« Secţiuni « Articole « RNSJOpiniiPovestim cărţi
Opinii

Perspective privind relația curieri – date cu caracter personal
25.11.2021 | Carmen HUBERT

JURIDICE - In Law We Trust ZRVP
Carmen Hubert

Carmen Hubert

Calificarea prestatorilor de servicii poștale și de curierat ca fiind operatori sau persoane împuternicite ale operatorului care apelează la acest tip de servicii este un subiect cu multiple implicații practice.

Perspectiva prestatorilor acestui tip de servicii cu privire  la calitatea în care acționează a fost, încă din perioada de început a implementării RGPD[1], aceea că un curier nu acționează ca împuternicit al persoanei pentru care face expediția, ci ca operator, în sensul art. 4 pct. 7 din RGPD.

Cu alte cuvinte, prestatorii de servicii poștale și de curierat au precizat că atât beneficiarul expediției, cât și firma de curierat au, în relația cu persoana vizată, calitatea de operatori independenți, scopul și mijloacele prelucrării fiind stabilite de către fiecare dintre aceștia în funcție de realizarea propriului obiect de activitate.

În calificarea acestui tip de prestatori de servicii ca operatori sau împuterniciți, autoritățile de supraveghere și de reglementare la nivel european, par să aibă în vedere două posibile perspective ale contactului curierului cu datele cu caracter personal, respectiv datele personale prelucrate în vederea expedierii și datele personale ce se pot regăsi în conținutul trimiterii poștale.

1. Cu privire la datele cu caracter personal prelucrate în vederea expedierii, în prezent, opinia majoritară este că un prestator de servicii poștale și de curierat, deși acționează la cererea și conform instrucțiunilor clientului său, este operator, întrucât decide independent ce date urmează a fi prelucrate și, ulterior, le prelucrează conform propriilor reguli, în vederea livrării.

Este de amintit aici și punctul de vedere consemnat în Avizul nr. 1/2010 al Grupului de lucru constituit conform art. 29 din Directivă (anterior, așadar, RGPD), conform căruia, în cazul externalizării serviciilor poștale de către autoritățile publice, prestatorii serviciului poștal “ar trebui să aibă rolul de persoane împuternicite, având în vedere că îndatorirea acestora, deși exercitată cu un anumit grad de autonomie, se limitează doar la o parte din operațiunile de prelucrare necesare în scopul stabilit de operatorul de date”.

Ulterior însă, după adoptarea RGPD, calificarea dată a fost diferită, arătându-se[2] că prestatorul de servicii de poștă (curierat) este operator independent cu privire la datele pe care le deține în vederea livrării și urmăririi livrării, cum ar fi datele expeditorului sau ale destinatarului.

Elementele avute în vedere pentru această calificare sunt că prestatorul de servicii de poștă (curierat),  decide ce date vor fi prelucrate și în ce modalitate, astfel încât să se realizeze expediția încredințată de către clientul său.

În fine, această abordare pare a se regăsi și în practica Autorității Naționale de Supraveghere, care la data de 15.07.2020[3] a finalizat o investigație la un principal operator din domeniu și a constatat că acesta a încălcat prevederile art. 32 din RGDP, referitoare la securitatea prelucrării, în legătură cu date personale colectate în vederea expedierii.

2. Cât privește prelucrarea de către curier a datele personale cuprinse în conținutul trimiterii poștale (ce este în plic), opinia cel mai clar asumată este cea a ICO[4].

Se arată în Ghidul citat că prestatorul de servicii poștale nu este nici operator, nici persoană împuternicită în relația cu conținutul plicului, întrucât acesta nu prelucrează deloc acele date.

Aceasta deoarece ”prelucrarea datelor cu caracter personal, inclusiv deținerea acestora, implică un grad de acces la sau capacitatea de a controla sau utiliza datele în sine, nu doar deținerea fizică a scrisorilor sau pachetelor care conțin datele. Termenul „deținere”, așa cum este folosit în definiția „prelucrării”, implică mult mai mult decât simpla deținere a unui obiect fizic care conține date cu caracter personal.”

Se arată, în continuare, că prestatorul de servicii poștale este un simplu canal între expeditor și  destinatar, dat fiind că nu exercită niciun control asupra scopului în care sunt utilizate datele cu caracter personal din corespondența care îi este încredințată și nu are control asupra conținutului datelor cu caracter personal care i-au fost încredințate.

Un caz particular cu implicații practice din perspectiva obligațiilor și răspunderilor specifice în materia prelucrării datelor cu caracter personal, îl reprezintă pierderea, deteriorarea sau chiar furtul trimiterii poștale care conține date cu caracter personal.

În opinia citată, a ICO, în cazul unui astfel de eveniment răspunderea specifică ar aparține operatorului care a decis să folosească o astfel de modalitate de transport a datelor cu caracter personal și nu a asigurat condițiile pentru securitatea datelor, răspunderea curierului fiind atrasă doar cu privire la securitatea fizică a pachetului, a corespondenței expediate.

Totuși, această abordare pare a fi contrazisă de către Autoritatea Națională de Supraveghere, care în data de 28.10.2019[5] a finalizat o investigație la un alt operator de servicii de curierat și a constatat că acesta a încălcat prevederile art. 32 alin. (1) și alin. (2) din RGPD.

Sancțiunea a fost aplicată operatorului întrucât acestanu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, număr card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si număr card identitate, număr cont IBAN, limita credit aprobat, adresa de corespondenta) și la divulgarea/accesarea neautorizată a datelor cu caracter personal, (…), deși operatorul avea obligația luării măsurilor de securitate adecvată a datelor cu caracter personal potrivit dispozițiilor art. 5 alin. (1) lit. f din RGPD.”


[1] Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
[2] Ghid privind operatori si persoane împuternicite, versiunea 1.0, emis de ICO – Information Comissioner s Office Marea Britanie – punctele 33-39 – Disponibil aici
[3] Disponibil aici
[4] Ghid privind operatori si persoane imputernicite, versiunea 1.0, emis de ICO – Information Comissioner s Office – Marea Britanie – punctele 33-39 – Disponibil aici
[5] Disponibil aici


Carmen Hubert, Partner CONSTANTINOF & ASOCIAȚII

* Opinie susținută în legătură cu dezbaterea Datele personale în mers: Poștă și Curierat, ediția 495, organizată de Societatea de Științe Juridice (SSJ)

 
Secţiuni: Cyberlaw, Data protection, JURIDICE.ro, Opinii, Selected | Toate secţiunile
Cuvinte cheie: , , , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
Concurs eseuri ZRVP

Lasă un răspuns

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD