R O M Â N I A
CURTEA DE APEL BUCUREȘTI
SECȚIA A VIII-A C_________ ADMINISTRATIV ȘI FISCAL
Dosar nr. XXXXXXXXXXXX
Decizia civilă nr. 48
Ședința publică de la 10.09.2015
Curtea constituită din:
PREȘEDINTE: M_______ E____ G____
JUDECĂTOR: C______ M____ I___
GREFIER: C_______ O____
Pe rol se află soluționarea apelului formulat de apelanta – pârâtă A__________ NAȚIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL împotriva sentinței civile nr. 6961/28.10.2014 pronunțată de Tribunalul București – Secția C_________ Administrativ și Fiscal în dosarul nr. XXXXXXXXXXXX în contradictoriu cu intimata – reclamantă __________________.
La apelul nominal făcut în ședință publică au răspuns apelanta reprezentată prin consilier juridic cu împuternicire la dosar și intimata reprezentată prin avocat S________ A___ C_____ care depune delegație de substituire la dosar.
Procedura de citare este legal îndeplinită.
S-a făcut referatul cauzei de către grefierul de ședință, după care:
Intimata, prin avocat, depune la dosarul cauzei, în copie certificată pentru conformitate cu originalul, documentul tipizat folosit în cadrul contractelor de asigurare încheiate de asigurător cu o altă persoană fizică în numele asiguraților, înscris la care a fost obligată prin încheierea de la termenul anterior.
Nefiind alte cereri de formulat sau alte probe de administrat, Curtea constată cauza în stare de judecată și acordă cuvântul apelantei pentru susținerea cererii de apel.
Apelanta, prin consilier juridic, solicită admiterea apelului și, în consecință să se dispună menținerea procesului verbal de sancționare nr.xxxxx/30.10.2013. Apreciază că sentința apelată este nelegală și că instanța de fond a interpretat în mod greșit actul dedus judecății. Arată că este vorba în speță despre o stare de pericol social care a fost creată prin punerea în circulație a respectivelor documente inseriate și numerotate. Solicită să se aibă în vedere că din postările pe site rezultă faptul că activitatea se desfășura din 1995 și rezultă că și în anul 2013 se foloseau astfel de formulare. Solicită să se aibă în vedere că societate de asigurare a recunoscut că folosea formularele în relațiile cu contractanții în numele terților, și acesta a fost motivul pentru care a fost sancționată.
Arată că un alt motiv de nelegalitate pe care îl invocă referitor la sentința de fond este acela că hotărârea conține motive contradictorii, respectiv deși se arată că procesul verbal reține aspecte corecte referitor la obținerea consimțământului în mod viciat totodată se arată că sunt corecte și susținerile societății de asigurare referitor la obținerea consimțământului. Solicită să se observe că instanța de fond are opinii contradictorii în cuprinsul hotărârii și referitor la existența contravenției. Apreciază că nu se poate reține faptul că A__________ Protecție a Datelor ar fi aplicat sancțiunea pentru prelucrarea datelor cu caracter personal prin formulare ce conțin date în scop de marketing. Arată că potrivit art. 27 din Legea nr.677/2001 primește plângeri dar extinde investigația la toate documentele care ar putea conține date cu caracter personal. Arată că astfel cum s-a reținut prin procesul verbal investigația a privit toate prelucrările de date astfel cum sunt în accepțiunea Legii nr. 677/2001 și nu a privit strict sesizarea făcută de numitul C____ P_______. Arată că datele colectate, ulterior încheierii contractelor, prin intermediul unui contractant, sunt prelucrate fără consimțământul terțului în cu totul alt scop, incompatibil cu scopul pentru care au fost furnizate, respectiv în scop de marketing și publicitate, prin încălcarea art. 5 din Legea nr.677/2001.
Apelanta, prin consilier juridic, solicită să se aibă în vedere că sancțiunea aplicată a fost avertismentul, cu scopul încurajării modificării practicilor comerciale. Solicită să se aibă în vedere anexa la plângere, depusă la dosarul de fond, în cuprinsul căreia la secțiunea 2 se observă că fără consimțământul asiguratului contractantul îi prelucrează acestuia datele.
Pentru toate motivele arătate solicită admiterea apelului.
Intimata, prin avocat, solicită respingerea apelului ca nefondat și să se constate că sentința civilă pronunțată de instanța de fond este legală și în mod corect s-a reținut că a fost sancționată pentru că ar fi prelucrat date cu caracter personal și nu pentru că ar fi putut sau ar fi existat riscul să prelucreze iar numitul C____ P_______ este asigurat și contractant în același timp, astfel că nu îndeplinește condițiile întrucât a avut posibilitatea să –și dea acordul pentru prelucrarea sau nu a datelor cu caracter personal. Solicită să se aibă în vedere că nu s-a adus nicio dovadă în susținerea motivelor de sancționare. Solicită respingerea apelului și precizează că solicită cheltuieli de judecată ocazionate la judecarea fondului, rezervându-și dreptul de a solicita pe cale separată cheltuielile ocazionate în faza apelului.
Curtea reține cauza spre soluționare.
C U R T E A ,
Prin sentința civilă nr. 6961/28.10.2014 pronunțată de Tribunalul București s-a dispus admiterea cererii formulată de reclamantul __________________, în contradictoriu cu pârâtul A__________ NAȚIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL, s-a anulat procesul-verbal nr. xxxxx/30.10.2013 emis de intimată și a fost obligată intimata la plata către petentă a cheltuielilor de judecată în valoare de 1508 lei, din care 20 lei – taxă de timbru și 1488 lei – onorariu avocat.
Împotriva acestei sentințe a declarat apel pârâta A__________ NAȚIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL, criticând-o pentru motive de nelegalitate și netemeinicie.
