Serviciul de Telecomunicatii Speciale – condus de generalul Ionel-Sorin Balan (foto 1) – si Ministerul Sanatatii comit o nepermisa imixtiune in viata privata a unei romance, refuzand sa elimine din platforma CoronaForms datele personale ale acesteia in legatura cu un test COVID efectuat in 2021, explica judecatorul Bogdan Cristea (foto 2) de la Curtea de Apel Bucuresti in sentinta din 14 noiembrie 2022, prin care a obligat STS si ministerul sa stearga acele date ale economistei Adriana Strugaru (foto 3). Lumea Justitiei prezinta in exclusivitate motivarea sentintei nr. 2039/2022 din dosarul nr. 443/3/2022, redactata luna trecuta.

Judecatorul isi incepe argumentatia remarcand ca nici Ministerul Sanatatii, nici STS nu i-au cerut reclamantei consimtamantul pentru prelucrarea si stocarea datelor ei personale.

Admitand argumentele Adrianei Strugaru bazate pe Regulamentul european privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal (celebrul GDPR), magistratul CAB subliniaza ca este diferita situatia persoanelor testate negativ anti-coronavirus fata de cea a persoanelor testate pozitiv. Mai exact, din punctul de vedere al interesului public, nu se justifica prelucrarea in mod continuu a datelor medicale COVID ale unui individ pe termen nelimitat, cata vreme statul roman nu prelucreaza astfel de date medicale la nivelul intregii populatii. Deci nu se justifica nici in ceea ce-i priveste pe romanii care nu s-au testat vreodata. Din aceeasi perspectiva a interesului public, o persoana testata negativ anti-SARS-CoV-2 echivaleaza cu o persoana care nu s-a testat deloc si care deci nu figureaza in evidentele autoritatilor. Pe cale de consecinta, nici persoana testata negativ nu trebuie sa figureze in acele evidente, detaliaza judecatorul Cristea.

Totusi, daca statul (in cazul de fata, reprezentat de catre Ministerul Sanatatii si Serviciul de Telecomunicatii Speciale) tine cu tot dinadinsul sa stocheze datele medicale ale unui om pe termen nelimitat, in scop statistic, o poate face desemnand acel om printr-un indicativ numeric sau alfanumeric, iar nu prin nume, prenume si celelalte date personale. Altminteri, autoritatile comit o ingerinta excesiva in viata privata a cetateanului respectiv, mai arata Bogdan Cristea.

De asemenea, STS si Ministerul Sanatatii nu au demonstrat in instanta ca stocarea si prelucrarea pe termen nelimitat ale datelor personale in ceea ce o priveste pe Adriana Strugaru sunt facute in legatura cu scopuri medicale – de exemplu: medicina preventiva, medicina muncii, asistenta medicala sau sociala etc.

Cristea nu e de acord cu ordonanta care a instapanit STS peste datele noastre medicale

Cu aceeasi ocazie, amintim, judecatorul Bogdan Cristea i-a admis Adrianei Strugaru exceptia de neconstitutionalitate a art. V din OUG nr. 180/2020 (pentru modificarea si completarea Legii nr. 136/2020 privind instituirea unor masuri in domeniul sanatatii publice in situatii de risc epidemiologic si biologic, a Ordonantei de urgenta a Guvernului nr. 158/2005 privind concediile si indemnizatiile de asigurari sociale de sanatate, precum si pentru stabilirea unor masuri cu privire la acordarea concediilor medicale). Pe scurt: ordonanta prin care guvernul Ludovic Orban a dat Serviciului de Telecomunicatii Speciale puteri practic nelimitate asupra datelor medicale ale romanilor.

Admitand sesizarea Curtii Constitutionale a Romaniei, magistratul de la Curtea de Apel Bucuresti opineaza ca art. V din OUG 180/2020 este neconstitutional, intrucat lipsa de claritate si previzibilitate face ca textul de act normativ sa aduca o ingerinta exagerata in viata privata a cetatenilor.

Redam principalele pasaje din sentinta Curtii de Apel Bucuresti:

„Avand a se pronunta asupra cererii partii reclamante de sesizare a Curtii Constitutionale cu exceptia de neconstitutionalitate, Curtea de Apel Bucuresti constata ca sunt indeplinite conditiile de admisibilitate prevazute de art.29 din Legea nr.47/1992. (...)

In ceea ce priveste punctul de vedere al instantei asupra exceptiei, Curtea apreciaza exceptia propusa de reclamanta ca intemeiata, in limita argumentelor referitoare la lipsa de claritate si previzibilitate a art.V din O.U.G. nr.180/2020.

In esenta, Curtea observa absenta oricarei definitii in continutul reglementarii amintite cu privire la sintagma 'datelor strict necesare', astfel ca ingerinta autoritatii publice statale in dreptul fundamental al omului la viata privata nu are un continut precis; in plus, reglementarea modului de prelucrare si raportare a datelor in cadrul sistemelor informatice trebuia sa isi gaseasca o reflectare detaliata in continutul normei de rang legislativ, aceasta fiind cea care sa stabileasca in mod concret modul in care intervine ingerinta in dreptul amintit, si, eventual, doar detalierea anumitor proceduri sa fie realizata prin norme de reglementare secundara.

In consecinta, Curtea de apel va admite cererea partii reclamante si va sesiza Curtea Constitutionala a Romaniei cu solutionarea exceptiei de neconstitutionalitate invocate. (...)

Analizand proba cu inscrisuri, Curtea retine urmatoarele:

Prin cererea din data 18.11.2021, reclamanta Adriana Strugariu a solicitat Ministerului Sanatatii 'stergerea datelor cu caracter personal din Sistemul integrat de eliberare si verificare a certificatelor digitale ale UE privind COVID-19, inclusiv platforma CoronaForms', sens in care a invocat Regulamentul (UE)2016/679 al Parlamentului European si al Consiliului privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE; prin aceeasi cerere, partea reclamanta a solicitat Ministerului Sanatatii sa procedeze la notificarea Serviciului de Telecomunicatii Speciale in sensul ca datele respective 'au fost sterse si ca nu le mai pot pastra ... nu le pot prelucra sau utiliza'. (fila 10 dosar)

Prin adresa nr.2/34849/06.12.2021 emisa de Ministerul Sanatatii, i s-a comunicat reclamantei faptul ca 'stergerea nu este posibila, din motive de interes public in domeniul sanatatii publice, in conformitate cu prevederile art.17 alin.3 lit.c) din Regulamentul UE nr.679/2016'. (fila 23 dosar)

Curtea mai constata ca intr-o corespondenta purtata de Ministerul Sanatatii cu Serviciul de Telecomunicatii Speciale, acesta din urma, prin adresa nr.12159/18.11.2021, a indicat faptul ca nu poate da curs unor solicitari de stergere a datelor din CoronaForm, astfel cum fusesera adresate de terte persoane, intrucat 'stergerea nu este posibila, din motive de interes public in domeniul sanatatii publice, in conformitate cu prevederile art.17 alin.3 lit.c) din regulamentul UE nr.679/2016'.

In sfarsit, in urma verificarilor efectuate de instanta, a reiesit ca, in raport de data cererii reclamantei din 18.11.2021 adresate Ministerului Sanatatii si data cererii de chemare in judecata din 11.01.2022, dna. Adriana Strugariu figureaza inregistrata doar in aplicatia informatica CoronaForms cu rezultatul negativ al unui test efectuat la 09.08.2021, pentru care nu a fost generat certificatul digital, fara a figura cu vreo inregistrare in Sistemul informatic integral de eliberare si verificare a certificatelor digitale ale UE privind COVID-19 (SII-CDC).

Cata vreme, potrivit aspectelor invederate de partea parata, nu sunt prelucrate datele cu caracter personal ale reclamantei prin SII-CDC (aspect pe care aceasta nu il contesta si nu demonstreaza in sens contrar), nu exista vreun temei pentru instituirea in sarcina autoritatilor publice parate a obligatiei de stergere din SII-CDC a vreunei date cu caracter personal apartinand dnei. Adriana Strugariu.

