Hotărâre de impact a Curții de Apel București în domeniul protecției datelor cu caracter personal cu privire la obligațiile angajatorilor de gestionare a adreselor de e-mail ale angajaților, ulterior încetării raporturilor de muncă
13 august 2018 | Ioana-Alina IONICĂ
Ioana-Alina Ionică
Potrivit Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul reglementat de art. 3 lit. a) din Legea nr. 677/2001. Astfel, s-a reținut că reprezintă acte de încălcare a legislației protecției datelor cu caracter personal păstrarea activă a adreselor de e-mail ce permit identificarea unei persoane, păstrarea mesajelor transmise prin intermediul acesteia și redirectarea mesajelor destinate acestei adrese de e-mail ulterior încetării raporturilor contractuale.
Mai mult, s-a reținut că datele rămân personale, indiferent dacă au fost făcute publice pe pagina de internet a organismului profesional, câtă vreme legea nu prevede o excepție în acest caz, nefiind aplicabile în cauză excepțiile de strictă interpretare prevăzute de art. 11 din Legea nr. 677/2001.
Se impune precizarea că, deși hotărârea analizează un raport juridic ce s-a desfășurat sub incidența Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, – în prezent abrogată prin Legea nr. 129/2018 – considerentele și implicit soluția hotărârilor își mențin pe deplin caracterul actual, având în vedere că dispozițiile Legii nr. 677/2001 sunt conceptual identice cu principiile incidente în speță, cu cele ale Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27.04.2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în cele ce urmează și “Regulamentul“), respectiv art. 4 din Legea nr. 677/2001 corespunde art. 5 alin. (1) din Regulament, art. 12 din Legea nr. 677/2001 corespunde art. 13 din Regulament, art. 15 din Legea nr. 677/2001 corespunde art. 21 din Regulament.
Cu toate că speța vizează raporturi de colaborare dintre un liber profesionist și o societate profesională, este pe deplin aplicabilă sferei de interes mai larg a raporturilor de muncă, având în vedere că, din perspectiva analizată, raportul de colaborare este asimilat raporturilor de muncă.
În concluzie, față de cele statuate în cadrul celor două hotărâri, a primei instanțe și a celei de apel, ale căror considerente urmează a fi expuse pe larg în cele ce urmează, se impune o atentă analiză și actualizare a politicilor companiilor privind prelucrarea datelor cu caracter personal, în ce privește gestionarea adreselor de e-mail ale foștilor angajați ce permit identificarea persoanei. În acest scop, adaptarea politicilor interne ar putea include, după caz, precizări cu privire la (i) condițiile utilizării adreselor de e-mail profesionale, respectiv restricționarea posibilității de a fi utilizate în scop personal, (ii) regimul corespondenței rezultate ca urmare a utilizării adresei de e-mail, respectiv interdicția ștergerii conținutului global ori selectiv, (iii) modalitatea de preluare a conținutului mesajelor de interes pentru companie la finalizarea colaborării (procedura și termen), (iv) termenul maxim în care o astfel de adresă poate fi menținută și, nu în ultimul rând, (v) obligația de informare a expeditorilor, ulterior încetării raporturilor cu fostul angajat cu privire la încetarea calității de salariat și redirecționarea automată a mesajelor adresate acestuia către o altă persoană din cadrul companiei.
Succintă prezentare a situației premisă. La momentul debutului raporturilor contractuale de colaborare, asimilabile dreptului muncii, cu societatea – operator de date cu caracter personal, aceasta îi atribuie persoanei vizate (asociat, colaborator, angajat) o adresă de e-mail având următoarea structură și componență: nume.prenume @denumire companie.ro.
Nici la momentul debutului raporturilor contractuale și nici ulterior acestui moment (până la încetarea lor), nu a avut loc o informare a persoanelor vizate cu privire la condițiile utilizării adreselor de e-mail alocate de societate, astfel încât compania nu a fost în măsură să furnizeze dovada realizării unei astfel de informări. În acest context, colaboratorul a utilizat adresa de e-mail, inclusiv în relația cu organismul profesional, cu furnizorul de servicii medicale în baza abonamentului general pus la dispoziție de companie – asimilate unui scop personal.
La data încetării raporturilor contractuale dintre companie și colaborator, acesta din urmă a procedat la ștergerea tuturor mesajelor care nu priveau raporturile de colaborare, iar compania a procedat la schimbarea parolei de acces, solicitând totodată furnizorului de servicii IT recuperarea tuturor mesajelor șterse, furnizarea noii parole și redirecționarea tuturor mesajelor ulterioare destinate fostului colaborator către coordonatorului societății.
Ulterior încetării raporturilor contractuale, ca urmare a unor indicii serioase cu privire la faptul că, după momentul restricționării accesului la adresa de e-mail profesională, aceasta nu a fost închisă, ci era accesată de alte persoane, fostul colaborator a înaintat companiei o cerere prin intermediul căreia a solicitat închiderea adresei de e-mail, în exercitarea dreptului de opoziție cu privire la prelucrarea datelor cu caracter personal. Societatea nu a furnizat niciun răspuns cu privire la această solicitare și, mai mult decât atât, o perioadă de peste un an de zile a continuat să mențină activă adresa de e-mail.
Controlul ANSPDCP. Această împrejurare a făcut obiectul unei sesizări a ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – care, observând întrunită condiția notificării prealabile a operatorului, a procedat la efectuarea unui control în vederea verificării modului de respectare a prevederilor Legii nr. 677/2001 și ale Legii nr. 506/2004. În cadrul investigației nu au putut fi puse la dispoziția echipei de control dovezi ale realizării informării persoanei vizate cu privire la condițiile utilizării adresei de e-mail alocate de către companie, de la data creării acesteia, până la încetarea utilizării acesteia de către persoana vizată. Coordonatorul societății a arătat faptul că adresa de e-mail nu a fost ștearsă la încetarea raporturilor de colaborare, deși s-a primit o solicitare în acest sens. S-a reținut, de asemenea, că la momentul efectuării controlului, mesajele trimise către această adresă de e-mail sunt accesate de către coordonatorul societății, motivul invocat pentru justificarea menținerii acestei adrese de e-mail fiind de natură profesională.
Ulterior încetării raporturilor de colaborare cu persoana vizată, la nivelul companiei au fost adoptate un Regulament Intern și o Politică de asigurare a securității datelor cu caracter personal, documente apreciate incomplete de către ANSPDCP, care a formulat mai multe recomandări de completare a acestor documente cu următoarele măsuri, între care și (i) necesitatea ca operatorul să ia măsuri organizatorice și tehnice pentru dezactivarea automată a conturilor pentru care au fost create adresele de e-mail la plecarea persoanei vizate (asociat, colaborator, angajat); (ii) în măsura în care trebuie să recupereze conținutul anumitor mesaje primite de persoana vizată pe adresa de e-mail creată de operator, conținut necesar pentru desfășurarea activității societății, trebuie să efectueze această operațiune înainte de plecarea persoanei vizate din cadrul societății, și, pe cât posibil, în prezența acesteia.
Totodată, ANSDPCP, reținând că adresa de e-mail reprezintă date cu caracter personal, care identifică persoana vizată sau care duce la identificarea acesteia, date prelucrate de operator ulterior încetării raporturilor contractuale, s-a constatat încălcarea de către operator a prevederilor art. 4 din Legea nr. 677/2001 – ce consacră principiul prelucrării datelor personale în scopuri legitime, datele prelucrate să fie neexcesive prin raportare la scopul în care sunt prelucrate și stocarea acestora numai pe durata necesară realizării scopului în care datele au fost obținute în vederea prelucrării.
