Întrucât datele cu caracter personal ajung, de foarte multe ori, să circule, accidental sau nu, fără acordul sau informarea persoanelor în cauză, este necesar ca toţi cei implicati în activitatea de resurse umane să cunoască obligaţiile legale ce le revin privind protejarea şi respectarea acestui tip de date, aferente candidaţilor şi angajaţilor.
În practica judiciară s-a dus problema dacă administratorul unui site internet poate avea un interes legitim de a stoca anumite date cu caracter personal ale vizitatorilor pentru a se apăra împotriva atacurilor cibernetice.
Care este situaţia de fapt?
Potrivit ştirilor juridice, domnul Patrick B. se opune în fața instanțelor germane la înregistrarea și stocarea adreselor sale de protocol internet („adrese IP”) de către site-urile internet ale organismelor federale germane. Aceste organisme înregistrează și stochează, pe lângă data și ora consultării, adresele IP ale vizitatorilor pentru a preveni atacurile cibernetice și a face posibilă urmărirea penală.
Bundesgerichtshof (Curtea Federală de Justiție, Germania) a sesizat Curtea de Justiție pentru a stabili dacă în acest context adresele IP dinamice constituie de asemenea, în privința administratorului site-ului internet, o dată cu caracter personal și beneficiază, astfel, de protecția prevăzută pentru astfel de date. O adresă IP dinamică este o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu permit să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet. Astfel, numai furnizorul de acces la internet al domnului B. dispune de informațiile suplimentare necesare pentru a-l identifica.
Bundesgerichtshof solicită să se stabilească dacă administratorul unui site internet trebuie, cel puțin în principiu, să aibă posibilitatea de a colecta și de a utiliza ulterior datele cu caracter personal ale vizitatorilor pentru a asigura funcționalitatea generală a site-ului său. Instanța menționată precizează în această privință că majoritatea doctrinei germane interpretează reglementarea germană în materie în sensul că aceste date trebuie șterse după terminarea sesiunii de consultare dacă nu sunt necesare în vederea facturării.
Decizia Curţii de Justiţie a Uniunii Europene
Potrivit ştirilor juridice, Curtea răspunde mai întâi că o adresă IP dinamică înregistrată de „un furnizor de servicii de comunicații electronice” (cu alte cuvinte, administratorului unui site internet, în speță organismele federale germane) cu ocazia consultării site-ului său internet pe care îl pune la dispoziția publicului constituie, pentru administrator, o dată cu caracter personal , în cazul în care acesta dispune de mijloace legale care îi permit să identifice vizitatorul cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestuia din urmă.
În al doilea rând, Curtea răspunde că dreptul Uniunii se opune unei reglementări a unui stat membru în temeiul căreia, în lipsa consimțământului vizitatorului, un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal ale vizitatorului numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest vizitator, fără ca obiectivul care vizează asigurarea funcționalității generale a acestor servicii să poată justifica utilizarea datelor după o sesiune de consultare a acestora.
Curtea amintește că, potrivit dreptului Uniunii, prelucrarea datelor cu caracter personal este legală printre altele dacă este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.
În concluzie, administratorul unui site internet poate avea un interes legitim de a stoca anumite date cu caracter personal ale vizitatorilor pentru a se apăra împotriva atacurilor cibernetice.