Totodata, au fost solutionate
5 litigii in favoarea Autoritatii Nationale de Supraveghere, prin mentinerea proceselor-verbale de constatare/sanctionare in sensul retinerii caracterului contraventional al faptelor, cu diminuarea cuantumului amenzii sau inlocuirea acesteia cu avertisment, in ceea ce priveste operatorii: SC Entirely Shipping & Trading SRL (diminuare), World Trade Center Bucharest SA, Legal Company & Tax Hub SRL, Raiffeisen Bank (diminuare), Asociatia Asistentei Rutiere A-Car Vaslui.
Au fost admise
5 plangeri contraventionale formulate de urmatorii operatori: ING Bank N.V. AMSTERDAM, CN Tarom, Tip Top Food Industry SRL, Artmark Holding, Viva Credit IFN SA.
In acest context, mentionam ca au fost contestate in instanta si decizii emise de institutia noastra prin care s-a dispus incetarea prelucrarii si stergerea datelor personale, dintre care evidentiem litigiile cu UAT Cluj (Politia Locala) si UAT Constanta (Politia Locala), care au avut ca obiect utilizarea ilegala a supravegherii portabile audio-video de catre politistii locali (body camera).
In urma investigatiilor efectuate, s-a constatat ca operatorii mentionati mai sus au incalcat prevederile art. 5 alin. (1) lit. a) raportat la art. 6 alin. (1) din Regulamentul (UE) 2016/679, deoarece personalul Politiei Locale, aflat in exercitarea misiunilor si activitatilor specifice, a prelucrat date cu caracter personal prin utilizarea sistemului audio-video portabil de tip ”Body-Worn Camera” (imagine si voce), fara sa existe o obligatie legala a operatorului si fara indeplinirea vreunei alte conditii prevazute la art. 6 alin. (1) din RGPD.
Ca atare, a fost aplicata sanctiunea avertismentului, insotita de o Decizie prin care s-a dispus ca operatorii respectivi sa inceteze orice operatiune sau set de operatiuni de prelucrare de date cu caracter personal efectuate prin intermediul sistemelor audio-video de tip ”Body –Worn Camera” si sa stearga sistemul de evidenta a datelor cu caracter personal constituit ca urmare a utilizarii unor astfel de sisteme.
Evidentiem ca, prin hotarari definitive din 2022 si 2023, instantele de judecata au mentinut deciziile Autoritatii prin care se dispusese incetarea prelucrarii si stergerea imaginilor colectate de politia locala, in urma controalelor prin care se constatase lipsa de legalitate a respectivelor prelucrari de date.
Pentru a veni in sprijinul operatorilor preocupati de aplicarea corecta a regulilor de protectie a datelor, prezentam, in continuare, spre exemplificare, cateva extrase din cauze relevante in care instantele de judecata au retinut legalitatea si temeinicia proceselor-verbale intocmite de ANSPDCP, confirmand abordarea institutiei noastre.
Afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea din Ghidurile GDPR de AICI ...click pentru detalii si comenzi<<
♦
In ceea ce priveste sanctiunea amenzii in cuantum total de 3.000 euro, prin decizie definitiva, Curtea de Apel Bucuresti a confirmat sanctiunea dispusa de ANSPDCP operatorului Dante International.
Astfel, instanta de apel a retinut faptul ca:
”In cauza, sanctiunea aplicata de autoritate corespunde pe deplin acestor cerinte de proportionalitate in conditiile in care, astfel cum s-a retinut deja, fapta a fost savarsita in conditiile in care persoana care a formulat sesizarea solicitase in mod expres ca apelantul-reclamant sa nu-i mai transmita mesaje cu caracter comercial.
Totodata, din cuprinsul cererii de chemare in judecata si a cererii de apel nu reiese ca apelantul-reclamant a inteles faptul ca a realizat o prelucrare nelegala, argumentele sale fiind centrate pe faptul ca a actionat pe deplin in conformitate cu dispozitiile legale, prin incercarea de a masca sub aparenta unui mesaj tranzactional a unui mesaj de marketing direct. De asemenea, Curtea constata ca apelantul-reclamant a mai fost sanctionat pentru incalcari ale prevederilor legale referitoare la prelucrarea datelor cu caracter personal (...).
Pe de alta parte, cuantumul amenzii stabilite de apelantul-parat prin procesul verbal de contraventie (echivalentul a 3000 euro) este orientat spre minimul special stabilit de lege si are o valoare cu mult mai mica decat sanctiuni aplicate altor operatori economici pentru fapte similare.”
♦
Curtea de Apel Craiova a mentinut, la fel ca si instanta de fond, sanctiunea amenzii in cuantum de 2000 euro, dispusa fata de operatorul Nobiotic Pharma SRL, care nu a furnizat informatiile solicitate de ANSPDCP in cadrul investigatiei, ceea ce a constituit o incalcare a prevederilor art. 85 alin. (5) lit. e) coroborate cu art. 58 alin. (1) din Regulamentul (UE) nr. 679/2016.
Astfel, s-a retinut ca „petenta nu a comunicat informatiile solicitate de intimata (ANSPDCP), cu toate ca acesteia i-au fost adresate trei notificari in acest sens, motiv pentru care instanta considera ca in mod legal a fost constatata de catre intimata contraventia prevazuta de art. 58 din Regulamentul (UE) nr. 679/2016.”
Referitor la individualizarea sanctiunii aplicate, „instanta constata ca sanctiunea amenzii in cuantum de 9890 lei, echivalentul a 2000 euro, este proportionala cu gradul de pericol social al faptei savarsite privind protectia datelor personale si cu dispozitiile art. 85 alin. (5) lit. e) din Regulamentul (UE) nr. 679/2016.”
Referitor la termenul de prescriptie al aplicarii amenzii, Curtea de Apel Craiova a constatat ca: „dispozitiile OG nr. 2/2001 sunt, in materie contraventionala, norme cu caracter general, gasindu-si aplicabilitatea ori de cate ori, o norma speciala nu este incidenta. In cauza dedusa judecatii, cum corect a retinut instanta de fond, sub aspectul prescriptiei aplicarii amenzii contraventionale incidente sunt prevederile art. 15 alin.4 din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, norma cu caracter special si care se aplica cu prioritate fata de principiul specialia generalibus derogant (specialul deroga de la general). Asadar, ori de cate ori exista prevederi derogatorii prevazute in legi special, incidente in cauza, acestea din urma au intaietate.
Or, in speta dedusa judecatii tocmai o astfel de norma special, Legea nr. 102/2005 derogatorie de la norma de drept comun, OG nr. 2/2001, este incidenta.
Ca atare, aplicabile, sub aspectul prescriptiei aplicarii amenzii contraventionale sunt prevederile art. 15 alin. 4 din Legea nr. 102/2005, potrivit carora, sanctiunile prevazute la alin. 1 pot fi aplicate in termen de 3 ani de la data savarsirii faptei. ”
♦ Curtea de Apel Targu-Mures a mentinut, in mod definitiv, sanctiunea amenzii in cuantum de 3000 euro si avertismentul aplicat de ANSPDCP operatorului Actamedica SRL, pentru incalcarea dispozitiilor art. 12 alin. (3), art. 15 alin. (1), art. 28 alin. (1), art. 32, si art. 33 din Regulamentului (UE) 2016/679, ca urmare a unei plangeri referitoare la pierderea unor probe biologice si a unei sume de bani trimise prin intermediul unei firme de curierat.
Instanta de apel a confirmat solutia instantei de fond, retinand, printre altele, ca:
”Sustinerile (Actamedica) referitoare la lipsa sa de raspundere nu pot fi primite, dispozitiile cuprinse in contractele incheiate cu alte parti nefiind opozabile persoanelor care s-au adresat exclusiv apelantei-parate (Actamedica), incredintandu-i acesteia probele biologice. in acelasi sens a aratat si intimata-parata ca, in calitatea sa de operator de date cu caracter personal, apelanta-parata trebuia impreuna cu persoana imputernicita sa puna in aplicare masuri tehnice si organizatorice adecvate pentru ca drepturile si libertatile persoanelor fizice sa nu fie puse in pericol, cu atat mai mult cu cat transportul cuprindea date sensibile, respectiv sa se asigure ca persoana imputernicita ofera garantii suficiente pentru punerea in aplicare a masurilor tehnice si organizatorice, in acest sens fiind dispozitiile art. 28 alin. 1 si art. 32 din RGPD. (...)
Mai mult, dupa cum arata intimata-parata, apelanta S.C. Actamedica S.R.L, se afla in culpa, intrucat, in situatia in care ar fi consultat site-ul Fan Courier www.fancourier.ro in privinta conditiilor generale privind furnizarea serviciilor postale si "Ghidul de ambalare", ar fi putut lesne constata faptul ca se precizeaza ca substantele/probele biologice sunt interzise de la transport, si, totodata, si ca trimiterile postale nu pot cuprinde "bunuri pentru care sunt stabilite conditii speciale de transport, prin dispozitii legale administrative, economice, sanitare (...)".
In acelasi litigiu, instanta de fond a statuat faptul ca: ”amenda in cuantumul aplicat este legala, eficace, proportionala si disuasiva si a fost stabilita cu luarea in considerare a naturii, gravitatii si consecintelor incalcarii, precum si tuturor celorlalte criterii prevazute de Regulament, criterii care au fost analizate de parata corect”.
De asemenea, a subliniat ca ”Regulamentul a introdus un nivel mult mai ridicat de responsabilizare a operatorului de date in comparatie cu Directiva 95/46/CE privind protectia datelor, iar articolele 25 si 32 din Regulament prevad ca operatorii au in vedere stadiul actual al tehnologiei, costurile implementarii si natura, domeniul de aplicare, contextul, scopurile prelucrarii, precum si riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice pe care le prezinta prelucrarea".
„Cu privire la temeinicia sanctionarii reclamantei, (...) parata a facut dovada ca sunt intrunite elementele constitutive ale contraventiilor retinute. Totodata, reclamanta (Actamedica) nu a probat existenta unei alte stari de fapt, decat cea consemnata in procesul verbal de constatare contestat.”
Pe de alta parte, in scopul asigurarii unei depline informari a publicului larg, semnalam un aspect de noutate care a intervenit recent, referitor la dispunerea de catre Curtea de Apel Bucuresti a trimiterii unor intrebari preliminare catre Curtea de Justitie a Uniunii Europene, in dosarul nr. 31192/3/2019*, in care Inteligo Media SA a contestat amenda de 9.000 euro aplicata de ANSPDCP, pentru ca a incalcat principiile de prelucrare, inclusiv conditiile privind obtinerea consimtamantului, prin nerespectarea dispozitiilor art. 5 alin. (1) lit. a) si b), art. 6 alin.(1) lit. a) si art. 7 din Regulamentul General privind Protectia Datelor.
Intrebarile preliminare sunt urmatoarele:
„1. In situatia in care un editor de publicatie de presa online de informare a publicului larg, nespecialist in domeniu, cu privire la modificarile legislative aparute zilnic in Romania, obtine adresa de e-mail a unui utilizator cu ocazia crearii de catre acesta din urma, cu titlu gratuit, a unui cont de utilizator care ii confera dreptul (i) de a accesa, cu titlu gratuit, un numar suplimentar de articole ale publicatiei in cauza, (ii) de a primi, prin e-mail, o informare zilnica cuprinzand o sinteza cu noutati legislative tratate in articole din cadrul publicatiei si hyperlink-uri catre respectivele articole si (iii) de a accesa, contra cost, articole si analize suplimentare si/sau mai extinse ale publicatiei fata de informarea zilnica transmisa gratuit:
a) Este adresa de e-mail respectiva obtinuta de editorul publicatiei de presa online "in contextul vanzarii unui produs sau serviciu", in sensul art. 13 alin. (2) din Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice (Directiva asupra confidentialitatii si comunicatiilor electronice) ("Directiva 2002/58/CE")?
b)Transmiterea de catre editorul de presa a unei informari de tipul celei descrise la pct. (ii) reprezinta "promovarea directa a propriilor produse sau servicii similare", in sensul art. 13 alin. (2) din Directiva 2002/58/CE?
2. Daca raspunsurile la intrebarile nr. 1 lit. (a) si lit. (b) sunt afirmative, care dintre conditiile prevazute la art. 6 alin. (1) lit. (a) - (f) din Regulamentul (UE) 2016/679 trebuie interpretate ca fiind aplicabile atunci cand editorul foloseste adresa de e-mail a utilizatorului in scopul transmiterii unei informari zilnice de tipul celei descrise in intrebarea nr. 1 pct. (ii), cu respectarea cerintelor prevazute la art. 13 alin. (2) din Directiva 2002/58/CE?
3. Articolul art. 13 alin. (1) si alin. (2) din Directiva 2002/58/CE trebuie interpretat in sensul ca se opune unei reglementari nationale care utilizeaza notiunea de "comunicare comerciala" prevazuta de art. 2 lit. (f) din Directiva 2000/31/CE a Parlamentului European si a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societatii informationale, in special ale comertului electronic, pe piata interna (Directiva privind comertul electronic) ("Directiva 2000/31/CE") in locul notiunii de “marketing direct” prevazute de Directiva 2002/58/CE? Daca raspunsul este negativ, o informare de tipul celei descrise la intrebarea nr. 1 pct. (ii) reprezinta "comunicare comerciala" in sensul art. 2 lit. (f) din Directiva 2000/31/CE?
4. Daca raspunsurile la intrebarile nr. 1 lit. (a) si lit. (b) sunt negative:
a) Reprezinta transmiterea prin email a unei informari zilnice de tipul celei descrise la intrebarea nr. 1 pct. (ii) de mai sus, "folosirea [...] postei electronice in scopuri de marketing direct" in sensul art. 13 alin. (1) din Directiva 2002/58/CE? respectiv
b) Articolul 95 din Regulamentul (UE) 2016/679 coroborat cu articolul 15 alin. (2) din Directiva 2002/58/CE trebuie interpretate in sensul ca, neindeplinirea conditiilor cu privire la obtinerea unui consimtamant valabil al utilizatorului potrivit art. 13 alin. (1) din Directiva 2002/58/CE va fi sanctionata potrivit art. 83 din Regulamentul (UE) 2016/679 sau potrivit dispozitiilor dreptului national din actul de transpunere al Directivei 2002/58/CE care, la randul sau, contine sanctiuni aplicabile specifice?
5. Articolul 83 alin. (2) Regulamentul (UE) 2016/679 trebuie interpretat in sensul ca, o autoritate de supraveghere care ia decizia daca sa impuna o amenda administrativa, precum si decizia cu privire la valoarea amenzii administrative in fiecare caz in parte, are obligatia de a analiza si explica in actul administrativ de sanctionare impactul fiecaruia dintre criteriile prevazute la literele (a) - (k) asupra deciziei de a impune o amenda, respectiv asupra deciziei cu privire la cuantumul amenzii aplicate?”
Ca evolutie, precizam ca in acest litigiu s-a pronuntat, initial (2020), Tribunalul Bucuresti care a mentinut amenda de 9.000 euro aplicata de ANSPDCP si procesul-verbal de control, iar apoi Curtea de Apel Bucuresti a trimis cauza in rejudecare, in anul 2021, considerand ca instanta de fond nu a facut nicio apreciere concreta proprie asupra motivelor de nelegalitate invocate de reclamanta (Inteligo Media SA) limitandu-se la redarea apararilor formulate de parata (ANSPDCP).
In rejudecare, Tribunalul Bucuresti a constatat din nou (2021) legalitatea procesul-verbal de control al ANSPDCP si a stabilit amenda la 4.500 euro, cu urmatoarea motivare:
”Cat priveste cuantumul amenzii tribunalul apreciaza ca se impune reducerea cuantumului acesteia ( de la 9000 euro la 4357 euro, in echivalent lei la cursul BNR din data de 26.09.2019, 4357 fiind numarul utilizatorilor (persoane fizice vizate) care nu si-au exprimat consimtamantul printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal) deoarece, pe de o parte, reclamanta se afla la prima incalcare a RGDP, act normativ, relativ proaspat intrat in ordinea juridica la momentul inceperii activitatii ilicite, si, pe de alta parte, ca, urmare a inceperii investigatiei, aceasta a luat masura suspendarii aparitiei campului disputat, pana la solutionarea cazului. ”
In prezent litigiul se afla pe rolul Curtii de Apel Bucuresti (dosar nr. 31192/3/2019*) .
In acest context, mentionam ca intrebari preliminare catre CJUE au mai fost transmise si de Tribunalul Bucuresti in litigiul dintre ANSPDCP si Orange (dosar 12278/3/2018), iar punctul de vedere al CJUE din Cauza C-61/19 a confirmat interpretarea data de ANSPDCP.
Si acest litigiu se afla in prezent pe rolul instantei de judecata.
Un produs media marca Rentrop&Straton 
