Unele aspecte ale prelucrării datelor cu caracter personal în cazul asigurărilor obligatorii de răspundere civilă auto (RCA)

Abstract

The Romanian Financial Supervisory Authority provides a database of the mandatory
civil liability insurances (RCA) concluded on the territory of Romania, database named
CEDAM. In this database, the existence of an RCA policy at a specific date for a vehicle
may be verified, the insurance company that issued the policy may be viewed and the
damages associated to the valid policies starting from 2008 may be identified. Since the
CEDAM database implies the processing of personal data such as the name, address,
national identification number, series and number of the ID card of the owner or usual
driver of the vehicle and the number of the insurance policy and the registration number of
the vehicle, the purpose of this short study is to present the current national legal
framework of personal data processing in the case of the Romanian mandatory civil liability
insurances for motor vehicles.
Keywords: personal data, insurance against civil liability in respect of the use of
motor vehicles, mandatory civil liability insurances, CEDAM database, Romanian Motor
Insurers’ Bureau, Romanian Financial Supervisory Authority

Prin Legea nr. 172/2004[1] s-a prevăzut crearea de către Comisia de Supraveghere a Asigurărilor[2] și Ministerul Administrației și Internelor a unei baze unice de date la nivel național, care să cuprindă informații privind încheierea asigurărilor obligatorii de răspundere civilă pentru pagube produse terților prin accidente de autovehicule, atât pe teritoriul României, cât și în afara teritoriului acesteia.

Scopul instituirii acestei baze de date a fost acela de a se putea identifica atât autovehiculele care nu aveau încheiată asigurarea de răspundere civilă pentru pagube produse terților prin accidente de autovehicule, cât și asigurătorul la care fusese contractată asigurarea obligatorie pentru autovehiculele implicate în accidente, precum și stocarea altor informații necesare reglementării și controlului acestei asigurări.

În 13 iunie 2005, prin Hotărârea Consiliului Comisiei de Supraveghere a Asigurărilor, s-au adoptat Normele privind aplicarea legii în domeniul asigurărilor obligatorii de răspundere civilă pentru pagube produse prin accidente de autovehicule și autorizarea asigurătorilor pentru practicarea asigurării obligatorii de răspundere civilă pentru pagube produse prin accidente de autovehicule[3]. Potrivit acestor norme Centrul de Informare (CEDAM) din cadrul Comisiei de Supraveghere a Asigurărilor era desemnat administrator al bazei de date create conform dispozițiilor art. II din Legea nr. 172/2004.

Potrivit art. 13 din Partea a II-a a Normelor, Centrul de Informare urma să aibă următoarele atribuții: a) stocarea anumitor informații: numerele de înmatriculare a autovehiculelor pe teritoriul României, inclusiv datele tehnice ale acestora, datele personale ale proprietarilor sau conducătorilor auto; numerele documentelor de asigurare RCA, inclusiv data de expirare a acoperirii asigurării; denumirea și sediul asigurătorilor RCA emitenți de documente de asigurare RCA; denumirea și sediul reprezentanților de despăgubiri numiți de asigurătorii RCA; denumirea și sediul organismului de compensare; b) administrarea și diseminarea informațiilor mai sus menționate, precum și asistarea persoanelor îndreptățite și garantarea obținerii de către acestea a informațiilor solicitate.

Persoana păgubită era îndreptățită, pentru o perioadă de 7 ani după producerea accidentului, să obțină din partea CEDAM următoarele informații: a) denumirea și sediul asigurătorului RCA; b) numărul documentului de asigurare RCA; c) denumirea și sediul reprezentantului de despăgubiri în statul de reședință al persoanei păgubite.

Nomele mai prevedeau și faptul că procesarea datelor personale enumerate în art. 13 urma a se realiza în conformitate cu prevederile legale în vigoare privind protecția datelor personale iar accesarea bazei de date urma a se realiza conform regulamentului elaborat de Comisia de Supraveghere a Asigurărilor. Aceste norme au fost abrogate prin art. 1 alin. (4) din Ordinul președintelui Comisiei de Supraveghere a Asigurărilor nr. 113133 din 28 noiembrie 2006[4], ordin emis pentru punerea în aplicare a Normelor privind asigurarea obligatorie de răspundere civilă pentru prejudicii produse prin accidente de autovehicule.

În ceea ce privește datele din baza CEDAM, potrivit art. 25 din Normele emise la 28 noiembrie 2006, asigurătorii emitenți de polițe de asigurare RCA pentru autovehiculele înmatriculate sau înregistrate în România aveau obligația de a transmite către baza de date CEDAM informații complete privind polițele de asigurare RCA încheiate direct sau prin intermediari, respectiv toate informațiile privind încheierea asigurării obligatorii RCA și data de încetare a valabilității sau de reziliere a documentelor de asigurare, precum și informații cu privire la producerea unor evenimente pe parcursul derulării contractului de asigurare.

În prezent este în vigoare Norma nr. 20 din 27 iulie 2017 privind asigurările auto din România[5], emisă după adoptarea Legii nr. 132 din 31 mai 2017[6].

Art. 5 alin. (7) al Legii privind asigurarea obligatorie de răspundere civilă auto pentru prejudicii produse terților prin accidente de vehicule și tramvaie prevede că „la încheierea contractului RCA și pe parcursul derulării acestuia asiguratul are obligația să permită asigurătorului RCA accesul în baza de date cu asigurările obligatorii de răspundere civilă auto încheiate pe teritoriul României, la evidența accidentelor și a cererilor de despăgubire anterioare […]”.

În lumina art. 5 alin. (7) din Legea nr. 132/2017, accesul asigurătorului la baza de date CEDAM (baza de date privind evidența contractelor RCA) nu operează ex lege, ci asigurătorul trebuie să obțină acordul persoanei care dorește încheierea contractului RCA iar aceasta din urmă are obligația legală de a-l da.

În măsura în care interogarea bazei de date CEDAM în privința istoricului de daune se realizează prin intermediul site-ului Autorității de Supraveghere Financiară[7], care impune introducerea CNP-ului proprietarului sau utilizatorului vehiculului, considerăm că devin incidente și prevederile Deciziei nr. 132/2011 emisă de președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal[8].

Astfel, potrivit art. 3 alin. (2) din Decizia nr. 132/2011, consimțământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator. În timp ce pentru prelucrarea datelor cu caracter personal consimțământul poate fi acordat, în principiu, fie explicit, fie implicit, persoana vizată acționând într-un mod care nu lasă loc de îndoială asupra faptului că este de acord cu prelucrarea datelor sale[9], în cazul datelor cu caracter personal având o funcție de identificare de aplicabilitate generală precum CNP-ul, prelucrarea pe bază de consimțământ necesită ca persoana vizată să-și fi dat în mod expres consimțământul iar formă trebuie să permită dovedirea acestuia de către operator[10].

În plus, asigurătorul, potrivit art. 3 alin. (3) din Decizia nr. 132/2011, în calitate de operator de date cu caracter personal, anterior obținerii consimțământului, are obligația de a informa persoana vizată, în concordanță cu prevederile art. 12 alin. (1) din Legea nr. 677/2001[11], cu modificările și completările ulterioare. Cazurile în care informarea se dovedește imposibilă sau ar implica un efort disproporționat față de interesul legitim care ar putea fi lezat, prevăzute de art. 12 alin. (3) și (4) din Legea nr. 677/2001, cu modificările și completările ulterioare, trebuie temeinic justificate și documentate de către operator, în speță asigurătorul.

Prin urmare, accesarea de către asigurătorul RCA a bazei de date cu asigurările obligatorii de răspundere civilă auto încheiate pe teritoriul României, a evidenței accidentelor și a cererilor de despăgubire anterioare, în măsura în care implică prelucrarea unui identificator cu aplicabilitate generală precum codul numeric personal, nu va putea fi realizată decât în temeiul consimțământului persoanei vizate, asiguratul.

Astfel, în timp ce, în regulă generală, poate constitui temei al prelucrării altor date cu caracter personal, consimțământul, relația contractuală, obligațiile legale ale operatorului, interesele vitale ale persoanei vizate, interesul public și exercitarea autorității oficiale, precum și interesele legitime urmărite de operator sau de un terț, numai consimțământul poate legitima consultarea[12] de către asigurător a informațiilor din baza de date cedam.

Trebuie să subliniem faptul că sintagma „la încheierea contractului RCA” din art. 5 alin. (7) din Legea nr. 132/2017 trebuie interpretată în sensul că acoperă inclusiv etapa verificărilor premergătoare încheierii contractului de asigurare obligatorie de răspundere civilă auto pentru prejudicii produse terților prin accidente de vehicule și de tramvaie, astfel că acordul persoanei vizate ar trebui să constea într-un înscris separat de contractul de asigurare încheiat după consultarea bazei de date CEDAM.

Chiar și în ipoteza în care accesul asigurătorului la baza de date CEDAM nu ar presupune prelucrarea CNP-ului asiguratului, art. 5 alin. (7) din Legea nr. 132/2017 oricum impune obligativitatea obținerii acordului acestuia din urmă pentru accesarea bazei de date cu asigurările obligatorii de răspundere civilă auto încheiate pe teritoriul României, a evidenței accidentelor și a cererilor de despăgubire anterioare.

După adoptarea Legii privind asigurarea obligatorie de răspundere civilă auto pentru prejudicii produse terților prin accidente de vehicule și tramvaie, Autoritatea de Supraveghere Financiară a emis Norma nr. 20 din 27 iulie 2017 privind asigurările auto din România.

În ceea ce privește baza de date cu asigurările obligatorii de răspundere civilă auto încheiate pe teritoriul României (baza de date CEDAM), potrivit art. 7 alin. (1) din noile norme, asigurătorii RCA transmit prin sistem informatic către baza de date informații complete și corecte referitoare la contractele RCA încheiate pentru vehiculele înmatriculate sau înregistrate și pentru cele care urmează a fi înmatriculate sau înregistrate în România, inclusiv: a) valabilitatea contractului RCA; b) data denunțării, rezilierii, suspendării contractului RCA, după caz; c) daunele înregistrate ca urmare a evenimentelor produse pe parcursul derulării contractului RCA; d) informații referitoare la tipul daunei, inclusiv componenta de vătămări ale integrității corporale sau ale sănătății ori privind decesul; e) numele, prenumele, CNP, seria și numărul CI/BI ale conducătorilor auto declarați; f) numele, prenumele, CNP, seria și numărul CI/BI ale conducătorului auto responsabil de producerea accidentului și atributul suplimentar dacă este una dintre persoanele declarate în contractul RCA; g) informații privind decontarea directă, în situația în care contractul RCA a fost emis cu agrearea de către părți a modalității de decontare directă și dacă dauna este instrumentată prin această modalitate; h) informații privind răscumpărarea în conformitate cu prevederile art. 2 pct. 23 din Legea nr. 132/2017; i) clasa bonus-malus.

Din art. 7 alin. (1) lit. e) și f) al noilor norme rezultă că asigurătorii RCA prelucrează și transmit către baza de date CEDAM date cu caracter personal precum numele, prenumele, CNP-ul, seria și numărul CI/BI ale conducătorilor auto declarați și ale conducătorului auto responsabil de producerea accidentului. Dintre datele cu caracter personal prelucrate de asigurătorii RCA fac parte și date cu caracter personal având funcție de identificare (CNP, seria și numărul CI/BI) care sunt supuse regimului special prevăzut de art. 8 din Legea nr. 677/2001 (legea de transpunere a Directivei 95/46/CE[13]) și Decizia anspdcp nr. 132/2011.

Precizăm că, potrivit art. 47 alin. (2) din noile norme, prevederile art. 7 alin. (1) lit. d)-h), deci inclusiv lit. e) și f) privind datele cu caracter personal, se aplică de la data la care baza de date cu asigurările obligatorii de răspundere civilă auto încheiate pe teritoriul României devine funcțională în cadrul Biroului Asigurătorilor de Autovehicule din România (BAAR) pentru îndeplinirea de către acesta a atribuțiilor de dezvoltare și gestionare, astfel că până în acel moment considerăm că vor continua a fi aplicabile prevederile identice din Norma nr. 39 din 25 noiembrie 2016 privind asigurările auto din România[14].


* O parte a acestui material a fost prezentată în cadrul Conferinței Europene a Serviciilor Financiare (European Conference on Financial Services – ECFS 2017), organizată în perioada 19 – 20 octombrie 2017 la Brașov, la inițiativa Institutului de Studii Financiare, a Universității „Petru Maior” și a Societății Române de Cercetare pentru Afaceri Publice și Private din Târgu-Mureș.

[1] A se vedea art. II alin. (1) din Legea nr. 172 din 14 mai 2004 pentru modificarea și completarea Legii nr. 136/1995 privind asigurările și reasigurările în România, publicată în M. Of. nr. 473 din data de 26 mai 2004.

[2] Toate atribuțiile și prerogativele acesteia au fost ulterior preluate de Autoritatea de Supraveghere Financiară ca urmare a O.G. nr. 93 din 18 decembrie 2012 privind înființarea, organizarea și funcționarea Autorității de Supraveghere Financiară, publicată în M. Of. nr. 874 din data de 21 decembrie 2012.

[3] Puse în aplicare prin Ordinul Președintelui Comisiei de Supraveghere a Asigurărilor nr. 3116 din 29 iunie 2005, publicat în M. Of. nr. 615 din data de 15 iulie 2005.

[4] Ordinul nr. 113133 din 28 noiembrie 2006 pentru punerea în aplicare a Normelor privind asigurarea obligatorie de răspundere civilă pentru prejudicii produse prin accidente de autovehicule, publicat în M. Of. nr. 977 din data de 6 decembrie 2006. Aceste norme prevăd la art. 22 alin. (1) că finanțarea dezvoltării și întreținerii bazei de date CEDAM se realizează prin prelevarea unei cote procentuale de 1,38% din volumul primelor de asigurare brute încasate lunar pentru asigurarea obligatorie RCA. Ulterior, cota procentuală a fost modificată (ex. 1.25 % în 2007, 1.10% în 2008, 1.00% din 2009).

[5] Emisă de Autoritatea de Supraveghere Financiară și publicată în M. Of. nr. 624 din data de 1 august 2017.

[6] Legea nr. 132 din 31 mai 2017 privind asigurarea obligatorie de răspundere civilă auto pentru prejudicii produse terților prin accidente de vehicule și tramvaie, publicată în M. Of. 431 din data de 12 iunie 2017.

[7] A se vedea https://asfromania.ro/consumatori/baza-de-date-cedam/interogare-istoric-daunalitate, accesat la data de 7.10.2017.

[8] Decizia nr. 132 din 20 decembrie 2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală, publicată în M. Of. numărul 929 din data de 28 decembrie 2011, disponibilă la http://www.dataprotection.ro/servlet/ViewDocument?id=761. Potrivit art. 3 alin. (5) din Legea nr. 102 din 3 mai 2005, în exercitarea atribuțiilor sale președintele Autorității naționale de supraveghere emite decizii și instrucțiuni obligatorii pentru toate instituțiile și unitățile la a căror activitate se referă.

[9] A se vedea European Union Agency for Fundamental Rights, Handbook on European data protection law, Luxembourg: Publications Office of the European Union, 2014, p. 67.

[10] Evident înscrisul nu este unica formă care permite dovedirea consimțământului de către operator, astfel că acordul persoanei vizate ar putea fi înregistrat și pe un alt suport, precum este cazul înregistrărilor audio-video care de asemenea ar permite probarea obținerii acestuia.

[11] Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în M. Of. nr. 790 din data de 12 decembrie 2001.

[12] Prin prelucrare, potrivit at. 3 lit. b) din Legea nr. 677/2001, se înțelege „orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea (s.n.), utilizarea, dezvăluirea către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea”.

[13] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Jurnalul Oficial al Uniunii Europene L 281/31, Ediție specială, cap. 13/vol. 17.

[14] Publicată în M. Of. nr. 986 din data de 8 decembrie 2016.

DOWNLOAD FULL ARTICLE

 

Unele aspecte ale prelucrării datelor cu caracter personal în cazul asigurărilor obligatorii de răspundere civilă auto (RCA) was last modified: februarie 22nd, 2018 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii