Documente Academic
Documente Profesional
Documente Cultură
TEMEIUL ARTICOLULUI 29
00264/10/RO
GL 169
Acest Grup de lucru a fost instituit n temeiul articolului 29 din Directiva 95/46/CE. Acesta este un organ consultativ
european independent pentru protecia datelor i a confidenialitii. Atribuiile acestuia sunt descrise la articolul 30 din
Directiva 95/46/CE i articolul 15 din Directiva 2002/58/CE.
Secretariatul este asigurat de Direcia D (Drepturi fundamentale i cetenie) a Comisiei Europene, Direcia General
Justiie, Libertate i Securitate, B-1049 Bruxelles, Belgia, Biroul nr. LX-46 01/190.
Site web: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
CUPRINS
Rezumat ....................................................................................................................................1
I.
Introducere
.....................................................................................................2
II.
II.1.
II.2.
II.3.
III.
Analiza definiiilor
.........................................................................................8
III.1. Definiia operatorului................................................................................................. 8
III.1.a) Element preliminar: stabilete ........................................................................ 8
III.1.b) Al treilea element: scopurile i mijloacele de prelucrare.............................. 12
III.1.c) Primul element: persoana fizic, juridic sau orice alt organism ................. 15
III.1.d) Al doilea element: singur sau mpreun cu altele......................................... 17
III.2. Definiia persoanei mputernicite de ctre operator................................................. 25
III.3. Definiia terului....................................................................................................... 31
IV.
Concluzii ...............................................................................................................32
Rezumat
Conceptul de operator de date i interaciunea acestuia cu conceptul de persoan
mputernicit s prelucreze datele au un rol esenial n aplicarea Directivei 95/46/CE,
deoarece acestea stabilesc cine este responsabil de respectarea normelor de protecie a
datelor, care este legislaia naional aplicabil i ct de eficient pot opera autoritile de
protecie a datelor.
Diferenierea organizaional n sectorul public i n cel privat, dezvoltarea TIC i
globalizarea prelucrrii datelor sporesc complexitatea modului n care datele personale
sunt prelucrate i necesit clarificarea acestor concepte, pentru a asigura aplicarea
eficient i conformitatea lor n practic.
Conceptul de operator este autonom, n sensul c ar trebui interpretat n principal n
conformitate cu legislaia comunitar privind protecia datelor i funcional, n sensul c
urmrete s aloce responsabilitile acolo unde exist o influen efectiv, bazndu-se
astfel pe o analiz a faptelor i nu pe o analiz formal.
Definiia din directiv cuprinde trei elemente eseniale:
- aspectul privind persoana (persoana fizic sau juridic, autoritatea public, agenia
sau orice alt organism);
- posibilitatea unui control multiplu (care, singur sau mpreun cu altele); i
- elementele eseniale care fac deosebirea dintre operator i ali actori (stabilete
scopurile i mijloacele de prelucrare a datelor cu caracter personal).
Analiza acestor piloni conduce la o serie de concluzii, care au fost prezentate pe scurt la
punctul IV al prezentului aviz.
Prezentul aviz analizeaz, de asemenea, conceptul de persoan mputernicit, a crei
existen depinde de decizia pe care o ia operatorul, care poate decide fie s prelucreze
datele n cadrul organizaiei sale, fie s delege toate activitile de prelucrare sau o parte
din acestea unei organizaii externe. Persoana mputernicit de operator trebuie s
ndeplineasc dou condiii de baz: pe de o parte, aceasta trebuie s fie o entitate
juridic distinct n raport cu operatorul i, pe de alt parte, s prelucreze datele personale
n numele acestuia.
Grupul de lucru recunoate dificultile ntmpinate n aplicarea definiiilor din directiv
ntr-un mediu complex, n care pot fi imaginate numeroase scenarii care implic operatori
i persoane mputernicite de acetia, singuri sau mpreun, cu diferite grade de autonomie
i rspundere.
n analiza sa, Grupul de lucru a pus accentul pe necesitatea alocrii responsabilitilor n
aa fel nct conformitatea cu normele de protecie a datelor s fie suficient asigurat n
practic. Totui, nu a gsit niciun motiv s considere c distincia actual dintre operatori
i persoanele mputernicite de acetia nu ar mai fi relevant i aplicabil n acest sens.
n consecin, Grupul de lucru i exprim sperana c explicaiile din prezentul aviz,
ilustrate prin exemple specifice din experiena zilnic a autoritilor de protecie a
datelor, vor contribui la o orientare eficace cu privire la modul de interpretare a acestor
definiii de baz din directiv.
1
Introducere
Mai multe dispoziii ale directivei fac referire explicit la conceptul de operator.
Definiiile operatorului i persoanei mputernicite de ctre operator din articolul 2
literele (d) i (e) din Directiva 95/46/CE (denumit n continuare directiva) au
urmtoarea formulare:
operator nseamn persoana fizic sau juridic, autoritatea public, agenia
sau orice alt organism care, singur sau mpreun cu altele, stabilete scopurile i
mijloacele de prelucrare a datelor cu caracter personal; atunci cnd scopurile i
mijloacele de prelucrare sunt stabilite prin acte cu putere de lege naionale sau
comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
stabilite prin dreptul naional sau comunitar;
persoana mputernicit de ctre operator nseamn persoana fizic sau
juridic, autoritatea public, agenia sau orice alt organism care prelucreaz
datele cu caracter personal pe seama operatorului.
Aceste definiii au fost trasate n timpul negocierilor pentru proiectul de propunere
privind directiva de la nceputul anilor 1990, iar conceptul de operator a fost n esen
preluat din Convenia 108 a Consiliului Europei ncheiat n 1981. n timpul negocierilor,
au avut loc o serie de modificri importante.
n primul rnd, operatorul dosarului din Convenia 108 a fost nlocuit cu termenul de
operator, n legtur cu prelucrarea datelor cu caracter personal. Aceasta este o
noiune larg, definit n articolul 2 litera (b) din directiv ca fiind orice operaiune sau
serie de operaiuni care se efectueaz asupra datelor cu caracter personal, prin mijloace
automate sau neautomate, cum ar fi colectarea, nregistrarea, organizarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvluirea prin
transmitere, diseminare sau n orice alt mod, alturarea ori combinarea, blocarea,
tergerea sau distrugerea. Astfel, conceptul de operator nu a mai fost utilizat n
legtur cu un obiect static (dosarul), ci n legtur cu activiti care reflect ciclul de
via al informaiilor, de la colectarea la distrugerea acestora, aceasta necesitnd o analiz
1
2
3
A se vedea de exemplu Avizul 10/2006 privind prelucrarea datelor cu caracter personal de ctre
Societatea Internaional pentru Telecomunicaii Financiare Interbancare (SWIFT), adoptat la
22 noiembrie 2006 (GL 128) i , mai recent, Avizul 5/2009 privind reelele de socializare online,
adoptat la 12 iunie 2009 (GL 163).
Avizul 4/2007 privind conceptul datelor cu caracter personal, adoptat la 20 iunie 2007 (GL 136).
Aceste exemple se bazeaz pe practica naional sau european actual i este posibil s fi fost
modificate sau adaptate pentru a asigura o mai bun nelegere.
3
Rolul conceptelor
Nu este utilizat n nicio dispoziie de fond, cu excepia articolului 8.a cu privire la dreptul de a fi
informat (principiul transparenei). Operatorul, ca parte responsabil, este vizibil numai n anumite
pri ale expunerii de motive.
A se vedea, de asemenea, considerentul 25 al Directivei 95/46/CE: ntruct principiile proteciei
trebuie s se reflecte, pe de o parte, n obligaiile impuse persoanelor, autoritilor publice,
ntreprinderilor, ageniilor sau altor organisme care prelucreaz date, n special n materie de
calitatea datelor, sigurana tehnic, notificarea autoritii de supraveghere, circumstanele n care
poate fi efectuat prelucrarea i, pe de alt parte, n dreptul conferit persoanelor ale cror date fac
obiectul prelucrrii de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea
solicita corectarea lor i chiar de a se opune prelucrrii n anumite circumstane.
4
Grupul de lucru intenioneaz s adopte un alt aviz privind legislaia aplicabil n cursul anului
2010. Atunci cnd instituiile i organismele comunitare prelucreaz date cu caracter personal,
evaluarea controlului este de asemenea relevant n ceea ce privete posibila aplicare a
Regulamentului (CE) 45/2001 sau a altor instrumente juridice relevante ale UE.
5
Totui, n cazul unei persoane mputernicite de operator, mai exist o consecin att
pentru operator, ct i pentru persoana mputernicit faptul c, n conformitate cu
articolul 17 din directiv, legislaia aplicabil pentru securitatea prelucrrilor este
legislaia naional a statului membru n care este stabilit persoana mputernicit.7
n sfrit, astfel cum se prevede la articolul 2 litera (f), ter nseamn persoana fizic
sau juridic, autoritatea public, agenia sau orice organism altul dect persoana vizat,
operatorul, persoana mputernicit de ctre operator i persoanele care, sub directa
autoritate a operatorului sau a persoanei mputernicite de ctre operator, sunt autorizate
s prelucreze date. Operatorul, persoana mputernicit i personalul acestora sunt n
consecin considerai cercul central al prelucrrii datelor i nu fac obiectul unor
dispoziii speciale cu privire la teri.
II.2.
Contextul relevant
A se vedea articolul 17 alineatul (3), a doua liniu: obligaiile aa cum sunt definite de legislaia
statului membru n care este stabilit persoana mputernicit i revin acesteia.
