Accesul autoritatilor nationale la datele pastrate trebuie supus unor conditii, printre care existenta unui control prealabil din partea unei autoritati independente si pastrarea datelor pe teritoriul Uniunii Prin Hotararea Digital Rights Ireland din 20141 , Curtea de Justitie a declarat nevalida directiva privind pastrarea datelor2 pentru motivul ca ingerinta in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal pe care o presupune obligatia generala de pastrare a datelor privind traficul si a datelor de localizare impuse de aceasta nu era limitata la strictul necesar.
In urma acestei hotarari, Curtea a fost sesizata cu doua cauze privind obligatia generala impusa furnizorilor de servicii de comunicatii electronice, in Suedia si in Regatul Unit, de a pastra datele referitoare la aceste comunicatii, a caror pastrare era prevazuta de directiva declarata nevalida. In ziua urmatoare pronuntarii Hotararii Digital Rights Ireland, societatea de telecomunicatii Tele2 Sverige a notificat autoritatii suedeze pentru monitorizarea serviciilor postale si a telecomunicatiilor decizia sa de a inceta pastrarea datelor, precum si intentia sa de a sterge datele deja inregistrate (cauza C-203/15). Astfel, dreptul suedez ii obliga pe furnizorii de servicii de comunicatii electronice sa pastreze in mod sistematic si continuu, fara nicio exceptie, ansamblul datelor privind traficul si al datelor de localizare ale tuturor abonatilor si utilizatorilor inregistrati ai acestora, in ceea ce priveste toate mijloacele de comunicare electronica.
In cauza C-698/15, domnii Tom Watson, Peter Brice si Geoffrey Lewis au formulat actiuni impotriva sistemului britanic de pastrare a datelor care permite ministrului de interne sa oblige operatorii de telecomunicatii publice sa pastreze toate datele referitoare la comunicatii pentru o durata maxima de 12 luni, subintelegandu-se ca este exclusa pastrarea continutului acestor comunicatii.
Sesizata de KammarrA�tten i Stockholm (Curtea Administrativa de Apel din Stockholm, Suedia) si de Court of Appeal (England and Wales) (Civil Division) (Sectia civila a Curtii de Apel din Anglia si Tara Galilor, Regatul Unit), Curtea trebuie sa stabileasca daca sistemele nationale care impun furnizorilor o obligatie generala de pastrare a datelor si care prevad accesul autoritatilor nationale competente la datele pastrate, printre altele fara a limita acest acces doar la scopul combaterii infractionalitatii grave si fara a supune accesul respectiv unui control prealabil din partea unei instante sau a unei autoritati administrative independente, sunt compatibile cu dreptul Uniunii (in speta cu Directiva ``viata privata si comunicatiile electroniceE�3 interpretata in lumina Cartei drepturilor fundamentale a UE4 ). In hotararea pronuntata astazi, Curtea raspunde ca dreptul Uniunii se opune unei reglementari nationale care prevede o pastrare generalizata si nediferentiata a datelor. Curtea confirma mai intai ca masurile nationale in cauza intra in domeniul de aplicare al directivei. Astfel, protectia confidentialitatii comunicatiilor electronice si a datelor de transfer, garantata de directiva, se aplica masurilor adoptate de orice alte persoane decat utilizatorii, indiferent ca este vorba despre persoane sau entitati private ori despre entitati statale. Curtea constata in continuare ca, desi aceasta directiva permite statelor membre sa restranga sfera de aplicare a obligatiei de principiu de a asigura confidentialitatea comunicatiilor si a datelor de transfer aferente acestora, ea nu poate sa justifice ca derogarea de la aceasta obligatie de principiu si, in special, de la interdictia de a stoca aceste date, prevazuta de directiva mentionata, sa devina regula .
In plus, Curtea aminteste jurisprudenta sa constanta potrivit careia protectia dreptului fundamental la respectarea vietii private impune ca derogarile de la protectia datelor cu caracter personal sa fie efectuate in limitele strictului necesar. Curtea aplica aceasta jurisprudenta la normele care reglementeaza pastrarea datelor si la cele care reglementeaza accesul la datele pastrate. Curtea constata, in ceea ce priveste pastrarea, ca datele pastrate considerate in ansamblul lor pot permite deducerea unor concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate.
Ingerinta care rezulta dintr-o reglementare nationala care prevede pastrarea datelor privind traficul si a datelor de localizare trebuie considerata deosebit de grava. Faptul ca pastrarea datelor este efectuata fara ca utilizatorii serviciilor de comunicatii electronice sa fie informati cu privire la aceasta este susceptibil sa genereze, in mintea persoanelor vizate, sentimentul ca viata lor privata face obiectul unei supravegheri constante. Prin urmare, numai combaterea infractionalitatii grave poate justifica o asemenea ingerinta.
Curtea arata ca o reglementare care prevede o pastrare generalizata si nediferentiata a datelor nu impune o relatie intre datele a caror pastrare este prevazuta si o amenintare pentru securitatea publica si nu se limiteaza printre altele sa prevada o pastrare a datelor aferente unei perioade si/sau unei zone geografice si/sau unui cerc de persoane care pot fi implicate intr-o infractiune grava. O asemenea reglementare nationala depaseste, asadar, limitele strictului necesar si nu poate fi considerata justificata, intr-o societate democratica, astfel cum impune directiva interpretata in lumina cartei.