În motivarea apelului s-a arătat că în exercitarea atribuțiilor de control, A__________ de Supraveghere a efectuat o investigație la _________________.A., la sediul său situat în Municipiul București, ____________________. 23, Sector 1, la data de 30.10.2013.
Investigația s-a efectuat în baza art. 13 din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, coroborat cu art. 25 și 27 din Legea nr. 677/2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, modificată și completată și urmare a unei sesizări. înregistrată la A__________ de Supraveghere sub nr. xxxxx/09.09.2013.
Având în vedere, pe de o parte, verificările efectuate, declarațiile reprezentanților legali ai reclamantei, prezenți la control, iar pe de altă parte, dispozițiile Legii nr. 677/2001 precum și ale Deciziei nr. 52/2012 a președintelui Autorității Naționale de Supraveghere, modificată și completată, s-a stabilit că __________________ a săvârșit, în calitate de operator de date cu caracter personal, contravenția pentru care s-a aplicat avertisment, conform art. 32 din Legea nr. 677/2001, modificată și completată, coroborat cu art.7 din Ordonanța Guvernului nr. 2/2001, cu modificările și completările ulterioare, astfel:
•Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, prin încălcarea art. 5 alin.(l) din Legea nr. 677/2001, întrucât ___________________________ Gorup SA a prelucrat datele personale ale asiguraților persoane fizice, care nu au încheiat direct un contract de asigurare, fiind doar beneficiari a unui contract de asigurare încheiat de o altă persoană fizică/contractant în numele lor, în scop de marketing și direct mailing, fără consimțământul expres și neechivoc al acestora pentru această prelucrare.
Totodată, s-a recomandat:
-modificarea formularelor tipizate utilizate de ____________________________ Group SA, prin intermediul cărora se ia acordul clienților iară a li se oferi posibilitatea de a alege pentru activități de marketing și direct mailing, în sensul oferirii posibilității de a alege dacă sunt sau nu de acord ca datele lor să fie prelucrate în aceste scopuri;
-modificarea formularelor menționate mai sus în sensul eliminării formulării prin care contractantul precizează că are acordul asiguratului/beneficiarului pentru prelucrarea datelor sale în alte scopuri (marketing, direct mailing) decât cel de asigurare;
-depunerea diligentelor necesare la A__________ Națională de Supraveghere pentru stabilirea numărului de prelucrare în scopul oferirii de servicii de asigurări, având în vedere modificările intervenite în înregistrările depuse la ONRC, prin absorbția societății de către BCR Asigurări Vienna Insurance Group SA și menționarea acestui număr pe documentele de colectare a datelor personale.Fapta contravențională constatată a fost consemnată și descrisă în Procesul-verbal de constatare/sancționare nr. xxxxx/30.10.2013.
Recomandările au fost puse în vedere reclamantei cu ocazia investigației, urmând ca îndeplinirea acestora să fie adusă la cunoștința autorității de supraveghere în termen de 15 zile de la data încheierii Procesului-verbal de contravenție/sancționare. însă nici până la această dată intimata-reclamantă nu și-a respectat această obligativitate.
Intimata-reclamantă O_______ V__ SA a fost sancționată de către A__________ Națională de Supraveghere deoarece modul de întocmire a formularelor de solicitare de asistență medicală pentru călătorii în străinătate nu permite exprimarea de către asiguratul persoană fizică a unui consimțământ valabil cu privire la prelucrarea datelor sale cu caracter personal în scop de marketing și direct mailing în situația în care contractul de asigurare se încheie prin mandatar (denumit contractant de către reclamantă).
A__________ Națională de Supraveghere a considerat că modul de întocmire a acestor formulare este ilegal întrucât, în unele cazuri, se poate ajunge la o prelucrare de date cu caracter personal fără consimțământul persoanei vizate, dat în mod expres și neechivoc pentru acea prelucrare.
Prin sancționarea intimatei-reclamante O_______ V__ SA cu avertisment, A__________ Națională de Supraveghere a urmărit obligarea acestei societăți de asigurări să ia măsura modificării datelor înscrise în formularele de solicitare de asistență medicală pentru călătorii în străinătate, pentru a se asigura că în nicio situație nu va exista posibilitatea prelucrării datelor cu caracter personal fără consimțământul persoanei vizate.
Este în mod cât se poate de evident că intimata-reclamantă O_______ V__ SA nu dorește schimbarea acestor formulare pentru a evita costuri și eforturi la nivelul agențiilor din întreaga țară.
Așadar, sancțiunea NU a fost aplicată ca urmare a prelucrării datelor personale ale domnului C____ P_______, ci, datorită faptului că, urmare a sesizării formulate de către acesta, A__________ Națională de Supraveghere luând la cunoștință de conținutul formularului de asistență medicală pentru călătorii în străinătate utilizat de O_______ V__ SA a constatat modul ilegal de întocmire a acestuia.
Astfel, A__________ Națională de Supraveghere consideră că nu este întemeiată hotărârea Tribunalului București, Secția a Il-a C_________ Administrativ și Fiscal -(Sentința civilă nr. 6961/28 octombrie 2014), pentru următoarele motive:
I.Sentinta atacata este nelegală întrucât instanța de fond, interpretând greșit actul juridic dedus judecații, a schimbat natura si înțelesul lămurit si vădit neîndoielnic al acestuia.
Starea de pericol a fost creată prin punerea în circulație a unor formulare care permit societății de asigurări O_______ V__ SA prelucrarea, în unele cazuri, a datelor personale ale unor persoane fizice, fără consimțământul acestora, cu încălcarea prevederilor art. 5 alin. 1) din Legea nr. 677/2001.
Așa după cum A__________ Națională de Supraveghere a arătat în cuprinsul procesului-verbal, această stare de pericol există numai în situația în care un contractant solicită încheierea unui contract de asigurare în beneficiul unei alte persoane fizice.
în acest caz se poate ajunge la situația în care beneficiarului asigurării (asiguratului) îi sunt prelucrate datele personale, separat de scopul în care datele ar fi putut fi furnizate de chiar acesta contractantului (încheierea unei asigurări), într-un alt scop (marketing și mailing direct) fără informarea prealabilă a acestuia și fără consimțământul său, aceste aspecte fiind datorate exclusiv modului de redactare de către intimata-reclamantă a formularului sus menționat.
Având în vedere cele de mai sus, ținând cont de datele înscrise în formular (fi. 56 din dosarul de fond), este fără niciun dubiu că beneficiarul asigurării nu-și poate exprima sub nicio formă consimțământul cu privire la prelucrarea datelor sale cu caracter personal în scop de marketig și direct mailing.
Potrivit art. 2 lit. h) din Directiva 95/46/CE ..consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc. Prin urmare, anterior obținerii consimțământului persoanei vizate, aceasta trebuie să fie informată, pentru a accepta ca datele sale cu caracter personal să fie prelucrate pentru un anumit scop (cum este și cel de marketing și direct mailing).
Totodată, regula generală instituită de art. 5 alin. (1) din Legea nr. 677/2001, modificată și completată este aceea că prelucrarea datelor personale ale unei persoane fizice (inclusiv dezvăluirea acestora) de către o altă persoană fizică sau juridică, în calitatea sa de operator, se efectuează numai cu consimțământul persoanei în cauză, dat în mod expres și neechivoc.
De asemenea, Legea nr. 677/2001, modificată și completată stabilește în mod expres și anumite situații de excepție, de strictă interpretare și aplicare, de la obligativitatea obținerii consimțământului în cazul prelucrării datelor personale și, implicit, al dezvăluirii lor prin transmitere, diseminare sau în orice alt mod (art 5 alin. (2) din Legea nr. 677/2001, modificată și completată).
Or, în cadrul investigației, intimata – reclamantă nu a invocat existența unor dispoziții legale care să oblige persoana vizată (asiguratul) la furnizarea, către contractant, a datelor sale personale în scop de marketing și direct mailing. în contextul completării poliței de asigurare de către contractant pentru asigurarea asistenței medicale pentru călătorii in străinătate. Mai mult, nici nu ar fi putut invoca vreo dispoziție legală, întrucât nu există o asemenea prevedere iar colectarea datelor se putea realiza numai cu consimțământul expres și neechivoc al persoanei vizate (asiguratul), dat pentru această prelucrare.
în plus, față de formularea ..am acordul asiguraților pentru prelucrarea datelor lor cu caracter personal” se poate observa faptul că persoanei care completează polița de asigurare (contractantul) i se impune, fără drept de opțiune, să furnizeze. întocmai, toate datele asiguratului (beneficiarul asigurării), inclusiv CNP și date de sănătate ale acestuia din urmă, în scopuri, altele decât cel pentru care au fost colectate inițial, respectiv al asigurării riscului presupus de o viitoare călătorie. Aceasta nu reprezintă un acord expres și neechivoc.
În acest sens, potrivit dispozițiilor art. 15 din Legea nr. 677/2001, modificată și completată, persoana vizată are dreptul de a se opune la prelucrarea datelor sale, din motive întemeiate și legitime, cu excepția cazurilor în care există dispoziții legale contrare.
Pentru aducerea la îndeplinire a scopurilor sale, respectiv colectarea de date în scopul utilizării în acțiuni de marketing direct ____________________________ Group SA ar fi putut să utilizeze și alte mijloace, mai puțin intruzive în viața privată.
În concluzie, s-a reținut în sarcina ____________________________ Group SA săvârșirea contravenției de prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, prin raportare la art. 5 alin. (1) din Legea nr. 677/2001 și art. 7 din Ordonanța Guvernului nr. 2/2001, cu modificările și completările ulterioare, ce a fost sancționată cu avertisment.
Cu privire la aplicarea sancțiunii cu avertisment, arătă că A__________ Națională de Supraveghere a aplicat cea mai ușoară sancțiune, scopul acesteia neflind unul punitiv ci mai degrabă unul preventiv, deși fapta ar fi fost pasibilă de sancțiunea amendi de până la 25.000 lei.
A__________ Națională de Supraveghere, la individualizarea sancțiunii, a avut în vedere riscurile pentru persoanele asigurate care pot apărea din utilizarea acestui formular, în situația în care asigurarea se încheie de către un contractant pentru un asigurat (persoane distincte) întrucât în asemenea situație nu se dă posibilitatea exprimării consimțământului.
Astfel, la individualizarea sancțiunii s-a ținut cont de faptul că prin formularele de asistență medicală în străinătate, se prelucrau date în scop de marketing și direct mailing, fără însă a se obține consimțământul expres și neechivoc al beneficiarilor polițelor de asigurare pentru această prelucrare, consimțământul astfel obținut „am acordul asiguratului” (pag 2 Anexa 2 la întâmpinare) fiind unul viciat”.
Urmare a folosirii unui astfel de formular, ce încalcă dispozițiile legale pe protecția datelor în cazuri ca cel mai sus menționat, se poate ajunge ca persoana asigurată să primească pe e-mail sau în orice altă modalitate materiale promoționale legate de activitatea ______________________, reclame, cataloage cu oferte de asigurări în format digital, ..etc).
De aici derivă riscul de utilizare pentru toți asigurații a aceluiași tip de formular, indiferent de modalitatea în care se încheie polița de asigurare (direct sau prin intermediul unui contractant).
A__________ Națională de Supraveghere, prin aplicarea sancțiunii avertismentului, a încercat să asigure respectarea prevederilor art. 5 alin (1) din Legea nr. 677/2001, în toate situațiile, luând în considerare riscurile la care se supun cei care vor să încheie o astfel de asigurare cu O_______ V__ SA.
