"Cerința prelucrării corecte a datelor personale obligă o autoritate a administrației publice să informeze persoanele vizate despre transmiterea acestor date unei alte autorități a administrației publice în vederea prelucrării lor de către aceasta din urmă în calitate de destinatar al datelor menționate”, se arată într-o hotărâre a instanței de la Luxemburg în cauza C-201/14, după ce Curtea de Apel Cluj a solicitat o opinie.

Smaranda Bara și alți cetățeni români, care desfășoară o activitate independentă, au contestat la instanța din Cluj legalitatea transferului unor date personale de către ANAF la Casa Națională de Asigurări de Sănătate.

Astfel, administrația fiscală a transmis datele privind veniturile lor declarate către CNAS, care a solicitat în consecință plata restanțelor contribuțiilor la sistemul de asigurări de sănătate.Acestea consideră că datele lor au fost utilizate în alte scopuri decât cele pentru care fuseseră comunicate inițial administrației fiscale, fără informarea lor prealabilă.

Curtea de Apel Cluj a precizat că dreptul român abilitează entitățile publice să transmită date cu caracter personal caselor de asigurări de sănătate pentru a le permite acestora din urmă să stabilească calitatea de asigurat a persoanelor vizate. Datele respective privesc identificarea persoanelor (nume, prenume, adresă), însă nu cuprind date privind veniturile obținute.

În acest context, Curtea de Apel Cluj a solicitat CJUE să stabilească dacă dreptul Uniunii se opune ca o autoritate a administrației publice a unui stat membru să transmită date cu caracter personal unei alte autorități a administrației publice în vederea prelucrării lor ulterioare, fără ca persoanele vizate să fi fost informate despre această transmitere și despre această prelucrare.

Limitarea obligației de informare trebuie precizată "expres" în lege

În hotărârea de joi, CJUE precizează că Directiva privind prelucrarea datelor cu caracter personal "impune expres ca orice eventuală limitare a obligației de informare să fie adoptată prin măsuri legislative”.

"Legea română care prevede transmiterea gratuită a datelor personale către casele de asigurări de sănătate nu constituie o informare prealabilă care să permită scutirea operatorului de obligația de a informa persoanele de la care colectează datele”, arată CJUE.

Totodată, instanța de la Luxemburg afirmă că legislația din România nu definește nici informațiile transmisibile, nici modalitățile de efectuare a transmiterii, acestea figurând numai într-un protocol bilateral încheiat între ANAF și CNAS.

În ceea ce privește prelucrarea ulterioară a datelor transmise, Directiva europeană prevede că operatorul care prelucrează date trebuie să comunice persoanelor vizate informații cu privire la propria identitate, la scopul prelucrării, precum și orice alte informații suplimentare necesare pentru a asigura o prelucrare corectă a datelor. Printre aceste informații suplimentare figurează categoriile de date în cauză, precum și existența dreptului de acces și de rectificare.