Sesizată de Curtea de Apel Cluj pentru a vedea dacă trabnsferul datelor cu caracter personal între două autorităţi este sau nu în concordanţă, Curtea de Justiţie a Uniunii Europene (CJUE) a stabilit că „dreptul Uniunii se opune transmiterii și prelucrării de date personale între două autorități ale administrației publice a unui stat membru fără ca persoanele vizate să fi fost informate în prealabil despre această transmitere sau despre această prelucrare”.
„Persoanele ale căror date cu caracter personal fac obiectul transmiterii și prelucrării între două autorități ale administrației publice a unui stat membru trebuie să fie informate în prealabil”, a informat CJUE.
Directiva privind prelucrarea datelor cu caracter personal reglementează prelucrarea datelor cu caracter personal în cazul în care acestea sunt conținute sau urmează să fie conținute într-un sistem de evidență a datelor cu caracter personal.
„Doamna Smaranda Bara și mai mulți alți cetățeni români sunt lucrători care desfăşoară o activitate independentă. Administrația fiscală română a transmis datele privind veniturile lor declarate către Casa Naționale de Asigurări de Sănătate, care a solicitat în consecință plata restanțelor contribuțiilor la sistemul de asigurări de sănătate”, a precizat Curtea.
Asiguraţii au reclamat că datele lor au fost folosute în alt scop decât cel reglementat
Persoanele vizate în acest caz au contestat la Curtea de Apel Cluj legalitatea acestui transfer în raport cu prevederile directivei, considerând că datele lor au fost utilizate în alte scopuri decât cele pentru care fuseseră comunicate inițial administrației fiscale, fără informarea lor prealabilă.
Dreptul român abilitează entitățile publice să transmită date cu caracter personal caselor de asigurări de sănătate pentru a le permite acestora din urmă să stabilească calitatea de asigurat a persoanelor vizate. Datele respective privesc identificarea persoanelor (nume, prenume, adresă), însă nu cuprind date privind veniturile obținute.
În acest context, Curtea de Apel Cluj a solicitat Curții de Justiție să stabilească dacă dreptul Uniunii se opune ca o autoritate a administrației publice a unui stat membru să transmită date cu caracter personal unei alte autorități a administrației publice în vederea prelucrării lor ulterioare, fără ca persoanele vizate să fi fost informate despre această transmitere și despre această prelucrare.
În hotărârea pronunțată joi, Curtea de Justiție consideră că cerința prelucrării corecte a datelor personale obligă o autoritate a administrației publice să informeze persoanele vizate despre transmiterea acestor date unei alte autorități a administrației publice în vederea prelucrării lor de către aceasta din urmă în calitate de destinatar al datelor menționate.
„Directiva impune expres ca orice eventuală limitare a obligației de informare să fie adoptată prin măsuri legislative. Legea română care prevede transmiterea gratuită a datelor personale către casele de asigurări de sănătate nu constituie o informare prealabilă care să permită scutirea operatorului de obligația de a informa persoanele de la care colectează datele. Astfel, această lege nu definește nici informațiile transmisibile, nici modalitățile de efectuare a transmiterii, acestea figurând numai într-un protocol bilateral încheiat între administrația fiscală și casa de asigurări de sănătate.
În ceea ce privește prelucrarea ulterioară a datelor transmise, directiva prevede că operatorul care prelucrează date trebuie să comunice persoanelor vizate informații cu privire la propria identitate, 1 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10). www.curia.europa.eu la scopul prelucrării, precum și orice alte informații suplimentare necesare pentru a asigura o prelucrare corectă a datelor”, a informat CJUE.
Printre aceste informații suplimentare figurează categoriile de date în cauză, precum și existența dreptului de acces și de rectificare.
De asemenea, Curtea a observat că prelucrarea de către Casa Națională de Asigurări de Sănătate a datelor transmise de administrația fiscală presupunea informarea persoanelor vizate în legătură cu scopurile acestei prelucrări, precum și cu categoriile de date vizate. În speță, casa de asigurări de sănătate nu a furnizat aceste informații.
„Curtea concluzionează că dreptul Uniunii se opune transmiterii și prelucrării de date personale între două autorități ale administrației publice a unui stat membru fără ca persoanele vizate să fi fost informate în prealabil despre această transmitere sau despre această prelucrare”, se arată în counicatul CJUE.
Trimiterea preliminară permite instanțelor din statele membre ca, în cadrul unui litigiu cu care sunt sesizate, să adreseze Curții întrebări cu privire la interpretarea dreptului Uniunii sau la validitatea unui act al Uniunii. Curtea nu soluționează litigiul național. Instanța națională are obligația de a soluționa cauza conform deciziei Curții. Această decizie este obligatorie, în egală măsură, pentru celelalte instanțe naționale care sunt sesizate cu o problemă similară.