Dosar nr. XXXXXXXXXXXXX
R O M Â N I A
TRIBUNALUL D___
SECȚIA C_________ ADMINISTRATIV ȘI FISCAL
SENTINȚA Nr. 1799/2012
Ședința publică de la 27 Aprilie 2012
Completul compus din:
PREȘEDINTE A____ I_____ A___
Grefier A__ F______
Pe rol pronunțarea asupra cauzei C_________ administrativ și fiscal privind pe contestator _______________ și pe intimat A__________ NAȚIONALĂ DE SUPRAVEGHERE A PRELUCĂRII DATELOR CU CARACTER PERSONAL, având ca obiect anulare act administrativ.
Dezbaterile au fost consemnate în încheierea de ședință din data de 24.04.2012, încheiere ce face parte integrantă din prezenta sentință.
INSTANȚA
Asupra cauzei de față, deliberând, constată următoarele:
La dat de 22.12.2012 reclamanta _______________ a formulat plângere împotriva
împotriva procesului verbal de constatare /sancționare nr. xxxxx/02.12.2011 încheiat de reprezentanții Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal
solicitând ca prin hotărârea ce se va pronunța să se admită cererea să se anuleze procesul – verbal de constatare/sancționare nr. xxxxx/02.12.2011 cu consecința exonerării de la plata sumei de 2500 lei și obligarea pârâtei la plata cheltuielilor de judecată.
Motive.
În fapt în data de 02.12.2011, N______ V_______ și B_________ Sorinei D___, reprezentanți ai Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal au întocmit procesul-verbal de constatare/sancționare nr. xxxxx/02.12.2011 sancționând societatea V_______ SRL astfel:
1 Avertisment, în conformitate cu dispozițiile art. 32 din Legea nr. 677/2001 coroborate cu dispozițiile art. 5 din același act normativ, precum și cu art. 5 și art. 7 din OG nr. 2/2001;
2. Amendă, în cuantum de 1000 lei în conformitate cu dispozițiile art. 32 din Legea nr. 677/2001 coroborate cu dispozițiile art. 12 alin. (1) din același act normativ, precum și cu art. 5 art. 8 din OG nr.2/2001;
3. Avertisment, în conformitate cu dispozițiile art. 32 din Legea nr. 677/2001 coroborate cu dispozițiile art. 14 din același act normativ, precum și cu art. 5 și art. 7 din OG nr. 2/2001;
4. Amendă, în cuantum de 1500 lei în conformitate cu dispozițiile art. 33 din Legea nr. 677/2001 coroborate cu dispozițiile art. 5 și art. 8 din OG nr. 2/2001;
Reprezentanții Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDC) au arătat că acest control se desfășoară în baza petiției nr. 8979/02.05.201 1 formulate de B_____ N____ prin care aceasta a sesizat imposibilitatea exercitării dreptului de intervenție asupra datelor sale personale prelucrate pe site-ul www.lucrez.ro, domeniu deținut de _______________, lucru pe care dorește sa îl combată prin probe prezentate mai jos.
De asemenea reprezentanții ANSPDC consemnează în procesul verbal următoarele:
a) La momentul controlului, a prezentat un formular de notificare completat fizic pe care l-a trimis autorității la data de 21.11.2011 și care a fost returnat cu mențiunea schimbat sediu și nu poate funcționa;
b) Faptul că nu mai are toate mesajele prin care s-a solicitat ștergerea conturilor utilizatorilor, fiind absurd să le fi păstrat, legea nestipulând păstrarea e-mail-urilor.
c) Faptul că a recunoscut că în termeni și condiții (anexa 1) nu sunt trecute drepturile de care beneficiază potrivit Legii nr. 677/2001 și nici modalitățile de exercitare a acestor drepturi;
d) Că accesul la administrarea bazei de date a utilizatorilor este deținut de mine, M_____ Piturcă și de domnul N_____ I_____ P___, care potrivit Legii nr. 677/2001 ar trebui să aibă calitatea de împuternicit în baza contractului de colaborare;
e) Se declară că modificarea câmpurilor din tabelele bazei de date poate fi efectuată de fiecare utilizator din propriul cont, sau de administratorii bazei de date și orice modificare efectuată de utilizator sau administratorul bazei de date este înregistrată în fișierele de tip log pe care la momentul efectuării investigației nu le-am putut pune la dispoziția echipei de control ;
f) Faptul că la obținerea consimțământului pentru prelucrarea datelor personale nu se realizează așa cum prevede Legea nr. 677/2001, în mod expres și neechivoc, singurele date de informare cu privire la drepturile de care beneficiază potrivit Legii 677/2001 (art. 12 – 18) utilizatorii (persoane vizate) sunt cele postate pe site, și că nu cunosc în care pagină a site-ului sunt scrise;
g) Din verificarea datelor de pe site a rezultat că nu apare informarea persoanei vizate cu privire la identitatea operatorului și a reprezentantului acestuia, dacă este cazul, scopul și drepturile de care beneficiază precum și modalitatea de exercitare a acestora.
h) Datele inițiale sunt colectate la înregistrarea în cont și ulterior completate sau codificate, conform declarațiilor sale făcute prin adresa xxxxx/08.07.2011
i) La momentul controlului am susținut afirmația că au fost soluționate „în mod operativ “
și că „nu avem cunoștință de alte solicitări, sau existența unor solicitări”;
j) La momentul controlului, în urma verificării efectuate, s-a constatat că există un cont înregistrat pe numele de utilizator, B_____ N____, încă din 26.12.2006 conform înregistrării din câmpul „data c” din tabela “profiles” a bazei de date (anexa 2) și care ulterior nu a mai fost accesat. Nu mai există alt cont utilizator cu numele B_____ N____.
k) A declarat că respect măsurile de securitate conform Ordinului nr.52/2002, fără însă a se prezenta un document din care rezultă efectiv măsurile de securitate și modalitățile de aplicare a acestora, încălcându-se dispozițiile art. 20 din Legea nr 677/2001
1) A declarat că mesajul d-nei B_____ N____ trimis din pagina de contact a site-ului www lucrez.ro, prin care se solicită ștergerea contului, ar fi fost șters fără intenție, astfel că nu s-a putut face dovada primirii cererii de exercitare a dreptului de intervenție și a soluționării acesteia. Față de cele consemnate în procesul verbal formulez următoarele precizări.