În acest context, s-a reținut încălcarea art. 5 alin. (1) din Legea nr. 677/2001, conform căruia prelucrarea datelor persoanei vizate poate fi efectuată numai dacă aceasta și-a dat consimțământul în mod expres și neechivoc, operatorul realizând prelucrarea datelor după încetarea raporturilor juridice, fără ca această prelucrare să se încadreze în cazurile de excepție reglementate de art. 5 alin. (2) din Lege. De asemenea, ANSPDCP a constatat încălcarea obligației operatorului de informare a persoanei vizate cu privire la scopul și condițiile prelucrării, conform art. 12 din Legea nr. 677/2001, precum și încălcarea prevederilor art. 15 din aceeași lege, întrucât operatorul nu a răspuns solicitării persoanei vizate. Pentru faptele constatate s-a aplicat o amendă cumulată de 8000 lei și, în plus, s-au formulat următoarele recomandări: (i) luarea măsurilor care se impun pentru stocarea e-mailurilor transmise până la data încetării raporturilor de colaborare, în legătură cu activitatea prestată în cadrul Societății, în termen de 10 zile; (ii) blocarea și ștergerea contului de e-mail, astfel încât să nu mai poată fi utilizată adresa de e-mail în discuție pentru primirea sau trimiterea de mesaje, în termen de o zi după realizarea recomandării anterior menționate.
Analiza instanței
Împotriva procesului-verbal de constatare și sancționare a contravenției a formulat plângere operatorul, care nu a criticat situația de fapt reținută de către ANSPDCP, ci a invocat următoarele argumente în susținerea nelegalității și a netemeiniciei măsurilor dispuse de organul de control: numele, prenumele și forma de organizare a profesiei sunt informații publice, ele fiind publicate inclusiv pe pagina organismului profesional, ele nefăcând parte din categoria datelor cu caracter personal pentru a căror prelucrare să fie necesar consimțământul persoanei vizate ulterior încetării raporturilor de colaborare. În acest sens, a fost invocată Decizia nr. 132/2011 a ANSDPCP, care ar stabili ca fiind date cu caracter personal ce permit identificarea unei persoane numai acele numere prin care se identifică persoana vizată în sistemele de evidență specifică, cum ar fi codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, numărul permisului de conducere și numărul de asigurare socială sau de sănătate. De asemenea, s-a arătat de către Societate că menținerea și accesarea periodică a adresei de e-mail a fost impusă de specificul activității profesionale, respectiv de protejare a intereselor clienților Societății. Prin urmare, chiar dacă s-ar reține că numele și prenumele sunt date cu caracter personal, nu era necesar acordul persoanei vizate în vederea prelucrării ulterior încetării raporturilor contractuale, având în vedere că operațiunea de menținere și accesare periodică era necesară în vederea îndeplinirii unei obligații legale sau a realizării unui interes legitim al Societății. Mai mult decât atât, arată operatorul că accesarea unei adrese de e-mail ce îi aparține nu implică, în mod automat, și prelucrarea unor eventuale date cu caracter personal, cu atât mai mult cu cât a fost ștearsă funcția pe care a deținut-o în cadrul societății fostul Colaborator. Nu în ultimul rând, Operatorul arată că respectiva adresă de corespondență electronică a fost pusă la dispoziție numai în scop profesional, astfel încât dovezile privind existența unui conținut de date cu caracter personal ale fostului Colaborator este lipsită de consistență probatorie. Pentru aceste motive, Societatea solicită înlocuirea sancțiunii contravenționale principale a amenzii cu avertisment, ținându-se cont de gravitatea redusă și lipsa de pericol social a faptelor constatate.
În raport de plângerea formulată de Operator, ANSPDCP a înaintat întâmpinare, solicitând respingerea ca neîntemeiată a plângerii formulate și menținerea ca legal și temeinic a procesului-verbal de constatare și sancționare. În acest scop, intimata a arătat că potrivit art. 3 lit. a) din Legea nr. 677/2001, reprezintă date cu caracter personal orice informație referitoare la o persoană fizică identificată sau identificabilă, cum ar fi: nume și prenume, profesie, e-mail, locul de muncă și altele, elemente reținute în definiția datelor cu caracter personal atât de Directiva 95/46/CE, cât și de Avizul nr. 4/2007 privind conceptul de date cu caracter personal, emis de Grupul de lucru Art. 29. De asemenea, se reiterează principiile prelucrării consacrate de art. 4 alin. (1) lit. b), c) și e) din Legea nr. 677/2001, precum și necesitatea obținerii consimțământului persoanei vizate (art. 5 alin. (1) din Legea nr. 677/2001), operatorului incumbându-i obligația de a proceda la informarea persoanei vizate, în acord cu art. 12 din lege și de a comunica în termen de 15 zile un răspuns cu măsurile adoptate ca urmare a exercitării dreptului de opoziție. De asemenea, sunt invocate prevederile pct. 14.5 din Recomandarea CM/ Rec (2015) 5 cu privire la privire la prelucrarea datelor cu caracter personal în contextul angajării, emis în anul 2015 de Comitetul de Miniștri ai Statelor Membre, potrivit cărora La plecarea unui angajat din cadrul organizației, angajatorul trebuie să adopte măsurile organizatorice și tehnice necesare pentru a dezactiva în mod automat contul de mesaje electronice al respectivului angajat. În situația în care angajatorii trebuie să recupereze conținutul contului angajatului pentru desfășurarea eficientă a organizației, ar trebui să realizeze această activitate anterior plecării angajatului și, atunci când este posibil, în prezența acestuia.
ANSDPCP arată că petenta a recunoscut prin însăși plângerea formulată că adresa de e-mail este în continuare valabilă și activă, orice e-mail primit la această adresă este redirecționat automat către adresa de e-mail a coordonatorului societății, iar modalitatea aleasă este ilegală, întrucât contravine dispozițiilor art. 4 din Legea nr. 677/2001. Adresa de e-mail ar fi trebuit să fie dezactivată, iar la momentul primirii unui nou mesaj, destinatarul ar fi trebuit informat că adresa de e-mail nu mai există, iar pentru continuarea corespondenței să se indice noua adresă de e-mail desemnată, respectiv a coordonatorului societății. În ce privește susținerea petentei, potrivit căreia adresa de e-mail a fost alocată exclusiv în scop profesional, este o simplă afirmație nedovedită, de vreme ce nici la momentul controlului, nici în termenul acordat de autoritate și nici în fața instanței, petenta nu a prezentat niciun înscris semnat de către fostul colaborator în sensul celor afirmate.
Persoana vizată a formulat cerere de intervenție accesorie în favoarea ANPDCP, prin care a solicitat admiterea în principiu a cererii de intervenție accesorie și respingerea plângerii împotriva procesului-verbal de constatare și sancționare ca neîntemeiată. În susținere, au fost aduse anumite clarificări privind situația de fapt, invocându-se totodată faptul că au fost alocate resurse de timp considerabile pentru informarea tuturor persoanelor și entităților care ar fi putut trimite corespondență la adresa __.__@___.ro, fiind însă imposibil de prevenit în totalitate transmiterea de e-mailuri către această adresă, continuând a fi transmise adrese atât de către persoane care nu au fost informate, cât și de persoane care au fost informate, din eroare. S-a arătat, de asemenea, că nu a fost setat de către Societate niciun mesaj automat de răspuns pentru a informa expeditorii că adresa de e-mail este redirecționată către o altă persoană, asociatul coordonator netransmițând e-mailurile private primite ulterior datei pe o nouă adresă de e-mail la care fostul colaborator avea acces, context în care a putut lua cunoștință de informații și documente confidențiale. Totodată, s-a arătat că petenta nu a înțeles să se conformeze recomandărilor formulate de ANSPDCP privind închiderea adresei de e-mail ulterior recuperării mesajelor necesare cu un conținut profesional. De asemenea, s-a arătat că, în decursul soluționării plângerii, petentul a procedat la dezactivarea și reactivarea ulterioară a adresei de e-mail în repetate rânduri, pentru a crea impresia unei conformări față de recomandările ANSPDCP.
