Home » Comunicat_Presa_02_05_2023
 Română | English | Francais

02.05.2023

Evoluții jurisprudențiale

 

Referitor la activitatea de reprezentare în instanță, în perioada 2019-2022, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a primit un număr total de 127 cereri de chemare în judecată, iar dintre acestea prin 49 de cereri s-au contestat sancțiunile aplicate în controalele efectuate.

În anul 2022 s-au primit 42 de cereri noi de chemare în judecată, din care 22 de cereri au ca obiect contestarea proceselor-verbale de sancționare încheiate de ANSPDCP.

Dintre litigiile prin care s-au contestat sancțiunile/măsurile aplicate, până la data de 31 martie 2023, au fost definitivate 23 dosare, iar în 18 dintre aceste cauze au fost pronunțate soluții definitive în favoarea ANSPDCP.

Astfel, instanțele de judecată au confirmat integral amenzile aplicate de instituția noastră următorilor 11 operatori:

  • Banca Transilvania SA (100.000 euro)
  • Vreau Credit SRL (20.000 euro)
  • Proleasing Motors SRL (15.000 euro)
  • Hora Credit IFN SA (14.000 euro)
  • Dada Creation SRL (5.000 euro)
  • Actamedica SRL (3.000 euro)
  • Dante Internațional (3.000 euro)  
  • Royal President SRL (2.500 euro)
  • CN Poșta Română (2.000 euro)
  • Nobiotic Pharma SRL (2.000 euro)
  • CN Poșta Română (1.000 euro)

Totodată, au fost soluționate 5 litigii în favoarea Autorității Naționale de Supraveghere, prin menținerea proceselor-verbale de constatare/sancționare în sensul reținerii caracterului contravențional al faptelor, cu diminuarea cuantumului amenzii sau înlocuirea acesteia cu avertisment, în ceea ce privește operatorii: SC Entirely Shipping & Trading SRL (diminuare), World Trade Center Bucharest SA,  Legal Company & Tax Hub SRL, Raiffeisen Bank (diminuare), Asociația Asistenței Rutiere A-Car Vaslui.

Au fost admise 5 plângeri contravenționale formulate de următorii operatori: ING Bank N.V. AMSTERDAM, CN Tarom, Tip Top Food Industry SRL, Artmark Holding, Viva Credit IFN SA.

În acest context, menționăm că au fost contestate în instanță și decizii emise de instituția noastră prin care s-a dispus încetarea prelucrării și ștergerea datelor personale, dintre care evidențiem litigiile cu UAT Cluj (Poliția Locală) și UAT Constanța (Poliția Locală), care au avut ca obiect utilizarea ilegală a supravegherii portabile audio-video de către polițiștii locali (body camera).

În urma investigațiilor efectuate, s-a constatat că operatorii menționați mai sus au încălcat prevederile art. 5 alin. (1) lit. a) raportat la art. 6 alin. (1) din Regulamentul (UE) 2016/679, deoarece personalul Poliției Locale, aflat în exercitarea misiunilor și activităților specifice, a prelucrat date cu caracter personal prin utilizarea sistemului audio-video portabil de tip ”Body-Worn Camera” (imagine și voce), fără să existe o obligaţie legală a operatorului și fără îndeplinirea vreunei alte condiții prevăzute la art. 6 alin. (1) din RGPD.

Ca atare, a fost aplicată sancțiunea avertismentului, însoțită de o Decizie prin care s-a dispus ca operatorii respectivi să înceteze orice  operațiune sau set de operațiuni de prelucrare de date cu caracter personal efectuate prin intermediul sistemelor audio-video de tip ”Body –Worn Camera” și să șteargă sistemul de evidență a datelor cu caracter personal constituit ca urmare a utilizării unor astfel de sisteme.

Evidențiem că, prin hotărâri definitive din 2022 și 2023, instanțele de judecată au menținut deciziile Autorității prin care se dispusese încetarea prelucrării și ștergerea imaginilor colectate de poliția locală, în urma controalelor prin care se constatase lipsa de legalitate a respectivelor prelucrări de date.

Pentru a veni în sprijinul operatorilor preocupați de aplicarea corectă a regulilor de protecție a datelor, prezentăm, în continuare, spre exemplificare, câteva extrase din cauze relevante în care instanțele de judecată au reținut legalitatea și temeinicia proceselor-verbale întocmite de ANSPDCP, confirmând abordarea instituției noastre.

 

În ceea ce privește sancțiunea amenzii în cuantum total de 3.000 euro, prin decizie definitivă, Curtea de Apel București a confirmat sancțiunea dispusă de ANSPDCP operatorului Dante International.

Astfel, instanța de apel a reținut faptul că:

”În cauză, sancțiunea aplicată de autoritate corespunde pe deplin acestor cerinţe de proporţionalitate în condiţiile în care, astfel cum s-a reținut deja, fapta a fost săvârşită în condiţiile în care persoana care a formulat sesizarea solicitase în mod expres ca apelantul-reclamant să nu-i mai transmită mesaje cu caracter comercial.

Totodată, din cuprinsul cererii de chemare în judecată şi a cererii de apel nu reiese că apelantul-reclamant a înţeles faptul că a realizat o prelucrare nelegală, argumentele sale fiind centrate pe faptul că a acţionat pe deplin în conformitate cu dispozitiile legale, prin încercarea de a masca sub aparenţa unui mesaj tranzacţional a unui mesaj de marketing direct. De asemenea, Curtea constată că apelantul-reclamant a mai fost sancţionat pentru încălcări ale prevederilor legale referitoare la prelucrarea datelor cu caracter personal (...).

Pe de altă parte, cuantumul amenzii stabilite de apelantul-pârât prin procesul verbal de contravenţie (echivalentul a 3000 euro) este orientat spre minimul special stabilit de lege şi are o valoare cu mult mai mică decât sancțiuni aplicate altor operatori economici pentru fapte similare.”

Curtea de Apel Craiova a menținut, la fel ca și instanța de fond, sancțiunea amenzii în cuantum de 2000 euro, dispusă față de operatorul Nobiotic Pharma SRL, care  nu a furnizat informațiile solicitate de ANSPDCP în cadrul investigației, ceea ce a constituit o încălcare a prevederilor art. 85 alin. (5) lit. e) coroborate cu art. 58 alin. (1) din Regulamentul (UE) nr. 679/2016.

Astfel, s-a reținut că „petenta nu a comunicat informațiile solicitate de intimată (ANSPDCP), cu toate că acesteia i-au fost adresate trei notificări în acest sens, motiv pentru care instanța consideră că în mod legal a fost constatată de către intimată contravenția prevăzută de art. 58 din Regulamentul (UE) nr. 679/2016.”

Referitor la individualizarea sancțiunii aplicate, „instanța constată că sancțiunea amenzii în cuantum de 9890 lei, echivalentul a 2000 euro, este proporțională cu gradul de pericol social al faptei săvârșite privind protecția datelor personale și cu dispozițiile art. 85 alin. (5) lit. e) din Regulamentul (UE) nr. 679/2016.”

Referitor la termenul de prescripție al aplicării amenzii, Curtea de Apel Craiova a constatat că: dispozițiile OG nr. 2/2001 sunt, in materie contravențională, norme cu caracter general, găsindu-și aplicabilitatea ori de câte ori, o normă specială nu este incidență. În cauza dedusă judecății, cum corect a reținut instanța de fond, sub aspectul prescripției aplicării amenzii contravenționale incidente sunt prevederile art. 15 alin.4 din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, normă cu caracter special și care se aplică cu prioritate față de principiul specialia generalibus derogant (specialul derogă de la general). Așadar, ori de câte ori există prevederi derogatorii prevăzute in legi special, incidente in cauză, acestea din urmă au întâietate.

Or, in speța dedusă judecății tocmai o astfel de normă special, Legea nr. 102/2005 derogatorie de la norma de drept comun, OG nr. 2/2001, este incidentă.

Ca atare, aplicabile, sub aspectul prescripției aplicării amenzii contravenționale sunt prevederile art. 15 alin. 4 din Legea nr. 102/2005, potrivit cărora, sancțiunile prevăzute la alin. 1 pot fi aplicate în termen de 3 ani de la data săvârșirii faptei.

Curtea de Apel Târgu-Mureș a menținut, în mod definitiv, sancțiunea amenzii în cuantum de 3000 euro și avertismentul aplicat de ANSPDCP operatorului Actamedica SRL, pentru încălcarea dispozițiilor art. 12 alin. (3), art. 15 alin. (1), art. 28 alin. (1), art. 32, și art. 33 din Regulamentului (UE) 2016/679, ca urmare a unei plângeri referitoare la pierderea unor probe biologice și a unei sume de bani trimise prin intermediul unei firme de curierat.

Instanța de apel a confirmat soluția instanței de fond, reținând, printre altele, că:

Susținerile (Actamedica) referitoare la lipsa sa de răspundere nu pot fi primite, dispozițiile cuprinse în contractele încheiate cu alte părți nefiind opozabile persoanelor care s-au adresat exclusiv apelantei-pârâte (Actamedica), încredințându-i acesteia probele biologice. în același sens a arătat și intimata-pârâtă că, în calitatea sa de operator de date cu caracter personal, apelanta-pârâtă trebuia împreună cu persoana împuternicită să pună în aplicare măsuri tehnice și organizatorice adecvate pentru ca drepturile și libertățile persoanelor fizice să nu fie puse în pericol, cu atât mai mult cu cât transportul cuprindea date sensibile, respectiv să se asigure că persoana împuternicită oferă garanții suficiente pentru punerea în aplicare a măsurilor tehnice și organizatorice, în acest sens fiind dispozițiile art. 28 alin. 1 și art. 32 din RGPD. (...)

Mai mult, după cum arată intimata-pârâtă, apelanta S.C. Actamedica S.R.L, se află în culpă, întrucât, în situația în care ar fi consultat site-ul Fan Courier www.fancourier.ro în privința condițiilor generale privind furnizarea serviciilor poștale și "Ghidul de ambalare", ar fi putut lesne constata faptul că se precizează că substanțele/probele biologice sunt interzise de la transport, și, totodată, și că trimiterile poștale nu pot cuprinde "bunuri pentru care sunt stabilite condiții speciale de transport, prin dispoziții legale administrative, economice, sanitare (...)".

În același litigiu, instanța de fond a statuat faptul că: ”amenda în cuantumul aplicat este legală, eficace, proporțională și disuasivă și a fost stabilită cu luarea în considerare a naturii, gravității și consecințelor încălcării, precum și tuturor celorlalte criterii prevăzute de Regulament, criterii care au fost analizate de pârâtă corect”.

De asemenea, a subliniat că ”Regulamentul a introdus un nivel mult mai ridicat de responsabilizare a operatorului de date în comparație cu Directiva 95/46/CE privind protecția datelor, iar articolele 25 și 32 din Regulament prevăd că operatorii au în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul, scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea".

„Cu privire la temeinicia sancționării reclamantei, (...) pârâta a făcut dovada că sunt întrunite elementele constitutive ale contravențiilor reținute. Totodată, reclamanta (Actamedica) nu a probat existența unei alte stări de fapt, decât cea consemnată in procesul verbal de constatare contestat.”

Pe de altă parte, în scopul asigurării unei depline informări a publicului larg, semnalăm un aspect de noutate care a intervenit recent, referitor la dispunerea de către Curtea de Apel București a trimiterii unor întrebări preliminare către Curtea de Justiție a Uniunii Europene, în dosarul nr. 31192/3/2019*, în care Inteligo Media SA a contestat amenda de 9.000 euro aplicată de ANSPDCP, pentru că a încălcat principiile de prelucrare, inclusiv condițiile privind obținerea consimțământului, prin nerespectarea dispozițiilor art. 5 alin. (1) lit. a) și b), art. 6 alin.(1) lit. a) și art. 7 din Regulamentul General privind Protecția Datelor.

Întrebările preliminare sunt următoarele:

„1. În situaţia în care un editor de publicaţie de presă online de informare a publicului larg, nespecialist în domeniu, cu privire la modificările legislative apărute zilnic în România, obţine adresa de e-mail a unui utilizator cu ocazia creării de către acesta din urmă, cu titlu gratuit, a unui cont de utilizator care îi conferă dreptul (i) de a accesa, cu titlu gratuit, un număr suplimentar de articole ale publicaţiei în cauză, (ii) de a primi, prin e-mail, o informare zilnică cuprinzând o sinteză cu noutăţi legislative tratate în articole din cadrul publicaţiei şi hyperlink-uri către respectivele articole şi (iii) de a accesa, contra cost, articole şi analize suplimentare şi/sau mai extinse ale publicaţiei faţă de informarea zilnică transmisă gratuit:

a) Este adresa de e-mail respectivă obţinută de editorul publicaţiei de presă online "în contextul vânzării unui produs sau serviciu", în sensul art. 13 alin. (2) din Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) ("Directiva 2002/58/CE")?

b)Transmiterea de către editorul de presă a unei informări de tipul celei descrise la pct. (ii) reprezintă "promovarea directă a propriilor produse sau servicii similare", în sensul art. 13 alin. (2) din Directiva 2002/58/CE?