1. In anul 2006 a încheiat un contract de colaborare cu PFI N_____ P___ pentru a crea un set de scripturi, un program, al cărui rezultat a fost si site-ul web lucrez.ro, care să faciliteze accesul pe piața muncii al persoanelor care căutau un loc de muncă precum și al societăților care căutau să angajeze personal.
Întrucât M_____ P______ deținea societatea _______________ fiind unic asociat, ocupându-mă cu promovarea și optimizarea în căutări a site-urilor web, a convenit împreuna cu N_____ P___ I_____ care deținea un PFI în al cărui obiect de activitate era crearea de site-uri web, sa realizam un site web de genul celui amintit mai sus.
Proiectul a fost realizat în anul 2006 prin realizarea site-ului www.lucrez.ro, domeniu care a fost achiziționat de societatea ________________, în baza contractului de colaborare partea tehnica a site-ul fiind realizata de P___ N_____ și optimizat de către M_____ P______.
În anul 2009 a dorit reluarea acestui proiect și a solicitat PF N_____ P___ pentru a efectua modificări minore privind modulul de administrare pe care nu știa să le facă, însă site-ul nu a dat, din nou rezultatele așteptate privind traficul, nereușind să se remarce în piața de profil.
În luna iulie 2011 a primit o adresă de la A__________ Națională de Supreveghere a Prelucrării Datelor cu Caracter Personal cu privire la acest site, adresă pe care a trimis-o si Iui N_____ P___ pentru a îl ajuta sa răspundă la ea întrucât nu cunoștea detaliile tehnice ale site-ului, ocupându-se decât de optimizare online nu și de crearea de scripturi web, adresă la care s-a răspuns, răspunsul trimițându-l la ANSPDC in termenul legal.
Menționează ca in acest răspuns a solicitat ANSPDC si alte lămuriri si a cerut sprijinul acestora pentru soluționarea oricăror probleme, insa nu a primit nici un răspuns.
Totodată, în luna octombrie citind Legea nr.677/2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date am făcut o notificare către A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru a fi înregistrat drept prelucrător de date cu caracter personal și am întocmit un regulament pentru asigurarea securității prelucrării datelor cu caracter personal de către _______________ în conformitate cu prevederile legale. Aceasta notificare am încercat in numeroase rânduri sa o transmit on-line către ANSPDCP, conform procedurii descrise pe site-ul instituției, dar la fiecare încercare mi-a fost generat in mod automat mesajul ca site-ul nu funcționează (pana la data de 28 octombrie). Ulterior in luna noiembrie am transmis notificarea prin Firma de curierat rapid Nemoexpress către ANSPDCP la sediul afișat pe site-ul acestei instituții din ________________ București sector 2. Solicitarea mea a fost returnată pe motiv că ANSPDCP “s-a mutat și nu pot funcționa până la sfârșitul lunii”.
În luna noiembrie a fost contactat de reprezentanții ANSPDC pentru efectuarea unui control fără a i se da detalii cu privire la natura controlului și cu privire la ce vor să știe.
Toată această stare de fapt a fost explicată inspectorilor N______ V_______ și B_________ Sorinei D___ care nu au ținut cont de explicațiile mele cu privire la faptul că nu cunoaște detalii tehnice cu privire la site-ul www.lucrez.ro, fiind vorba de un site pe care nu l-a creat și pe care nu îl mai văzuse nici reprezentantul reclamantei de 3 ani.
Acești reprezentanți au stat in control de la ora 10 la ora 17 punându-i în continuu întrebări cu privire la datele tehnice ale site-ului răspunsuri pe care nu le cunoștea.
L-a contactat telefonic pe N_____ P___ pentru a fi lămurit cu privire la întrebările care i se puneau. Atât reclamantul cât și P___ N_____ nu mai știau nimic despre acest site de mai bine de 3 ani, încercând amândoi să își amintească ce au lucrat, o înștiințare prealabila a scopului controlului ar fi evitat aceasta stare de fapt.
Prin faptul că nu a fost informat cu privire la solicitarea de control, respectiv ce anume din activitatea societății trebuie pregătit pentru control, spunându-i-se decât că acest control privește modul de respectare a prevederilor legii nr. 677/2001 și reclamantul știind că a transmis solicitarea de a deveni prelucrător de date cu caracter personal și a transmis și regulamentul pentru asigurarea securității prelucrării datelor cu caracter personal de către _________________________________ SRL nu a știut că acest control se referea la un site de care nu mai avea cunoștință de mai mult de 3 ani. După primirea prin poștă a procesului verbal de constatare și sancționare nr. xxxxx/02.12.2011 întrucât reprezentanții ANSPDCP nu au putut să-i dea acest proces verbal în original și i l-au comunicat prin poștă am luat legătura cu N_____ P___ privind situațiile prezentate mai sus, problema la care fac următoarele precizări:
a) Prin adresa transmisă conform Bon contract xxxxxxx către A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a transmis Notificarea pentru prelucrarea datelor cu caracter personal pentru a deveni prelucrător de date cu caracter personal și Regulament pentru asigurarea securității prelucrării datelor cu caracter personal de către _______________ în conformitate cu prevederile legale, înscrisuri care mi-au fost returnate pe motiv că ANSPDCP “s-a mutat și nu pot funcționa până la sfârșitul lunii”, îndeplinindu-și obligațiile legale prevăzute în legea nr. 677/2011
b) Deoarece reclamantul nu a mai lucrat la acest site de 3 ani iar cu ocazia controlului nu a găsit mail-ul doamnei B_____ N____ nu poate decât să presupună că acesta nu a transmis niciodată un mail către mine sau că din motive independente de mine acest mail nu a ajuns niciodată la destinație.
c) Conform principiului de drept potrivit căruia nimeni nu se poate prevala de necunoașterea legii, acest principiu fiindu-i spus de reprezentanții ANSPDCP în momentul în care le-a explicat că este informatician și nu jurist iar ocupația sa este de a optimiza în căutări site-urile și nu de a cunoaște toate prevederile legale, consider că și utilizatorii site-ului cunosc prevederile legale în domeniul protecției datelor cu caracter personal.
