Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Răspunderea comitentului pentru prepus în cazul nerespectării legislației din materia protecției datelor personale
20.05.2020 | Mihai IONIȚĂ, Irina DUMEA

JURIDICE - In Law We Trust
Mihai Ioniță

Mihai Ioniță

Irina Dumea

Irina Dumea

În data de 01.04.2020, Curtea Supremă a Regatului Unit al Marii Britanii și al Irlandei de Nord s-a pronunțat asupra apelului intentat de către Wm Morrison Supermarkets plc („Morrison” sau „Angajatorul”), un important lanț de supermarketuri din Regatul Unit, împotriva hotărârii primei instanțe, hotărâre prin care se decisese că acesta răspunde pentru fapta salariatului său de a fi divulgat în mediul on-line datele a aproximativ 126.000 de salariați. Răspunderea Wm Morrison Supermarkets plc se întemeia pe o răspundere similară răspunderii comitentului pentru prepus din legislația română (“vicarious liability”).

În fapt, Morrison l-a angajat pe Andrew Skelton în echipa de audit intern. În iulie 2013, dlui. Skelton i-a fost aplicat un avertisment verbal pentru o abatere disciplinară minoră, de care acesta a fost foarte nemulțumit și care a condus la o aversiune constantă a salariatului împotriva Angajatorului.

În noiembrie 2013, dl. Skelton a fost însărcinat să adune și să transmită către auditorul extern al Angajatorului datele salariale ale 126.000 de angajați, respectiv nume, adresă, sex, data nașterii, număr de telefon, număr de identificare național și date bancare. Ulterior, dl. Skelton a copiat datele personale pe o memorie USB personală și a încărcat acele date, în timp ce era la domiciliul său, pe un website public de tip fileshare. Dl. Skelton a transmis, de asemenea, respectivele date la 3 redacții de presă, pretinzând că este un membru al comunității online care a găsit întâmplător aceste informații. Dl. Skelton a fost ulterior judecat și condamnat.

O parte din salariații afectați au chemat în instanță pe Morrison invocând răspunderea comitentului pentru prepus, printre altele, pentru încălcarea obligațiilor legale din Data Protection Act („DPA”), echivalentul din Regatul Unit al Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date („Legea nr. 677/2001”), legislație autohtonă ce a fost abrogată prin intrarea în vigoare la nivelul Uniunii Europene a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului („GDPR”). Prima instanță a hotărât că Morrison răspunde pentru fapta dlui. Skelton, întrucât există suficientă legătură între atribuțiile încredințate dlui. Skelton și fapta sa ilicită.

Morrison a făcut apel și a ajuns la Curtea Supremă a Regatului Unit, care s-a pronunțat asupra următoarelor aspecte (1) dacă Morrison răspunde, în calitate de comitent, pentru faptele dlui Skelton, în calitate de prepus și (2) dacă DPA exclude răspunderea comitentului pentru prepusul, operator de date personale.

Referitor la primul punct, Curtea a ajuns la concluzia că Morrison nu este ținut să răspundă pentru fapta dlui. Skelton, din următoarele considerente:

– Divulgarea online a datelor nu făcea parte din atribuțiile de serviciu ale dlui. Skelton și nu avea autorizație pentru această acțiune, astfel că nu se poate considera că dl. Skelton a acționat în exercitarea atribuțiilor sale; faptul că relația sa de muncă i-a acordat șansa de a realiza acțiunea ilicită nu este un argument suficient pentru a antrena răspunderea Angajatorului;

– Angajatorul nu răspunde dacă fapta ilicită a salariatului nu a fost făcută cu scopul de continuare a activității Angajatorului, ci cu scopul unei răzbunări personale.

Referitor la al doilea punct, Curtea a concluzionat că răspunderea operatorului de date pentru încălcarea obligațiilor legale impuse de DPA nu exclude răspunderea comitentului pentru prepus dat fiind că:
– DPA nu reglementează niciun aspect referitor la angajatorul operatorului de date;
– Este irelevant faptul că operatorul de date (salariatul) a acționat din culpă iar angajatorul acestuia, în virtutea răspunderii comitentului pentru prepus, răspunde fără vinovăție.

Pornind de la speța de mai sus, prezentul articol își propune să analizeze la nivel teoretic cum s- ar raporta prevederile actuale din legislația română și GDPR la o situație de fapt similară, din perspectiva (A) răspunderii comitentului pentru prepus și (B) coexistența acestui tip de răspundere cu răspunderea întemeiată pe dispozițiile GDPR.

Acest articol conține o interpretare personală a autorilor săi asupra legislației aplicabile. Date fiind, în special, noutatea reglementării GDPR și a lipsei jurisprudenței relevante în această materie, instanțele sau orice alte autorități compente pot avea o interpretare diferită.