Totodată, la individualizarea sancțiunii s-a ținut cont de faptul că pe aceleași formulare este menționat un număr greșit de notificare, aparținând unui alt operator, respectiv BCR Asigurări SA.
Nu în ultimul rând, la individualizarea sancțiunii s-a avut în vedere faptul că polițele de asigurare sunt inseríate, numerotate.
În aceste condiții. A__________ Națională de Supraveghere a aplicat sancțiunea avertismentului în scopul de a obliga ____________________________ Group SA să-și modifice practicile comerciale în privința modului de prelucrare a datelor cu caracter personal. în concordanță cu Directivele Uniunii Europene precum și cu legislația internă în materia protecției datelor cu caracter personal.
În consecință, arătă că instanța în mod greșit a considerat că fapta contravențională o reprezintă săvârșirea concretă a unor prelucrări de date cu caracter personal în anumite cazuri individualizate, or, în fapt, A__________ Națională de Supravghere a sancționat intimata-reclamantă pentru fapta contravențională de a prelucra date personale în scop de marketing si direct mailing fără consimțământul persoanei vizate prin utilizarea unor formulare prin intermediul cărora nu se poate obține în mod valabil consimțământul persoanei vizate (beneficiar al asigurării). Fapta contravențională o reprezintă tocmai utilizarea de către reclamantă în activitatea sa curentă a unor formulare care îi permit să prelucreze date personale fără consimțământul persoanei vizate.
II.Sentința atacată cuprinde motive contradictorii
La pag. 3. alin. 10) a Sentinței, Tribunalul “constată că sunt corecte susținerile pârâtei referitoare la încălcarea prevederilor art. 5 alin.l) din Legea nr. 677/200V de către reclamantă (s.n), în timp ce la pag. 4 . alin.5) a aceleiași sentințe Tribunalul constată că “sunt întemeiate susținerile reclamantei privind nesăvârșirea faptei reținute în sarcina sa “.
Un alt exemplu îl constituie faptul că la pag. 4 alin. 2) a Sentinței Tribunalul reține că utilizarea de formulare de către reclamanta O_______ V__ SA reprezintă o faptă contravențională întrucât are drept consecință încălcarea prevederilor Legii nr. 677/2001 “prin utilizarea formularului de la fila 56, reclamanta ar fi încălcat prevederile Legii nr. 677/2001″ în timp ce la alin. 5). consideră că nu există nicio faptă contravențională întrucât nu s-a făcut dovada prelucrării de date personale ale unor persoane determinate “nefiind depus la dosar vreun formular de solicitare de asistență medicală completat și semnat de un contractant pentru un asigurat persoană fizică “.
III.Referitor la susținerile instanței de fond din Sentința atacată, potrivit cărora
..reclamanta nu a fost sancționată contravențional pentru nerespectarea dreptului unei persoane de a se opune ca datele sale personale să fie prelucrate, astfel cum semnalase C____ P_______, ci a fost sancționată contravențional întrucât ..a prelucrat datele personale ale asiguraților persoane fizice, care nu au încheiat direct un contract de asigurare, fiind doar beneficiari a unui contract de asigurare încheiat de o altă persoană fizică/contractant în numele lor, în scop de marketing și direct mailing, fără consimțământul expres și neechivoc al acestora pentru această prelucrare “, arătă că nici acestea nu pot fi primite.
Astfel, a existat o plângere (petiția nr. xxxxx din 09.09.2013 a domnului C____ P_______), prin care A__________ Națională de Supraveghere a fost sesizată de către domnul C____ P_______ în legătură cu o posibilă încălcare a dispozițiilor Legii nr. 677/2001 de către ___________________________ Gorup SA.
În solicitarea adresată instituției petentul a susținut că în formularul standard al societății de asistență medicală pentru călătorii în străinătate (Anexa 2 la întâmpinare), există o „formulare abuzivă” care nu îi permite dreptul la opoziție privind datele sale personale.
Ca atare, A__________ Națională de Supraveghere avea obligația să verifice modul de prelucrare a datelor cu caracter personal de către ___________________________ Gorup SA. sub toate aspectele în care sunt incidente prevederile Legii nr. 677/2001. inclusiv cele relatate de petent. ceea ce a și făcut.
Prin urmare, A__________ Națională de Supraveghere a sancționat intimata-reclamantă __________________ pentru modul în care a redactat formularele tip de solicitare de asistență medicală pentru călătorii în străinătate care, în anumite cazuri, pot implica prelucrarea de date cu caracter personal fără consimțământul persoanelor vizate, într-un cu totul alt scop decât ar fi fost furnizate, respectiv pentru marketing și direct mailing, și nu pentru că ar fi prelucrat în mod nelegal datele cu caracter personal ale unei persoane determinate.
În acest sens, arătă că la fi. 1 din Procesul – verbal contestat se precizează că obiectul investigației este „verificarea modului de respectare a prevederilor Legii nr. 677/2001 și a măsurilor de securitate, inclusiv sub aspectul celor sesizate în petiția nr. xxxxx/2013 “.
Cu privire la exercitarea atribuțiilor de investigare a reprezentanților Autorității Naționale de Supraveghere arătăm că art. 27 alin. (3) din Legea nr. 677/2001 stabilește că „în exercitarea atribuțiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informații legate de prelucrarea datelor cu caracter personal si poate verifica orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal.”
IV. Instanța de fond NU trebuia să admită plângerea reclamantei pe motiv că nu a fost dovedită săvârșirea în concret a contravenției reținută în sarcina acesteia din urmă (pag. 4, alin. 3) în condițiile în care procesul-verbal de constatare/sancționare a contravenției este un act administrativ care se bucură de prezumția de legalitate.
Procesul-verbal de contravenție, în măsura în care cuprinde constatări personale ale reprezentantului Autorității Naționale de Supraveghere, are forță probantă prin el însuși și constituie o dovadă suficientă a vinovăției reclamantei, cât timp aceasta nu este în măsură să prezinte o probă contrară.
Totodată, temeinicia celor reținute prin procesul-verbal rezultă și din aceea că reprezentantul Autorității Naționale de Supraveghere este învestit cu exercițiul autorității de stat iar actele întocmite de el sunt înzestrate cu încrederea că autoritatea (reprezentată în acest caz de fiecare din membrii echipei de control), consemnează exact faptele pe care le constată, fără a adăuga denaturări ale realității, cu atât mai mult cu cât, în ipoteza menționării intenționate sau chiar neglijente a unor împrejurări nereale, acesta este expus unor sancțiuni de natură disciplinară și/ sau penală.
În acest sens, la momentul controlului, reclamanta nu a putut face dovada că prelucrarea efectuată prin utilizarea de formulare ca cele sus menționate s-ar încadra în vreuna din situațiile de excepție de la consimțământ, prevăzute de art. 5 alin. (2) din Legea nr. 677/2001.
Instanța de judecată. în temeiul art. 22 din NCPC. trebuie să manifeste rol activ și NU să anuleze procesul-verbal de constatarea a contravenției ca neprobat, mai ales în condițiile în care toate documentele sunt la dispoziția intimatei-reclamante O_______ V__ SA, nu a Autorității Naționale de Supraveghere.
În acest sens arătă că însăși intimata-reclamantă. în extrasul depus ca anexă la plângerea sa recunoaște, la secțiunea numită – Declarația 2 ( ce se completează dacă solicitantul și asiguratul sunt persoane fizice diferite) că un terț își asumă că are acordul pentru prelucrarea datelor personale ale unei alte persoane fizice, or legea prevede expres consimțământul prealabil, expres și neechivoc, dat în cunoștință de cauză, anterior încheierii contractului.
Astfel, la secțiunea sus menționată se precizează că “solicitantul (contractantul s.n), prin prezenta declar…am acordul asiguratului/asiguraților persoane fizice …pentru prelucrarea datelor cu caracter personal – inclusiv CNP – de către O_______ V__ SA, în scopul administrării contractelor de asigurare, activități de marketing, statistice, studii de cercetare, acțiuni de direct mailing și privind transferul acestora către reasiguratorii din țară si străinătate”.
In acest context formulare ca cele mai sus menționate, întocmite cu nerespectarea dispozițiilor legale în materia protecției datelor cu caracter personal, sunt inseríate și numerotate ( ex: formularul nr. xxxxxxxxx, anexat întâmpinării) ceea ce demonstrează utilizarea acestora în relația directă cu asigurații, cât și prin intermediul contractanților, fiind instrumentul principal de desfășurare a activității oricărei societăți de asigurări, cum este și cazul intimatei – reclamante O_______ Vienna Insurance Group SA, care funcționează încă din 1995.
în concluzie, astfel de formulare, întocmite cu nerespectarea prevederilor legale în materia protecției datelor cu caracter personal, au fost folosite la scară largă, în mod continuu, de către intimata-reclamantă, și ar putea fi folosite în continuare în situația în care instanța nu va admite cererea formulată de A__________ Națională de Supraveghere.
Intimata contestatoare S.C. O_______ Vienna Insurance Group S.A. a formulat întâmpinare prin care a solicitat respingerea apelului ca nefondat.
Se arată că existența în sine a unui document tipizat, blank, necompletat, neconform în opinia apelantei-pârâtă, nu presupune automat că societatea noastră a prelucrat date cu caracter personal cu nerespectarea prevederilor legale.
Procesul verbal a cărui nulitate o solicită obiectivează că O_______ a prelucrat în scop de marketing și direct-mailing date personale ale asiguraților persoane fizice fără a avea consimțământul expres al acestora, în cazul contractelor de asigurare încheiate de asigurător cu o altă persoană fizică (contractant) în numele asiguraților. Se impută societății că în conținutul formularului „solicitare privind asigurarea medicală pentru călătorii în străinătate”, O_______ ia acordul pentru prelucrare în scop de marketing și direct mailing de la contractant și nu de la persoana vizată care este asiguratul.
Prima instanță a evidențiat în mod just că A__________ de Supraveghere nu a constatat nicio prelucrare nelegală de date personale ci doar că un tipizat/formular aparținând O_______ ar fi susceptibil să încalce dispozițiile Legii 677/2001.
Prelucrarea de date personale conform definiției dată de art. 3 din Legea nr. 677/2001 presupune înregistrare, organizare, stocare, extragere s.a.m.d. de date personale în fapt niciuna din aceste acțiuni nu ne este imputată prin procesul verbal atacat. Se susține doar că documentul tipizat menționat nu este întocmit conform dispozițiilor legale deoarece „prin intermediul formularului… societatea ia acordul contractantului/asigurătorului pentru prelucrarea acestora de către O_______ Vienna Insurance Group SA în scopul administrării contractelor de asigurare, activității de marketing, statistică, studii de cercetare, activități de direct mailing…”
Existența în sine a unui document tipizat – neconform în opinia intimatei, nu presupune automat că societatea noastră a prelucrat date cu caracter personal.
Prin procesul verbal întocmit intimata nu a constatat că intimata ar fi înregistrat, organizat si stocat date ci doar că deține un document care în opinia acesteia prezintă probleme de legalitate. Acest fapt nu poate echivala cu contravenția edictată de art. 5 alin. 1 din Legea 677/2001.
Ceea ce probabil a avut în vedere intimată când a întocmit actul administrativ a fost că în baza „tipizatului-problemă” O_______ ar face înregistrări, ar organiza și stoca date cu caracter personal al asiguraților. D___ că acest lucru nu 1-a constatat prin procesul verbal. A dorit probabil să sublinieze că acest formular ar reprezenta un act-premisă în baza căruia s-ar comite fapte de natură contravențională. Existența tipizatului nu presupune o faptă contravențională săvârșită, consumată, ci naște doar o susceptibilitate că aceasta se poate comite în viitor.
Primul motiv de apel invocat, anume că instanța de fond a interpretat greșit actul juridic dedus judecății, a schimbat natura și înțelesul lămurit și neîndoielnic al acestuia, nu poate fi primit deoarece în cazul de față nu avem de a face cu un act juridic. Documentul avut în vedere de autoritate, un tipizat, nu poate reprezenta un act juridic deoarece nu este o manifestare de voință generatoare de efecte juridice.
Pe de altă parte, apelanta în cuprinsul motivelor de apel (pct. III, la fila 7) susține: autoritatea Națională de Supraveghere a sancționat intimata ¬reclamantă __________________ pentru modul în care a redactat formularele tip … care, în anumite cazuri, pot implica prelucrarea de date cu caracter personal fără consimțământul persoanelor vizate, într-un cu totul alt scop decât ar fi fost furnizate, respectiv pentru marketing și direct mailing, și nu pentru că ar fi prelucrat în mod nelegal datele cu caracter personal ale unei persoane determinate”.
Acest text, în opinia noastră, este edificator pentru confuzia în care se află apelanta, deoarece:
-deși afirmă că societatea noastră a fost sancționată pentru deficiențele de redactare a formularului tipizat, nu există un text care să incrimineze această faptă „ilicită”;
-deși afirmă că O_______ nu a fost sancționată că ar fi prelucrat în mod nelegal datele cu caracter personal ale unei persoane determinate, în fapt am fost sancționați pentru nerespectarea art. 5 alin. 1 din Legea nr. 677/2001 care prevede modalitatea în care se realizează prelucrare de date cu caracter personal;
-apelanta nu a identificat în urma controlului acele „anumite cazuri” care reprezintă încălcări în prelucrarea de date cu caracter personal și în consecință nici nu le-a evidențiat în cuprinsul actului administrativ. în consecință, ceea ce nu este constatat și nu există în procesul verbal și nu poate face obiectul discuțiilor în dosar deoarece instanța este ținută a verifica legalitatea și temeinicia procesului verbal de contravenție raportându-se la conținutul și forma actului. Ulterior emiterii acestuia nu i se pot complini lipsurile prin elemente extrinseci. Presupunerile intimatei în niciun caz nu reprezintă faptă contravențională.
Pe de altă parte, este de menționat că societatea intimată este înscrisă ca operator de date cu caracter personal cu nr. 1641 ocazie cu care a înaintat ANSPDCP toată formularistica necesară (documente, tipizate etc) spre verificare și avizare. Aceasta a considerat toată documentația conformă și a avizat corespunzător.
Solicită și înlăturarea argumentului că nu trebuia admisă plângerea noastră deoarece procesul verbal de sancționare se bucură de prezumția de legalitate. Prezumția de care vorbește apelanta este una relativă iar în cadrul judecății la fond s-a dovedit că fapta „ilicită” pentru care am fost sancționați, de a deține un formular tipizat nu reprezintă o încălcare a prevederilor art. 5 alin. 1 din Legea 677/2001 care are în vedere prelucrarea de date cu caracter personal.
În consecință, solicită respingerea ca nefondata a apelului formulat de către apelanta-pârâtă A__________ Naționala de Supraveghere a Prelucrării Datelor cu Caracter Personal impotriva sentinței civile nr. 6961 din 28 octombrie 2014, data de Tribunalul București, Secția a H-a C_________ Administrativ si Fiscal in dosarul cauzei nr. XXXXXXXXXXXX si menținerea hotărârii atacate.
Curtea de Apel București s-a constatat legal sesizată și competentă material să soluționeze prezentul apel, date fiind prevederile art. 466, rap la art. 96 alin. 2 Cod procedură civilă, precum și ale art.20 din Legea nr.554/2004.
Verificând sentința civilă recurată, prin prisma motivelor de recurs formulate, a dispozițiilor legale incidente, Curtea constată că prezentul apel este neîntemeiat pentru considerentele ce vor fi expuse în continuare:
- Primul motiv de apel este nefondat:
Curtea reține că prin procesul-verbal de constatare și sancționare nr. xxxxx/30.10.2013, intimata reclamanta ____________________________ GROUP SA a fost sancționată contravențional cu avertisment pentru contravenția prevăzută de art. 32 din Lgea nr. 677/2001, coroborat cu art. 7 din OG nr. 2/2001.
În sarcina intimatei reclamante s-a reținut prelucrarea nelegală a datelor cu caracter personal cu încălcarea prevederilor art. 5 alin. 1 din Legea nr. 677/2001, întrucât reclamanta a prelucrat datele personale ale asigurailor persoane fizice care nu au încheiat direct un contract de asigurare, fiind beneficiare ale unui contract de asigurare încheiat de o altă persoană fizică (contractant), în numele lor, în scop de marketing și direct mailing, fără a avea consimțământul expres și neechivoc al acestora, pentru acestă prelucrare.
Potrivit art. 32 din Legea nr. 677/2001, prelucrarea datelor cu caracter personal de către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevăzute la art. 12-15 sau la art. 17, constituie contravenție, dacă nu este săvârșită în astfel de condiții încât sa constituie infracțiune.
Art. 5 alin. 1 prevede că orice prelucrare de date cu caracter personal, cu excepția prelucrărilor care vizează date din categoriile menționate la art. 7 alin. (1), art. 8 și 10, poate fi efectuată numai dacă persoana vizată și-a dat consimțământul în mod expres și neechivoc pentru acea prelucrare.
Din prevederile legale menționate rezultă fără echivoc că elementul material al faptei contravenționale este constituit de prelucrarea datelor cu caracter personal cu încălcarea prevederilor privind consimțământul expres și neechivoc al persoanei vizate.
Apelanta susține că intimata-reclamantă O_______ V__ SA a fost sancționată de către A__________ Națională de Supraveghere deoarece modul de întocmire a formularelor de solicitare de asistență medicală pentru călătorii în străinătate nu permite exprimarea de către asiguratul persoană fizică a unui consimțământ valabil cu privire la prelucrarea datelor sale cu caracter personal în scop de marketing și direct mailing în situația în care contractul de asigurare se încheie prin mandatar (denumit contractant de către reclamantă).
S-a precizat că starea de pericol a fost creată prin punerea în circulație a unor formulare care permit societății de asigurări O_______ V__ SA prelucrarea, în unele cazuri, a datelor personale ale unor persoane fizice, fără consimțământul acestora, cu încălcarea prevederilor art. 5 alin. 1) din Legea nr. 677/2001.
În concret, s-a reținut că este vorba de plângerea numitului C____ P_______, (petiția nr. xxxxx din 09.09.2013), prin care A__________ Națională de Supraveghere a fost sesizată de către domnul C____ P_______ în legătură cu o posibilă încălcare a dispozițiilor Legii nr. 677/2001 de către ___________________________ Gorup SA.
Din verificarea formularului s-a concluzionat că există posibilitatea solicitării de încheiere a unui contract de asistență medicală pentru călătorii în străinătate de către o persoană numită contractant în favoarea unei persoane fizice – asigurat, caz în care contractantul declară că are acordul persoanei fizice pentru prelucrarea datelor sale cu caracter personal, în scopul administrării contractelor de asigurare, activități de marketing, statistice, studii de cercetare, acțiuni de direct mailing.
În acest caz, ar fi posibil ca intimata să prelucreze date cu caracter personal, fără acordul expres și neechivoc al persoanei vizate. Însă, în speță, nu există nicio dovadă a faptului că intimata a încheiat în mod concret contracte care să întrunească elementele constitutive ale contravenției redate mai sus.
Astfel, singurul contract depus la dosar este cel aflat la fila 56 dosar fond, în acest caz, formularul de solicitare a asistenței medicale pentru călătorii în străinătate este completat chiar de către persoana care solicită asigurarea, C____ P_______, contractantul și asiguratul fiind una și aceeași persoană, ceea ce a dat posibilitatea persoanei vizate să nu își dea consimțământul pentru prelucrarea datelor sale personale în alte scopuri decât acelea de asigurare medicală.
De altfel, chiar apelanta a recunoscut în cuprinsul cererii sale de recurs că această stare de pericol există numai în situația în care un contractant solicită încheierea unui contract de asigurare în beneficiul unei alte persoane fizice.
Așadar, doar în acest caz se poate ajunge la situația în care beneficiarului asigurării (asiguratului) îi sunt prelucrate datele personale, separat de scopul în care datele ar fi putut fi furnizate de chiar acesta contractantului (încheierea unei asigurări), într-un alt scop (marketing și mailing direct) fără informarea prealabilă a acestuia și fără consimțământul său, aceste aspecte fiind datorate exclusiv modului de redactare de către intimata-reclamantă a formularului sus menționat.
Însă, în cauză nu s-a făcut dovada încheierii unui atare contract de asigurare.
Prin urmare, starea de pericol social trebuie să fie concretă și efectivă, iar nu prezumată, iar pentru sancționarea contravențională este necesar a fi întrunite elementele constitutive ale faptei, așa cum este descrisă de legiuitor (în speță prelucrarea datelor cu caracter personal fără acordul explicit și neechivoc al persoanei vizate).
Apelanta a dispus sancționarea contravențională a intimatei pentru o faptă presupus a fi fost săvârșită, fără a avea însă dovezi concrete că elementul material al contravenței s-a produs. Susținerile acesteia în sensul că formularele sunt înseriate și că personalul intimatei a declarat cu ocazia controlului că a completat asemenea formulare, nu pot fi reținute, deoarece sunt probe indirecte, care nu pot dovedi săvârșirea în mod concret a faptei.
Astfel, înserierea contractelor și completarea loc de către personalul intimatei, pot fi la fel de bine dovada faptului că au mai fost încheiate contracte de natura celui depus la dosar, în care nu a fost încălcat dreptul persoanelor la protecția datelor cu caracter personal și nu a fost săvârșită o faptă contravențională, așa cum s-a reținut în procesul verbal contestat.
Aceasta deoarece o persoană nu poate fi sancționată contravențional pentru o faptă prezumtă, presupusă, ci este necesar ca circumstanțele săvârșirii acesteia să rezulte clar din probe, condiție esențială ce nu este îndeplinită în cauză.
Apelanta, în conținutul motivelor sale de recurs a susținut că sancțiunea NU a fost aplicată ca urmare a prelucrării datelor personale ale domnului C____ P_______, ci, datorită faptului că, urmare a sesizării formulate de către acesta, A__________ Națională de Supraveghere luând la cunoștință de conținutul formularului de asistență medicală pentru călătorii în străinătate utilizat de O_______ V__ SA a constatat modul ilegal de întocmire a acestuia.
Or, textul de lege invocat în procesul verbal de contravenție, nu sancționează întocmirea ilegală a unor formulare, ci sancționează prelucrarea datelor cu caracter personal fără acordul explicit și neechivoc al persoanei vizate. Prin urmare, din chiar susținerile recurentei rezultă că aceasta nu a constatat săvârșirea faptei, ci doar a presupus că aceasta s-a săvârșit din modul de redactare al unui formular.
