Prin articolul de astăzi continuăm seria de informări pe tema protecţiei datelor personale folosite de categorii concrete de operatori de date, date vehiculate în virtutea activităţii practicate. Pentru aducere aminte, data trecută am abordat subiectul protecţiei datelor cu caracter personal de către practicienii în insolvenţă.
Revenind la subiect, amintim că executorul judecătoresc prelucrează o serie de date cu caracter personal, cum ar fi date ale creditorilor, ale debitorilor, ale propriilor angajaţi, datele cu caracter personal ale diverşilor furnizori de utilităţi, de bunuri, de servicii şi nu numai.
Cu toate că activitatea desfăşurată de un executor judecătoresc este una de interes public, legislaţia privind protecţia datelor cu caracter personal are incidenţă asupra lui, aşa cum rezultă în mod expres din prevederile art. 6 alin. 1 lit. c din Regulamentul European nr. 679/2016, conform căruia ,,Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii: c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului”, coroborat cu art.6 alin.1 lit. e „e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;”
După cum se observă, regulamentul pentru protecţia datelor se aplică şi activităţilor instanţelor şi ale altor autorităţi judiciare. Directivele Uniunii Europene, sau dreptul naţional al statelor membre ar putea să precizeze operaţiunile şi procedurile de prelucrare de către instanţe şi alte autorităţi judiciare în ceea ce priveşte datele cu caracter personal.
Atribuţia principală a unui executor judecătoresc constă în punerea în executare a dispoziţiilor cu caracter civil dintr-un titlu executoriu, în cadrul unui dosar de executare silită. Din momentul formării dosarului de executare silită şi până la momentul finalizării executării silite, executorul judecătoresc prelucrează în mod obişnuit o serie de date cu caracter personal ale mai multor persoane.
Procedural, creditorul se adresează cu o cerere executorului judecătoresc competent potrivit legii, cerere la care anexează titlul executoriu ce-l doreşte a fi pus in executare silită. Odată cu inregistrarea cererii şi a titlului executoriu, executorul judecătoresc incepe să prelucreze o serie de date cu caracter personal. În funcţie de tipul titlului executoriu, persoanele ale căror date cu caracter personal sunt prelucrate de executorul judecătoresc variază de la caz la caz, cum ar fi: datele creditorului (persoană fizică sau juridică), ale reprezentantului creditorului, debitorului (persoană fizică sau juridică), reprezentantului debitorului, datele persoanelor menţionate în cuprinsul hotararii judecătoreşti. Datele cu caracter personal concrete se rezumă la: CNP, tipul actului de identitate, seria şi numărul acestuia; data şi locul naşterii; domicilul, reşedinţa, emitentul actului de identitate şi data emiterii actului; numărul de telefon, adresa de e-mail, semnătura; informaţiile referitoare la dreptul corelativ obligaţiei ce se doreşte a fi realizată pe calea executării şilite (ex: dreptul de a încasa o anumită sumă de bani, un dreptul de a încasa penalităţi de întârziere pentru un număr de zile, dreptul de a intra în posesia unui imobil localizat într-un anume loc potrivit unui raport de expertiză întocmit în cauză etc).
Categoria de date cu caracter personal variază de la caz la caz, în funcţie de modul în care persoana care formulează cererea executare silită şi de actele ataşate. În ceea ce priveşte datele cu caracter personal ale participanţilor din cadrul unui proces, sunt prelucrate o serie de date cu caracter personal ale grefierilor de şedinţă, ale procurorilor, judecătorilor, martorilor, intervenienţilor, experţilor, reprezentanţilor părţilor (avocaţi, mandatari, împuterniciţi legali şi/sau statutari, şi nu numai).
Astfel, rezultă că prin simpla primire a unei cereri de executare silită, însoţită de un titlu executoriu, un executor judecătoresc începe prelucrarea unor categorii de date cu caracter personal privind o multitudine de persoane, iar activitatea concretă de prelucrare a datelor se realizează, îin principiu, sub următoarele forme: colectarea datelor, stocarea datelor, înregistrarea datelor, transmiterea datelor (de exemplu către instanţa de judecată în vederea încuviinţării executării silite, întrucât executorul judecătoresc sesizează instanţa de executare în vederea încuviinţării executării silite), etc. Concret, executorul judecătoresc este obligat prin lege să prelucreze o serie de date cu caracter personal, întrucât acesta nu are un drept de opţiune în a primi sau nu diverse cereri, cum sunt cele privind începerea executării silite, acesta având obligaţia de a primi toate cererile şi de a le soluţiona, într-un sens sau altul, potrivit legilor incidente.
În ceea ce priveşte creditorul persoană fizică, se poate întâmpla ca acesta, odata cu depunerea cererii de executare silită, însoţită de titlul executoriu, să îşi dea consimţământul ca executorul judecătoresc (operatorul de date cu caracter personal) să îi prelucreze datele în vederea atingerii unui scop specific (realizarea dreptului său de creanţă). Faţă de această împrejurare, prelucrarea datelor cu caracter personal de către executorul judecătoresc are ca temei juridic prevederile art. 6 alin. (1) lit. a) din GDPR care stabilesc: “Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii: a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice”. Acest prim temei ar putea fi folosit de către un executor judecătoresc prin punerea la dispozitia persoanei care depune cererea de începere a unei executări silite, a unei declaraţii, prin care persoana este informată cu privire la faptul că datele sale cu caracter personal urmează a fi prelucrate în scopul de a începe procedurile impuse de lege.
Relevant este faptul că temeiul juridic de prelucrare al datelor, constând în consimţământul persoanei vizate, poate fi folosit numai în ceea ce priveşte datele cu caracter personal ale persoanei care depune cererea de începere a executării silite şi care îşi exprimă acordul cu privire la prelucrarea datelor sale, iar nu şi cu privire la alte persoane implicate în procedura execuţională (ex. debitorul).
Pentru toate celelalte persoane ale căror date cu caracter personal sunt prelucrate, în cadrul unui dosar de executare silită, executorul judecătoresc se va baza pe temeiuri juridice concrete, îndeplinind o serie de obligaţii din cadrul procedurii execuţionale.
În cursul desfăşurării executării silite, în afară de categoriile de date menţionate mai sus, un executor judecătoresc prelucrează datele cu caracter personal şi ale personalului din cadrul autorităţilor de stat, cum ar fi organe fiscale, oficiului registrului comerţului; din cadrul biroului de carte funciară; experţi evaluator; terţii propriţi (aici ne referim fie la persoanele fizice care au calitatea de terţi popriţi, fie la persoanele fizice care reprezintă şi/sau acţionează, în numele şi pe seama terţilor popriţi persoane juridice); soţii debitorilor; persoanele fizice care deţin o proprietate comună împreună cu debitorul; participanţii la licitaţii (aici ne referim fie la persoanele fizice care au calitatea de licitatori, fie la persoanele fizice care reprezintă şi/sau acţionează, în numele şi pe seama licitatorilor persoane juridice); creditorii intervenienţi (aici ne referim fie la persoanele fizice care au calitatea de creditori intervenienţi, fie la persoanele fizice care reprezintă şi/sau acţionează, în numele şi pe seama creditorilor intervenienţi persoane juridice); creditorii care nu sunt intervenienţi, dar îşi depun titlurile de creanţă cu ocazia distribuirii sumelor de bani rezultate din valorificarea bunurilor debitorului (aici ne referim fie la persoanele fizice care au calitatea de creditori, fie la persoanele fizice care reprezintă şi/sau acţionează în numele şi pe seama creditorilor);
Temeiul juridic pe baza căruia este efectuată prelucrarea datelor, rezultă din îndeplinirea unor obligaţii legale, rezultate din aplicarea prevederilor în materie ale codului de procedură civilă.
În concluzie, pentru a prelucra legal datele cu caracter personal, trebuiesc îndeplinite cumulativ următoarele condiţii:
1. să existe un temei juridic care să fundamenteze;
2. prelucrarea să se desfăşoare cu respectarea tuturor cerinţelor legale în materie.
În practică pot fi întâlnite situaţii în care să existe un temei juridic care să fundamenteze prelucrarea şi, cu toate acestea, modalitatea de prelucrare să fie nelegală. Un exemplu poate consta în confuzia dintre dreptul de acces la datele cu caracter personal ale tuturor persoanelor fizice implicate in cadrul unei proceduri de executare silita, drept reglementat de către regulamentul GDPR şi, dreptul părţilor direct implicate în cadrul executării silite, de acces la actele din dosarul de executare silită, aspect reglementat de codul de procedura civilă şi de legea nr. 188/2000 privind executorii judecătoreşti.
O altă situaţie se referă la adresele de înfiinţare a proprilor în ceea ce priveşte debitorii persoane fizice. Pentru operativitatea desfăşurării propriei activităţi, unii executori transmit către instituţiile bancare o singură adresă de înfiinţare a popririlor, în care menţionează datele de identificare ale unor debitori persoane fizice din cadrul unor dosare de executare distincte şi fără să existe o legătură între aceste dosare de executare. Acestea se mai numesc adrese comune (colective) de înfiinţare a popririi. Ulterior, adresa colectivă este stocată în cadrul fiecărui dosar de executare silită în parte. Ori, astfel de practică este în contradicţie cu următoarele cerinţe impuse de regulamentul European de protecţia datelor cu caracter personal:
-este încălcat art. 5 alin. (1) lit. a) din GDPR care stabileşte: “Datele cu caracter personal sunt: a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată („legalitate, echitate şi transparenţă)”. Nelegalitatea rezultă din faptul că informaţiile referitoare la calitatea de debitor a unei persoane (identificată după nume, prenume şi CNP) într-un anumit dosar de executare silită trebuie să fie stocată în cadrul respectivului dosar de executare silită, şi nu în cadrul unui alt dosar.
-este nerespectat art. 5 alin. (1) lit. b) din GDPR care stabileşte: “Datele cu caracter personal sunt: b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri”.
-este în contradicţie cu prevederile art. 5 alin. (1) lit. e) din GDPR care prevede:
“Datele cu caracter personal sunt: e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele”. Contradicţia rezidă în posibilitatea ca datele personale (nume, prenume şi CNP) dintr-un dosar de executare silită finalizat să fie distruse după expirarea termenului de păstrare, dar să continue să fie stocate într-un alt dosar de executare, din cauza adresei comune de înfiinţare a popririi.
– nu este respectat art. 5 alin. (1) lit. f) din GDPR care prevede: “Datele cu caracter personal sunt: f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale…”.
Există posibilitatea ca dosarele de executare silită în care se află adresele comune de înfiinţare a propririi să fie copiate de persoanele implicate în acele dosare (ex: creditori, debitori etc), caz în care aceştia din urmă au acces şi la informaţii din alte dosare de executare silită, date la care nu ar avea dreptul.
În acest sens, vă recomandăm câteva proceduri interne referitoare la protecţia datelor, cum ar fi: conştientizarea importanţei datelor cu caracter personal; efectuarea auditului fluxului de date pe care le colectează şi prelucrează societatea, stabilirea temeiului legal al prelucrării şi a perioadei de stocare a datelor; depistarea surselor din care provin datele şi identificarea scopului pentru care aceste date sunt prelucrate; elaborarea măsurilor tehnice adecvate de protecţie a datelor.
Printre măsurile minime se numără măsurile organizatorice, care constau în limitarea numărului de persoane din cadrul organizaţiei care au acces la datele cu caracter personal şi măsuri tehnice, cum ar fi de exemplu criptarea. Regulamentul nu specifică şi nu impune măsuri concrete de securitate. În schimb, acesta cere ca aceste măsuri să fie stabilite de executor în parte, ţinând cont de factori, cum ar fi: categoria şi natura datelor cu caracter personal pe care le colectează, cât de sensibile sunt acestea şi riscurile generate de prelucrarea lor.
Printre riscurile frecvente care ar trebui să fie luate în considerare se numără: intruziunea fizică, angajaţi rău-intenționati, pierderea accidentală sau atacurile hackerilor, imposibilitatea de a răspunde cererilor de acces la date, venite de la persoanele vizate. Dezvoltarea unui plan de gestiune a riscurilor şi luarea unor măsuri de reducere a riscurilor, cum ar fi protejarea prin parolă, jurnale de audit şi implementarea sistemelor de criptare, pot facilita conformitatea. În cazul unei breşe de securitate, este obligatorie notificarea Autorităţii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în termen de 72 de ore de la luarea la cunoştinţă. Totodată, dacă breşa de securitate a generat un risc semnificativ de vătămare a persoanelor vizate, devine obligatorie notificarea lor.
Sursa: www.impactdata.ro
