Universuljuridic.ro PREMIUM
Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.
Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.
Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!
766 views
1. Introducere
În încercarea de realizare a unei tipologii privind protecţia datelor în timpul pandemiei[1] am explicat de ce Regulamentul general privind protecţia datelor (RGPD)[2] nu a fost suspendat sau abrogat pe perioada pandemiei. Starea de urgenţă medicală, asemănătoare situaţiilor de criză umanitară, ar putea să conducă la aplicarea unor excepţii de la dispoziţiile fundamentale privind drepturile omului, în ceea ce priveşte respectarea vieţii private şi de familie (art. 7), protecţia datelor cu caracter personal (art. 8), protecţia sănătăţii (art. 35) şi dreptul la o cale de atac eficientă şi la un proces echitabil (art. 47)[3]. Chiar şi aplicarea situaţiilor de excepţie trebuie documentate de operator sau prevăzute în lege. Trebuie subliniat că dreptul la protecţia datelor nu este absolut: „Dreptul la protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporţionalităţii. (…) Regulament[ul] respectă toate drepturile fundamentale şi libertăţile şi principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieţii private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertăţii de gândire, de conştiinţă şi de religie, a libertăţii de exprimare şi de informare, a libertăţii de a desfăşura o activitate comercială, dreptul la o cale de atac eficientă şi la un proces echitabil, precum şi diversitatea culturală, religioasă şi lingvistică.”
Uniunea Europeană a depus eforturi susţinute în toate domeniile, economic, politic şi chiar justiţie pentru coordonarea acţiunilor. În domeniul justiţiei, se vor avea în vedere elementele legislative comparative pentru fiecare stat membru, disponibile pe portalul e-justiţie[4].
În al doilea rând, trebuie subliniat că situaţiile de urgenţă medicală au subliniat unele probleme în ceea ce priveşte organizarea activităţii de executare silită. În secţiunea referitoare la aspectele practice, vom detalia câteva elemente ale expresiei destul de vagi „măsuri tehnice şi organizatorice” (art. 32 RGPD).
În al treilea rând, trebuie subliniat că deşi executarea silită este parte a parte a procesului civil[5], şi, în consecinţă, beneficiază de dispoziţiile referitoare la autonomia procesuală în raport cu dreptul Uniunii Europene, totuşi, executorul judecătoresc este operator în sensul Regulamentului şi îi sunt aplicabile dispoziţiile, precum şi legislaţia română de punere în aplicare[6].
În al patrulea rând, este prematur să discutăm despre eventuale breşe de securitate[7].
2. Situaţii şi probleme apărute în timpul pandemiei
2.1. Executorul judecătoresc este operator
Prin raportarea la dispoziţiile regulamentului, considerăm că este necesar să avem în vedere că executorul judecătoresc este operator. Această afirmaţie este întemeiată şi pe considerentul 20 din Regulament: „Deşi prezentul regulament se aplică, inter alia, activităţilor instanţelor şi ale altor autorităţi judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operaţiunile şi procedurile de prelucrare în ceea ce priveşte prelucrarea datelor cu caracter personal de către instanţe şi alte autorităţi judiciare.” Executorul nu poate fi considerat împuternicit în raport cu cererea creditorului, chiar dacă prin această cerere se stabilesc unele limite ale executării. Aceste date şi informaţii, care sunt furnizate de creditor nu pot fi altele decât cele care decurg din titlul care se pune în executare şi în consecinţă chiar şi creditorul este limitat de acest titlu, de exemplu de hotărârea judecătorească[8]. Potrivit alin. (1) din art. 24 din RGPD, operatorul a fost şi este obligat să-şi analizeze procedurile: „ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.” În consecinţă, executorul judecătoresc va trebui să respecte toate drepturile persoanelor vizate[9], cerinţele referitoare la proceduri, de exemplu întocmirea evidenţei activităţilor de prelucrare (art. 30)[10] şi răspunde pentru respectarea principiilor.
