Pilonii prelucrării datelor cu caracter personal

Abstract

Abstract:
In principle, all processing of personal data must comply with the principles relating to data
quality set out in article 4 of the Romanian Law no. 677/2001, with one of the criteria for making
data processing legitimate listed in article 5 of the law and also the data controller is obliged to
provide information in accordance with the requirements laid down in article 12 of the law. In order
to illustrate these three pillars of personal data processing, we have chosen to present a judicial
decision which upheld the lower court’s ruling and decided that the personal data collected for the
purpose of providing communication services cannot be used for the conclusion of insurance policies
in the absence of the data subject’s consent. Also, we’ll argue that the Romanian Data Protection
Authority should have sanctioned the data controller for failing to inform the data subjects of that
transfer or processing.
Keywords: personal data, data protection, data processing, consent, purpose, information.

Cei mai mulți dintre noi suntem invadați zilnic pe varii căi de o puzderie de oferte mai mult sau mai puțin adecvate nevoilor noastre imediate. În parte, acest noian de propuneri ne parvine ca urmare a prelucrării datelor noastre cu caracter personal (nume și prenume, adresă email, număr de telefon, adresă poștală etc.).

Potrivit art. 5 alin. (1) din Legea nr. 677/2001[1], una din condițiile de legitimitate privind prelucrarea datelor cu caracter personal este aceea a consimțământului persoanei vizate[2] pentru respectiva prelucrare. De asemenea, una din caracteristicile datelor cu caracter personal destinate a face obiectul prelucrării privește scopul în vederea căruia au fost colectate datele, acesta fiind cunoscut de către persoana vizată la momentul exprimării consimțământului, o ulterioară prelucrare, incompatibilă cu scopul colectării inițiale, necesitând o nouă manifestare a consimțământului persoanei vizate [art. 6 alin. (1) din lege]. Nu în ultimul rând persoana vizată are dreptul de a fi informată cu privire la prelucrarea datelor sale cu caracter personal (art. 12 din lege).

Pentru a ilustra acești trei piloni ai prelucrării datelor cu caracter personal, am ales a prezenta pe larg conținutul unei decizii relativ recente a Curții de Apel București[3].

Situația de fapt

În speță[4], un furnizor de servicii de telefonie a încheiat cu o societate de asigurări un contract care avea ca obiect încheierea unor polițe de asigurare a locuinței împotriva incendiilor și a dezastrelor naturale pentru o parte[5] dintre clienții săi, obiectiv care a fost avut în vedere ca un beneficiu acordat acestora. Polițele au fost semnate și parafate atât de către furnizorul de servicii de telefonie, în calitate de contractat, cât și de societatea de asigurări, în calitate de asigurator.

Pentru o mai bună conturare a situației de fapt, vom reproduce în parte conținutul uneia dintre aceste polițe privind asigurarea locuinței împotriva incendiului și a dezastrelor naturale. Polița, emisă la data de 18.04.2010, începe cu un mesaj din partea furnizorului de servicii de telefonie: „Știm cât de importantă este locuința pentru dumneavoastră. De aceea, v-am pregătit, împreună cu (…) (asiguratorul – n.n.), o asigurare gratuită de locuință, valabilă până la data de 17.07.2010. Un cadou util, cu atât mai mult cu cât va intra în curând în vigoare legea privind asigurarea obligatorie a locuinței împotriva dezastrelor naturale[6]. Prezenta poliță acoperă riscurile prevăzute de lege și, suplimentar și gratuit, patru riscuri care pot amenința locuința dumneavoastră: incendiu, trăsnet, explozie și cădere de corpuri pe clădiri. Mai mult, puteți opta pentru prelungirea asigurării pe o perioadă de 1 an, plătind numai 50% din prețul asigurării! Sperăm că veți aprecia această șansă unică (s.n.) și vă veți prelungi polița de asigurare, atunci când veți fi contactat de către reprezentanții (…) (asiguratorului – n.n.)”[7].

Pe poliță figurează numele, prenumele și adresa asiguratului, client al furnizorului de servicii de telefonie, este menționat că obiectul asigurării îl reprezintă locuința asiguratului care se află la aceeași adresă cu a asiguratului, iar cuantumul sumei asigurate este de 20.000 euro. În continuare este indicată prima de asigurare în cuantum de 20 de euro, cu precizarea că 10 euro sunt suportați de către societatea de asigurări iar 10 euro vor fi achitați de către asigurat. Perioada asigurată indicată de polița de asigurare acoperea două paliere: de la 18.04.2010 – până la 17.07.2010 prin plata de către asigurător a ratei I în sumă de 10 euro și de la 18.04.2010 – până la 17.07.2011 prin plata de către asigurat a ratei a II-a în cuantum de 10 euro, apelând un număr de telefon până la data de 31.12.2010 sau exprimându-și acordul la primirea apelului din partea unui reprezentant al societății de asigurări.

Partea cea mai interesantă din poliță sub aspectul protecției datelor cu caracter personal este următoarea: „În cazul în care nu sunteți de acord să beneficiați de polița de asigurare de locuință gratuită oferită de (…) [asigurator – n.n.], până la data de 17.07.2010, vă rugăm să vă prezentați la oricare dintre sediile magazinelor (…) (furnizorului de servicii de telefonie – n.n.) în termen de maxim 10 zile de la data facturării, înscrisă pe prima pagină a facturii, și să ne informați cu privire la dezacordul dumneavoastră de a beneficia de aceasta, urmând ca (…) (asiguratorul – n.n.) să anuleze respectiva poliță de asigurare. În situația în care nu vă veți exprima dezacordul conform celor de mai sus, vom considera că v-ați exprimat acordul cu privire la prelucrarea datelor dumneavoastră personale (nume, prenume, număr/numere de telefon și adresa la care este instalat serviciul de voce furnizat de…) de către (…) (asigurator – n.n.) în scopul administrării poliței de asigurare de locuință, precum și cu privire la acceptul dumneavoastră de a fi contactat de către (…) (asigurator – n.n.)” pentru a fi informat cu privire la condițiile în care polița de asigurare a locuinței poate fi prelungită, prin orice mijloace de comunicare, inclusiv prin mesaje telefonice înregistrate”.

În încheiere se preciza că polița a fost încheiată în baza condițiilor de asigurare anexate, în două exemplare, din care originalul a fost înmânat asiguratului, iar „asiguratul declară că îi sunt cunoscute cele înscrise în Poliță și este de acord cu încheierea ei în aceste condiții”.

În prima jumătate a anului 2010, polițele au fost comunicate beneficiarilor odată cu factura curentă emisă pentru serviciile de telefonie furnizate. După ce au luat cunoștință de existența polițelor încheiate în numele lor, unii clienți au adresat plângeri Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Sancționarea contravențională

Ca urmare ANSPDCP a sancționat furnizorul de servicii de telefonie pentru săvârșirea contravențiilor prevăzute de art. 32[8] raportat la art. 5 alin. (1) din lege, întrucât a prelucrat datele cu caracter personal ale clienților săi în scopul încheierii unor polițe de asigurare, fără ca aceștia să-și fi exprimat consimțământul expres și neechivoc pentru această prelucrare, iar pentru această faptă i-a fost aplicat furnizorului de servicii de telefonie o amenda în cuantum de 3.000 lei.

În ceea ce privește consimțământul pentru prelucrare, potrivit art. 5 alin. (1) din lege, „orice prelucrare de date cu caracter personal, cu excepția prelucrărilor care vizează date din categoriile menționate la art. 7 alin. (1), art. 8 și 10, poate fi efectuată numai dacă persoana vizată și-a dat consimțământul în mod expres și neechivoc pentru acea prelucrare (s.n.)”.

Totodată, s-a reținut și săvârșirea contravenției prevăzută de art. 32 raportat la art. 4 alin. (1) lit. b) din lege, întrucât datele cu caracter personal ale clienților au fost prelucrate într-un scop incompatibil cu scopul inițial pentru care acestea au fost colectate. Datele personale ale clienților au fost colectate inițial în scopul furnizării de servicii, însă ulterior au fost prelucrate în scopul încheierii de polițe de asigurare, faptă pentru care furnizorul de servicii de telefonie a fost amendat cu 2.000 lei.

În ceea ce privește scopul prelucrării, potrivit art. 4 alin. (1) lit. b) din lege: „datele cu caracter personal destinate a face obiectul prelucrării trebuie să fie colectate în scopuri determinate, explicite și legitime (s.n.); prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice, de cercetare istorică sau științifică nu va fi considerată incompatibilă cu scopul colectării dacă se efectuează cu respectarea dispozițiilor prezentei legi […]”.

Plângerea contravențională

Instanța de fond

Prin plângerea înregistrată pe rolul Tribunalului București, furnizorul de servicii de telefonie a solicitat, în contradictoriu cu ANSPDCP, anularea procesului-verbal de constatare și sancționare a contravenției încheiat de pârâtă și exonerarea de plata amenzii în valoare de 5.000 lei. Pe baza probei cu înscrisuri administrată în cauză, Tribunalul București a dispus respingerea plângerii ca neîntemeiată[9]. Pentru a hotărî astfel, instanța de fond a reținut, în esență, următoarele:

a) Precum a reieșit din procesul-verbal și din înscrisurile depuse de către ANSPDCP la dosar în susținerea acestuia, reclamantul a încheiat cu o societate de asigurări – pentru perioada 14.04.2010 – 13.07.2010/13.07.201[10]– polițe de asigurare a locuinței împotriva incendiului și a dezastrelor naturale, pentru o parte dintre clienții săi, polițe pe care le-a comunicat acestora împreună cu factura curentă emisă pentru serviciile de telefonie furnizate;

b) Atât din conținutul clauzelor contractului pentru furnizarea de servicii de telefonie, cât și din cuprinsul polițelor de asigurare depuse în dosar, a rezultat că acești clienți nu au avut cunoștință, anterior încheierii acestor polițe de asigurare, de aceasta posibilitate și nici de faptul că datele cu caracter personal – colectate de către reclamant odată cu încheierea contractului de furnizare de servicii de telefonie – vor fi prelucrate de reclamant și comunicate unui terț (societatea de asigurări) în scopul încheierii unor polițe de asigurare, astfel că, în mod evident, clienții reclamantului nu și-au exprimat consimțământul în acest sens[11];

c) Deși reclamantul a susținut că un astfel de consimțământ nu era necesar întrucât, în cazul acestor polițe, furnizorul de servicii de telefonie nu a făcut altceva decât să comunice datele cu caracter personal ale clienților săi – accesibile oricum publicului – și pentru care acești clienți și-au dat consimțământul potrivit art. 7 din Contractul de furnizare de servicii de telefonie, raportat la art. 11.1 din Condițiile Generale pentru Furnizarea Serviciilor[12], în speță, nu s-a făcut nici o dovada în acest sens, reclamantul depunând la dosar doar formularul tipizat al contractului pe care-l încheia cu clienții săi[13], astfel că nu a putut fi reținută ca dovedită o astfel de susținere și, prin urmare, nu s-a putut reține nici incidența în cauză a dispozițiilor art. 5 alin. (2) lit. f)[14]din lege;

d) De asemenea, nici art. 5 alin. (2) lit. a)[15] din același act normativ nu-și a găsit aplicabilitatea în cauză, în condițiile în care, deși dispoziția legală vorbește de existenta unui contract în care persoana vizată, în speță clientul furnizorului de servicii de telefonie, este parte, nu s-a făcut dovada că încheierea polițelor de asigurare a fost prevăzută în contractul încheiat de reclamant cu clienții săi, aceștia nefiind informați nici măcar la modul general că ar putea beneficia, eventual, de anumite „cadouri” de tipul polițelor de asigurare.

Împrejurarea că furnizorul de servicii de telefonie a încheiat un contract cu societatea de asigurări în scopul emiterii unor astfel de polițe, nu prezintă relevanță sub aspectul săvârșirii contravențiilor reținute în sarcina reclamantului cu privire la prelucrarea nelegală a datelor cu caracter personal ale clienților săi, întrucât aceștia nu erau părți în acest din urmă contract și nici nu au fost informați despre existența lui înainte de a li se fi dezvăluit datele cu caracter personal către societatea de asigurări, care este un terț în raport cu clienții furnizorului de servicii de telefonie. Astfel, situația de fapt existentă în cauză nu s-a încadrat în niciuna dintre ipotezele legale – art. 5 alin. (2) lit. a) și f) din lege – invocate de furnizorului de servicii de telefonie pentru care nu ar fi fost necesar ca acesta să obțină consimțământul expres și neechivoc al clienților săi pentru încheierea polițelor de asigurare, care au presupus prelucrarea datelor personale ale acestora, date colectate de reclamant în scopul furnizării serviciilor specifice care formează obiectul său de activitate;


[1] Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în M. Of. nr. 790 din data de 12 decembrie 2001, act normativ denumit în continuare, brevitatis causa, „legea”.

[2] Persoana vizată poate fi orice persoană fizică identificată sau identificabilă; Potrivit art. 3 lit. a) din lege, o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.

[3] C. Ap. București, s. a VIII-a contencios administrativ și fiscal, dec. nr. 496 din 6 februarie 2012 (dosarul nr. 23792/3/2010), disponibilă pe http://www.rolii.ro și http://portal.just.ro.

[4] Situația de fapt a fost reconstituită pe baza informațiilor conținute în sent. civ. nr. 858 din 2 martie 2011 a Tribunalului București (fond) și în dec. nr. 496 din 6 februarie 2012 a Curții de Apel București (recurs).

[5] A se vedea http://www.capital.ro/800000-de-scrisori-explicative-pentru-politele-astra-romtelecom-135372.html (consultat la data de 25.05. 2017).

[6] A se vedea art. 3 alin. (1) din Legea nr. 260 din 4 noiembrie 2008 privind asigurarea obligatorie a locuințelor împotriva cutremurelor, alunecărilor de teren sau inundațiilor, publicată în M. Of. nr. 57 din data de 10 noiembrie 2008.

[7] A se vedea http://media.hotnews.ro/media_server1/image-2010-04-27-7174566-0-asigurare-locuinta-romtelecom-astra.jpg (consultat la data de 25.05. 2017).

[8] Art. 32 – Prelucrarea nelegală a datelor cu caracter personal: „Prelucrarea datelor cu caracter personal de către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevăzute la art. 12-15 sau la art. 17 (s.n.), constituie contravenție, dacă nu este săvârșită în astfel de condiții încât să constituie infracțiune, și se sancționează cu amendă de la 1000 lei la 25000 lei”.

[9] A se vedea T. București, s. a IX-a contencios administrativ și fiscal, sent. civ. nr. 858 din 2 martie 2011 (nepublicată).

[10] Aparent polițele de asigurare aveau date sensibil diferite, probabil în funcție de data emiterii facturii curente pentru serviciile de telefonie furnizate.

[11] Acest aspect a rezultat și din plângerile formulate de clienții reclamantului și adresate ANSPDCP, după ce au luat cunoștință de existenta polițelor încheiate în numele lor.

[12] La art. 11 pct. 1 era inserată următoarea clauză: „datele obținute de […] de la client, cum sunt datele cu caracter personal (inclusiv CNP) […] vor fi prelucrate […] în următoarele scopuri: a) marketingul (inclusiv marketingul direct), efectuarea de comunicări comerciale și comercializarea serviciilor […] și ale partenerilor […] prin orice mijloc de comunicare, inclusiv prin mijloace de apelare automată care nu necesită intervenția unui operator uman” – a se vedea Tribunalul București, secția a IX-a Contencios Administrativ și Fiscal, sentința civilă nr. 858 din 2 martie 2011.

[13] În cadrul acestuia clienții puteau, într-adevăr, să opteze pentru prelucrarea datelor de către societate, în scopurile menționate la art. 11.1 din Condițiile Generale pentru Furnizarea Serviciilor și pentru ca acestea să fie dezvăluite categoriilor de destinatari menționați în același art. 11.1.

[14] Art. 5 alin. (2) lit. f): „Consimțământul persoanei vizate nu este cerut când prelucrarea privește date obținute din documente accesibile publicului (s.n.), conform legii”.

[15] Art. 5 alin. (2) lit. a): „Consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea executării unui contract sau antecontract (s.n.) la care persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract”.

 

DOWNLOAD FULL ARTICLE

Pilonii prelucrării datelor cu caracter personal was last modified: iulie 24th, 2017 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii