This document is an excerpt from the EUR-Lex website
Document 62022CJ0231
Hotărârea Curții (Camera a treia) din 11 ianuarie 2024.
État belge împotriva Autorité de protection des données.
Trimitere preliminară – Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor) – Regulamentul (UE) 2016/679 – Articolul 4 punctul 7 – Noțiunea de «operator» – Jurnal oficial al unui stat membru – Obligația de a publica ca atare actele referitoare la societăți, întocmite de acestea sau de reprezentanții lor legali – Articolul 5 alineatul (2) – Prelucrare succesivă, de către mai multe persoane sau entități distincte, a datelor cu caracter personal care figurează în astfel de acte – Stabilirea responsabilităților.
Cauza C-231/22.
Hotărârea Curții (Camera a treia) din 11 ianuarie 2024.
État belge împotriva Autorité de protection des données.
Trimitere preliminară – Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor) – Regulamentul (UE) 2016/679 – Articolul 4 punctul 7 – Noțiunea de «operator» – Jurnal oficial al unui stat membru – Obligația de a publica ca atare actele referitoare la societăți, întocmite de acestea sau de reprezentanții lor legali – Articolul 5 alineatul (2) – Prelucrare succesivă, de către mai multe persoane sau entități distincte, a datelor cu caracter personal care figurează în astfel de acte – Stabilirea responsabilităților.
Cauza C-231/22.
ECLI identifier: ECLI:EU:C:2024:7
Cauza C‑231/22
État belge
împotriva
Autorité de protection des données
[cerere de decizie preliminară formulată de Cour d’appel de Bruxelles (Curtea de apel din Bruxelles, Belgia)]
Hotărârea Curții (Camera a treia) din 11 ianuarie 2024
„Trimitere preliminară – Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor) – Regulamentul (UE) 2016/679 – Articolul 4 punctul 7 – Noțiunea de «operator» – Jurnal oficial al unui stat membru – Obligația de a publica ca atare actele referitoare la societăți, întocmite de acestea sau de reprezentanții lor legali – Articolul 5 alineatul (2) – Prelucrare succesivă, de către mai multe persoane sau entități distincte, a datelor cu caracter personal care figurează în astfel de acte – Stabilirea responsabilităților”
-
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Noțiunea de operator – Jurnal oficial al unui stat membru care asigură publicarea actelor și a documentelor oficiale întocmite de terți și care nu are competența de control asupra conținutului lor – Includere – Condiție – Stabilirea în dreptul național a scopurilor și a mijloacelor prelucrării datelor cu caracter personal ce către acest jurnal oficial – Modalități – Inexistența unei incidențe ca rezultat al lipsei de personalitate juridică
(Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 7)
(a se vedea punctele 28, 30 și 34-39 și dispozitiv 1)
-
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Principii referitoare la prelucrare – Stabilirea responsabililor pentru respectarea acestor principii în cazul prelucrării succesive a acelorași date – Responsabilitatea jurnalului oficial al unui stat membru care asigură publicarea actelor și a documentelor oficiale întocmite de terți și care are calitatea de operator – Întindere – Responsabilitate individuală a jurnalului oficial – Responsabilitate comună cu alte entități – Condiție – Stabilirea scopurilor și a mijloacelor comune diferitelor operațiuni de prelucrare, precum și a obligațiilor ce revin operatorilor asociați în dreptul național – Modalități
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 7, art. 5 alin. (1) și (2) și art. 26 alin. (1)]
(a se vedea punctele 42-45, 49, 50 și 52 și dispozitiv 2)
Rezumat
Sesizată cu titlu preliminar de cour d’appel de Bruxelles (Curtea de Apel din Bruxelles, Belgia), Curtea precizează, pe de o parte, limitele noțiunii de „operator” și, pe de altă parte, limitele obligațiilor unui operator atunci când prelucrările ce privesc aceleași date cu caracter personal sunt efectuate de entități succesive.
La 12 februarie 2019, Moniteur belge, care asigură în Belgia producerea și difuzarea unei game largi de publicații oficiale și publice pe suport de hârtie și pe cale electronică, a publicat un extras dintr‑o decizie a unei societăți privind o reducere a capitalului său. Acest extras, redactat de notarul unui asociat al societății și transmis instanței competente care, la rândul său, l‑a comunicat spre publicare Direcției jurnalului oficial menționat, conținea date cu caracter personal ale acestui asociat.
După ce a constatat că pasajul în care figurau datele sale fusese inclus în extras în urma unei erori săvârșite de notar, persoana în cauză a solicitat eliminarea lui în temeiul dreptului său la ștergerea datelor ( 1 ). Cu toate acestea, cererea i‑a fost respinsă de service public fédéral Justice (Ministerul Federal al Justiției, denumit în continuare „SPF Justice”), căruia îi este subordonată Direcția Moniteur belge. În urma acestei respingeri, persoana în cauză a depus o plângere împotriva SPF Justice la Autorité de protection des données (Belgia) (denumită în continuare „APD”). Prin decizia din 23 martie 2021, APD i‑a impus SPF Justice să dea curs cererii de ștergere cât mai curând posibil. În aceste condiții, État belge a sesizat cour d’appel de Bruxelles (Curtea de Apel din Bruxelles) în vederea anulării deciziei APD.
În acest context, cour d’appel de Bruxelles (Curtea de Apel din Bruxelles) a solicitat Curții să stabilească dacă Moniteur belge poate fi calificat drept „operator” ( 2 ) și dacă trebuie considerat singurul responsabil pentru respectarea principiilor referitoare la prelucrarea datelor ( 3 ) sau dacă această responsabilitate revine în mod cumulativ și entităților care au prelucrat anterior datele care figurează în pasajul în discuție.
Aprecierea Curții
În primul rând, în ceea ce privește problema dacă agenția sau organismul responsabil de jurnalul oficial al unui stat membru, cum este Moniteur belge, poate fi calificat drept „operator” în sensul RGPD, Curtea precizează că, având în vedere definiția largă a acestei noțiuni, stabilirea scopurilor și a mijloacelor prelucrării și, dacă este cazul, desemnarea operatorului prin dreptul intern pot fi nu doar explicite, ci și implicite. În acest din urmă caz, este totuși necesar ca stabilirea scopurilor și a mijloacelor prelucrării să rezulte în mod suficient de cert din rolul, misiunea și atribuțiile conferite agenției sau organismului în cauză.
Curtea constată că, în speță, dreptul belgian a stabilit, cel puțin implicit, scopurile și mijloacele de prelucrare a datelor cu caracter personal efectuată de Moniteur belge. Rezultă că acesta din urmă poate fi considerat „operator”.
Curtea subliniază că această concluzie nu este contrazisă nici de împrejurarea că Moniteur belge nu are personalitate juridică, nici de faptul că, potrivit dreptului intern, acesta nu controlează, înainte de publicare, datele cu caracter personal care figurează în actele și în documentele pe care le primește.
Deși este adevărat că acest organism trebuie să publice documentul în cauză ca atare, el este singurul care își asumă această sarcină și difuzează ulterior actul sau documentul în cauză. Pe de o parte, publicarea unor astfel de acte și documente fără a le putea controla sau modifica conținutul este intrinsec legată de scopurile și mijloacele prelucrării stabilite prin dreptul intern. Astfel, rolul acestui jurnal oficial se limitează la informarea publicului cu privire la existența acestor acte și documente, astfel cum îi sunt transmise, sub formă de copie în conformitate cu dreptul intern aplicabil, astfel încât să devină opozabile terților. Pe de altă parte, ar fi contrar obiectivului articolului 4 punctul 7 din RGPD să se excludă din noțiunea de „operator” jurnalul oficial al unui stat membru pentru motivul că acesta din urmă nu exercită un control asupra datelor cu caracter personal care figurează în publicațiile sale.
În al doilea rând, în ceea ce privește problema dacă un organism precum Moniteur belge trebuie considerat singurul responsabil pentru respectarea principiilor referitoare la prelucrarea datelor cu caracter personal vizate de RGPD ( 4 ), Curtea observă că prelucrarea care i‑a fost încredințată Moniteur belge este în același timp ulterioară prelucrării efectuate de notar și de grefa instanței competente, dar și diferită din punct de vedere tehnic de prelucrarea efectuată de aceste două entități, întrucât s‑a adăugat la aceasta. Astfel, Moniteur belge efectuează operațiunile care îi sunt încredințate în temeiul legislației naționale și presupun printre altele transformarea digitală a datelor din actele sau extrasele unor acte care îi sunt transmise, publicarea lor, punerea lor la dispoziția unui public larg, precum și păstrarea lor. Prin urmare, acesta trebuie considerat responsabil pentru respectarea tuturor obligațiilor care îi sunt impuse de RGPD operatorului.
În plus, Curtea amintește că articolul 4 punctul 7 din RGPD nu prevede doar că scopurile și mijloacele unei prelucrări de date cu caracter personal pot fi stabilite împreună de mai multe persoane în calitate de operatori, ci și că dreptul intern poate stabili el însuși aceste scopuri și mijloace și poate desemna operatorul sau criteriile specifice pentru desemnarea acestuia. Astfel, în cadrul unui șir de prelucrări efectuate de diferite persoane sau entități cu privire la aceleași date cu caracter personal, dreptul intern poate stabili scopurile și mijloacele ansamblului prelucrărilor efectuate în mod succesiv de aceste persoane sau entități diferite astfel încât acestea să fie considerate operatori asociați.
Curtea subliniază că, potrivit RGPD ( 5 ), responsabilitatea comună a mai multor actori dintr‑un șir de prelucrări cu privire la aceleași date cu caracter personal poate fi stabilită prin dreptul intern cu condiția ca diferitele operațiuni de prelucrare să fie unite prin scopuri și mijloace stabilite în temeiul acestui drept și ca dreptul respectiv să definească obligațiile fiecăruia dintre operatorii asociați. O astfel de stabilire a scopurilor și a mijloacelor comune diferitelor prelucrări efectuate de mai mulți actori dintr‑un șir de prelucrări, precum și a obligațiilor ce revin acestora poate fi efectuată nu numai în mod direct, ci și în mod indirect prin dreptul intern, cu condiția ca, în acest din urmă caz, ea să poată fi dedusă în mod suficient de explicit din dispozițiile legale care reglementează persoanele sau entitățile vizate, precum și prelucrarea datelor cu caracter personal pe care acestea o efectuează în șirul de prelucrări impus în temeiul acestui drept.
Astfel, Curtea concluzionează că agenția sau organismul responsabil de jurnalul oficial al unui stat membru, considerat „operator”, este singurul responsabil pentru respectarea principiilor prevăzute de RGPD în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal pe care este obligat să le efectueze în temeiul dreptului intern, cu excepția cazului în care din acest drept decurge o responsabilitate comună cu alte entități cu privire la aceste operațiuni.
( 1 ) Prevăzut la articolul 17 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”)
( 2 ) În sensul articolului 4 punctul 7 din RGPD.
( 3 ) În temeiul articolului 5 alineatul (2) din RGPD.
( 4 ) Principii prevăzute sub forma unor obligații la articolul 5 alineatul (1) din RGPD.
( 5 ) Conform interpretării coroborate a articolului 26 alineatul (1) cu articolul 4 punctul 7 din RGPD.