La infiintarea unei societati comerciale, Registrul Comertului prelucreaza o serie de date necesare asigurarii bunei functionari a procedurii de inregistrare. Printre acestea se numara si datele de contact ale administratorului, care, in unele cazuri, din ce in ce mai des intalnite, coincid cu datele sale personale. In acest sens se ridica urmatoarea intrebare: Cum se face diferenta intre persoana juridica si persoana fizica atunci cand date precum sediul firmei sau numarul de telefon sunt identice cu datele personale ale administratorului?
Datele personale ale administratorului, odata cu infiintarea societatii, isi pierd calitatea de date cu caracter personal, intrucat, potrivit legii care reglementeaza activitatea Registrului Comertului, acele date devin publice si pot fi accesate de orice persoana care are interes si solicita un extras de informare de la ONRC sau de la alte institutii abilitate care pot emite astfel de date.
Cu toate acestea, datele cu caracter personal ale administratorului, desi devin publice, nu pot fi utilizate altfel decat in raport cu calitatea sa de administrator (pentru a contacta societatea, pentru a transmite o oferta de contractare, samd), neputand face obiectul unei prelucrari care sa exceada acest scop (spre exemplu pentru a transmite anunturi publicitare, pentru a include adresa intr-o baza de date care ulterior urmeaza sa fie vanduta, etc.).
Prin urmare, datele cu caracter personal ale administratorului raman „personale” doar in acele situatii in care prelucrarea lor nu mai tine de activitatea comerciala a societatii din care face parte administratorului, acesta din urma asumandu-si prin participarea la viata economica a societatii ca acele date vor deveni publice.
Mai mult decat atat, Grupul de Lucru 29 pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal constituit prin Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 Octombrie 1995, la data formularii GDPR, defineste si explica in detaliu conceptul directivei si mentioneaza:
“Protectia conferita de dispozitiile directivei se aplica persoanelor fizice, adica, fiintelor umane. Dreptul la protectia datelor personale este, in acest sens, un drept personal care nu este restrictionat la resortisantii sau la rezidentii dintr-o anumita tara. Motivul 2 din directiva subliniaza acest lucru in mod explicit si prevede ca: „sistemele de prelucrare a datelor sunt in serviciul omului” si ca acestea „trebuie, indiferent de nationalitatea sau resedinta persoanelor fizice, sa le respecte drepturile si libertatile fundamentale”. Conceptul de persoana fizica este mentionat la articolul 6 din Declaratia Universala a Drepturilor Omului, in conformitate cu care „fiecare om are dreptul sa i se recunoasca pretutindeni personalitatea juridica”. Legislatia din statele membre, de obicei in domeniul dreptului civil, subliniaza mai clar conceptul de personalitate a fiintelor umane, acesta fiind inteles ca reprezentand capacitatea de a fi subiectul unor raporturi juridice, incepand cu nasterea persoanei si sfarsind cu moartea acesteia. Datele cu caracter personal sunt, in consecinta, date referitoare, in principiu, la persoanele in viata identificate sau identificabile.”
In ceea ce priveste persoanele Juridice, grupul de lucru formuleaza urmatoarele:
Avand in vedere faptul ca definitia datelor cu caracter personal se refera la persoane, adica la persoane fizice, informatiile referitoare la persoane juridice nu sunt, in principiu, acoperite de directiva, iar protectia acordata de aceasta nu se aplica acestora. Unele dispozitii ale Directivei 2002/58/CE privind protectia vietii private se extind asupra persoanelor juridice. Articolul 1 al acesteia prevede ca „alineatul (2). Prevederile prezentei directive explica si completeaza Directiva 95/46/CE in scopurile mentionate la alineatul (1). Mai mult, acestea sunt menite a asigura protectia intereselor legitime ale abonatilor persoane juridice”. In consecinta, articolele 12 si 13 extind aplicarea unor dispozitii privind listele de abonati si comunicatiile nesolicitate si asupra persoanelor juridice.
Curtea Europeana de Justitie a clarificat faptul ca nimic nu poate impiedica statele membre sa extinda domeniul de aplicare al legislatiei nationale de punere in aplicare a dispozitiilor directivei la domenii care nu intra in domeniul de aplicare al acesteia, cu conditia ca nici o alta dispozitie a dreptului comunitar sa nu impiedice acest lucru. Ca urmare, state membre precum Italia, Austria, Luxemburg au extins aplicarea anumitor dispozitii ale legislatiei nationale in conformitate cu Directiva (cum ar fi dispozitiile privind masurile de securitate) in ceea ce priveste prelucrarea datelor referitoare la persoanele juridice.
Ca si in cazul informatiilor privind persoanele decedate, acordurile practice stabilite de operatorii de date pot avea drept rezultat, de asemenea, supunerea datelor referitoare la persoanele juridice de facto dispozitiilor privind protectia datelor. In cazul in care operatorul de date colecteaza date privind persoane fizice sau juridice in mod separat si le include in acelasi set de date, conceperea mecanismelor de prelucrare a datelor si sistemul de control pot fi elaborate astfel incat sa fie conforme dispozitiilor privind protectia datelor. In realitate, poate fi mai usor pentru operator sa aplice dispozitiile privind protectia datelor la toate tipurile de informatii cuprinse in dosarele sale, decat sa incerce sa separe informatiile referitoare la persoane fizice de cele referitoare la persoane juridice.
Avand in vedere cele de mai sus, in situatia in care un administrator regaseste datele de contact pe diverse platforme online, detinute de comercianti privati, se iau in calcul urmatoarele:
Exista unele platforme, cum ar fi ONRC, care, prin lege sunt obligate sa publice aceste date cu caracter personal. Mai departe de acest aspect, exista alte platforme online care ofera date economice si statistice despre anumite societati, care la randul lor, pot sa preia acele date de la ONRC si sa le introduca in propria lor baza de date. Cu toate acestea, majoritatea platformelor renumite din Romania, prevad in Termeni si Conditii ca datele prelucrate sunt folosite strict in scop statistic si informativ, marcand obligativitatea utilizatorilor sa nu preia acele informatii pentru a le utilizeza in alte scopuri (publicitar, includerea datelor intr-o baza de date, etc.). Prin urmare, aceste platforme au o baza legala pentru prelucrarea de date, atat timp cat respecta principiile GDPR si nu sunt folosite pentru a obtine profit de pe urma publicarii lor pe propriile platforme, ci sunt folosite doar pentru a oferi publicului larg date cu caracter personal necesare in vederea informarii generale.
In concluzie, orice persoana vizata este protejata de Regulamentul 679/2016 privind protectia persoanelor fizice prin principiile care il guverneaza (art. 5 din Regulament), precum si prin scopurile care permit prelucrarea datelor cu caracter personal (Art. 6 din Regulament). Astfel, administratorii vor fi protejati de Regulament ori de cate ori datele lor cu caracter personal, desi sunt facute publice conform legii, sunt prelucrate pentru un alt scop decat cel ce coincide cu desfasurarea activitatii societatii din care fac parte. Orice prelucrare a datelor cu caracter personal care nu are la baza unul dintre scopurile prevazute de art. 6 din Regulament, reprezinta o prelucrare nelegala si poate fi sanctionata de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor.