatea sa.De asemenea, atunci cnd apeleaz la alte persoane, distincte de angajaii si, s prelucreze date cu caracter personal n numele su, operatorul are obligaia s aleag o persoan mputernicit care s ofere garanii suficiente n privina msurilor de securitate tehnic i organizaionale.4.2. Responsabilul cu protecia datelorPentru a se asigura o ct mai bun informare a operatorilor i persoanelor vizate n privina drepturilor i obligaiilor lor stabilite de Regulamentul (CE) 45/2001, acest act normativ preia dispoziiile Directivei 95/46/EC i instituie instituia responsabilului cu protecia datelor" .Responsabilul cu protecia datelor este ales pe baza calitilor sale personale i profesionale, n special a cunotinelor n materie de protecie a datelor. El este numit de instituia sau organul comunitar n cadrul cruia i va exercita atribuiile, pentru o perioad de la doi pn la cinci ani. Mandatul su poate fi rennoit, durata total neputnd s depeasc zece ani. Dup numire, instituia sau organul care 1-a desemnat, comunic numele responsabilului Autoritii Europene pentru Protecia Datelor.In vederea asigurrii unei ct mai mari independene responsabilului pentru protecia datelor, Regulamentul (CE) 45/2001 prevede c acesta nu poate fi eliberat din funcia sa de ctre instituia sau organul comunitar care 1-a desemnat dect cu acordul Autoritii Europene pentru Protecia Datelor, n cazul n care nu mai ndeplinete condiiile impuse de exercitarea atribuiilor sale. Totodat, n ndeplinirea atribuiilor sale, responsabilul nu poate primi nici un fel de instruciuni.Obligaia de numire, n cadrul operatorului (instituiei sau organului comunitar), a unei persoane responsabile cu protecia datelor, conduce la degrevarea Autoritii Europene pentru Protecia Datelor de a primi i analiza toate notificrile transmise de operator. Astfel, operatorul notific n avans responsabilului cu protecia datelor din cadrul su despre orice prelucrare sau serie de prelucrri destinate unuia sau mai multor scopuri asemntoare.Numai operaiunile de prelucrare care pot prezenta riscuri specifice prin natura, domeniul de aplicare sau scopurile lor i pentru a nu se aduce atingere drepturilor i libertilor persoanelor vizate, acestea vor fi notificate Autoritii Europene pentru Protecia Datelor, pentru efectuarea unui control prealabil. n urma acestuia, autoritatea emite un aviz n care va preciza anumite observaii i condiiile ce trebuie respectate pentru efectuarea unei prelucrri legale de date cu caracter personal.Capitolul VAutoritatea independent de supraveghere: Autoritatea European pentru Protecia Datelor
5.1. Numirea membrilor autoritiiAutoritatea European pentru Protecia Datelor supravegheaz respectarea de ctre instituiile i organele comunitare a drepturilor i libertilor fundamentale ale persoanelor fizice, n special, a vieii private a acestora.Autoritatea este condus de un controlor sau supraveghetor european pentru protecia datelor cu caracter personal, numit de Parlamentul European i Consiliu, de comun acord, pentru un mandat de cinci ani, pe baza unei liste ntocmite de Comisie, n urma unui anun public de depunere a candidaturilor. Acesta este asistat n activitatea sa de un adjunct.Controlorul pentru protecia datelor este ales dintre persoanele care ofer toate garaniile de independen i care posed experiena i competena necesare (de exemplu, fac sau au fcut parte din autoritile de supraveghere din statele membre UE menionate la articolul 28 din Directiva 95/46/CE). Funcia controlorului european este asimilat celei a unui judector la Curtea de Justiie a Comunitilor Europene, iar cea a adjunctului cu funcia de grefier la aceeai curte.In prezent, cei doi membri ai autoritii sunt Peter Hustinx, n calitate de controlor i Joaquin Bayo Delgado adjunct al celui dinti. Domnul Peter Hustinx este primul conductor al Autoritii