Curtea de Justiţie a UE: Cetăţenii Uniunii trebuie informaţi despre transmiterea şi prelucrarea datelor personale

Curtea de Justiţie a Uniunii Europene (CJUE) a luat această hotărâre joi, după ce a fost sesizată de Curtea de Apel Cluj, în dosarul Smarandei Bara şi altor cetăţeni români şi al Casei Naţionale de Asigurări de Sănătate.

Instanţa din România a solicitat Curţii de Justiţie să stabilească dacă dreptul Uniunii se opune ca o autoritate a administraţiei publice a unui stat membru să transmită date cu caracter personal unei alte autorităţi a administraţiei publice, în vederea prelucrării lor ulterioare, fără ca persoanele vizate să fi fost informate despre această transmitere şi despre această prelucrare.

Conform unui comunicat al CJUE, Smaranda Bara şi mulţi alţi cetăţeni români desfăşoară activităţi independente, iar administraţia fiscală română a transmis datele privind veniturile lor declarate către Casa Naţionale de Asigurări de Sănătate, care a solicitat în consecinţă plata restanţelor contribuţiilor la sistemul de asigurări de sănătate.

Persoanele vizate au contestat la Curtea de Apel Cluj legalitatea acestui transfer în raport cu prevederile directivei privind prelucrarea datelor cu caracter personal care reglementează prelucrarea acestora în cazul în care sunt conţinute sau urmează să fie conţinute într-un sistem de evidenţă a datelor cu caracter personal. Reclamanţii au considerat că datele lor au fost utilizate în alte scopuri decât cele pentru care au fost comunicate iniţial administraţiei fiscale, fără a fi informaţi în prealabil.

"Dreptul român abilitează entităţile publice să transmită date cu caracter personal caselor de asigurări de sănătate pentru a le permite acestora din urmă să stabilească calitatea de asigurat a persoanelor vizate. Datele respective privesc identificarea persoanelor (nume, prenume, adresă), însă nu cuprind date privind veniturile obţinute", conform sursei citate.

În hotărârea de joi, Curtea consideră că "cerinţa prelucrării corecte a datelor personale obligă o autoritate a administraţiei publice să informeze persoanele vizate despre transmiterea acestor date unei alte autorităţi a administraţiei publice în vederea prelucrării lor de către aceasta din urmă în calitate de destinatar al datelor menţionate. Directiva impune expres ca orice eventuală limitare a obligaţiei de informare să fie adoptată prin măsuri legislative".

Curtea subliniază că legea română care prevede transmiterea gratuită a datelor personale către casele de asigurări de sănătate nu constituie o informare prealabilă care să permită scutirea operatorului de obligaţia de a informa persoanele de la care colectează datele. Astfel, legea în cauză nu defineşte nici informaţiile transmisibile, nici modalităţile de efectuare a transmiterii, acestea figurând numai într-un protocol bilateral încheiat între administraţia fiscală şi casa de asigurări de sănătate.

"În ceea ce priveşte prelucrarea ulterioară a datelor transmise, directiva prevede că operatorul care prelucrează date trebuie să comunice persoanelor vizate informaţii cu privire la propria identitate, la scopul prelucrării, precum şi orice alte informaţii suplimentare necesare pentru a asigura o prelucrare corectă a datelor. Printre aceste informaţii suplimentare figurează categoriile de date în cauză, precum şi existenţa dreptului de acces şi de rectificare", se mai arată în documentul citat.

De asemenea, Curtea a observat că prelucrarea de către Casa Naţională de Asigurări de Sănătate a datelor transmise de administraţia fiscală presupunea informarea persoanelor vizate în legătură cu scopurile acestei prelucrări, precum şi cu categoriile de date vizate. Însă, în cazul de faţă, casa de asigurări de sănătate nu a furnizat aceste informaţii.

"Curtea concluzionează că dreptul Uniunii se opune transmiterii şi prelucrării de date personale între două autorităţi ale administraţiei publice a unui stat membru fără ca persoanele vizate să fi fost informate în prealabil despre această transmitere sau despre această prelucrare", a stabilit CJUE.