Curtea de Justiție a Uniunii Europene a audiat concluziile părților în cauza în care circa 60 de avocați din Baroul Cluj au reclamant că ANAF le-a transmis datele personale fiscale la CNAS, fără a fi informați despre acest lucru și fără a fi respectate imperativele europene în materia protecției datelor.
Circa 60 de avocați din Baroul Cluj, între care și decanul Mircea Pop, au chemat în judecată în iunie 2013, la Secția de contencios administrativ și fiscal a Curții de Apel Cluj, președintele Casei Naționale de Asigurări de Sănătate, Casa Națională de Asigurări de Sănătate și Agenția Națională de Administrare Fiscală, solicitând, în principal, anularea Protocolului încheiat în octombrie 2007 înre CNAS și ANAF.
În martie 2014, procesul de la Curtea de Apel Cluj a fost suspendat deoarece a fost sesizată Curtea de Justiţie a Uniunii Europene (CJUE) cu următoarele întrebări preliminare, în baza Tratatului pentru Funcționarea Uniunii Europene (TFUE), pe care îl găsiți mai jos:
1.Este autoritatea naţională fiscală, ca reprezentant al ministerului de resort al unui stat membru, instituţie financiară în înţelesul art.124 din TFUE (Tratatul pentru Funcționarea Uniunii Europene – n.red.)?
2.Este posibil ca pe calea unui act asimilat celor administrative respectiv a unui Protocol încheiat între autoritatea naţională fiscală şi o altă instituţie a statului, să se reglementeze transferul bazei de date privind veniturile realizate de cetăţenii unui stat membru de la autoritatea naţională fiscală către o altă instituţie a statului membru fără a ne afla în prezenţa unui acces preferenţial astfel cum este definit în art.124 din TFUE?
3.Transferul bazei de date făcut cu scopul de a stabili în sarcina cetăţenilor statului membru a unor obligaţii de plată cu titlu de contribuţie socială, către instituţia statului membru în beneficiul căreia operează transferul, se circumscrie noţiunii de considerent de ordin prudenţial în înţelesul art.124 din TFUE?
4.Pot fi prelucrate datele personale de către o autoritate căreia nu i-au fost destinate aceste date în condiţiile în care această operaţiune aduce, cu caracter retroactiv, prejudicii patrimoniale?
Cauza de pe rolul CJUE a fost numită ”Bara și alții”, după numele primei avocate din listă care este Smaranda Bara, unul dintre apărătorii lui Horea Uioreanu în procesul de corupție. Alte nume sonore din lista reclamanților sunt Luiza Budușan, Monica Dairatani – avocata lui Gore, Livia Labo – membră în Consiliul Baroului, Flavia Maier, Anatol Pânzaru – penalist cunocut, Voicu Sârb, Mihai Teaha și Kapcza Mikolt – protagonista incidentului cu o judecătoare de anul trecut și cea care a inițiat întrebarea preliminată referitoare la protecția datelor personale.
Avocații Kapcza Mikolt și Cosmin Cotaș au primit mandat de la Baroul Cluj pentru susținerea concluziilor orale. Aceștia au auzit și concluziile expuse de Guvernul României și Comisia Europeană.
Unul dintre cei doi avocați a publicat pe site-ul universuljuridic.ro câteva note de caz, din care redăm în continuare:
În cadrul acțiunii preliminare formulate de Curtea de Apel Cluj, întrebarea preliminară relevantă, cuprinsă în încheierea din 31 martie 2014, este următoarea: Pot fi prelucrate datele personale de către o autoritate căreia nu i‑au fost destinate aceste date în condițiile în care această operațiune aduce, cu caracter retroactiv, prejudicii patrimoniale? Prin urmare, discuția va privi doar această întrebare[6]. Practic, se solicită verificarea compatibilității cu prevederile Directivei 95/46/CE din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date a unei practici administrative naționale, bazate pe un Protocol încheiat la 26 octombrie 2007, care presupunea:
(i) transferul de la Agenția Națională de Administrare Fiscală la Casa Națională de Asigurări de Sănătate a unei baze de date cuprinzând identitatea și datele personale, inclusiv cele privitoare la categoriile de venituri și veniturile efective realizate, ale unor persoane fizice (inclusiv a avocaților‑reclamanți din litigiul principal);
(ii) prelucrarea acestor date de către Casa Națională de Asigurări de Sănătate (o „autoritate căreia nu i‑au fost destinate aceste date”), susceptibilă să aducă prejudicii cu caracter retroactiv persoanelor fizice vizate.
Cadrul juridic relevant și aspectele esențiale puse în discuție de Curtea de Justiție a Uniunii Europene, cu ocazia concluziilor orale
În domeniul de interes pentru afacerea Bara și alții, actul normativ european relevant este Directiva 95/46/CE din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Principalele dispoziții ale directivei care ne interesează sunt cele cuprinse în art. 6, 7, 10, 11 și 13, fiind redactate astfel:
Art. 6. (1) Statele membre stabilesc că datele cu caracter personal trebuie să fie: a) prelucrate în mod corect și legal; b) colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într‑un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanții corespunzătoare; c) adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și prelucrate ulterior; d) exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate sau pentru care vor fi prelucrate ulterior, să fie șterse sau rectificate; e) păstrate într‑o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice. (2) Operatorul are obligația să asigure respectarea alineatului (1).
Art. 7. Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă: a) persoana vizată și‑a dat consimțământul neechivoc sau b) prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului sau c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului sau d) prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau
e) prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele sau f) prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1).
Art. 10. Informațiile în cazurile de colectare a datelor de la persoana vizată. Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:
a) identitatea operatorului și, dacă este cazul, a reprezentantului;
b) scopul prelucrării căreia îi sunt destinate datele;
c) orice alte informații suplimentare, cum ar fi:
– destinatarii sau categoriile de destinatari ai datelor;
– dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;
– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
Art. 11. Informații în cazul în care datele nu au fost obținute de la persoana vizată
(1) Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana vizată este deja informată cu privire la aceste date:
a) identitatea operatorului și, dacă este cazul, a reprezentantului său;
b) scopurile prelucrării;
c) orice alte informații suplimentare, cum ar fi:
– categoriile de date în cauză;
– destinatarii sau categoriile de destinatari ai datelor;
– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal;
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
(2) Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori științifică, informarea persoanei vizate se dovedește a fi imposibilă, implică eforturi disproporționate sau dacă legislația prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanții corespunzătoare.
Art. 13: Excepții și restricții
(1) Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja: a) securitatea statului; b) apărarea;
c) siguranța publică; d) prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate; e) un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal; f) o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e); g) protecția persoanei vizate sau a drepturilor și libertăților altora.
(2) Sub rezerva garanțiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieții private a persoanei vizate, să restrângă printr‑o măsură legislativă drepturile prevăzute la articolul 12 atunci când datele sunt prelucrate exclusiv în scopul cercetării științifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depășește perioada necesară în scopul unic de realizare a statisticilor.
La nivel național, Directiva 95/46/CE a fost transpusă prin Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date[7]. Textele naționale corespondente sunt de principiu art. 4 din Legea nr. 677/2001 (pentru art. 6 din Directivă), art. 5 (art. 7 din Directivă), art. 12 (art. 10 și 11 din Directivă). Singura excepție grefată pe art. 13 din Directivă pare a fi cuprinsă în art. 16 din Legea nr. 677/2001 (exonerarea temporară de la îndeplinirea obligațiilor de informare prevăzute de art. 12 din lege, în cazul anchetelor penale, pe durata desfășurării acestor anchete)[8].
Având în vedere faptul că întrebările preliminare nu au fost extrem de specifice, Curtea de Justiție a Uniunii Europene a solicitat părților să‑și expună concluziile asupra a trei chestiuni esențiale:
(a) întinderea obligațiilor care revin, în temeiul articolelor 10 și 11 din Directiva 95/46/CE, ANAF, în calitate de emitent al datelor transferate, precum și CNAS, în calitate de destinatar al acestor date;
(b) pertinența articolului 13 din Directiva 95/46/CE în scopul interpretării solicitate de instanța de trimitere;
(c) criteriile pe baza cărora protocolul dintre CNAS și ANAF ar putea constitui o „măsură legislativă” în sensul articolului 13 din Directiva 95/46/CE.
Un comentariu
Pingback: C-201/14, Bara şi alţii, pendinte – IADUER.ro