Totodată, la secțiunea termeni și condiții sunt prezentate utilizatorilor siteului condițiile în care funcționează site-ul și drepturile utilizatorilor acestuia – implicit procedura de ștergere completă a datelor personale ce le aparțin, condiții care respectă prevederile legii 677/2001. De asemenea, datele sunt trecute si operate de utilizator fără a fi necesară mijlocirea acestora de către operatorul site-ului prin proceduri automate. Aceasta este și explicația pentru care acest site a funcționat independent în toată acesta perioadă fără a fi necesară asigurarea unui suport tehnic uman permanent.
d) Contractul de colaborare dintre PFI N_____ P___ și __________________ transmis ANSPDCP pentru a lamurii autoritatea cu privire la dialogul desfășurat intre mine si N_____ P___ pe durata controlului.
e) în ceea ce privește înregistrarea si modificarea câmpurilor din tabelele bazei de date este adevărat ca acestea pot fi modificate sau șterse de fiecare utilizator sau de administratorul bazei de date. Pe prima pagină din contul utilizatorului este trecut în partea dreaptă jos în chenar modalitatea prin care se efectuează aceste modificări/ștergeri, , procedură care este descrisă și în secțiunea termeni și condiții, unde este reafirmat dreptul acestuia de intervenție asupra datelor.
f) In secțiunea termini si condiții este explicat faptul ca lucrez.ro nu solicita utilizatorilor introducerea datelor personale, si nu îngrădește accesul la site funcție de acest lucru. Dotele personale sunt introduse de vizitatorii site-ului in pentru a servii propriilor interese ale acestora de promovare a carierei. Cu privire la obținerea consimțământului pentru prelucrarea datelor cu caracter personal arăt că având în vedere că fiecare persoană își trece singură aceste date, care pot fi sau nu reale, fiind liberul acept al persoanei de a-și posta aceste date, consider ă că nimeni nu își trece datele solicitate reale sau nu fără a-și da consimțământul cu privire la acest lucru, neputându-se considera vicierea consimțământului în acest sens. De altfel câmpurile în care trebuiesc trecute datele nu sunt obligatorii, utilizatorii site-ului având libertate de a trece numai datele pe care doresc sa le transmit, utilizarea site-ului nefiind restricționată de completarea anumitor câmpuri.
De asemenea acest consimțământ rezultă clar din opțiunea utilizatorului ca datele respective să fie publice, pe care utilizatorul site-ului o alege sau nu la data creării contului și pe care o poate modifica ulterior accesându-și contul.
g)Datele cu privire la informarea utilizatorilor potrivit legii 677/2011 au fost
întocmite având în vedere modalitățile de prezentare ale altor site-uri similare la data realizării acestui site în anul 2006 fiind trecute la secțiunea termeni și condiții și care respectă prevederile legislației în vigoare.
h)Informare persoanei vizate cu privire la identitatea operatorului figurează la secțiunea “despre lucrez.ro”, eu nu am găsit in legislație o indicație explicita cu privire Ia locația acestei informații.
i)Din verificarea informațiilor site-ului privind înregistrarea doamnei B_____ N____ vă precizăm că în contul la numărul de accesări figurează 0 (zero) accesări ceea ce însemnă că doamna N____ B_____ nu a intrat niciodată pe site să își vizualizeze contul să vădă dacă îl poate șterge. Este de neînțeles cum o persoană care nu a intrat niciodată să își vadă contul trimite adrese la ANSPDCP pe care le motivează că a solicitat în data de 26.12.2006 prin e-mail ștergerea contului.
Nu există nici o dovadă în sensul că doamna B_____ N____ ar fi trimis un astfel de mail către site-ul www.Iticrez.ro. Mai mult decât atât, din situația relatată de inspectorii ANSPDCP rezultă că doamna B_____ N____ ar fi transmis inclusiv un printscreen al mail- lului, deși acest printscreen nu înseamnă că a și fost trimis și primit.
In domeniul serviciului e-mail faptul că ai trimis un email nu garantează și faptul că acesta a fost transmis efectiv și primit de destinatar, orice specialist IT poate arăta că serviciul de mail nu garantează recepționarea mesajelor de către destinatar, cu atât mai mult trimiterea unui singur mesaj mail. Cu toate acestea Doamna B_____ N____, aparent de profesie avocat (așa cum reiese din informațiile oferite de aceasta pe site), putea să opereze singură ștergerea datelor din contul propriu așa cum este arătat atât pe pagina contului propriu cât și în secțiunea termeni și condiții. Peste xxxxx e utilizatori membrii ai site-ului nu au reclamat aceasta problema.
Măsurile de securitate sunt respectate potrivit regulamentului pentru asigurarea securității prelucrării datelor cu caracter personal de către _______________ ce a fost transmis către ANSPDCP și care a fost prezentat acestora la momentul controlului.
Cu privire la mesajul doamnei B_____ N____ nu am declarat ca acesta a fost șters fără intenție ci că nu suntem siguri ca doamna B_____ N____ a transmis acest mesaj si ca oricum acest lucru nu implica faptul ca mesajul a fost recepționat, motive tehnice independente putând intervenii in procesul de transmitere a mesajului tip email.
In ceea ce privește nerespectarea prevederilor art. 12 din Legea nr.677/2001 consider că aceste cerințe au fost îndeplinite de societatea mea, identitatea operatorului fiind trecută la secțiunea “despre lucrez.ro”, scopul în care se face prelucrarea datelor și informațiile suplimentare prevăzute la punctul c al art. 12 din legea nr.677/2001 figurând la secțiunea termeni și condiții, amendarea societății cu 1000 lei pentru neînd condiții fiind nelegală și abuzivă.
În ceea ce privește prevederile art.20 din Legea nr.677/2001 arăt că la data controlului societatea avea elaborat un regulament pentru asigurarea securității prelucrării datelor cu caracter personal de către _______________ regulament care respectă prevederile Ordinului Avocatului Poporului nr.52 din 18 aprilie 2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal. Totodată, arăt că firma V_______ are un singur angajat, respectiv persoana mea, sediul societății este la mine acasă , respectiv în __________________, unicul activ al societății, respectiv un laptop este depozitat într-o cameră la care nu am decât eu accesul, nedeținând mijloace de imprimare a datelor (imprimantă, multifuncțională sau fax).
Calculatorul fiind parolat nu se poate face accesul bazei de date în lipsa parolei pe care o dețin numai eu. Precizează că N_____ P___ nu a avut niciodată accesul la parola privind baza de date. Nu există mai mulți utilizatori în sensul prevăzut de Ordinului Avocatului Poporului nr. 52 din 18 aprilie 2002 eu fiind singurul utilizator.
Aratăt totodată că acest site nu a mai fost folosit de către mine din 2009, fiind creat în scop altruist neurmărind obținerea unui profit ca urmare a realizării acestuia ci numai încercarea de a pune la dispoziția angajatorilor și angajaților a unui instrument prin care să se faciliteze accesul persoanelor și angajatorilor pentru întâlnirea cererii și ofertei pe piața muncii, folosind ca un model de exemplificare a tehnicilor pe care le stăpânim în crearea de siteuri web.
În drept invocă prevederile OG nr.2/2001 și Legii nr. 677/2001.
La data de 24.01.2012, pârâta a formulat întâmpinare prin care a solicitat respingerea
acțiunii ca neîntemeiată.
În conformitate cu dispozițiile art. 35 din Legea nr. 677/2001, modificată și completată, constatarea contravențiilor și aplicarea sancțiunilor se efectuează de către A__________ de supraveghere, care poate delega aceste atribuții unor persoane recrutate din rândul personalului său.
Astfel, în exercitarea atribuțiilor de control, A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a efectuat o investigație ca urmare a unei sesizări, nr. 8979 din 02.05.2011, referitoare la faptul că nu s-a dat curs unei cereri de intervenție asupra datelor personale aflate pe site-ul www.lucrez.ro. utilizat de către _______________, denumită în continuare contestatoarea, cu sediul în Municipiul C______, ____________________, județul D___, identificată prin CUI xxxxxxxx, JlXXXXXXXXXXX, reprezentată de administrator P______ M_____.
Investigația s-a efectuat în baza art. 13 din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare A__________ de supraveghere, coroborat cu art. 27 din Legea nr. 677/2001, modificată și completată.
Având în vedere, pe de o parte, verificările efectuate, declarațiile reprezentantului contestatoarei, iar pe de altă parte dispozițiile Legii nr. 677/2001, modificată și completată, s-a reținut că _______________ a săvârșit, în calitate de operator de date cu caracter personal, o ________ contravenții pentru care s-a aplicat avertisment și amendă în cuantum de 2500 Lei (RON), conform art. 32 și 33 din Legea nr. 677/2001, modificată și completată, raportate la art. 5, 12 alin. (1), 14 și 35 din aceeași lege, coroborate cu art. 5, 7 și 8 din Ordonanța Guvernului nr. 2/2001, cu modificările și completările ulterioare, astfel:
1. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 5 alin. (1) din Legea nr. 677/2001, întrucât _______________ nu a solicitat consimțământul expres și neechivoc pentru prelucrarea datelor personale, contravenție prevăzută de art. 32 din același act normativ menționat anterior, pentru care s-a aplicat avertisment.
2. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 12 alin. (1) din Legea nr. 677/2001, deoarece pe site-ul www.lucrez.ro. administrat de _______________, nu apare informarea persoanei vizate cu privire la identitatea operatorului și a reprezentantului acestuia, dacă este cazul, scopul și drepturile de care beneficiază, precum și modalitatea de exercitare a lor, ceea ce constituie contravenția prevăzută de art. 32 din același act normativ menționat anterior, pentru care s-a aplicat amendă în cuantum de 1000 lei.
3. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 14 din Legea nr. 677/2001, deoarece _______________ avea obligația de a comunica măsurile luate prin care a soluționat cererea de exercitare a dreptului de intervenție a petiționarei N____ B_____, în termen de 15 zile de la formularea sa, faptă ce constituie contravenția prevăzută de art. 32 din același act normativ menționat anterior, pentru care s-a aplicat avertisment.
4. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 20 din Legea nr. 677/2001, întrucât _______________ nu a făcut dovada existenței unei proceduri privind aplicarea măsurilor de securitate și modalitatea de aplicare a acestora, faptă ce constituie contravenția prevăzută de art. 33 din același act normativ menționat anterior, pentru care s-a aplicat amendă în cuantum de 1500 lei.
Faptele contravenționale constatate au fost consemnate și descrise în Procesul-verbal de constatare/sancționare nr. xxxxx/02.12.2011. Acesta a fost semnat de reprezentantul contestatoarei cu observații.
Referitor la contravențiile săvârșite de contestatoare și sancțiunile aplicate de către A__________ de supraveghere, în urma investigației efectuate, argumentăm următoarele:
1. Lipsa consimțământului expres și neechivoc pentru prelucrarea datelor
Regula generală instituită de art. 5 alin. (1) din Legea nr. 677/2001, modificată și completată este aceea că prelucrarea datelor personale ale unei persoane fizice (inclusiv dezvăluirea acestora) de către o altă persoană fizică sau juridică, în calitatea sa de operator, se efectuează numai cu consimțământul persoanei în cauză, dat în mod expres și neechivoc.
De asemenea, aceeași lege menționată anterior stabilește în mod expres și anumite situații de excepție, de strictă interpretare și aplicare, de la obligativitatea obținerii consimțământului în cazul prelucrării datelor personale și, implicit, al dezvăluirii lor prin transmitere, diseminare sau în orice alt mod (art. 5 alin. (2) din Legea nr. 677/2001, modificată și completată).
în cazul în speță, colectarea și prelucrarea datelor cu caracter personal nu se încadrează în niciuna dintre situațiile de excepție de la consimțământ, motiv pentru care exprimarea acestuia, expresă și neechivocă, de către persoana vizată, era necesară.
Mai mult, așa cum se poate observa din „Termenii și condițiile privind utilizarea site-ului LUCREZ.ro”, anexate plângerii de către contestatoare, la secțiunea „Obligații la înregistrare” se stipulează: „Pentru a folosi serviciile oferite de site-ul Lucrez.ro, vă obligați să furnizați date reale, cât mai exacte și complete despre dumneavoastră așa cum este cerut de formularul de înregistrare (subl. ns.) “.
Din această formulare se poate observa faptul că utilizatorului i se impune, iară drept de opțiune, să furnizeze, întocmai, toate datele solicitate de formularul de înregistrare. în acest sens, potrivit dispozițiilor art. 15 din Legea nr. 677/2001, modificată și completată, persoana vizată are dreptul de a se opune la prelucrarea datelor sale, din motive întemeiate și legitime, cu excepția cazurilor în care există dispoziții legale contrare. Or, în speță, nu există nicio dispoziție legală care să oblige persoana vizată la furnizarea datelor sale personale în contextul înregistrării unui cont pe un site ce oferă anunțuri privind locurile de muncă, acest lucru putându-se realiza numai la consimțământul său expres și neechivoc.
De asemenea, în contextul asigurării informării persoanei vizate, potrivit art. 12 alin. (1) din Legea nr. 677/2001, modificată și completată operatorul este obligat să furnizeze, între alte informații, și pe aceea privind caracterul obligatoriu sau facultativ al furnizării tuturor datelor cerute și consecințele refuzului de a le furniza. Or, așa cum se poate observa și din Procesul-verbal de constatare/sancționare nr. xxxxx/02.12.2011 (pagina nr. 2), dl administrator P______ M_____, reprezentantul _______________, recunoaște faptul că în „Termeni și condiții” nu sunt trecute toate drepturile de care beneficiază persoana vizată, potrivit Legii nr. 677/2001, modificată și completată.
Mai mult, subliniază că art. 2 lit. h) din Directiva 95/46/CE stipulează: „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.
Prin urmare, anterior obținerii consimțământului persoanei vizate, aceasta trebuie să fie informată, pentru a accepta ca datele sale cu caracter personal să fie prelucrate pentru un anumit scop.
In consecință, dispozițiile art. 5 alin. (1) din Legea nr. 677/2001, modificată și completată nu au fost respectate, motiv pentru care contestatoarea a fost sancționată cu avertisment.
2. Nesocotirea dispozițiilor art. 12 alin. (1) din Legea nr. 677/2001, modificată și completată, privind informarea persoanei vizate
In ceea ce privește informarea persoanei vizate, art. 12 alin. (1) din Legea nr. 677/2001, modificată și completată, intitulat „Informarea persoanei vizate” stabilește că, în cazul în care datele cu caracter personal sunt obținute direct de la persoana vizată, operatorul este obligat să furnizeze acesteia cel puțin următoarele informații, cu excepția cazului în care această persoană posedă deja informațiile respective. Acestea se referă la:
a ) identitatea operatorului și a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existenta drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
Astfel, întrucât datele erau colectate direct de la persoana vizată, informațiile prevăzute de lege, menționate mai sus, trebuiau furnizate în mod obligatoriu de către contestatoare în calitate de operator de date cu caracter personal.
Totodată, informarea trebuie realizată într-o manieră completă și clară (excepțiile de la informare fiind expres prevăzute de art. 12 alin. 3 și 4 din Legea nr. 677/2001, modificată și completată) astfel încât persoana vizată să poată consimți în cunoștință de cauză cu privire la prelucrarea datelor sale personale.
Formularele electronice, în cazul în care sunt utilizate, trebuie să solicite numai datele necesare îndeplinirii scopului, iar operatorul trebuie să asigure toate măsurile de securitate destinate să garanteze confidențialitatea acestora. în cazul în care se impune, formularele vor preciza caracterul obligatoriu sau facultativ al furnizării unor date, prin marcarea acestora cu un asterisc.
Pentru o informare clară, corectă și concisă a persoanelor vizate, în spațiul destinat formularului și în imediata apropiere a acestuia, pe pagina web respectivă, trebuie furnizate informațiile prevăzute de lege.
Totodată, în vederea obținerii unor informații suplimentare pot fi postate, pe aceeași pagină, link-uri către alte documente informative, cum ar fi ,, Termeni si condiții”.
In acest context, precizăm că, așa cum rezultă din Procesul-verbal de constatare/sancționare nr. xxxxx/02.12.2011 (pagina nr. 2), din verificările efectuate pe site în timpul controlului, nu apărea informarea persoanei vizate cu privire la identitatea operatorului și a reprezentantului acestuia, dacă este cazul, scopul și drepturile de care beneficiază, precum și modalitatea de exercitare a lor.
În consecință, dispozițiile art. 12 alin. (1) din Legea nr. 677/2001, modificată și completată nu au fost respectate, motiv pentru care contestatoarea a fost sancționată cu amendă în cuantum de 1000 lei.
3. Nesocotirea dispozițiilor art. 14 din Legea nr. 677/2001, modificată și completată, privind dreptul de intervenție asupra datelor
Potrivit art. 14 din Legea nr. 677/2001, modificată și completată, intitulat „Dreptul de intervenție asupra datelor”, orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit:
a) după caz, rectificarea, actualizarea, blocarea sau ștergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
c) notificarea către terții cărora le-au fost dezvăluite datele a oricărei operațiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat față de interesul legitim care ar putea fi lezat.
Conform acelorași dispoziții legale de mai sus, pentru exercitarea acestui drept, persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată și semnată. In cerere solicitantul poate arăta dacă dorește ca informațiile să îi fie comunicate la o anumită adresă, care poate fi și de poștă electronică, sau printr-un serviciu de corespondență care să asigure că predarea i se va face numai personal.
Totodată, legea prevede că operatorul este obligat să comunice masurile luate, precum și, dacă este cazul, numele terțului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii.
Prin urmare, se poate observa faptul că legea stabilește condițiile de exercitare a dreptului de intervenție, operatorul fiind obligat să respecte această procedură și nu poate institui o alta.
In consecință, persoana vizată nu poate fi obligată să respecte doar o anumită procedură de ștergere a datelor sale de pe site, impusă de contestatoare. fără ca aceasta să verifice ulterior respectarea drepturilor solicitantului și să facă dovezile necesare în acest sens. Mai mult, Legea nr. 677/2001, modificată și completată, nu prevede un termen limită în care persoana vizată se poate adresa Autorității de supraveghere, de la data la care a constatat o posibilă încălcare a drepturilor sale garantate de lege, astfel că operatorul trebuie să depună toate diligentele pentru a produce dovezile necesare primirii și soluționării cererilor persoanelor fizice în cauză.
După cum rezultă din Procesul-verbal de constatare/sancționare nr. xxxxx/02.12.2011 (pagina nr. 3), la momentul controlului, în urma verificării efectuate, s-a constatat că există un cont înregistrat pe numele de utilizator B_____ N____, încă din 26.12.2006, conform înregistrării din câmpul „data_c” din tabela “profiles” a bazei de date (anexa nr. 2 a procesului-verbal) și care ulterior nu a mai fost accesat. Totodată, s-a constatat faptul că nu mai există alt cont de utilizator cu numele B_____ N____.
Petiționara a reclamat faptele la A__________ de supraveghere prin sesizarea nr. 8979 din 02.05.2011, cu privire la imposibilitatea de a-și exercita dreptul de intervenție asupra datelor sale personale prelucrate pe site-ul www.lucrez.ro. în acest sens, deși în timpul controlului s-a declarat că solicitările utilizatorilor au fost soluționate „în mod operativ” (pagina nr. 3 a Procesului-verbal de constatare/sancționare nr. xxxxx/02.12.2011) contestatoarea nu a putut face dovada primirii cererii de exercitare a dreptului de intervenție a petiționarei și nici de soluționare a acesteia. în termenul prevăzut de lege.
Or, așa cum se subliniază în considerentul (25) al Directivei nr. 95/46/CE, principiile protecției datelor trebuie să se reflecte, pe de o parte, în obligațiile impuse persoanelor care prelucrează date, în special în materie de calitatea datelor, siguranța tehnică, circumstanțele în care poate fi efectuată prelucrarea și, pe de altă parte, în dreptul conferit persoanelor ale căror date fac obiectul prelucrării de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea solicita corectarea lor și chiar de a se opune prelucrării în anumite circumstanțe.
In consecință, dispozițiile art. 14 din Legea nr. 677/2001, modificată și completată nu au fost respectate, motiv pentru care s-a aplicat avertisment.
4. Nesocotirea dispozițiilor art. 20 din Legea nr. 677/2001, modificată și completată, privind securitatea prelucrărilor.
Dispozițiile art. 20 din Legea nr. 677/2001, stabilesc că operatorul este obligat să aplice măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală.
Potrivit acelorași prevederi legale, aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare și de costuri, un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate.
Totodată, efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfășoare în baza unui contract încheiat în forma scrisă, care va cuprinde în mod obligatoriu:
a) obligația persoanei împuternicite de a acționa doar în baza instrucțiunilor primite de
la operator;
b) faptul că îndeplinirea obligațiilor prevăzute la alin. (1) revine și persoanei împuternicite.
In consecință, operațiunile de colectare a datelor cu caracter personal prin intermediul internetului sunt susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor fizice, motiv pentru care este necesar ca operatorul să aibă în vedere asigurarea unei protecții eficiente a datelor personale colectate prin intermediul unui site.
Astfel, _______________ nu a făcut, la momentul controlului, dovada existenței unei proceduri privind aplicarea măsurilor de securitate și modalitatea de aplicare a acestora. în conformitate cu dispozițiile legale de mai sus și Ordinului nr. 52/2002 privind aprobarea cerințelor minime de securitate a prelucrărilor de date cu caracter personal (publicat în M. Of. nr. 383 din 5 iunie 2002).
In consecință, au fost încălcate dispozițiile art. 20 din Legea nr. 677/2001, modificată și completată, motiv pentru care s-a aplicat sancțiunea amenzii în cuantum de 1500 lei.
5. Referitor la obligația de notificare, aceasta nu a făcut obiectul Procesului-verbal de constatare/sancționare nr. xxxxx/02.12.2011, astfel că susținerile _______________ cu privire la aceste aspecte (pagina nr. 4 a plângerii contestatoarei) nu au relevanță în cazul de față.
În drept prevederile art. 115 din Codul de procedură civilă, modificat și completat, art. 26 din Constituția României, dispozițiile art. 8 din Convenția pentru apărarea drepturilor omului și libertăților fundamentale, cele ale art. 13 din Legea nr. 102/2005, dispozițiile art. 5, 12 alin. (1), 14, 32, 33 și 35 din Legea nr. 677/2001, modificată și completată, prevederile Directivei nr. 95/46/CE, precum și dispozițiile art. 5, 7, 8, 15, art. 19 și 21 din Ordonanța nr. 2/2001 privind regimul juridic al contravențiilor, modificată și completată.
Față de cele motivate în fapt și în drept, precum și înscrisurile atașate la dosarul cauzei solicităm respingerea ca neîntemeiată a plângerii formulate de _______________, împotriva Procesului-verbal de constatare/sancționare nr. xxxxx/02.12.2011.
A depus la dosar împuternicirea nr. xxxxx din 08.09.2011 (anexa nr.l), Sesizarea petiționarei B_____ N____, nr. 8979 din 02.05.2011 (anexa nr.2), Anexa nr. 2 a Procesului-verbal de constatare/sancționare nr. xxxxx/02.12.2011 (anexa nr. 3).
Analizând ansamblul materialului probator administrat în cauză instanța reține următoarele:
Prin Procesul-verbal de constatare/sancționare nr. xxxxx/02.12.2011 petenta _______________ a fost sancționată pentru următoarele fapte:
1. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 5 alin. (1) din Legea nr. 677/2001, întrucât _______________ nu a solicitat consimțământul expres și neechivoc pentru prelucrarea datelor personale, contravenție prevăzută de art. 32 din același act normativ menționat anterior, pentru care s-a aplicat avertisment.
2. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 12 alin. (1) din Legea nr. 677/2001, deoarece pe site-ul www.lucrez.ro. administrat de _______________, nu apare informarea persoanei vizate cu privire la identitatea operatorului și a reprezentantului acestuia, dacă este cazul, scopul și drepturile de care beneficiază, precum și modalitatea de exercitare a lor, ceea ce constituie contravenția prevăzută de art. 32 din același act normativ menționat anterior, pentru care s-a aplicat amendă în cuantum de 1000 lei.
3. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 14 din Legea nr. 677/2001, deoarece _______________ avea obligația de a comunica măsurile luate prin care a soluționat cererea de exercitare a dreptului de intervenție a petiționarei N____ B_____, în termen de 15 zile de la formularea sa, faptă ce constituie contravenția prevăzută de art. 32 din același act normativ menționat anterior, pentru care s-a aplicat avertisment.
4. Prelucrarea nelegală a datelor cu caracter personal, în sensul nesocotirii dispozițiilor art. 20 din Legea nr. 677/2001, întrucât _______________ nu a făcut dovada existenței unei proceduri privind aplicarea măsurilor de securitate și modalitatea de aplicare a acestora, faptă ce constituie contravenția prevăzută de art. 33 din același act normativ menționat anterior, pentru care s-a aplicat amendă în cuantum de 1500 lei.
Acest proces-verbal a fost emis în baza controlului efectuat ca urmare a sesizării petiționarei B_____ N____ (fila 34).
1.Potrivit art. 5 din Legea Nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date:
(1) Orice prelucrare de date cu caracter personal, cu excepția prelucrărilor care vizează date din categoriile menționate la art. 7 alin. (1), art. 8 și 10, poate fi efectuată numai dacă persoana vizată și-a dat consimțământul în mod expres și neechivoc pentru acea prelucrare.
(2) Consimțământul persoanei vizate nu este cerut în următoarele cazuri:
a) când prelucrarea este necesară în vederea executării unui contract sau antecontract la care persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
b) când prelucrarea este necesară în vederea protejării vieții, integrității fizice sau sănătății persoanei vizate ori a unei alte persoane amenințate;
c) când prelucrarea este necesară în vederea îndeplinirii unei obligații legale a operatorului;
d) când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terțul căruia îi sunt dezvăluite datele;
e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate;
f) când prelucrarea privește date obținute din documente accesibile publicului, conform legii;
g) când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau științifică, iar datele rămân anonime pe toată durata prelucrării.
Petenta susține că nu ar fi încălcat aceste dispoziții întrucât site-ul „lucrez.ro” nu solicită utilizatorilor introducerea datelor personale, si nu îngrădește accesul la site funcție de acest lucru, datele personale sunt introduse de vizitatorii site-ului in pentru a servi propriilor interese ale acestora de promovare a carierei. Cu privire la obținerea consimțământului pentru prelucrarea datelor cu caracter personal arată că având în vedere că fiecare persoană își trece singură aceste date, care pot fi sau nu reale, fiind liberul accept al persoanei de a-și posta aceste date, că nimeni nu își trece datele solicitate reale sau nu fără a-și da consimțământul cu privire la acest lucru, neputându-se considera vicierea consimțământului în acest sens, câmpurile în care trebuiesc trecute datele nu sunt obligatorii, utilizatorii site-ului având libertate de a trece numai datele pe care doresc sa le transmită, utilizarea site-ului nefiind restricționată de completarea anumitor câmpuri
Așadar nici petenta nu susține că solicită consimțământul în mod expres și neechivoc pentru acea prelucrare. Din interpretarea dispozițiilor legale anterior menționate nu rezultă că nu este necesar consimțământul dacă introducerea datelor este facultativă. Nici împrejurarea că persoanele ar putea să introducă date fictive nu este de natură să înlăture obligația administratorului site-ului, prezumându-se buna credință a persoanelor aflate în căutarea unui loc de muncă. De altfel legea nu impune obligația verificării veridicității datelor introduse.
În plus noțiunea de consimțământ expres și neechivoc presupune inserarea unor mențiuni certe în acest sens și nu prezumarea acestuia. De asemenea este evident că publicarea datelor personale pe internet face posibilă vizualizarea lor de un număr nedefinit de persoane, fiind evident nesocotită protecția datelor cu caracter personal.
