Dosar nr. XXXXXXXXXXXX
Cod operator: 2443
R O M Â N I A
TRIBUNALUL GORJ
SECȚIA C_________ ADMINISTRATIV SI FISCAL
Sentința nr. 5301/2013
Ședința publică de la 11 decembrie 2013
Completul compus din:
PREȘEDINTE L_______ M_____
Grefier E________ A____ B____
Pe rol fiind judecarea cauzei privind petentul Biroul Notarului Public P______ O. O_____ în contradictoriu cu intimata A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, având ca obiect anulare proces verbal de contravenție.
La apelul nominal făcut în ședința publică au lipsit părțile, reprezentate prin avocat G____ M____ L_______ pentru petent și consilier juridic N______ V______ pentru intimată.
Procedura de citare legal îndeplinită.
S-a făcut referatul oral al cauzei de către grefierul de ședință, după care;
Apărătorul petentului, avocat G____ M____ L_______ a depus în baza dispozițiilor art. 204 Cod procedură civilă la dosarul cauzei o cerere precizatoare/completare a acțiunii principale prin care a invocat excepția nulității relative a procesului verbal contestat, un exemplar de pe aceasta fiind comunicată și reprezentantului intimatei.
Constatând că reprezentantul intimatei nu solicită termen pentru a observa cererea de completare a acțiunii principale, instanța acordă cuvântul pe excepția invocată.
Apărătorul petentului solicită să se constate nulitatea relativă a procesului verbal de contravenție întrucât nu i-a fost comunicat cuantumul sumei pe care are dreptul să o achite în 48 de ore, adică jumătate din minimul amenzii. A arătat că dispozițiile Legii nr. 677/2001 se completează cu dispozițiile OG nr.2/2001, în măsura în care legea nu dispune altfel, considerând că, întrucât legea nu dispune altfel, ar fi trebui să i se fi adus la cunoștință cât trebuie să achite în termen de 48 ore de la aplicarea amenzii, deoarece potrivit OG nr. 2/2001 orice persoană are dreptul de a achita jumătate din minimul amenzii în termen de 48 de ore de la comunicarea procesului verbal.
Reprezentantul intimatei, consilier juridic N______ V______ arătă că Legea nr. 677/2001 nu dispune în nici un fel aplicarea dispozițiilor din OG nr. 2/2001, că nu se specifică cele invocate de reclamant și nu este relevantă trimiterea la Ordonanța 2/2001 în sensul arătat de a se achita jumătate din suma datorată.
Ca replică, apărătorul petentului arătată că, conform art. 35 din Legea nr. 677/2001 prevederile acestei legi se completează cu prevederile OG 2/2001, însă în cuprinsul procesului verbal de contravenție nu s-a arătat faptul că are de achitat o anumită sumă de bani, astfel fiind în imposibilitatea de a o achita și că procesul verbal este titlu executoriu.
După expunerea punctului de vedere cu privire la excepția nulității relative a procesului verbal de contravenție, instanța acordă cuvântul părților cu privire la probele solicitate a fi administrate în prezenta cauză.
Apărătorul petentului a învederat că prin acțiunea introductivă a solicitat administrarea probei testimoniale și probei cu expertiza de specialitatea informatică, pentru a demonstra că de pe calculatoarele Biroului Notarial P______ O_____ nu a plecat nici o informație cu privire la acele date cu caracter personal. A solicitat ca, înainte de a se pronunța pe proba testimonială și proba cu expertiza de specialitate, să se dispună obligarea intimatei să facă dovada în ce zi și în ce lună au fost puse acele documente pe HUB-ul public Romancierilor.ro, iar în funcție de comunicare se va face dovada că nu putea pune acele date cu caracter personal pe HUB-ul public Romancierilor.ro, dacă au fost respectate toate regulile de conduită. De asemenea a solicitat ca A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal să comunice dacă a comunicat Biroului N____ Public P______ O_____, când acesta și-a înființat activitatea, normele prevăzute de Ordinul nr.52/2002 de care se face vorbire și dacă normele au fost actualizate în fiecare an așa cum prevede art. 20 alin. 2, precum și dacă au fost elaborate, iar în caz afirmativ să le depună la dosar. A mai arătat că sunt acte care se elaborează în fiecare an și ar trebui să fie aduse la cunoștință petentului, cel puțin cerințele minime.
La solicitarea instanței a arătat că solicită încuviințare probei testimoniale pentru a demonstra că nimeni nu a plecat și nu a dat spre utilizare acele date cu caracter personal. Se vrea a se înlătura susținerile din procesul verbal de constatare a contravenției, potrivit cărora orice persoană care intră în birou putea accesa datele cu caracter personal.
În ceea ce privește proba cu expertiză solicită a fi administrată pentru a se observa dacă au fost respectate toate normele de conduită și pentru a se observa de pe ce IT au fost puse acele documente pe HUB-ul public Romancierilor.ro.
Reprezentantul intimatei a solicitat respingerea probatoriului indicat de apărătorul petentului. În ceea ce privește proba testimonială a arătat că nu poate fi admisă peste proba cu înscrisuri, că există înscrisuri la dosar care confirmă faptul că reclamantul a utilizat date cu caracter personal. Toate documentele aflate pe CD-ul transmis de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne, aparțin Biroului Notarului Public P______ O_____. Nu consideră relevantă proba cu expertiză, întrucât atât în procesul verbal cât și în întâmpinare s-a făcut trimitere la adresa de IT de pe care au fost transmise documentele care conțineau date cu caracter personal.
Având în vedere cele precizate a învederat că lasă la latitudinea instanței administrarea probelor și că, în situația în care va fi admisă proba testimonială solicită proba cu interogatoriu.
În replică, apărătorul petentului a învederat că solicită proba cu expertiza de specialitate pentru a se demonstra dacă s-au făcut sau nu intrări ilegale, cum a apărut captura pe ecran. Totodată a solicitat ca pârâta să depună la dosarul cauzei Ordinul nr.52/2002. În ceea ce privește proba cu interogatoriu a învederat că se opune întrucât nu a fost solicitată prin întâmpinare, iar administrarea acesteia nu reiese din dezbateri.
Reprezentantul intimatei a învederat că Ordinul 52/2002 se găsește pe site-ul Autorității Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, fiind emis de Instituția avocatului poporului și publicat în Monitorul Oficial.
Instanța respinge toate probele solicitate de petent prin cererea de chemare în judecată, respectiv proba testimonială și proba cu expertiza de specialitate, considerând că nu sunt utile și concludente soluționării cauzei.
În ceea ce privește celelalte probe solicitate de apărătorul petentului la termenul de azi instanța le respinge cu motivarea că necesitatea administrării acestora nu a reieșit din dezbateri.
De asemenea, respinge proba solicitată de reprezentantul intimatei, cu interogatoriu, având în vedere că, întrucât nu a fost încuviințată proba testimonială solicitată de petent, nu se poate considera ca fiind necesară administrarea probei cu interogatoriu, solicitată la acest termen, sub această condiție.
Instanța a luat act de susținerile părților cu privire la excepția nulității relative și a acordat cuvântul pe fondul cauzei.
Apărătorul petentului, avocat G____ M____ L_______, a solicitat admiterea acțiunii așa cum a fost formulată, anularea procesului verbal de contravenție și exonerarea de la plata amenzii contravenționale. Consideră că, așa cum s-a arătat și în procesul verbal de contravenție contestat, toți angajații au semnat contracte de confidențialitate și stabilitate care conțin și obligația de a păstra confidențialitatea datelor cu caracter personal. Că a fost sancționat pentru că nu a îndeplinit obligațiile privind confidențialitatea și aplicare măsurilor de siguranță prevăzute de art.33 din Legea nr.677/2001 deoarece nu a adoptat suficiente măsuri de securitate și confidențialitate pentru a proteja datele personale ale clienților, angajaților și colaboratorilor împotriva dezvăluirii și a accesului neautorizat precum și împotriva oricărei alte forme de prelucrare ilegală așa cum prevăd art. 19 și art. 20 din Legea 677/2001, dar nu se arată în concret care sunt cerințele minime de siguranță, sau ce măsuri trebuia să ia. A mai invocat prevederile art. 19 din Legea nr. 677/2001, arătând că în cazul de față nicio persoană din cadrul Biroului Notarial nu a prelucrat date cu caracter personal și nici nu a întreprins vreo acțiune prin care aceste date să fie divulgate. Că, prin întâmpinare, se recunoaște faptul că acel IT aparținea altei persoane. Totodată a invocat prevederile art. 20 alin. 2 din Legea nr. 677/2001 prin care se specifică în mod clar faptul că cerințele minime de siguranță vor fi elaborate de autoritatea de supraveghere și vor fi actualizate periodic, dar până în momentul de față autoritatea de supraveghere nu a elaborat aceste cerințe. Că, lecturând Ordinul nr.52/2002 AVP nu a putut identifica nicio măsură pe care să nu o fi respectat. Având în vedere faptul că a observat că nu din birou s-au transmis acele documente și nimeni nu a făcut vreo plângere, consideră că petentul nu a divulgat date personale și a luat toate măsurile necesare. A solicitat schimbarea sancțiunii amenzii contravenționale în avertisment, învederând că nimeni nu a fost lezat ca urmare a faptului că au fost văzute aceste documente, iar modul de săvârșire al contravenției este unul atipic, petentul nu a fost niciodată sancționat, putându-i-se aplica un avertisment. Având în vedere cele prezentate a solicitat anularea, iar în subsidiar schimbarea sancțiunii amenzi în avertisment.
Reprezentantul intimatei, consilier juridic N______ V______, a solicitat respingerea acțiunii ca neîntemeiată. A arătat acesta că reprezentantul legal al biroului notarial a recunoscut și a identificat documentele care au fost primite prin sesizarea adresată la data de 26.07.2013. De asemenea a învederat că la momentul controlului reprezentantul legal al petentului a declarat că nu a adoptat și nu a întocmit nicio procedură de securitate, nu a existat nici un program antivirus instalat precum și faptul că sunt încărcate pe calculatorul biroului notarial și documente aduse de clienți pe dispozitive externe. La întocmirea acelor contracte de confidențialitate s-a avut în vedere pericolul social, dar neglijența de a le urmări a dus la divulgarea unor date cu caracter personal, inclusiv ale unor magistrați. Având în vedere declarația acestuia că documentele puteau fi copiate pe orice suport extern și scoase la imprimantă de către orice persoană cu acces la calculator, că nu a formulat obiecțiuni nici la momentul controlului, dar nici ulterior la momentul primirii procesului verbal de constatarea contravenției precum și solicitarea, chiar și în subsidiar, a schimbării sancțiunii amenzii în avertisment constituie o altă recunoaștere a faptei săvârșite. A depus concluzii scrise în sensul celor solicitate.
Avocat G____ M____ L_______ a reiterat solicitarea de a se încuviința efectuarea în cauză a unei expertize de specialitate informatică.
TRIBUNALUL
Asupra cauzei de față;
Prin cererea înregistrată pe rolul Tribunalului Gorj – Secția C_________ Administrativ și Fiscal la data de 04.10.2013 sub nr. XXXXXXXXXXXX petentul Biroul N____ Public P______ O. O_____ a formulat plângere contravențională împotriva procesului verbal de constatare/sancționare nr. xxxxx încheiat la data de 12.09.2013 de către A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, solicitând anularea acestuia și exonerarea de la plata amenzii contravenționale. În subsidiar a solicitat schimbarea sancțiunii amenzii contravenționale în sancțiunea avertismentului în baza art.5 raportat la art.7 alin.3 din OG 2/2001.
În fapt petentul a arătat că la dat de 12-09-2013 prin procesul verbal nr. xxxxx a fost sancționat contravențional cu amenda în cuantum de 20.000 lei pentru săvârșirea contravenției prevăzute de art. 33 din Legea nr. 677/2001.
Consideră că nu se face vinovat de săvârșirea acestei contravenții deoarece a îndeplinit cerințele minime de siguranță și a luat toate măsurile de siguranță pentru ca nici un document de pe calculatoarele folosite de BNP P______ O_____ să nu poată fi folosit de o persoană neautorizată.
După cum se arată și în procesul verbal de constatare și sancționare contestat, toți angajații acestui birou au semnat contracte de confidențialitate și stabilitate care conțin și obligația de a păstra confidențialitatea datelor cu caracter personal.
A arătat că prin procesul verbal a fost sancționat pentru că nu a îndeplinit obligațiile privind confidențialitatea și aplicare măsurilor de siguranță prevăzute de art. 33 din Legea 677/2001 deoarece nu a adoptat suficiente măsuri de securitate și confidențialitate pentru a proteja datele personale ale clienților, angajaților și colaboratorilor împotriva dezvăluirii și a accesului neautorizat precum și împotriva oricărei alte forme de prelucrare ilegală așa cum prevede art. 19 și art.20 din Legea 677/2001, dar nu se arată în concret care sunt cerințele minime de siguranță, sau ce măsuri trebuia să ia.
Conform art.19, orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu poate să le prelucreze decât pe baza instrucțiunilor operatorului.
Or, în cazul de fața nicio persoană din cadrul biroului nu a prelucrat date cu caracter personal și nu a întreprins nicio acțiune prin care aceste date să fie divulgate.
Conform art. 20, operatorul este obligat să aplice măsurile și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării dezvăluirii sau accesului neautorizat.
În speța de față consideră că a luat toate măsurile de protejare a datelor cu caracter personal.
Totodată, în art.20 alin. 2 se specifică faptul că cerințele minime de siguranță vor fi elaborate de autoritatea de supraveghere și vor fi actualizate periodic, dar până în momentul de față autoritatea de supraveghere nu a elaborat aceste cerințe. Se face vorbire de un Ordin nr.52/2002 al AVP dar lecturând acest ordin nu a putut identifica nicio măsură pe care să nu o fi respectat.
Consideră că nu se face vinovat de săvârșirea contravenției prevăzute de art. 33 din Legea 677/2001 și în consecință solicită o expertiză de specialitate pentru a se putea observa de pe ce IP au fost puse aceste documente pe HUB Romancierilor.ro.
În subsidiar solicită schimbarea sancțiunii amenzii contravenționale în sancțiunea avertismentului în baza art.5, raportat la art.7 alin.3 din OG 2/2001 având în vedere aprecierea proporționalității cu gradul de pericol social al faptei, a împrejurărilor în care a fost săvârșită fapta, a modului și mijloacelor de săvârșire a acesteia, a scopului urmărit de făptuitor, și a urmării produse precum și circumstanțele personale ale contravenientului.
În cazul de față pericolul social este redus neproducându-se vătămări ale drepturilor și intereselor persoanelor care se regăsesc în acele acte. Trebuie avut în vedere faptul că aceste persoane nu au reclamat organelor abilitate, controlul având loc ca urmare a unei sesizări a Ministerului Afacerilor Interne.
În dovedire plângerii a învederat că înțelege să se folosească de proba cu expertiza de specialitate și de proba cu martori aceștia fiind M_________ D____ M______, T________ A____ M______, P______ R_____ I_____, P______ M____ I______ și C_______ E____ G_______.
În susținere a depus: procesul verbal contestat, tabel cu persoanele instruite cu privire la normele de securitate, adresa către ANSPDCP, contract de service nr.544/16-09-2013, analiza și măsuri de securitate a infrastructurii IT din cadrul BNP P______ O_____, anexa nr. l,
Prin rezoluția din data de 14 octombrie 2013 s-a dispus comunicarea către A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a unui exemplar de pe cererea de chemare în judecată și de pe înscrisuri, cu mențiunea de a formula întâmpinare.
