Aplicarea legislației, în materia protecției datelor cu caracter personal, de către practicienii în insolvență

4. Unele aspecte de ordin jurisprudențial

Edificatoare pentru materie, apreciem că este decizia Curții de Justiție a Uniunii Europene, potrivit căreia, începând cu data de 1 iulie 2018, cauzele preliminare care implică persoane fizice vor fi anonimizate[28]. Decizia CJUE a fost luată „în contextul în care (…) noul Regulament general privind protecția datelor [RGPD] a intrat în vigoare”[29] și se aplică „precedându-l pe cel care va fi în curând aplicabil instituțiilor UE”[30]. Scopul deciziei CJUE este acela de a consolida „protecția datelor persoanelor fizice în cadrul publicațiilor privitoare la cauzele preliminare”. Fiind vorba despre publicații, putem extinde o astfel de preocupare, chiar dacă la alt nivel, cel statal, pe care o cunoaște, în materie, Buletinul Procedurilor de Insolvență, dar nu numai, având relevanță, pentru profesia de practician în insolvență. Sunt preocupări care stau, inclusiv, sub semnul sancțiunilor[31] aplicabile în caz de încălcare a legislației domeniului și care considerăm că sunt suficient de stimulative. Astfel de sancțiuni se aplică pentru a consolida răspunderea, respectiv responsabilitatea, celor care au acces la datele care au caracter personal (colectare, prelucrare, arhivare, transmitere ș.a.). Cele două concepte, „răspundere” și „responsabilitate”, se folosesc, „cel puțin în limba română, cu aceeași semnificație sau cu semnificații foarte apropiate, dar niciodată îndeajuns de precise”[32]. Contextul este motivat de diversificarea, respectiv de „multiplicarea mijloacelor de căutare și de difuzare” a datelor cu caracter personal. În mod concret, Curtea a decis faptul că „pentru orice cauză preliminară introdusă începând cu 1 iulie 2018, [se vor înlocui] cu inițiale, în toate documentele sale publicate [numele] persoanelor fizice implicate în cauză”. De asemenea, potrivit aceleiași decizii, va fi înlăturată orice informație care ar fi de natură să permită identificarea (și, adăugăm noi, potrivit art. 4 pct. 1 din Regulament, identificabilitatea) persoanelor în cauză[33].

Deoarece și la nivelul Uniunii Naționale a Practicienilor în Insolvență din România asistăm la organizarea și desfășurarea unor examene, inclusiv de admitere în profesie, apreciem că este relevantă pentru materia analizată hotărârea CJUE pronunțată în cauza Nowak[34], potrivit căreia „răspunsurile scrise furnizate în cadrul unui examen profesional și eventualele observații ale examinatorului referitoare la aceste răspunsuri constituie date cu caracter personal ale candidatului la care are, în principiu, un drept de acces”[35]. Accesul candidatului la astfel de informații răspunde obiectivului urmărit de legislația UE care se referă la protecția dreptului la viața privată a persoanelor fizice privind prelucrarea datelor acestora, potrivit aceluiași comunicat. În anul 2017, nu se aplicau prevederile Regulamentului (UE) 2016/679, ci acelea ale Directivei 95/46[36], directivă potrivit căreia datele cu caracter personal reunesc „orice informație referitoare la o persoană fizică identificată sau identificabilă”[37].

Pentru a releva rigoarea manifestată, dar și atenția care se acordă prelucrării datelor cu caracter personal ale persoanelor fizice, la nivelul UE, aducem în analiză, inclusiv, hotărârea CJUE pronunțată în cauza C-25/17[38], potrivit căreia „o comunitate religioasă, (…), este operator[39], împreună cu membrii săi predicatori, în ceea ce privește prelucrarea datelor cu caracter personal colectate în cadrul unei activități de predicare din casă în casă”[40] și, pe cale de consecință, o astfel de activitate trebuie să respecte legislația UE cu privire la protecția datelor cu caracter personal. Aceste date se referă, potrivit hotărârii CJUE, la numele și adresele persoanelor vizate, convingerile religioase ori la situația lor familială. Prin urmare, activitatea membrilor comunității în cauză nu intră sub incidența excepțiilor prevăzute de dreptul UE în materie”. Mai exact, instanța precizează că această activitate de predicare din casă în casă, prin colectarea mai multor date personale „nu este o activitate exclusiv personală sau domestică”[41] cu privire la care dreptul UE nu s-ar aplica.

Tot la nivel european, dar de data aceasta în cadrul Consiliului Europei, se precizează că „simpla înregistrare a datelor referitoare la viața privată a unui individ constituie o ingerință în sensul art. 8 [din Convenția Europeană a Drepturilor Omului][42] care, între altele, garantează dreptul la respectarea vieții private și de familie a domiciliului și a corespondenței”[43].

Sub cupola Consiliului Europei, prin Curtea Europeană a Drepturilor Omului, este interpretat același articol 8 cu privire la monitorizarea care ar putea fi dispusă și la nivelul practicienilor în insolvență, dar nu numai, a utilizării calculatorului de către angajați. În speță, este parte chiar țara noastră, în deja faimoasa cauză Bărbulescu c./România[44]. Cauza „privește decizia unei societăți civile de a concedia un angajat – reclamantul – după monitorizarea comunicațiilor sale electronice și a conținutului acestora. Reclamantul a arătat faptul că decizia angajatorului său se întemeia pe o încălcare a vieții sale private și a corespondenței”[45]. Hotărârea dată de Marea Cameră (cu 11 voturi pentru și 1 împotrivă) a fost în sensul că angajatorul a încălcat art. 8 din Convenție, iar „autoritățile române nu au protejat, în mod corespunzător, dreptul reclamantului la respectarea vieții private și a corespondenței”. Mai mult, instanțele române nu au reușit să constate dacă angajatorul și-a îndeplinit o obligație  (pe care și Regulamentul o prevede la art. 13 și 14), și anume aceea de a fi informat reclamantul asupra acestei măsuri, anterior instituirii monitorizării.

În același sens, în aceeași materie este și hotărârea Libert c./Franța[46]. Plângerea reclamantului a vizat încălcarea dreptului său la respectarea vieții private de către angajatorul său care a deschis fișiere aflate în partiția sa de pe hard-diskul calculatorului pe care lucra în interes de serviciu, intitulată „D:/date personale” în condițiile în care angajatul nu a fost invitat să asiste la operațiune. Dat fiind conținutul fișierelor deschise, în situația mai sus arătată, angajatul a fost demis. În temeiul art. 8 din Convenție, Curtea a comunicat cererea guvernului francez și a adresat întrebări părților.

Alte cauze care pot avea relevanță pentru profesie, la nivelul Curții Europene a Drepturilor Omului, vizează: stocarea și utilizarea datelor cu caracter  personal în contextul sistemului de justiție penală[47], în contextul sănătății[48], în procedurile din domeniul asigurărilor sociale[49], în stocarea datelor în registre secrete[50], date ale furnizorilor de servicii de telecomunicații, divulgarea datelor cu caracter personal[51], accesul la date cu caracter personal[52], ștergerea sau distrugerea datelor cu caracter personal[53].

În România, rețin atenția întrebările preliminare formulate de către Tribunalul București, în cauza pendinte C-61/19[54], privitoare la consimțământul exprimat de către o persoană în materia protecției datelor cu caracter personal, sub aspect conceptual. În speță, Tribunalul a sesizat CJUE pentru a se edifica asupra condițiilor care „trebuie îndeplinite pentru a se putea aprecia că o manifestare de voință este una specifică și informată în conformitate cu legislația UE”[55]. O astfel de sesizare a intervenit în condițiile în care Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma unei anchete desfășurate la sediile Orange din București (Orange fiind operator de date cu caracter personal), la data de 26 martie 2018, a descoperit copii ale actelor de identitate[56] ale clienților săi. Pe cale de consecință, Autoritatea i-a aplicat Orange o amendă administrativă. Temeiul invocat în raportul de anchetă a fost, la aceea dată, Legea nr. 677/2001 cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date[57] (art. 8 și 32). În verificarea pe care Autoritatea a realizat-o a urmărit, inclusiv, aplicarea Legii nr. 506/2004 privind prelucrarea rapidă a datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice[58]. Starea de fapt se referă la situația în care se găsește Orange, ca furnizor de servicii de telecomunicații mobile pe piața din România, inclusiv în sistemul „PrePay”, iar colectarea datelor cu caracter personal îi vizează pe clienții săi. Aceștia încheiau contracte de servicii având posibilitatea de a achiziționa echipamente în condiții avantajoase, beneficiind de reduceri de preț, facilității la transfer și altele.

