Ghidul practicienilor în insolvență referitor la protecția datelor cu caracter personal (GDPR / RGPD)
Acest ghid a fost elaborat de Uniunea Națională a Practicienilor în Insolvență din România (UNPIR) în colaborare cu echipa GDPR Complet (www.gdprcomplet.ro - S.C. Amplusnet S.R.L.), care oferă serviciile de Responsabil cu Protecția Datelor (DPO) Externalizat pentru UNPIR și Filialele UNPIR, și cu conf. univ. dr. Nicolae Ploeșteanu.
Textul de mai jos reprezintă o primă versiune a acestui ghid, publicată cu precizarea că în urma consultării autorității (ANSPDCP) și a practicienilor în insolvență textul ar putea suporta modificări, actualizări sau adăugiri.
Preluarea în întregime sau parțială a textului se va face doar cu precizarea sursei.
Preliminarii
Acest proiect de ghid este necesar pentru practicienii în insolvență, deoarece aceștia utilizează datele cu caracter personal ale persoanelor fizice din cadrul societăților debitoare. Aceste date au o protecție specifică stabilită de Regulamentul General privind Protecția Datelor (RGPD) [1], precum și de legislația națională[2].
Ghidul este elaborat inclusiv cu recomandări ale Autorității Naționale de Supraveghere a Datelor cu Caracter Personal (ANSPDCP). Cu toate acestea, regulile din ghid vor avea un caracter de soft law, fără a înlocui în vreun fel niciuna dintre regulile RGPD sau normele cu caracter de lege adoptate de instituțiile și autoritățile din România sau din Uniunea Europeană[3].
Ghidul urmărește să îndrume practicienii în insolvență cu prioritate în interacțiunea lor cu debitori, creditori și alte persoane implicate în procedura insolvențe și, totodată, să țină cont de principiile de prelucrare a datelor organizarea și funcționarea formei de exercitare a profesiei. Conformarea formei de exercitare a profesiei la RGPD va fi țintită în mod indirect, datorită conștientizării practicianului în insolvență cu privire la domeniul protecției datelor și a vieții private a persoanelor fizice.
Metodologia care stă la baza conceperii acestui ghid este inspirată din metodologia realizării de către Comitetul European pentru protecția datelor[4] a instrucțiunilor, orientărilor și ghidurilor, precum și prin consultarea comparativă a documentelor și normativelor din alte țări ale Uniunii Europene.
Este important de cunoscut și înțeles că domeniul protecției datelor cu caracter personal nu este reglementat exclusiv de RGPD. Există și alte normative europene și naționale care se intersectează și, uneori, creează un fel de complexitate sporită a arhitecturii juridice a domeniului:
- Directiva(UE) 2016/680[5], transpusă prin Legea nr. 363/2018 – pentru situațiile în care prelucrarea datelor personale se realizează în scopul prevenirii sau cercetării faptelor infracționale;
- Directiva e-privacy[6], transpusă prin Legea nr. 506/2004 – pentru comunicațiile electronice;
- Directiva NIS[7] și Legea nr. 362/2018 – pentru unele aspecte care sunt componentă a garanțiilor pretinse de RGPD
- Legea nr. 365/2002 privind comerţul electronic, republicată
- Legea drepturilor pacientului nr. 46/2003
- Codul Civil român
- Alte câteva legi sectoriale.
Dincolo de existența unui hățiș legislativ în acest domeniu, ceea ce simplifică oarecum lucrurile este existența comună a principiilor de protecție a datelor, diferențele manifestându-se mai mult datorită specificului fiecărui domeniu.
RGPD a fost adoptat în anul 2016 și a devenit aplicabil la 25 mai 2018 în Uniunea Europeană, fiind actul normativ de bază în domeniul protecției datelor cu caracter personal, stabilind inclusiv legătura sa cu alte acte normative sau domenii.
Este recomandabil pentru practicienii în insolvență ca atunci când se confruntă cu prelucrări însemnate de date cu caracter personal precum și atunci când sunt în prezența unui posibil incident de securitate să apeleze la consultanți cu expertiză în acest domeniu.
Atunci când încercăm să înțelegem aplicat domeniul protecției datelor cu caracter personal trebuie să știm de la bun început că obiectivele RGPD sunt două și trebuie privite întotdeauna împreună:
- protecția persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal
- libera circulație a acestor date
În media s-a creat un curent de informare adesea greșit, punându-se accentul doar pe protecția persoanelor fizice, cu toate că în realitate RGPD protejează și libera circulație a datelor[8].
În prezentul ghid atunci când se face referire la operatorul de date, de regulă, avem în vedere inclusiv orice altă individualizare a operatorului, cum ar fi operator asociat sau împuternicit al operatorului de date. Excepția este atunci când se descrie în concret relația dintre operatorul de date și împuternicit al operatorului sau operatorii asociați.
Concepte cheie definite legal
Definiția conceptelor de mai jos este dată la articolul 4 din RGPD:
1. „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
2. „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
3. „restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
4. „creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
5. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
6. „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
7. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
8. „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
9. „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
10. „parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
11. „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
12. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
13. „date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
14. „date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
15. „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
16. „sediu principal” înseamnă:
(a) în cazul unui operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;
(b) în cazul unei persoane împuternicite de operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligații specifice în temeiul prezentului regulament;
17. „reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul prezentului regulament;
18. „întreprindere” înseamnă o persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică;
19. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;
20. „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
21. „autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;
22. „autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:
(a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective;
(b) persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
(c) la autoritatea de supraveghere respectivă a fost depusă o plângere;
23. „prelucrare transfrontalieră” înseamnă:
(a) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; sau
(b) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre;
24. „obiecție relevantă și motivată” înseamnă o obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii;
25. „serviciile societății informaționale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European și a Consiliului (19);
26. „organizație internațională” înseamnă o organizație și organismele sale subordonate reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord.
Orientări generale
1. Practicienii în insolvență interacționează cu persoane juridice, ceea ce înseamnă că nu este aplicabil direct RGPD, deoarece regulamentul protejează doar persoanele fizice. Cu toate acestea, în procedura insolvenței intervin și activități care presupun prelucrarea de date cu caracter personal, cum este cazul preluării unor baze de date cu angajații debitoarei.
2. Totodată, practicienii în insolvență prelucrează date cu caracter personal atunci când respectă prevederile legislative în valorificarea bunurilor din dosarul de insolvență (licitații, vânzări directe, alte tranzacții etc.)
3. Dincolo de obiectivele aspectele legate de bunuri și creanțe, managementul activității de insolvență este strict dependent de prelucrarea de date cu caracter personal, cum sunt cele:
- ale persoanelor din cadrul instanțelor judecătorești, implicate în procedura de insolvență;
- ale creditorilor sau reprezentanților acestora;
- ale administratorului special;
- ale persoanelor fizice care fac parte din organele de administrare în perioada de observație;
- ale terților cocontractanți în cadrul posibilelor acte frauduloase;
- ale participanților la procedurile judiciare și extrajudiciare;
- ale reprezentanților organelor profesiei de practician în insolvență;
- ale celor care sunt organe de urmărire penală, după caz[9]
Însă pachetele de date cele mai importante sunt cele conținute în bazele de date ale debitoarei și la care practicianul în insolvență va avea acces în calitatea sa de administrator judiciar. Pentru aceste motive, practicianul în insolvență trebuie să fie complet atent la modul de gestionare a datelor, astfel încât orice acțiuni în legătură cu aceste date să fie conforme cu RGPD.
4. Practicianul, atunci când acționează în capacitatea sa oficială, poate fi operator de date cu caracter personal sau împuternicit al operatorului. Atunci când practicianul stabilește scopul și mijloacele prelucrării de date, va fi operator de date. Atunci când acționează pentru un scop stabilit de o altă entitate, care i-a stabilit și mijloacele prelucrării, atunci practicianul are calitatea de „împuternicit al operatorului de date”.
Diferența dintre cele două calități este dată de întinderea răspunderii și a obligațiilor ce rezultă în temeiul RGPD. Prelucrările de date necesită încheierea unui acord de protecție a datelor, prevăzut la articolul 28 din RGPD, prin care se stabilesc garanțiile necesare unei prelucrări conforme cu RGPD[10]. Calitatea de ”operator” sau ”împuternicit” se stabilește în funcție de scopul și mijloacele prelucrării datelor cu caracter personal, iar decisiv este controlul pe care îl are o entitate asupra acestor două aspecte.
5. Practicianul acționează în numele sau pe seama unei debitoare, însă scopurile sale specifice sunt stabilite de lege, iar deciziile sale sunt proprii calității sale de practician în insolvență, astfel că de regulă el acționează în calitate de operator de date, iar nu de împuternicit al operatorului. Din acest motiv există o serie de obligații care îi revin față de persoanele fizice vizate. De exemplu, în prima comunicare cu creditorii, personalul debitoarei sau alte persoane fizice relevante, în legătură cu desemnarea sa ca administrator sau lichidator judiciar, practicianul ar trebui să informeze destinatarii și în legătură cu:
- categoriile de date la care are acces;
- tipurile de prelucrări pe care le poate realiza;
- drepturile pe care le pot exercita în conformitate cu RGPD.
O asemenea informare ar trebui să fie cât mai clară pentru a avea eficiența potrivită[11].
6. Datele cu caracter personal obținute în mod obișnuit de către practician sunt:
- date referitoare la angajați
- date obținute în cadrul comunicărilor cu creditorii, pentru a le permite formularea pretențiilor, calcularea dividendelor etc.
- date obținute cu prilejul realizării unor chestionare adresate managementului companiei sau unor persoane abilitate referitoare la afacerile companiei.
Practicianul prelucrează aceste date, în general, pentru:
- auditarea și stabilirea situației de fapt concrete a companiei;
- stabilirea căilor adecvate pentru recuperarea unor creanțe;
- întocmirea unor rapoarte către persoanele prevăzute de lege, în timpul și ceea ce privește etapele procedurii.
Date fiind aceste prelucrări de date, este util ca practicianul să emită către toate persoanele interesate o notă de informare cu privire la politica sa de confidențialitate, adoptată în cadrul procedurii de insolvență. O asemenea politică de confidențialitate trebuie să fie specifică, iar nu generică[12].
Lichidatorii și administratorii judiciari
7. La momentul desemnării sale ca administrator judiciar[13], practicianul va acționa ca un agent al debitoarei. Totodată, practicianul are rolul de a stabili situația financiară a debitoarei și tabelul de creanțe, motiv pentru care el va avea calitatea de operator de date, deoarece aceste scopuri sunt specifice procedurii de insolvență, iar practicianul este cel care stabilește scopul și mijloacele prelucrării datelor cu caracter personal.
8. Pentru îndeplinirea funcțiilor sale, adesea administratorul judiciar apelează la specialiști[14]. Aceștia vor fi împuterniciți ai operatorului de date, astfel că este important ca între practician și respectivii furnizori de servicii să se încheie un acord de protecție a datelor din categoria celor prevăzute de articolul 28 din RGPD.
9. Acolo unde sunt contracte încheiate între debitoare și terți, cu prelucrare de date cu caracter personal, practicianul ar trebui să verifice existența garanțiilor de protecție a datelor și conformitatea prelucrării de date cu cerințele RGPD.
Responsabilul cu protecția datelor
Funcția de DPO (”data protection officer” – responsabil cu protecția datelor), sarcinile și atribuțiile acestuia sunt prevăzute la articolele 37-39 din RGPD. Atunci când debitoarea face parte din entitățile care au obligația desemnării unui DPO ori și-au desemnat un DPO, este recomandat pentru administratorul judiciar să apeleze la serviciile acestui DPO pentru a stabili politica de prelucrare a datelor în perioada de exercitare a funcțiilor sale de administrator.
Chestiunea dacă practicianul are obligația de a își angaja propriul DPO este una de dezbatere.
Potrivit ANSPDCP, cabinetele individuale de insolvență (similar cabinetelor de avocat), nu au obligația numirii unui responsabil în concordanță cu Ghidul privind responsabilul cu protecția datelor, emis de Comitetul European pentru Protecția Datelor. Însă este important de reținut că obligația de a numi un DPO nu are legătură cu numărul de angajați pe care îi are o companie, ci cu specificul activității desfășurate.
Cu toate acestea, este recomandabil ca practicianul să consulte autoritatea de supraveghere (ANSPDCP) atunci când apar neclarități legate de obligația desemnării unui DPO.
Prevederile RGPD și ale Legii 190/2018 privind unele măsuri de implementare a RGPD pot fi interpretate în sensul că practicianul are nevoie de un DPO propriu atunci când:
- se prelucrează un număr mare de date cu caracter personal la o scară mare și în mod sistematic;
- se prelucrează în mod organizat date cu caracter sensibil la o scară mare.
Legea 190/2018 stabilește obligativitatea DPO inclusiv ca o măsură de garanție a protecției persoanelor vizate atunci când se prelucrează date sensibile („speciale”).
O bună practică ar putea fi contractarea externalizată a DPO în calitate de specialist atunci când cazul concret de insolvență ridică problematici de acest fel.
Cele șapte principii de prelucrare a datelor
Articolul 5 din RGPD stabilește principiile de prelucrare, enunțând că datele personale trebuie să fie[15]:
a) prelucrate în mod legal, echitabil și transparent față de persoana vizată;
b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
d) exacte și, în cazul în care este necesar, să fie actualizate;
e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale;
g) Operatorul este responsabil de conformitatea cu principiile enunțate la lit. a-f de mai sus și trebuie să demonstreze această conformitate.
Legalitatea prelucrării datelor personale care nu au un caracter sensibil și nu fac parte din categorii speciale de date
Articolul 6 din RGPD stabilește situațiile în care o prelucrare se bucură de legalitate, anume atunci când:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Interesul legitim ca bază legală (pentru categorii de date personale fără caracter special)
Respectarea principiului legalității, echității și transparenței, prevăzut de art.5 alin.(1) din RGPD presupune existența unui temei legal al prelucrării, iar interesul legitim[16] este unul dintre acestea, prevăzut de art.6 alin.(1) lit. f) din RGPD.
Interesul legitim ca bază legală diferă oarecum de celelalte temeiuri de legalitate prevăzute la articolul 6 din RGPD, deoarece nu este atât de specific precizat scopul prelucrării și nu este definită atât de clar legitimitatea unei astfel de prelucrări; pe de altă parte, fiecare dintre celelalte prelucrări are ca fundament legitimitatea prelucrării. Altfel spus, pentru toate situațiile prevăzute la articolul 6 există un interes legitim al prelucrării, motiv pentru care situația prevăzută la lit. f) trebuie analizată cu atenție pentru a nu reprezenta o „cutie a Pandorei” utilizată de operatorii de date ori de câte ori nu au un aparent temei legal de prelucrare în celelalte situații prevăzute de articolul 6.
Pentru utilizarea acestui temei legal în sensul strict prevăzut de articolul 6 lit. f) din RGPD este necesar ca operatorul de date să realizeze o evaluare a circumstanțelor pentru oricare caz în parte și să identifice interesul legitim, după care să realizeze un test de proporționalitate între necesitatea prelucrării datelor de către el sau un terț, pe de o parte și interesele, drepturile și libertățile persoanei fizice vizate, pe de altă parte.
De aceea, utilizarea interesul legitim ca temei legal al prelucrării datelor trebuie să fie însoțită de condiția unui test comparativ, ale cărui elemente esențiale sunt următoarele:
1. Testul scopului – este vreun interes legitim pentru a realiza prelucrarea?
2. Testul necesității – este prelucrarea necesară pentru atingerea acelui scop?
3. Testul echilibrului sau proporționalității – interesul legitim primează asupra intereselor, drepturilor și libertăților persoanei vizate?
Acest test semnifică faptul că prelucrarea de date nu se poate realiza prin îndeplinirea simplei condiții de existență a unui interes legitim, ci este necesar să fie îndeplinite toate cele trei elemente ale testului.
Legalitatea prelucrării categoriilor de date sensibile
Articolul 9 alin. (2) din RGPD stabilește situațiile și condițiile în care se poate realiza prelucrarea de date sensibile, a căror prelucrare este stabilită ca interdicție generală; altfel spus, se stabilesc excepțiile de la această interdicție a prelucrării.
Următoarele categorii de date sunt considerate „sensibile” sau „speciale” și stabilite de articolul 9 alin.(1) din RGPD:
a) originea etnică sau rasială;
b) opiniile politice;
c) convingerile religioase sau filozofice;
d) apartenența la sindicat;
e) datele privind starea de sănătate;
f) datele privind viața sexuală sau orientările sexuale;
g) date biometrice pentru identificarea unică a unei persoane fizice;
Pentru ca asemenea date să fie prelucrate este necesar să fie îndeplinit unul dintre următoarele temeiuri juridice:
a) persoana vizată și-a exprimat consimțământul în mod explicit;
b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale;
c) prelucrarea este necesară pentru protejarea intereselor vitale ale unei persoane;
d) prelucrarea este efectuată în cadrul activităților lor legitime de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical;
e) prelucrarea privește date personale care au fost în mod vădit făcute publice de către persoana vizată;
f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;
g) prelucrarea este necesară din motive de interes public major;
h) prelucrarea este necesară pentru scopuri de medicină preventivă sau ocupațională;
i) prelucrarea este necesară pentru motive de sănătate publică;
j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice
Ori de câte ori prelucrează date sensibile, operatorul de date trebuie să respecte și condițiile prevăzute la articolul 9 din RGPD.
Prelucrarea datelor personale referitoare la condamnări penale și infracțiuni
O asemenea prelucrare este avută în vedere de articolul 10 din RGPD, cuprinzând condițiile pentru legalitatea prelucrării datelor referitoare la condamnări penale, infracțiuni și la măsuri de securitate conexe. Practicianul trebuie să țină cont de existența unor condamnări penale în mai multe ipoteze:
- atunci când se ivește ipoteza încheierii unui concordat preventiv[17] în condițiile articolului 16 și urm. din Legea nr. 85/2014;
- atunci când se demarează procedura de faliment[18] a debitorului în condițiile articolului 65 și urm. din Legea nr. 85/2014;
- atunci când practicianul în insolvență, în calitatea de administrator/lichidator judiciar, constată[19] decăderea creditorului din dreptul de a fi înscris pe tabelul creditorilor;
- atunci când este implicat într-o procedură de reorganizare pe baza unui plan[20];
- atunci când este implicat în procedurile de insolvență și constată posibila săvârșire a unor infracțiuni[21];
- atunci când este implicat în activitățile pentru realizarea creanțelor asupra averii debitorului și sunt demarate procese penale împotriva acestuia[22];
- atunci când a început procedura insolvenței[23];
- atunci când practicianul, în calitate de administrator sau lichidator săvârșește fapte penale[24];
- atunci când ia cunoștință de atribuțiile sale în timpul unei judecăți specifice[25];
Situațiile de mai sus nu sunt limitative. Important pentru practician, în contextul datelor privind condamnări penale sau infracțiuni, este că NU pot constitui un registru cuprinzător referitor la acestea decât sub controlul unei autorități de stat. Aceasta înseamnă, spre exemplu, că informațiile culese în activitatea de insolvență nu pot fi stocate sau prelucrate de către practician pe propriile calculatoare în tabele și evidențe cuprinzătoare, dar nici pe suport de hârtie. Prelucrarea acestor date trebuie să fie realizată în modalități și situații strict prevăzute de lege, interesul fiind a tuturor celor implicați, începând de la practician, la Oficiul Registrului Comerțului sau instanța de judecată, până la creditori și persoana vizată. Condițiile prevăzute de articolul 10 RGPD se aplică cumulativ cu, în funcție de caz, temeiul juridic concret conferit de articolul 6 din RGPD.