Europene, ncepndu-i exercitarea atribuiilor pe 17 ianuarie 2004, pentru un mandat de cinci ani. El a fost anterior preedintele Autoritii pentru Protecia Datelor Personale din Olanda, avnd o ndelungat experien n acest domeniu, nc din anii '80 cnd a participat ca expert n comitetul de elaborare a Conveniei Consiliului Europei privind protecia datelor (Convenia 108). De asemenea, a ocupat i funcia de preedinte al Grupului de Lucru art. 29 cu rol consultativ al Comisiei Europene, activitate n cadrul creia a acumulat bogate cunotine n domeniul proteciei datelor cu caracter personal.Funcionarii i ceilali ageni ai secretariatului Autoritii Europene pentru Protecia Datelor se conformeaz reglementrilor aplicabile funcionarilor i altor ageni ai Comunitilor Europene.5.2. Atribuiile Autoritii Europene pentru Protecia DatelorAutoritatea European pentru Protecia Datelor se bucur de o real independen n exercitarea atribuiilor sale, ntruct nu solicit i nici nu primete instruciuni din parte altcuiva, n ndeplinirea atribuiilor sale.Principalele atribuii ale acesteia pot fi rezumate n urmtoarele:-primete i examineaz plngerile persoanelor vizate i le poate consilia n exercitarea drepturilor lor;Deciziile Autoritii Europene pentru Protecia Datelor luate n urma soluionrii plngerilor pot face obiectul unei aciuni n faa Curii de Justiie a Comunitilor Europene. De altfel, Curtea de Justiie are competena de soluionare a oricrui litigiu privind dispoziiile Regulamentului (CE) 45/2001, inclusiv asupra cererilor de despgubire. Astfel, orice persoan care a suferit un prejudiciu datorit prelucrrii ilegale sau oricrei aciuni incompatibile cu regulamentul menionat anterior are dreptul de a obine repararea prejudiciului n conformitate cu articolul 288 din Tratat. efectueaz anchete (din oficiu sau pe baza unei plngeri);
poate formula propuneri de remediere a unor nclcri ale dispoziiilor care reglementeaz prelucrarea datelor cu caracter personal, precum i de mbuntire a proteciei persoanelor vizate;
poate adresa un avertisment sau o mustrare operatorului;
poate dispune rectificarea, blocarea, tergerea sau distrugerea tuturor datelor n cazul n care acestea au fost prelucrate cu nclcarea dispoziiilor care reglementeaz prelucrarea datelor cu caracter personal, precum i notificarea acestor msuri terilor crora le-au fost dezvluite aceste date;
poate sesiza instituia sau organul comunitar n cauz, i, dac este necesar, Parlamentul European, Consiliul i Comisia;
poate sesiza Curtea de Justiie a Comunitilor Europene, n condiiile prevzute de tratat i poate interveni n cauzele aduse n faa Curii, prin exprimarea unei opinii;
este mputernicit s obin din partea unui operator accesul la toate datele cu caracter personal i la toate informaiile necesare realizrii anchetelor sale;
monitorizeaz i asigur aplicarea actelor comunitare n ceea ce privete protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre o instituie sau organ comunitar, cu excepia Curii de Justiie a Comunitilor Europene n exercitarea funciilor sale jurisdicionale;
consiliaz instituiile i organele comunitare n toate problemele legate de prelucrarea datelor cu caracter personal, n special, anterior elaborrii de ctre acestea de norme interne privind prelucrarea datelor cu caracter personal;
coopereaz cu autoritile naionale de supraveghere din rile unde se aplic Directiva 95/46/CE, n msura necesar pentru ndeplinirea atribuiilor lor respective, n special prin schimbul de informaii utile, precum i cu organele de supraveghere privind protecia datelor, instituite n temeiul titlului VI din Tratatul privind Uniunea European;
realizeaz controale prealabile ale prelucrrilor care i sunt notificate;
prezint Parlamentului European, Consiliului i Comisiei un raport anual privind activitile sale, pe care l i public sau rapoarte privind teme specifice.