***

(A) Răspunderea comitentului pentru prepus

Conform art. 1373 din Codul Civil,
(1) Comitentul este obligat să repare prejudiciul cauzat de prepuşii săi ori de câte ori fapta săvârşită de aceştia are legătură cu atribuţiile sau cu scopul funcţiilor încredinţate.
(2) Este comitent cel care, în virtutea unui contract sau în temeiul legii, exercită direcţia, supravegherea şi controlul asupra celui care îndeplineşte anumite funcţii sau însărcinări în interesul său ori al altuia.
(3) Comitentul nu răspunde dacă dovedeşte că victima cunoştea sau, după împrejurări, putea să cunoască, la data săvârşirii faptei prejudiciabile, că prepusul a acţionat fără nicio legătură cu atribuţiile sau cu scopul funcţiilor încredinţate.

Din cele de mai sus se desprind condițiile speciale pentru această formă de răspundere, respectiv (i) existența raportului de prepușenie (de autoritate) dintre autorul faptei ilicite și cel chemat să răspundă în calitate de comitent și (ii) fapta ilicită și prejudiciabilă să aibă legătură cu atribuțiile sau scopul funcțiilor autorului faptei ilicite.

În situația de față, autorul faptei de a copia și divulga în mod neautorizat datele angajaților Morrison este un salariat – considerăm că prima condiție de mai sus este îndeplinită, fără a fi necesară o detaliere suplimentară.

În continuare, vom analiza dacă, în accepțiunea Codului Civil, fapta ilicită a salariatului poate fi considerată ca având legătură cu atribuțiile sau scopul funcțiilor autorului faptei ilicite.

În doctrina română[1], legătura dintre fapta ilicită și atribuțiile sau scopul funcțiilor autorului este interpretată extensiv și poate fi de timp, de loc sau de mijloace.

Astfel, răspunderea comitentul poate fi antrenată în condiții relativ facil de demonstrat și există atunci când: prepusul acționează în interesul comitentului și în limitele atribuțiilor încredințate; prepusul își depășește atribuțiile sau și le exercită abuziv iar fapta săvârșită are legătură cu atribuțiile sau scopul funcțiilor; există aparența că prepusul a acționat în legătură cu atribuțiile sau scopul funcțiilor.

Raportat la situația de fapt, salariatul a copiat, cu ocazia îndeplinirii unei sarcini de serviciu, aceste date pe o memorie USB personală și, ulterior, le-a divulgat de la domiciliu pe o platformă online de tip fileshare.

În accepțiunea extensivă a legăturii dintre faptă și atribuțiile sau scopul funcției, salariatul, în timpul programului de muncă și la locul de muncă, a efectuat prima acțiune ilicită, copiind datele personale pe o memorie USB proprie, ceea ce a și facilitat ulterior divulgarea documentelor în mediul online.

Totuși, raportat la alin. (3) al art. 1373, se poate argumenta că victimele (salariații ale căror date au fost copiate și divulgate online) puteau cel puțin să cunoască, la data săvârșirii faptei prejudiciabile, că autorul acționa în afara atribuțiilor de serviciu, în interesul său personal – Salariatul a săvârșit fapta ilicită cu scopul de a se răzbuna pe Angajatorul său, pentru care a menținut o aversiune constantă ca urmare a sancțiunii disciplinare primite cu câteva luni înainte.

Prin urmare, legătura de timp și de loc dintre fapta autorului și atribuțiile sale de serviciu nu ar fi îndeplinită dacă Angajatorul ar putea demonstra că victimele au fost de rea-credință, în sensul în care puteau cunoaște că fapta ilicită a autorului are la bază un interes personal și nu interesul comitentului.

O ipoteză în care fapta salariatului ar îndeplini condițiile de legătură între faptă și atribuții sau scopul funcției, trecând dincolo de discuții doctrinare privind elementul subiectiv al prepusului, ar fi fost cea în care dl. Skelton, subsecvent transferării datelor personale pe unitatea USB personală, pierdea datele din cauza unei securități informatice precare a calculatorului său personal. Scopul său la acest moment putea fi unul personal malițios îndreptat împotriva Angajatorului (răzbunarea pentru sancțiunea disciplinară aplicată) sau putea fi pur și simplu unul de îndeplinire a sarcinilor sale de serviciu (i.e. ar fi putut transfera datele pe dispozitivul său personal pentru a le organiza în afara programului de lucru, din confortul locuinței sale), dar scopul prepusului nu mai prezintă relevanță deja raportat la elementele suficiente ce reies faptic pentru a putea reliefa legătura cerută pentru angajarea răspunderii delictuale a comitentului pentru prepus.

Prin răspunderea comitentului într-o asemenea ipoteză se poate satisface unul dintre scopurile atribuite de doctrina de drept civil acestui tip de răspundere delictuală, anume scopul de garanție pentru activitatea prepușilor unui comitent, adesea aceștia fiind salariații unor persoane juridice. În cursul activității lor, aceste persoane fizice pot adesea săvârși, voit sau nu, fapte ilicite, iar asemenea fapte, dacă nu ar fi imputabile pe cale civilă și persoanei ce controla activitatea prepusului (iar comitentul este, de cele mai multe ori, o persoană juridică), ar determina în multiple situații o imposibilitate pentru victimă de a obține remedii de natură civilă, recte daune- interese, de la autorul direct al faptei prejudiciabile.

Dar aplicând acest raționament de garanție situației din speța analizată de instanța supremă a Regatului Unit, funcția de garanție a răspunderii comitentului pentru prepus ar fi fost excesivă în situația Morrison și a dl. Skelton, întrucât dl. Skelton, din momentul în care a distribuit în mod intenționat datele personale ale celorlalți salariați, a depășit cu mult limitele în care se putea considera că acționa în considerarea atribuțiilor sau funcției sale.

Această depășire a fost de natură a transforma fapta sa dintr-o acțiune săvârșită în continuarea activității sale profesionale în interesul Morrison, activitate pentru care Morrison ar fi avut obligația de garanție, într-o acțiune profund personală, de natură a exclude răspunderea comitentului, soluție ce o considerăm comună atât dreptului civil autohton cât și dreptului civil de common law anglo-saxon din cauza analizată.

***

(B) Coexistența răspunderii comitentului pentru prepus cu răspunderea întemeiată pe prevederile GDPR

Se pune problema dacă, la nivel teoretic, se poate antrena răspunderea angajatorului pentru prepus, totodată cu răspunderea salariatului, în calitate de operator de date personale, întemeiată pe nerespectarea obligațiilor prevăzute de GDPR.

Pentru scopurile acestei secțiuni, vom presupune că angajatorul a respectat toate prevederile GDPR care îi erau aplicabile în mod direct (în caz contrar, angajatorul ar fi răspuns și personal, în mod direct, pentru încălcarea acestora).

Considerăm că, în lipsa unei interdicții exprese din GDPR, cele două forme de răspundere pot coexista.

Întrucât operatorului de date care a încălcat prevederile GDPR i se pot aplica două tipuri principale de sancțiuni, după cum arătăm mai jos, se pune problema de a stabili la care dintre acestea două se raportează răspunderea comitentului pentru prepus.

GDPR prevede două seturi principale de măsuri în cazul încălcării prevederilor sale, aplicabile concomitent:

–  Aplicarea unei amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare; și

–  Plata de despăgubiri către persoanele care au suferit prejudicii materiale sau morale ca urmare a încălcării dispozițiilor GDPR.

Astfel, persoanele prejudiciate de încălcarea obligațiilor din GDPR pot, pe o parte, să depună o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”), și, pe de altă parte, să pornească acțiune în instanță pentru despăgubiri.

Amenda administrativă se aplică de către ANSPDCP de la caz la caz și numai într-o modalitate eficace, proporțională și disuasivă. Preambulul nr. 148 din GDPR menționează că, în cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul amenzii.

Despăgubirile pentru prejudiciile materiale și morale aduse pentru nerespectarea GDPR se acordă indiferent dacă operatorul de date este sancționat de ANSPDCP.

Cele două tipuri de sancțiuni (amenda și plata de despăgubiri) au o natură diferită, motiv pentru se aplică de autorități/organe diferite și pot exista simultan. Astfel, dacă amenda are un caracter administrativ, de ordin public și se aplică pentru nerespectarea prevederilor GDPR (nivelul prejudiciilor produse persoanelor vizate fiind un indicator, printre altele, al valorii amenzii care urmează a se aplica), plata de despăgubiri este un drept intuitu personae al persoanelor vizate care pot demonstra prejudiciul rezultat din încălcarea prevederilor GDPR.

Având în vedere cele de mai sus, considerăm că răspunderea comitentului pentru prepus, care are o natură civilă, de ordine privată, s-ar raporta la răspunderea operatorului pentru plata de despăgubiri.

În acest context, persoanele prejudiciate ar putea, urmând regulile prevăzute de Codul Civil, să cheme în instanță pe salariat, care a produs prejudiciile morale și materiale, pe angajator sau pe ambii, împreună.

Prin urmare, în acest caz, salariatului i-ar fi aplicată amenda administrativă prevăzută de GDPR, fără posibilitatea ca angajatorul să o poată plăti în calitate de comitent, iar angajatorul ar fi chemat să plătească despăgubiri persoanelor prejudiciate, având apoi dreptul de regres împotriva salariatului.

***

Va fi interesant de văzut cum se va dezvolta practica judiciară în acest sens în viitor, atât în România cât și în celelalte state membre, pe măsură ce se vor înmulți cazurile de încălcări ale prevederilor GDPR.

De lege ferenda, considerăm că, cel puțin la nivel intern, ar trebui clarificată procedura prin care persoanele prejudiciate pot solicita despăgubiri de la operatorul de date, pentru a evita interpretările neunitare.


[1] Liviu Pop (coord.), Ionuț-Florin Popa, Stelian Ioan Vidu, Curs de drept civil: obligațiile, Editura Universul Juridic, București, 2015.


Mihai Ioniță, Partner, Pârgaru, Soare și Asociații
Irina Dumea, Associate, Pârgaru, Soare și Asociații


Aflaţi mai mult despre , , , , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]




Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.