Legal Briefings

Scurtă analiză a procedurii de efectuare a investigațiilor de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

 

La aproape șase luni de la aplicarea la nivel european a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („Regulamentul”), Autoritate Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal („ANSPDCP”) a aprobat Procedura de efectuare a investigațiilor („Procedura”).

Deși a fost un document îndelung așteptat într-un domeniu în care jurisprudența nu oferă de fiecare dată răspunsuri controverselor legate de noțiunile și principiile aplicabile prelucrării datelor cu caracter personal, unele aspecte au rămas în continuare neclarificate.

Astfel, Procedura stabilește că investigațiile se pot efectua de către ANSPDCP din oficiu sau la plângerea persoanei vizate. Dacă în cazul plângerilor nu sunt prea multe de spus, dreptul persoanelor vizate de a formula plângeri la autoritățile de supraveghere competente fiind recunoscut de Regulament, investigațiile declanșate din oficiu par a fi un subiect ce merită a fi discutat mai pe larg.

In cazul investigațiilor din oficiu, Procedura stabilește că acestea se pot efectua la propunerea compartimentelor de specialitate din cadrul ANSPDCP, la propunerea președintelui sau a vicepreședintelui autorității, ca urmare a transmiterii notificărilor de încălcare a securității datelor cu caracter personal sau pentru a asigura cooperarea internațională în materia protecției datelor cu caracter personal. Pe lângă aceste situații standard pentru astfel de proceduri, investigațiile din oficiu se pot efectua și pentru verificarea unor date și informații cu privire la prelucrarea datelor cu caracter personal obținute de ANSPDCP din alte surse decât cele ce fac obiectul unor plângeri ale persoanelor vizate sau primite de la o altă autoritate de supraveghere sau o altă autoritate publică.

Procedura merge însă mai departe, arătând că investigațiile din oficiu pot fi declanșate pentru verificarea unor informații din alte surse. Chiar dacă, în aparență, aceste alte surse sunt indicate, de fapt lucrurile sunt mai degrabă neclare. Mai exact, sunt enumerate ca posibile surse: corespondența primită de ANSPDCP, mass-media, accesarea rețelei de internet, documentele de constatare întocmite în urma efectuării altor investigații și alte documente de la nivelul autorității. Nivelul de generalitate al enumerării este evident.

În primul rând, Procedura nu indică expres despre ce fel de corespondență este vorba, prin urmare considerăm că inclusiv e-mail-urile pot reprezenta o astfel de sursă.  Mai mult, este posibil ca investigațiile din oficiu să se bazeze inclusiv pe informații cuprinse în plângerile care nu au îndeplinit condițiile de admisibilitate cerute de lege. Prin urmare, chiar dacă o plângere nu va îndeplini condițiile prevăzute în Decizia nr. 133/2018 privind aprobarea procedurii de primire și soluționare a plângerilor, există posibilitatea ca autoritatea să se autosesizeze în aceste situații și să înceapă o investigație din oficiu, plângerea urmând a fi considerată, simpla corespondență.

Pe de altă parte, includerea mass-media, respectiv a internetului în categoria acestor alte surse ne conduce la concluzia că, în concret, sursa sau caracterul informațiilor în baza cărora ANSPDCP poate efectua o investigație din oficiu nu par să fie limitate, existând posibilitatea ca articole jurnalistice să conducă autosesizarea ANSPDCP. Mai mult, formularea generală „alte documente de la nivelul ANSPDCP” nu poate decât să consolideze nevoia de clarificare din partea autorității competente.

O atenție deosebită ar trebui acordată faptului că ANSPDCP poate să se autosesizeze inclusiv cu privire la anumite aspecte ce privesc datele cu caracter personal constatate cu ocazia unei investigații ce avea un alt obiect. Prin urmare, o nouă investigație poate fi declanșată pentru a se edifica cu privire la constatări realizate cu ocazia altui control. Această posibilitate reiese în mod clar din menționarea documentelor de constatare întocmite în urma efectuării altor investigații ca surse ale informațiilor și documentelor pe baza cărora o investigație poate fi declanșată.

 


 

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

 

 



Pornind de la o comparație cu domeniul concurenței (Procedura fiind similară procedurii de investigație din domeniul concurenței), arătăm că o astfel de abordare din partea ANSPDCP ar trebui să fie una prudentă.

Tocmai o astfel de situație a fost analizată de Curtea de Justiție a Uniunii Europene („CJUE”) într-un caz concert ce a implica chiar Comisia Europeana. Astfel, CJUE care a precizat1 că, potrivit Regulamentului nr. 1/2003 privind punerea în aplicare a normelor de concurență, Comisia Europeană, în calitate de organism de investigare, trebuie să motiveze decizia prin care a dispus o investigație, cu menționarea obiectului și a scopului, nevoia de motivare constituind o cerință fundamentală, întrucât urmărește nu numai să pună în evidență caracterul justificat al investigației preconizate în interiorul întreprinderilor controlate, ci și să le acorde acestora posibilitatea de a înțelege întinderea obligației de colaborare care le revine și garantând în același timp dreptul lor la apărare. Instanța europeană a mai arătat că regulamentul indicat anterior stabilește că informațiile colectate în cursul investigațiilor nu trebuie utilizate în alte scopuri decât cele indicate în mandatul de inspecție sau în decizia de inspecție și că pot fi căutate numai documentele care au legătură cu obiectul inspecției.

Este evident că, în lumina celor de mai sus, ANSPDCP ar trebui să adopte o conduită similară cu cea stabilită de CJUE în sarcina Comisiei Europene și să realizeze investigațiile în materia protecției datelor cu caracter personal cu respectarea celor indicate anterior. Se pune așadar problema asigurării pentru entitățile controlate a dreptului de a se apăra cu ocazia investigațiilor și asta pentru a răspunde principiilor statuate la nivel european.

De ce considerăm relevante aceste aspecte?


Răspunsul se desprinde din chiar textul Procedurii, aceasta statuând, la articolul 8, că, în cadrul investigațiilor pot fi verificate orice aspecte privind respectarea regulilor de prelucrare a datelor cu caracter personal. Cu alte cuvinte, ANSPDCP poate verifica orice aspecte considerate relevate din perspectiva protecției datelor cu caracter personal, neexistând un obiect limitat al investigației efectuate. Mai mult, astfel cum menționam mai sus, există posibilitatea ca, în contextul unei investigații declanșate pe baza anumitor informații obținute de ANSPDCP (având prin urmare, un obiect trasat pe baza respectivelor informații), aceasta să fie extinsă cu privire la aspecte noi, observate de către personalul de control pe durata desfășurării investigației inițiale.

Ne întrebăm, în astfel de situații, cum poate fi asigurat dreptul la apărare al operatorului/persoanei împuternicite? Din punctul nostru de vedere, pe lângă potențiala limitare a dreptului la apărare al entității controlate, o astfel de formulare generală poate avea drept consecință dreptul autorității de a continua investigația până la o eventuală identificare a unei neconformități de natură a justifica o sancțiune.

Mergând mai departe cu analiza noastră, arătăm că neclaritățile cu privire la obiectul investigației subzistă și în contextul articolelor care reglementează pașii pe care autoritatea îi va urma în cadrul unei investigații pe teren. Procedura stabilește că, în cazul acestui tip de investigație, personalul de control ANSPDCP trebuie, printre altele, să prezinte obiectivele investigației și să verifice toate aspectele care au legătură cu obiectul investigației prin solicitarea oricăror informații legate de obiectivele controlului. De asemenea, procesul verbal de constatare/sancționare va conține doar obiectul controlului, nu și obiectivele urmărite.

Limbajul utilizat este ușor confuz și lasă loc de interpretare, cele arătate anterior fiind citate din Procedură. Se poate prezuma că obiectivele investigației vizează, la nivel general, ceea ce echipa de control își propune să verifice, pe când obiectul investigației vizează acele acțiuni concrete ce urmează a fi întreprinse în scopul îndeplinirii obiectivelor controlului, având ca scop stabilirea în concret a potențialei încălcări a operatorului.

La acest moment, în lumina modalității de redactare a Procedurii, ne putem imagina o investigație declanșată de ANSPDCP având ca obiectiv inclusiv „verificarea conformității prelucrării efectuate de operator cu prevederile Regulamentului”, caz în care, prin prisma generalității obiectivului, atât durata controlului, cât și sfera sa nu pot fi anticipate de către operator/persoană împuternicită (fapt cu consecințe grave asupra activității obișnuite a entității controlate).

În acest context este neclar dacă entitatea controlată va putea să conteste procesul verbal de constatare/sancționare sau chiar modalitatea de efectuare a investigației din perspectiva obiectului controlului.

 

Citește continuarea în BizLawyer

Follow Us

Subscribe Our Newsletter

Amazing Deals, Updates & Freebies In Your Inbox

People's Poll

Ati stabilit măsurile ce ar trebui întreprinse pentru conformarea la prevederile Regulamentului (UE) 2016/679 ?
logo

Download Newskit App

Lorem Ipsum is simply dummy text of the printing and
typesetting industry.

banner
© 2017 BMPH. All Rights Reserved.Design & Development by LIDERO Network

Search