Capitolul VICauza Copland mpotriva Regatului Unit al Marii Britanii i Irlandei de Nord 3 Aprilie 2007. nclcarea art. 8 din Convenia European pentru Aprarea Drepturilor Omului i a Libertilor Fundamentale
6.1. Istoricul cauzeiPetiionara, dna. Lynette Copland din Llanelli, ara Galilor, s-a adresat Curii Europene a Drepturilor Omului, reclamnd monitorizarea convorbirilor ei telefonice, corespondenei electronice (e-mail) i traficului de internet, contrar dispoziiilor articolelor 8 i 13 din Convenia European pentru Aprarea Drepturilor Omului i a Libertilor Fundamentale.In anul 1991 petiionara a fost angajat la "Carmarthenshire College" (instituie public), n anul 1995 a devenit asistentul personal al directorului colegiului, iar de la sfritul anului 1995 ea a fost solicitat s lucreze ndeaproape cu nou-numitul adjunct al directorului.In cursul lunii iulie 1998, n timpul concediului anual, petiionara a vizitat un alt campus al Colegiului, mpreun cu un director - brbat. Ulterior, petenta a aflat c adjunctul a contactat acel campus n scopul de a se interesa de vizita ei i a neles ca acesta a sugerat despre o relaie necorespunztoare dintre ea i directorul respectiv.Pe perioada angajrii, telefonul, corespondena electronic (e-mail) i traficul de internet al petiionarei, utilizate n timpul serviciului, au constituit subiectul monitorizrii la solicitarea adjunctului. Dar conform susinerilor Guvernului, aceast monitorizare a avut loc n scopul de a se stabili dac nu cumva petiionara obinuia s utilizeze excesiv facilitile oferite de Colegiu n scopuri pur personale.Astfel, au fost analizate facturile telefonice emise pe contul Colegiului, care menionau numerele telefonice apelate de reclamant, datele i orele apelurilor, durata i costul acestora. Utilizarea internetului de ctre petiionar a fost de asemenea monitorizat, prin analiza site-urilor vizitate, a orelor i a datelor acestor vizite, precum i durata acestora. Monitorizarea e-mailurilor a avut loc sub forma analizei adreselor de e-mail, a datelor i orelor la care au fost expediate e-mailurile.In luna noiembrie 1999 petiionara a devenit contient de efectuarea unor cercetri referitoare la utilizarea e-mail-ului la serviciu de ctre ea, atunci cnd fiica sa vitreg a fost contactat de ctre Colegiu i chestionat pentru a furniza informaii despre e-mailurile pe care ea le-a expediat ctre Colegiu. Urmare acestor aspecte, petiionara s-a adresat directorului colegiului, pentru a ntreba dac are loc o investigaie general sau dac au fost investigate doar e-mailurile sale. Directorul a informat petiionara c Departamentul de informaii al Colegiului a investigat doar e-mailurile acesteia, respectnd ntocmai solicitarea efectuat de adjunctul directorului.De asemenea, directorul s-a adresat adjunctului su, informndu-1 c a dispus s nu se mai desfoare n continuare nici un fel de monitorizare, avnd n vedere legislaia care urma s apar i care dispune ca ilegal fapta unei organizaii de a examina fr permisiune e-mailurile oricrei persoane.La acea dat, n cadrul Colegiului nu existau reguli n vigoare cu privire la monitorizarea telefoanelor, e-mailurilor sau a internetului utilizate de ctre angajai.6.2. Dispoziiile legale naionale relevanteRegulile privind telecomunicaiile (The Telecommunications Regulations 2000) prevd circumstanele n care angajatorii au posibilitatea legal s nregistreze sau s monitorizeze comunicaiile angajailor (e-mail-urile sau telefoanele) fr a fi necesar consimmntul angajatului sau a celeilalte pri cu care acesta comunic. Angajatorii sunt obligai s ia msurile necesare i rezonabile, n scopul informrii angajailor despre faptul c pot fi interceptate comunicaiile acestora.Daune contractuale pentru nerespectarea angajamentului de ncredere i confidenialitate de ctre angajator. Camera Lorzilor, n cauza Malik vs Bank of Credit and Commerce International SA (1997) a confirmat c, din punct de vedere legal, o clauz general este considerat a fi inserat n fiecare contract de munc, potrivit creia nici un angajator nu va putea "fr un motiv rezonabil i oportun, s se comporte ntr-o manier deliberat n scopul de a urmri s distrug sau s provoace daune serioase relaiilor confideniale i de ncredere dintre angajator i angajat".Rspunderea civil delictual n cazul abuzului de putere n cadrul instituiilor publice. Aceasta reiese din conduita unei oficialiti publice care, fie a) i-a exercitat atribuiile cu care a fost nvestit intenionnd n mod direct s vatme pe reclamant, sau b) a acionat cunoscnd c ilegalitile actelor sale, fcute n cunotin de cauz sau cu grav eroare i neglijen reprezint principala cauz a vtmrilor suferite de reclamant sau de o categorie de persoane a crei membrii este reclamantul (Three Rivers D.C. vs Bank of England 2000).Legea privind protecia datelor 1984 (Data Protection Act 1984). n perioada aciunilor pe care le-a invocat reclamanta, Legea privind protecia datelor din 1984 ("1984 Act") reglementa modalitatea n care persoanele i organizaiile care deineau date, cunoscute ca operatori", puteau prelucra sau utiliza aceste date. De asemenea, erau reglementate modaliti de aciune aflate la ndemna persoanelor n scopul remedierii erorilor cauzate de utilizarea greit sau abuziv a acestor date cu caracter personal, precum i dreptul la compensaii cuvenite subiecilor acestor date n situaiile n care datele cu caracter personal sunt dezvluite n mod neautorizat. The 1984 Act a fost nlocuit cu Legea privind protecia datelor din 1998 (n vigoare la data la care petiionara s-a adresat Curii).Actul din 1984 definea, printre ali termeni i pe aceia ca date cu caracter personal" (date constnd n informaii aflate n corelaionare cu o persoan fizic n via care poate fi identificat plecnd de la acele informaii), operatorul de date", prelucrare de date", dezvluire" etc. (n mod similar celor definite n Regulamentul (CE) 45/2001 sau n Directiva 95/46/CE dup cum am amintit anterior - subl. ns.).De asemenea, Actul din 1984 stabilea principiile proteciei datelor'" care trebuie respectate de ctre deintorii de date: datele s fie prelucrate imparial i cu ndeplinirea condiiilor legale; deinute doar pentru unul sau mai multe scopuri specificate i legale; s fie adecvate, relevante i s nu fie colectate n volum excesiv raportat la respectivele scopuri stabilite. In acelai timp, Actul din 1984 a instituit i o autoritate privind protecia datelor (Data Protection Registrar, n prezent, Information Commissioner's Office), avnd atribuia principal de a promova i supraveghea respectarea principiilor proteciei datelor de ctre utilizatorii de date.6.3. Pretinsa violare a articolului 8 din Convenie. Susinerile prilorGuvernul a admis c monitorizarea s-a rezumat doar la analiza informaiilor generate automat n scopul de a determina dac facilitile oferite de Colegiu au fost utilizate pentru scopuri personale. Din punctul propriu de vedere al Guvernului, aceasta nu a constituit o nclcare a dreptului la respectarea vieii private sau a corespondenei.Dac totui a avut loc o monitorizare, Guvernul afirm c aceasta ar fi justificat, deoarece se urmrea un scop legitim de protejare a drepturilor i libertilor altor persoane prin luarea unor msuri, prin care o instituie public se asigura c facilitile oferite nu sunt utilizate n mod abuziv. Astfel, Colegiul putea ntreprinde o analiz a propriilor evidene pentru a determina dac exist vreo posibilitate de utilizare n scopuri personale susceptibil de a necesita investigaii. In sfrit, aciunile erau necesare ntr-o societate democratic, fiind proporionale cu scopul urmrit.Reclamanta nu a susinut c e-mail-urile ei au fost citite i c au fost interceptate convorbirile ei telefonice, dar a concluzionat c, chiar dac mprejurrile au fost cele prezentate de Guvern, era evident c unele dintre activitile de monitorizare au avut loc n asemenea condiii care echivalau cu o ingerin n drepturile ei privind respectarea vieii private i a secretului corespondenei. Ea s-a referit la legislaia subsecvent violrilor invocate, The Regulation of Investigatory Powers Act 2000 (Actul din 2000 privind regulile puterilor de investigare) i The Telecommunications Regulations 2000 (Regulile privind telecomunicaiile din 2000) care, susinea ea, reprezenta o recunoatere explicit de ctre Guvern c desfurarea unor asemenea monitorizri constituiau o ingerin n sensul dispoziiilor art. 8 i necesitau o autorizare n sensul de a se ncadra n dispoziiile legale.ncepnd cu aceste reglementri care au intrat n vigoare n anul 2000, bazele legale pentru aceste ingerine legitimeaz, ulterior, evenimentele n prezentul caz.La epoca respectiv ns, nu au existat asemenea mputerniciri exprese care s fi fost acordate Colegiului n sensul de a supraveghea propriii angajai, iar atribuiile statutare nu prevedeau asemenea supravegheri ca previzibile i rezonabile. Reclamanta a susinut, legat de conduita Colegiului, c aceasta nu era nici necesar i, cu att mai puin proporional, ntruct puteau exista metode mai rezonabile i mai puin intruzive pe care Colegiul le-ar fi putut utiliza, precum elaborarea i publicarea unui regulament referitor la monitorizarea utilizrii, de ctre angajai, a telefoanelor, internetului i a potei electronice.6.4. Concluziile CuriiIn concordan cu jurisprudena Curii, convorbirile telefonice efectuate de la locul de munc sunt, prima facle, ncadrate n noiunea de "via privat" i de "coresponden" datorit dispoziiilor art. 8 parag. 1 din Convenie (a se vedea cauza Amann vs Elveia, 2000). Pe cale de consecin, se poate deduce logic c i e-mail-urile expediate de la serviciu pot fi protejate n mod similar de dispoziiile art. 8, la fel ca i informaiile care pot fi obinute din monitorizarea utilizrii personale a internetului.Reclamanta nu a fost avertizat asupra faptului c propriile ei convorbiri pot fi subiect al monitorizrii, astfel c ea a avut o presupunere rezonabil asupra faptului c. i se respecta intimitatea vieii private i n privina convorbirilor efectuate prin intermediul telefonului ei de la serviciu, utilizarea potei electronice i a internetului.Curtea reamintete (aa cum a afirmat n cauza Malone vs. Regatul Unit, 1984) c utilizarea informaiilor referitoare la data i la durata conversaiilor telefonice iar n particular la numerele telefonice apelate pot cdea sub incidena dispoziiilor art. 8 ntruct asemenea informaii constituie elemente eseniale ale comunicaiilor efectuate prin intermediul telefonului". Simplul fapt c aceste date puteau fi obinute legal de ctre Colegiu, sub forma facturilor telefonice, nu constituie o piedic n a aprecia c exist o ingerin n drepturile garantate de art. 8.Cu att mai mult, stocarea datelor cu caracter personal referitoare la viaa privat a unei persoane se afl sub incidena dispoziiilor art. 8, fiind irelevant dac datele deinute de ctre colegiu nu au fost dezvluite sau utilizate n defavoarea reclamantei n vreo aciune disciplinar sau vreo alt procedur. Prin urmare, Curtea consider colectarea i stocarea informaiilor personale referitoare la convorbirile telefonice ale reclamantei, la fel ca i cele referitoare la e-mail-urile ei i la utilizarea de ctre aceasta a internetului, fr ncunotinarea ei, ca o ingerin n drepturile ei privitoare la respectarea vieii private i la secretul corespondenei n sensul dispoziiilor art. 8 din Convenie.Curtea reamintete faptul c este clar stabilit n jurispruden c sintagma "n concordan cu legea" implic - i aceasta deriv din obiectul i din scopul art. 8 - mprejurarea c trebuie s existe o limit a proteciei legale n dreptul naional aplicabil mpotriva ingerinelor arbitrare ale autoritilor publice n privina drepturilor protejate prin art. 8 parag. 1.Guvernul nu a avut n vedere s argumenteze mprejurarea c n perioada respectiv ar fi existat vreo reglementare, n dreptul comun ori n documentele guvernamentale privitoare la Colegiu, care s prevad circumstanele n care angajatorii pot monitoriza utilizarea telefoanelor, e-mail-urilor i a internetului de ctre angajai. Mai mult dect att, este foarte explicit faptul c The Telecommunications Regulations 2000 (adoptat sub the Regulation of Investigatory Powers Act 2000) care conine asemenea prevederi nu era n vigoare n perioada relevant cauzei.In consecin, cum nu a existat n dreptul comun o reglementare referitoare la monitorizare n perioada respectiv, ingerina n acest caz nu era "n concordan cu legea" aa cum este reglementat cerina de ctre art. 8 parag. 2 din Convenie. In concluzie, Curtea a apreciat c a existat o violare a art. 8 din acest punct de vedere.Sub aspectul dispoziiilor art. 13 din Convenie Curtea a hotrt c nu este necesar s se examineze cauza. De asemenea, a stabilit c statul este responsabil i trebuie s plteasc reclamantei daune morale n valoare de 3000 Euro, precum i costuri i cheltuieli n cuantum de 6000 de Euro.6.5. Legalitatea prelucrrii datelor cu caracter personal ale angajailor la locul de munc. Importana deciziei CEDO pentru RomniaDecizia CEDO vine s precizeze anumii termeni i s explice interpretarea articolului 8 din Convenie, n legtur cu monitorizarea angajailor cu privire la utilizarea telefoanelor, a potei electronice i a accesului la internet.Aceast decizie nu trebuie interpretat ca o interdicie absolut a angajatorilor n a supraveghea activitatea angajailor, ci ca pe o obligaie a acestora de a respecta viaa privat a angajailor n condiiile unor asemenea activiti.Astfel, exist msuri la ndemna oricrei persoane juridice n calitate de angajator care pot asigura un minimum de siguran n ceea ce privete problematica abordat: informarea prealabil a angajailor cu privire la sistemele de supraveghere puse n funciune de ctre angajator;
stabilirea unor politici ct mai detaliate cu privire la poziia angajatorului n ceea ce privete utilizarea telefoanelor fixe, mobile sau a internetului puse la dispoziie de acesta.