Curtea explica in schimb ca directiva nu se opune unei reglementari nationale care impune o pastrare directionata a datelor, in scopul combaterii infractionalitatii grave, cu conditia ca o asemenea pastrare sa fie, in ceea ce priveste categoriile de date care trebuie pastrate, mijloacele de comunicare vizate, persoanele in cauza, precum si durata de pastrare retinuta, limitata la strictul necesar. Potrivit Curtii, orice reglementare nationala care contine dispozitii in acest sens trebuie sa fie clara si precisa si sa prevada garantii suficiente pentru a proteja datele impotriva riscurilor de abuz . Aceasta trebuie sa indice imprejurarile si conditiile in care o masura de pastrare a datelor poate fi luata, cu titlu preventiv, astfel incat sa garanteze ca amploarea acestei masuri sa fie limitata efectiv, in practica, la strictul necesar. Printre altele, o asemenea reglementare trebuie sa se intemeieze pe elemente obiective care sa permita sa fie vizate persoanele ale caror date pot prezenta o legatura cu acte de infractionalitate grava, care sa contribuie la combaterea infractionalitatii grave sau care sa previna un risc grav pentru securitatea publica.
In ceea ce priveste accesul autoritatilor nationale competente la datele pastrate, Curtea confirma ca reglementarea nationala in cauza nu se poate limita la a impune ca accesul sa raspunda unuia dintre obiectivele vizate de directiva, chiar daca acesta consta in combaterea infractionalitatii grave, ci trebuie sa prevada si conditiile materiale si procedurale care guverneaza accesul autoritatilor nationale competente la datele pastrate. Respectiva reglementare trebuie sa se intemeieze pe criterii obiective pentru a defini imprejurarile si conditiile in care trebuie sa se permita autoritatilor nationale competente accesul la date . In principiu, accesul nu poate fi permis, in raport cu obiectivul de combatere a infractionalitatii, decat la datele persoanelor banuite de a pregati, de a savarsi sau de a fi savarsit o infractiune grava sau de a fi implicate in orice mod intr-o astfel de infractiune . Cu toate acestea, in situatii speciale, precum cele in care interese vitale privind securitatea nationala, apararea sau securitatea publica sunt amenintate de activitati teroriste, ar putea de asemenea sa fie permis accesul la datele altor persoane, in cazul in care exista elemente obiective care permit sa se considere ca aceste date ar putea aduce, intr-un caz concret, o contributie efectiva la combaterea unor asemenea activitati .
In plus, Curtea considera ca este esential ca accesul la datele pastrate sa fie conditionat, cu exceptia unor situatii de urgenta, de un control prealabil efectuat de o instanta sau de o entitate independenta. De asemenea, autoritatile nationale competente carora le-a fost acordat accesul la datele pastrate trebuie sa informeze persoanele in cauza in privinta acestui aspect. Tinand seama de cantitatea datelor pastrate, de caracterul sensibil al respectivelor date, precum si de riscul de acces ilicit la acestea, reglementarea nationala trebuie sa prevada ca datele sa fie pastrate pe teritoriul Uniunii si ca ele sa fie distruse iremediabil la finalul duratei de pastrare a acestora.
Hotararea in cauzele conexate C-203/15 Tele2 Sverige AB/Post-och telestyrelsen si C-698/15 Secretary of State for the Home Department/Tom Watson si altii
1 Hotararea Curtii din 8 aprilie 2014, Digital Rights Ireland si Seitlinger si altii (cauzele conexate C-293/12 si C-594/12, a se vedea si comunicatul de presa nr. 54/14).
2 Directiva 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 privind pastrarea datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retele de comunicatii publice si de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Editie speciala, 13/vol. 53, p. 51).
3 Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice (Directiva asupra confidentialitatii si comunicatiilor electronice) (JO 2002, L 201, p. 37, Editie speciala, 13/vol. 36, p. 63), astfel cum a fost modificata prin Directiva 2009/136/CE a Parlamentului European si a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11, rectificare in JO 2013, L 241, p. 9).
4 Articolul 7, articolul 8 si articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene.
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Obtinerea unei copie a datelor cu caracter personal impune punerea la dispozitie a unei reproduceri fidele si inteligibila a tuturor acestor date Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Dialogurile MCP (X) - Utilizarea retelelor de mesagerie electronica in raporturile de munca Sursa: Avocat Marius-Catalin Predut
Dialogurile MCP (VIII): Clauza de confidentialitate in contractul individual de munca. Ce este si ce nu este confidential? Sursa: Avocat Marius-Catalin Predut
Lipsa consimtamantului persoanei vizate pentru transmiterea de date personale catre instanta de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Publicarea numelui reclamantului in cuprinsul listei debitorilor, ulterior stingerii obligatiei de plata si anularii titlurilor de creanta. Nerespectarea dispozitiilor legale privind protectia datelor cu caracter personal Pronuntaţă de: Judecatoria Iasi - Sentinta civila nr. 13391 din data de 27 Noiembrie 2019
Opinie contrara: mentinerea sanctiunii pentru nedeclararea salariului confidential al membrilor de familie Pronuntaţă de: Judecatoria Sectorul 3 Bucuresti, Sentinta civila nr. 1221 din 13.02.2019
Societatilor comerciale tranzactionate pe o bursa de valori mobiliare le sunt aplicabile prevederile speciale ale Legii nr. 297/2004. GDPR actionari Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1733/2019
Cuantum al onorariului de avocat apreciat ca disproportionat de instanta de recurs, in raport cu volumul de activitate al aparatorului si cu complexitatea cauzei Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1733/2019
Instantele nationale procedeaza la adresarea unei intrebari CJUE numai dupa analizarea necesitatii si pertinentei acesteia Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1704/2019