Curtea de Justitie a Uniunii Europene a luat aceasta hotarare joi, dupa ce a fost sesizata de Curtea de Apel Cluj, in dosarul Smarandei Bara si altor cetateni romani si al Casei Nationale de Asigurari de Sanatate.
Instanta din Romania a solicitat Curtii de Justitie sa stabileasca daca dreptul Uniunii se opune ca o autoritate a administratiei publice a unui stat membru sa transmita date cu caracter personal unei alte autoritati a administratiei publice, in vederea prelucrarii lor ulterioare, fara ca persoanele vizate sa fi fost informate despre aceasta transmitere si despre aceasta prelucrare.
Conform unui comunicat al CJUE, Smaranda Bara si multi alti cetateni romani desfasoara activitati independente, iar administratia fiscala romana a transmis datele privind veniturile lor declarate catre Casa Nationale de Asigurari de Sanatate, care a solicitat in consecinta plata restantelor contributiilor la sistemul de asigurari de sanatate.
Persoanele vizate au contestat la Curtea de Apel Cluj legalitatea acestui transfer in raport cu prevederile directivei privind prelucrarea datelor cu caracter personal care reglementeaza prelucrarea acestora in cazul in care sunt continute sau urmeaza sa fie continute intr-un sistem de evidenta a datelor cu caracter personal. Reclamantii au considerat ca datele lor au fost utilizate in alte scopuri decat cele pentru care au fost comunicate initial administratiei fiscale, fara a fi informati in prealabil.
“Dreptul roman abiliteaza entitatile publice sa transmita date cu caracter personal caselor de asigurari de sanatate pentru a le permite acestora din urma sa stabileasca calitatea de asigurat a persoanelor vizate. Datele respective privesc identificarea persoanelor (nume, prenume, adresa), insa nu cuprind date privind veniturile obtinute”, conform sursei citate.
In hotararea de joi, Curtea considera ca “cerinta prelucrarii corecte a datelor personale obliga o autoritate a administratiei publice sa informeze persoanele vizate despre transmiterea acestor date unei alte autoritati a administratiei publice in vederea prelucrarii lor de catre aceasta din urma in calitate de destinatar al datelor mentionate. Directiva impune expres ca orice eventuala limitare a obligatiei de informare sa fie adoptata prin masuri legislative”.
Curtea subliniaza ca legea romana care prevede transmiterea gratuita a datelor personale catre casele de asigurari de sanatate nu constituie o informare prealabila care sa permita scutirea operatorului de obligatia de a informa persoanele de la care colecteaza datele. Astfel, legea in cauza nu defineste nici informatiile transmisibile, nici modalitatile de efectuare a transmiterii, acestea figurand numai intr-un protocol bilateral incheiat intre administratia fiscala si casa de asigurari de sanatate.
“In ceea ce priveste prelucrarea ulterioara a datelor transmise, directiva prevede ca operatorul care prelucreaza date trebuie sa comunice persoanelor vizate informatii cu privire la propria identitate, la scopul prelucrarii, precum si orice alte informatii suplimentare necesare pentru a asigura o prelucrare corecta a datelor. Printre aceste informatii suplimentare figureaza categoriile de date in cauza, precum si existenta dreptului de acces si de rectificare”, se mai arata in documentul citat.
De asemenea, Curtea a observat ca prelucrarea de catre Casa Nationala de Asigurari de Sanatate a datelor transmise de administratia fiscala presupunea informarea persoanelor vizate in legatura cu scopurile acestei prelucrari, precum si cu categoriile de date vizate. Insa, in cazul de fata, casa de asigurari de sanatate nu a furnizat aceste informatii.
“Curtea concluzioneaza ca dreptul Uniunii se opune transmiterii si prelucrarii de date personale intre doua autoritati ale administratiei publice a unui stat membru fara ca persoanele vizate sa fi fost informate in prealabil despre aceasta transmitere sau despre aceasta prelucrare”, a stabilit CJUE. (Mara Ion)