La data de 08 noiembrie 2013, prin serviciul registratură arhivă al instanței intimata a depus întâmpinare prin care a solicitat respingerea ca neîntemeiată a plângerii formulate de Biroul Notarului Public P______ O_____, având în vedere următoarele:
A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este autoritate publică cu personalitate juridică, autonomă și independentă de orice altă autoritate a administrației publice, ca și față de orice persoană fizică sau juridică din domeniul privat (conform art. 1 alin. (1) din Legea nr. 102/2005).
Totodată, potrivit aceleiași legi, A__________ de supraveghere, în exercitarea atribuțiilor sale, nu se substituie autorităților publice și nu poate fi supusă niciunui mandat imperativ sau reprezentativ și nici nu poate fi obligată să se supună instrucțiunilor sau dispozițiilor altei autorități (art. 2 din Legea nr. 102/2005).
Obiectivul Autorității de Supraveghere constă în apărarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială și privată, în legătură cu prelucrarea datelor cu caracter personal și cu libera circulație a acestor date (potrivit art. 1 alin. (2) din Legea nr. 102/2005).
În același timp, potrivit art.1 alin.(1) din Legea nr.677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, modificată și completată, aceasta are ca scop garantarea și protejarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială și privată, cu privire la prelucrarea datelor cu caracter personal.
Totodată, această lege se aplică prelucrărilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori străine, de drept public sau privat, indiferent dacă au loc în sectorul public sau privat.
Prin art. 3 lit. b) din Legea nr. 677/2001 s-a stabilit că prelucrarea datelor cu caracter personal constă în orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate (cum este cazul în speță) sau neautomate, constând în colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea.
De asemenea, legiuitorul a stabilit competența Autorității de Supraveghere de a efectua investigații, din oficiu, la primirea unei sesizări sau plângeri care au ca obiect încălcarea drepturilor persoanelor vizate, respectiv a obligațiilor care revin operatorilor și, după caz, persoanelor împuternicite, în cadrul efectuării prelucrărilor de date cu caracter personal, în scopul apărării drepturilor fundamentale ale persoanelor vizate (art. 27 alin. (1) din Legea nr. 677/2001).
A__________ de Supraveghere are dreptul, în cadrul investigațiilor, să solicite orice informații sau documente necesare investigației, să audieze și să ia declarații în legătură cu prelucrarea datelor cu caracter personal și libera circulație a acestor date (art. 13 alin. (1) din Legea nr. 102/2005).
Astfel, în exercitarea atribuțiilor de control, A__________ de Supraveghere a efectuat o investigație pentru verificarea modului de respectare a prevederilor Legii nr. 677/2001, inclusiv sub aspectul celor sesizate prin petiția înregistrată sub nr.xxxxx/26.07.2013, transmisă de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne, referitoare la dezvăluirea pe internet a mai multor categorii de date cu caracter personal.
Investigația s-a efectuat în baza art. 13 din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, coroborat cu art. 27 din Legea nr. 677/2001, modificată și completată.
Că, în urma controlului efectuat s-a constatat că petentul BNP P______ O_____ a săvârșit următoarele contravenții:
„Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate”, contravenție prevăzută de art. 33 din Legea 677/2001, întrucât operatorul Biroul Notarial Public P______ O_____ nu a adoptat până la data efectuării investigației (12.09.2013) măsuri de securitate și confidențialitate pentru a proteja datele personale ale clienților, angajaților și colaboratorilor săi (inclusiv date cu caracter special), împotriva dezvăluirii și a accesului neautorizat, precum și împotriva oricărei alte forme de prelucrare ilegală așa cum prevăd art. 19 și art. 20 din Legea nr. 677/2001, fapt care a determinat dezvăluirea pe internet a HUB-ul public Romancierilor.ro, a datelor cu caracter personal ale clienților, angajaților și colaboratorilor săi.
Fapta contravențională a fost consemnată și descrisă în procesul-verbal xxxxx/12.09.2013 contestat, iar operatorul nu a formulat obiecțiuni nici la momentul controlului dar nici ulterior, după primirea prin poștă a acestuia, deși i s-a adus la cunoștință acest drept stabilit de OG nr. 2/2001. Mai mult, a refuzat primirea procesului-verbal, motiv pentru care acesta i s-a comunicat prin poștă.
Sesizarea adresată Autorității de supraveghere (nr. xxxxx din 26.07.2013) se referea la dezvăluirea pe Internet a mai multor categorii de date cu caracter personal. Aceasta avea atașată Nota nr. xxxxxx din 24.07.2013 (anexa 5) și un suport optic (CD) pe care se află fișiere cu documente care conțin date cu caracter personal. Totodată prin această notă, A__________ de supraveghere a fost informată că în data de 15.07.2013, pe internet, HUB-ul public Romancierilor.ro cu adresa IP; 31.14.141.133 a fost identificat un utilizator cu nickname-ul (WMP) M_____, care dezvăluia documente ce conțin date cu caracter personal.
Că, documentele conținute în fișierele aflate pe CD transmis Autorității de supraveghere de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne, aparțin Biroului Notarului Public P______ O_____. Acestea sunt acte notariale de mai multe categorii; adrese către alte birouri notariale, către autorități publice centrale/locale, contracte, procuri, declarații ale persoanelor fizice, declarații de necolaborare cu serviciile de informații sau de neapartenență la poliția politică a unor magistrați din cadrul Parchetului de pe lângă Judecătoria Motru și Baia de A____, încheieri de autentificare, specimene de semnătură, ajutor social, adeverințe de venit ale angajaților notariatului și adeverințe de practică notarială etc. (anexa 6).
Înscrisurile menționate mai sus conțin mai multe categorii de date cu caracter personal (inclusiv date cu caracter special, cum ar fi cele care au funcție de identificare de aplicabilitate generală – CNP): nume, prenume, adresă, CNP, nr. și ________, numărul de înmatriculare a vehiculului.
A mai învederat că departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne a transmis Autorității de supraveghere și o captură de ecran (anexa 7) de pe pagina HUB-ului public Romancierilor.ro care dovedește existența fișierelor aparținând Biroului Notarului Public P______ O_____ (care conțin date cu caracter personal) la data de 15.07.2013 pe acest HUB.
La momentul controlului, notarul public P______ O_____ a identificat documentele existente pe CD-ul transmis de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne ca aparținând BN P______ O_____ și a afirmat că datele cu caracter personal din aceste documente sunt reale.
De asemenea, notarul public P______ O_____ a recunoscut că aceste documente sunt editate pe calculatoarele angajaților săi, dar nu își explică modalitatea în care acestea au ajuns să fie făcute publice pe Internet (pagina 2 paragraful 2 din procesul verbal).
A mai arătat faptul că echipa de control a verificat pe calculatoarele pe care angajații redactează documentele notariale, stabilindu-se identitatea între documentele aflate pe CD cu cele existente în baza de date a notarului public P______ O_____. De asemenea, echipa de control a solicitat BNP punerea la dispoziție a procedurilor interne privind cerințele minime de securitate a prelucrărilor de date cu caracter personal, potrivit Ordinului nr. 52/2002, pe care ar fi trebuit să le adopte având în vedere modalitatea de lucru în format electronic, cu echipamente IT.
La solicitarea echipei de control notarul public P______ O_____ a declarat “că până la data efectuării prezentei investigații nu a întocmit și adoptat asemenea proceduri” (pagina 2 paragraful 3 teza 2 din actul de control).
Cu toate acestea, reprezentanții Autorității de Supraveghere au constatat că angajații BNP Pasărin O_____ au semnat Contracte de confidențialitate și stabilitate ( anexa 8), care conțin și obligația de a păstra confidențialitatea datelor cu caracter personal pe care le prelucrează în cadrul biroului notarial.
S-a constatat totodată că pentru editarea documentelor notariale, angajații BNP P______ O_____, cât și notarul public folosesc calculatoare personale (PC). Atât la data efectuării investigației, cât și la data de 15.07.2013 (data identificării documentelor pe HUB-ul public) aceste calculatoare erau conectate la Internet prin legătură de tip wireless.
La momentul controlului, notarul public P______ O_____ a declarat că până în luna august 2013 pe calculatoarele utilizate pentru editarea documentelor nu a existat un program antivirus Instalat (pagina 2 paragraful 5 teza 3 din actul de control).
S-a mai declarat de către notarul public că, în luna iulie 2013 au existat probleme privind funcționarea defectuoasă a acestor calculatoare, motiv pentru care a apelat la o persoană fizică în vederea efectuării unei diagnoze și înlăturarea eventualelor probleme (pagina 2 paragraful 6 teza 1 din actul de control).
La solicitarea echipei de control de a se dovedi cele afirmate petentul nu a putut pune la dispoziție niciun înscris (contract, solicitare de diagnoză și/sau reparații, raport de expertiza/reparații IT) care să susțină cele afirmate.
De asemenea, a mai afirmat că, în luna martie 2013 una dintre angajatele sale a încetat raportul de muncă cu BNP și că nu a verificat în niciun mod dacă aceasta a copiat pe vreun suport de stocare documentele la care a avut acces (pagina 2 paragraf 7 teza 2 din actul de control).
Echipa de control a constatat la data efectuării investigației că accesul pe calculatoarele pe care se editează documentele notariale se face fără nicio metodă de autentificare (nu există parolă în acest sens). De asemenea, documentele puteau fi copiate pe orice suport extern și puteau fi scoase la imprimantă de către orice persoană cu acces la calculator.
Inexistența autentificării face ca orice persoană să poată accesa orice date cu caracter personal existente pe orice calculator din cadrul notariatului.
Lipsa autentificării duce la imposibilitatea identificării în log-uri a persoanei care a accesat calculatorul.
Totodată accesul fără autentificare la orice calculator face posibilă copierea oricărui document pe un suport de stocare extern, precum și posibilitatea infectării cu viruși informatici din exterior , proveniți de pe suporturile de stocare utilizate.
Echipa de control a efectuat verificările inclusiv pe calculatorul în care există documentele făcute publice pe HUB-ul Romancierilor.ro și anume cel al secretarei BNP, T________ A____. Petentul a mai afirmat că încarcă pe calculatoarele notariatului și documente aduse de clienți pe dispozitive externe (de tip USB) (pagina 2 paragraful 8 teza ultimă din actul de control).
La momentul controlului, notarul P______ O_____ nu a putut face dovada privind instruirea personalului cu privire la prevederile Legii nr. 677/2001 și la cerințele minime de securitate a prelucrării datelor cu caracter personal (Ordinul nr. 52/2002), precum și la riscurile pe care le comportă prelucrarea datelor cu caracter personal deși i s-a solicitat acest înscris.
Cu toate acestea, s-a constatat faptul că documentele în format fizic sunt arhivate la sediul BNP P______ O_____, într-o cameră care se încuie cu cheie, dar la care au acces atât notarul public cât și angajații săi, fără a exista un registru în care să se specifice persoana care ridică documente din arhivă, ce documente ridică în ce scop, etc.
Prin plângerea formulată împotriva procesului-verbal de constatare/sancționare nr. xxxxx/12.09,2013 de către BNP P______ O_____ se face referire la cerințele minime de securitate pe care susține petentul că le-ar fi îndeplinit însă fără a se dovedi afirmațiile, nici la momentul controlului și nici în cererea de chemare în judecată.
Prin adresa nr. 2819/01.10.2013 înregistrată la ANSPDCP sub nr. xxxxx/09.10.2013, ulterior controlului, BNP P______ O_____ informează A__________ de supraveghere, că “s-au luat toate măsurile necesare și s-a adoptat o politică de securitate privind cerințele minime de securitatea a prelucrării datelor cu caracter personal” (anexa 9). Aceste documente au fost transmise Autorității cu adresa nr. xxxxx/03.10.xxxxx (înregistrată la A__________ de supraveghere sub nr. xxxxx/14.10.2013) de către BNP Pasarin O_____. (anexa 10).
De asemenea, s-a transmis tabelul cu personalul BNP P______ O_____ (cu semnăturile salariaților) privind însușirea, de către acestea, a normelor de securitate a prelucrării datelor personale (anexa 11), precum și contractul de servicii informatice lunare încheiat ulterior controlului. (anexa 12).
Prin urmare, la data controlului, măsura de sancționare a BNP P______ O_____ a fost în mod corect luată pentru contravenția de “neîndeplinire a obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate”.
In mod eronat petentul afirmă în pagina 3 a plângerii că ar fi luat toate măsurile de protejare a datelor, în ciuda faptului că, așa cum a arătat mai sus, abia ulterior controlului și ca urmare a sancționării contravenționale a BNP P______ O_____, acesta a redactat o procedură de securitate a datelor cu caracter personal îndeplinit astfel obligații stabilite de acte normative încă din anul 2002 (Ordinul 52/2002 emis în baza Legii nr. 677/2001, modificată și completată).
Față de afirmația petentului “nu am putut identifica nicio măsură pe care să n-o fi respectat” (pag. 3 paragraf 2 din plângere) se pune întrebarea: dacă au fost aplicate și respectate măsuri de securitate a datelor cu caracter personal atunci cum s-au produs dezvăluirile unui volum așa de mare de date cu caracter personal pe Internet ? – evident numai în situația lipsei măsurilor de securitate (ex. parole, user, program antivirus, copii de siguranță, sistem de audit, protecția calculatoarelor cu acces la Internet, etc.)
În ceea ce privește solicitarea unei expertize în vederea stabilirii de pe ce IP au fost puse documentele cuprinzând date personale pe HUB Romancierilor.ro a arătat că A__________ de supraveghere a dovedit cu înscrisuri și suportul electronic (CD) documente cu date personale identificate de notarul P______ O_____ ca aparținând BNP P______ O_____.
Din verificările efectuate de către Departamentul de Informații și Protecție Internă, pornind de la adresa de IP: 31.14.141.133, așa cum a arătat în cuprinsul întâmpinării, a fost identificat un utilizator cu nickname-ul (WMP)M_____ care dezvăluia documente ce conțin date cu caracter personal aparținând BNP Pasarin O_____. În urma solicitării Autorității de supraveghere adresate către ______________, furnizorul serviciilor de Internet pentru adresa de IP: 31.14.141.133, a fost identificată persoana cu numele N_____ G_______ A___ din Municipiul Motru. A__________ a efectuat o investigație și la această persoană identificată. Acesta a declarat că la adresa sa locuiau numiții U________ A_____ și E_____ C______, care erau utilizatori ai serviciului de Internet furnizat în baza contractului încheiat între N_____ G_______ și ______________.
Față de cele motivate mai sus consideră că sunt suficiente dovezi cu înscrisuri pentru soluționarea cauzei.
În urma verificării de către echipa de control a laptop-ului aparținând numitului U________ A_____ nu au fost identificate documentele postate pe HUB-ul public Romancierilor.ro care aparțineau BNP Pasarin O_____. (anexa 14).
În ceea ce privește invocarea de către BNP P______ O_____ că fapta săvârșită ar prezenta un pericolului social redus a arătat că afirmația este nefondată având în vedere divulgarea, pe internet, a unui volum foarte mare și variat de date personale, de la cele obișnuite și până la date cu caracter special, având funcție de identificare și de aplicabilitate generala (de exemplu CNP-ul). Or, aceasta dată cu caracter personal (CNP) se prelucrează numai în condiții speciale stabilite expres de lege (la consimțământul persoanei vizate, atunci când este prevăzută în mod expres de o dispozițiile legală ori cu autorizația Autorității de Supraveghere, potrivit art. 8 din Legea nr. 677/2001).
