« Solutia pentru schimbare? Fiti activ implicati!3 bune si 3 proaste în noul proiect de lege privind accesul la datele de trafic »

Ce decide Curtea Europeană de Justiție în domeniul datelor personale?

06/10/15

Ce decide Curtea Europeană de Justiție în domeniul datelor personale?

Ultima săptămână a însemnat trei decizii majore pe care Curtea Europeană de Justiție (CEJ) le-a dat pentru domeniul protecției datelor cu caracter personal. Unii le-ar putea interpreta ca fiind o lovitură dată industriei, SUA sau instituțiilor publice. Noi le-am considera doar o reîntoarcere la normalul considerării dreptului la viață privată ca un drept fundamental și o răsturnare a deciziilor naționare, europene sau internaționale care desconsideră acest aspect.

Deși la noi a fost comentat mai ales cazul Bara vs. CNAS (pentru ca era un român implicat) trebuie să subliniem că toate cazurile au aceiași importanță practică fiind interpretări oficiale ale dreptului european.

1. Cazul Schrems vs Ireland Data Protection Commissioner - C 362/14 este probabil cazul cu cele mai profunde implicații la nivel internațional - pentru că a declarat invalidă Decizia Comisiei Europene prin care se considera că SUA au un regim adecvat de protecție a datelor personale (cunoscută sub numele de Safe Harbour).

Safe Harbour a fost intotdeauna în lumea specialiștilor (dar inlcusiv în rapoartele Comisiei) ca fiind o glumă proastă. Deși în cazul altor țări s-a făcut o analiză atentă a legislației pentru protecția datelor personale și a aspectelor practice pentru a beneficia de acest nivel de “regim adecvat de protecție", in cazul SUA s-a accepta un fel de auto-certificare, neverificată de nimeni. Adică, zice Facebook că respectă principiile protecției datelor personale? Atunci să-l credem pe cuvânt.

CEJ nu a putut decât să constate că un astfel de sistem, care permitea accesul neîngrădit al autorităților din SUA la datele personale stocate de firme americane și unde drepturile europenilor de acces sau rectificare a datelor erau recunoscute ca fiind de fapt iluzorii, “aduce atingere substanței dreptului fundamental la respectarea vieții private".

Decizia aruncă în aer și deci lipsește de bază juridică orice transfer de date personale dinspre UE către SUA. La cald, unii juriști consideră că soluția ar putea fi niște modele de clauze contractuale, în vreme ce alții punctează că doar o modificare a legislației din SUA ar putea să rezolve problema, de vreme ce contractul nu poate sa contravină legilor americane care permit accesul autoritătilor competente în mod direct la datele respective.

În fine trebuie remarcată frumusețea dreptului în care un tânăr jurist, Max Schrems, inarmat cu argumentele corecte și cu princiipile solide despre drepturile omului, dar și cu nervi și bani ca să-și permită procesul, poate sa câștige în fața uneia dintre cele mai mari firme din lume, a unei decizii a Comisie Europene și a unei Autorități publice ce ar trebui să fie competentă, dar e ineptă (e vorba de Autoritatea pt protecția datelor din Irlanda).

2. Cazul Bara vs CNAS - C 201/2014 precizează faptul că legislația privind protecția datelor cu caracter personal nu poate fi încălcată printr-un simplu protocol între 2 autorități publice (este vorba de CNAS și ANAF în cazul supus judecății).

Ne chinuim de câțiva ani să explicăm instituțiilor publice românești (ultima dată în cazul SIET) că datele personale nu pot fi transferate de la una la alta doar pentru că tehnic este posibil - ci trebuie analizat dacă acest schimb de date personale este necesar într-o societate democratică și care sunt garanțiile acordate pentru evitarea arbitrariului. Lucrurile trebuie analizate așezat și văzute de la caz la caz.

Și în cazul ăsta au apărut titluri pompieristice care consideră că orice transfer de date între autorități ar fi ilegal și că astfel infractorii ar fi protejați. De fapt situația este mult mai complexă și noi nu știm ce baze de date ar fi accesat ANAF și in ce condiții. Cert este insă că legea 677/2001 are suficiente excepții și interpetări care permit transferul de date între terți, dacă se respectă principiile protecției datelor cu caracter personal.

3. Cazul Weltimmo s.r.o. vs Nemzeti C 230/14 confirmă faptul că legea națională de protecție a datelor poate fi aplicață operatorilor care au o activitate - fie ea și minimală - legată de teritoriul respectiv, chiar dacă este o firmă străină.

Aceasta reconfirmare a principiului din cazul Google Spania vine să confirme situațiile în care mari firme (cum ar fi Facebook, Google sau Apple) refuză să aplice legislația națională pentru protecția datelor (și vă trimit în Irlanda, cum a fost cazul Schrems de mai sus), dar în schimb desfășoară o activitate comercială reală în țara respectivă - de la vândut reclame și până la recuperat creanțe.

Vom reveni în zilele următoare pe blogul Privacy.apti.ro cu mai multe detalii legate de primele 2 cazuri.

Trackback address for this post

Trackback URL (right click and copy shortcut/link location)

5 comments

Comment from: abdufunal [Visitor]
*****
abdufunalInterpretare decizie cazul (2) - E corect spus ca ar fi fost suficient ca CNAS si ANAF sa fi informat partile implicate si atunci nu ar fi incalcat legile legat de transferul si prelucrarea datelor personale?
Sau, daca in loc de un protocolul intern ar fi facut o lege, ar fi fost suficient?

Tot legat de (2) - sa spunem ca CNAS si ANAF va pierde. Poate CNAS si ANAF sa repete operatia, dar de aceasta data sa faca informarea necesara iar apoi sa re-transfere datele si sa le re-prelucreze, rezultand desigur apoi acceeasi concluzie, ca avocatii trebuiau sa plateasca la CAS?
06/10/15 @ 22:11
Comment from: bogdan [Member]
bogdan@abdufunal Intrebarea instantei pt CEJ in acest caz s-a rezumat la interpretarea art 10, 12 si 13 din Directiva. Vezi text complet decizie aici

Ca atare nu cred ca trebuie sa ne uitam doar la decizie pentru a intelege ce trebuie facut, ci in primul rand la felul cum s-ar aplica legea 677/2001.

Si atunci pasii pe care ii vad eu necesari sunt cei legati de:
- identificarea scopului prelucrarii initiale si informarea corecta a utilizatorului;
- modul de indeplinire a principiilor prelucrarii datelor in raport cu scopul;
- eventuale modificari legislative necesare.

Deci eu nu stiu scopul declarat al CNAS cand a colectat acele date, astfel incat orice discutie subsecventa e o pura speculatie.

Da, stiu - pare complicat. D-aia e bine sa iti pui lucrurile in ordine de la inceput, nu sa zici - lasa ca dam noi o lege. (care si ea poate fi declarata neconstitutionala).
07/10/15 @ 09:46
Comment from: abdufunal [Visitor]
*****
abdufunalMultumesc pentru raspuns.
07/10/15 @ 19:36
Comment from: offtopic [Visitor]
offtopichai cu un articol despre net neutrality cat e hot subiectul :) multumesc!
29/10/15 @ 16:10
Comment from: Corina [Visitor] Email
CorinaEste corect ce se intampla in Romania anului 2016? De la 1 ianuarie, toate băncile vor raporta la Fisc lista persoanelor fizice sau juridice care îşi deschid sau închid un cont bancar, de orice fel, dar şi dacă cineva închiriază sau renunţă la o cutie de valori, potrivit Codului de Procedură Fiscală care intră în vigoare de la 1 ianuarie 2016.
01/01/16 @ 19:01
Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

XML Feeds

Search

July 2016
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc

Licenta Creative Commons BY-SA 3.0 Romania

Licenţa Creative Commons
Blogul Legi-internet.ro de Bogdan Manolea este licenţiat printr-o Licenţă Creative Commons Atribuire - Distribuire-în-condiţii-identice 3.0 România .

Who's Online?

  • Guest Users: 1
powered by b2evolution free blog software