Începând cu 25 mai 2018 este aplicabil REGULAMENTUL nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.
Cu această ocazie, au apărut un val de specialiști în acest domeniu. Aproape nu este săptămână în care să nu fie un subiect pe acest domeniu. Ba o amendă, ba o breșă de securitate, ba o interpretare. Și câte și mai câte altele.
Toată această tevatură te-ar face să crezi că datele cu caracter personal beneficiază de protecția pe care o merită. Că în sfârșit cineva veghează la respectarea lor și că intervine prompt oridecâteori cineva îndrăznește să le vatăme.
În România, la respectarea datelor cu caracter personal veghează AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL (ANSPDCP).
Care sunt datele cu caracter personal?
Potrivit art. 4 pct. 1 din Regulament, “date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Citind definiția de mai sus, în mod logic te gândești că un operator va prelucra cu maximă atenție și în deplin acord cu prevederile legale aplicabile cel puțin următoarele date: nume, CNP, serie și număr act de identitate, domiciliu.
Toate datele de mai sus sunt consemnate în orice proces verbal de contravenție. În plus, uneori pot fi consemnate și alte date apte să ducă la identificarea unei persoane.
Cum se comunică un proces verbal de contravenție?
În marea majoritate a cazurilor, procesul verbal de contravenție se comunică prin preluarea acestuia pe bază de semnătură.
Însă, dacă procesul verbal de contravenție se întocmește în lipsa contravenientului, sau dacă contravenientul refuză semnarea precesului verbal, comunicarea se face prin poștă, cu aviz de primire, la domiciliul contravenientului.
În concret, teoretic găsești în cutia poștală un aviz prin care ești informat că trebuie să te prezinți într-un anumit interval de timp la un oficiu poștal pentru a primi corespondența ce îți este adresată.
Dacă nu găsești avizul, sau îl găsești dar nu te prezinți în vederea primirii corespondenței, sau te prezinți după expirarea termenului de păstrare, atunci comunicarea procesului verbal de contravenție nu poate fi efectuată în această modalitate.
Pentru această situație, soluția identificată de legiuitorul român este comunicarea prin afișare la domiciliu.
Cum se efectuează comunicarea prin afișare?
Potrivit art. 27 din OG nr. 2/2001, comunicarea procesului-verbal se face prin poştă, cu aviz de primire, sau prin afişare la domiciliul sau la sediul contravenientului. Operaţiunea de afişare se consemnează într-un proces-verbal, semnat de cel puţin un martor.
În concret, se prezintă un agent constatator la domiciliul contravenientului, lipește procesul verbal pe ușă și încheie un proces verbal în care menționează că a procedat la comunicare prin afișare la domiciliul contravenientului.
În cazul în care contravenientul are domiciliul la casă, iar poarta e închisă, afișarea o sa se facă pe poartă. Dacă are domiciliul la bloc, afișarea se va face cel mai probabil pe ușa de la intrarea în scara blocului.
În acest fel, până ajunge contravenientul să descopere procesul verbal lipit pe ușă / poartă, acesta are șanse mari să fie văzut de nenumărate alte persoane care domiciliază sau pur și simplu se află dintr-un oarecare motiv la adresa respectivă.
Astfel, toate aceste persoane o să aibă acces la datele persoanale ale contravenientului.
Ce părere au operatorii care comunică procesul verbal de contravenție în acest fel?
În 24.10.2019 Municipiul Cluj-Napoca – Direcția Generală Poliția Locală îmi comunică prin afișare un proces verbal de contravenție. Drept urmare, la 08.04.2020 adresez operatorului următoarea solicitare:
Vă rog să îmi comunicați ce măsuri ați întreprins și cum v-ați asigurat de divulgarea neautorizată a datelor subsemnatului cu caracter personal sau de accesul neautorizat la acestea, în condițiile în care ați procedat la afișarea PROCESULUI VERBAL Seria PL nr. 0302734 din 02.10.2019 direct pe ușa de la intrarea în imobilul în care locuiesc, fără a fi introdus într-un plic închis, informațiile din cuprinsul acestuia fiind așadar la vedere pentru toate persoanele ce locuiesc în acest spațiu (alte 7 apartamente) și/sau care au fost prezente în acest spațiu de la data afișării și până la data la care subsemnatul am luat la cunoștință de afișare.
Mi se răspunde că prelucrarea este legală deoarece este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului.
Întreg răspunsul îl găsiți aici.
Ce părere are ANSPDCP?
Nemulțumit fiind de răspunsul Municipiului Cluj-Napoca, la data de 16.04.2020 sesizez ANSPDCP.
După înregistrarea sesizării, la 02.06.2020 sunt informat că:
Față de conținutul acesteia, având ca obiect dezvăluirea datelor dvs. cu caracter personal prin afisarea unui proces verbal, de către Direcția Generală Poliția Locală din cadrul Municipiului Cluj-Napoca, vă informăm că am reţinut aspectele semnalate de dvs., acestea urmând a face obiectul unei investigaţii în limitele competenţelor noastre legale.
La 25.10.2020 sunt informat că investigația nu este finalizată, la acest moment.
Părea că se fac verificări serioase. Deja investigația dura de 6 luni.
La 23.12.2020 sunt informat că în urma investigației efectuate nu au fost reținute elemente care să atragă sancționarea operatorului.
Întreg răspunsul îl găsiți aici.
Și totuși, ce zice legea?
Când am citit răspunsul am simțit instant un gust amar și m-am enervat.
Așa că, după vacanță am decis să fac o plângere prealabilă. Am înregistrat-o la 13.01.2021 și deocamdată aștept răspunsul.
La nivelul UE, pe lângă Regulamentul GDPR există CARTA DREPTURILOR FUNDAMENTALE A UNIUNII EUROPENE, care printre altele prevede:
Art. 7: Respectarea vieţii private şi de familie
Orice persoană are dreptul la respectarea vieţii private şi de familie, a domiciliului și a secretului comunicaţiilor.
Art. 8: Protecţia datelor cu caracter personal
(1) Orice persoană are dreptul la protecţia datelor cu caracter personal care o privesc.
(2) Asemenea date trebuie tratate în mod corect, în scopurile precizate şi pe baza consimţământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum şi dreptul de a obţine rectificarea acestora.
(3) Respectarea acestor norme se supune controlului unei autorităţi independente.»
Potrivit ANSPDCP dreptul la protecția datelor cu caracter personal nu este încălcat deoarece ar exista o restrângere prevăzută de lege (cu trimitere la art. 27 din OG nr. 2/2001).
Însă, în conformitate cu art. 52 alin. (1) din Cartă, restrângerea exercițiului drepturilor și libertăților recunoscute de Cartă și, în consecință, a exercițiului dreptului la secretul corespondenței și la protecția datelor cu caracter personal, este admisibilă numai dacă:
- este prevăzută de lege;
- respectă substanța dreptului la protecția datelor;
- respectă principiul proporționalității, este necesară;
- îndeplinește obiective de interes general recunoscute de Uniune sau necesitatea protejării drepturilor și libertăților celorlalți.
Așadar, pentru a fi legală, atingerea trebuie să respecte toate condițiile enumerate la articolul 52 alineatul (1) din Cartă.
În concret, chiar dacă legea prevede posibilitatea comunicării procesului verbal de contravenție prin afișare la domiciliul contravenientului, în opinia mea, modalitatea în care este efectuată încalcă dreptul la secretul corespondenței și dreptul la protecția datelor cu caracter personal, deoarece nu respectă principiul proporționalității și al necesității.
Manual de legislație europeană privind protecția datelor
Articolul 52 alineatul (1) din Cartă prevede că, sub rezerva principiului proporționalității, exercițiul drepturilor și libertăților fundamentale recunoscute de Cartă poate fi restrâns numai dacă acest lucru este necesar.
Poate fi necesară o limitare în cazul în care trebuie adoptate măsuri în vederea atingerii unui obiectiv public, dar necesitatea, astfel cum a fost interpretată de CJUE, implică și faptul că măsurile adoptate trebuie să fie mai puțin invazive decât alte metode prin care se poate atinge același obiectiv. În ceea ce privește limitările drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, CJUE aplică un test al necesității stricte, considerând că „derogările de la protecția datelor cu caracter personal și limitările acesteia [trebuie] să fie efectuate în limitele strictului necesar”. Dacă o limitare este considerată strict necesară, trebuie să se evalueze, de asemenea, dacă este proporțională.
Proporționalitatea înseamnă că avantajele care rezultă din limitare trebuie să depășească dezavantajele pe care aceasta le creează în ceea ce privește exercițiul drepturilor fundamentale în cauză. Pentru a reduce dezavantajele și riscurile la adresa exercițiului drepturilor la respectarea vieții private și la protecția datelor, este important ca limitările să fie însoțite de garanții adecvate[1].
Apreciez că în primul rând limitarea nu este necesară. Există multiple alte metode mult mai puțin invazive prin care se poate atinge același obiectiv. De exemplu, comunicarea prin afișare în plic închis, astfel încât să fie expus exclusiv numele.
În al doilea rând, raportat la modalitatea în care se face comunicarea, apreciez că limitarea nu este nici măcar proporțională. În concret se pune în balanță obiectivul operatorului de comunicare a procesului verbal de contravenție (în vederea încasării sumelor stabilite contravențional la expirarea unui termen de 15 zile), cu drepturile fundamentale ale persoanei vizate la secretul corespondenței și la protejarea datelor cu caracter personal.
Concluzii
Toate datele personale din cuprinsul procesului verbal sunt expuse prin acțiunea directă a operatorului. Indiscutabil operatorul are la dispoziție multiple alte metode mult mai puțin invazive prin care se poate atinge același obiectiv.
Nu am mari speranțe de la răspunsul la plângerea prealabilă, însă rămâne de văzut.
Până una alta, pare că protecția datelor cu caracter personal este un moft!
Închei cu un extras din răspunsul Municipiului Cluj Napoca, pentru care «legiuitorul» european nu există, chiar dacă art. 148 din Consituția României prevede altceva:
Acolo unde legiuitorul a vrut să stabilească o anumită „cerinţă” care trebuie respectată la momentul comunicării actului constatator al contravenţiei a făcut-o în mod clar. Dimpotrivă, acolo unde legiuitorul nu a înţeles să impună o astfel de conditie nu a făcut-o, deşi avea această posibilitate, motiv pentru care, art. 27 din OG nr. 2/ 2001 nu impune metode specifice în care trebuie realizată afișarea actului. Ori, prin interpretare nu se poate restrânge aplicarea unui text care a fost formulat general; generalitatea formulării duce la generalitatea aplicării, altfel spus, unde legea nu distinge, nici noi nu trebuie să distingem (ubi lex non distinguit, nec nos distinguere debemus).
[1] https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_ro.pdf
