Obligația legală de a prelucra date cu caracter personal sau unde-i lege… trebuie să evaluezi

Potrivit art. 6 alin. 1 lit. c) din GDPR, organizațiile pot prelucra date cu caracter personal dacă respectiva prelucrare este necesară pentru conformarea cu o obligație legală ce revine operatorului. Prin urmare, organizațiile vor putea spune: „Da, prelucrăm date cu caracter personal tocmai fiindcă legea ne obligă”.

Ca întotdeauna însă, în spatele problemelor aparent simple stau o multitudine de nuanțe. În special, organizațiile vor trebui să aibă în vedere următoarele aspecte:

Care este sursa obligației legale?

„Legea” care instituie obligația de prelucrare a datelor cu caracter personal trebuie să fie un act normativ intern sau european.

Actele normative interne pot fi atât legi emise de Parlament, dar și acte normative de forță juridică inferioară, cum ar fi hotărârile și ordonanțele Guvernului. De asemenea, vor putea fi surse ale obligației legale de prelucrare și actele secundare, de tipul regulamentelor, ordinelor, instrucțiunilor, normelor, avizelor sau alte asemenea, dacă acestea instituie în sarcina organizațiilor obligații (conduite obligatorii) privind prelucrarea datelor cu caracter personal.

De notat, actele secundare sus-menționate:

  • Pot fi emise de autoritățile publice centrale (cum ar fi ANSPDCP, ANPC, BNR, ANCOM, CNA etc.) sau locale (hotărâri ale Consiliilor Locale).
  • Sunt în mod tipic acte normative, instituind obligații general aplicabile organizațiilor cărora li se adresează. Prin excepție, sursa obligației legale ar putea fi și un act individual, dacă acesta este emis în aplicarea unui act normativ. De exemplu, avem în vedere ipoteza în care, printr-un act individual (decizie), ANSPDCP dispune unei organizații ștergerea anumitor date; ca tip de prelucrare, ștergerea datelor ar putea fi fundamentată pe obligația legală (în acest caz, sursa obligației fiind însă mixtă, anume: legea-cadru care acordă ANSPDCP prerogativa legală de a dispune măsuri de remediere, împreună cu decizia individuală care instituie obligația propriu-zisă de ștergere a datelor).

Nu vor putea fi calificate drept „surse” ale obligației legale:

  • Actele normative emise în state terțe (din afara UE).
  • Actele oficiale care nu au caracter obligatoriu pentru operator (așa-numiții „falși prieteni”). Nu de puține ori, organizațiile solicită puncte de vedere diverselor autorități (inclusiv ANSPDCP) sau, în anumite situații, chiar primesc diverse recomandări – mai ales în cadrul industriilor reglementate (financiar-bancar, medical, asigurări etc.). Aceste puncte de vedere sau, după caz, recomandări nu trasează „obligații” în sarcina organizațiilor. Prin urmare, în măsura în care respectivele puncte de vedere/ recomandări se referă la prelucrări de date cu caracter personal, organizațiile vor trebui să fie atente pe ce temei fundamentează prelucrarea (în mod tipic, temeiul pentru prelucrare nu va fi obligația legală, ci cel mai probabil interesul legitim sau un alt temei prevăzut la art. 6 din GDPR).
  • Obligațiile contractuale. Organizațiile nu vor putea invoca o obligație contractuală pentru a fundamenta prelucrarea datelor cu caracter personal pentru scopul conformării cu obligaţia legală generală de a executa un contract (conform principiului forței obligatorii a contractului reglementat de Codul Civil).
  • Actele normative de autorizare a deciziilor automatizate (art. 22 din GDPR). Au existat o serie de opinii potrivit cu care unul dintre temeiurile ce justifică utilizarea deciziilor automate este „obligația legală”. Respectivele opinii au la bază o confuzie între „obligațiile legale” și „actele normative de autorizare”. Legea nu poate obliga la utilizarea deciziilor automate, ci cel mult poate autoriza (permite) utilizarea unor asemenea decizii. Problema nu este doar una pur teoretică, întrucât, printre altele, GDPR impune organizațiilor ca informarea adresată persoanelor vizate să indice și temeiul legal al prelucrării. Prin urmare, pentru aceste situații, temeiul de prelucrare adecvat va fi autorizația legală de a utiliza decizia automatizată (art. 22 din GDPR), iar nu obligația legală (art. 6 alin. (1) lit. c) din GDPR).

Obligația legală vs interesul legitim: un „tango” permanent

Pentru a putea constitui temei al prelucrării datelor cu caracter personal conform art. 6 alin. (1) lit. c) din GDPR, obligația legală trebuie să fie suficient de caracterizată (concretă). O normă generică (care impune o conduită abstractă) nu poate constitui temei pentru prelucrarea datelor; eventual, în aceste cazuri temeiul pentru prelucrarea datelor ar putea fi interesul legitim al organizațiilor de a se conforma obligației legale respective – art. 6 alin. (1) lit. f) din GDPR.

Prin urmare, pentru a identifica temeiul de prelucrare adecvat, organizațiile trebuie să „penduleze” permanent între obligația legală (art. 6 alin. (1) lit. c) din GDPR) și interesul legitim de a se conforma respectivelor obligații legale (art. 6 alin. (1) lit. f) din GDPR).

Criteriul de distincție va fi întotdeauna gradul de caracterizare a obligației legale în cauză. Cu cât obligația va fi mai puțin caracterizată, lăsând libertatea organizației de a stabili elementele esențiale ale prelucrării (scop, date, mijloace, persoane vizate, destinatari etc.), cu atât mai probabil va fi ca temeiul de prelucrare să fie interesul legitim, iar nu necesitatea conformării cu obligația legală respectivă.

Desigur, nu va fi neapărat nevoie ca obligaţia legală să descrie în mod detaliat și exhaustiv toate elementele necesare pentru conformarea cu obligația legală în cauză (cumulativ: tipuri de date, operațiuni de prelucrare, categorii de destinatari, persoane vizate etc.). O indicare succintă a anumitor elemente de natură să „contureze” prelucrarea impusă de respectiva normă legală ar fi suficientă (cum ar fi indicarea tipurilor și obiectului prelucrării).

Cu titlu exemplificativ, vor putea constitui temei al prelucrării datelor următoarele obligații legale:

  • Obligațiile standard de cunoaștere a clientelei (KYC) ce trebuie luate de către instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și IFN-uri (art. 8 și 9 din Regulamentul BNR nr. 9/2008).
  • Obligaţia furnizorilor de servicii de comunicații electronice de a colecta și divulga anumite date despre abonați către administratorul Serviciul Național Unic pentru Apeluri de Urgență (SNUAU) (art. 33 din Decizia ANCOM nr. 1023/2008).
  • Obligația emitenților de valori mobiliare de a publica raportări periodice, cu indicarea datelor pe care acestea trebuie să le conțină, precum și a frecvenței raportărilor (art. 223 B1 din Regulamentul ASF nr. 5/2018).
  • Obligația de includere a unor informații obligatorii pe biletele de valoare sau suporturile electronice echivalente emise de către emitenții unor astfel de tichete în beneficiul angajaților (art. 23 și 24 din H.G. nr. 1045/2018).
  • Obligația organizațiilor care derulează campanii sau concursuri promoționale prin tragere la sorți (loterii publicitare) de a publica anumite date – numele câștigătorilor și câștigurile acordate acestora (art. 42 din O.G. nr. 99/2000).
  • Obligația autorităților competente din domeniul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracțiunilor sau al executării pedepselor, măsurilor educative şi de siguranță de a înregistra în cadrul sistemelor de prelucrare automată anumite loguri (art. 30 din Legea nr. 363/2018).

La polul opus, nu vor putea constitui temei al prelucrării în baza unei obligații legale (nefiind suficient de caracterizate):

  • Obligațiile instituțiilor de credit de a avea procese eficace de identificare, administrare, monitorizare și raportare a riscurilor, precum și mecanisme adecvate de control intern (art. 24 alin. 1 din O.U.G. nr. 99/2006).
  • Obligația furnizorilor de servicii de comunicații electronice de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea rețelelor şi serviciilor (art. 46 din O.G. nr. 111/2011).
  • Obligația organizațiilor de a asigura paza bunurilor ori valorilor deținute de respectivele organizații cu orice titlu (art. 2 din Legea nr. 333/2003).
  • Obligația și dreptul angajatorului de a exercita controlul asupra modului de îndeplinire a sarcinilor de serviciu ori de a stabili obiectivele de performanță individuală, precum şi criteriile de evaluare a realizării acestor.

Cui revine obligația legală?

Obligaţia legală trebuie să se aplice în mod direct organizației în cauză (operatorului). Dacă obligaţia legală este stabilită în sarcina altei entităţi (de exemplu, în sarcina unei alte societăți din grup), organizația nu va putea fundamenta prelucrarea datelor pe acest temei, ci eventual pe interesul său legitim.

***

În loc de concluzii…

Organizațiile trebuie să analizeze atent posibilitatea de a se întemeia pe obligația legală pentru a justifica prelucrarea datelor cu caracter personal. În particular, organizațiile vor trebui să se întrebe: 1. Care este sursa obligației legale pe care o am în vedere? 2. Este respectiva obligație legală suficient de caracterizată? 3. Respectiva obligație legală stabilește prelucrări direct în sarcina organizației sau, dimpotrivă, în sarcina unei alte entități cu care organizația are o anumită legătură?

În funcție de răspunsul la aceste întrebări, organizația va putea stabili dacă poate fundamenta prelucrarea datelor pe necesitatea conformării cu obligația legală (art. 6 alin. (1) lit. c) din GDPR) sau, dimpotrivă, pe un alt temei de prelucrare prevăzut de GDPR (eventual pe interesul legitim al organizației sau al unui alt operator).

În orice caz, prelucrările de date cu caracter personal care vor depăși limitele stabilite de obligația legală (exemplu, păstrarea ulterioară a datelor pentru a dovedi conformarea cu obligația legală) vor fi cel mai probabil întemeiate pe interesul legitim al organizației sau al unui terț, iar nu pe respectiva obligație legală.