Cloud computing este un tip de informatic n care capacitile IT extensibile i flexibile sunt
furnizate sub forma unui serviciu, mai multor clieni, care utilizeaz tehnologii de internet. Serviciile
caracteristice de tip cloud computing furnizeaz aplicaii de business obinuite online, care sunt
accesate de pe un browser de internet, n timp ce programul i datele sunt stocate pe servere. n acest
6
n termeni de obiective ale directivei, cel mai important lucru este s se asigure c
responsabilitatea n ceea ce privete prelucrarea datelor este clar stabilit i poate fi
aplicat eficient.
n cazul n care nu este suficient de clar cui trebuie s i fie atribuite cerinele de
exemplu, dac nicio persoan nu este responsabil sau exist mai muli operatori posibili
exist riscul evident s nu fie luate suficiente msuri, n cazul n care sunt luate msuri,
iar dispoziiile juridice s nu produc efecte. De asemenea, este posibil ca ambiguitile
n ceea ce privete interpretarea s duc la revendicri concurente sau la alte controverse,
caz n care efectele pozitive vor fi sub ateptri sau ar putea fi diminuate sau eclipsate de
consecine negative neprevzute.
n toate aceste cazuri, provocarea esenial este astfel s se asigure o claritate suficient,
pentru a permite i a asigura aplicarea eficient i conformitatea n practic. n cazul n
care exist ndoieli, soluia care ar determina cel mai probabil aceste efecte ar putea fi
opiunea preferat.
Totui, aceleai criterii care asigur o transparen suficient ar putea conduce, de
asemenea, la o complexitate i mai mare i la consecine nedorite. De exemplu,
diferenierea controlului, n conformitate cu realitile organizaionale, ar putea determina
o complexitate a legislaiei naionale aplicabile, atunci cnd sunt implicate jurisdicii
diferite.
n consecin, analiza ar trebui s urmreasc atent diferena dintre consecinele
acceptabile n conformitate cu normele actuale i posibila necesitate de ajustare a
normelor actuale, pentru a se asigura eficacitatea continu i pentru a se evita
consecinele necorespunztoare n circumstane diferite.
Aceasta nseamn c analiza actual are o importan strategic major i ar trebui
aplicat cu atenie, contientizndu-se pe deplin posibilele interconexiuni dintre diferitele
aspecte.
sens, norul (cloud) nu este o insul, ci un element global de legtur ntre informaiile i utilizatorii
din ntreaga lume. n ceea ce privete reelele informatice, a se vedea exemplul 19 de mai jos.
Avizul nr. 3/2008 din 1 august 2008 privind proiectul de standard internaional cu privire la protecia
vieii private al Codului mondial antidoping, GL156
7
III.
Analiza definiiilor
Astfel cum s-a menionat deja mai sus, conceptul de operator avea un rol minor n
Convenia 108. n temeiul articolului 2 din Convenie, operatorul dosarului era definit
ca fiind organismul competent s decid. Convenia subliniaz necesitatea unei
competene, stabilite n conformitate cu legislaia naional. Astfel, Convenia fcea
referire la legislaia naional privind protecia datelor care, conform expunerii de motive,
ar cuprinde criterii exacte de stabilire a persoanei competente.
n timp ce prima propunere a Comisiei reflect aceast dispoziie, propunerea modificat
a Comisiei se refer n schimb la organismul care decide, eliminnd astfel necesitatea
stabilirii prin lege a competenei de decizie: aceasta este posibil, dar nu mai este
necesar. Aceasta este apoi confirmat prin poziia comun a Consiliului i prin textul
adoptat, ambele referindu-se la organismul care stabilete.
n acest context, evoluia istoric scoate n eviden dou elemente importante: n primul
rnd, faptul c este posibil ca o persoan s fie operator, indiferent dac are sau nu o
anumit competen sau autoritate de operare a datelor, conferit prin lege; n al doilea
rnd, faptul c n timpul adoptrii Directivei 95/46/CE, stabilirea operatorului devine un
concept comunitar, un concept care are nelesul su propriu, independent, n dreptul
comunitar, care nu variaz n funcie de prevederile, posibil divergente, ale legislaiilor
naionale. Cel de-al doilea element este esenial pentru a asigura aplicarea cu eficacitate a
directivei i un nivel ridicat de protecie n statele membre, ceea ce necesit o interpretare
uniform i autonom a unui concept cheie precum conceptul de operator, care
dobndete n directiv o importan pe care nu o avea n Convenia 108.
n acest sens, directiva ncheie aceast evoluie stabilind faptul c, dei capacitatea de a
stabili ar putea fi reiei dintr-o atribuie specific conferit prin lege, aceasta decurge
de obicei din analiza elementelor sau a circumstanelor faptice ale cazului: ar trebui s
analizm operaiunile de prelucrare n cauz i s nelegem cine le determin,
8
rspunznd ntr-o prim etap la ntrebrile: De ce are loc aceast prelucrare de date?
Cine a iniiat-o?.
Existena unui operator este n primul rnd consecina faptului c o entitate a decis s
prelucreze datele cu caracter personal n propriile scopuri. ntr-adevr, un simplu criteriu
formal nu ar fi suficient, cel puin din dou motive: n unele cazuri, ar lipsi pur i simplu
numirea oficial a unui operator de exemplu, prin lege, ntr-un contract sau ntr-o
notificare trimis autoritii de protecie a datelor; n alte cazuri, este posibil ca numirea
oficial s nu reflecte realitatea, atribuind n mod oficial funcia de operator unui
organism care nu este n msur s stabileasc.
Relevana influenei efective este de asemenea prezentat n cazul SWIFT10, n care
SWIFT a fost considerat oficial ca fiind persoana mputernicit s prelucreze datele,
ns avea de fapt rolul - cel puin ntr-o anumit msur - de operator de date. n acest
caz, s-a clarificat faptul c dei numirea unei pri n calitatea de operator sau persoan
mputernicit n cadrul unui contract ar putea dezvlui informaii relevante cu privire la
statutul juridic al prii respective, aceast numire nu este decisiv pentru stabilirea
statutului real al acesteia, care trebuie s se bazeze pe circumstane concrete.
Aceast abordare faptic este, de asemenea, susinut de considerentul c directiva
prevede ca operatorul s fie cel care stabilete i nu cel care stabilete n mod legal
scopul i mijloacele. Identificarea efectiv a controlului este decisiv, chiar dac numirea
operatorului pare s fie nelegitim sau prelucrarea datelor este exercitat n mod nelegal.
Nu este relevant dac decizia de prelucrare a datelor a fost sau nu legal, n sensul n
care entitatea care a luat aceast decizie avea capacitatea legal de a face acest lucru, sau
operatorul a fost numit n mod oficial conform unei anumite proceduri. Chestiunea
legalitii prelucrrii datelor cu caracter personal va fi totui relevant ntr-o alt etap i
va fi evaluat n temeiul altor articole (n special articolele 6-8) ale directivei. Cu alte
cuvinte, este important s se asigure, chiar i atunci cnd datele sunt prelucrate n mod
nelegal, c operatorul poate fi gsit uor i c acesta va rspunde de prelucrarea datelor.
O ultim caracteristic a conceptului de operator este autonomia acestuia, n sensul c,
dei sursele legale externe pot ajuta la identificarea operatorului, conceptul ar trebui
interpretat n principal n conformitate cu legislaia privind protecia datelor11. Conceptul
de operator nu ar trebui prejudiciat de conceptele din alte domenii legislative, care uneori
sunt opuse sau coincid, precum conceptul de autor sau titular al drepturilor de proprietate
intelectual. Calitatea de titular de drepturi de proprietate intelectual nu exclude
posibilitatea de a fi i operator i de a face obiectul obligaiilor care decurg n
conformitate cu legislaia privind protecia datelor.
Necesitatea unei tipologii
Conceptul de operator este un concept funcional, menit s aloce responsabilitile acolo
unde exist o influen efectiv, fiind astfel bazat pe o analiz faptic i nu pe o analiz
formal. n consecin, stabilirea controlului ar putea necesita uneori investigaii
10
11
Cazul se refer la transferul ctre autoritile SUA a datelor bancare colectate prin SWIFT utilizate
pentru realizarea tranzaciilor financiare n numele bncilor i al instituiilor financiare, n vederea
combaterii finanrii terorismului.
A se vedea n text interferena cu conceptele din alte domenii legislative (de exemplu, conceptul de
titular al drepturilor de proprietate intelectual sau de cercetare tiinific sau responsabilitatea n
temeiul legislaiei civile).
9
12
O APD (autoritate pentru protecia datelor) s-a confruntat cu problema controlului ntr-un caz naintat
de o persoan care reclama faptul c primete reclame nesolicitate prin e-mail. n cererea sa, persoana
vizat a solicitat furnizorului reelei de comunicaii s confirme sau s infirme trimiterea e-mailul
publicitar. APD a afirmat c o societate care asigur doar accesul clientului la o reea de comunicaii,
deci care nu iniiaz transmisia de date, nu selecteaz adresele i nu modific informaiile transmise,
nu poate fi considerat operator de date.
11
n cazul n care exist ndoieli, pentru stabilirea operatorului pot fi folosite i alte
elemente dect condiiile contractuale, cum ar fi gradul efectiv de control exercitat de o
parte, imaginea oferit subiecilor i ateptrile rezonabile ale subiecilor, bazate pe
aceast percepie [a se vedea, de asemenea, mai jos, al treilea element de la litera (b)].
Aceast categorie are o importan deosebit deoarece permite abordarea i alocarea
responsabilitilor i n cazurile de comportament nelegal, n care activitile efective de
prelucrare pot fi realizate chiar mpotriva interesului i inteniei anumitor pri.
Concluzie preliminar
Dintre aceste categorii, primele dou permit n principiu o indicare mai sigur a
organismului de decizie i ar putea acoperi peste 80% din situaiile practice relevante.
Totui, numirea legal oficial ar trebui s fie n conformitate cu normele privind
protecia datelor, asigurnd faptul c organismul desemnat deine efectiv controlul asupra
operaiunilor de prelucrare sau, cu alte cuvinte, c numirea legal reflect situaia real.
Categoria a 3-a necesit o analiz mai complex i este mai probabil s conduc la
interpretri divergente. Condiiile contractuale pot adesea s contribuie la clarificarea
problemei, ns nu sunt decisive n toate circumstanele. Tot mai muli actori nu se
consider factori determinani pentru activitile de prelucrare i, astfel, responsabili
pentru acestea. Singura opiune posibil n aceste cazuri este s se ia n considerare
influena efectiv. Aspectul legalitii acestei prelucrri va fi continua s fie evaluat n
temeiul altor articole (6-8).
Dac nu este aplicabil niciuna dintre categoriile susmenionate, desemnarea unui
operator ar trebui s fie considerat nul i neavenit. ntr-adevr, un organism care nu
are influen nici de drept, nici de fapt n stabilirea modului de prelucrare a datelor cu
caracter personal nu poate fi considerat ca avnd calitatea de operator.
Din punct de vedere formal, un considerent care vine n sprijinul acestei abordri este
faptul c definiia operatorului de date ar trebui considerat o dispoziie legal
obligatorie, de la care prile nu se pot pur i simplu deroga sau abate. Dintr-o
perspectiv strategic, o astfel de numire s-ar opune aplicrii eficiente a legislaiei
privind protecia datelor i ar anula rspunderea aferent prelucrrii datelor.
III.1.b)
12
n dicionare, scopul este definit ca fiind un rezultat anticipat care este urmrit sau
spre care se ndreapt aciunile dumneavoastr planificate, iar mijloacele sunt definite
ca fiind modalitatea prin care se obine un rezultat sau prin care se atinge un scop.
Pe de alt parte, directiva stabilete c datele trebuie colectate n scopuri precise,
explicite i legitime i nu trebuie prelucrate ntr-un mod care s contravin acestor
scopuri. n consecin, stabilirea scopurilor prelucrrii i a mijloacelor utilizate
pentru atingerea lor este extrem de important.
Se poate spune, de asemenea, c stabilirea scopurilor i a mijloacelor este echivalent cu
stabilirea motivului i a metodei anumitor activiti de prelucrare. n acest sens i lund
n considerare c cele dou elemente sunt legate, trebuie stabilit cnd se poate califica o
entitate n funcia de operator, i anume ce grad de influen trebuie aceasta s aib
asupra motivului i a metodei de lucru.
n ceea ce privete evaluarea stabilirii scopurilor i a mijloacelor n vederea atribuirii
rolului de operator de date, chestiunea esenial este aadar nivelul de detaliere la care o
persoan ar trebui s stabileasc scopurile i mijloacele pentru a fi considerat operator.
De asemenea, n corelaie cu cele de mai sus, evaluarea trebuie s aib n vedere marja de
manevr pe care o poate avea persoana mputernicit s prelucreze datele n conformitate
cu directiva. Aceste definiii devin deosebit de relevante atunci cnd n prelucrarea
datelor sunt implicate diverse pri i cnd trebuie stabilit care dintre acestea au rolul de
operator de date (singur sau mpreun cu altele) i care au rolul de persoane mputernicite
s prelucreze datele - dac este cazul.
Importana care se acord scopurilor i mijloacelor poate varia n funcie de contextul
specific n care are loc prelucrarea.
Este nevoie de o abordare pragmatic, care s pun accentul pe libertatea de decizie, n
ceea ce privete stabilirea scopurilor i pe libertatea de aciune, n ceea ce privete luarea
deciziilor. n aceste cazuri, ntrebarea este de ce sunt prelucrate datele i care este rolul
posibilelor pri implicate, precum furnizorii de servicii externalizate: ar fi fost datele
prelucrate de ntreprinderea ctre care au fost externalizate serviciile dac operatorul nu
i-ar fi cerut acest lucru i n ce condiii? O persoan mputernicit s prelucreze datele ar
putea aciona dincolo de ndrumrile generale n ceea ce privete scopurile i ar putea s
nu intre prea mult n amnunte n ceea ce privete mijloacele.
