CELEX:62023CJ0710: Hotărârea Curții (Camera întâi) din 3 aprilie 2025.#L. H. împotriva Ministerstvo zdravotnictví.#Cerere de decizie preliminară formulată de Nejvyšší správní soud.#Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 4 – Definiții – Articolul 6 – Legalitatea prelucrării – Articolul 86 – Acces public la documente oficiale – Date referitoare la reprezentantul unei persoane juridice – Jurisprudență a unei instanțe naționale care impune obligația de a informa și de a consulta persoana vizată înainte de divulgarea de documente oficiale care cuprind astfel de date.#Cauza C-710/23.
|
Redacția Lex24 |
| Publicat in CJUE: Decizii, 07/04/2025 |
| |
Informatii
Data documentului: 03/04/2025Emitent: CJCE
Formă: CJUE: Decizii
Stat sau organizație la originea cererii: Cehia
Procedura
Tribunal naţional: *A9* Nejvyšší správní soud, usnesení ze dne 01/11/2023 (10 As 102/2023 - 43)Ediție provizorie
HOTĂRÂREA CURȚII (Camera întâi)
3 aprilie 2025(*)
„ Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 4 – Definiții – Articolul 6 – Legalitatea prelucrării – Articolul 86 – Acces public la documente oficiale – Date referitoare la reprezentantul unei persoane juridice – Jurisprudență a unei instanțe naționale care impune obligația de a informa și de a consulta persoana vizată înainte de divulgarea de documente oficiale care cuprind astfel de date ”
În cauza C-710/23,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Nejvyšší správní soud (Curtea Administrativă Supremă, Republica Cehă), prin decizia din 1 noiembrie 2023, primită de Curte la 22 noiembrie 2023,
L. H.
împotriva
Ministerstvo zdravotnictví,
CURTEA (Camera întâi),
compusă din domnul F. Biltgen, președinte de cameră, domnul T. von Danwitz (raportor), vicepreședintele Curții, domnul A. Kumin, doamna I. Ziemele și domnul S. Gervasoni, judecători,
avocat general: domnul J. Richard de la Tour,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru guvernul ceh, de L. Březinová, M. Smolek și J. Vláčil, în calitate de agenți;
– pentru Comisia Europeană, de A. Bouchagiar și P. Ondrůšek, în calitate de agenți,
având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatului general,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 4 punctul 1, precum și a articolului 6 alineatul (1) literele (c) și (e) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între L. H., pe de o parte, și Ministerstvo zdravotnictví (Ministerul Sănătății, Republica Cehă), pe de altă parte, în legătură cu o decizie a acestuia din urmă de a nu îi comunica lui L. H. anumite informații referitoare la reprezentanți ai unor persoane juridice, menționate în contracte de cumpărare de teste de depistare a COVID-19, precum și în certificate referitoare la aceste teste.
Cadrul juridic
Dreptul Uniunii
3 Considerentele (1), (4), (10), (14) și (154) ale RGPD au următorul cuprins:
„(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ([denumită în continuare] «carta») și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
[…]
(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.
[…]
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. În ceea ce privește prelucrarea datelor cu caracter personal în vederea respectării unei obligații legale, a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, statelor membre ar trebui să li se permită să mențină sau să introducă dispoziții de drept intern care să clarifice într-o mai mare măsură aplicarea normelor prezentului regulament. […] În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilește circumstanțele aferente unor situații de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condițiilor în care prelucrarea datelor cu caracter personal este legală.
[…]
(14) Protecția conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.
[…]
(154) Prezentul regulament permite luarea în considerare a principiului accesului public la documente oficiale în aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi în interes public. Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public ar trebui să poată fi divulgate de autoritatea respectivă sau de organismul respectiv în cazul în care dreptul Uniunii sau dreptul intern sub incidența căruia intră autoritatea publică sau organismul public prevede acest lucru. Dreptul Uniunii și dreptul intern ar trebui să asigure un echilibru între accesul public la documentele oficiale și reutilizarea informațiilor din sectorul public, pe de o parte, și dreptul la protecția datelor cu caracter personal, pe de altă parte, și ar putea prin urmare să prevadă echilibrul necesar cu dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament. Trimiterea la autoritățile și organismele publice ar trebui, în acest context, să includă toate autoritățile sau alte organisme reglementate de dreptul intern privind accesul public la documente. […]”
4 Articolul 1 din RGPD, intitulat „Obiect și obiective”, prevede la alineatul (2):
„Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”
5 Potrivit articolului 4 din RGPD, intitulat „Definiții”:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
[…]”
6 Articolul 5 din RGPD, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:
„(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);
[…]”
7 Articolul 6 din RGPD, intitulat „Legalitatea prelucrării”, prevede:
„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
[…]
(2) Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.
(3) Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:
(a) dreptul Uniunii; sau
(b) dreptul intern care se aplică operatorului.
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor prezentului regulament, printre altele: condițiile generale care reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul prelucrării; persoanele vizate; entitățile cărora le pot fi divulgate datele și scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop; perioadele de stocare; și operațiunile și procedurile de prelucrare, inclusiv măsurile de asigurare a unei prelucrări legale și echitabile cum sunt cele pentru alte situații concrete de prelucrare astfel cum sunt prevăzute în capitolul IX. Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.
[…]”
8 Articolul 86 din RGPD, intitulat „Prelucrarea și accesul public la documente oficiale”, face parte din capitolul IX al acestui regulament, care cuprinde dispozițiile referitoare la situații specifice de prelucrare. Acest articol prevede:
„Datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament.”
Dreptul ceh
9 Zákon č. 106/1999 Sb., o svobodném přístupu k informacím (Legea nr. 106/1999 privind accesul liber la informații) prevede obligația autorităților publice de a comunica informații persoanei fizice sau juridice care solicită acest lucru.
10 În temeiul articolului 8a alineatul (1) din această lege, entitatea obligată comunică informații referitoare la personalitatea, la sfera personală și la viața privată ale unei persoane fizice, precum și date cu caracter personal numai în conformitate cu dispozițiile legale care reglementează protecția acestora.
Litigiul principal și întrebările preliminare
11 L. H. a solicitat Ministerului Sănătății informații cu privire la identificarea persoanelor care au semnat contracte de cumpărare de teste de depistare a COVID-19, încheiate de acest minister, precum și certificate referitoare la aceste teste și care demonstrează posibilitatea utilizării lor pe teritoriul Uniunii.
12 Ministerul menționat a admis în parte solicitarea lui L. H. și i-a comunicat certificatele referitoare la testele menționate, ocultând informațiile aferente persoanelor fizice care au semnat aceste certificate în numele persoanelor juridice vizate, inclusiv prenumele, numele, semnătura și funcția ocupată de aceste persoane fizice, precum și, în anumite cazuri, adresa de e-mail, numărul de telefon și site-ul internet al acestor persoane juridice. Ocultarea acestor informații avea drept justificare protecția datelor cu caracter personal ale persoanelor fizice vizate în aceste certificate, în conformitate cu cerințele RGPD.
13 L. H. a introdus o acțiune la Městský soud v Praze (Tribunalul Municipal din Praga, Republica Cehă) având ca obiect anularea deciziei de comunicare a Ministerului Sănătății în măsura în care a ocultat informațiile respective. Această instanță a admis acțiunea, considerând că ministerul nu putea refuza în principiu să comunice informații care constituie date cu caracter personal fără să fi informat în prealabil și fără să fi obținut avizul persoanelor vizate cu privire la cererea de comunicare a acestor date, astfel cum prevede jurisprudența națională relevantă. Astfel, potrivit instanței menționate, acționând în acest mod, Ministerul Sănătății, pe de o parte, a omis să recunoască persoanelor vizate calitatea de „părți la procedură”, în sensul dreptului intern, și, pe de altă parte, nu s-a asigurat corespunzător cerințelor legale că nu era îndeplinită niciuna dintre condițiile de legalitate prevăzute la articolul 6 alineatul (1) din RGPD.
14 Ministerul Sănătății a formulat recurs împotriva deciziei Městský soud v Praze (Tribunalul Municipal din Praga) la Nejvyšší správní soud (Curtea Administrativă Supremă, Republica Cehă), care este instanța de trimitere. Potrivit acestui minister, faptul de a nu fi informat persoanele fizice vizate cu privire la cererea de comunicare a datelor în cauză nu poate constitui un viciu de procedură. Ministerul menționat arată că aceste persoane își desfășoară activitatea din China și din Regatul Unit, unde sunt înmatriculate persoanele juridice emitente ale certificatelor, și că domiciliul persoanelor menționate nu îi este cunoscut. Prin urmare, i-ar fi imposibil să le informeze și să le consulte cu privire la acest subiect.
15 În acest context, instanța de trimitere ridică, în primul rând, problema dacă datele în discuție în litigiul principal constituie „date cu caracter personal”, în sensul articolului 4 punctul 1 din RGPD. În lumina considerentului (14) al acestui regulament, ea ar tinde să considere că astfel de informații constituie date referitoare la o persoană juridică, care nu intră în domeniul de aplicare al regulamentului menționat. Această instanță observă însă că jurisprudența Curții privilegiază o interpretare largă a noțiunii de „date cu caracter personal”, din care ar reieși că informațiile referitoare la persoane fizice identificabile, care provin în special dintr-un registru al comerțului, intră în sfera acestei noțiuni.
16 În al doilea rând, în ipoteza în care Curtea ar considera că datele în discuție în litigiul principal constituie date cu caracter personal, instanța de trimitere ridică problema compatibilității cu dreptul Uniunii a jurisprudenței naționale relevante care impune operatorului sesizat cu o cerere de comunicare a acestor date să informeze persoana vizată și să o consulte înainte de a comunica datele menționate solicitantului. Instanța de trimitere mai precizează că această obligație se impune și în situații în care RGPD însuși nu impune consimțământul persoanei vizate, și anume în alte situații decât cea prevăzută la articolul 6 alineatul (1) litera (a) din RGPD. Obligația menționată ar depăși, așadar, cerințele RGPD și ar face astfel accesul la datele în cauză potențial mai dificil decât în alte state membre. Pe de altă parte, ținând seama de domeniul de aplicare al RGPD, ar fi dificil, chiar imposibil, să se aplice în mod sistematic obligația de informare și de consultare prealabilă, în special în ceea ce privește sisteme de evidență a datelor referitoare la un număr mare de persoane stabilite în diferite țări.
17 În aceste condiții, Nejvyšší správní soud (Curtea Administrativă Supremă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„(1) Comunicarea prenumelui, a numelui, a semnăturii și a datelor de contact ale unei persoane fizice, membru al consiliului de administrație sau reprezentant al unei persoane juridice, care are loc în scopul exclusiv al identificării (persoanei împuternicite să acționeze în numele) persoanei juridice, constituie o prelucrare a «datelor cu caracter personal» ale unei persoane fizice în sensul articolului 4 punctul 1 din RGPD și intră astfel în domeniul de aplicare al RGPD?
(2) Dreptul național, inclusiv jurisprudența constantă, poate subordona aplicarea unui regulament al Uniunii cu aplicabilitate directă, respectiv a articolului 6 alineatul (1) litera (c) sau, dacă este cazul, litera (e) din RGPD, de către autoritatea administrativă de îndeplinirea unor condiții suplimentare care nu decurg din modul de redactare a regulamentului, dar care extind în fapt nivelul de protecție a persoanei vizate, în speță obligația autorității publice de a informa în prealabil persoana vizată cu privire la depunerea unei cereri de transfer de date cu caracter personal către un terț?”
Cu privire la întrebările preliminare
Cu privire la prima întrebare
18 Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 punctele 1 și 2 din RGPD trebuie interpretat în sensul că divulgarea prenumelui, a numelui, a semnăturii și a datelor de contact ale unei persoane fizice care reprezintă o persoană juridică constituie o prelucrare de date cu caracter personal, chiar dacă această divulgare este efectuată cu unicul scop de a permite identificarea persoanei fizice împuternicite să acționeze în numele acestei persoane juridice.
19 Cu titlu introductiv, trebuie să se observe că, potrivit indicațiilor instanței de trimitere, persoanele juridice care au emis certificatele în discuție în litigiul principal sunt stabilite în țări terțe, și anume în China și în Regatul Unit. Deși astfel de persoane juridice pot, în anumite condiții, să fie supuse normelor de publicitate prevăzute de Directiva (UE) 2017/1132 a Parlamentului European și a Consiliului din 14 iunie 2017 privind anumite aspecte ale dreptului societăților comerciale (JO 2017, L 169, p. 46), în special în ceea ce privește publicitatea obligatorie a identității persoanelor care au competența de a angaja aceste persoane juridice față de terți, nimic din dosarul de care dispune Curtea nu indică faptul că această directivă ar fi pertinentă în speță.
20 Odată făcută această observație introductivă, trebuie amintit că, potrivit articolului 4 punctul 1 din RGPD, constituie „date cu caracter personal” „orice informații privind o persoană fizică identificată sau identificabilă”. O „persoană fizică identificabilă”, în sensul acestei dispoziții, este „o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
21 Potrivit unei jurisprudențe constante, utilizarea expresiei „orice informații” în definiția noțiunii de „date cu caracter personal”, care se regăsește în această dispoziție, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea „să privească” persoana vizată. O informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este legată de o persoană identificabilă (Hotărârea din 7 martie 2024, IAB Europe, C-604/22, EU:C:2024:214, punctele 36 și 37, precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punctele 130 și 131, precum și jurisprudența citată).
22 Astfel, informațiile referitoare la identitatea persoanelor fizice identificate sau identificabile care, în calitate de organ constituit în temeiul legii sau ca membri ai unui astfel de organ, au competența de a angaja o societate față de terți constituie „date cu caracter personal”, în sensul articolului 4 punctul 1 din RGPD. Împrejurarea că aceste informații se înscriu în contextul unei activități profesionale nu este de natură să le înlăture calificarea de date cu caracter personal (a se vedea prin analogie Hotărârea din 9 martie 2017, Manni, C-398/15, EU:C:2017:197, punctele 32 și 34, precum și jurisprudența citată).
23 După cum a observat Comisia, o asemenea interpretare nu poate fi infirmată de considerentul (14) al RGPD. Astfel, a doua teză a acestui considerent face trimitere printre altele la „numele” și la „datele de contact” ale persoanei juridice, iar nu ale persoanelor fizice care acționează în numele sau în contul unei persoane juridice.
24 În speță, trebuie să se constate că prenumele și numele unei persoane fizice identificate sau identificabile constituie date cu caracter personal în sensul articolului 4 punctul 1 din RGPD. Situația este aceeași în ceea ce privește semnătura unei astfel de persoane fizice (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punctul 136).
25 În ceea ce privește celelalte date de contact în discuție în litigiul principal, revine instanței de trimitere sarcina de a verifica, având în vedere jurisprudența amintită la punctul 21 din prezenta hotărâre, dacă aceste date de contact sunt legate de o persoană fizică identificată sau identificabilă.
26 În ceea ce privește noțiunea de „prelucrare” în sensul articolului 4 punctul 2 din RGPD, această dispoziție o definește ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.
27 Astfel, din expresia „orice operațiune” reiese că legiuitorul a intenționat să confere acestei noțiuni un domeniu de aplicare larg, ceea ce este confirmat de caracterul neexhaustiv, exprimat prin locuțiunea „cum ar fi”, al operațiunilor enumerate în dispoziția menționată, care includ divulgarea prin transmitere, diseminarea și punerea la dispoziție în orice alt mod, aceste operațiuni putând fi realizate cu sau fără utilizarea de mijloace automatizate (a se vedea în acest sens Hotărârea din 7 martie 2024, Endemol Shine Finland, C-740/22, EU:C:2024:216, punctele 29 și 30, precum și jurisprudența citată).
28 În orice caz, nu reiese nicidecum din modul de redactare a articolului 4 punctul 2 din RGPD că legiuitorul Uniunii ar fi intenționat să rezerve calificarea de „prelucrare” acestor operațiuni în funcție de scopul lor.
29 O asemenea interpretare este conformă cu obiectivul urmărit de RGPD, astfel cum reiese din articolul 1, precum și din considerentele (1) și (10) ale acestuia, care urmărește printre altele asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, consacrat la articolul 8 alineatul (1) din cartă și la articolul 16 alineatul (1) TFUE (a se vedea în acest sens Hotărârea din 9 ianuarie 2025, Mousse, C-394/23, EU:C:2025:2, punctul 21 și jurisprudența citată).
30 În speță, divulgarea unor date precum prenumele, numele, semnătura și datele de contact ale unei persoane fizice care reprezintă o persoană juridică intră în sfera noțiunii de „prelucrare” în sensul articolului 4 punctul 2 din RGPD. Astfel cum reiese din cuprinsul punctelor 27-29 din prezenta hotărâre, împrejurarea că divulgarea unor asemenea date are ca unic scop să permită identificarea unei persoane fizice împuternicite să acționeze în numele unei persoane juridice este lipsită de relevanță pentru calificarea drept „prelucrare”, în sensul acestei dispoziții.
31 Având în vedere considerațiile care precedă, este necesar să se răspundă la prima întrebare că articolul 4 punctele 1 și 2 din RGPD trebuie interpretat în sensul că divulgarea prenumelui, a numelui, a semnăturii și a datelor de contact ale unei persoane fizice care reprezintă o persoană juridică constituie o prelucrare de date cu caracter personal. Împrejurarea că această divulgare este efectuată cu unicul scop de a permite identificarea persoanei fizice împuternicite să acționeze în numele acestei persoane juridice este lipsită de relevanță în această privință.
Cu privire la a doua întrebare
32 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 6 alineatul (1) literele (c) și (e) din RGPD trebuie interpretat în sensul că se opune unei jurisprudențe naționale ce impune unui operator, care este o autoritate publică însărcinată cu stabilirea unui echilibru între dreptul de acces public la documente oficiale și dreptul la protecția datelor cu caracter personal, să informeze și să consulte persoana fizică vizată înainte de divulgarea de documente oficiale care conțin astfel de date.
33 În conformitate cu obiectivul urmărit de RGPD, astfel cum a fost amintit la punctul 29 din prezenta hotărâre, orice prelucrare a datelor cu caracter personal trebuie printre altele să fie conformă cu principiile referitoare la prelucrarea unor astfel de date prevăzute la articolul 5 din acest regulament și să îndeplinească condițiile de legalitate enumerate la articolul 6 din regulamentul menționat (Hotărârea din 9 ianuarie 2025, Mousse, C-394/23, EU:C:2025:2, punctul 22 și jurisprudența citată).
34 În această privință, articolul 5 alineatul (1) litera (a) din RGPD prevede că datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată.
35 Articolul 6 alineatul (1) litera (c) din RGPD prevede că prelucrarea poate fi legală dacă și în măsura în care prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului. Potrivit articolului 6 alineatul (1) litera (e) din acest regulament, o astfel de prelucrare poate fi de asemenea legală dacă și în măsura în care este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.
36 Potrivit articolului 6 alineatul (2) din RGPD, statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor acestui regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) din acest articol prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare prevăzute în capitolul IX din RGPD.
37 Articolul 6 alineatul (3) din RGPD prevede că temeiul prelucrării menționate la alineatul (1) literele (c) și (e) al acestui articol 6 este prevăzut, după caz, în dreptul Uniunii sau în dreptul intern care se aplică operatorului. Temeiul juridic relevant trebuie să urmărească un obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit. Acest temei juridic poate conține, de asemenea, dispoziții specifice pentru adaptarea aplicării normelor RGPD, cum ar fi, printre altele, condițiile generale care reglementează legalitatea prelucrării de către operator sau operațiunile și procedurile de prelucrare, inclusiv măsuri de asigurare a unei prelucrări legale și echitabile, precum cele pentru alte situații concrete de prelucrare, prevăzute în capitolul IX din RGPD.
38 Mai trebuie arătat că, în materie de acces public la documente oficiale, articolul 86 din RGPD, care face parte din capitolul IX din acesta, prevede că datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public pot fi divulgate de această autoritate sau acest organism, în conformitate cu dreptul Uniunii sau cu dreptul intern relevant, pentru a stabili un echilibru între accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal.
39 Acest articol trebuie interpretat în lumina, în primul rând, a considerentului (4) al RGPD, care enunță printre altele că dreptul la protecția datelor cu caracter personal nu este un drept absolut, în al doilea rând, a considerentului (154) al acestui regulament, din care reiese printre altele că accesul public la documente oficiale poate fi considerat a fi în interes public, precum și, în al treilea rând, a jurisprudenței potrivit căreia principiul transparenței, astfel cum rezultă din articolele 1 și 10 TUE, precum și din articolul 15 TFUE, permite asigurarea unei mai bune participări a cetățenilor la procesul de decizie, garantând o mai mare legitimitate, eficacitate și responsabilitate a administrației față de cetățeni într-un sistem democratic (Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers, C-37/20 și C-601/20, EU:C:2022:912, punctul 60, precum și jurisprudența citată).
40 Deși, astfel cum reiese din considerentul (10) al RGPD, statelor membre li se permite să mențină sau să introducă dispoziții de drept intern care să clarifice într‑o mai mare măsură aplicarea normelor acestui regulament, aceste state trebuie totuși să își utilizeze marja de apreciere în condițiile și în limitele prevăzute de regulamentul menționat și trebuie astfel să legifereze astfel încât să nu aducă atingere conținutului și obiectivelor acestuia (a se vedea în acest sens Hotărârea din 30 martie 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C-34/21, EU:C:2023:270, punctul 59 și jurisprudența citată).
41 În plus, în conformitate cu principiul proporționalității, statele membre trebuie să se asigure că consecințele practice, în special de ordin organizațional, generate de cerințele suplimentare pe care le-au stabilit, nu sunt excesive (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctul 67).
42 În speță, prelucrarea în discuție în litigiul principal poate intra atât sub incidența literei (c), cât și a literei (e) a articolului 6 alineatul (1) din RGPD, din moment ce este impusă operatorului prin Legea nr. 106/1999, în exercitarea unei sarcini care servește unui interes public, ce constă în asigurarea accesului public la documente oficiale. În această privință, este cert că această lege obligă autoritățile publice să comunice informații, inclusiv documente oficiale, persoanelor care solicită acest lucru.
43 În aceste condiții, atunci când informațiile solicitate conțin date cu caracter personal, legea menționată prevede că aceste date nu pot fi comunicate decât cu respectarea reglementării privind protecția lor, care, astfel cum arată instanța de trimitere, include RGPD. Din decizia de trimitere reiese că jurisprudența instanței de trimitere enunță obligații suplimentare, care se adaugă celor prevăzute în mod expres de acest regulament. Astfel, aceasta impune autorităților publice să informeze și să consulte persoana vizată înainte de orice divulgare a datelor menționate.
44 În ceea ce privește compatibilitatea unei jurisprudențe naționale precum cea în discuție în litigiul principal cu RGPD, trebuie să se constate că, în temeiul dispozițiilor menționate la punctele 36 și 37 din prezenta hotărâre, statele membre pot introduce dispoziții specifice pentru a asigura o prelucrare legală și echitabilă pentru situații concrete de prelucrare, precum cea prevăzută la articolul 86 din RGPD. În această privință, o asemenea jurisprudență poate face parte din temeiul juridic al prelucrării, în sensul articolului 6 alineatul (3) din RGPD.
45 În consecință, articolul 6 alineatul (1) literele (c) și (e) din RGPD nu se opune, în principiu, unei jurisprudențe naționale care prevede o obligație de informare și de consultare a persoanei vizate înainte de orice comunicare a unor date cu caracter personal care o privesc. Astfel, o asemenea obligație este de natură să garanteze o prelucrare legală, echitabilă și transparentă în privința acestei persoane, în sensul articolului 5 alineatul (1) litera (a) din RGPD, permițându-i acesteia să își exprime opinia cu privire la divulgarea avută în vedere. Această obligație contribuie astfel la realizarea obiectivului amintit la punctul 29 din prezenta hotărâre, permițând în același timp autorității publice să procedeze, în deplină cunoștință de cauză, la stabilirea echilibrului impusă de articolul 86 din RGPD.
46 Cu toate acestea, având în vedere jurisprudența amintită la punctele 40 și 41 din prezenta hotărâre, o punere în aplicare absolută a obligației menționate ar putea conduce la o restricție disproporționată privind dreptul de acces public la documente oficiale. Astfel, este posibil ca, din diferite motive, informarea și/sau consultarea persoanei vizate să se dovedească imposibile sau să necesite eforturi disproporționate. Într-un asemenea context, invocarea unei imposibilități practice de a informa și de a consulta această persoană pentru a justifica refuzul sistematic al oricărei divulgări de informații referitoare la persoana menționată ar conduce la excluderea oricărei încercări de stabilire a echilibrului între interesele în cauză, în condițiile în care o asemenea stabilire a echilibrului este prevăzută în mod expres la articolul 86 din RGPD.
47 În speță, sub rezerva verificării de către instanța de trimitere, Ministerul Sănătății pare să își fi întemeiat decizia de a nu divulga toate informațiile solicitate numai pe această imposibilitate practică, fără să fi încercat nicidecum să procedeze la o stabilire a echilibrului între interese.
48 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la a doua întrebare că articolul 6 alineatul (1) literele (c) și (e) din RGPD coroborat cu articolul 86 din acest regulament trebuie interpretat în sensul că nu se opune unei jurisprudențe naționale ce impune unui operator, care este o autoritate publică însărcinată cu stabilirea unui echilibru între dreptul de acces public la documente oficiale și dreptul la protecția datelor cu caracter personal, să informeze și să consulte persoana fizică vizată înainte de divulgarea de documente oficiale care conțin astfel de date, cu condiția ca o astfel de obligație să nu fie imposibil de pus în aplicare și nici să nu necesite eforturi disproporționate și, prin urmare, să nu conducă la o restricție disproporționată privind dreptul de acces public la aceste documente.
Cu privire la cheltuielile de judecată
49 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera întâi) declară:
1) Articolul 4 punctele 1 și 2 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
divulgarea prenumelui, a numelui, a semnăturii și a datelor de contact ale unei persoane fizice care reprezintă o persoană juridică constituie o prelucrare de date cu caracter personal. Împrejurarea că această divulgare este efectuată cu unicul scop de a permite identificarea persoanei fizice împuternicite să acționeze în numele acestei persoane juridice este lipsită de relevanță în această privință.
2) Articolul 6 alineatul (1) literele (c) și (e) din Regulamentul 2016/679 coroborat cu articolul 86 din acest regulament
trebuie interpretat în sensul că
nu se opune unei jurisprudențe naționale ce impune unui operator, care este o autoritate publică însărcinată cu stabilirea unui echilibru între dreptul de acces public la documente oficiale și dreptul la protecția datelor cu caracter personal, să informeze și să consulte persoana fizică vizată înainte de divulgarea de documente oficiale care conțin astfel de date, cu condiția ca o astfel de obligație să nu fie imposibil de pus în aplicare și nici să nu necesite eforturi disproporționate și, prin urmare, să nu conducă la o restricție disproporționată privind dreptul de acces public la aceste documente.
Semnături
* Limba de procedură: ceha.
