Expresia acestui drept (al cărui fundament juridic îl reprezintă art. 13 și 14 din GDPR) comportă o flexibilitate sporită și, prin urmare, poate fi regăsită într-o multitudine de forme. După cum rezultă și din preambulul Regulamentului (paragraful 58), dreptul la informare trebuie analizat și din perspectiva principiului transparenței, conform căruia „orice informații care se adresează publicului sau persoanei vizate [n.n. trebuie] să fie concise, ușor accesibile și ușor de înțeles, și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul”. Același paragraf prevede că „aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site”.
Spre exemplu, Information Commissioner’s Office (ICO), autoritatea de resort din Marea Britanie, subliniază că o variantă eficientă este oferirea de informații persoanelor în legătură cu activitățile de prelucrare a datelor cu caracter personal utilizând o combinație de tehnici diferite, inclusiv prin “stratificare”, panouri privind confidențialitatea sau prin notificări de tip „just in time” (oportune) . De asemenea, ICO recomandă obținerea feedback-ului persoanelor vizate, acesta fiind un instrument extrem de util pentru a identifica gradul de eficiență al livrării informațiilor privind prelucrările de date cu caracter personal.
Astfel, conform Orientărilor privind transparența în temeiul Regulamentului 2016/679 emise de Grupul de lucru în temeiul articolului 29 (denumite în continuare „Orientările privind transparența”) operatorii trebuie să efectueze propria analiză a naturii, împrejurărilor, domeniului de aplicare și contextului prelucrării datelor cu caracter personal pe care o efectuează și să decidă cum să seteze prioritatea informațiilor care trebuie transmise persoanelor vizate și care este gradul de detaliu și metoda adecvată pentru transmiterea informațiilor . Spre exemplu, acolo unde datele cu caracter personal sunt colectate prin intermediul conversațiilor telefonice, cele mai importante informații (scopul prelucrării, identitatea operatorului, existența drepturilor persoanei vizate, precum și informații cu privire la impactul cel mai puternic al prelucrării sau al prelucrării care ar putea surprinde persoana vizată) ar putea fi oferite la primul contact telefonic, iar informațiile exhaustive pot fi furnizate prin mijloace ulterioare, precum prin transmiterea politicii de confidențialitate prin e-mail.
În schimb, în cazul în care datele cu caracter personal sunt colectate prin intermediul unui site web, este recomandat ca informațiile privind activitățile de prelucrare a datelor cu caracter personal să fie furnizate prin nota de informare publicată pe website.
Totuși, regula comportă excepții. Astfel, dacă aplicabilitatea prevederilor alineatelor (1), (2) și (3) ale art. 13 din GDPR, care stabilesc, în esență, obligația de informare în sarcina operatorului și care sunt aplicabile atunci când datele cu caracter personal sunt colectate de la persoana vizată este exceptată doar în măsura în care persoana vizată deține deja informațiile respective, nu aceeași este situația și pentru situațiile în care datele cu caracter personal nu au fost obținute de la persoana vizată. Conform art. 14 din GDPR, care reglementează obligația de informare atunci când datele cu caracter personal nu sunt obținute de la persoana vizată, există mai multe excepții de la obligația de informare a persoanelor vizate, anume:
- Atunci când persoana vizată deține deja informațiile.
- Atunci când furnizarea acestor informații se dovedește imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 89 alineatul (1).
- Atunci când furnizarea de informații este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective (caz în care operatorul are obligația de a lua măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului).
- obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate
- În cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
În continuare, ne-am propus să analizăm aceste excepții. Având în vedere că ipoteza în care persoana vizată deține deja informațiile legate de activitatea de prelucrare a datelor cu caracter personal este suficient de clară, analiza noastră va viza, cu precădere, celelalte excepții prevăzute în art. 14 din GDPR, care trebuie interpretate într-un mod restrictiv.
Furnizarea informațiilor de dovedește imposibilă sau ar implica eforturi disproporționate
Conform Orientărilor privind transparența, în cazul în care un operator dorește să facă uz de această excepție, acesta are obligația de a demonstra existența factorilor care fac imposibilă furnizarea informațiilor către persoanele vizate. În practică, astfel de situații în care un operator poate demonstra că este practic imposibil să furnizeze informațiile privind activitățile de prelucrare persoanelor vizate sunt întâlnite extrem de rar . În ceea ce privește noțiunea de eforturi disproporționate, Orientările privind transparența subliniază faptul că accentul pus pe activitățile de arhivare și pe scopurile statistice și de cercetare este în măsură să indice că operatorii care nu prelucrează date cu caracter personal în aceste scopuri nu ar trebui să se prevaleze în mod uzual de o astfel de excepție . Totuși, factori precum numărul persoanelor vizate, vechimea datelor și garanțiile adecvate implementate pot reprezenta elemente apte să demonstreze caracterul disproporționat pentru a justifica aplicabilitatea acestei excepții. În astfel de situații, operatorul ar trebui să realizeze o analiză detaliată pentru a compara efortul implicat pentru operator de a furniza informațiile persoanei vizate cu impactul și efectele asupra persoanei vizate în cazul în care acesteia nu i-ar fi furnizate informațiile. Evident, această evaluare ar trebui să fie documentată de către operator, în conformitate cu principiul responsabilității (art. 5 alin. (2) din GDPR).
Furnizarea de informații este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective
Teza finală a art. 14 alin. (5) lit. b) reglementează situația în care furnizarea informațiilor de către un operator persoanei vizate este de natură a face imposibilă sau să afecteze în mod grav îndeplinirea obiectivelor prelucrării. Într-o astfel de situație, operatorii trebuie să demonstreze că furnizarea acestor informații ar putea anula obiectivele prelucrării . Orientările privind transparența oferă drept exemplu situația prelucrării datelor cu caracter personal desfășurate de bănci în scopul prevenirii și combaterii spălării banilor, caz în care informarea persoanei vizate ar putea compromite eficacitatea măsurilor de prevenire și combatere a spălării banilor. Totuși, în astfel de situații entitățile bancare ar trebui, spre exemplu, să transmită titularilor de cont informații generale la deschiderea conturilor legate de posibilitatea ca datele lor cu caracter personal să fie prelucrate în astfel de scopuri.
De asemenea, aplicabilitatea unei astfel de excepții poate fi discutată în contextul în care un angajator, pe baza unor indicii temeinice cu privire la o eventuală acțiune a unui angajat care ar putea compromite activitatea societății, decide să monitorizeze activitatea respectivului angajat. Într-o astfel de situație, o eventuală informare prealabilă ar putea compromite eforturile de identificare ale unui posibil furt de secrete comerciale sau a transferului către concurenți a unor informații privind cercetările, invențiile brevetabile sau a unor alte elemente protejate de drepturi de proprietate intelectuală.
Totuși, aceste situații pot avea doar caracter excepțional și trebuie susținute de o documentare temeinică, în conformitate cu principiul responsabilității.
Obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate.
Conform Orientărilor privind transparența, această derogare este condiționată de legea în cauză care prevede „măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate”. Pentru ca excepția să fie aplicabilă, o astfel de lege trebuie să vizeze în mod direct operatorul de date cu caracter personal, iar eventuala obținere sau divulgare a datelor ar trebui să prezinte caracter obligatoriu. Așadar, operatorul ar trebui să fie în măsură să demonstreze modul în care legea în cauză i se aplică și îi impune acestuia să obțină sau să divulge datele cu caracter personal . Exemplul oferit de către Orientările privind transparența este cel al unei autorități fiscale care are obligația de a obține detaliile cu privire la salariile angajaților de la angajatori. Datele cu caracter personal sunt transmise de către angajatori către autoritate, prin urmare aceasta nu obține în mod direct datele cu caracter personal de la persoanele vizate, prin urmare administrația fiscală se poate încadra în excepția prevăzută de articolul 14 din GDPR, caz în care cerințele în materie de informare nu se aplică în acest caz.
Datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
Premisa posibilității aplicării acestei derogări este ca operatorul să fie în măsură să demonstreze că a identificat o astfel de derogare și să arate modul în care obligația de păstrare a secretului profesional vizează direct operatorul, astfel încât acestuia să îi fie interzis să furnizeze informațiile prevăzute de art. 14. Exemplul oferit de Orientările privind transparența pentru o astfel de situație este oferirea de către o persoană a informațiilor privind starea de sănătate și afecțiunile de care suferă membrii familiei sale pentru a putea sprijini efectuarea corectă a actului medical. Într-o astfel de situație, medicul se poate prevala de această excepție și nu va fi obligat să informeze membrii familiei pacientului în legătură cu prelucrarea datelor cu caracter personal ale acestora furnizate de pacient.
Un alt exemplu în care această excepție poate fi aplicată este confidențialitatea avocat-client, în special în cazurile în care serviciile juridice vizează analiza posibilității deschiderii unui litigiu de către client. Într-o astfel de situație, pe lângă obligația de confidențialitate, se poate argumenta că o eventuală informare a persoanei vizate legate de prelucrarea datelor cu caracter personal ar putea compromite drepturile și interesele clientului, caz în care ar putea fi aplicabilă și excepția conform căreia informarea ar putea să afecteze în mod grav realizarea obiectivelor prelucrării.
În concluzie, aceste excepții au rolul de a asigura un just echilibru între dreptul de a fi informat, pe de o parte, și eventualele drepturi și/sau obligații ale operatorilor de date cu caracter personal. Deși aceste excepții au o natură restrictivă, ele totuși demonstrează că dreptul de a fi informat nu are caracter absolut. De asemenea, existența acestor excepții demonstrează, din nou, că GDPR nu este un act normativ care să limiteze sau să rescricționeze în vreun fel activitățile de prelucrare a datelor cu caracter personal, cu condiția desfășurării acestora conform regulilor trasate de acesta, reguli care au ca scop final protejarea drepturilor și libertăților fundamentale ale omului.
1 https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/the-right-to-be-informed/
2 https://ec.europa.eu/newsroom/article29/items/622227
3 Orientările privind transparența, paragraful 34.
4 Orientările privind transparența, paragraful 38,.
5 Ustaran Eduardo (coord.), „European Data Protection: Law and Practice” Ediția a treia, pagina 184.
6 Orientările privind transparența, paragraful 59.
7 Orientările privind transparența, paragraful 61.
8 Orientările privind transparența. Paragraful 64.
9 Orientările privind transparența. Paragraful 65.
10 Orientările privind transparența, paragraful 66.
11 Orientările privind transparența, paragraful 66.