Îndeplinirea unei obligații legale sau exercitarea autorității publice
Acest temei al prelucrării datelor personale nu este neapărat specific procedurii de insolvență, cu toate acestea anumite elemente evidențiază că practicianul desfășoară o activitate de interes public:
- contribuie la finalizarea unor proceduri economice cu valoare fundamentală la nivel social și etatic;
- activitatea acestora este strict reglementată de legea națională;
- desfășurarea activității de insolvență are loc sub controlul cel mai important dintr-o societate, anume acela al instanțelor judecătorești.
La aceste considerente generale se adaugă raționamentul că numeroase atribuții sunt date practicianului tocmai de către instanța de judecată, astfel că nu este deplasat să se afirme că aceștia acționează în exercitarea autorității publice.
Ca urmare, orice prelucrare de date personale care este necesară și proporțională cu îndeplinirea unor asemenea atribuții va fi legală în conformitate cu articolul 6 din GDPR.
Acest temei juridic însă nu va înlătura obligația practicianului în insolvență și a companiei aflate în insolvență de a se asigura cu privire la conformitatea cu GDPR. Pentru acest motiv, orice desemnări realizate de instanța de judecată în cadrul procedurii de insolvență pot avea ca fundament temeiul juridic amintit. Spre exemplu, realizarea unei vânzări sau executarea unui contract de împrumut. Cu toate acestea, toți cei implicați în această activitate trebuie să respecte prevederile RGPD.
Drepturile persoanelor vizate
RGPD stabilește o serie de drepturi pe care le are persoana vizată în relația cu operatorul de date. RGPD se concentrează asupra persoanei fizice vizate, astfel că introduce în special drepturi individuale, dictează noțiunea de transparență și impune principiul responsabilității, astfel încât să genereze eficiența drepturilor individului.
Operatorii de date trebuie să ia în considerare toate drepturile acordate de RGPD persoanelor fizice, cu atât mai mult cu cât vor trebui să demonstreze conformitatea cu obligațiile impuse de RGPD.
Articolele 12-22 și articolul 34 din RGPD stabilesc drepturile persoanelor fizice, care sunt prezentate în mod succint astfel:
1) Dreptul de acces;
2) Dreptul de a fi uitat;
3) Dreptul de restricționare a prelucrării;
4) Dreptul de opoziție;
5) Dreptul de a nu fi supus unei decizii automatizate;
6) Dreptul la portabilitate
Niciunul dintre drepturile de mai sus nu sunt absolute și limitele lor sunt prevăzute de RGPD și de legislația sau practica națională.
Dreptul de acces
Persoanele vizate au dreptul de a obține de la operatorul de date un răspuns dacă le-au fost prelucrate date cu caracter personal și în ce fel.
În răspunsul la solicitare operatorul trebuie să emită o informare legată de toate prelucrările datelor sale personale, mai ales cu privire la:
- scopul exact și specific al prelucrării
- categoriile de date prelucrate
- către cine au fost transmise datele respective
- perioada de stocare a respectivelor prelucrări
- posibilitatea de exercitare a dreptului de rectificare sau ștergere
- faptul că persoana vizată poate să reclame către autoritate (ANSPDCP) orice prelucrare considerată este abuzivă sau prejudiciantă
- faptul că persoana vizată poate să reclame la ANSPDCP dacă datele personale au fost prelucrate într-un format automatizat, iar în baza respectivei prelucrări s-a generat o decizie în mod automat.
Operatorul de date este obligat, atunci când persoana fizică solicită, să furnizeze o copie după datele personale într-un termen de o lună și în mod gratuit; Cu toate acestea, dacă se solicită ulterior o nouă copie după respectivele date, atunci se poate impune o taxă rezonabilă care să acopere cheltuielile corespondente.
Atunci când solicitarea de acces a persoanei vizate este în mod vădit abuzivă sau lipsită de vreun temei, operatorul de date trebuie să analizeze dacă impune o taxă aferentă cheltuielilor de comunicare și copiere sau realizare a documentației solicitate, precum și dacă este în postura de a refuza să dea curs unei asemenea cereri.
Spre exemplu, o persoană fizică ar putea fi debitor al societății aflate în procedura de insolvență, vizat de o procedură de executare silită. O asemenea persoană, pentru a ține sub presiune creditorul, ar putea apela la o serie de prevederi ale RGPD pentru a îngreuna recuperarea creanței, formulând o serie de cereri către practician pentru a i se furniza documente aferente creanței sale și care conțin date cu caracter personal care o privesc.
Cu toate acestea, majoritatea documentelor au fost deja comunicate persoanei fizice în contextul procedurilor de executare și firesc este ca persoana fizică să le fi păstrat pentru a-și apăra propriile drepturi, în special dreptul la apărare.
Atunci, o solicitare de informare cu privire la aceste prelucrări legate de începerea executării nu este una firească decât atunci când nu i-au fost comunicate în prealabil actele ce stau la baza creanței și dovezile legate de lichiditate, certitudine și exigibilitate. În funcție de cazul concret și de analiza practicianului se poate lua decizia informării, impunerii unei taxe rezonabile sau chiar a comunicării unui refuz în privința solicitării formulate.
Este important atunci când practicianul impune taxe pentru oferirea unei copii, sau refuză informarea persoanei vizate, să demonstreze din ce motiv cererea acesteia este în mod vădit abuzivă sau neîntemeiată.
Este recomandat ca în astfel de situații practicianul să aibă o comunicare extrem de flexibilă cu persoana vizată, deoarece o concluzie pertinentă poate fi obținută doar în urma unei consultări directe. Totodată, ar trebui apelat la serviciile unui consultant RGPD, cu atât mai mult cu cât refuzul în cazul exercitării dreptului de acces al persoanei vizate este analizat extrem de atent de către autoritate.
Limitări și restricții în ceea ce privește exercitarea drepturilor persoanelor vizate
Articolul 23 din RGPD prevede anumite restricții sau limitări ale întinderii dreptului la protecția datelor și a unor drepturi corelative sau incidente concomitent într-un anumit context. Condițiile și situațiile când astfel de limitări ar putea fi dispuse sunt următoarele:
„(1) Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a asigura:(a) securitatea națională; (b) apărarea; (c) securitatea publică; (d) prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora; (e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale; (f) protejarea independenței judiciare și a procedurilor judiciare; (g) prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate; (h) funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(e) și (g); (i) protecția persoanei vizate sau a drepturilor și libertăților altora; (j) punerea în aplicare a pretențiilor de drept civil.
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește: (a) scopurile prelucrării sau ale categoriilor de prelucrare; (b) categoriile de date cu caracter personal; (c) domeniul de aplicare al restricțiilor introduse; (d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal; (e) menționarea operatorului sau a categoriilor de operatori; (f) perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare; (g) riscurile pentru drepturile și libertăților persoanelor vizate; și (h) dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.”
Atunci când practicianul realizează o prelucrare prin care limitează drepturile persoanei vizate, o astfel de prelucrare trebuie să îndeplinească condiția legalității, anume să fie „prevăzută de legea” română sau de dreptul Uniunii.
În privința legii române avem Legea nr. 190/2018 privind unele măsuri de aplicare a RGPD, care stabilește atât prelucrarea unor categorii speciale de date, precum și câteva derogări în ceea ce privește prelucrarea datelor personale.
Nu avem dispoziții exprese în ceea ce privește activitatea practicianului și anumite derogări, însă sunt de interes unele dispoziții când este permisă stabilirea unor derogări, cum ar fi „prelucrarea datelor în scopuri de arhivare în interes public”[26].
Operațiunile de arhivare în cadrul activităților de insolvență sunt impuse adesea prin lege și reglementări specifice. Astfel spre exemplu, articolul 62 alin.(6) din Legea 85/2014 face referire explicită la ipoteza utilizării unor specialiști în domeniul arhivării documentelor, prelucrare impusă de lege[27].
În activitatea practică și de reglementare, privită în context european, iar nu neapărat românesc, putem observa o serie de situații care aparent reprezintă derogări în privința prelucrării datelor în sensul articolului 23 din RGPD, însă nu se poate constata o reglementare extrem de clară și precisă.
O situație, spre exemplu, ar fi aceea în care la solicitarea de informații realizată de către practician în faza premergătoare lichidării, cu scopul de a ajunge la inventarierea bunurilor debitorului, nu i se răspunde acestuia din anumite motive, caz în care instanța de judecată a apreciat că un asemenea refuz (a se înțelege un refuz de prelucrare de date!) poate fi sancționat cu amendă judiciară raportat la dispozițiile art. 96 din Legea nr. 85/2014 coroborat cu art. 187 alin. (1) pct. 2 lit. i) din Codul de procedură civilă, deoarece împiedică exercitarea atribuțiilor judecătorului-sindic[28].
O asemenea, situație poate fi privită strict din perspectiva unui refuz de prelucrări de date cu caracter personal, din varii motive, dar legea specifică a insolvenței stabilește competența practicianului de a solicita informații de la autorități pentru a cunoaște situația debitoarei supusă procedurilor de insolvență.
Legea ar fi mai clară și precisă dacă ar identifica acest gen de situații ca unele cărora le pot fi aplicabile prevederile de la articolul 23 lit. (f) din RGPD, care permite o derogare pentru protejarea independenței judiciare și a procedurilor judiciare. Sigur că prevederea trebuie interpretată destul de larg, în sensul că este permisă o prelucrare de date cu caracter personal pentru a se asigura îndeplinirea de către judecătorul sindic a atribuțiilor sale[29].
O altă situație cunoscută în practica de reglementare din unele state europene[30] este restrângerea la care face referire articolul 23 alin. (1) lit. e) din RGPD, anume atunci când o restrângere a drepturilor persoanelor vizate este necesară pentru atingerea unor obiective importante de interes public general ale Uniunii sau ale unui stat membru. Acestea ar include:
1. pierderile financiare sau prejudiciile datorate conduitelor inadecvate, necinstite sau malpraxis-ului, ori datorate incompetenței și incapacității persoanelor implicate în operațiunile bancare, de asigurări, de investiții sau de furnizare a altor servicii financiare, sau în managementul corporațiilor sau a altor entități;
2. pierderile sau prejudiciile financiare datorate conduitei acelor persoane fizice care au fost declarate în stare de faliment;
3. pierderile sau prejudiciile financiare datorate conduitei acelor persoane fizice care au fost implicare în managementul unei corporații care se află în administrare, reorganizare sau lichidare judiciară.
Cum situații precum cele de mai sus nu sunt cuprinse într-un instrument legislativ, este important de știut că restrângerea drepturilor persoanelor vizate nu poate fi realizată, deoarece pentru restrângere lipsește condiția previzibilității fundamentată pe baza unei norme clare care să stabilească posibilitatea restrângerii.
Altfel spus, măsura restrângerii trebuie să fie prevăzută de lege.
Responsabilitățile operatorilor de date
Fiecare operator de date trebuie să se asigure și să poată să demonstreze conformitatea cu RGPD. Această rezoluție constituie un principiu prevăzut de articolul 6 alin. (2) din RGPD și presupune din partea oricărui operator de date să adopte măsuri tehnice și organizatorice, inclusiv elaborarea și implementarea unor politici adecvate de protecție a datelor.
Când doi sau mai mulți operatori de date stabilesc împreună scopurile și mijloacele de prelucrare atunci ei sunt operatori asociați. Operatorii asociați trebuie să își stabilească în mod transparent responsabilitățile corespunzătoare pentru a fi în conformitate cu RGPD. Persoanele vizate pot să își exercite drepturile împotriva oricăruia dintre operatorii de date, indiferent de termenii și clauzele stabilite în înțelegerea dintre aceștia.
Operatorii de date implicați în procedurile de insolvență pot stabili scopuri legale pentru care în anumite situații să restrângă exercițiul drepturilor persoanelor vizate, însă domeniul ar trebui mult mai exact reglementat de legiuitor, chiar dacă printr-un act normativ care să nu ia forma unei legi.
Cu toate acestea, atât persoana împuternicită cât și operatorul de date pot să își declare voința de a respecta în totalitate regulile prevăzute de RGPD.
Operatorul de date poate utiliza doar împuterniciți care oferă garanții suficiente de a implementa măsuri tehnice și organizatorice pentru a asigura că prelucrarea îndeplinește condițiile RGPD și de protecție a persoanei vizate. Cu titlu exemplificativ, furnizorii de servicii de dezvoltare softuri, mentenanță IT, mentenanță website vor prezenta garanții în ceea ce privește măsurile implementate pentru a se conforma cerințelor RGPD.
Orice înțelegere cu un împuternicit al operatorului de date trebuie să fie consemnată într-un contract între operator și împuternicit în care să se precizeze:
- natura înțelegerii și durata prelucrării de date
- natura și scopul prelucrării
- categoriile de date personale și categoriile de persoane vizate
- drepturile și obligațiile operatorului de date, astfel cum prevede articolul 28 din RGPD.
Anterior realizării anumitor prelucrări, operatorul de date trebuie să realizeze o DPIA (Evaluarea impactului asupra datelor personale), atunci când prelucrările sunt realizate cu tehnologii moderne care ar putea avea un impact asupra vieții private a persoanei fizice sau când este posibil să apară riscuri ridicate la adresa drepturilor și libertăților acesteia, luând în considerare natura, obiectul, contextul și scopurile prelucrării (articolul 35 RGPD). Cu titlu exemplificativ invocăm poziția ANSPDCP (a Autorității naționale în domeniu), conform căreia: ,,întrucât sistemele de supraveghere video comportă anumite riscuri în privinţa drepturilor şi libertăţilor persoanelor care sunt_ supravegheate,înainte de instalarea unor astfel de sisteme de supraveghere, s-a subliniat că operatorul trebuie să facă în prealabil o evaluare a riscurilor la care se supune activitatea sa pentru a stabili necesitatea prelucrării”.[31] Un alt exemplu care ar putea fi luat în discuție este acela al softurilor de gestiune a societăților în insolvență (ex. care centralizează toată documentația, corespondența, aspecte legate de salariați etc) sau softuri de monitorizare a angajaților, la care un practician ar putea avea acces.
Responsabilitățile împuternicitului operatorului de date
Împuternicitul operatorului trebuie să prelucreze doar date care au fost încuviințate în acest sens de operator, în temeiul unui contract care să prevadă în special următoarele:
a) acele date pot fi prelucrate doar pe baza unor instrucțiuni documentate date de operator;
b) persoanele autorizate să prelucreze datele sunt ele însele obligate să păstreze confidențialitatea ori au o obligație de confidențialitate în temeiul unui statut specific;
c) este conform cu obligația de a asigura o securitate adecvată a prelucrării;
d) au angajat un alt împuternicit al operatorului numai dacă au fost autorizate să procedeze astfel și doar pentru activități specificate și s-a asigurat că acest nou împuternicit este legat de obligații corespunzătoare;
e) asistă operatorul de date prin măsuri adecvate pentru îndeplinirea obligațiilor acestuia de a răspunde persoanelor vizate la cererile lor de acces și a asigura conformitatea cu obligațiile care privesc notificarea încălcărilor de securitate;
f) distruge în mod adecvat datele cu caracter personal după prelucrare;
g) pune la dispoziția operatorului de date toate informațiile necesare pentru a demonstra conformitatea cu RGPD;
Un împuternicit al operatorului de date nu va stabili relații contractuale cu un alt împuternicit decât cu o autorizare prealabilă specifică sau o autorizare generală scrisă din partea operatorului de date.
Orice împuternicit al operatorului de date trebuie să păstreze o înregistrare a tuturor categoriilor de activități pe care le execută.
Securitatea prelucrărilor de date
Orice Operator sau Împuternicit trebuie să implementeze măsuri pentru a furniza un nivel de securitate corespunzător riscurilor care privesc datele cu caracter personal pentru care acesta este responsabil.
Măsurile de securitate se pot adresa prelucrărilor pe suport scriptic (documente, dosare, arhive) sau pe suport electronic (documentație electronică, corespondența pe email, softurile folosite, platforme online folosite). Astfel între acestea se pot număra: achiziționarea de fișete metalice închise cu cheie, adoptarea unei politici de tip ,,clean desk” (adică nu se vor lăsa documente care conțin date cu caracter personal pe birou sau în alte zone, fără a fi ,,puse sub cheie”), achiziționarea de soluții de antivirus, politici de back-up, politici de schimbare a parolelor folosite și alte măsuri de securitate.
Încălcările de securitate
În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru la ANSPDCP, în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice.
În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație pentru întârziere.
Atunci când incidentul de securitate poate genera un risc ridicat la adresa drepturilor și libertăților persoanei fizice, Operatorul trebuie să notifice persoana fizică vizată.
Câteva situații în care obligația de notificare nu este necesară în special ar fi atunci când:
- au fost implementate măsuri de protecție adecvate, în special din categoria celor care fac datele personale neinteligibile de către orice persoană neautorizată să le acceseze
- datele sunt criptate (ex. sunt mai multe nivele de parolare a documentelor de pe suportul electronic)
- operatorul de date a luat măsurile ulterioare de a se asigura că riscul la adresa drepturilor și libertăților persoanei nu se va mai materializa
- notificarea ar presupune un efort disproporționat. În asemenea caz trebuie să existe o informare publică sau o măsură de informare similară.
Un Împuternicit trebuie să notifice operatorul de date fără vreo întârziere nejustificată imediat după ce a luat la cunoștință de încălcarea de securitate.
Transferurile internaționale de date cu caracter personal
Atunci când un Operator intenționează să transfere date cu caracter personal către un stat din afara Uniunii Europene sau către o organizație internațională, se aplică reguli speciale atât acestuia, cât și vreunui posibil Împuternicit pentru a asigura protecția oferită de RGPD persoanelor vizate.
Aspecte practice
Care este primul pas după desemnarea practicianului în calitate de administrator judiciar sau lichidator judiciar?
Comunicarea desemnării în calitate de administrator sau lichidator judiciar trebuie să includă o Informare privind prelucrarea datelor cu caracter personal. În cadrul acestei Informări vor fi redate pentru persoanele vizate:
- prelucrările de date pe care le va face practicianul
- drepturile persoanei vizate în legătură cu aceste prelucrări în special cu privire la modul în care acestea vor fi utilizate
Informarea corespunde dreptului persoanelor vizate de a fi informate cu privire la modul în care vor fi utilizate datele lor personale. Operatorul de date are obligația de a furniza informații corecte cu privire la prelucrare și de a prelucra aceste date în condiții de legalitate.
Constituie o bună practică realizarea unei Informări prin intermediul unui site web sau a unui formular electronic transmis tuturor persoanelor vizate.
Este un exemplu de bună practică postarea pe propriul site a politicii de confidențialitate și protecție a datelor. Această politică include maniera în care practicianul prelucrează datele cu caracter personal și respectă confidențialitatea în relația sa cu clienții pe parcursul întregii proceduri de insolvență.
De asemenea, este o bună practică descrierea distinctă a politicii de confidențialitate în cadrul unor etape specifice a procedurii de insolvență, prin Informări separate. Spre exemplu, modalitățile de comunicare publică sau de constituire a tabelului de creditori.
Una dintre cerințele importante ale RGPD este ca să fie furnizate informații către persoanele vizate la momentul la care datele lor sunt colectate. Din acest motiv, este util să se prevadă în politica de confidențialitate, eventual afișată pe site, modalitatea în care persoanele vizate pot să își identifice datele personale colectate și scopul prelucrării lor.
Este o practică utilă și adesea întâlnită, postarea unei scurte notificări prin care se explică scopul utilizării datelor, modalitățile de colectare și o trimitere, cu link, către Informarea privind politica de confidențialitate. Această practică corespunde cerinței de transparență prevăzută de RGPD.
RGPD pretinde, de asemenea, ca în situația în care datele personale sunt obținute de la o altă entitate și nu în mod direct de la persoana vizată, realizarea unei informări către persoana vizată într-o perioadă rezonabilă de la momentul colectării lor.
De regulă, practicianul obține datele din documentele debitoarei, după care prelucrează aceste date pentru întocmirea rapoartelor prevăzute de legea insolvenței și pentru a stabili masa credală.
Informarea pe care ar trebui să o realizeze practicianul pentru persoanele fizice vizate va include:
- baza legală a prelucrării de către practician a datelor personale;
- scopurile prelucrării datelor;
- datele de contact ale persoanelor din conducerea debitoarei sau datele practicianului pentru conformitatea cu RGPD în timpul procedurii de insolvență;
- drepturile persoanelor vizate de a formula plângeri în legătură cu modul de prelucrare a datelor de către practician
Informarea trebuie să fie lizibilă, ușor de înțeles și cât mai succintă, căci dimensiunile mari exclud atenția necesară înțelegerii Informării.
Practicianul ar trebui să se asigure că Informarea este conformă cu RGPD.
Ce ar trebui luat în considerare în relația cu angajații?
Unele informații cuprinse în statele de plată sau colectate la momentul recrutării ar putea să intre în categoria datelor cu caracter sensibil.
Prelucrarea unor categorii sensibile de date este interzisă ca regulă, cu excepția situațiilor prevăzute expres de RGPD la articolul 9. Aceste categorii de date necesită o protecție suplimentară și se referă la:
- rasă
- origine etnică
- opinii politice
- apartenența religioasă
- apartenența la asociații
- datele genetice
- datele biometrice
- starea de sănătate
- viața sexuală sau orientările sexuale
De asemenea, datele referitoare la condamnări penale constituie o categorie specială de date personale.
Este recomandat ca aceste date să fie colectate doar dacă este absolut necesar, să fie colectat minimul necesar și să fie anonimizate sau fragmentate de la momentul documentării, mai ales atunci când sunt necesare doar pentru realizarea unor statistici.
Criptarea datelor este recomandată cât mai mult posibil.
Ce trebuie luat în considerare anterior desemnării în calitate de administrator sau lichidator judiciar?
Spre exemplu, ca parte a unei activități continue de monitorizare, practicianul trebuie să ia în considerare o analiză de risc RGPD. În mod ideal această analiză ar fi realizată de către persoana care este responsabilă pentru asigurarea conformității cu RGPD în cadrul debitoarei. Această persoană ar putea fi unul dintre directori, DPO dacă este numit, Managerul cu Protecția Datelor, ori altă persoană specific abilitată.
Practicianul ar trebui să înțeleagă următoarele:
- ce s-a realizat deja în legătură cu RGPD;
- procesele și procedurile companiei, inclusiv evaluările de risc deja efectuate;
- tipul și natura datelor pe care compania le deține;
- dacă vreo categorie de date necesită distrugerea lor securizată;
- dacă există vreo politică de genul „adu-ți propriul tău dispozitiv” (bring your own device „BYOD”) și care sunt implicațiile unei astfel de politici;
- dacă firma are anumite cerințe specifice privind stocarea datelor;
- unde sunt deținute datele; dacă acestea sunt stocate la un furnizor de servicii din afara Uniunii Europene, atunci trebuie să se verifice dacă stocarea și transferul se realizează în conformitate cu RGPD
Soluționarea litigiilor
În ceea ce privește soluționarea litigiilor, nu există o practică împământenită, orice litigiu decurgând din sau în legătură cu relațiile existente, inclusiv cele referitoare la validitatea, interpretarea, executarea sau încetarea contractelor vor fi soluționate pe cale amiabilă. Dacă totuși aceste litigii nu vor fi rezolvate pe cale amiabilă, ele se vor soluționa de către instanțele judecătorești competente conform normelor de drept în vigoare.
În ceea ce privește conflictele cu persoana vizată, și pentru acest caz se va încerca medierea conflictului și soluționarea acestuia pe cale amiabilă. Persoana care depune plângere trebuie să facă dovada demersurilor făcute spre soluționarea conflictului, înainte de a depune plângerea efectivă. Aceasta este o cerință a ANSPDCP, mai multe detalii găsiți aici: https://www.dataprotection.ro/?page=Plangeri_pagina_principala
O listă de documente și proceduri recomandate pentru conformare la RGPD
În cele ce urmează prezentăm o listă de proceduri, documente și politici recomandate pentru o cât mai bună conformare la RGPD. Lista nu este exhaustivă și are menirea de a le oferi practicienilor în insolvență un set de repere în demersurile lor individuale.
Documente de avut la îndemână
- Cerere de exercitare a drepturilor de către persoanele vizate
- Formular de solicitare consimțământ (documentul prin care persoana fizică își dă acordul privind datele personale. Acordul NU se cere dacă prelucrarea de date cu caracter personal are loc în baza încheierii/executării unui contract, în vederea îndeplinirii unei obligații legale ce îi revine formei de exercitare a profesiei sau în realizarea unui interes legitim (fundamentat) al formei de exercitare a profesiei)
- Notă de informare privind prelucrarea datelor cu caracter personal
- Registrul încălcărilor de securitate (un registru salvat în calculator și folosit pentru trecerea detaliilor atunci când apare un incident de securitate)
- Acord de prelucrare Operator – Persoană Împuternicită (anexă de inclus în contracte)
- Politica de exercitare a drepturilor de către persoanele vizate (un ghid care arată cum și ce poate solicita o persoană de la forma de exercitare a profesiei atunci când vine vorba de propriile date personale)
Cum protejăm datele
- Protecție fizică (suportul pe care se găsesc datele, precum lap-top, dosare de hârtie etc. trebuie să fie întreținut și localizat în spații sigure, să fie manipulat numai de persoane autorizate și accesul în spațiile respective trebuie restricționat)
- Anonimizare (transmiterea datelor se poate face prin modalități care exclud orice posibilitate de a se interpreta informații cu caracter personal; ulterior unei utilizări și îndeplinirii scopului unele date cu caracter personal pot fi transformate în simple informații fără a mai prezenta nicio caracteristică individuală legată de o persoană fizică)
- Pseudonimizare (unele informații personale pot fi redate prin coduri, cifre și alte asemenea, astfel încât ele pot fi cunoscute doar de persoanele autorizate să dețină respectivul cod)
- Fragmentare (un set de informații poate fi împărțit în subseturi, interdependente, astfel încât doar cei care au acces la toate subseturile de informații ar putea înțelege ansamblul mesajului)
Pentru protejarea datelor cu caracter personal, EDPB (European Date Protection Board) a elaborat un ghid[32] prin care oferă operatorilor câteva îndrumări relevante, astfel că aceștia ar trebui să ia măsuri tehnice și organizatorice în mod specific:
- Măsuri organizatorice și tehnice de prevenire / atenuare a impactului surse interne de risc uman
Lista următoarelor măsuri nu este exclusivă. Scopul acesteia este mai degrabă de a oferi câteva idei despre prevenirea problemei și oferirea de posibile soluții. Trebuie avut însă în vedere că fiecare activitate de prelucrare este diferită, prin urmare operatorul ar trebui să ia decizia asupra măsurilor care se potrivesc cel mai mult situației date.
- Implementarea periodică a programelor de instruire, educare și sensibilizare a angajaților cu privire la obligațiile lor de confidențialitate și securitate și detectarea și raportarea amenințărilor la adresa securității datelor cu caracter personal. Elaborați un program de conștientizare pentru a reaminti angajaților cele mai multe erori comune care duc la încălcarea datelor cu caracter personal și cum să le evitați.
- Stabilirea unor practici, proceduri și sisteme de protecție a datelor puternice și eficiente .
- Evaluarea practicilor, procedurilor și sistemelor de confidențialitate pentru a asigura eficacitatea continuă.