2.2. Respectarea principiilor
În timpul pandemiei s-au utilizat foarte mult transmiterea documentele în mediul electronic. Cu cât numărul persoanelor care intră în contact cu documentele este mai mare cu atât riscurile cresc. Este necesar, aşadar, ca în respectarea principiilor[11] din art. 5 RGPD, să se dea prioritate reducerii la minimum a datelor, integritate, confidenţialitate, transparenţă şi confidenţialitate[12].
Prin minimizarea datelor prelucrate [art. 5 alin. (1) lit. c)] operatorul se asigură că datele prelucrate sunt „adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate”. Respectarea acestui principiu este de o importanţă practică serioasă în perioadele sau în activităţile în care se utilizează foarte mult comunicarea electronică.
Este demonstrat că în această perioadă a crescut numărul atacurilor cibernetice[13]. Aşadar, pentru ca acestea să nu aibă eficienţă şi să pericliteze datele cu caracter personal, operatorul trebuie să se asigure că datele sunt „prelucrate într-un mod care asigură securitatea adecvată a [acestora], inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.
În privinţa principiului transparenţei, acesta trebuie adaptat mijloacelor şi modalităţilor de comunicare electronică. Exercitarea drepturilor persoanei vizate trebuie să se realizeze în orice cadru, fizic sau digital, şi operatorul este responsabil de corelarea condiţiilor de desfăşurare a activităţii. De exemplu, notele de informare trebuie adaptate mediului electronic şi disponibile într-un format accesibil, adecvat majorităţii persoanelor vizate.
2.3. Transferul de date şi utilizarea e-mailului
Transferul de date trebuie să fie intens studiat având în vedere că acesta cuprinde acţiunea voluntară a executorului judecătoresc (a operatorului, în termenii RGPD) prin care transmite date cu caracter personal. Este corect ca executorul şi creditorul să ia măsuri în ceea ce priveşte criptarea datelor transmise şi desigur, aceasta este o ipoteză cu totul livrească, ca, în situaţia unei solicitări privind stadiul executării silite, executorul să transmită creditorului doar date privind activitatea dintre aceştia şi nu şi date ale unor terţi (în fapt un tabel cu toate activităţile de executare).
Poarta principală de intrare şi de ieşire a informaţiilor, datelor, documentelor de la un operator este e-mailul. O primă observaţie care trebuie făcută este aceea că adresa de poştă electronică trebuie să fie dedicată cu conexiune pe un server controlabil de operator sau pentru care operatorul are contract (de preferinţă, server situat în unul din statele membre ale Uniunii Europene). Utilizarea adreselor comerciale, gmail, yahoo aduce atâtea riscuri încât nu există niciun beneficiu care să le compenseze. Utilizarea adreselor de e-mail personalizate dar utilizarea unor facilităţi, de tipul redirecţionării tuturor e-mailurilor la o adresă comercială sau utilizarea gmail ca platforma pentru adresa respectivă poate aduce riscuri suplimentare. O a doua observaţie, se referă la deschiderea mesajelor şi instruirea angajaţilor cu privire la primele măsuri în cazul producerii unor atacuri informatice.
O ultimă situaţie invocată în practică este formularea unor adrese comune de înfiinţare a popririi de către executor către entităţile bancare, cu liste de debitori[14].
Utilizarea criptării în transmiterea documentelor este o altă măsură de siguranţă care trebuie introdusă cu caracter de regulă în activitatea executorilor din România.
2.4. Când devine debitor, persoana despre care creditorul crede că este debitor?
Din momentul introducerii cererii pentru executarea unui titlu, executorul judecătoresc este legal învestit şi prelucrează în temeiul legii datele personale ale creditorului şi datele puse la dispoziţie de acesta. Din momentul în care instanţa încuviinţează executarea silită, executorul judecătoresc se află în prezenţa unui debitor, cu toate drepturile şi obligaţiile care derivă din aceste calificări. Practica anumitor instanţe judecătoreşti care în cursul încuviinţării executării solicită executorului datele personale ale debitorului şi depunerea diligenţelor necesare pentru aflarea acestor date ar putea crea anumite probleme. Dacă analizăm art. 6 RGPD, referitor la temeiurile prelucrării, vom observa că nu suntem în prezenţa unui contract (între executor şi creditor) şi că nu există un temei legal. Ar mai fi de analizat consimţământul şi interesul vital, însă aceste temeiuri nu sunt de luat în considerare. Având în vedere precizările reglementării privind interesul legitim, considerăm că, chiar şi în situaţia în care debitorul este încă „pendinte” executorul poate depune diligenţele necesare referitoare la datele acestuia în temeiul art. 6 alin. (1) lit. (e) „prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul”[15].