Hotărârea primei instanțe
Prin Sentința Civilă nr. 3709/07.06.2016, Tribunalul București – Secția a II-a Contencios Administrativ și Fiscal a respins plângerea formulată ca neîntemeiată. Pentru a dispune astfel, instanța de fond a reținut că numele și prenumele persoanei, cu atât mai mult cu cât intră în compunerea denumirii utilizatorului adresei de e-mail, dar și adresa de e-mail care are un asemenea conținut, constituie date cu caracter personal. În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei. Reține, de asemenea, instanța de fond că datele rămân personale, indiferent dacă au mai fost publicate în spațiul public, de exemplu pe pagina organismului profesional, cât timp calificarea legală a acestora rămâne de date personale, iar dispozițiile legale nu leagă datele cu caracter personal de caracterul public al informației.
Dispozițiile art. 11 din lege instituie o singură excepție, de strictă interpretare și aplicare, stabilind că prevederile art. 5, 6, 7 și 10 nu se aplică dacă prelucrarea privește date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată. Astfel, transmiterea datelor către B.B. a fost făcută în scop de promovare și numai acestei entități, iar nu în mod manifest care presupune o arie de răspândire a informației mai largă. Pentru aceste motive, Tribunalul apreciază că prelucrarea datelor din conținutul numelui de utilizator ___.___@___.ro constituie contravenție.
Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă. Utilizarea adresei de e-mail puse la dispoziție de petentă făcea parte integrantă din activitatea prestată în favoarea societății, iar, cum activitatea unui angajat poate fi verificată de angajator, și conținutul e-mailurilor poate fi supus analizei angajatorului. Din răspunsul la interogatoriu administrat intervenientei reiese că la demararea colaborării și-a asumat obligația de a nu utiliza în scop personal programe sau părți ale unor programe software, astfel că petenta nu avea așteptarea rezonabilă ca între e-mailurile verificate să găsească și e-mailuri private. Intervenienta a mai arătat că a utilizat laptopul personal pentru a lucra în cadrul societății, însă interfața ___.ro constituie o componentă software, astfel că este indiferent terminalul de pe care a fost accesată, respectiv laptopul personal.
Pe de altă parte, în privința accesului la e-mailuri, obligația legală la care face referire petenta este mult prea diluată. În acest sens, în contextul în care obligația legală la care face referire lit. c) este specifică, se reține că obligațiile asumate de societate față de clienți sunt convenționale și specifice, iar obligațiile stabilite în Statutul profesiei sunt legale și generale, astfel că nu se încadrează în această categorie.
Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.
Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.
Sub aspectul proporționalității sancțiunii, Tribunalul constată că menținerea activă a adresei de e-mail, astfel cum reiese din răspunsul la interogatoriul administrat petentei și societății care administrează domeniul ____.ro, cu posibilitatea primirii e-mailurilor, chiar redirecționate, a lăsat falsa impresie, cel puțin clienților (prin plângerea contravențională petenta a arătat că este practica societăților de profil să mențină 1 an active adresele de e-mail, întrucât clienții trimit în continuare, din obișnuință, e-mailuri pe vechile adrese) că fostul colaborator mai era încadrat în cadrul firmei, iar petenta nu a făcut dovada că avea dreptul convențional de a menține activă adresa de e-mail. De asemenea, considerând că prelucrarea datelor personale constând stocarea (iar nu accesarea) e-mailurilor cu conținut privat sau din alte activități reprezintă o gravă intruziune în viața privată a persoanei, imprimă faptei un grad de pericol social, în sine, față de perioada păstrării și perioada menținerii active a adresei, Tribunalul apreciază că sancțiunea este proporțională cu gradul de pericol social.
Hotărârea instanței de apel
Împotriva hotărârii primei instanțe a formulat apel operatorul, solicitând instanței de apel ca rejudecând fondul să desființeze în tot sentința apelată, cu consecința admiterii plângerii formulate. În cuprinsul memoriului de apel, operatorul a arătat că, în mod eronat, a reținut instanța de fond că datele de identificare ale persoanelor vizate, constând în numele acestora și funcția deținută în cadrul societății ar reprezenta date cu caracter personal, cu atât mai mult cu cât aceste date de identificare (nume, prenume, forma de organizare a profesiei) sunt informații publice, fiind publicate pe site-ul organismului profesional. Or, fie dintr-o confuzie derivată din greșita aplicare a dispozițiilor legale incidente, fie datorită neînțelegerii diferenței dintre datele cu caracter personal – privite în mod generic și datele cu caracter personal având funcția de identificare cu aplicabilitate generală, Tribunalul a reținut în mod neîntemeiat că numele și prenumele persoanei, cu atât mai mult cu cât intră în compunerea denumirii utilizatorului adresei de e-mail, dar și adresa de e-mail care are un asemenea conținut, constituie date cu caracter personal. A arătat apelantul că este mai mult decât evident că datele de identificare care au făcut obiectul analizei, prezente în cuprinsul adreselor de e-mail puse la dispoziție de Societate, nu făceau parte din categoria datelor cu caracter personal, având funcție de identificare cu aplicabilitate generală, pentru a căror prelucrare era necesar consimțământul titularului.
A mai arătat apelantul că, în mod paradoxal, pe fondul problemei, Tribunalul București argumentează convingător în favoarea caracterului legitim al prelucrării datelor cu caracter personal de către societate, dar cu toate acestea ajunge la concluzia criticabilă, potrivit căreia plângerea formulată se impune a fi respinsă.
În ce privește tratamentul diferențiat cu care instanța de fond tratează accesarea e-mailurilor profesionale și păstrarea e-mailurilor personale, apelantul arată că este contradictoriu ca aceeași faptă să fie, pe de-o parte, justificată pe tărâm legal de interesul legal al societății, iar, pe de altă parte, să fie apreciată ca violând prevederile legale incidente, arătând că în realitate este vorba despre una și aceeași acțiune, indiferent de momentul accesării datelor, iar rațiunile care au stat la baza acesteia au fost aceleași. Este absurd să admitem întrunirea cerințelor legale care au legitimat-o pe subscrisa să utilizeze e-mailurile din considerente de interes profesional și totodată să apreciem această conduită ca nejustificată. Mai mult decât atât, instanța de fond a omis faptul că în probatoriul administrat se regăsesște o corespondență purtată între coordonatorul societății și reprezentantul societății furnizoare de servicii IT, din care rezultă că continuarea stocării datelor a fost cauzată de compania care se ocupa de mentenanță, interval în care operatorul nu a avut cunoștință despre faptul că adresa nu este inactivă.
Prin Decizia nr. 34/09.03.2017, instanța de apel a respins apelul formulat, sens în care a reținut că o persoană este considerată identificabilă în cazul în care o parte dintre informații conțin elemente de identificare prin intermediul cărora persoana poate fi identificată direct sau indirect. Potrivit considerentului 26 din Directiva 95/43/CE privind protecția datelor, criteriul de referință constă în posibilitatea ca utilizatorii previzibili ai informațiilor să dispună de și să administreze mijloace rezonabile de identificare. Identificarea, în mod evident, presupune elemente care descriu o persoană într-un mod în care aceasta se poate distinge de toate celelalte persoane și poate fi recunoscută ca persoană fizică. Numele unei persoane este un prim exemplu de element de descriere. În speța de față, denumirea adreselor de e-mail cuprinde numele și prenumele persoanelor în cauză, precum și al societății în cadrul cărora acestea își desfășurau activitatea.
Datele cu caracter personal includ informațiile care aparțin vieții private a unei persoane, precum și informațiile referitoare la viața profesională a acesteia.
În cauza Volker und Markus Schecke și Hartmut Eifert / Land Hessen, CJUE a susținut că este lispit de importanță faptul că datele publicate au legătură cu activitățile profesionale, în vreme ce Curtea Europeană a Drepturilor Omului a hotărât în această privință, referitor la interpretarea articolului 8 din Convenție, că termenul viață privată nu trebuie interpretat în mod restrictiv și că niciun motiv, de principiu, nu permite excluderea activităților profesionale din noțiunea de viață privată.
În acest context, este evident că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul reglementat de art. 3 lit. a din Legea nr. 677/2001. Mai mult, datele rămân personale, indiferent dacă au fost făcute publice pe pagina de internet a organismului profesional, cât timp legea nu prevede o excepție în acest caz.
Art. 11 invocat de apelantă nu este aplicabil în cauză, de vreme ce din lecturarea acestuia reiese cu claritate că reglementează doar ipoteza în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, cu condiția ca datele să fi fost făcute publice de persoana vizată sau să fie strâns legate de calitatea sa de persoană publică sau de caracterul public al faptelor în care este implicată. Având în vedere că transmiterea datelor către B.B. / organismul profesional a fost făcută în scop de evidență și promovare, iar excepția prevzută la art. 11 este de strictă interpretare și aplicare, rezultă că acesta nu-și găsește incidența în situația de față.
De asemenea, nici Decizia nr. 132/2011 a ANSDPCP nu prezintă relevanță, în condițiile în care aceasta se referă la o altă categorie de date cu caracter personal decât cele vizate de prezenta cauză, respectiv la codul numeric personal și a altor date cu caracter personal având o funcție de identificre de aplicabilitate generală.
Considerentele hotărârii nu sunt contradictorii, instanța reținând că nu este aplicabil art. 5 alin. (2) lit. c) din Legea nr. 677/2001, întrucât prelucrarea nu a fost necesară în vederea îndeplinirii unei obligații asumate față de clienți, ci la obligații specifice prevăzute de lege în sarcina operatorului.
De asemenea, în mod corect s-a reținut că recuperarea mesajelor și stocarea acestora pentru un an reprezintă prelucrare în sensul art. 3 lit. b) din lege, iar păstrarea mesajelor personale reprezintă contravenție.
Susținerea apelantei, în sensul că nu a avut cunoștință de continuarea stocării datelor, ce a fost cauzată de compania care se ocupa cu mentenanța, nu prezintă relevanță juridică, atât timp cât obligația de respectare a prevederilor art. 4 alin. (1) din Legea nr. 677/2001 și de asigurare a îndeplinirii acestor prevederi de către persoanele împuternicite revine operatorului (art. 4 alin. 2), respectiv apelantei.
Referitor la proporționalitatea sancțiunii aplicate, în mod corect s-a observat gradul ridicat de pericol social al faptei de a menține activă adresa de e-mail timp de un an de la data încetării colaborării, cu posibilitatea primirii mesajelor, chiar redirecționate, care a lăsat falsa impresie clienților că fostul colaborator mai era încadrat în cadrul companiei. De asemenea, că stocarea mesajelor cu conținut privat sau din alte activități reprezintă o gravă intruziune în viața privată a persoanei.
Pericolul social se răsfrânge și asupra faptei de prelucrare a acestor date, fără informarea persoanelor vizate și de a nu răspunde solicitării fostei colaboratoare care sunt măsurile luate și numele terțului căruia i-au fost dezvăluite datele cu caracter personal.
Ca urmare, în contextul expus, prima instanță a făcut o justă analiză a proporționalității sancțiunilor aplicate, reținând că în condițiile în care pericolul social a fost unul moderat spre grav, autoritatea s-a orientat către cuantumul minim al amenzii prevăzute de lege.
Avocat Ioana-Alina Ionică
LUPSA & ASOCIATII
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