- Elaborarea unor politici adecvate de control al accesului și obligarea utilizatorilor să respecte regulile. Spre exemplu:
- Controlul intrării - Este interzis accesul neautorizat la facilitățile de procesare a datelor, de ex. cartele cu magnet sau cip, chei, deschizători electronice pentru uși, servicii de securitate și / sau agentul de pază de la intrare, sisteme de alarmă, sisteme video;
- Controlul accesului - Este interzisă utilizarea neautorizată a sistemelor, de ex. parole (de securizare), mecanisme de blocare automată, autentificare cu doi factori, criptare a suporturilor de date;
- Limitarea accesului - Este interzisă citirea, copierea, modificarea sau ștergerea neautorizată în cadrul sistemului, de ex. concepte de autorizare și drepturi de acces personalizate, jurnale de acces;
- Dezactivarea contului de utilizator al societății imediat ce persoana respectivă părăsește operatorul.
- Configurarea securității interfeței I / O în BIOS sau prin utilizarea unui software care controlează utilizarea interfețelor computerului (blocare sau deblocare, de ex. USB / CD / DVD etc.).
- Dezactivarea serviciilor cloud deschise.
- Aplicarea unei politici de birou curat (Clean-desk Policy).
- Blocarea automată a tuturor computerelor după un anumit timp de inactivitate.
- Utilizarea de mecanisme (de exemplu, TOKEN pentru a vă conecta / deschide conturi blocate) pentru comutări rapide ale utilizatorilor în medii partajate.
- Utilizarea de sisteme dedicate pentru gestionarea datelor cu caracter personal care să permită mecanisme adecvate de control al accesului și care să prevină greșelile umane, cum ar fi trimiterea de comunicații către subiectul greșit. Utilizarea foilor de calcul și a altor documente de birou nu este un mijloc adecvat de gestionare a datelor clienților.
- Măsuri organizatorice și tehnice de prevenire / atenuare a impactului trimiterilor de documente în mod eronat
Lista următoarelor măsuri nu este în niciun caz exclusivă. Scopul acesteia este mai degrabă de a oferi câteva idei despre prevenirea problemei și oferirea de posibile soluții. Trebuie avut însă în vedere că fiecare activitate de prelucrare este diferită, prin urmare operatorul ar trebui să ia decizia asupra măsurilor care se potrivesc cel mai mult situației date.
- Stabilirea standardelor exacte - fără spațiu pentru interpretare - pentru trimiterea scrisorilor / e-mailurilor.
- Pregătirea adecvată a personalului cu privire la modul de trimitere a scrisorilor / e-mailurilor.
- Când trimiteți e-mailuri către mai mulți destinatari, acestea sunt listate în câmpul „bcc” în mod implicit.
- Este necesară o confirmare suplimentară la trimiterea de e-mailuri către mai mulți destinatari și nu sunt listate în câmpul „bcc”.
- Aplicarea principiului celor patru ochi (dublă verificare).
- Adresare automată în loc de manuală, cu date extrase dintr-o bază de date disponibilă și actualizată ; sistemul automat de adresare ar trebui revizuit periodic pentru a verifica erorile ascunse și setările incorecte.
- Aplicarea întârzierii mesajului (de exemplu, mesajul poate fi anulat / editat într-o anumită perioadă de timp după ce faceți clic pe butonul de apăsare).
- Dezactivarea completării automate la introducerea adreselor de e-mail.
- Instruiri de conștientizare cu privire la cele mai frecvente greșeli care duc la o încălcare a datelor cu caracter personal.
- Ședințe de instruire și manuale cu privire la modul de gestionare a incidentelor legate de o încălcare a datelor cu caracter personal și cine să informeze (implică Responsabilul cu Protecția Datelor).
- Măsuri organizatorice și tehnice pentru prevenirea / atenuarea impactului pierderii sau furtului de dispozitive
Lista următoarelor măsuri nu este în niciun caz exclusivă. Scopul acesteia este mai degrabă de a oferi câteva idei despre prevenirea problemei și oferirea de posibile soluții. Trebuie avut însă în vedere că fiecare activitate de prelucrare este diferită, prin urmare operatorul ar trebui să ia decizia asupra măsurilor care se potrivesc cel mai mult situației date.
- Activați criptarea dispozitivului (cum ar fi Bitlocker, Veracrypt sau DM-Crypt).
- Utilizați o parolă pe toate dispozitivele. Criptați toate dispozitivele electronice mobile într-un mod care necesită introducerea unei parole complexe pentru decriptare.
- Utilizați autentificarea cu mai mulți factori.
- Porniți funcționalitățile dispozitivelor extrem de mobile care le permit să fie localizate în caz de pierdere sau deplasare greșită.
- Utilizați software / aplicație și localizare MDM (Mobile Devices Management). Folosiți filtre anti-orbire.
- Dacă este posibil și adecvat prelucrării datelor în cauză, păstrați datele personale pe un server back-end central și nu pe un dispozitiv mobil.
- Dacă stația de lucru este conectată la rețeaua LAN corporativă, efectuați o copie de rezervă automată din folderele de lucru, cu condiția să fie inevitabil ca datele personale să fie stocate acolo
- Utilizați o rețea VPN sigură (de exemplu, care necesită o a doua cheie de autentificare separată pentru stabilirea unei conexiuni sigure) pentru a conecta dispozitivele mobile la serverele back-end.
- Furnizați încuietori fizice angajaților pentru a le permite să securizeze fizic dispozitivele mobile pe care le folosesc în timp ce rămân nesupravegheați.
- Reglementarea corectă a utilizării dispozitivelor în afara societății / formei de organizare.
- Reglementarea corectă a utilizării dispozitivelor în cadrul societății / formei de organizare.
- Instalați controale de acces fizic.
- Evitați stocarea informațiilor sensibile pe dispozitive mobile sau pe hard disk-uri.
- Măsuri organizatorice și tehnice de prevenire / atenuare a impactului atacurile hackerilor
Lista următoarelor măsuri nu este în niciun caz exclusivă. Scopul acesteia este mai degrabă de a oferi câteva idei despre prevenirea problemei și oferirea de posibile soluții. Trebuie avut însă în vedere că fiecare activitate de prelucrare este diferită, prin urmare operatorul ar trebui să ia decizia asupra măsurilor care se potrivesc cel mai mult situației date.
- Menținerea sistemului la zi (software și firmware). Asigurându-se că toate măsurile de securitate IT sunt în vigoare, sunt eficiente, menținându-le actualizate în mod regulat. Pentru a putea demonstra conformitatea cu articolul 5 alineatul (1) litera (f) în conformitate cu articolul 5 alineatul (2) GDPR, operatorul ar trebui să mențină o evidență a tuturor actualizărilor efectuate, inclusiv și a momentului în care au fost aplicate.
- Utilizarea unor metode puternice de autentificare, cum ar fi autentificarea cu doi factori (2FA) și servere de autentificare, completate de o politică de parole actualizată.
- Politici de gestionare a controlului accesului și privilegii de utilizator puternice.
- Utilizarea unui firewall adecvat, actualizat, eficient și integrat , detectarea intruziunilor și alte sisteme de apărare perimetrală.
- Audituri sistematice de securitate IT și evaluări ale vulnerabilității (teste de penetrare).
- Revizuiri și testări periodice pentru a vă asigura că copiile de rezervă pot fi utilizate pentru a restabili orice date a căror integritate sau disponibilitate a fost afectată.
- Instruirea angajaților cu privire la metodele de recunoaștere și prevenire a atacurilor IT . Operatorul ar trebui să furnizeze informații specifice cu privire la stabilirea faptului că emailurile sau mesajele primite prin alte mijloace de comunicare sunt autentice și sunt de încredere. Angajații ar trebui să fie instruiți să recunoască momentul în care un atac s-a realizat, cum să oprească punctul final din rețea și obligația de a- l raporta imediat ofițerului de securitate sau superiorului.
Bune practici în domeniul protecției datelor
Pe lângă cele menționate mai sus, în practică au fost identificate câteva bune practici care pot fi aplicate cu ușurință de fiecare formă de organizare profesională și care, în același timp vin în întâmpinarea cerințelor RGPD. În acest sens putem vorbi despre:
- Afișarea de informări la sediu, pe website, în formularele de contact, în contracte, în alte comunicări. Acest aspect vine în întâmpinarea dreptului de a fi informat al persoanei vizate.
- Instruirea personalului formei de exercitare a profesiei cât și instruirea colaboratorilor în ceea ce privește prelucrarea datelor cu caracter personal.
- Numirea unei persoane cu responsabilități în domeniul protecției datelor cu caracter personal, menită să monitorizeze toate aspectele legate de respectarea acestui standard. Pentru această persoană este recomandată parcurgerea unui curs de specialitate alături de specialiști din domeniu, prin care să se realizeze pregătirea profesională.
Întrebări des întâlnite
Este necesar să notific Autorității Naționale de Supraveghere prelucrările de date?
Având în vedere faptul că începând cu data de 25 mai 2018 se aplică Regulamentul (UE) 2016/679, operatorii nu mai au obligația de notificare a prelucrărilor de date.
În consecință, Registrul on-line de evidență a prelucrărilor de date cu caracter personal nu mai este disponibil pe site-ul autorității de supraveghere.
De asemenea, nu se mai impune utilizarea numărului de notificare acordat în baza Legii nr. 677/2001.
Cum comunic responsabilul cu protecția datelor autorității de supraveghere?
Operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale responsabilului cu protecția datelor și de a le comunica autorității de supraveghere.
Comunicarea responsabilului cu protecția datelor se realizează prin completarea on-line a formularului de declarare a responsabilului cu protecția datelor existent pe site-ul Autorității www.dataprotection.ro, la Secțiunea „Responsabilul cu protecția datelor”, urmată de accesarea butonului ”Trimite chestionarul”.
https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true
În situația în care un grup de întreprinderi sau mai multe autorități sau organisme publice desemnează un responsabil cu protecția datelor unic, fiecare operator sau persoană împuternicită va completa formularul de declarare a responsabilului cu protecția datelor existent pe site-ul Autorității, la Secțiunea „Responsabilul cu protecția datelor”.
