EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62007CJ0553

Hotărârea Curții (camera a treia) din data de 7 mai 2009.
College van burgemeester en wethouders van Rotterdam împotriva M. E. E. Rijkeboer.
Cerere având ca obiect pronunțarea unei hotărâri preliminare: Raad van State - Țările de Jos.
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal - Directiva 95/46/CE - Protecția vieții private - Ștergerea datelor - Drept de acces la date și la informații referitoare la destinatarii datelor - Termen de exercitare a dreptului de acces.
Cauza C-553/07.

European Court Reports 2009 I-03889

ECLI identifier: ECLI:EU:C:2009:293

HOTĂRÂREA CURȚII (Camera a treia)

7 mai 2009 ( *1 )

„Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal — Directiva 95/46/CE — Protecția vieții private — Ștergerea datelor — Drept de acces la date și la informații referitoare la destinatarii datelor — Termen de exercitare a dreptului de acces”

În cauza C-553/07,

având ca obiect o cerere de pronunțare a unei hotărâri preliminare formulată în temeiul articolului 234 CE de Raad van State (Țările de Jos), prin decizia din 5 decembrie 2007, primită de Curte la 12 decembrie 2007, în procedura

College van burgemeester en wethouders van Rotterdam

împotriva

M. E. E. Rijkeboer,

CURTEA (Camera a treia),

compusă din domnul A. Rosas, președinte de cameră, domnii A. Ó Caoimh, J. Klučka, U. Lõhmus și doamna P. Lindh (raportor), judecători,

avocat general: domnul D. Ruiz-Jarabo Colomer,

grefier: doamna M. Ferreira, administrator principal,

având în vedere procedura scrisă și în urma ședinței din 20 noiembrie 2008,

luând în considerare observațiile prezentate:

pentru College van burgemeester en wethouders van Rotterdam, de R. de Bree, advocaat;

pentru domnul E. E. Rijkeboer, de domnul W. van Bentem, juridisch adviseur;

pentru guvernul olandez, de doamnele C. M. Wissels și C. ten Dam, în calitate de agenți;

pentru guvernul ceh, de domnul M. Smolek, în calitate de agent;

pentru guvernul elen, de doamnele E.-M. Mamouna și V. Karra, în calitate de agenți;

pentru guvernul spaniol, de domnul M. Muñoz Pérez, în calitate de agent;

pentru guvernul Regatului Unit, de doamnele Z. Bryanston-Cross și H. Walker, în calitate de agenți, asistate de domnul J. Stratford, barrister;

pentru Comisia Comunităților Europene, de domnii R. Troosters și C. Docksey, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 22 decembrie 2008,

pronunță prezenta

Hotărâre

1

Cererea de pronunțare a unei hotărâri preliminare privește interpretarea articolului 12 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10, denumită în continuare „directiva”).

2

Această cerere a fost formulată în cadrul unui litigiu între domnul Rijkeboer, pe de o parte, și College van burgemeester en wethouders van Rotterdam (denumit în continuare „Colegiul”), pe de altă parte, referitor la refuzul parțial al acestuia din urmă de a-i acorda domnului Rijkeboer accesul la informațiile referitoare la comunicarea datelor sale personale făcută unor terțe persoane în cursul celor doi ani anteriori cererii de informare formulate de acesta.

Cadrul juridic

Reglementarea comunitară

3

Considerentele (2) și (10) ale directivei, referitoare la drepturile și libertățile fundamentale, arată:

„(2)

întrucât sistemele de prelucrare a datelor sunt în serviciul omului; întrucât, acestea trebuie, indiferent de naționalitatea sau reședința persoanelor fizice, să le respecte drepturile și libertățile fundamentale, în special dreptul la viață privată, și să contribuie la progresul economic și social, la dezvoltarea comerțului și la bunăstarea persoanelor;

[…]

(10)

întrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, cât și în principiile generale ale dreptului comunitar […]”

4

Potrivit considerentului (25) al directivei, principiile protecției persoanelor trebuie să se reflecte, pe de o parte, în obligațiile impuse persoanelor care prelucrează date, aceste obligații privind, printre altele, calitatea datelor, și, pe de altă parte, în dreptul conferit persoanelor ale căror date fac obiectul prelucrării de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea solicita corectarea lor și chiar de a se opune prelucrării acestora în anumite circumstanțe.

5

Considerentul (40) al directivei, care se referă la obligația de informare a persoanei vizate atunci când datele nu au fost colectate de la aceasta, prevede că această obligație nu este prevăzută dacă această informare se dovedește imposibilă sau implică eforturi disproporționate și că, în această privință, se pot lua în considerare numărul persoanelor vizate, vechimea datelor, precum și măsurile compensatorii care pot fi adoptate.

6

Potrivit considerentului (41) al directivei, orice persoană trebuie să poată beneficia de dreptul de acces la datele cu caracter personal care fac obiectul prelucrării, pentru a se asigura în special de exactitatea datelor și de legalitatea prelucrării acestora.

7

Articolul 1, intitulat „Obiectul directivei”, este redactat în următorii termeni:

„(1)   Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei [fizice] și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(2)   Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).”

8

Noțiunea „date cu caracter personal” este definită la articolul 2 litera (a) din directivă ca fiind orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată).

9

La articolul 2 litera (b) din directivă se arată ce se înțelege prin „prelucrarea datelor cu caracter personal”:

„orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea”.

10

Potrivit articolului 2 litera (d) din directivă, „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

11

Articolul 2 litera (g) definește „destinatarul” ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele, indiferent dacă este sau nu este „terț”, astfel cum acesta este definit la articolul 2 litera (f) din directivă.

12

Articolul 6 din directivă cuprinde principiile referitoare la calitatea datelor. În ceea ce privește stocarea datelor, articolul 6 alineatul (1) litera (e) prevede că statele membre stabilesc că datele cu caracter personal trebuie să fie „păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice”.

13

Articolele 10 și 11 din directivă stabilesc informațiile pe care operatorul sau reprezentantul său trebuie să le furnizeze persoanei vizate în cazul colectării datelor de la aceasta sau, respectiv, în cazul în care datele nu au fost obținute de la persoana vizată.

14

Articolul 12 din directivă, intitulat „Dreptul de acces”, este redactat după cum urmează:

„Statele membre garantează oricărei persoane vizate dreptul de a obține de la operator:

(a)

fără constrângere, la intervale rezonabile și fără întârzieri sau cheltuieli excesive:

confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum și informații referitoare la scopul prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;

comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor;

informații cu privire la principiile de funcționare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puțin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1);

(b)

după caz, rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile prezentei directive, în special datorită caracterului incomplet sau inexact a datelor;

(c)

notificarea terților cărora le-au fost comunicate datele cu privire la orice rectificare, ștergere sau blocare efectuată în conformitate cu litera (b), dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat.”

15

Articolul 13 alineatul (1) din directivă, intitulat „Excepții și restricții”, autorizează statele membre să deroge, printre altele, de la articolele 6 și 12 din aceasta dacă derogarea constituie o măsură necesară pentru a proteja anumite interese publice, printre care securitatea statului, apărarea, investigarea infracțiunilor, precum și a altor interese, precum protecția persoanei vizate sau a drepturilor și libertăților altora.

16

La articolul 14, directiva prevede că statele membre acordă persoanei vizate, în anumite condiții, dreptul să se opună prelucrării anumitor date care o privesc.

17

Potrivit articolului 17 alineatul (1) al doilea paragraf din directivă, statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice care, având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare, trebuie să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat.

18

Potrivit articolului 22 și articolului 23 alineatul (1) din directivă, statele membre prevăd că orice persoană are dreptul la o cale de atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză și că orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acțiuni incompatibile cu dispozițiile de drept intern adoptate în temeiul directivei are dreptul să obțină reparații de la operator pentru prejudiciul suferit.

Reglementarea națională

19

Directiva a fost transpusă în dreptul olandez printr-un text general, Legea privind protecția datelor cu caracter personal (Wet bescherming persoonsgegevens). Pe de altă parte, au fost adaptate legi speciale pentru a se ține seama de dispozițiile directivei. Aceasta este situația legii în discuție în acțiunea principală, și anume Legea privind datele personale deținute de administrațiile comunale (Wet gemeentelijke basisadministratie persoonsgegevens, Stb. 1994, nr. 494, denumită în continuare „Wet GBA”).

20

Articolul 103 alineatul (1) din Wet GBA prevede că colegiul de primari și consilieri locali comunică în scris persoanei interesate într-un termen de patru săptămâni, la cererea acesteia, datele care o privesc și care provin de la administrația comunală care au fost comunicate unui solicitant sau unui terț în cursul anului anterior cererii.

21

În conformitate cu articolul 110 din Wet GBA, colegiul de primari și consilieri locali păstrează mențiunea acestei comunicări în cursul anului care urmează comunicării datelor, cu excepția cazului în care această comunicare rezultă într-un alt mod din baza de date.

22

Din observațiile scrise depuse de Colegiu rezultă că datele păstrate de comună se referă în special la nume, la data de naștere, la numărul administrativ, la numărul social-fiscal, la comuna de înregistrare, la adresă și la data de înregistrare în comună, la starea civilă, la curatelă, la autoritatea exercitată în privința minorilor, la cetățenie și la dreptul de sejur al străinilor.

Acțiunea principală și întrebarea preliminară

23

Printr-o scrisoare din 26 octombrie 2005, domnul Rijkeboer a solicitat Colegiului să îl informeze cu privire la toate cazurile în care au fost comunicate unor terți, în cursul celor doi ani anteriori cererii sale, informații care îl priveau și care proveneau de la administrația comunală. Acesta dorea să cunoască identitatea acestor persoane și conținutul informațiilor care le fuseseră transmise. Domnul Rijkeboer, care se mutase într-o altă comună, dorea să știe în special cui îi fusese comunicată vechea sa adresă.

24

Prin deciziile din 27 octombrie și din 29 noiembrie 2005, Colegiul nu a admis decât în parte această cerere, comunicându-i domnului Rijkeboer doar informațiile referitoare la perioada de un an anterioară cererii sale, în temeiul articolului 103 alineatul (1) din Wet GBA.

25

Comunicările de date sunt înregistrate potrivit „Logisch Ontwerp GBA”. Acesta este un sistem automatizat, creat de Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (Ministerul de Interne și al Relațiilor în cadrul Regatului Țărilor de Jos). Din cererea de pronunțare a unei hotărâri preliminare rezultă că datele solicitate de domnul Rijkeboer, anterioare anului care precedă cererea sa, au fost șterse în mod automat, fapt care ar fi conform dispozițiilor articolului 110 din Wet GBA.

26

Domnul Rijkeboer a depus o reclamație la Colegiu împotriva refuzului de a i se comunica informațiile referitoare la destinatarii cărora le-au fost comunicate date care îl privesc în perioada anterioară anului care precedă cererea sa. Întrucât această reclamație a fost respinsă prin decizia din 13 februarie 2006, domnul Rijkeboer a introdus o acțiune la Rechtbank Rotterdam.

27

Această instanță a admis acțiunea, considerând că limitarea dreptului de a fi informat cu privire la datele comunicate unor destinatari la anul care precedă cererea, astfel cum prevede articolul 103 alineatul (1) din Wet GBA, nu este compatibilă cu articolul 12 din directivă. Aceasta a considerat de asemenea că nu sunt aplicabile excepțiile prevăzute la articolul 13 din această directivă.

28

Colegiul a formulat apel împotriva acestei hotărâri la Raad van State. Această instanță constată că articolul 12 din directivă referitor la dreptul de acces la date nu stabilește niciun termen în care acest drept trebuie să poată fi exercitat. În opinia acesteia, articolul 12 nu interzice totuși în mod obligatoriu legiuitorului național să limiteze în timp dreptul persoanei vizate de a fi informată cu privire la destinatarii cărora le-au fost comunicate datele sale cu caracter personal, însă are îndoieli în această privință.

29

În aceste condiții, Raad van State a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:

„Este compatibilă cu articolul 12 […] litera (a) din directivă, interpretat sau nu în coroborare cu articolul 6 alineatul (1) litera (e) din această directivă și cu principiul proporționalității, limitarea, prevăzută prin lege, a comunicării datelor la anul care precedă cererea în cauză?”

Cu privire la întrebarea preliminară

30

Cu titlu introductiv, trebuie amintit că, în cadrul sistemului de cooperare judiciară stabilit de articolul 234 CE, interpretarea dispozițiilor dreptului comunitar este de competența Curții. Cât privește dispozițiile naționale, interpretarea acestora este de competența instanțelor naționale (a se vedea Hotărârea din 14 februarie 2008, Gysen, C-449/06, Rep., p. I-553, punctul 17).

31

Prin urmare, întrebarea adresată de instanța de trimitere trebuie înțeleasă în sensul că vizează, în esență, să se stabilească dacă, potrivit directivei, în special potrivit articolului 12 litera (a) din aceasta, dreptul de acces al unei persoane la informații referitoare la destinatarii sau la categoriile de destinatari ai datelor cu caracter personal care o privesc, precum și la conținutul datelor comunicate poate fi limitat la perioada de un an care precedă cererea de acces a acesteia.

32

Această instanță scoate în evidență două dispoziții ale directivei, și anume articolul 6 alineatul (1) litera (e), referitor la stocarea datelor cu caracter personal, și articolul 12 litera (a), privind dreptul de acces la aceste date. În schimb, nici această instanță, nici vreuna dintre părțile care au prezentat Curții observații scrise nu invocă excepțiile prevăzute la articolul 13 din directivă.

33

Articolul 6 din directivă se referă la calitatea datelor. Prin alineatul (1) litera (e) din acest articol, statele membre sunt obligate să prevadă ca datele cu caracter personal să nu fie păstrate pentru o perioadă mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior datele cu caracter personal. Prin urmare, datele trebuie să fie șterse atunci când aceste scopuri au fost atinse.

34

Articolul 12 litera (a) din directivă prevede că statele membre conferă persoanei vizate dreptul de acces la datele sale cu caracter personal, precum și la informațiile cu privire la destinatarii și categoriile de destinatari ai acestor date, fără indicarea unui termen limită.

35

În consecință, aceste două articole urmăresc să protejeze persoana vizată. Instanța de trimitere solicită să se stabilească dacă există o legătură între aceste două articole în sensul dacă dreptul de acces la informațiile referitoare la destinatarii sau categoriile de destinatari ai datelor cu caracter personal, precum și la conținutul datelor transmise ar putea să depindă de perioada de stocare a acestor date.

36

Observațiile depuse la Curte prezintă puncte de vedere diferite cu privire la interacțiunea dintre aceste două dispoziții.

37

Colegiul, precum și guvernele olandez, ceh, spaniol și al Regatului Unit susțin că dreptul de acces la informațiile cu privire la destinatarii sau categoriile de destinatari vizate la articolul 12 litera (a) din directivă nu există decât pentru prezent, iar nu și pentru trecut. Din moment ce datele au fost șterse, potrivit reglementării naționale, persoana vizată nu mai poate să aibă acces la acestea. Această consecință nu ar fi contrară directivei.

38

De asemenea, Colegiul și guvernul olandez subliniază că articolul 103 alineatul (1) din Wet GBA, potrivit căruia comuna informează persoana, la cererea acesteia, cu privire la datele comunicate unor destinatari în cursul anului care precedă cererea acesteia, depășește exigențele impuse prin directivă.

39

Comisia și guvernul grec susțin, la rândul lor, că directiva prevede un drept de acces nu numai pentru prezent, ci și pentru perioada anterioară cererii de acces. Punctele de vedere ale acestora sunt totuși diferite în privința duratei precise a acestui drept de acces.

40

Pentru aprecierea întinderii dreptului de acces care este garantat de directivă, trebuie mai întâi să se determine datele la care se raportează dreptul de acces și să se facă referire apoi la scopul articolului 12 litera (a) din directivă, examinat în lumina obiectivelor acesteia din urmă.

41

Într-un caz precum cel al domnului Rijkeboer, intră în joc două categorii de date.

42

Prima categorie privește datele cu caracter privat deținute de comună cu privire la o persoană, cum ar fi numele și adresa acesteia, care formează, în speță, date de bază. Din observațiile orale prezentate de Colegiu și de guvernul olandez rezultă că aceste date pot fi păstrate pentru o perioadă lungă. Acestea constituie „date cu caracter personal” în sensul articolului 2 litera (a) din directivă, întrucât este vorba despre informații referitoare la o persoană fizică identificată sau identificabilă (a se vedea în acest sens Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții, C-465/00, C-138/01 și C-139/01, Rec., p. I-4989, punctul 64, Hotărârea din 6 noiembrie 2003, Lindqvist, C-101/01, Rec., p. I-12971, punctul 24, precum și Hotărârea din 16 decembrie 2008, Huber, C-524/06, Rep., p. I-9705, punctul 43).

43

A doua categorie are legătură cu informațiile referitoare la destinatarii sau categoriile de destinatari cărora le-au fost comunicate aceste date, precum și la conținutul acestora din urmă și se referă, prin urmare, la prelucrarea datelor de bază. Potrivit legislației naționale în discuție în acțiunea principală, aceste informații nu sunt păstrate decât timp de un an.

44

Limitarea în timp a dreptului de acces la informațiile referitoare la destinatarul sau la destinatarii datelor cu caracter personal, precum și la conținutul datelor transmise, care sunt vizate în acțiunea principală, privește, așadar, această a doua categorie de date.

45

Pentru a stabili dacă articolul 12 litera (a) din directivă autorizează sau nu autorizează o astfel de limitare în timp, acest articol trebuie să fie interpretat din perspectiva scopului său examinat în lumina obiectivelor directivei.

46

Potrivit articolului 1 din directivă, obiectul acesteia este de a proteja drepturile și libertățile fundamentale ale persoanei și în special dreptul la viața privată în ceea ce privește prelucrarea datelor cu caracter personal și de a permite astfel libera circulație a acestor date între statele membre.

47

Importanța protecției vieții private este pusă în evidență de considerentele (2) și (10) ale directivei și subliniată în jurisprudența Curții (a se vedea în acest sens Hotărârile citate anterior Österreichischer Rundfunk și alții, punctul 70, Lindqvist, punctele 97 și 99, precum și Hotărârea din 29 ianuarie 2008, Promusicae, C-275/06, Rep., p. I-271, punctul 63, și Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia, C-73/07, Rep., p. I-9831, punctul 52).

48

Pe de altă parte, astfel cum rezultă din considerentul (25) al directivei, principiile acestei protecții trebuie să se reflecte, pe de o parte, în obligațiile impuse persoanelor care prelucrează date, aceste obligații privind, printre altele, calitatea datelor – obiectul articolului 6 din directivă – și, pe de altă parte, în dreptul conferit persoanelor ale căror date fac obiectul prelucrării de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea solicita corectarea lor și chiar de a se opune prelucrării acestora în anumite circumstanțe.

49

Acest drept la respectarea vieții private presupune ca persoana vizată să poată să se asigure că datele sale cu caracter personal sunt prelucrate în mod exact și legal, cu alte cuvinte, în special, că datele de bază care o privesc sunt exacte și sunt adresate unor destinatari autorizați. Astfel cum se prevede în considerentul (41) al directivei, pentru a putea efectua verificările necesare, persoana vizată trebuie să dispună de un drept de acces la datele cu caracter personal care fac obiectul prelucrării.

50

În această privință, articolul 12 litera (a) din directivă prevede un drept de acces la datele de bază, precum și la informațiile referitoare la destinatarii sau categoriile de destinatari cărora le sunt comunicate aceste date.

51

Acest drept de acces este necesar pentru a-i permite persoanei vizate să exercite drepturile prevăzute la articolul 12 literele (b) și (c) din directivă, și anume, în cazul în care prelucrarea datelor sale nu ar respecta dispozițiile acestei directive, dreptul de a obține de la operator rectificarea, ștergerea sau blocarea datelor sale [litera (b)] sau dreptul de a obține de la operator notificarea terților cărora datele le-au fost comunicate cu privire la această rectificare, ștergere sau blocare, dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat [litera (c)].

52

Acest drept de acces este de asemenea necesar pentru a-i permite persoanei vizate să exercite dreptul de opoziție la prelucrarea datelor sale cu caracter personal prevăzut la articolul 14 din directivă sau dreptul la o cale de atac în cazul în care suferă un prejudiciu, prevăzut la articolele 22 și 23 din aceasta.

53

În ceea ce privește dreptul de acces la informațiile referitoare la destinatarii sau la categoriile de destinatari ai datelor de bază, precum și la conținutul datelor comunicate, directiva nu precizează dacă acest drept se referă la trecut și nici, dacă este cazul, perioada vizată din trecut.

54

În această privință, trebuie să se constate că, pentru asigurarea efectului util al dispozițiilor prevăzute la punctele 51 și 52 din prezenta hotărâre, acest drept trebuie să se refere în mod obligatoriu la trecut. Într-adevăr, în caz contrar, persoana interesată nu ar fi în măsură să își exercite în mod eficient dreptul său de a obține rectificarea, ștergerea sau blocarea datelor prezumate nelegale sau incorecte și nici de a introduce o acțiune în justiție și de a obține repararea prejudiciului suferit.

55

Problema care se ridică este aceea de a stabili care este întinderea acestui drept în trecut.

56

Curtea s-a pronunțat deja în sensul că dispozițiile unei directive sunt relativ generale, având în vedere că aceasta trebuie să se aplice unui număr mare de situații foarte diverse și că directiva conține norme caracterizate printr-o anumită suplețe, lăsând în numeroase cazuri statelor membre sarcina stabilirii detaliilor sau alegerii opțiunilor (a se vedea Hotărârea Lindqvist, citată anterior, punctul 83). Astfel, Curtea a recunoscut că statele membre dispun în numeroase privințe de o marjă de manevră pentru transpunerea unei directive (a se vedea Hotărârea Lindqvist, citată anterior, punctul 84). Această marjă de manevră, care se verifică în privința transpunerii articolului 12 litera (a) din directivă, nu este totuși nelimitată.

57

Stabilirea unui termen referitor la dreptul de acces la informațiile referitoare la destinatarii sau categoriile de destinatari și la conținutul datelor comunicate trebuie să permită persoanei vizate să își exercite diferitele drepturi prevăzute de directivă și amintite la punctele 51 și 52 din prezenta hotărâre.

58

Perioada de stocare a datelor de bază poate constitui un parametru util, fără a fi totuși determinant.

59

Într-adevăr, astfel cum Curtea a recunoscut deja (a se vedea Hotărârile citate anterior Österreichischer Rundfunk și alții, punctul 43, precum și Lindqvist, punctul 88), domeniul de aplicare al directivei este foarte larg, iar datele cu caracter personal vizate de directivă sunt variate. Perioada de stocare a acestora din urmă, definită potrivit articolului 6 alineatul (1) litera (e) din directivă în funcție de scopurile pentru care sunt colectate sau ulterior prelucrate, poate să fie, așadar, diferită. În cazul în care perioada de stocare a datelor de bază este foarte lungă, interesul persoanei vizate de a exercita căile de intervenție sau de atac menționate la punctul 57 din prezenta hotărâre poate, în anumite cazuri, să scadă. De exemplu, dacă destinatarii unor asemenea date sunt numeroși sau frecvența comunicărilor către un număr mai mic de destinatari este ridicată, obligația de stocare pentru o perioadă așa de mare atât a informațiilor referitoare la destinatarii sau categoriile de destinatari, cât și a celor referitoare la conținutul datelor comunicate ar putea reprezenta o sarcină excesivă pentru operator.