Tot cu trimitere la țara noastră este și hotărârea CJUE pronunțată în cauza C-708/18[59], dar, de data aceasta, vizat nu este consimțământul, ci păstrarea confidențialității în materia datelor cu caracter personal de către o asociație de proprietari, în calitate de pârâtă. În speță, Tribunalul București a cerut CJUE interpretarea dreptului UE aplicabil în materia protecției datelor cu caracter personal.

Hotărârile pronunțate în cauzele menționate pot avea incidență și asupra activității practicienilor în insolvență. Caracterul preventiv al exemplelor oferite se referă la: colectarea datelor; stocarea acestora și transmiterea lor; exprimarea consimțământului; confidențialitatea ș.a.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a organizat și finalizat mai multe investigații în aplicarea Regulamentului (UE) 2016/679, sancționând contravențional mai multe persoane juridice[60].

 

5. Particularități ale aplicării legislației privind protecția datelor cu caracter personal și asigurarea libertății de circulație a acestor date, de către practicienii în insolvență

Un rol important în economia aplicării întregii legislații specifice domeniului revine responsabilului/ofițerului cu protecția datelor[61] (DPO[62]). Practicienii în insolvență au o serie de responsabilități în materie[63], raportate la eforturile care s-au făcut, în acest sens, la nivelul Uniunii Naționale a Practicienilor în Insolvență din România și al Institutului Național pentru Pregătirea Practicienilor în Insolvență, pentru redactarea unor instrumente de lucru, mai mult decât necesare, în această etapă, menite, în principal, să contribuie la prevenirea încălcării legislației, destul de consistentă, și care, deja, produce efecte juridice, sub aspectul drepturilor și al obligațiilor, deopotrivă. Toate aceste instrumente redactate și puse la dispoziție reprezintă rezultatul unui audit care și-a propus drept finalitate evaluarea riscurilor posibile cu care s-ar putea confrunta practicienii în insolvență. Este vorba despre: formularul privind solicitarea consimțământului; nota de informare privind prelucrarea datelor cu caracter personal; politica privind exercitarea drepturilor de către persoanele vizate în temeiul Regulamentului General privind Protecția Datelor; Registrul de evidență a încălcărilor de securitate; acordul de utilizare a fotografiei; politica de utilizare a emailului; politica de parole; formularul tip pentru răspunsul la cererea privind accesul la datele cu caracter personal ș.a.