Care este modalitatea de notificare a încălcării securității datelor cu caracter personal?
În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, este necesar să se completeze on-line formularul adoptat prin Decizia nr. 128/2018 a președintelui Autorității de supraveghere pentru notificarea încălcării securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679, existent pe site-ul autorității de supraveghere www.dataprotection.ro.
Operatorul trebuie să păstreze documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care să cuprindă o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse.
Informații în legătură cu modalitatea de notificare se regăsesc și pe site-ul Autorităţii de supraveghere, www.dataprotection.ro, la secţiunea „Notificare breşă GDPR”, precum și în Ghidul privind notificarea încălcărilor de Securitate emis de Comitetul European pentru Protecția Datelor.
NOTE
[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
[2] Avem în vedere în special Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) și Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare.
[3] Este important de înțeles că ne găsim în prezența unui ghid, instrument de sprijin pentru practicienii în insolvență, dar fără a avea un caracter obligatoriu propriu-zis. Înțelegerea și aplicarea RGPD este în construcție, fiind un instrument juridic european relativ nou ca formă, aplicabil din 25 mai 2018, astfel că momentul adoptării prezentului ghid este adecvat, însă partea sa normativă va fi una dinamică astfel cum este și practica aplicării RGPD.
[4] Comitetul este un organism instituit de RGPD, organism care este abilitat să emită orientări în ceea ce privește interpretarea și aplicarea regulamentului, înlocuind fostul Grup de lucru înființat prin Directiva europeană abrogată de RGPD. Trăsăturile, competențele și funcționarea Comitetului sunt prevăzute la articolele 68-76 din RGPD. Comitetul este organ al Uniunii Europene și se remarcă prin adoptarea de orientări și recomandări, precum și evidențierea de bune practici în domeniul de aplicare a RGPD.
[5] Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
[6] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice).
[7] Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune.
[8] Consecințele acestei chei de înțelegere a RGPD sunt vaste și variate. Spre exemplu, este greșit să se refuze, într-o manieră generalizată și tipizată, transmiterea unor date personale, atunci când legea stabilește o obligație de acest tip, pe motiv că se protejează datele cu caracter personal în virtutea RGPD.
[9] O prezentare schematică și detaliată a diferitelor categorii de persoane fizice implicate în procedura de insolvență poate fi vizualizată la adresa electronică https://www.juridice.ro/581586/gdpr-datele-cu-caracter-personal-prelucrate-de-un-practician-in-insolventa.html#_Toc512242932
[10] A se citi pentru amănunte Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”, adoptat la 16 februarie 2010 de Grupul de lucru pentru protecţia datelor instituit în temeiul articolului 29 - https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_ro.pdf
[11] Aceasta poate să constituie o bună practică.
[12] Contrar practicilor existente în domeniu, pe care am putea să le calificăm drept rele practici, politica de confidențialitate și de protecție a vieții private nu trebuie să fie una de tip „pachet generic”, deoarece ar evidenția absența conștientizării de către practicianul în insolvență a importanței domeniului și ar reduce din conformitatea cu cerințele RGPD, deoarece persoanele vizate au un drept la informare concret, iar nu generalizat.
[13] Art. 64 din Legea 85/2014 – „Principalele atribuţii ale lichidatorului judiciar, în cadrul prezentului capitol, sunt: a) examinarea activităţii debitorului asupra căruia se iniţiază procedura simplificată în raport cu situaţia de fapt şi întocmirea unui raport amănunţit asupra cauzelor şi împrejurărilor care au dus la insolvenţă, cu menţionarea persoanelor cărora le-ar fi imputabilă şi a existenţei premiselor angajării răspunderii acestora în condiţiile prevederilor art. 169-173, într-un termen stabilit de judecătorul sindic, dar care nu va putea depăşi 40 de zile de la desemnarea lichidatorului judiciar, dacă un raport cu acest obiect nu fusese întocmit anterior de administratorul judiciar; b) conducerea activităţii debitorului; c) introducerea de acţiuni pentru anularea actelor şi operaţiunilor frauduloase încheiate de debitor în dauna drepturilor creditorilor, precum şi a unor transferuri cu caracter patrimonial, a unor operaţiuni comerciale încheiate de debitor şi a constituirii unor cauze de preferinţă, susceptibile a prejudicia drepturile creditorilor; d) aplicarea sigiliilor, inventarierea bunurilor şi luarea măsurilor corespunzătoare pentru conservarea lor; e) denunţarea unor contracte încheiate de debitor; f) verificarea creanţelor şi, atunci când este cazul, formularea de obiecţiuni la acestea, notificarea creditorilor în cazul neînscrierii sau înscrierii parţiale a creanţelor, precum şi întocmirea tabelelor de creanţe; g) urmărirea încasării creanţelor din averea debitorului, rezultate din transferul de bunuri sau de sume de bani efectuat de acesta înaintea deschiderii procedurii, încasarea creanţelor, formularea şi susţinerea acţiunilor în pretenţii pentru încasarea creanţelor debitorului, pentru aceasta putând angaja avocaţi; h) primirea plăţilor pe seama debitorului şi consemnarea lor în contul averii debitorului; i) vânzarea bunurilor din averea debitorului, potrivit prevederilor prezentei legi; j) sub condiţia confirmării de către judecătorul-sindic, încheierea de tranzacţii, descărcarea de datorii, descărcarea fideijusorilor, renunţarea la garanţii reale; k) sesizarea judecătorului-sindic cu orice problemă care ar cere o soluţionare de către acesta; l) orice alte atribuţii stabilite prin încheiere de către judecătorul-sindic.”
[14] Spre exemplu, articolul 61 din Legea 85/2014 prevede că „În vederea îndeplinirii atribuţiilor sale, administratorul judiciar va putea desemna persoane de specialitate precum avocaţi, experţi contabili, evaluatori sau alţi specialişti.”, iar Art. 63 prevede că „(1) În cazul în care dispune trecerea la faliment, judecătorul-sindic va desemna un lichidator judiciar, aplicându-se, în mod corespunzător, dispoziţiile art. 57, art. 59-62 şi art. 140 alin. (6)”.
[15] Principiile sunt enunțate într-o formulă simplificată, tipică categoriei enunțurilor principiale, fără a fi menționate anumite excepții, astfel cum apar ele uneori în textul legislativ ori modalitățile de implementare a lor. Pentru vizualizarea exactă în limba română, textul este disponibil la adresa electronică https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX%3A32016R0679 (29.11.2019).
[16] Este util de știut că fostul Grup de lucru instituit de articolul 29 a apreciat că „Conceptul de „interes” este strâns legat, dar diferit de noțiunea de „scop” menționată la articolul 6 din directivă. În discursul privind protecția datelor, „scopul” este motivul specific pentru care datele sunt prelucrate: scopul sau intenția prelucrării datelor. Spre deosebire de acesta, un interes este cauza mai amplă pe care un operator o poate avea pentru prelucrare sau avantajul pe care operatorul îl obține – sau pe care societatea l-ar putea obține – în urma prelucrării.”, precum și că pentru a fi legitim un interes, el trebuie să fie „acceptabil în conformitate cu legea” – a se vedea paginile 27-28 din Avizul nr. 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzută la articolului 7 din Directiva 95/46/CE - https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_ro.pdf .
[17] Articolul 16 alin. (1) lit. b) din Legea 85/2014 prevede că „Poate recurge la procedura de concordat preventiv orice debitor în dificultate financiară, cu următoarele excepţii(…) b) dacă debitorul şi/sau acţionarii/asociaţii/asociaţii comanditari care deţin controlul debitorului sau administratorii/directorii acestuia au fost condamnaţi definitiv pentru săvârşirea unei infracţiuni intenţionate contra patrimoniului, de corupţie şi de serviciu, de fals, precum şi pentru infracţiunile prevăzute de Legea nr. 22/1969 privind angajarea gestionarilor, constituirea de garanţii şi răspunderea în legătură cu gestionarea bunurilor agenţilor economici, autorităţilor sau instituţiilor publice, cu modificările ulterioare, Legea nr. 31/1990, republicată, cu modificările şi completările ulterioare, Legea contabilităţii nr. 82/1991, republicată, cu modificările şi completările ulterioare, Legea concurenţei nr. 21/1996, republicată, Legea nr. 78/2000 pentru prevenirea, descoperirea şi sancţionarea faptelor de corupţie, cu modificările şi completările ulterioare, Legea nr. 656/2002 pentru prevenirea şi sancţionarea spălării banilor, precum şi pentru instituirea unor măsuri de prevenire şi combatere a finanţării actelor de terorism, republicată, cu modificările ulterioare, Legea nr. 571/2003 privind Codul fiscal, cu modificările şi completările ulterioare, Legea nr. 241/2005 pentru prevenirea şi combaterea evaziunii fiscale, cu modificările ulterioare, şi infracţiunile prevăzute de prezenta lege, în ultimii 5 ani anterior deschiderii procedurii prevăzute de prezenta lege. Această prevedere nu se aplică titularilor acţiunilor la purtător.