Pe cale de consecință, așa cum în mod legal a reținut și instanța de fond, nu s-a făcut în cauză dovada săvârșirii contravenției reținute în procesul-verbal, fiind din acest punct de vedere legală soluția adoptată de tribunal.
- Nici cel de-al doilea motiv de apel nu este fondat.
Apelanta susține că sentința atacată cuprinde motive contradictorii. Verificând paragrafele indicate în cererea de apel, Curtea observă că prima instanță a stabilit că „sunt corecte susținerile pârâtei referitoare la încălcarea prevederilor art. 5 alin. 1 din Legea nr. 677/2001, în cazul în care un contractant solicită încheierea unui contract de asigurare pentru o altă persoană fizică…” Ulterior, în considerentele sentinței s-a reținut însă că această situație nu a fost dovedită „…nu există nicio faptă contravențională întrucât nu s-a făcut dovada prelucrării de date personale ale unor persoane determinate, nefiind depus la dosar vreun formular de solicitare de asistență medicală completat și semnat de un contractant pentru un asigurat persoană fizică “.
Prin urmare, raționamentul instanței este unul logic și concludent, nefiind identificate în cadrul motivării elemente care să conducă la concluzia că instanța a folosit în motivare argumente contradictorii.
- Al treilea motiv de apel este nefondat:
Susține apelanta că A__________ Națională de Supraveghere a sancționat intimata-reclamantă __________________ pentru modul în care a redactat formularele tip de solicitare de asistență medicală pentru călătorii în străinătate care, în anumite cazuri, pot implica prelucrarea de date cu caracter personal fără consimțământul persoanelor vizate, într-un cu totul alt scop decât ar fi fost furnizate, respectiv pentru marketing și direct mailing, și nu pentru că ar fi prelucrat în mod nelegal datele cu caracter personal ale unei persoane determinate.
Or, așa cum s-a precizat mai sus, o atare abordare încalcă în mod flagrant garanțiile procesuale prevăzute de art. 6 din CEDO, întrucât intimata a fost sancționată pentru o faptă presupusă, iar nu dovedită.
- Al patrulea motiv de apel este de asemenea nefondat:
Apelanta susține că Instanța de fond NU trebuia să admită plângerea reclamantei pe motiv că nu a fost dovedită săvârșirea în concret a contravenției reținută în sarcina acesteia din urmă (pag. 4, alin. 3) în condițiile în care procesul-verbal de constatare/sancționare a contravenției este un act administrativ care se bucură de prezumția de legalitate. Procesul-verbal de contravenție, în măsura în care cuprinde constatări personale ale reprezentantului Autorității Naționale de Supraveghere, are forță probantă prin el însuși și constituie o dovadă suficientă a vinovăției reclamantei, cât timp aceasta nu este în măsură să prezinte o probă contrară.
Aceste susțineri ale apelantei sunt însă infirmate de Curtea Europeană a Drepturilor Omului, care în Hotărârea A_____ împotriva României a statuat că „…desi statele au posibilitatea de a scoate în afara legii penale unele infracțiuni si de a le sancționa mai degrabă pe cale contravențională decât penală, autorii infracțiunilor nu trebuie să se afle într-o situație defavorabilă pentru simplul motiv că regimul juridic aplicabil este diferit de cel aplicabil în materie penală (G____ împotriva României, nr. xxxxx/01, pct. 58, 30 noiembrie 2006). În principiu, convenția lasă statelor libertatea de a considera infracțiune si de a o pedepsi ca atare, cu condiția respectării cerințelor articolului 6 din convenție, o faptă ce nu reprezintă exercitarea firească a unuia din drepturile ocrotite de aceasta. Pe scurt, Curtea este de părere că, dacă scoaterea contravenției în afara legii penale nu ridică probleme în sine, nerespectarea garanțiilor fundamentale – printre care si prezumția de nevinovăție – care protejează cetățenii împotriva unor posibile abuzuri din partea autorităților, reprezintă un aspect ce trebuie examinat în temeiul articolului 6 din convenție. Reiterând importanța, în cadrul unei proceduri ce poate fi calificată drept „penală”, a unei astfel de garanții, destinată să restabilească echilibrul dintre presupusii autori ai faptelor ilegale si autoritățile chemate să îi urmărească si pedepsească…”
Prin urmare, CEDO a statuat că și în cazul contravențiilor trebuie respectată prezumția de nevinovăție a făptuitorului, astfel că la fel ca în materie penală cel ce acuză trebuie să dovedească fapta antisocială, procesele-verbal de contravenție nebeneficiind ab inițio de prezumția de veridicitate.
Pentru toate considerentele expuse, Curtea constată că apelul este nefondat și în temeiul disp. art. 480 alin. 1 cod proc. civilă, va dispune respingerea acestuia cu consecința menținerii ca temeinică și legală a hotărârii instanței de fond.
PENTRU ACESTE MOTIVE
ÎN NUMELE LEGII
D E C I D E
Respinge apelul formulat de apelanta – pârâtă A__________ NAȚIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL cu sediul în București, sect. 1, __________________-30, împotriva sentinței civile nr. 6961/28.10.2014 pronunțată de Tribunalul București – Secția C_________ Administrativ și Fiscal în dosarul nr. XXXXXXXXXXXX în contradictoriu cu intimata – reclamantă __________________ cu sediul în București, sect. 1, ____________________. 23, ca nefondat.
Definitivă.
Pronunțată în ședință publică azi, 10.09.2015.
PREȘEDINTE, JUDECĂTOR, GREFIER,
M_______ E____ G____ C______ M____ I___ C_______ O____
Red.jud.M.G./4ex.
Jud.fond:A______ M______ P______, Tribunalul București-SCAF
Acest document este preluat și procesat de o aplicație realizată gratuit de Wolters Kluwer Romania pentru Fundatia RoLII.
Conținutul său poate fi preluat și utilizat cu citarea sursei: www.rolii.ro