Exemplul nr. 2: Marketingul prin pot
ntreprinderea ABC ncheie contracte cu diferite organizaii n vederea realizrii
campaniilor sale de marketing prin pot i a ntocmirii statelor de plat. Aceasta ofer
instruciuni clare (ce material de marketing trebuie trimis i cui trebuie trimis, cine
trebuie pltit, ce sume, pn la ce dat etc.). Dei organizaiile au o anumit libertate de
decizie (inclusiv referitor la programul pe care s-l utilizeze), ndatoririle lor sunt
destul de clar i de bine stabilite i, chiar dac serviciul potal ar putea da orientri (de
exemplu, o recomandare mpotriva trimiterii de mesaje publicitare n luna august),
acestea acioneaz conform instruciunilor ntreprinderii ABC. Mai mult, o singur
entitate, ntreprinderea ABC, are dreptul s utilizeze datele prelucrate toate celelalte
entiti trebuie s se bazeze pe temeiul juridic al ntreprinderii ABC n cazul n care
este investigat capacitatea lor legal de a prelucra datele. n acest caz, este evident c
ntreprinderea ABC are rolul de operator de date, iar fiecare dintre organizaiile
separate poate fi considerat persoan mputernicit pentru prelucrarea datelor, cu
privire la prelucrarea specific a datelor pe care o realizeaz n numele su.
13
14
15
14
15
Un raionament similar se aplic cu privire la Regulamentul (CE) 45/2001, care n articolul 2 litera (d)
se refer la instituia sau organul comunitar, direcia general, unitatea sau orice alt entitate
organizaional. Practica de supraveghere a artat c funcionarii instituiilor i organismelor UE,
care au fost desemnai ca operatori, acioneaz n numele organismului pentru care lucreaz.
A se vedea Studiul comparativ al situaiei din cele 27 de state membre privind legea aplicabil
obligaiilor necontractuale rezultate din nclcarea vieii private i a drepturilor personalitii,
redactat de Comisie, n februarie 2009, disponibil la
http://ec.europa.eu/justice_home/doc_centre/civil/studies/doc/study_privacy_en.pdf
Aceasta nu exclude posibilitatea ca legislaiile naionale s prevad rspunderea penal sau
administrativ nu numai pentru operator, ci i pentru orice persoan care ncalc legislaia privind
protecia datelor.
16
A se vedea, de exemplu Directiva 2008/99/CE din 19 noiembrie 2008 privind protecia mediului prin
dreptul penal, Decizia-cadru a Consiliului din 13 iunie 2002 privind combaterea terorismului.
Instrumentele juridice sunt fie bazate pe articolul 29 articolul 31 litera (e) i articolul 34 alineatul (2)
litera (b) din TUE, fie corespund temeiurilor juridice pentru instrumentele utilizate n primul pilon,
rezultnd din jurisprudena CEJ n cauzele C-176/03, COM/Consiliu, Rec. 2005, p. I-7879 i
C-440/05, COM/Consiliu, Clg. 2007, p. I-9097. A se vedea, de asemenea, comunicarea COM (2005)
583 final.
17
interacioneaz mai multe pri. ntr-adevr, exist tot mai multe cazuri n care diferite
pri acioneaz n calitate de operatori, iar definiia pe care o prevede directiva ia n
considerare acest lucru.
Posibilitatea ca operatorul s acioneze singur sau mpreun cu altele nu a fost
menionat n Convenia 108 i a fost de fapt introdus de Parlamentul European numai
nainte de adoptarea directivei. n avizul Comisiei cu privire la amendamentul PE,
Comisia face referire la posibilitatea ca pentru o singur operaiune de prelucrare, mai
multe pri s poat stabili mpreun scopul i mijloacele de prelucrare i ca, n acest
caz, s se considere c fiecare dintre operatorii asociai este supus obligaiilor impuse
prin directiv, n vederea protejrii persoanelor fizice la care se refer datele
prelucrate.
Avizul Comisiei nu a reflectat pe deplin complexitatea real a prelucrrii datelor, ntruct
s-a concentrat numai pe cazul n care toi operatorii stabilesc i sunt responsabili n egal
msur pentru o singur operaiune de prelucrare. n realitate, ns, acesta este numai
unul dintre posibilele cazuri de control pluralist. n acest sens, mpreun trebuie
interpretat ca nsemnnd alturi de sau nu singur, n diferite forme i combinaii.
n primul rnd, ar trebui remarcat faptul c probabilitatea implicrii mai multor pri n
prelucrarea datelor cu caracter personal este legat n mod firesc de diferitele tipuri de
activiti care, conform directivei, pot constitui prelucrarea i care, n ultim instan,
reprezint obiectul controlului comun. Definiia prelucrrii, conform articolului 2 litera
(b) din directiv nu exclude posibilitatea implicrii mai multor pri n diferite operaiuni
sau serii de operaiuni privind datele cu caracter personal. Aceste operaiuni pot avea loc
simultan sau n diferite etape.
ntr-un mediu att de complex, este i mai important ca rolurile i responsabilitile s
poat fi alocate cu uurin, astfel nct complexitatea controlului comun s nu determine
o distribuie inaplicabil a responsabilitilor, care ar limita eficacitatea legislaiei privind
protecia datelor. Din pcate, din cauza diversitii cazurilor posibile, este imposibil s se
realizeze o list sau o clasificare exhaustiv nchis a diferitelor tipuri de control
comun. Totui, este util ca n acest context s se ofere orientri, prin prezentarea unor
categorii i exemple de control comun i a unor elemente de fapt care pot indica existena
unui control comun.
n general, evaluarea controlului comun ar trebui s reflecte evaluarea controlului
exclusiv prezentat mai sus, la punctul III.1.a - c. n acelai sens, pentru evaluarea
controlului comun ar trebui s se adopte un mod de abordare concret i funcional, aa
cum se arat mai sus, care s analizeze dac scopurile i mijloacele sunt sau nu stabilite
de mai multe pri.
Exemplul nr. 5: Instalarea unor camere de supraveghere video
Proprietarul unui imobil ncheie un contract cu o societate de securitate, solicitndu-i
instalarea unor camere video n diverse pri ale imobilului, n numele operatorului.
Scopul supravegherii video i modul n care imaginile sunt colectate i stocate sunt
stabilite exclusiv de proprietarul imobilului, care trebuie astfel considerat operatorul
exclusiv pentru aceast operaiune de prelucrare.
18
19
20
Dup analizarea acelor cazuri n care diferiii subieci stabilesc mpreun doar o parte din
scopuri i mijloace, un caz foarte precis i care nu ridic probleme este cel n care mai
muli subieci stabilesc n comun i au aceleai scopuri i mijloace de prelucrare, avnd
astfel un control comun deplin.
n ultimul caz, este uor de stabilit cine este competent i n msur s asigure drepturile
persoanelor vizate i s se supun obligaiilor privind protecia datelor. Totui, sarcina de
a stabili care operator este competent - i rspunztor pentru ce drepturi i obligaii ale
persoanelor vizate este mult mai complex atunci cnd diferiii operatori asociai
mprtesc scopurile i mijloacele de prelucrare n mod asimetric.
Necesitatea de a clarifica distribuia controlului
n primul rnd, ar trebui s se precizeze c, n special n cazurile n care exist un control
comun, incapacitatea de ndeplinire direct a tuturor obligaiilor aferente operatorului
(asigurarea informaiilor, dreptul de acces etc.) nu exclude statutul de operator. Practic,
acele obligaii ar putea fi cu uurin ndeplinite de alte pri, care sunt uneori mai
apropiate de persoana vizat, n numele operatorului. Totui, operatorul este cel care va
rspunde n cele din urm de ndeplinirea obligaiilor i care va fi rspunztor n cazul
nclcrii acestora.
Conform unui text anterior prezentat de Comisie n timpul procesului de adoptare a
directivei, accesul la anumite date cu caracter personal ar determina calificarea de
operator (asociat) n legtur cu aceste date. Totui, textul final nu a pstrat aceast
formulare, iar experiena arat c, pe de o parte, accesul la date nu determin controlul, n
timp ce, pe de alt parte, accesul la date nu este o condiie esenial pentru funcia de
operator. n consecin, n sistemele complexe, n care sunt implicate mai multe pri,
accesul la datele personale i alte drepturi privind persoanele vizate pot fi asigurate la
diferite niveluri de ctre diveri actori.
Consecinele juridice sunt legate i de rspunderea operatorilor, punndu-se n special
problema dac acel controlul comun prevzut n directiv atrage ntotdeauna
rspunderea n solidar. Articolul 26 cu privire la rspundere utilizeaz termenul de
operator la singular, ceea ce indic un rspuns pozitiv. Totui, aa cum s-a menionat
deja, n realitate pot exista diferite moduri de a aciona mpreun. Aceasta ar putea
determina n anumite cazuri rspunderea n solidar, ns nu n mod necesar: de multe ori,
diferiii operatori pot fi responsabili - i astfel rspunztori pentru prelucrarea datelor
personale n diferite etape i n grade diferite.
17
Pentru mai multe detalii i exemple, a se vedea Avizul 5/2009 privind socializarea n reea online, al
Grupului de lucru instituit n temeiul articolului 29, adoptat la 12 iunie 2009 (GL 163)
22
24
Din aceeai perspectiv, diferena dintre puterea contractual a unui mic operator de date
n raport cu marii furnizori de servicii nu ar trebui s justifice acceptarea de ctre
operator a unor clauze i condiii contractuale neconforme cu legislaia privind protecia
datelor.
Exemplul nr. 18: Platforme de e-mail
John Smith caut o platform de e-mail pentru el i pentru cei cinci angajai ai
ntreprinderii sale. Acesta descoper c o platform adecvat, uor de utilizat - i de
altfel singura gratuit - pstreaz datele personale un timp foarte ndelungat i le
transfer n ri tere fr s fie adoptate msuri de siguran adecvate. n plus,
condiiile contractuale nu sunt negociabile.
n acest caz, dl Smith ar trebui fie s caute un alt furnizor, fie n cazul unei presupuse
nerespectri a normelor privind protecia datelor sau a absenei altor furnizori adecvai
pe pia s sesizeze autoritile competente, precum autoritile de protecie a datelor,
autoritile antitrust etc., cu privire la aceast problem.
Faptul c directiva impune existena un contract scris pentru a asigura securitatea
prelucrrii nu nseamn c nu pot exista relaii ntre operatorii/persoanele mputernicite n
lipsa unor contracte prealabile. n acest sens, contractul nu este nici esenial, nici decisiv,
chiar dac ar putea ajuta la o nelegere mai bun a relaiilor dintre pri19. Prin urmare,
chiar i n acest caz, se adopt o abordare funcional, care analizeaz elementele efective
ale relaiilor dintre diferiii subieci i felul n care sunt stabilite scopurile i mijloacele de
prelucrare. n cazul n care pare s existe o relaie ntre operator i persoana
mputernicit, aceste pri sunt obligate s ncheie un contract n conformitate cu legea (a
se vedea articolul 17 din directiv).
Existena mai multor persoane mputernicite
Exist din ce mai multe cazuri n care operatorul externalizeaz prelucrarea datelor
personale mai multor persoane mputernicite. Aceste persoane pot avea o relaie direct
cu operatorul de date sau pot fi subcontractani, crora persoanele mputernicite le-au
delegat o parte din activitile de prelucrare care le-au fost ncredinate.
Odat cu dezvoltarea unor noi tehnologii, exist tot mai multe structuri complexe (care se
desfoar pe mai multe niveluri sau sunt larg rspndite) de prelucrare a datelor
personale, iar unele legislaii naionale fac referire explicit la acestea. Directiva nu
prevede ca, din motive organizaionale, s nu poat fi desemnate mai multe entiti n
calitate de persoane mputernicite sau de subcontractani, prin subdivizarea sarcinilor
relevante. Totui, n cadrul prelucrrii datelor, toate aceste persoane trebuie s respecte
instruciunile operatorului de date.
19
Totui n anumite cazuri, existena unui contract scris poate constitui o condiie necesar pentru
calificarea automat a unei persoane mputernicite n anumite situaii. n Spania, de exemplu, raportul
privind centrele de apel stabilete c toate centrele de apel din rile tere au rolul de persoane
mputernicite, cu condiia s respecte contractul. Acest lucru este valabil chiar dac persoana
mputernicit ntocmete contractul, iar operatorul doar l accept.
27
28
29
30
n acest context, se poate concluziona c un ter care primete date cu caracter personal
n mod legal sau ilegal ar fi n principiu un nou operator, cu condiia s fie respectate
celelalte condiii pentru calificarea ca operator i legislaia privind protecia datelor.
Exemplul nr. 26: Accesul neautorizat al unui angajat
Un angajat al unei societi ajunge s cunoasc, n ndeplinirea sarcinilor sale, date
personale pe care nu are dreptul s le acceseze. n acest caz, acest angajat ar trebui
considerat ter n raport cu angajatorul su, cu toate consecinele i responsabilitile
aferente n termeni de legalitate a comunicrii i prelucrrii datelor.
IV.
Concluzii
Aspectul personal al definiiei se refer la o serie larg de persoane care pot juca rolul
de operator. Totui, din punctul de vedere strategic al alocrii responsabilitilor, ar
trebui, de preferin, s se considere c societatea sau organismul respectiv deine
funcia de operator i nu o anumit persoan din cadrul societii sau organismului.
Societatea sau organismul va rspunde n ultim instan pentru prelucrarea datelor i
pentru respectarea obligaiilor care decurg din legislaia privind protecia datelor,
exceptnd cazul n care exist elemente clare care indic responsabilitatea unei
persoane fizice, de exemplu atunci cnd o persoan fizic care lucreaz n cadrul unei
societi sau al unui organism public utilizeaz datele n scopuri personale, n afara
activitilor societii.
Posibilitatea unui control pluralist are n vedere numrul tot mai mare de situaii n
care diferitele pri implicate acioneaz ca operatori. Evaluarea acestui control
comun ar trebui s reflecte evaluarea controlului exclusiv, adoptnd o abordare
concret i funcional i urmrind s determine dac scopurile i elementele
eseniale ale mijloacelor sunt stabilite de mai multe pri.
Participarea prilor la stabilirea scopurilor i a mijloacelor de prelucrare n contextul
controlului comun poate lua diferite forme i nu trebuie s fie mprit egal. n acest
aviz exist numeroase exemple diferite, n care controlul comun este exercitat n
proporii diferite. Gradul diferit de exercitare a controlului poate determina diferite
grade de responsabilitate i de rspundere, iar rspunderea solidar nu poate fi
asumat n toate cazurile. Mai mult, este foarte posibil ca n sistemele complexe n
care sunt implicate mai multe pri, accesul la datele personale i exercitarea
drepturilor altor persoane vizate s poat fi asigurate la diferite niveluri, de ctre
diverse pri.
34