60

Or, directiva nu obligă statele membre să impună asemenea sarcini operatorului.

61

Astfel, articolul 12 litera (c) din directivă prevede în mod expres o excepție de la obligația operatorului de notificare a terților cărora datele le-au fost comunicate cu privire la rectificarea, ștergerea sau blocarea datelor, și anume atunci când această notificare se dovedește imposibilă sau presupune un efort disproporționat.

62

Potrivit altor pasaje din directivă, se poate ține seama de caracterul disproporționat pe care anumite măsuri ar putea să îl presupună. În ceea ce privește obligația de informare a persoanei vizate, considerentul (40) al directivei prevede că se pot lua în considerare numărul persoanelor vizate și vechimea datelor. Pe de altă parte, potrivit articolului 17 din directivă, referitor la securitatea prelucrărilor, statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice destinate să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat, având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare.

63

Considerații analoage sunt pertinente și în ceea ce privește stabilirea unui termen referitor la dreptul de acces la informațiile referitoare la destinatarii sau categoriile de destinatari, precum și la conținutul datelor comunicate. Pe lângă considerațiile amintite la punctul 57 din prezenta hotărâre, mai mulți parametri pot astfel să fie luați în considerare de statele membre, în special dispozițiile de drept național aplicabile în materia termenelor de introducere a unei acțiuni, natura mai mult sau mai puțin sensibilă a datelor de bază, perioada de stocare a acestor date și numărul destinatarilor vizați.

64

Prin urmare, statele membre au sarcina de a stabili un termen de stocare a informațiilor referitoare la destinatarii sau categoriile de destinatari și la conținutul datelor comunicate și de a prevedea un acces la aceste informații care să constituie un echilibru just între, pe de o parte, interesul persoanei vizate de a proteja viața sa privată, în special prin intermediul drepturilor de rectificare, ștergere și blocare a acestor date, în cazul în care prelucrarea acestora nu respectă dispozițiile directivei, precum și al drepturilor de opoziție și de introducere a unei acțiuni în justiție, și, pe de altă parte, sarcina pe care obligația de stocare a acestor informații o reprezintă pentru operator.

65

Pe de altă parte, cu ocazia stabilirii acestui termen, trebuie să se țină seama și de obligațiile, care rezultă de la articolul 6 litera (e) din directivă, de a se prevedea că datele cu caracter personal trebuie să fie păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior.

66

În speță, o reglementare care limitează stocarea informațiilor referitoare la destinatarii sau la categoriile de destinatari ai datelor și la conținutul datelor transmise la o perioadă de un an și care limitează în mod corelativ accesul la aceste informații, în timp ce datele de bază sunt stocate mult mai mult timp, nu constituie un just echilibru între interesele și obligațiile în cauză, cu excepția situației în care se demonstrează că o stocare mai îndelungată a acestor informații ar constitui o sarcină excesivă pentru operator. Totuși, instanța națională are sarcina de a efectua verificările necesare în această privință în lumina considerațiilor menționate la punctele precedente.

67

Având în vedere considerațiile care precedă, argumentul anumitor state membre potrivit căruia aplicarea articolelor 10 și 11 din directivă ar face superfluă acordarea pentru trecut a unui drept de acces la informațiile referitoare la destinatarii sau categoriile de destinatari vizate la articolul 12 litera (a) din directivă nu poate fi reținut.

68

Astfel, trebuie să se constate că articolele 10 și 11 impun obligații operatorului sau reprezentantului său de a informa persoana vizată, în anumite împrejurări, în special cu privire la destinatarii sau la categoriile de destinatari ai datelor. Operatorul sau reprezentantul său trebuie să comunice ei înșiși aceste informații persoanei vizate, în special în momentul colectării datelor sau, în cazul în care datele nu sunt colectate direct de la această persoană, în momentul înregistrării datelor sau, eventual, în momentul comunicării acestor date către un terț.

69

Astfel, aceste dispoziții urmăresc să impună obligații distincte de cele care rezultă de la articolul 12 litera (a) din directivă. În consecință, acestea nu diminuează cu nimic obligația impusă statelor membre de a prevedea că operatorul este obligat să acorde acces persoanei vizate la informațiile referitoare la destinatari sau categoriile de destinatari, precum și la datele comunicate în cazul în care această persoană decide să își exercite dreptul de acces care îi este conferit în temeiul articolului 12 litera (a). Statele membre trebuie să adopte măsuri care să transpună, pe de o parte, dispozițiile articolelor 10 și 11 din directivă referitoare la obligația de informare, iar pe de altă parte, pe acelea ale articolului 12 litera (a) din directivă, fără ca primele să poată atenua obligațiile care decurg din acestea din urmă.

70

Prin urmare, trebuie să se răspundă la întrebarea adresată după cum urmează:

Articolul 12 litera (a) din directivă impune statelor membre obligația de a stabili un drept de acces la informațiile referitoare la destinatarii sau categoriile de destinatari ai datelor, precum și la conținutul informațiilor comunicate nu numai pentru prezent, ci și pentru trecut. Statele membre au sarcina de a stabili un termen de stocare a acestor informații, precum și un acces corelativ la acestea care să constituie un echilibru just între, pe de o parte, interesul persoanei vizate în privința protecției vieții sale private, în special prin intermediul căilor de intervenție și de atac prevăzute de directivă, și, pe de altă parte, sarcina pe care obligația de stocare a acestor informații o reprezintă pentru operator.

O reglementare care limitează stocarea informațiilor referitoare la destinatarii sau categoriile de destinatari ai datelor și la conținutul datelor transmise la o perioadă de un an și care limitează în mod corelativ accesul la aceste informații, în timp ce datele de bază sunt stocate mult mai mult timp, nu poate constitui un just echilibru între interesele și obligațiile în cauză, cu excepția situației în care se demonstrează că o stocare mai îndelungată a acestor informații ar constitui o sarcină excesivă pentru operator. Instanța națională are sarcina de a efectua verificările necesare în acest sens.

Cu privire la cheltuielile de judecată

71

Întrucât, în privința părților din acțiunea principală, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

 

Pentru aceste motive, Curtea (Camera a treia) declară:

 

Articolul 12 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date impune statelor membre obligația de a stabili un drept de acces la informațiile referitoare la destinatarii sau categoriile de destinatari ai datelor, precum și la conținutul informațiilor comunicate nu numai pentru prezent, ci și pentru trecut. Statele membre au sarcina de a stabili un termen de stocare a acestor informații, precum și un acces corelativ la acestea care să constituie un echilibru just între, pe de o parte, interesul persoanei vizate în privința protecției vieții sale private, în special prin intermediul căilor de intervenție și de atac prevăzute de Directiva 95/46, și, pe de altă parte, sarcina pe care obligația de stocare a acestor informații o reprezintă pentru operator.

 

O reglementare care limitează stocarea informațiilor referitoare la destinatarii sau categoriile de destinatari ai datelor și la conținutul datelor transmise la o perioadă de un an și care limitează în mod corelativ accesul la aceste informații, în timp ce datele de bază sunt stocate mult mai mult timp, nu poate constitui un just echilibru între interesele și obligațiile în cauză, cu excepția situației în care se demonstrează că o stocare mai îndelungată a acestor informații ar constitui o sarcină excesivă pentru operator. Instanța națională are sarcina de a efectua verificările necesare în acest sens.

 

Semnături


( *1 ) Limba de procedură: olandeza.

Top