Prelucrarea CNP-ului în alte condiții decât cele stabilite expres de art. 8 din Legea nr. 677/2001 constituie o încălcare a legii. Gradul mare de pericol social constă tocmai în dezvăluirea, către un număr nedeterminat de persoane, în mediul on-line, a unui volum mare și variat de date ale unor categorii diferite de persoane, inclusiv procurori și judecători, aspect ce poate aduce grave atingeri dreptului la viață privată a persoanelor fizice în cauză, prin copierea, descărcarea acestor informații și utilizarea lor în alte scopuri, mergând până la săvârșirea de fapte penale.
Pentru aceste motive legiuitorul a stabilit în mod expres modalitatea de prelucrare a datelor având o funcție de identificare de aplicabilitate generala, respectiv a CNP- ului.
În ceea ce privește solicitarea probei cu martori consideră că este nefondată, existând suficiente înscrisuri care să ducă la soluționarea cauzei prezente. Prin proba cu martori trebuie distins între dovedirea faptelor juridice stricto sensu și dovedirea actelor juridice. Prin proba cu martori se pot dovedi viciile de consimțământ, gestiunea de afaceri, plata nedatorata, îmbogățirea fără justă cauză, faptul edificării unei construcții pe terenul altuia, posesia si tulburările ei, vătămarea unei persoane, etc. Mărturia nu este admisibilă pentru dovedirea stărilor de fapt. Nu este admisibilă proba cu martori în privința actelor juridice al căror obiect are o valoare mai mare de cea prevăzută de lege și nici în contra sau peste cuprinsul unui înscris, indiferent de valoarea raportului juridic. Se poate face totuși, dovada cu martori în situația dovedirii unui drept de care pot dispune.
De asemenea, în aplicarea cuantumului amenzii s-a avut în vedere și faptul că BNP P______ O_____ a încheiat contracte de confidențialitate și stabilitate cu salariații, confidențialitate care, însă, nu a urmărit să fie respectată.
În plus, cuantumul amenzii aplicate este mult sub nivelul maxim impus de lege (1.500-50.000 lei) având în vedere dezvăluirea unui volum foarte mare de date personale aparținând inclusiv unor magistrați din cadrul Parchetului de pe lângă Judecătoria Motru și Baia de A____.
Având în vedere că petentul – BNP Pasarin O_____ prin notarul public a identificat documentele existente pe CD-ul transmis de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne ca aparținând Biroului Notarial Pasarin O_____, a declarat că până la data efectuării prezentei investigații nu a întocmit și adoptat asemenea proceduri”, până în luna august 2013 pe calculatoarele utilizate pentru editarea documentelor notariale nu a existat un program antivirus instalat, că încarcă pe calculatoarele notariatului și documente aduse de clienți pe dispozitive externe (de tip USB), la încetarea raportului de muncă al salariatei A__ M____ R_____ cu BNP, petentul nu a verificat, în niciun mod, dacă aceasta a copiat pe vreun suport de stocare documentele la care a avut acces, că ulterior controlului a transmis Autorității de supraveghere politică de securitate a datelor cu caracter personal și cerințele minime de securitate a prelucrării datelor cu caracter personal (prin adresa nr. xxxxx/14.10.2013), tabel de prelucrare Norme de securitate a prelucrării datelor personale, contractul de servicii informatice lunare (prin adresa nr. xxxxx/9.10.2013), că documentele puteau fi copiate pe orice suport extern și scoase la imprimantă de către orice persoană cu acces la calculator, nu a formulat obiecțiuni nici la momentul controlului dar nici ulterior la momentul primirii acestuia, că solicitarea, chiar și în subsidiar a schimbării sancțiuni amenzii în avertisment constituie o altă recunoaștere a faptei săvârșite, consideră că plângerea este neîntemeiată.
Față de cele motivate în fapt și în drept a solicitat respingerea plângerii formulate de BNP P______ O_____ ca netemeinică și pe fond menținerea ca legal si temeinic a procesului-verbal de constatare/sancționare nr. xxxxx/12.09.2013 emis de autoritatea de supraveghere.
În drept a invocat prevederile art. 205 c.pr.civ., art. 1 alin. (1) si (2), art. 22 alin. (1), art. 27, art. 31, art. 32, art. 35 din Legea nr. 677/2001, art. 1 alin. (1), art. 13 din Legea nr. 102/2005, OG nr. 2/2001 privind regimul juridic al contravențiilor.
În susținere a depus înscrisuri: procesul-verbal de constatare/sancționare contravenționala nr.xxxxx/12.09.2013 (anexa 1); înștiințarea de plata nr. xxxxx/10.09.2013 (anexa 2); împuternicirea nr.xxxxx/02.09.2013 (anexa 3); adresa înștiințare investigație xxxxx/05.09.2013 (anexa 4); Nota nr. xxxxxx din 24.07.2013 (anexa 5); extras documente conținute de CD-ul aparținând Biroului Notarului Public Pasarin O_____. Documentele (anexa 6); captura de ecran de pe pagina HUB-ului public Romancierilor.ro care dovedește existența fișierelor aparținând Biroului Notarului Public P______ O_____ (care conține date cu caracter personal) la data de 15.07.2013 pe acest HUB (anexa 7); contracte de confidențialitate și stabilitate (anexa 8); adresa nr.2819/01.10.2013 înregistrată la ANSPDCP sub nr. xxxxx/09.10.2013 (anexa 9); adresa nr. xxxxx/03.10.xxxxx înregistrată la A__________ de supraveghere sub nr. xxxxx/14.10.2013 de către BNP Pasarin O_____ (anexa 10); tabelul cu personalul BNP P______ O_____ cu semnăturile salariaților privind însușire de către aceștia a normelor de securitate a prelucrării datelor personale (anexa 11); contractul de servicii informatice lunare încheiat ulterior controlului (anexa12); proces-verbal de constatare/sancționare nr. xxxxx/12.09.2013 (anexa 13).
În ședința publică din 11 decembrie 2013, Biroul Notarului Public Pasarin O_____, prin apărător, a depus o completare/precizare la plângerea contravențională formulată, în sensul că înțelege să invoce nulitatea relativă a procesului verbal contestat, deoarece prin acesta nu i s-a adus la cunoștință cât are dreptul să achite în 48 de ore jumătate din minimul amenzii.
A arătat că în conformitate cu art. 35 din Legea nr. 677/2001, alin. 2 dispozițiile prezentei legi referitoare la contravenții se completează cu prevederile OG nr. 2/2001, în măsura în care legea nu dispune altfel.
Conform OG 2/2001, orice persoană are dreptul de a achita jumătate din minimul amenzii în termen de 48 de ore de la comunicarea procesului verbal, iar Legea nr. 677/2011 nu dispune altfel, în sensul că nu interzice achitarea a jumătate din minimul amenzii.
Consideră că prin faptul că nu s-a trecut jumătate din minimul amenzii pe care acesta îl poate achita, i s-a produs o vătămare.
În ședința publică din data de 11 decembrie 2013 intimata a depus concluzii scrise prin care a solicitat respingerea plângerii formulate de petent ca neîntemeiată având în vedere că acesta a identificat documentele existente pe CD-ul transmis de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne ca aparținând Biroului Notarial P______ O_____; a declarat că până la data efectuării investigației nu a întocmit și adoptat asemenea proceduri”, privind cerințele minime de securitate; a recunoscut că până în luna august 2013 pe calculatoarele utilizate pentru editarea documentelor notariale nu a existat un program antivirus instalat; a afirmat că încarcă pe calculatoarele notariatului și documente aduse de clienți pe dispozitive externe (de tip USB); că, la încetarea raportului de muncă al salariatei A__ M____ Raduță cu BNP, nu a verificat, în niciun mod, dacă aceasta a copiat pe vreun suport de stocare documentele la care a avut acces; ulterior controlului a transmis Autorității de supraveghere politică de securitate a datelor cu caracter personal și cerințele minime de securitate a prelucrării datelor cu caracter personal” (prin adresa nr. xxxxx/14.10.2013), tabel prelucrare Norme de securitate a prelucrării datelor personale, contractul de servicii informatice lunare (prin adresa nr. xxxxx/9.10.2013); a mai declarat că documentele puteau fi copiate pe orice suport extern și scoase la imprimantă de către orice persoană cu acces la calculator; nu a formulat obiecțiuni nici la momentul controlului și nici ulterior la momentul primirii acestuia; solicitarea, chiar și în subsidiar, a schimbării sancțiuni amenzii în avertisment constituie o altă recunoaștere a faptei săvârșite.
A mai arătat că, la data de 15.07.2013 captura de ecran de pe pagina HUB-ului public Romancierilor.ro dovedește existența fișierelor aparținând Biroului Notarului Public Pasarin O_____ (care conțin date cu caracter personal inclusiv date speciale cum este CNP-ul); accesul fără autentificare la orice calculator face posibilă copierea oricărui document pe un suport de stocare extern; nu a putut face dovada privind instruirea personalului cu privire la prevederile Legii nr. 677/2001 și la cerințele minime de securitate a prelucrării datelor cu caracter personal (Ordinul nr. 52/2002), precum și la riscurile pe care le comporta prelucrarea datelor cu caracter personal, deși i s-a solicitat acest înscris; a divulgat , pe internet, un volum foarte mare și variat de date personale, de la cele obișnuite și până la date cu caracter special, având funcție de identificare și de aplicabilitate generală (de ex. CNP- ul). CNP- ul fiind o data personală cu caracter general de identificare se prelucrează numai în condiții speciale stabilite expres de lege, respectiv cu consimțământul persoanei vizate, atunci când este prevăzută în mod expres de o dispozițiile legala ori când s-a obținut autorizația Autorități de Supraveghere în acest sens, (potrivit art. 8 din Legea nr. 677/2001).
Față de cele motivate în fapt și în drept solicită respingerea plângerii formulate de BNP P______ O_____ ca netemeinică și pe fond menținerea ca legal si temeinic a procesului verbal de constatare/sancționare nr. xxxxx/12.09.2013 emis de autoritatea de supraveghere.
Analizând actele dosarului, precum și probatoriul administrat în procedura de regularizare a cererii, instanța reține că plângerea a fost depusă de către contestator la data de 04.10.2013, în termenul legal prevăzut de art. 25 și 31 din O.G. nr. 2/2001 privind regimul juridic al contravențiilor, modificată, așa cum reiese din rezoluția judecătorului de serviciu (fila 3).
Din conținutul procesului-verbal nr.xxxxx/12.09.2013 se reține că intimata A__________ de Supraveghere a efectuat o investigație pentru verificarea modului de respectare a prevederilor Legii nr. 677/2001, inclusiv sub aspectul celor sesizate prin petiția înregistrată sub nr.xxxxx/26.07.2013 transmisă de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne, referitoare la dezvăluirea pe internet a mai multor categorii de date cu caracter personal. Investigația s-a efectuat în baza art. 13 din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, coroborat cu art. 27 din Legea nr. 677/2001.
În urma controlului efectuat s-a reținut în sarcina petentului: „Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate”, contravenție prevăzută de art. 33 din Legea nr.677/2001, întrucât operatorul Biroul Notarial Public P______ O_____ nu a adoptat până la data efectuării investigației,12.09.2013, măsuri de securitate și confidențialitate pentru a proteja datele personale ale clienților, angajaților și colaboratorilor săi, inclusiv date cu caracter special, împotriva dezvăluirii și a accesului neautorizat precum și împotriva oricărei alte forme de prelucrare ilegală așa cum prevăd art. 19 și art. 20 din Legea nr. 677/2001, fapt care a permis dezvăluirea pe internet a HUB-ul public Romancierilor.ro a datelor cu caracter personal ale clienților, angajaților și colaboratorilor săi. Petentul a fost sancționat contravențional cu amenda în cuantum de 20.000 lei pentru săvârșirea contravenției prevăzute de art. 33 din Legea nr. 677/2001.
Petentul nu a formulat obiecțiuni nici la momentul controlului și nici ulterior, la comunicarea prin poștă a acestuia, deși i s-a adus la cunoștință acest drept.
În fapt, s-a constatat că sesizarea adresată Autorității de supraveghere nr. xxxxx din 26.07.2013 se referă la dezvăluirea pe Internet a mai multor categorii de date cu caracter personal. Aceasta avea atașată Nota nr. xxxxxx din 24.07.2013 și un CD pe care se află fișiere cu documente care conțin date cu caracter personal. Prin această notă, A__________ de supraveghere a fost informată că în data de 15.07.2013 pe internet, HUB-ul public Romancierilor.ro cu adresa IP; 31.14.141.133 a fost identificat un utilizator cu nickname-ul (WMP) M_____, care dezvăluia documente ce conțin date cu caracter personal.
Pentru lămurirea tuturor aspectelor de fapt și de drept necesare aflării adevărului și justei soluționări a cauzei, respectând dreptul la un proces echitabil consacrat prin art. 6 paragraful 1 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, instanța apreciază că prin înscrisurile depuse o dată cu plângerea și întâmpinarea formulată au fost administrate toate probele admise de lege, a căror pertinență, concludență și utilitate au fost verificate, cu respectarea principiilor egalității părților, oralității și contradictorialității, instituite ca garanții implicite ale desfășurării procesului în condiții de echitate.
Așa fiind, instanța a apreciat că proba testimonială și cu expertiză de specialitate solicitate de petent în dovedirea plângerii nu sunt concludente, având în vedere ceea se urmărește prin administrarea acestor probe.
Astfel, proba cu expertiza de specialitatea informatică a fost solicitată pentru a dovedi că de pe calculatoarele Biroului Notarial P______ O_____ nu a plecat nici o informație cu privire la date cu caracter personal și pentru a se stabili de pe ce IT au fost postate documentele pe HUB-ul public Romancierilor.ro, iar proba testimonială pentru a se dovedi că nici o persoană nu a plecat din BNP și nu a dat spre utilizare date cu caracter personal și că au fost respectate toate normele de conduită, urmărind a se înlătura susținerile din procesul verbal de constatare a contravenției potrivit cărora orice persoană care intra în spațiul BNP ar fi putut accesa datele cu caracter personal.
Or, petentul a fost sancționat contravențional în temeiul dispozițiilor art. 33 din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, care prevăd că „ Neîndeplinirea obligațiilor privind aplicarea măsurilor de securitate și de păstrare a confidențialității prelucrărilor, prevăzute la art. 19 și 20, constituie contravenție, dacă nu este săvârșită în astfel de condiții încât să constituie infracțiune și se sancționează cu amendă de la 15.000.000 lei la xxxxxxxxxxx lei.”
În această situație, apare ca lipsit de interes IT – ul de pe care s-a făcut postarea pe HUB-ul public Romancierilor.ro, împrejurarea că nici un angajat nu a furnizat aceste informații, că persoane străine de biroul notarial ar fi putut avea acces la PC aflate în sediul acestuia ori că au fost respectate normele de conduită, atât timp cât este indubitabil că datele cu caracter personal publicate pe internet provin din datele stocate pe PC – uri aparținând BNP care până la data controlului nu erau protejate, nu aveau user și parolă, așa cum a și recunoscut petentul în mod constant. De asemenea nu se poate dovedi cu proba testimonială
Cu această motivație au fost respinse probele solicitate prin plângere.
În ceea ce privește solicitarea făcută la primul termen de judecată, de a se dispune obligarea intimatei să facă dovada în ce zi și în ce lună au fost puse acele documente pe HUB-ul public Romancierilor.ro, urmând ca, în funcție de comunicare să se facă dovada că nu putea pune acele date cu caracter personal pe HUB-ul public Romancierilor.ro, și ca A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal să comunice dacă a comunicat Biroului N____ Public P______ O_____, când acesta și-a înființat activitatea normele prevăzute de Ordinul nr.52/2002 și dacă normele au fost actualizate în fiecare an, instanța reține că nici aceste probe nu sunt concludente și utile soluționării cauzei.
