Comunitatea DPOCategorie: ConsimţământulConsimtamant si autoritati publice
d con asked 5 luni ago

Buna ziua, cum trebuie sa procedez pentru a imi retrage acordul de prelucrare a datelor personale pentru toate autoritatile statului, incepand cu IGPR si continuand cu Primariile, Parchetele, Judecatoriile, ANAF. Desi au obligatie legala, trebuie sa ma informeze cu privire la drepturile mele? Inclusiv dreptul de ștergere si dreptul de a restricționa procesarea? Cum trebuie sa procedez? Multumesc anticipat.

3 Answers
Darius Farcas answered 5 luni ago

Bună ziua,

în legătură cu întrebarea dumneavoastră este necesar să fie făcute câteva mențiuni:

  1. Orice solicitare adresată unei autorități publice, se va putea face în scris (spre exemplu pe email, adresată în atenția DPO-ului), în care vă exprimați dorința: ex. dreptul de ștergere. În termen de 1 lună aceștia sunt obligați să dea răspuns solicitării dumneavoastră. Există însă cazuri de autorități publice care pentru a ușura procesul pun la dispoziție formulare tipizate, pe care le puteți completa și din nou adresa DPO-ului. Fiind vorba de instituție publică, au obligația să aibă o astfel de persoană numită.
  2. Cum foarte bine ați menționat, pentru instituții publice, temeiul legal al prelucrării este obligația legală, astfel că răspunsul instituției s-ar putea să fie unul de genul: nu vă putem șterge datele. Și este un răspuns legal, întrucât nu putem face opoziție / cere ștergerea / restricționarea prelucrării pt astfel de cazuri, întrucât acest drept nu subzistă în acest caz!
  3. Cu toate acestea, dreptul de opoziție / ștergere / restricționare subzistă pentru cazurile în care prelucrările depășesc sfera obligației legale – de ex. atunci când este vorba de consimțământ: Ex. v-ați depus candidatura pt un post, ați fost respins/a, a trecut deja o perioadă de 3-6 luni 1 an.. și doriți să știți dacă instituția cu pricina mai păstrează CV-ul. Ei bine pt acest caz, nu este vorba de o obligație legală (sau cel mult pt o perioadă de timp rezonabilă). Dacă s-a depășit acea perioadă și totuși documentele mai există, bineînțeles că vă puteți exercita drepturile sus menționate deoarce scopul inițial a fost atins și nu mai avem un temei legal al prelucrării valid. Există însă multe alte cazuri de prelucrări asemănătoare pentru care puteți solicita acest lucru.
  4. Obligația de informare este o obligație separată pe care instituțiile acestea, astfel pt cazul în care ați constatat că nu sunteți informat (ex. printr-o politică pe website-ul instituției, printr-o notă de informare, etc), puteți depune plângere la ANSPDCP autoritatea de supraveghere – http://www.dataprotection.ro având ca temei – lipsa informării.
  5. Atenție activitatea IPJ, respectiv parchetelor este reglementată de o altă legislație privind protecția datelor care oferă legitimitate. Nu se aplică GDPR-ul ci Directiva 2016/680 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului – lege de transpunere națională – LEGE nr. 363 din 28 decembrie 2018.
  6. Judecătoriilor nu li se aplică de asemenea GDPR-ul pt activitatea judecătorească desfășurată – iar în acest sens există o mulțime de prevederi în GDPR – în considerentele sale și nu numai.
  7. Dacă aveți în vedere instituțiile europene, se aplică – Regulamentul (CE) nr. 45/2001 al Parlamentului European și al ConsiliuluI din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date și nu GDPR-ul.

În concluzie: prin adresă scrisă în atenția DPOului, pt obligație legală nu se pot exercita aceste drepturi dar pt alte cazuri de prelucrări în afara sferei obligației legale se pot, atenție la legea de aplicare, pt că nu este GDPR-ul pt fiecare din ele și pt orice plângere sau sesizare vă puteți adresa ANSPDCP.

d con answered 5 luni ago

Bună ziua,

Va mulțumesc pentru răspuns. Având in vedere ca autoritățile statului nu funcționează in baza unui act de înființare (vezi parchetele care nu au fost înființate in baza unei legi organice si nici Min Justiției nu a înființat parchetele) sau politia română care a fost desființată in baza unui decret in 1947 si nici pana acum nu a fost reînființata prin lege organică, si totodată faptul ca aceste instituții funcționează precum corporații cu număr DUNS alocat, care este un număr fiscal worldwide alocat corporațiilor, considerați ca as avea dreptul sa cer restricționarea si ștergerea datelor cu caracter personal? Vă cer să gandiți puțin outside the box cum se zice. Mulțumesc anticipat.

Darius Farcas answered 5 luni ago

Bună ziua din nou,

nu sunt specialist în drept administrativ sau constituțional pentru a putea cunoaște în detaliu aspectele menționate, însă ceea ce spuneți dumneavoastră este practic că aceste autorități nu funcționează în baza unui act normativ ok. O mențiune însă cred că ar fi potrivită în acest context, și anume că obligația legală de prelucrare a datelor pt aceste instituții (de multe ori aplicabilă și anumitor corporații – ex. legislația muncii) nu vine atât prin autoritatea publică pe care o are și deci nu are o primă sursă a legalității statutul autorității cât este vorba de alte legi, emise de Parlament sau diverse acte normative emise de Guvern etc. care impun să fie realizate anumite prelucrări: Ex. Legea contabilității, Legea arhivelor naționale (care prevăd termene de păstrare a documentelor) etc. Astfel, obligația legală pt haideți să zicem o primărie de a vă prelucra datele într-o anume situație, este datorată Legii X care prevede că acele date trebuie prelucrate.

Pe de altă parte, dumneavoastră aveți dreptul să faceți orice solicitare doriți, însă aceasta nu înseamnă că veți primi și un răspuns pozitiv, iar ce subliniam este posibilele variante de răspuns.

Ca ultim aspect, calea cea mai sigură, însă și de lungă durată și costisitoare spre soluționarea unui astfel de conflict de legi, despre care dumneavoastră menționați, este calea atacării unuia sau altuia dintre actele pe care le contestați, în instanță, dacă sau nu și cum se aplică GDPR-ul în acel caz.. și:

  1. Solicitați în instanță mai departe urmarea procedurii trimiterii preliminare la Curtea de Justiție a Uniunii Europene;
  2. Poate instanța va solicita acest aspect

    Cererea va cuprinde:

    • o expunere pe scurt a faptelor, circumstanțelor și a ce urmăriți
    • conținutul dispozițiilor naționale care ar putea fi aplicate în speță și, dacă este cazul, jurisprudența națională cu privire la acestea
    • motivele care au determinat instanța națională să aibă îndoieli cu privire la interpretarea sau validitatea anumitor dispoziții ale dreptului UE, precum și legătura de cauzalitate dintre aceste dispoziții și dreptul intern aplicabil în cauză; (pt instanță)

Procesul se va suspenda până în momentul soluționării cererii, iar odată cu soluționarea, dacă aceasta vă este favorabilă cu siguranță va fi un caz care va marca legislația și jurisprudența actuală din România.