2. Dacă răspunsurile la întrebările nr. 1 lit. (a) şi lit. (b) sunt afirmative, care dintre condiţiile prevăzute la art. 6 alin. (1) lit. (a) - (f) din Regulamentul (UE) 2016/679 trebuie interpretate ca fiind aplicabile atunci când editorul foloseşte adresa de e-mail a utilizatorului în scopul transmiterii unei informări zilnice de tipul celei descrise în întrebarea nr. 1 pct. (ii), cu respectarea cerinţelor prevăzute la art. 13 alin. (2) din Directiva 2002/58/CE?

3. Articolul art. 13 alin. (1) şi alin. (2) din Directiva 2002/58/CE trebuie interpretat în sensul că se opune unei reglementări naţionale care utilizează noţiunea de "comunicare comercială" prevăzută de art. 2 lit. (f) din Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societăţii informaţionale, în special ale comerţului electronic, pe piaţa internă (Directiva privind comerţul electronic) ("Directiva 2000/31/CE") în locul noţiunii de “marketing direct” prevăzute de Directiva 2002/58/CE? Dacă răspunsul este negativ, o informare de tipul celei descrise la întrebarea nr. 1 pct. (ii) reprezintă "comunicare comercială" în sensul art. 2 lit. (f) din Directiva 2000/31/CE?

4. Dacă răspunsurile la întrebările nr. 1 lit. (a) şi lit. (b) sunt negative:

a) Reprezintă transmiterea prin email a unei informări zilnice de tipul celei descrise la întrebarea nr. 1 pct. (ii) de mai sus, "folosirea [...] poştei electronice în scopuri de marketing direct" în sensul art. 13 alin. (1) din Directiva 2002/58/CE? respectiv

b) Articolul 95 din Regulamentul (UE) 2016/679 coroborat cu articolul 15 alin. (2) din Directiva 2002/58/CE trebuie interpretate în sensul că, neîndeplinirea condiţiilor cu privire la obţinerea unui consimţământ valabil al utilizatorului potrivit art. 13 alin. (1) din Directiva 2002/58/CE va fi sancţionată potrivit art. 83 din Regulamentul (UE) 2016/679 sau potrivit dispoziţiilor dreptului naţional din actul de transpunere al Directivei 2002/58/CE care, la rândul său, conţine sancţiuni aplicabile specifice?

5. Articolul 83 alin. (2) Regulamentul (UE) 2016/679 trebuie interpretat în sensul că, o autoritate de supraveghere care ia decizia dacă să impună o amendă administrativă, precum şi decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, are obligaţia de a analiza şi explica în actul administrativ de sancţionare impactul fiecăruia dintre criteriile prevăzute la literele (a) - (k) asupra deciziei de a impune o amendă, respectiv asupra deciziei cu privire la cuantumul amenzii aplicate?”

Ca evoluție, precizăm că în acest litigiu s-a pronunțat, inițial (2020), Tribunalul București care a menținut amenda de 9.000 euro aplicată de ANSPDCP și procesul-verbal de control, iar apoi Curtea de Apel București a trimis  cauza în rejudecare, în anul 2021, considerând că instanța de fond nu a făcut nicio apreciere concretă proprie asupra motivelor de nelegalitate invocate de reclamantă (Inteligo Media SA) limitându-se la redarea apărărilor formulate de pârâtă (ANSPDCP).

În rejudecare, Tribunalul București a constatat din nou (2021) legalitatea procesul-verbal de control al ANSPDCP și a stabilit amenda la 4.500 euro, cu următoarea motivare:

Cât privește cuantumul amenzii tribunalul apreciază că se impune reducerea cuantumului acesteia ( de la 9000 euro la 4357 euro, în echivalent lei la cursul BNR din data de 26.09.2019, 4357 fiind numărul utilizatorilor (persoane fizice vizate) care nu și-au exprimat consimțământul printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal) deoarece, pe de o parte, reclamanta se află la prima încălcare a RGDP, act normativ, relativ proaspăt intrat în ordinea juridică la momentul începerii activității ilicite, și, pe de altă parte, că, urmare a începerii investigației, aceasta a luat măsura suspendării apariției câmpului disputat, până la soluționarea cazului.

În prezent litigiul se află pe rolul Curții de Apel București (dosar nr. 31192/3/2019*) .

În acest context, menționăm că întrebări preliminare către CJUE au mai fost transmise și de Tribunalul București în litigiul dintre ANSPDCP și Orange (dosar 12278/3/2018), iar punctul de vedere al CJUE din Cauza C-61/19 a confirmat interpretarea dată de ANSPDCP.

Și acest litigiu se află în prezent pe rolul instanței de judecată.

Direcția juridică şi comunicare

ANSPDCP