Clarificari procedurale, aduse prin Legea nr. 129/2018, asupra activitatii de control a Autoritatii de Supraveghere a Datelor cu Caracter Personal, precum si asupra cailor de atac impotriva actelor emise de aceasta autoritate

La data de 24.06.2018 a intrat in vigoare Regulamentul Parlamentului European si al Consiliul Uniunii Europene nr. 679/27.04.2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei nr. 94/45/CE (denumit in continuare in mod generic “Regulamentul”).

 

Deja am observat, in scurtul timp scurs de la intrarea sa in vigoare, o foarte mare preocupare, in randul agentilor economici, pentru studierea prevederilor Regulamentului, pentru implementarea, la nivelul lor, a unor proceduri menite sa asigure respectarea drepturilor persoanelor fizice la protectia datelor cu caracter personal. Aceasta preocupare vine, nu in ultimul rand, si din dorinta de a preveni sanctiuni de ordin pecuniar destul de costisitoare, in cazul incalcarii dispozitiilor acestui act normativ european.

Va reamintim pe aceasta cale, ca datele cu caracter personal sunt definite de Regulament ca fiind „orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”). O persoana fizica identificabila este o persoana care poata fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identificarii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

Termenul de prelucrare este, de asemenea, definit de Regulament, ca fiind „orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmiterea, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.”

Regulamentul a instituit un set de norme menite sa asigure respectarea principiului prelucrarii datelor cu caracter personal numai in scopuri legitime, limitativ prevazute, cu asigurarea confidentialitatii acestor date si a dreptului de interventie, al persoanei vizate, in ceea ce priveste modul in care datele sale personale sunt utilizate de catre terti.

Reglementarea din dreptul nostru intern privitoare la protectia datelor cu caracter personal, Legea nr. 677/2001, a fost abrogata, prin Legea nr. 129/2018, iar detalii specifice implementarii si aplicarii Regulamentului, la nivel institutional, in Romania, au fost reglementate prin Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

 

La data de 25.06.2018, a intrat in vigoare Legea nr. 129/2018 pentru modificarea si completarea Legii nr. 102/2005  privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, precum si pentru abrogarea Legii nr. 677/2001 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Legea nr. 129/2018 aduce importante clarificari privind modul in care Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (denumita in continuare „Autoritatea de Supraveghere”) isi desfasoara activitatea, precum si caile de atac impotriva proceselor verbale pe care aceasta autoritate le intocmeste pentru sanctionarea faptelor constatate, de incalcare a dispozitiilor Regulamentului.

Activitatea de control, efectuata de Autoritatea de Supraveghere, sanctiuni aplicabile si cai de atac impotriva respectivelor sanctiuni

In exercitarea atributiunilor de control, Autoritatea de Supraveghere efectueaza, prin personalul sau, investigatii, inclusiv prin inopinare, avand dreptul sa solicite de la operatorul de date cu caracter personal (agentul economic ce prelucreaza asemenea date) orice informatii si documente, indiferent de suportul de stocare, sa ridice copii de pe acestea, sa aiba acces la oricare dintre incintele operatorului si persoanei imputernicite de operator, precum si sa aiba acces si sa verifice orice echipament, mijloc sau suport de stocare a datelor, necesar desfasurarii investigatiilor.

Daca operatorul impiedica in orice mod accesul personalului Autoritatii de Supraveghere in efectuarea investigatii, aceasta poate solicita autorizarea judiciara, printr-o cerere adresata Curtii de Apel Bucuresti. Cererea de autorizare se solutioneaza de Presedintele Curtii de Apel Bucuresti ori de catre un judecator delegat de acesta, in camera de consiliu, fara citarea partilor, in termen de maxim 48 de la inregistrarea cererii. Incheierea de autorizare se motiveaza si se comunica operatorului, in termen de 48 de pronuntare.

In cadrul investigatiilor, Autoritatea de Supraveghere poate dispune efectuarea de expertize si audierea persoanelor ale caror declaratii sunt considerate relevante si necesare, iar identificarea si pastrarea obiectelor, precum si aplicarea de sigilii se realizeaza in conformitate cu dispozitiile Codului de procedura penala (Legea nr. 135/2010).

In activitatea de control, Autoritatea de Supraveghere poate aplica masurile corective prevazute de art. 58 alin. 2 din Regulament:

  1. Emiterea de avertizari catre operator ori catre persoana imputernicita de operator cu privire la posibilitatea ca operatiunile de prelucrare sa incalce dispozitiile Regulamentului;
  2. Emiterea de avertizari catre operator ori catre persoana imputernicita de operator in cazul in care operatiunile de prelucrare au incalcat dispozitiile Regulamentului;
  3. Emiterea de dispozitii catre operator ori catre persoana imputernicita de operator, sa respecte cererile persoanei vizate de a-si exercita drepturile in temeiul Regulamentului;
  4. Emiterea de dispozitii catre operator ori catre persoana imputernicita de operator, sa asigure conformarea operatiunilor de prelucrare cu dispozitiile Regulamentului, specificand, dupa caz, modalitatea si termenul – limita pentru aceasta;
  5. Obligarea operatorului sa informeze persoana vizata cu privire la o incalcare a protectiei datelor cu caracter personal;
  6. Impunerea unei limitari temporare sau definitive, inclusiv o interdictie asupra prelucrarii;
  7. Rectificarea sau stergerea datelor cu caracter personal, sau restrictionarea prelucrarii;
  8. Notificarea destinatarilor, carora le-au fost divulgate datele cu caracter personal, asupra rectificarii, stergerii datelor cu caracter personal sau restrictionarii prelucrarii;
  9. Retragerea unei certificari sau obligarea organismului de certificare la retragerea unei certificari, precum si obligarea organismului de certificare sa nu elibereze o certificare in cazul in care cerintele de certificare nu sunt ori nu mai sunt indeplinite;
  10. Impunerea de amenzi administrative, in completarea sau in locul masurilor detaliate la pct. 1-9 de mai sus, in functie de circumstanta fiecarui caz in parte (amenzile administrative sunt de pana la 10.000.000 euro daca nu s-au respectat obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39, 42 și 43 si 20.000.000 euro sau 4% din cifra de afaceri daca incalcarile au fost mai grave, luandu-se in calcul cea mai mare valoare);
  11. Dispunerea suspendarii fluxurilor de date catre un destinatar dintr-o tara terta sau catre o organizatie internationala.

Legea nr. 129/2018 specifica faptul ca sanctiunile contraventionale principale, pe care le aplica Autoritatea de Supraveghere, sunt mustrarea si amenda.

Conform Regulamentului, decizia de impunere a unei amenzi administrative si cuantificarea valorii amenzii sunt individualizate in functie de urmatoarele aspecte:

  1. natura, gravitatea si durata incalcarii, tinandu-se seama de (i) natura, (ii) domeniul de aplicare, (iii) scopul prelucrarii in cauza, (iv) numarul de persoane vizate afectate si de nivelul prejudiciilor suferite de acestea;
  2. daca incalcarea a fost comisa intentionat ori din neglijenta;
  3. actiunile intreprinse de operator sau de persoana imputernicita de operator pentru a reduce prejudiciul suferit de persoana vizata;
  4. gradul de responsabilitate al operatorului sau al persoanei imputernicite de operator, tinandu-se seama de masurile tehnice si organizatorice implementate de acestia;
  5. eventualele incalcari anterioare relevante comise de operator sau de persoana imputernicita de operator;
  6. gradul de cooperare cu Autoritatea de supraveghere pentru a remedia incalcarea si a atenua posibilele efecte negative ale incalcarii;
  7. categoriile de date cu caracter personal afectate de incalcare;
  8. modul in care au fost sau nu respectate, de catre operator sau de persoana imputernicita, masurile adoptate anterior de Autoritatea de Supraveghere, pentru remedierea unor incalcari precedente;
  9. in cazul in care masurile dispunse anterior de Autoritatea de Supraveghere, in special daca si in ce masura operatorul sau persoana imputernicita de operator a notificat incalcarea;
  10. aderarea la coduri de conduita aprobate, conform cerintelor Regulamentului, la mecanisme de certificare aprobate;
  11. orice alt factor agravant sau atenuant aplicabil circumstantelor cazului, cum ar fi beneficiile financiare dobandite sau pierderile evitate in mod direct sau indirect, de pe urma incalcarii.

Sanctiunile contraventionale pot fi aplicate in termen de 3 ani de la data savarsirii faptei. In cazul in care incalcarea dureaza in timp sau consta in actiuni ori inactiuni repetitive, pe o perioada mai lunga de timp, prescriptia raspunderii incepe sa curga de la data incetarii ultimului act sau fapt savarsit.

Foarte important este faptul ca termenul de prescriptie se intrerupe prin efectuarea oricarui act de procedura in cazul investigat, insa fara a putea depasi 4 ani de la data savarsirii faptei.

Aplicarea sanctiunii se efectueaza, de Autoritatea de Supraveghere, prin proces – verbal de constatare/sanctionare, respectiv prin decizie de aplicare a masurii corective. Impotriva procesului – verbal, respectiv a deciziei emise de Autoritatea de Supraveghere, operatorul sau persoana imputernicita de operator pot formula contestatie, la sectia de contencios administrativ a tribunalului competent (tribunalul in a carei circumscriptie isi are sediul operatorul ori cea in a carei circumscriptie isi are sediul Autoritatea de Supraveghere). Termenul de formulare a contestatiei este de 15 zile de la comunicare.

Hotararea de solutionare a contestatiei, poate fi atacata numai cu apel, ce urmeaza a fi solutionat de curtea de apel competenta. Legea nr. 129/2018 nu specifica care este termenul de apel, situatie in care opinam ca termenul de apel este cel de 30 de zile de la comunicare, general – prevazut de dispozitiile art. 468 alin. (1) Cod procedura civila.

Activitatea de solutionare a plangerilor

Al doilea rol important acordat de legiuitor in competenta Autoritatii de Supraveghere il reprezinta solutionarea plangerilor ce pot fi depuse de orice persoana vizata, care considera ca prelucrarea datelor sale cu caracter personal incalca prevederile legale. Persoana vizata se poate adresa Autoritatii de Supraveghere, in asemenea cazuri, transmitand plangerea prin orice mijloace de comunicare, inclusiv cele electronice.

Plangerea poate fi formulata si prin reprezentant conventional, avocat sau mandatar, cu atasarea dovezilor aferente, precum si prin intermediul unui organism, al unei organizatii, al unei asociatii ori fundatii fara scop patrimonial, constituita legal, cu atasarea dovezilor privitoare la imputernicirea acordata de persoana vizata.

Plangerea se solutioneaza in termen de maxim 45 de zile de la data inregistrarii, prin decizie emisa de Presedintele Autoritatii de Supraveghere. In cazul in care se constata ca informatiile din plangere ori documentele transmise de catre persoana vizata sunt incomplete sau insuficiente, Autoritatea de Supraveghere poate solicita petentului completarea plangerii, cu prelungirea termenului de solutionare pentru o noua perioada de 45 de zile.

In cazul in care Autoritatea de Supraveghere apreciaza plangerea ca fiind admisibila, demareaza o investigatie, informand petentul atat asupra deschiderii investigatiei, cat si asupra evolutiei investigatiei, periodic la fiecare 3 luni, pana la finalizarea acesteia. Rezultatul investigatiei, de asemenea, se comunica petentului, in termen de 45 de zile de la finalizare.

In situatia in care Autoritatea de Supraveghere nu respecta termenele de comunicare a deciziei privind admisibilitatea, respectiv a evolutiei investigatiilor sau asupra rezultatului, petentul poate parcurge procedura prealabila prevazuta de Legea contenciosului administrativ nr. 554/2004, adresandu-se apoi sectiei de contencios administrativ a tribunalului competent, cu o actiune in contencios administrativ.

Cai de atac  judiciare, ale Autoritatii de Supraveghere,

in cazul constatarii de incalcari a drepturilor persoanelor vizate

Legea nr. 129/2018 reglementeaza dreptul Autoritatii de Supraveghere de a se adesa instantei competente, ori de cate ori apreciaza ca au fost incalcate oricare dintre drepturile persoanelor vizate. Persoanele vizate dobandesc calitatea de reclamanti, iar daca persoana vizata isi insuseste actiunea, calitatea procesuala activa a Autoritatii de Supraveghere inceteaza. Pe de alta parte, in situatia in care persoana vizata nu isi insuseste plangerea, instanta va anula cererea, conform Codului de procedura civila. Atat actiunea initiala, cat si caile de atac sunt scutite de plata taxei de timbru.

Legea nr. 129/2018 nu detaliaza asupra obiectului unor asemenea actiuni, mai ales in contextul in care, ca urmare a efectuare a activitatii de control, respectiv de solutionare a plangerilor, Autoritatea de Supraveghere aplica sanctiunile aferente respectivelor incalcari.

Prin urmare, deducem faptul ca obiectul unor asemenea actiuni il reprezinta obligarea operatorului la plata daunelor/despagubirilor cuvenite persoanei vizate, pentru acoperirea prejudiciilor ce i-au fost cauzate prin incalcarea drepturilor sale la protectia datelor cu caracter personal.

Concluzionand, apreciem ca protectia datelor cu caracter personal, in lumina noilor reglementari, va deschide un domeniu foarte interesant de cercetare juridica, iar instantele judecatoresti, prin jurisprudenta ce se va naste, vor completa eventualele neclaritati, cu interpretari specifice diferitelor cazuri de incalcari ale dispozitiilor Regulamentului.

Cristina Cornaci

 

Înscriere newsletter

Abonați-vă la newsletter pentru a fi la curent cu toate noutățile Avestis.

Vă rugăm să așteptați...

Mulțumim pentru înscrierea la newsletter!

 

Etichete: , , ,