avocatnet.ro 
Un cetățean din Republica Cehă (L. H.) a cerut ministerului ceh al sănătății să-i comunice anumite informații referitoare la persoanele semnatare ale unor contracte de achiziție de teste COVID-19, precum și la cele menționate în certificatele privind testele respective (documente oficiale care atestau că respectivele teste puteau fi utilizate în UE). L. H. și-a întemeiat cererea pe legislația cehă privind accesul la informațiile publice, care obligă autoritățile să comunice informații din documentele pe care le dețin, dacă acest lucru nu încalcă alte prevederi legale (inclusiv cele referitoare la protecția datelor cu caracter personal).
Ministerul a transmis documentele (contractele și certificatele), însă a anonimizat numele, prenumele, semnătura și funcția reprezentanților companiilor implicate, precum și alte date de contact (e-mail, telefon, eventual și site). Motivul invocat a fost protejarea datelor cu caracter personal, ministerul considerând că nu poate divulga aceste date fără a încălca GDPR.
Nemulțumit de faptul că numele și celelalte date nu erau vizibile, L. H. a sesizat instanța susținând că nu era necesară protejarea datelor unor persoane care acționează în calitate de reprezentanți sau semnatari pentru persoane juridice, mai ales când datele respective apar deja în documente oficiale. Prima instanță a admis acțiunea și a apreciat că ministerul avea obligația să consulte și să informeze persoanele vizate (adică semnatarii), potrivit jurisprudenței naționale, pentru a vedea dacă acestea sunt sau nu de acord cu divulgarea. Nerespectarea acestei obligații a fost considerată un viciu de procedură care invalida decizia ministerului. Ministerul Sănătății a contestat decizia, argumentând că nu avea nicio posibilitate reală de a-i localiza și informa pe semnatarii respectivi, întrucât aceștia erau stabiliți în alte state (companiile erau din China și Regatul Unit). De asemenea, a contestat faptul că o astfel de cerință (consultarea prealabilă a persoanelor vizate) poate fi impusă automat din GDPR.
Curtea Administrativă Supremă a suspedat judecarea și a trimis două întrebări preliminare la CJUE: (1) dacă datele privind semnatarii (nume, prenume, semnătură, date de contact) sunt „date cu caracter personal” în sensul GDPR, (2) dacă regulamentul european se opune unei jurisprudențe naționale care obligă autoritățile să informeze și să consulte persoana vizată înainte de a divulga aceste date din documente oficiale, în scopul protejării vieții private.
Decizia dată de CJUE pe 3 aprilie în cauza C-710/2023 a confirmat că astfel de informații despre reprezentanții unei societăți intră în sfera noțiunii de date cu caracter personal chiar dacă vizează o activitate profesională. Transmiterea ori punerea la dispoziție a acestor informații reprezintă o „prelucrare” și trebuie să îndeplinească exigențele GDPR, inclusiv principiile legalității, echității și transparenței prelucrării.
În plus, Curtea a arătat că jurisprudența națională poate impune, în anumite condiții, operatorilor (în acest context, autorităților publice) obligația de a informa și de a consulta persoana vizată înainte de a comunica datele sale cu caracter personal. O asemenea cerință suplimentară nu contravine GDPR atât timp cât nu duce la o restricționare disproporționată a accesului la informațiile din documentele oficiale. Cu alte cuvinte, statele membre pot spori garanțiile de protecție a datelor, dar trebuie să păstreze un echilibru rezonabil între dreptul la protecția datelor cu caracter personal și interesul public de a avea acces la documente oficiale.
Totuși, Curtea a subliniat că, dacă informarea sau consultarea prealabilă a persoanelor vizate este practic imposibilă, este excesiv de împovărătoare sau ar bloca efectiv accesul la informațiile publice, nu se poate refuza comunicarea doar din acest motiv. Este necesar a se efectua un test de proporționalitate și, dacă nu există alte impedimente, datele pot fi divulgate în mod legal, fără consimțământ explicit de la persoanele vizate.
Lumyna 
MagdalenaMariaGrosu