Aspectele de mai sus ar putea mbrca forma unor anexe la contractul de munc sau la Regulamentul de Ordine Interioar (cum ar fi politica de securitate a informaiilor deinute, generate sau gestionate de o instituie sau societate comercial), dar este esenial ca angajatul s ia cunotin de aceste reguli. Credem c este important, n acelai timp, ca aceste regulamente s fie rezonabile n ceea ce privete utilizarea n scop privat a internetului, ntruct o interdicie total i absolut a utilizrii acestuia n scop privat la locul de munc este, fr ndoial, nerealist; supravegherea efectuat de angajator trebuie s aib n vedere i legislaia romneasc privind protecia vieii private i a datelor personale (Legea nr. 677/2001 privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date). Supravegherea trebuie s fie fcut la nivelul unor verificri periodice i nu ar trebui s implice stocarea tuturor informaiilor electronice tranzitate.
de asemenea, angajaii care au acces nelimitat la internet trebuie s fie informai c au posibilitatea s i ia cteva msuri de siguran, cum ar fi: separarea fiierelor cu caracter privat fa de cele legate de locul de munc; utilizarea unui e-mail gratuit pentru corespondena personal i nu a celui de serviciu etc.
In concluzie, existena unei monitorizri din partea angajatorului este posibil, iar legislaia privind protecia datelor nu interzice acest lucru, dar trebuie respectate drepturile i libertile persoanelor n cauz (angajaii). Aa cum am menionat anterior, n primul rnd acetia trebuie informai cu privire la faptul c se realizeaz o monitorizare i este bine s citeasc toate documentele semnate sau aduse la cunotin n momentul angajrii.La nivelul Uniunii Europene problematica face obiectului unui document cu rol de recomandare realizat de Grupul de Lucru art. 29 pentru Protecia Datelor Personale i intitulat Documentul de lucru asupra supravegherii comunicaiilor electronice la locul de munc adoptat pe 29 Mai 2002.In statele membre ale Uniunii Europene, situaia difer de la o ar la alta, putnd fi stipulat printr-un act normativ (cum este situaia n Marea Britanie, din anul 2000, cnd a fost adoptat legea Regulation of Investigatory Powers Act care conine i un cadru de reglementare a monitorizrii comunicaiilor de ctre angajai) sau mergnd doar pe interpretarea principiilor generale ale dreptului muncii n legtur cu Internet-ul, deseori explicate n rapoarte cu caracter de recomandare emise de instituii de stat. Un bun exemplu n acest din urm caz este Raportul Relaiile de munc i Internet-ul" realizat de Forumul Drepturilor pe Internet din Frana. Forumul Drepturilor pe Internet (Forum de droits sur 1'Internet) este un organism specific realizat n Frana pentru a reflecta asupra chestiunilor juridice puse de Internet. Forumul este compus din persoane juridice din sectorul public si privat.BIBLIOGRAFIE
1. Radu Carp, Simona andru, Dreptul la intimitate i protecia datelor cu caracter personal, Ed. AII Beck, Bucureti, 20042. Tratatul privind Comunitatea European. Versiunea consolidat a Tratatului privind Uniunea European i a tratatului privind funcionarea Uniunii Europene3. Carta Drepturilor Fundamentale a Uniunii Europene4. Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date5. Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date6. Legea nr. 677/2001 privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date7. http://www.europarl.europa.eu/parliament8. http://www.consilium.europa.eu9. http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/14.10. http://www.bailii.org/eu/cases/ECHR/2007/253.html.11. http://www.publications.parliament.uk/pa/ldl99798/ldiudgmt/id970612/malik01.htm.12. http: //www.hrothgar.co.uk/Y A WS/frmreps/three.htm.13. http://mcs.open.ac.uk/kgw9/interesting/DataProtection.html14. http://www.menschenrechte.ac.at/orig/00_2/Amann.pdf.15. http://www.worldlii.Org/eu/cases/ECHR/l 984/10.html16. http://www.foruminternet.org http://www.europarl.europa.eu/parliament
http://www.consilium.europa.eu
Radu Carp, Simona andru, Dreptul la intimitate i protecia datelor cu caracter personal, Ed. AII Beck, Bucureti, 2004, p. 11, citnd pe Ulf Brtihann, La directive europeenne relative la protection des donnees: fondements, histoire, points forts, Revue Francaise d'Administration Publique, no.89, p. 10.
JO L 281, 23.11.1995, p. 31
JO L 24, 30.1.1998, p. 1
JO L 201, 31.07.2002, p. 37-47
Definiia datelor cu caracter personal, stabilit n Directiva 95/46/EC
JO L 8, 12.01.2001, p. 1-22
Potrivit definiiei date de art. 1 lit. b) din Regulamentul (CE) 45/2001 "prelucrarea datelor cu caracter personal" nseamn orice operaiune sau serie de operaiuni care se efectueaz asupra datelor cu caracter personal, prin mijloace automatizate sau neautomatizate, cum ar fi colectarea, nregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvluirea prin transmitere, diseminarea sau n orice alt mod, alturarea ori combinarea, precum i blocarea, tergerea sau distrugerea.
Paragraful 17 din Regulamentul (CE) 45/2001.
Paragraful 15 din Regulamentul (CE) 45/2001. Art. 6.2 al TUE impune UE respectarea drepturilor fundamentale, aa cum sunt acestea garantate de Convenia European pentru Aprarea Drepturilor Omului i a Libertilor Fundamentale i aa cum rezult din "tradiiile constituionale ale statelor-membre". Potrivit art. 255 TCE, orice cetean al UE i orice persoan fizic sau juridic care are reedina sau sediul ntr-un stat-membru, are drept de acces la documentele Parlamentului European, ale Consiliului i ale Comisiei.
Potrivit definiiei din art. 1 lit. c) din Regulamentul (CE) 45/2001
Acestea sunt enumerate n art. 4 din Regulamentul (CE) 45/2001.
Art. 5 din Regulamentul (CE) 45/2001.
Potrivit definiiei din art. 1 lit. h) din Regulamentul (CE) 45/2001 "consimmntul persoanei vizate" nseamn orice manifestare de voin, liber, specific i informat, prin care persoana vizat accept s fie prelucrate datele cu caracter personal care o privesc.
Art. 6 din Regulamentul (CE) 45/2001 permite modificarea scopului iniial al prelucrrii, dar fr a se aduce atingere art. 4, 5 i 10 din Regulament.
Art. 9 din Regulamentul (CE) 45/2001 se refer la urmtorii factori: tipul de date, scopul i durata operaiunii sau operaiunilor de prelucrare propuse, care este ara ter sau organizaia internaional destinatar, legislaia acesteia n vigoare, att cea general ct i sectorial, precum i normele profesionale i msurile de securitate care sunt aplicate n ara ter sau organizaia internaional
n mare parte fiind aceleai cu cele descrise la 2.2.1, Legalitatea prelucrrii datelor,pag. 11.
Conform art. 10 din Regulamentul (CE) 45/2001, operatorul trebuie s fie autorizat cu privire la atribuiile sale n acest domeniu, de tratatele de instituire a Comunitilor Europene sau de alte instrumente legislative adoptate n temeiul acestora, sau, dac este necesar, de ctre Autoritatea European pentru Protecia Datelor, cu condiia adoptrii unor garanii adecvate.
Art. 11 din Regulamentul (CE) 45/2001 reglementeaz n mod distinct acest drept, ca fiind "informarea persoanei vizate", dei Directiva 95/46/CE l ncadreaz n acelai capitol afectat drepturilor.
Potrivit art. 11 parag. 2 din Regulamentul (CE) 45/2001 comunicarea celorlalte informaii sau elemente ale acestora, cu excepia celor privind operatorul, scopul prelucrrii i obligaia de a furniza datele, poate fi amnat att ct este necesar n scopuri statistice. Informaiile trebuie comunicate de ndat ce motivul pentru care acestea nu au fost dezvluite nceteaz s existe.
Exonerrile se refer la situaia n care datele nu au fost colectate de la persoana vizat, art. 12 parag. 2 din Regulamentul (CE) 45/2001 stabilind urmtoarele cazuri: n special n cazul prelucrrii n scopuri statistice sau de cercetare istoric ori tiinific, informarea persoanei vizate se dovedete a fi imposibil, implic eforturi disproporionate sau dac legislaia comunitar prevede expres nregistrarea ori comunicarea datelor. In aceste cazuri, instituia sau organul comunitar prevede garanii corespunztoare, dup consultarea Autoritii Europene pentru Protecia Datelor.
Art. 14, 15 i 16 din Regulamentul (CE) 45/2001.
Art. 17 din Regulamentul (CE) 45/2001
Art. 21 parag. 2 din Regulamentul (CE) 45/2001 prevede c "n cazul n care datele cu caracter personal fac obiectul unei prelucrri automatizate, se iau msuri adecvate riscurilor, n special cu scopul: (a) de a mpiedica accesul oricrei persoane neautorizate la sistemele computerizate de prelucrare a datelor cu caracter personal; (b) de a mpiedica orice citire, copiere, modificare sau eliminare a suporturilor de stocare; (c) de a mpiedica orice introducere neautorizat de date n memorie, precum i orice divulgare, modificare sau tergere neautorizat a datelor cu caracter personal memorate; (d) de a mpiedica persoanele neautorizate s utilizeze sistemele de prelucrare a datelor prin intermediul mijloacelor de transmitere a datelor; (e) de a garanta faptul c utilizatorii autorizai ai sistemelor de prelucrare a datelor nu pot accesa dect acele date cu caracter personal pe care dreptul lor de acces le permite s le consulte; (f) de a nregistra datele cu caracter personal care au fost comunicate, momentul n care au fost comunicate i destinatarul acestora; (g) de a garanta c se poate verifica ulterior care date cu caracter personal care au fost prelucrate, n ce moment i cine a efectuat prelucrarea; (h) de a garanta c datele cu caracter personal prelucrate n numele unor teri pot fi prelucrate numai n modul prevzut de ctre instituia sau organul contractant; (i) de a garanta faptul c, din momentul comunicrii datelor cu caracter personal i transportului suporturilor de stocare, datele nu pot fi citite, copiate sau terse fr autorizare; (j) de a concepe structura organizaional intern a unei instituii sau a unui organ astfel nct s fie ndeplinite cerinele speciale de protecie a datelor.
Art. 23 parag. 2 i 3 din Regulamentul (CE) 45/2001 stabilete c efectuarea prelucrrilor prin reprezentare trebuie realizat n temeiul unui contract sau a unui act juridic care s oblige persoana mputernicit fa de operator. n scopul pstrrii dovezilor, elementele contractului sau ale actului juridic trebuie s fie n form scris sau ntr-o alt form echivalent.
Art. 24 din Regulamentul (CE) 45/2001 i anexa la acesta.
Art. 27 parag. 2 din Regulamentul (CE) 45/2001 stabilete ce operaiuni de prelucrare prezint poteniale astfel de riscuri: (a) prelucrarea de date referitoare la starea de sntate i la presupuse infraciuni, infraciuni, condamnri penale sau msurile de siguran; (b) operaiunile de prelucrare destinate evalurii aspectelor personalitii persoanei vizate, inclusiv a competenei, a randamentului sau a conduitei; (c) operaiunile de prelucrare care permit conexiuni care nu sunt prevzute de legislaiile interne sau de legislaia comunitar ntre datele prelucrate n diferite scopuri; (d) operaiunile de prelucrare n scopul privrii persoanelor de un drept, beneficiu sau contract.
http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/14.
A se vedea, pe larg, atribuiile prevzute n art. 46, 47 i 48 din Regulamentul (CE) 45/2001.
http://www.bailii.org/eu/cases/ECHR/2007/253.html.
http://www.publications.parliament.ulc/pa/ldl99798/ldjudgrat/jd970612/malik01.htm.
http://www.hrothgar.co.ul