Astfel, data postării pe internet a datelor cu caracter personal stocate în PC-uri deținute de petent reiese din înscrisurile comunicate de intimată împreună cu întâmpinarea, iar Ordinul Avocatului Poporului nr. 52/2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal a fost publicat în Monitorul Oficial nr. 383 din 05 iunie 2002.
Acest ordin a fost dat în aplicarea prevederilor art. 20 alin. (2) din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, conform cărora cerințele minime de securitate a prelucrărilor de date cu caracter personal vor fi elaborate de autoritatea de supraveghere și vor fi actualizate periodic, corespunzător progresului tehnic și experienței acumulate, având în vedere Nota privind cerințele minime de securitate a prelucrărilor de date cu caracter personal, înregistrată sub nr. 4.327 din 18 aprilie 2002, a adjunctului Avocatului Poporului, având în vedere exigența elaborării cerințelor minime de securitate a prelucrărilor de date cu caracter personal, care stau la baza adoptării de către operatorii de date cu caracter personal a măsurilor tehnice și organizatorice adecvate, prin care se garantează un nivel corespunzător și legal de securitate a prelucrării de date cu caracter personal, precum și a publicării cerințelor respective în Monitorul Oficial al României, Partea I, în scopul ca acestea să poată fi cunoscute în mod corespunzător de către operatorii menționați.
Așadar, petentul nu poate invoca în apărarea sa necunoașterea legii.
Sub aspectul condițiilor de formă, instanța constată că procesul-verbal a fost întocmit cu respectarea cerințelor de legalitate prevăzute de art. 35 din Legea nr. 677/2001 raportate la art. 16 și art. 17 din O.G. nr. 2/2001, sub sancțiunea nulității absolute.
Instanța va analiza cu precădere excepția invocată de către petent la primul termen de judecată.
Excepția nulității procesului verbal contestat ca urmare a încălcării dreptului la apărare al petentului prin omisiunea de a se aduce la cunoștința contravenientului a dreptului de a achita jumătate din minimul amenzii în termen de 48 de ore nu este întemeiată și nu va fi reținută.
Potrivit dispozițiilor art. 28 alin.(1) din O.G. nr. 2/2001 privind regimul juridic al contravențiilor, „Contravenientul poate achita, pe loc sau în termen de cel mult 48 de ore de la data încheierii procesului-verbal ori, după caz, de la data comunicării acestuia, jumătate din minimul amenzii prevăzute în actul normativ, agentul constatator făcând mențiune despre această posibilitate în procesul-verbal. În actul normativ de stabilire a contravențiilor această posibilitate trebuie menționată în mod expres..”.
Or, din analiza dispozițiilor Legii nr. 677/2001 rezultă că acest act normativ nu prevede posibilitatea de a achita, pe loc sau în termen de cel mult 48 de ore de la data încheierii procesului-verbal ori, după caz, de la data comunicării acestuia, jumătate din minimul amenzii.
Așa fiind, excepția invocată de către petent urmează a fi respinsă.
Forța probantă a proceselor-verbale este lăsată la latitudinea fiecărui sistem de drept, care este liber să reglementeze importanța fiecărui mijloc de probă, însă instanța are obligația de a respecta caracterul echitabil al procedurii în ansamblu atunci când administrează și apreciază probatoriul (cauza Bosoni v. Franța, hotărârea din 7 septembrie 1999).
Interpretând dispozițiile art. 31-36 din O.G. nr. 2/2001, reiese faptul că persoana sancționată are dreptul la un proces echitabil în cadrul căruia să utilizeze orice mijloc de probă și să invoce orice argumente pentru dovedirea împrejurării că situația de fapt din procesul verbal nu corespunde modului de desfășurare al evenimentelor, iar sarcina instanței de judecată este de a respecta limita proporționalității între scopul urmărit de autoritățile statului de a nu rămâne nesancționate acțiunile antisociale prin impunerea unor condiții imposibil de îndeplinit și respectarea dreptului la apărare al persoanei sancționate contravențional (cauza A_____ v. România).
Textul articolului 34 alineatul 1 din Ordonanța Guvernului nr. 2/2001 permite o interpretare în concordanță cu exigențele unui proces echitabil, de vreme ce prevede că instanța de judecată verifică legalitatea și temeinicia procesul-verbal de contravenție.
Astfel, pe fondul cauzei, instanța reține că în data de 15.07.2013, pe internet, HUB-ul public Romancierilor.ro cu adresa IP; 31.14.141.133 a fost identificat un utilizator cu nickname-ul (WMP) M_____, care dezvăluia documente ce conțin date cu caracter personal.
Că, documentele conținute în fișierele aflate pe CD transmis Autorității de supraveghere de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne, aparțin Biroului Notarului Public P______ O_____. Acestea sunt diferite acte notariale, adrese către alte birouri notariale, către autorități publice centrale/locale, contracte, procuri, declarații ale persoanelor fizice, declarații de necolaborare cu serviciile de informații sau de neapartenență la poliția politică a unor magistrați din cadrul Parchetului de pe lângă Judecătoria Motru și Judecătoria Baia de A____, încheieri de autentificare, specimene de semnătură, ajutor social, adeverințe de venit ale angajaților notariatului și adeverințe de practică notarială etc.
Înscrisurile menționate conțin mai multe categorii de date cu caracter personal, inclusiv date cu caracter special, cum ar fi cele care au funcție de identificare de aplicabilitate generală, CNP, nume, prenume, adresă, număr și ________, număr de înmatriculare a vehiculului etc.
Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne a transmis Autorității de supraveghere și o captură de ecran (fila 43) de pe pagina HUB-ului public Romancierilor.ro care dovedește existența fișierelor aparținând Biroului Notarului Public P______ O_____ la data de 15.07.2013 pe acest HUB.
La momentul controlului notarul public P______ O_____ a identificat documentele existente pe CD-ul transmis de către Departamentul de Informații și Protecție Internă din cadrul Ministerului Afacerilor Interne ca aparținând BNP P______ O_____ și a afirmat că datele cu caracter personal din aceste documente sunt reale. De asemenea a recunoscut că aceste documente sunt editate pe calculatoarele angajaților săi.
Intimata prin echipa de control a verificat calculatoarele pe care angajații redactează documentele notariale, stabilindu-se identitatea dintre documentele aflate pe CD cu cele existente în baza de date a petentului.
De asemenea, echipa de control a solicitat BNP punerea la dispoziție a procedurilor interne privind cerințele minime de securitate a prelucrărilor de date cu caracter personal, potrivit Ordinului nr. 52/2002, pe care ar fi trebuit să le adopte având în vedere modalitatea de lucru în format electronic cu echipamente IT. Petentul a declarat că nu a întocmit și adoptat asemenea proceduri (pagina 2 paragraful 3 teza 2 din actul de control).
Reprezentanții intimatei au constatat că angajații BNP Pasărin O_____ au semnat contracte de confidențialitate și stabilitate (fila 45) care conțin și obligația de a păstra confidențialitatea datelor cu caracter personal pe care le prelucrează în cadrul biroului notarial.
S-a constatat totodată că pentru editarea documentelor notariale atât angajații BNP P______ O_____ cât și notarul public folosesc calculatoare personale. Atât la data efectuării investigației, cât și la data de 15.07.2013, data identificării documentelor pe HUB-ul public aceste calculatoare erau conectate la Internet prin legătură de tip wireless.
La momentul controlului, notarul public P______ O_____ a declarat că până în luna august 2013 pe calculatoarele utilizate pentru editarea documentelor nu a existat un program antivirus instalat (pagina 2 paragraful 5 teza 3 din actul de control). Că în luna iulie 2013 au existat probleme privind funcționarea defectuoasă a acestor calculatoare, motiv pentru care a apelat la o persoană fizică în vederea efectuării unei diagnoze și înlăturarea eventualelor probleme (pagina 2 paragraful 6 teza 1 din actul de control).De asemenea, a mai afirmat că în luna martie 2013 una dintre angajatele sale a încetat raportul de muncă cu BNP și că nu a verificat în niciun mod dacă aceasta a copiat pe vreun suport de stocare documentele la care a avut acces (pagina 2 paragraf 7 teza 2 din actul de control).
Așadar, intimata a constatat la data efectuării investigației că accesul pe calculatoarele pe care se editează documentele notariale se face fără nicio metodă de autentificare, că nu există parolă, astfel că inexistența autentificării face ca orice persoană să poată accesa orice date cu caracter personal existente pe orice calculator din cadrul notariatului și poate duce la imposibilitatea identificării în log-uri a persoanei care a accesat calculatorul.
Totodată accesul fără autentificare la orice calculator face posibilă copierea oricărui document pe un suport de stocare extern, precum și posibilitatea infectării cu viruși informatici din exterior proveniți de pe suporturile de stocare utilizate. Verificările au fost efectuate inclusiv pe calculatorul în care există documentele făcute publice pe HUB-ul Romancierilor.ro, cel al secretarului BNP.
S-a mai reținut din afirmațiile petentului că se încarcă pe calculatoarele notariatului și documente aduse de clienți pe dispozitive externe de tip USB (pagina 2 paragraful 8 teza ultimă din actul de control).
La momentul controlului, petentul nu a putut face dovada privind instruirea personalului cu privire la prevederile Legii nr. 677/2001 și la cerințele minime de securitate a prelucrării datelor cu caracter personal (Ordinul nr. 52/2002), precum și la riscurile pe care le comportă prelucrarea datelor cu caracter personal deși i s-a solicitat acest înscris.
S-a constatat faptul că documentele în format fizic sunt arhivate la sediul BNP P______ O_____ într-o cameră care se încuie cu cheie, dar la care au acces atât notarul public cât și angajații săi, fără a exista un registru în care să se specifice persoana care ridică documente din arhivă, ce documente ridică în ce scop, etc.
Prin plângerea formulată împotriva procesului-verbal de constatare/sancționare nr. xxxxx/12.09.2013 de către BNP P______ O_____ se face referire la cerințele minime de securitate pe care susține petentul că le-ar fi îndeplinit, fără a se dovedi aceste susțineri, care nu pot fi dovedite prin proba testimonială, trebuind a fi materializate în forma unor înscrisuri, astfel încât aceste afirmații nu vor fi reținute.
Așadar, instanța urmează a reține existența contravenției prevăzută de dispozițiile art. 20 alin. (1) din Legea nr. 677/2001 și vinovăția petentului, care sunt pe deplin dovedite prin înscrisurile depuse de părți, din care rezultă lipsa la data controlului a măsurilor tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva dezvăluirii sau accesului neautorizat, precum și împotriva oricărei alte forme de prelucrare ilegală. Însăși petentul a recunoscut necondiționat starea de fapt reținută de echipa de control și a luat toate măsurile necesare înlăturării deficiențelor constatate, așa cum rezultă din probatoriul administrat.
Reținând astfel, instanța apreciază că situația de fapt reținută de agentul constatator concordă cu realitatea, urmând a menține răspunderea contravențională a petentului.
Cu privire la individualizarea sancțiunii contravenționale, instanța nu poate aprecia că fapta reținută în sarcina petentului ar fi de un pericol social redus, care să permită aplicarea dispozițiilor art. 4 alin. 5 din O.G. nr. 2/2001 privind regimul juridic al contravențiilor, în sensul că sancțiunea stabilită nu ar fi proporțională cu gradul de pericol social al faptei săvârșite, proporționalitatea între fapta comisă și consecințele comiterii ei fiind una dintre cerințele impuse prin jurisprudența Curții Europene a Drepturilor Omului în materia aplicării oricăror măsuri restrictive de drepturi, în cauze precum Handyside împotriva Marii Britanii și Muller împotriva Elveției. Divulgarea pe internet a unui volum mare și variat de date personale, de la cele obișnuite și până la date cu caracter special, având funcție de identificare și de aplicabilitate generală, CNP-ul, se prelucrează numai în condiții speciale stabilite expres de lege, potrivit art. 8 din Legea nr. 677/2001).
Potrivit dispozițiilor art. 33 din Legea nr. 677/2001 fapta reținută în sarcina petentului se sancționează cu amendă cuprinsă între 1.500 și 50.000 lei.
Având în vedere prevederile art. 21 alin. 3 din O.G. nr. 2/2001, în conformitate cu care sancțiunea se aplică în limitele prevăzute de actul normativ și trebuie să fie proporțională cu gradul de pericol social al faptei săvârșite, ținându-se seama de împrejurările în care a fost săvârșită fapta, de modul și mijlocele de săvârșire a acesteia, de scopul urmărit, de urmarea produsă, precum și de circumstanțele personale ale contravenientului, instanța constată că plângerea este în parte întemeiată, sancțiunea amenzii contravenționale în cuantumul stabilit de agentul constatator nefiind proporțională cu gradul de pericol social al faptei.
Astfel, prin adresa nr. 2819/01.10.2013 înregistrată la ANSPDCP sub nr. xxxxx/09.10.2013, BNP P______ O_____ a informat A__________ de supraveghere că au fost luate toate măsurile necesare și s-a adoptat o politică de securitate privind cerințele minime de securitatea a prelucrării datelor cu caracter personal (fila nr.46).
De asemenea, s-a transmis tabelul cu semnăturile personalului BNP privind însușirea normelor de securitate a prelucrării datelor personale precum și contractul de servicii informatice lunare încheiat ulterior controlului. Aceste documente au fost transmise intimatei cu adresa nr. xxxxx/03.10.xxxxx, înregistrată la A__________ de supraveghere sub nr. xxxxx/14.10.2013 (filele 47-56).
Prin urmare, instanța, care nu a pornit de la ideea preconcepută că persoana sancționată contravențional este vinovată, va modifica procesul verbal de contravenție, ca urmare a rezultatului verificărilor pe care le-a făcut, va admite în parte plângerea și va proceda la modificarea procesul-verbal de constatarea contravenției nr. xxxxx încheiat la data de 12.09.2013 de către intimata A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în sensul micșorării cuantumului amenzii contravenționale de la suma de 20.000 lei la suma de 5.000 lei. Vor menținute restul dispozițiilor procesului verbal.
PENTRU ACESTE MOTIVE,
ÎN NUMELE LEGII
HOTĂRĂȘTE
Respinge excepția nulității.
Admite în parte plângerea formulată de petentul B____ N____ Public P______ O. O_____, C__ RO19824224, cu sediul în municipiul Motru, __________________, ___________, județul Gorj în contradictoriu cu intimata A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, Cod fiscal xxxxxxxx, cu sediul în București, __________________ M______, nr. 28-30, sector 1.
Modifică procesul-verbal de constatarea contravenției nr. xxxxx încheiat la data de 12.09.2013 de către intimata A__________ Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal în sensul că micșorează cuantumul amenzii contravenționale de la suma de 20.000 lei la suma de 5.000 lei.
Menține restul dispozițiilor procesului-verbal contestat.
Cu drept de apel în termen de 30 zile de la comunicare.
Pronunțată în ședința publică din 11 decembrie 2013.
| Președinte,
L_______ M_____ |
||
| Grefier,
E________ A____ B____ |
Red. L.M./ tehn. E.B.
4 ex./13 ianuarie 2014
Acest document este preluat și procesat de o aplicație realizată gratuit de Wolters Kluwer Romania pentru Fundatia RoLII.
Conținutul său poate fi preluat și utilizat cu citarea sursei: www.rolii.ro