2. Potrivit art 12 din Legea nr 677/2001, în cazul în care datele cu caracter personal sunt obținute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puțin următoarele informații, cu excepția cazului în care această persoană posedă deja informațiile respective:
a) identitatea operatorului și a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
(2) În cazul în care datele nu sunt obținute direct de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenționează dezvăluirea acestora către terți, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puțin următoarele informații, cu excepția cazului în care persoana vizată posedă deja informațiile respective:
a) identitatea operatorului și a reprezentantului acestuia, dacă este cazul;
b) scopul în care se face prelucrarea datelor;
c) informații suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existența drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
Petenta susține că datele privind identitatea operatorului figurează în secțiunea „despre lucrez.ro”. Instanța constată că, pe site ul menționat (fila 14) este indicată numai denumirea firmei, CUI; Nr de înregistrare în Registrul Comerțului și adresa. Or aceste mențiuni nu satisfac exigențele dispozițiilor legale anterior menționate, nefiind menționate numele reprezentantului operatorului
Întrucât datele erau colectate direct de la persoana vizată, informațiile prevăzute de lege trebuiau furnizate în mod obligatoriu de către contestatoare în calitate de operator de date cu caracter personal. De asemenea nu sunt prevăzute date de contact, ceea ce a condus în final la situația ca operatorul să nu răspundă la solicitarile petiționarei N____ B_____, acesta invocând că nu ar fi primit cererea.
3. Conform art 14 din Legea nr xxxxxxx, orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit:
a) după caz, rectificarea, actualizarea, blocarea sau ștergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
c) notificarea către terții cărora le-au fost dezvăluite datele a oricărei operațiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat față de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată și semnată. În cerere solicitantul poate arăta dacă dorește ca informațiile să îi fie comunicate la o anumită adresă, care poate fi și de poștă electronică, sau printr-un serviciu de corespondență care să asigure că predarea i se va face numai personal.
(3) Operatorul este obligat să comunice măsurile luate în temeiul alin. (1), precum și, dacă este cazul, numele terțului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opțiuni a solicitantului exprimate potrivit alin. (2).
Din informațiile existente pe site ul lucrez.ro (filele 89-95) nu rezultă că petenta ar fi permis utilizatorilor exercitarea dreptului menționat. Astfel singura mentiune relevanta in acest sens este posibilitatea ștergerii profilului. Or, art 14 prevede mai multe obligații (alin 1 lit a-c, alin2,3). Legea stabilește o anumită procedură a dreptului de intervenție asupra datelor cu caracter personal, operatorul neputând stabili altă modalitate .De altfel, chiar petenta învederează că este posibil ca mesajul trimis de petiționara B_____ N____ să nu fi fost recepționat, motive tehnice independente putând interveni în procesul de transmitere a mesajului tip e-mail. Așadar, rezultă că operatorul nu a depus toate diligențele pentru a produce dovezile necesare primirii și soluționării cererilor persoanelor fizice în cauză.
În consecință, constatându-se încălcarea dispozițiilor art 14 din Legea nr 677/2001, în mod corect s-a aplicat sancțiunea avertisment.
4.Potrivit art 20 din Legea nr 677/2001:
(1) Operatorul este obligat să aplice măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală.
(2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare și de costuri, un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate. Cerințele minime de securitate vor fi elaborate de autoritatea de supraveghere și vor fi actualizate periodic, corespunzător progresului tehnic și experienței acumulate.
(3) Operatorul, atunci când desemnează o persoană împuternicită, este obligat să aleagă o persoană care prezintă suficiente garanții în ceea ce privește măsurile de securitate tehnică și organizatorice cu privire la prelucrările ce vor fi efectuate, precum și să vegheze la respectarea acestor măsuri de către persoana desemnată.
(4) A__________ de supraveghere poate decide, în cazuri individuale, asupra obligării operatorului la adoptarea unor măsuri suplimentare de securitate, cu excepția celor care privesc garantarea securității serviciilor de telecomunicații.
(5) Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfășoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:
a) obligația persoanei împuternicite de a acționa doar în baza instrucțiunilor primite de la operator;
b) faptul că îndeplinirea obligațiilor prevăzute la alin. (1) revine și persoanei împuternicite.
Petenta nu a făcut nici la momentul controlului și nici pe parcursul judecății dovada existenței unor proceduri privind aplicarea măsurilor de securitate și modalitatea de aplicare a acestora. Aceasta a învederat doar că societatea are un singur angajat, reprezentantul legal al societății, unicul activ al societății este un lap top depozitat într-o cameră la care nu are nimeni acces, că nu deține mijloace de imprimare a datelor, calculatorul este parolat. În primul rând aceste susțineri nu au fost probate. În al doilea rând, asemenea măsuri nu sunt adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat. În plus petenta recunoaște că nu cunoaște detalii tehnice cu privire la acest site, pe care l-a creat o altă persoană în baza unor relații contractuale, însă acest aspect nu înlătură răspunderea operatorului de date cu caracter personal, acesta având obligația de a se asigura, în derularea raporturilor contractuale că se respectă confidențialitatea și securitatea datelor .
Nici împrejurarea învederată de petentă conform căreia nu ar fi urmărit obținerea de profit de pe urma creării acestui site nu este de natură să înlăture răspunderea contravențională, protecția datelor cu caracter personal fiind obligatorie, indiferent de scopul urmărit prin colectarea acestora.
Pentru aceste considerente, instanța urmează să respingă plângerea ca neîntemeiată.
PENTRU ACESTE MOTIVE,
ÎN NUMELE LEGII
HOTĂRĂȘTE
Respinge ca neîntemeiată cererea formulată de contestatoarea _______________ cu sediul în C______, _____________________, jud. D___ în contradictoriu cu intimata A__________ NAȚIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL CU SEDIUL ÎN București, sector 1, ___________________________ nr. 28-30.
Cu recurs în termen de 15 zile de la comunicare.
Pronunțată în ședința publică de la 27 Aprilie 2012.
| Președinte,
A____ I_____ A___ |
||
| Grefier,
A__ F______ |
Red. 4 ex/17.05.2012
AAI/AF
Acest document este preluat și procesat de o aplicație realizată gratuit de Wolters Kluwer Romania pentru Fundatia RoLII.
Conținutul său poate fi preluat și utilizat cu citarea sursei: www.rolii.ro