Care sunt datele cu caracter personal pe care le pot utiliza practicienii în insolvență? Un loc important îl ocupă acele date care fac obiectul documentelor publicate în Buletinul Procedurilor de Insolvență, cum ar fi: citațiile, convocările, notificările și comunicările actelor de procedură efectuate de instanțele judiciare, administratorul judiciar/lichidatorul judiciar după deschiderea procedurii de insolvență. Se adaugă acele informații pe care le conțin, după cum urmează: contractul de compensare bilaterală la care parte poate fi și o persoană fizică; tabelele de creanțe referitoare la creanțele salariale privind raporturile de muncă sau asimilate care se stabilesc între debitor și angajații acestuia, persoane fizice; extrasul raportului de activitate care conține date referitoare la persoanele de specialitate desemnate și onorariul acestora; mandatul ad-hoc, ca procedură confidențială; datele înscrise în cererile introductive ș.a. Un loc aparte îl dețin datele practicianului în insolvență desemnat ca administrator sau lichidator judiciar ori administrator concordatar în cadrul unei proceduri în insolvență sau de prevenire a insolvenței, inclusiv onorariul acestuia. Se adaugă sediul profesional, ca loc în care funcționează într-un mod verificabil de către terți conducerea activității economice ori a exercitării profesiei independente a persoanei fizice. Cu titlu de exemplu, menționăm datele părților unui acord de compensare bilaterală; datele administratorului special – persoană fizică, nu și ale persoanei juridice ori datele persoanelor care compun instanțele judecătorești, ale judecătorului sindic, ale persoanelor care compun adunarea creditorilor și comitetul creditorilor, administratorului special, administratorului judiciar, lichidatorului judiciar ș.a. Aceste date pot viza: numele, prenumele, semnătura, adresa de domiciliu, CNP-ul, telefonul ori e-mailul, conturile bancare, programul activității desfășurate, condica de prezență, registrul de acces în instituție ș.a. Un loc important îl ocupă vulnerabilitățile, riscurile și amenințările posibile, date, între altele, de site-uri, aviziere, publicații, fotografii ori înregistrări audio-video realizate cu prilejul unor activități de pregătire (conferințe naționale sau regionale, seminare ș.a.) etc. Pe scurt este vorba despre toate acele informații care pot contribui la identificarea sau identificabilitatea unei persoane cu luarea în considerare a unor aspecte de ordin procedural, dar nu numai.

De interes pentru practicienii în insolvență, în prezent, este faptul că, deja, produc efecte mai multe decizii importante ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, între care două stimulează, în continuare, preocupările cu privire la cunoașterea și aplicarea legislației domeniului, și anume: Decizia privind procedura de efectuare a investigațiilor și Decizia referitoare la procedura de primire și soluționare a plângerilor.

***

În loc de concluzii, apreciem că legislația care guvernează domeniul este important să fie privită cu echilibru, dată fiind necesitatea protecției datelor cu caracter personal ale persoanelor fizice, pe de o parte, dar și asigurarea libertății de circulație a acestor date, pe de altă parte, aspecte corelate cu statutul de persoană ale cărei date trebuie protejate, la care se adaugă statutul persoanelor fizice – practicieni în insolvență, și juridice – UNPIR și filialele sale, INPPI, dar nu numai, care au responsabilități în materie, contribuind direct sau indirect la protecția acestor date.


[28] Conform Comunicatului de presă nr. 96/18 (din 29 iunie 2018) al CJUE.

[29] Idem.

[30] La acea dată aplicându-se Regulamentul (CE) nr. 45/2001 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date, publicat în JO L8, 12.1.2001, abrogat prin Regulamentul (UE) 2018/1725, precitat.

[31] Regulamentul (UE) 2016/679, art. 84.

[32] Elena Emilia Ștefan, Răspunderea juridică. Privire specială asupra răspunderii în dreptul administrativ, Editura ProUniversitaria, București, 2013, pag. 13.

[33] Pentru detalii tehnice (inițiale ș.a.), a se vedea Comunicatul invocat.

[34] Hotărârea Curții din 20 decembrie 2017, Peter Nowak c./ Data Protection Commissioner, C-434/16, EU:C:2017:994.

[35] Pct. 27 din hotărâre.

[36] Directiva 95/46/CE, precitată.

[37] Pct. 28 din hotărârea Nowak, precitată.  În prezent, la art. 4 pct. 1 se precizează că „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

[38] Hotărârea Curții din 10 iulie 2018, Tietosuojavaltuutettu, C-25/17, EU:C:2018:551.

[39] Operator de date cu caracter personal este „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” (potrivit art. 4 pct. 7 din Regulamentul (UE) 2016/679).

[40] Potrivit pct. 75 din hotărârea pronunțată în cauza C-25/17, precitată.

[41] Ibidem, pct. 42.

[42] Art. 8 prevede: „Dreptul la respectarea vieții private și de familie 1. Orice persoană are dreptul la respectarea vieții sale private și de familie, a domiciliului său și a corespondenței sale. 2. Nu este admis amestecul unei autorități publice în exercitarea acestui drept decât în măsura în care acesta este prevăzut de lege și constituie, într-o societate democratică, o măsură necesară pentru securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii și prevenirea faptelor penale, protecția sănătății, a moralei, a drepturilor și a libertăților altora”.

[43] Press Unit, Fișă informativă – Protecția datelor cu caracter personal, https://www.echr.coe.int/Documents/FS_Data_RON.pdf, accesat la 18 ianuarie 2020.

[44] Hotărârea din 5 septembrie 2017, cererea 61496/08.

[45] https://www.echr.coe.int/Documents/FS_Data_RON.pdf, accesat la 16 ianuarie 2020.

[46] Hotărârea din 2 iulie 2018 (cererea 588/13).

[47] Perry c./ Regatul Unit (hotărârea din 17 iulie 2003, cererea 63737/00); S și Marper c./Regatul Unit (hotărârea din 4 decembrie 2008, cererile nr. 30562/04 și 30566/04); Uzun c./Germania (hotărârea din 2 septembrie 2010, cererea 35623/05); Dimitrov-Kazakov c./Bulgaria (hotărârea din 10 februarie 2011, cererea 11379/03); Brunet c./Franța (hotărârea din 18 septembrie 2014, cererea 21010/10) ș.a.

[48] Chave născută Jullien c./Franța (hotărârea din 9 iulie 1991, cererea 14461/88) ș.a.

[49] Vukota c./Elveția (hotărârea din 18 octombrie 2016, cererea 61838/10) ș.a.

[50] Rotaru c/România (hotărârea din 4 mai 2000, Marea Cameră, cererea 28341/95); Turek c./Slovacia (hotărârea din 14 februarie 2006, cererea 57986/00) ș.a.

[51] Radu c./Republica Moldova (hotărârea din 15 aprilie 2014, cererea 50073/07) ș.a.

[52] Haralambie c./România (hotărârea din 27 octombrie 2009, cererea 21737/03); Jarnea c./România (hotărârea din 19 iulie 2011, cererile 36268/02, 25416/04, 25500/04, 43454/06, 24717/07, 16297/08 și 17068/08); Antoneta Tudor c./România (hotărârea din 24 septembrie 2013, cererea 23445/04) ș.a.

[53] Rotaru c./România, precitată; Asociația 21 Decembrie 1989 ș.a. c./România (hotărârea din 24 mai 2011, cererile 33810/07 și 18817/08) ș.a.

[54] Orange Romania (potrivit http://curia.europa.eu/juris/showPdf.jsf?text=&docid=219794&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=1232077, accesat la 20 ianuarie 2020).

[55] Potrivit http://curia.europa.eu/juris/showPdf.jsf?text=&docid=219794&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=1232077, accesat la 20 ianuarie 2020).

[56] Aceste copii au fost luate și păstrate fără acordul expres al clienților Orange.

[57] În prezent este aplicabilă Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 503 din 19 iunie 2018.

[58] Publicată în  Monitorul Oficial al României, Partea I, nr. 1101/2004.

[59] Hotărârea Curții din 11 decembrie 2019, TK c./Asociația de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064.

[60] Pentru detalii, a se vedea https://www.dataprotection.ro/?page=allnews.

[61] Pentru mai multe detalii, a se vedea Cătălina Jugastru, Proceduri și autorități în noul drept european al protecției datelor cu caracter personal I, Revista Universul Juridic, nr. 6/2017, pag, 115-123.

[62] Engl: data protection officer.

[63] Pentru detalii, a se vedea Marta-Claudia Cliza, Laura-Cristiana Spătaru-Negură, The General Data Protection Regulation: what does the public authorities and bodies need to know and to do? The rise of the data protection officer, Tribuna Juridică, nr. 8/2018, p. 489-501.

Aplicarea legislației, în materia protecției datelor cu caracter personal, de către practicienii în insolvență was last modified: februarie 10th, 2021 by Augustin Fuerea

Numai utilizatorii autentificați pot scrie comentarii

Arhiva Revista

Despre autor:

Augustin Fuerea

Augustin Fuerea

Este prof. univ. dr. în cadrul Universității „Nicolae Titulescu” din Bucureşti.