Principiile sunt respectate şi există temei juridic pentru prelucrarea datelor debitorului în situaţia, mai puţin documentată în acest moment, dar prezentă adeseori în urmă cu mai mulţi ani referitoare la formularea unei notificări prin intermediul executorului judecătoresc înainte de deschiderea dosarului de executare (încuviinţare). Acest temei se află în cererea creditorului, care poate formula notificări prin intermediul executorului, chiar şi în privinţa unui debitor care ar fi posibil subiect al unei executări silite[16].
Concluzii
Pandemia, urgenţa şi alerta au contribuit la o digitalizare a serviciilor şi transferarea multor activităţi în mediul on-line. Digitalizarea aceasta a fost forţată şi a intervenit intempestiv. Facilităţile privind comunicarea au şi riscuri care pot fi eliminate sau minimizate prin introducerea unor măsuri tehnice şi organizatorice adecvate. Starea de urgenţă sau de alertă nu au eliminat rigorile aplicării Regulamentului general privind protecţia datelor, dovadă fiind activitatea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal din această perioadă în impunerea unor măsuri corective, inclusiv a unor amenzi.
* Este extras din Revista Pandectele Române nr. 4/2020.
[1] D.-M. Şandru, Tipologia protecției datelor cu caracter personal în situații de criză medicală: coronavirus COVID-19, în Pandectele române nr. 1/2020, p. 28-43.
[2] Regulamentul (UE) nr. 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei nr. 95/46/CE (Regulamentul general privind protecția datelor) a fost publicat în J. Of. L 119 din 4 mai 2016, p. 1-88. I. Alexe, C.M. Banu, De la directivă la regulament în reglementarea, la nivelul Uniunii Europene, a protecţiei datelor cu caracter personal, în vol. I. Alexe, N.-D. Ploeşteanu, D.-M. Şandru (coordonatori), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, 2017, p. 14 şi urm.
[3] Toate dispozițiile menționate sunt din Carta drepturilor fundamentale a Uniunii Europene, text cu valoare de tratat adoptat prin Tratatul de la Lisabona, J. Of., C 326 din 26 octombrie 2012, a se vedea şi A.-M. Şandru, Privire critică asupra jurisprudenţei Curţii de Justiţie a UE referitoare la interpretarea art. 8 privind protecţia datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în Pandectele Române nr. 1/2018, p. 26-33.
[4] Documentul se găseşte la adresa https://e-justice.europa.eu/fileDownload.do?id=95ed6ae9-7951-444f-add7-eebe49f29876 Acelaşi efort se regăseşte şi la nivelul Consiliului Europei: https://www.coe.int/en/web/cepej/compilation-comments.
[5] A. Tabacu, Drept procesual civil, Legislaţie internă şi internaţională, Doctrină şi jurisprudenţă, Ed. Universul Juridic, Bucureşti, 2019, p. 38.
[6] E. Oprina, V. Bozeşan, Cu privire la executarea silită în timpul pandemiei: Executarea silită pe durata stării de urgență, Universuljuridic.ro, 7 mai 2020 care analizează legalitatea, din perspectiva procedurii civile.
[7] Una dintre sancțiunile recente ale autorității din România, „Autoritatea Națională de Supraveghere a finalizat în data de 23 iunie 2020 o investigație la operatorul Proleasing Motors SRL şi a constatat încălcarea dispozițiilor art. 32 alin. (1) şi (2) din Regulamentul General privind Protecția Datelor. Operatorul Proleasing Motors SRL a fost sancționat contravențional cu amendă în cuantum de 72.642 lei, echivalentul a 15.000 euro. Încălcarea securității a constat în faptul că, pe pagina de Facebook pe care operatorul a desfăşurat un concurs on-line de atragere a clienților participanți în service-ul auto, a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă şi parola de acces la formularele completate de participanții la concurs.” Comunicatul este disponibil la adresa https://www.dataprotection.ro/?page=Comunicat_09_07_20&lang=ro. Pe larg, se vedea: I. Alexe, Experiențe ale aplicării amenzilor administrative din România în domeniul GDPR, în Pandectele Române nr. 5/2019, p. 79-95; I. Alexe, Regimul sancționator prevăzut de Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, în Revista Curierul Judiciar nr. 1/2018, p. 36-42.
[8] Calitatea de operator a executorului judecătoresc a fost confirmată şi de Judecătoria Sectorului 4 Bucureşti care, în sentința civilă nr. 12986/2019 rămasă definitivă prin neapelare, a statuat că „având în vedere specificul activității desfăşurate de executorii judecătoreşti, precum şi faptul că, potrivit prevederilor Legii nr. 188/2000, birourile executorilor judecătoreşti au arhivă şi registratură proprie, fiind responsabile de depozitarea şi conservarea arhivelor, instanța constată că executorii judecătoreşti au calitatea de operatori de date cu caracter personal în sensul Regulamentului nr. 679/27 aprilie 2016.” Sentința civilă nr. 16986/2019 a Judecătoriei Sector 4 disponibilă la adresa http://rolii.ro/hotarari/5db8faf8e49009481800007e.
[9] În primul rând informarea persoanelor vizate, având în vedere că temeiul prelucrării nu este consimțământul. Cu privire la un exemplu de notă de informare, a se vedea: Lacrima Bianca Luntraru, Incidența GDPR în exercițiul profesiei de executor judecătoresc, în vol. E. Hurubă (coord.), Conferința internațională „Procesul civil şi executarea silită. De la clasic la modern”, Târgu Mureş, Ed. Universul Juridic, 2019.
[10] S.-D. Şchiopu, Evidenţa activităţilor de prelucrare a datelor cu caracter personal efectuate în cadrul biroului de executor judecătoresc, în Revista Română de Executare Silită nr. 4/2018, p. 68-79.
[11] A se vedea: D.-M. Şandru, La vremuri noi, principii vechi. Observații critice privind două expresii noi introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista Română de Drept al Afacerilor nr. 1/2018, p. 80-83.
[12] Pe larg: D.-M. Şandru, Principiile integrităţii şi confidenţialităţii în protecţia datelor personale, în Supliment Revista de drept public, 2018, p. 39-46. A se vedea şi „Principiul asigurării secretului informațiilor primite” în I. Gârbuleț, Actele executorului judecătoresc, Ed. Universul Juridic, 2014, p. 46.
[13] A se vedea: Interpol, Global landscape on COVID-19 cyberthreat (la adresa https://www.interpol.int/en/Crimes/Cybercrime/COVID-19-cyberthreats), precum şi numeroasele articole dintre care amintim: R. Espinoza, What you need to know about COVID-19-related cyberattacks. Cyberattacks are intensifying in the United States and globally, https://techcrunch.com/, 14 aprilie 2020.
[14] L. Mosoreti-Panait, Protecţia datelor personale pentru executorii judecătoreşti, în Curierul național, 10 aprilie 2019 (curierulnational.ro).
[15] A se vedea şi art. 2 alin. (1) din Legea nr. 188/2000 privind executorii judecătoreşti: „executorii judecătoreşti sunt învestiţi să îndeplinească un serviciu de interes public”. O analiză detaliată a temeiurilor de prelucrare şi a tipurilor de date: R.N. Popescu, GDPR. Datele cu caracter personal prelucrate de un executor judecătoresc în cadrul unui dosar de executare silită, JURIDICE.ro, 6 august 2018.
[16] I. Gârbuleț, op. cit., p. 118.
