Protecţia datelor cu caracter personal în activitatea executorilor judecătoreşti. Când devin urgenţa, alerta şi pandemia catalizatori ai încălcării reglementărilor privind datele?
Universuljuridic.ro PREMIUM
Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.
Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.
Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!
1. Introducere
În încercarea de realizare a unei tipologii privind protecția datelor în timpul pandemiei[1] am explicat de ce Regulamentul general privind protecția datelor (RGPD)[2] nu a fost suspendat sau abrogat pe perioada pandemiei. Starea de urgență medicală, asemănătoare situațiilor de criză umanitară, ar putea să conducă la aplicarea unor excepții de la dispozițiile fundamentale privind drepturile omului, în ceea ce privește respectarea vieții private și de familie (art. 7), protecția datelor cu caracter personal (art. 8), protecția sănătății (art. 35) și dreptul la o cale de atac eficientă și la un proces echitabil (art. 47)[3]. Chiar și aplicarea situațiilor de excepție trebuie documentate de operator sau prevăzute în lege. Trebuie subliniat că dreptul la protecția datelor nu este absolut: „Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. (…) Regulament[ul] respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.”
Uniunea Europeană a depus eforturi susținute în toate domeniile, economic, politic și chiar justiție pentru coordonarea acțiunilor. În domeniul justiției, se vor avea în vedere elementele legislative comparative pentru fiecare stat membru, disponibile pe portalul e-justiție[4].
În al doilea rând, trebuie subliniat că situațiile de urgență medicală au subliniat unele probleme în ceea ce privește organizarea activității de executare silită. În secțiunea referitoare la aspectele practice, vom detalia câteva elemente ale expresiei destul de vagi „măsuri tehnice și organizatorice” (art. 32 RGPD).
În al treilea rând, trebuie subliniat că deși executarea silită este parte a parte a procesului civil[5], și, în consecință, beneficiază de dispozițiile referitoare la autonomia procesuală în raport cu dreptul Uniunii Europene, totuși, executorul judecătoresc este operator în sensul Regulamentului și îi sunt aplicabile dispozițiile, precum și legislația română de punere în aplicare[6].
În al patrulea rând, este prematur să discutăm despre eventuale breșe de securitate[7].
2. Situații și probleme apărute în timpul pandemiei
2.1. Executorul judecătoresc este operator
Prin raportarea la dispozițiile regulamentului, considerăm că este necesar să avem în vedere că executorul judecătoresc este operator. Această afirmație este întemeiată și pe considerentul 20 din Regulament: „Deși prezentul regulament se aplică, inter alia, activităților instanțelor și ale altor autorități judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operațiunile și procedurile de prelucrare în ceea ce privește prelucrarea datelor cu caracter personal de către instanțe și alte autorități judiciare.” Executorul nu poate fi considerat împuternicit în raport cu cererea creditorului, chiar dacă prin această cerere se stabilesc unele limite ale executării. Aceste date și informații, care sunt furnizate de creditor nu pot fi altele decât cele care decurg din titlul care se pune în executare și în consecință chiar și creditorul este limitat de acest titlu, de exemplu de hotărârea judecătorească[8]. Potrivit alin. (1) din art. 24 din RGPD, operatorul a fost și este obligat să-și analizeze procedurile: „ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.” În consecință, executorul judecătoresc va trebui să respecte toate drepturile persoanelor vizate[9], cerințele referitoare la proceduri, de exemplu întocmirea evidenței activităților de prelucrare (art. 30)[10] și răspunde pentru respectarea principiilor.
2.2. Respectarea principiilor
În timpul pandemiei s-au utilizat foarte mult transmiterea documentele în mediul electronic. Cu cât numărul persoanelor care intră în contact cu documentele este mai mare cu atât riscurile cresc. Este necesar, așadar, ca în respectarea principiilor[11] din art. 5 RGPD, să se dea prioritate reducerii la minimum a datelor, integritate, confidențialitate, transparență și confidențialitate[12].
Prin minimizarea datelor prelucrate [art. 5 alin. (1) lit. c)] operatorul se asigură că datele prelucrate sunt „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate”. Respectarea acestui principiu este de o importanță practică serioasă în perioadele sau în activitățile în care se utilizează foarte mult comunicarea electronică.
Este demonstrat că în această perioadă a crescut numărul atacurilor cibernetice[13]. Așadar, pentru ca acestea să nu aibă eficiență și să pericliteze datele cu caracter personal, operatorul trebuie să se asigure că datele sunt „prelucrate într-un mod care asigură securitatea adecvată a [acestora], inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.
În privința principiului transparenței, acesta trebuie adaptat mijloacelor și modalităților de comunicare electronică. Exercitarea drepturilor persoanei vizate trebuie să se realizeze în orice cadru, fizic sau digital, și operatorul este responsabil de corelarea condițiilor de desfășurare a activității. De exemplu, notele de informare trebuie adaptate mediului electronic și disponibile într-un format accesibil, adecvat majorității persoanelor vizate.
2.3. Transferul de date și utilizarea e-mailului
Transferul de date trebuie să fie intens studiat având în vedere că acesta cuprinde acțiunea voluntară a executorului judecătoresc (a operatorului, în termenii RGPD) prin care transmite date cu caracter personal. Este corect ca executorul și creditorul să ia măsuri în ceea ce privește criptarea datelor transmise și desigur, aceasta este o ipoteză cu totul livrească, ca, în situația unei solicitări privind stadiul executării silite, executorul să transmită creditorului doar date privind activitatea dintre aceștia și nu și date ale unor terți (în fapt un tabel cu toate activitățile de executare).
Poarta principală de intrare și de ieșire a informațiilor, datelor, documentelor de la un operator este e-mailul. O primă observație care trebuie făcută este aceea că adresa de poștă electronică trebuie să fie dedicată cu conexiune pe un server controlabil de operator sau pentru care operatorul are contract (de preferință, server situat în unul din statele membre ale Uniunii Europene). Utilizarea adreselor comerciale, gmail, yahoo aduce atâtea riscuri încât nu există niciun beneficiu care să le compenseze. Utilizarea adreselor de e-mail personalizate dar utilizarea unor facilități, de tipul redirecționării tuturor e-mailurilor la o adresă comercială sau utilizarea gmail ca platforma pentru adresa respectivă poate aduce riscuri suplimentare. O a doua observație, se referă la deschiderea mesajelor și instruirea angajaților cu privire la primele măsuri în cazul producerii unor atacuri informatice.
O ultimă situație invocată în practică este formularea unor adrese comune de înființare a popririi de către executor către entitățile bancare, cu liste de debitori[14].
Utilizarea criptării în transmiterea documentelor este o altă măsură de siguranță care trebuie introdusă cu caracter de regulă în activitatea executorilor din România.
2.4. Când devine debitor, persoana despre care creditorul crede că este debitor?
Din momentul introducerii cererii pentru executarea unui titlu, executorul judecătoresc este legal învestit și prelucrează în temeiul legii datele personale ale creditorului și datele puse la dispoziție de acesta. Din momentul în care instanța încuviințează executarea silită, executorul judecătoresc se află în prezența unui debitor, cu toate drepturile și obligațiile care derivă din aceste calificări. Practica anumitor instanțe judecătorești care în cursul încuviințării executării solicită executorului datele personale ale debitorului și depunerea diligențelor necesare pentru aflarea acestor date ar putea crea anumite probleme. Dacă analizăm art. 6 RGPD, referitor la temeiurile prelucrării, vom observa că nu suntem în prezența unui contract (între executor și creditor) și că nu există un temei legal. Ar mai fi de analizat consimțământul și interesul vital, însă aceste temeiuri nu sunt de luat în considerare. Având în vedere precizările reglementării privind interesul legitim, considerăm că, chiar și în situația în care debitorul este încă „pendinte” executorul poate depune diligențele necesare referitoare la datele acestuia în temeiul art. 6 alin. (1) lit. (e) „prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul”[15].
Principiile sunt respectate și există temei juridic pentru prelucrarea datelor debitorului în situația, mai puțin documentată în acest moment, dar prezentă adeseori în urmă cu mai mulți ani referitoare la formularea unei notificări prin intermediul executorului judecătoresc înainte de deschiderea dosarului de executare (încuviințare). Acest temei se află în cererea creditorului, care poate formula notificări prin intermediul executorului, chiar și în privința unui debitor care ar fi posibil subiect al unei executări silite[16].
Concluzii
Pandemia, urgența și alerta au contribuit la o digitalizare a serviciilor și transferarea multor activități în mediul on-line. Digitalizarea aceasta a fost forțată și a intervenit intempestiv. Facilitățile privind comunicarea au și riscuri care pot fi eliminate sau minimizate prin introducerea unor măsuri tehnice și organizatorice adecvate. Starea de urgență sau de alertă nu au eliminat rigorile aplicării Regulamentului general privind protecția datelor, dovadă fiind activitatea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal din această perioadă în impunerea unor măsuri corective, inclusiv a unor amenzi.
* Este extras din Revista Pandectele Române nr. 4/2020.
[1] D.-M. Șandru, Tipologia protecției datelor cu caracter personal în situații de criză medicală: coronavirus COVID-19, în Pandectele române nr. 1/2020, p. 28-43.
[2] Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei nr. 95/46/CE (Regulamentul general privind protecția datelor) a fost publicat în J. Of. L 119 din 4 mai 2016, p. 1-88. I. Alexe, C.M. Banu, De la directivă la regulament în reglementarea, la nivelul Uniunii Europene, a protecției datelor cu caracter personal, în vol. I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru (coordonatori), Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, 2017, p. 14 și urm.
[3] Toate dispozițiile menționate sunt din Carta drepturilor fundamentale a Uniunii Europene, text cu valoare de tratat adoptat prin Tratatul de la Lisabona, J. Of., C 326 din 26 octombrie 2012, a se vedea și A.-M. Șandru, Privire critică asupra jurisprudenței Curții de Justiție a UE referitoare la interpretarea art. 8 privind protecția datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în Pandectele Române nr. 1/2018, p. 26-33.
[4] Documentul se găsește la adresa https://e-justice.europa.eu/fileDownload.do?id=95ed6ae9-7951-444f-add7-eebe49f29876 Același efort se regăsește și la nivelul Consiliului Europei: https://www.coe.int/en/web/cepej/compilation-comments.
[5] A. Tabacu, Drept procesual civil, Legislație internă și internațională, Doctrină și jurisprudență, Ed. Universul Juridic, București, 2019, p. 38.
[6] E. Oprina, V. Bozeșan, Cu privire la executarea silită în timpul pandemiei: Executarea silită pe durata stării de urgență, Universuljuridic.ro, 7 mai 2020 care analizează legalitatea, din perspectiva procedurii civile.
[7] Una dintre sancțiunile recente ale autorității din România, „Autoritatea Națională de Supraveghere a finalizat în data de 23 iunie 2020 o investigație la operatorul Proleasing Motors SRL și a constatat încălcarea dispozițiilor art. 32 alin. (1) și (2) din Regulamentul General privind Protecția Datelor. Operatorul Proleasing Motors SRL a fost sancționat contravențional cu amendă în cuantum de 72.642 lei, echivalentul a 15.000 euro. Încălcarea securității a constat în faptul că, pe pagina de Facebook pe care operatorul a desfășurat un concurs on-line de atragere a clienților participanți în service-ul auto, a fost postat un document cu o captură din codul sursă al website-ului în care era inclusă și parola de acces la formularele completate de participanții la concurs.” Comunicatul este disponibil la adresa https://www.dataprotection.ro/?page=Comunicat_09_07_20&lang=ro. Pe larg, se vedea: I. Alexe, Experiențe ale aplicării amenzilor administrative din România în domeniul GDPR, în Pandectele Române nr. 5/2019, p. 79-95; I. Alexe, Regimul sancționator prevăzut de Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, în Revista Curierul Judiciar nr. 1/2018, p. 36-42.
[8] Calitatea de operator a executorului judecătoresc a fost confirmată și de Judecătoria Sectorului 4 București care, în sentința civilă nr. 12986/2019 rămasă definitivă prin neapelare, a statuat că „având în vedere specificul activității desfășurate de executorii judecătorești, precum și faptul că, potrivit prevederilor Legii nr. 188/2000, birourile executorilor judecătorești au arhivă și registratură proprie, fiind responsabile de depozitarea și conservarea arhivelor, instanța constată că executorii judecătorești au calitatea de operatori de date cu caracter personal în sensul Regulamentului nr. 679/27 aprilie 2016.” Sentința civilă nr. 16986/2019 a Judecătoriei Sector 4 disponibilă la adresa http://rolii.ro/hotarari/5db8faf8e49009481800007e.
[9] În primul rând informarea persoanelor vizate, având în vedere că temeiul prelucrării nu este consimțământul. Cu privire la un exemplu de notă de informare, a se vedea: Lacrima Bianca Luntraru, Incidența GDPR în exercițiul profesiei de executor judecătoresc, în vol. E. Hurubă (coord.), Conferința internațională „Procesul civil și executarea silită. De la clasic la modern”, Târgu Mureș, Ed. Universul Juridic, 2019.
[10] S.-D. Șchiopu, Evidența activităților de prelucrare a datelor cu caracter personal efectuate în cadrul biroului de executor judecătoresc, în Revista Română de Executare Silită nr. 4/2018, p. 68-79.
[11] A se vedea: D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii noi introduse în art. 5 al Regulamentului General privind Protecția Datelor, în Revista Română de Drept al Afacerilor nr. 1/2018, p. 80-83.
[12] Pe larg: D.-M. Șandru, Principiile integrității și confidențialității în protecția datelor personale, în Supliment Revista de drept public, 2018, p. 39-46. A se vedea și „Principiul asigurării secretului informațiilor primite” în I. Gârbuleț, Actele executorului judecătoresc, Ed. Universul Juridic, 2014, p. 46.
[13] A se vedea: Interpol, Global landscape on COVID-19 cyberthreat (la adresa https://www.interpol.int/en/Crimes/Cybercrime/COVID-19-cyberthreats), precum și numeroasele articole dintre care amintim: R. Espinoza, What you need to know about COVID-19-related cyberattacks. Cyberattacks are intensifying in the United States and globally, https://techcrunch.com/, 14 aprilie 2020.
[14] L. Mosoreti-Panait, Protecția datelor personale pentru executorii judecătorești, în Curierul național, 10 aprilie 2019 (curierulnational.ro).
[15] A se vedea și art. 2 alin. (1) din Legea nr. 188/2000 privind executorii judecătorești: „executorii judecătorești sunt învestiți să îndeplinească un serviciu de interes public”. O analiză detaliată a temeiurilor de prelucrare și a tipurilor de date: R.N. Popescu, GDPR. Datele cu caracter personal prelucrate de un executor judecătoresc în cadrul unui dosar de executare silită, JURIDICE.ro, 6 august 2018.
[16] I. Gârbuleț, op. cit., p. 118.