Dreptul de acces este un drept instituit de Regualmentul General privind Protecția Datelor cu Caracter Personal, prevăzut la art. 15 din acest regulament. În temeiul acestui drept, persoana vizată, însemnând persoana ale cărei date sunt prelucrate, poate obține din partea operatorului de date cu caracter personal o confirmare cu privire la prelucrara datelor sale, precum și accesul la respectivele informații. De asemenea, aceasta trebuie informată cu privire la mai multe aspecte precum: scopurile prelucrării, categoriile de date prelucrate, categoriile de destinatari, modul în care este stabilită perioada de stocare a datelor ș.a..
Recent, Curtea Europeană de Justiție s-a pronunțat în contextul unei cereri privind o întrebare preliminară privitoare la informațiile pe care persoana vizată trebuie să le știe despre destinatarii cărora le-au fost divulgate datele sale cu caracter personal.
Hotărârea din cauza C‑154/21 este relevantă în ceea ce privește interpretarea articolului 15 din GDPR întrucât are ca obiect oferirea de clarificări cu privire la limitele dreptului de acces al persoanei vizate și obligațiile operatorilor, corelative acestui drept.
Cererea de decizie preliminară pentru interpretarea articolului menționat survine în urma aflării pe rolul unei instanțe din Austria a unui proces între o persoană vizată și o societate. În fapt, persoana a solicitat să afle identitatea destinatarilor datelor sale cu caracter personal, iar societatea s-a limitat doar la indicarea categoriilor de date prelucrate și faptul că acestea au fost divulgate partenerilor comerciali în scopuri de marketing, fără a-i numi însă pe aceștia.
În primă instanță, acțiunea persoanei a fost respinsă pe motivul că articolul 15 acordă posibilitatea operatorului de a indica doar categoriile de destinatari, deci societatea nu ar avea obligația de a-i numi în concret. Cu toate acestea, persoana vizată a atacat hotărârea, motiv pentru care s-a ajuns și la adresarea unei întrebări preliminare către CJUE.
De esența problemei este dacă persoana vizată trebuie să fie informată cu privire la destinatarii preciși, în toate cazurile în care acest lucru este posibil, sau dacă operatorul are de făcut o alegere pur discreționară în ceea ce privește informațiile comunicate. Instanța din Austria, aceea care a și înaintat cererea către CJUE, a interpretat în favoarea persoanei vizate, astfel încât acesteia trebuie să îi fie comunicați destinatarii în mod concret, orice practică contrară reprezentând o gravă atingere căilor de atac pe care persoana vizată le are în vederea protejării datelor sale. Totuși, instanța a suspendat judecarea cauzei, adresând Curții următoarea întrebare preliminară:
„Articolul 15 alineatul (1) litera (c) din GDPR trebuie interpretat în sensul că dreptul de acces se limitează la informarea asupra categoriilor de destinatari atunci când destinatarii concreți nu sunt cunoscuți încă, în contextul divulgărilor preconizate, dar că acesta trebuie să se extindă în mod necesar și la informarea privind destinatarii acestor informații atunci când datele au fost deja divulgate?”
Curtea a arătat că, deși formularea din art. 15 nu poate institui o ordine a priorității între destinatari și categoriile de destinatari ai datelor cu caracter personal, considerentul (63) din același Regulament precizează că persoana vizată are dreptul de a cunoaște și de a i se comunica în special destinatarii datelor acesteia și că acest drept nu poate fi limitat doar la categoriile de destinatari, atunci când informații suplimentare și mai detaliate sunt cunoscute. Operatorul are obligația de a depunde toate diligențele pentru a informa cât mai clar, detaliat și complet persoana vizată în aceste situații. Singurele situații în care este permisă o informare mai lacunară sunt următoarele:
- Atunci când este imposibil să se comunice identitatea destinatarilor, mai ales atunci când aceștia nu sunt cunoscuți încă;
- Atunci când cererea persoanei vizate este vădit excesivă sau nefondată, raportat la art. 12 din GDPR.
Este incident de asemenea și principiul trasnparenței, care presupune ca toate informațiile privind prelucrarea datelor cu caracter personal să fie accesibile și ușor de înțeles pentru persoana vizată. De asemenea, Curtea consideră că dreptul de acces este instituit în favoarea persoanei vizate, astfel că nu ar putea exista o limitare de natura necomunicării. În plus, o eventuală necomunicare a destinatarilor exacți poate aduce atingere altor drepturi ale persoanei vizate, drepturi precum dreptul la rectificare, dreptul la ștergerea datelor sau dreptul la restricționarea prelucrării.
În concluzie, persoana vizată trebuie să dispună în special de dreptul de a fi informată cu privire la identitatea destinatarilor concreți în cazul în care s-au divulgat datele cu caracter personal, astfel încât să fie garantat efectul util al tuturor celorlalte drepturi instiuite prin Regulamentul General privind Protecția Datelor.
Ștefania Văcăreanu