Nu la aceeasi concluzie va ajunge Curtea in ceea ce priveste prelucrarea datelor cu caracter personal efectuata de catre parati prin CoronaForms referitor la rezultatul testului negativ efectuat de reclamanta in data de 09.08.2021.

Astfel, art.V din Ordonanta de urgenta a Guvernului nr.180/2020 (pentru modificarea si completarea Legii nr. 136/2020 privind instituirea unor masuri in domeniul sanatatii publice in situatii de risc epidemiologic si biologic, a Ordonantei de urgenta a Guvernului nr. 158/2005 privind concediile si indemnizatiile de asigurari sociale de sanatate, precum si pentru stabilirea unor masuri cu privire la acordarea concediilor medicale) prevede ca:

'(1) In scopul colectarii si corelarii datelor strict necesare furnizate de entitatile implicate in combaterea efectelor generate de coronavirusul SARS-Cov-2, precum si in scopul evidentei persoanelor confirmate cu coronavirusul SARS-Cov-2 sau decedate ca urmare a infectarii cu acest virus, Ministerul Sanatatii, in exercitarea atributiilor sale legale, utilizeaza sisteme si aplicatii informatice, inclusiv aplicatia informatica Corona-forms, dezvoltata si administrata din punct de vedere tehnic de catre Serviciul de Telecomunicatii Speciale, cu respectarea prevederilor legale din domeniul prelucrarii datelor cu caracter personal.

(2) Metodologia de prelucrare si raportare a datelor in cadrul sistemelor informatice se stabileste prin ordin comun al ministrului sanatatii si al directorului Serviciului de Telecomunicatii Speciale pentru aplicatia Corona-forms, cu respectarea prevederilor legale din domeniul prelucrarii datelor cu caracter personal, care se elaboreaza in termen de maximum 30 de zile de la data intrarii in vigoare a prezentei ordonante de urgenta'.

Totodata, Ordonanta de urgenta a Guvernului nr.68/2021 (privind adoptarea unor masuri pentru punerea in aplicare a cadrului european pentru eliberarea, verificarea si acceptarea certificatului digital al Uniunii Europene privind COVID pentru a facilita libera circulatie pe durata pandemiei de COVID-19) prevede la art.1 ca:

'(2) Autoritatile si institutiile publice din Romania cu atributii in indeplinirea prevederilor Regulamentului (UE) 2021/953 si ale Regulamentului (UE) 2021/954 utilizeaza, incepand cu data de 1 iulie 2021, "Sistemul informatic integrat de eliberare si verificare a certificatelor digitale ale UE privind COVID-19", denumit in continuare SII-CDC. ... (6) Certificatele de testare sunt emise pe baza testelor efectuate in unitatile care raporteaza in platforma informatica «Corona- forms»' (forma de la data sesizarii instantei judecatoresti).

In continuare, Curtea retine ca Ordinul ministrului sanatatii nr.1829/2020 pentru aprobarea fluxului informational utilizat in raportarea datelor referitoare la infectia cu virusul SARS-CoV-2, emis in temeiul art.V din O.U.G. nr.180/2020, prevede:

- art.1: 'In scopul colectarii si corelarii datelor furnizate de autoritatile si institutiile publice implicate in monitorizarea infectiei cu virusul SARS-CoV-2, precum si in scopul evidentei persoanelor confirmate si a deceselor produse de infectia cu virusul SARS-CoV-2, Ministerul Sanatatii utilizeaza aplicatia informatica Corona Forms dezvoltata de Serviciul de Telecomunicatii Speciale (STS), la solicitarea si in conformitate cu cerintele Ministerului Sanatatii';

- art.14: '(1) Prelucrarea datelor cu caracter personal se realizeaza cu respectarea dispozitiilor Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE, ale Legii nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), precum si a altor prevederi legale nationale incidente in domeniul prelucrarii datelor cu caracter personal. (2) In conditiile prevazute la alin. (1), Ministerul Sanatatii, in calitate de operator de date cu caracter personal, imputerniceste Serviciul de Telecomunicatii Speciale sa efectueze operatiuni privind prelucrarea, colectarea, inregistrarea, organizarea, stocarea, protejarea, stergerea si distrugerea datelor cu caracter personal prelucrate prin intermediul sistemelor si aplicatiei prevazute la art. 1 alin. (1), in vederea aplicarii masurilor de prevenire a raspandirii COVID-19 si de limitare a efectelor acesteia. (3) La solicitarea scrisa a operatorului de date cu caracter personal mentionat la alin. (2), datele cu caracter personal prelucrate in baza prezentului ordin vor fi distruse in mod ireversibil'.

Asadar, rezultatul negativ al testului medical efectuat de partea reclamanta Adriana Strugariu la data de 09.08.2021 pentru depistarea eventualei contaminari cu coronavirusul SARS-Cov-2, astfel cum se regaseste in format electronic in CoronaForms, alaturi de numele si prenumele, respectiv codul numeric personal apartinand reclamantei constituie date cu caracter personal ce sunt prelucrate de catre partile parate printr-o aplicatie informatica.

Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/ce (Regulamentul general privind protectia datelor) [in continuare, RGPD] defineste la art.4 notiunile date cu caracter personal:

'orice informatii privind o persoana fizica identificata sau identificabila ('persoana vizata'); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale' (pct.1), respectiv prelucrare – 'orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea' (pct.2).

Observand definitiile amintite, Curtea conchide ca informatiile litigioase prezinta natura juridica a unor date cu caracter personal, constituind informatii privind o persoana fizica identificata, direct, prin referire la un element de identificare (nume si numar de identificare), iar conduita imputata paratilor constituie expresia unei prelucrari efectuate asupra datelor cu caracter personal in forma colectarii si stocarii.

In continuare, Curtea constata ca art.17 din Regulamentul UE 2016/679 (RGPD) prevede la alin.1 ca:

'Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive: (a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate; (b) persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea, in conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), si nu exista niciun alt temei juridic pentru prelucrarea; (c) persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (1) si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (2)'.

Partea reclamanta a indicat explicit atat prin cererea adresata la 18.11.2021, cat si prin cererea de chemare in judecata solicitarea de stergere a datelor cu caracter personal in litigiu.

Prin hotararea pronuntata de Curtea de Justitie a Uniunii Europene in cauza C-61/19 Orange Romania SA, urmatoarele aspecte relevante s-au aratat in considerente:

'34. ... articolul 7 din Directiva 95/46 si articolul 6 din Regulamentul 2016/679 prevad o lista exhaustiva a cazurilor in care o prelucrare de date cu caracter personal poate fi considerata legala .... In special, articolul 7 litera (a) din aceasta directiva si articolul 6 alineatul (1) litera (a) din regulamentul mentionat prevad ca consimtamantul persoanei vizate poate face ca o asemenea prelucrare sa devina legala. ... 42. ... operatorul de date cu caracter personal este obligat sa asigure, printre altele, legalitatea prelucrarii acestor date si, dupa cum precizeaza alineatul (2) al acestui articol 5, trebuie sa fie in masura sa demonstreze aceasta legalitate. In ceea ce priveste, mai precis, un eventual consimtamant al persoanei vizate, articolul 7 litera (a) din aceasta directiva prevede ca persoana vizata trebuie sa isi fi dat in mod 'neechivoc' consimtamantul, ceea ce presupune, ..., ca sarcina probei in ceea ce priveste existenta unui consimtamant valabil revine operatorului.'.

Or, in cauza de fata, este necontestat ca lipseste consimtamantul reclamantei pentru prelucrarea in continuare a datelor sale cu caracter personal prin CoronaForms de catre parati.

In cauza C-184/20, OT, Curtea de Justitie a Uniunii Europene a aratat ca:

'124. O astfel de interpretare, ce ar conduce la stabilirea unei distinctii in functie de tipul de date sensibile in cauza, nu ar fi totusi in concordanta cu o analiza contextuala a acestor dispozitii, in special cu articolul 4 punctul 15 din RGPD, potrivit caruia 'date privind sanatatea' inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care 'dezvaluie' informatii despre starea de sanatate a acestei persoane, si cu considerentul (35) al acestui regulament, care prevede ca datele cu caracter personal privind sanatatea ar trebui sa includa toate datele avand legatura cu starea de sanatate a persoanei vizate care 'dezvaluie' informatii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate'.

Refuzand stergerea datelor respective cu caracter personal, paratii invoca disp. art.17 alin.3 lit.c) din Regulamentul UE 2016/679 (RGPD), text potrivit caruia:

'Alineatele (1) si (2a) nu se aplica in masura in care prelucrarea este necesara: ... (c) din motive de interes public in domeniul sanatatii publice, in conformitate cu articolul 9 alineatul (2) literele (h) si (i) si cu articolul 9 alineatul (3)'.

Refuzul partii parate este insa unul nejustificat.

Astfel, art.9 din Regulamentul UE 2016/679 (RGPD) prevede ca:

'(1) Se interzice prelucrarea de date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.

(2) Alineatul (1) nu se aplica in urmatoarele situatii:

...

(g) prelucrarea este necesara din motive de interes public major, in baza dreptului Uniunii sau a dreptului intern, care este proportional cu obiectivul urmarit, respecta esenta dreptului la protectia datelor si prevede masuri corespunzatoare si specifice pentru protejarea drepturilor fundamentale si a intereselor persoanei vizate;

(h) prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament medical sau de gestionarea sistemelor si serviciilor de sanatate sau de asistenta sociala, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru medical si sub rezerva respectarii conditiilor si garantiilor prevazute la alineatul (3);

(i) prelucrarea este necesara din motive de interes public in domeniul sanatatii publice, cum ar fi protectia impotriva amenintarilor transfrontaliere grave la adresa sanatatii sau asigurarea de standarde ridicate de calitate si siguranta a asistentei medicale si a medicamentelor sau a dispozitivelor medicale, in temeiul dreptului Uniunii sau al dreptului intern, care prevede masuri adecvate si specifice pentru protejarea drepturilor si libertatilor persoanei vizate, in special a secretului profesional;

(j) prelucrarea este necesara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1), in baza dreptului Uniunii sau a dreptului intern, care este proportional cu obiectivul urmarit, respecta esenta dreptului la protectia datelor si prevede masuri corespunzatoare si specifice pentru protejarea drepturilor fundamentale si a intereselor persoanei vizate.

(3) Datele cu caracter personal mentionate la alineatul (1) pot fi prelucrate in scopurile mentionate la alineatul (2) litera (h) in cazul in care datele respective sunt prelucrate de catre un profesionist supus obligatiei de pastrare a secretului profesional sau sub responsabilitatea acestuia, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul normelor stabilite de organisme nationale competente sau de o alta persoana supusa, de asemenea, unei obligatii de confidentialitate in temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme nationale competente'.

Curtea subliniaza ca in discutie este rezultatul negativ al unui test medical efectuat la 09.08.2021 de reclamanta pentru depistarea virusului SARS-Cov-2.

Or, nu se afla in aceeasi situatie persoanele care obtin un rezultat negativ la testarea medicala si cele care obtin un rezultatul de confirmare a imbolnavirii cu virusul SARS-Cov-2.

Desi partea parata pretinde incidenta art.9 alin.2 pct.g) din Regulamentul UE 2916/697 (RGPD), totusi nu prezinta nicio demonstratie ca prelucrarea ar fi necesara din motive de interes public major.

In acest din urma sens, o astfel de prelucrare s-ar putea justifica in cazul persoanelor care au testat pozitiv la virusul SARS-Cov-2, nu insa si pentru cele care nu figureaza ca fiind bolnave de COVID-19 si care au recurs la testare fie in scop de confirmare a starii de sanatate, fie pentru a fi avut acces limitat / temporar la o activitate conditionata in timpul starii de alerta.

Din perspectiva interesului public, o persoana care obtine un rezultat negativ la testul efectuat este echivalenta unei persoane care nu se testeaza si cu privire la care nu se cunoaste nicio informatie privind starea de sanatate din perspectiva efectelor SARS-Cov-2. Din moment ce pentru aceasta din urma persoana interesul public nu este reflectat in vreo evidenta a autoritatii publice, nici in cazul persoanei care a recurs la testare, dar rezultatul a fost negativ, nu este justificata prelucrarea in continuare a datelor sale cu caracter personal.

In plus, nerezultand in urma testarii ca partea reclamanta s-ar fi imbolnavit de COVID-19, detinerea in continuare de catre autoritatea publica a datelor sale cu caracter personal la un interval de aproximativ 3 luni de la data testarii nu poate fi justificata nici in scop statistic, situatia partii reclamante fiind deja reflectata in bilantul zilnic realizat de parat corespunzator datei de 09.08.2021, cand s-a produs testarea. Or, doar din perspectiva statistica, autoritatea publica poate utiliza pentru identificarea acelui test efectuat de partea reclamanta un indicativ numeric sau alfanumeric prin care sa il diferentieze de celelalte teste efectuate, nefiindu-i in mod esential necesara si elemente pentru identificarea persoanei fizice, aceasta, cu atat mai mult cu cat dna. Adriana Strugariu se opune prelucrarii in continuare a datelor sale personale.

Referitor la art.9 alin.2 pct.h) din Regulamentul UE 2916/697 (RGPD), ipoteza avuta in vedere de textul regulamentar consta in necesitatea prelucrarii in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament medical sau de gestionarea sistemelor si serviciilor de sanatate sau de asistenta sociala, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru medical si sub rezerva respectarii conditiilor si garantiilor incidente.

Paratii nu au indicat insa utilitatea acelui rezultat negativ al testului medical efectuat de partea reclamanta, cata vreme nu reiese ca era necesara vreo recurgere la medicina preventiva, ca ar fi fost in discutie medicina muncii, ca scopul efectuarii acelui test ar fi fost de evaluare a capacitatii de munca a reclamantei in calitate de angajat sau de stabilire a unui diagnostic medical ori de furnizarea de asistenta medicala sau sociala, a unui tratament medical ori de gestionare a sistemelor si serviciilor de sanatate sau de asistenta sociala.

Din moment ce paratii fac referire la o exceptie instituita de Regulamentul UE 2016/679 (RGPD) pentru a li se permite prelucrarea in continuare a unor date cu caracter personal ce apartin reclamantei, incumba Ministerului Sanatatii si STS demonstrarea indeplinirii cerintelor specifice normei regulamentare. Cu toate acestea, partea parata s-a limitat la o trimitere cu caracter abstract la art.9 alin.2 lit.h) din Regulament. In plus, nu revine instantei sa ii justifice operatorului solicitarea de prelucrare a datelor cu caracter personal.

Nici exceptia de la art.9 alin.2 lit.i) din regulamentul UE 2016/679 nu este incidenta, premisa esentiala de aplicare a acelui text normativ vizand 'motive de interes public in domeniul sanatatii publice, cum ar fi protectia impotriva amenintarilor transfrontaliere grave la adresa sanatatii sau asigurarea de standarde ridicate de calitate si siguranta a asistentei medicale si a medicamentelor sau a dispozitivelor medicale'. Or, testul efectuat de partea reclamanta la 09.08.2021 a inregistrat un rezultat negativ, ceea ce insemna ca dna. Strugariu nu se imbolnavise de COVID-19, motiv pentru care nu constituia vreo amenintare la adresa sanatatii publice si nici nu necesita asistenta medicala ori medicamentatie.

In sfarsit, Curtea constata ca nici ipoteza de la art.9 alin.2 lit.j) din Regulament nu este de natura a permite paratilor sa prelucreze acele date cu caracter personal, simpla referire la scopurile de arhivare in interes public, de cercetare stiintifica sau istorica ori statistice nefiind suficienta pentru a valida conduita autoritatilor publice, intrucat conditiile normative sunt cumulative, implicand de asemenea proportionalitatea cu obiectivul urmarit si respectarea esentei dreptului la protectia datelor.

