Sunt obligati operatorii sa furnizeze la cererea persoanei vizate, copii ale documentelor ce contin datele sale personale?

  • Acasa
  • /
  • Noutati
  • /
  • Sunt obligati operatorii sa furnizeze la cererea persoanei vizate, copii ale documentelor ce contin datele sale personale?

In data de 04.05.2023, Curtea de Justitie a Uniunii Europene (“CJUE”) a publicat decizia preliminara privind interpretarea articolului 15 din Regulamentul (UE) 2016/679 („RGPD”) in cauza CJUE C-487/21.

Cererea a fost formulata intr-un litigiu intre F.F., persoana vizata, pe de o parte, si Autoritatea Austriaca de Protectie a Datelor, („Autoritatea”), pe de alta parte, in legatura cu refuzul Autoritatii de a impune lui CRIF GmbH, operator, obligatia de a-I transmite lui F.F. o copie a documentelor si a extraselor din bazele de date care contin datele sale cu caracter personal ce erau prelucrate.

FF a solicitat CRIF GmbH sa aiba acces la datele cu caracter personal care il privesc si furnizarea unei copii a documentelor, si anume e-mailurile si extrasele din bazele de date, care contin printre altele datele sale, „intr-un format tehnic standard”. CRIF i‑a transmis lui FF, sub forma sintetica, lista datelor sale cu caracter personal care fac obiectul unei prelucrari, insa nu si copiile solicitate.

Intrebarile formulate catre CJUE au vizat in principal interpretarea notiunii de “copie” in sensul RGPD, mai exact daca obligatia prevazuta de art. 15 alin. (3) din RGPD de a furniza o „copie” a datelor cu caracter personal este indeplinita atunci când operatorul transmite datele cu caracter personal sub forma unui tabel sintetic sau implica transmiterea unor extrase din documente sau chiar a unor documente intregi, precum si a unor extrase din baze de date, in care sunt reproduse aceste date.

CJUE a stabilit ca interpretarea art. 15 RGPD privind dreptul de a obtine din partea operatorului o copie a datelor cu caracter personal presupune predarea unei reproduceri, fidela si inteligibila, a tuturor acestor date, prin copia unor extrase din documente sau chiar a unor documente intregi.

Cu toate acestea, limitele in furnizarea copiilor sunt (i) indispensabilitea lor pentru exercitarea de catre persoana vizata a drepturilor stabilite de RGPD si (ii) de a se tine seama de drepturile si de libertatile altora, inclusiv secretul comercial sau proprietatii intelectuale si, in special, drepturilor de autor care asigura protectia programelor software.

Pe langa interpretarea realizata de CJUE de care instantele romane vor fi tinute, consideram ca aceasta decizie are implicatii considerabile de ordin practic pentru operatori, intrucat necesita o evidenta clara a fluxului de date prelucrate dar si a documentelor care contin aceste date, pentru a fi furnizate in eventualitatea unei solicitari si indeplinirii conditiilor stabilite de CJUE.

 

https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:62021CJ0487