Prin hotararea Curtii de Justitie a Uniunii Europene din cauza C-817/19, Ligue des droits humains, s-a aratat ca:

'96. ... potrivit unei jurisprudente constante, comunicarea de date cu caracter personal unui tert, precum o autoritate publica, constituie o ingerinta in dreptul fundamental consacrat la articolele 7 si 8 din carta, indiferent de utilizarea ulterioara a informatiilor comunicate. Aceeasi situatie se regaseste in privinta pastrarii datelor cu caracter personal, precum si a accesului la respectivele date in vederea utilizarii lor de catre autoritatile publice. In aceasta privinta, este irelevant daca informatiile vizate referitoare la viata privata prezinta sau nu un caracter sensibil sau daca persoanele interesate au suferit sau nu eventuale inconveniente ca urmare a acestei ingerinte ... 112. Trebuie amintit ca drepturile fundamentale consacrate la articolele 7 si 8 din Carta nu sunt prerogative absolute, ci trebuie luate in considerare in raport cu functia lor in societate ...

113. Potrivit articolului 52 alineatul (1) prima teza din carta, orice restrangere a exercitiului drepturilor si libertatilor recunoscute de aceasta trebuie sa fie prevazuta de lege si sa respecte substanta lor. Potrivit articolului 52 alineatul (1) a doua teza din carta, prin respectarea principiului proportionalitatii, pot fi impuse restrangeri privind aceste drepturi si libertati numai in cazul in care acestea sunt necesare si numai daca raspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesitatii protejarii drepturilor si libertatilor celorlalti. In aceasta privinta, articolul 8 alineatul (2) din carta precizeaza ca datele cu caracter personal trebuie sa fie printre altele prelucrate 'in scopurile precizate si pe baza consimtamantului persoanei interesate sau in temeiul unui alt motiv legitim prevazut de lege'. ... 115. In ceea ce priveste respectarea principiului proportionalitatii, protectia dreptului fundamental la respectarea vietii private la nivelul Uniunii impune, potrivit jurisprudentei constante a Curtii, ca derogarile de la protectia datelor cu caracter personal si restrangerile acesteia sa fie efectuate in limitele strictului necesar. In plus, un obiectiv de interes general nu poate fi urmarit fara a tine seama de faptul ca trebuie conciliat cu drepturile fundamentale avute in vedere de masura respectiva, prin realizarea unei ponderari echilibrate intre, pe de o parte, obiectivul de interes general si, pe de alta parte, drepturile in cauza ... 116. Mai precis, posibilitatea statelor membre de a justifica o restrangere a drepturilor garantate de articolele 7 si 8 din carta trebuie sa fie apreciata masurand gravitatea ingerintei pe care o implica o asemenea restrangere si verificand daca importanta obiectivului de interes general urmarit prin restrangerea respectiva se raporteaza la aceasta gravitate (...)'.

In sens similar a se vedea si hotararea instantei din Luxemburg pronuntata in cauza C-175/20, 'SS' SIA, paragrafele 53 si urmatoarele.

Asadar, respectarea principiului proportionalitatii presupune ca restrangerile privind dreptul la viata privata sub aspectul datelor cu caracter personal sa intervina strict in limita necesitatii si respectand obiective de interes general recunoscute de Uniune sau pentru protejarea drepturilor si libertatilor celorlalti.

Or, nu isi dovedeste utilitatea pentru cercetarea stiintifica sau istorica faptul ca un test medical privind SARS-Cov-2 a fost negativ, persoana fizica respectiva aflandu-se in situatia tuturor celorlalte persoane care nu s-au imbolnavit de COVID-19 sau nu figureaza a se fi imbolnavit de COVID-19. Altfel spus, reclamanta este in situatia oricarei persoane cu privire la care nu exista nicio informatie ca s-ar fi imbolnavit de COVID-19 si cu privire la care autoritatea statala nu realizeaza vreo prelucrare a datelor cu caracter personal. Simplul fapt ca la un moment dat reclamanta a recurs la testare medicala cu rezultat negativ al testului aplicat nu justifica o prelucrare in mod continuu a datelor sale cu caracter personal prin stocare in aplicatia informatica litigioasa CoronaForms.

Curtea constata ca prelucrarea in discutie a datelor cu caracter personal nu isi justifica utilitatea in cazul dnei. Adriana Strugariu, din moment ce autoritatea statala nu realizeaza o prelucrare echivalenta si cu privire la persoanele care nu figureaza a se fi imbolnavit de SARS-Cov-2, respectiv nu realizeaza o prelucrare generala a datelor cu caracter personal apartinand intregii populatii.

Daca informatiile privind persoanele ce s-au imbolnavit de SARS-Cov-2, respectiv unele dintre datele lor cu caracter personal, pot fi utile in scop medical, stiintific si istoric in acord cu disp. art.9 alin.2 din Regulamentul UE 2016/967 (RGPD), nu la aceeasi concluzie se ajunge in ipoteza celor care nu figureaza a fi contractat boala respectiva, intrucat acestea din urma se incadreaza in restul populatiei generale, cu privire la care autoritatea statala nu realizeaza nicio prelucrare de date cu caracter personal.

Nici in scop de arhivare sau statistic nu se justifica prelucrarea amintita, intrucat testul medical efectuat de reclamanta a fost reflectat in bilantul zilei respective, iar diferentierea acelui test poate fi realizata printr-un identificator numeric / alfanumeric, astfel incat aspectul de viata privata privind alegerea reclamantei de a se fi testat medical la un moment dat sa nu fie disponibil autoritatii publice pentru un interval de timp nedeterminat, eventual continuu.

In orice caz, nu exista niciun argument pertinent din perspectiva legala care sa permita partilor parate o 'creare de profiluri' in sensul art.4 pct.4 din Regulament, insemnand orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica.

Fata de cele aratate in precedent, Curtea urmeaza a admite in parte cererea de chemare in judecata formulata de reclamanta Adriana Strugaru in contradictoriu cu paratii Ministerul Sanatatii si Serviciul de Telecomunicatii Speciale, astfel ca va obliga paratii la stergerea din platforma CoronaForms a datelor cu caracter personal privind partea reclamanta in legatura cu testul efectuat de aceasta la 09.08.2021.

Cat despre adresa nr.2/34849/06.12.2021 emisa de Ministerul Sanatatii, aceasta nu constituie un act administrativ propriu-zis, care sa necesite a fi anulat, ci o corespondenta de raspuns in raport de solicitarea reclamantei, prin care este informata despre conduita de refuz a partii parate in a proceda la dispunerea stergerii acelor date cu caracter personal.

Totodata, rap. la art.451 – art.453 CPC, instanta va obliga paratul Ministerul Sanatatii la plata catre partea reclamanta a sumei de 50 de lei cu titlu de cheltuieli de judecata, reprezentand taxa judiciara de timbru.

In acest sens, Curtea retine culpa procesuala exclusiva a partii parate mentionate in legatura cu declansarea si desfasurarea procesului de fata, cata vreme a refuzat sa solutioneze favorabil cererea formulata de reclamanta, invocand un motiv lipsit de fundament legal.

Curtea nu constata insa ca ar reveni si Serviciului de Telecomunicatii Speciale (STS) o culpa procesuala care sa determine obligarea sa la plata cheltuielilor de judecata, mentinerea acestui din urma parat in proces fiind consecinta metodologiei reglementate pentru stergerea datelor cu caracter personal, ce implica pe de o parte dispozitia Ministerului Sanatatii in acest sens, iar pe de alta parte operarea de catre STS a aplicatiei CoronaForms in sensul stergerii efective a datelor cu caracter personal litigioase.

Asadar, culpa procesuala revine in mod esential Ministerului Sanatatii, care a refuzat ab initio solicitarea partii reclamante de a dispune stergerea acelor date cu caracter personal”.

* Cititi aici intreaga sentinta a magistratului Bogdan Cristea

sursa foto Balan: Ora de Sibiu

sursa foto Cristea: Universul Juridic