[18] Articolul 67 alin. (1) lit. j) din Legea 85/2014 prevede că „Cererea debitorului trebuie să fie însoţită de următoarele acte: (…) j) o declaraţie pe propria răspundere, autentificată de notar ori certificată de avocat, din care să rezulte că el sau administratorii, directorii şi/sau acţionarii/asociaţii/asociaţii comanditari care deţin controlul debitorului nu au fost condamnaţi definitiv pentru săvârşirea unei infracţiuni intenţionate contra patrimoniului, de corupţie şi de serviciu, de fals, precum şi pentru infracţiunile prevăzute de Legea nr. 22/1969, cu modificările ulterioare, Legea nr. 31/1990, republicată, cu modificările şi completările ulterioare, Legea nr. 82/1991, republicată, cu modificările şi completările ulterioare, Legea nr. 21/1996, republicată, cu modificările şi completările ulterioare, Legea nr. 78/2000, cu modificările şi completările ulterioare, Legea nr. 656/2002, republicată, cu modificările ulterioare, Legea nr. 571/2003, cu modificările şi completările ulterioare, Legea nr. 241/2005, cu modificările ulterioare, şi infracţiunile prevăzute de prezenta lege în ultimii 5 ani anterior deschiderii procedurii;
[19] În acest sens, articolul 114 din Legea nr. 85/2014 prevede următoarele: „(1) Cu excepţia cazului în care notificarea deschiderii procedurii s-a făcut cu încălcarea dispoziţiilor art. 42, titularul de creanţe anterioare deschiderii procedurii, care nu depune cererea de admitere a creanţelor până la expirarea termenului prevăzut la art. 100 alin. (1) lit. b), va fi decăzut, cât priveşte creanţele respective, din dreptul de a fi înscris în tabelul creditorilor şi nu va dobândi calitatea de creditor îndreptăţit să participe la procedură. El nu va avea dreptul de a-şi realiza creanţele împotriva debitorului sau a membrilor ori asociaţilor cu răspundere nelimitată ai persoanei juridice debitoare ulterior închiderii procedurii, sub rezerva ca debitorul să nu fi fost condamnat pentru bancrută simplă sau frauduloasă ori să nu i se fi stabilit răspunderea pentru efectuarea de plăţi ori transferuri frauduloase. (2) Decăderea va fi constatată de către administratorul judiciar/lichidatorul judiciar, care nu va mai înscrie creditorul în tabelul creditorilor.”
[20] În acest sens articolul 132 alin.(4) din Legea 85/2014 prevede că: „Nu poate propune un plan de reorganizare debitorul care, într-un interval de 5 ani anterior formulării cererilor introductive, a mai fost subiect al procedurii instituite în baza prezentei legi şi nici debitorul care, el însuşi, administratorii, directorii şi/sau acţionarii/asociaţii/asociaţii comanditari ai acestuia care deţin controlul asupra sa, au fost condamnaţi definitiv pentru săvârşirea unei infracţiuni intenţionate contra patrimoniului, de corupţie şi de serviciu, de fals, precum şi pentru infracţiunile prevăzute de Legea nr. 22/1969, cu modificările ulterioare, Legea nr. 31/1990, republicată, cu modificările şi completările ulterioare, Legea contabilităţii nr. 82/1991, republicată, cu modificările şi completările ulterioare, Legea concurenţei nr. 21/1996, republicată, Legea nr. 78/2000, cu modificările şi completările ulterioare, Legea nr. 656/2002, republicată, cu modificările ulterioare, Legea nr. 571/2003, cu modificările şi completările ulterioare, Legea nr. 241/2005 pentru prevenirea şi combaterea evaziunii fiscale, cu modificările şi completările ulterioare, şi infracţiunile prevăzute de prezenta lege, în ultimii 5 ani anterior deschiderii procedurii.”
[21] Articolul 45 alin.(1) lit. h) din Legea nr.85/2014 prevede că „Principalele atribuţii ale judecătorului-sindic, în cadrul prezentului capitol, sunt:(…)h) judecarea cererilor de atragere a răspunderii membrilor organelor de conducere care au contribuit la ajungerea debitorului în insolvenţă, potrivit art. 169, sau sesizarea organelor de urmărire penală atunci când există date cu privire la săvârşirea unei infracţiuni;
[22] Art. 75 din Legea nr.85/2014: „(1) De la data deschiderii procedurii se suspendă de drept toate acţiunile judiciare, extrajudiciare sau măsurile de executare silită pentru realizarea creanţelor asupra averii debitorului. Valorificarea drepturilor acestora se poate face numai în cadrul procedurii insolvenţei, prin depunerea cererilor de admitere a creanţelor. Repunerea pe rol a acestora este posibilă doar în cazul desfiinţării hotărârii de deschidere a procedurii, a revocării încheierii de deschidere a procedurii sau în cazul închiderii procedurii în condiţiile art. 178. În cazul în care hotărârea de deschidere a procedurii este desfiinţată sau, după caz, revocată, acţiunile judiciare sau extrajudiciare pentru realizarea creanţelor asupra averii debitorului pot fi repuse pe rol, iar măsurile de executare silită pot fi reluate. La data rămânerii definitive a hotărârii de deschidere a procedurii, atât acţiunea judiciară sau extrajudiciară, cât şi executările silite suspendate încetează. (2) Nu sunt supuse suspendării de drept prevăzute la alin. (1): a) căile de atac promovate de debitor împotriva acţiunilor unui/unor creditor/creditori începute înaintea deschiderii procedurii şi nici acţiunile civile din procesele penale îndreptate împotriva debitorului;”.
[23] Art. 88. - Dacă la data deschiderii procedurii un drept, act sau fapt juridic nu devenise opozabil terţilor, înscrierile, transcrierile, intabulările şi orice alte formalităţi specifice necesare acestui scop, inclusiv cele dispuse în cursul unui proces penal în vederea confiscării speciale şi/sau extinse, efectuate după data deschiderii procedurii, sunt fără efect faţă de creditori, cu excepţia cazului în care cererea sau sesizarea, legal formulată, a fost primită de instanţă, autoritatea ori instituţia competentă cel mai târziu în ziua premergătoare hotărârii de deschidere a procedurii. Înscrierile efectuate cu încălcarea acestui articol se radiază de drept; Art. 91 (1) Bunurile înstrăinate de administratorul judiciar sau lichidatorul judiciar, în exerciţiul atribuţiilor sale prevăzute de prezenta lege, sunt dobândite libere de orice sarcini, precum privilegii, ipoteci, gajuri sau drepturi de retenţie, sechestre, de orice fel. Fac excepţie de la acest regim măsurile asigurătorii dispuse în procesul penal în vederea confiscării speciale şi/sau confiscării extinse.
Art. 100 (8) Creanţa unei părţi vătămate din procesul penal se înscrie sub condiţie suspensivă, până la soluţionarea definitivă a acţiunii civile în procesul penal în favoarea părţii vătămate, prin depunerea unei cereri de admitere a creanţei. În cazul în care acţiunea civilă în procesul penal nu se finalizează până la închiderea procedurii insolvenţei, fie ca urmare a reuşitei planului de reorganizare, fie ca urmare a lichidării, eventualele creanţe rezultate din procesul penal vor fi acoperite din averea persoanei juridice reorganizate sau, dacă este cazul, din sumele obţinute din acţiunea în atragerea răspunderii patrimoniale a persoanelor ce au contribuit la aducerea persoanei juridice în stare de insolvenţă, potrivit prevederilor art. 169 şi următoarele.
Art. 163. - (1) Titularilor de creanţe dintr-o categorie li se vor putea distribui sume numai după deplina îndestulare a titularilor de creanţe din categoria ierarhic superioară, potrivit ordinii prevăzute la art. 161. (2) În cazul insuficienţei sumelor necesare acoperirii valorii integrale a creanţelor cu acelaşi rang de prioritate, titularii acestora vor primi o cotă falimentară, reprezentând suma proporţională cu procentul pe care creanţa lor îl deţine în categoria creanţelor respective. (3) Contul de insolvenţă deschis în condiţiile art. 39 alin. (2) nu va putea fi în niciun mod indisponibilizat prin nicio măsură de natură penală, civilă sau administrativă dispusă de organele de cercetare penală, de organele administrative sau de instanţele judecătoreşti.
Art. 169. - (1) La cererea administratorului judiciar sau a lichidatorului judiciar, judecătorul-sindic poate dispune ca o parte sau întregul pasiv al debitorului, persoană juridică, ajuns în stare de insolvenţă, fără să depăşească prejudiciul aflat în legătură de cauzalitate cu fapta respectivă, să fie suportată de membrii organelor de conducere şi/sau supraveghere din cadrul societăţii, precum şi de orice alte persoane care au contribuit la starea de insolvenţă a debitorului, prin una dintre următoarele fapte:
(8) Aplicarea dispoziţiilor alin. (1) nu înlătură aplicarea legii penale pentru faptele care constituie infracţiuni.
[24] Art. 182. - (1) Administratorul judiciar/lichidatorul judiciar poate fi tras la răspundere pentru exercitarea atribuţiilor cu rea credinţă sau gravă neglijenţă. Există rea-credinţă atunci când administratorul judiciar/lichidatorul judiciar încalcă normele de drept material ori procesual, urmărind sau acceptând vătămarea unui interes legitim. Există gravă neglijenţă atunci când administratorul judiciar/lichidatorul judiciar nu îndeplineşte sau îndeplineşte defectuos o obligaţie legală şi prin aceasta determină vătămarea unui interes legitim. (2) În afara dispoziţiilor alineatului precedent, administratorul judiciar/lichidatorul judiciar poate fi tras la răspundere civilă, penală, administrativă sau disciplinară pentru actele efectuate în cursul procedurii, potrivit normelor de drept comun. (3) Administratorul judiciar/lichidatorul judiciar care acţionează cu bună-credinţă, în limitele atribuţiilor prevăzute de lege şi a informaţiilor disponibile, nu poate fi tras la răspundere pentru actele procesuale efectuate ori pentru conţinutul înscrisurilor întocmite în cadrul procedurii.
[25] Art. 207. - (1) În plus faţă de atribuţiile stabilite la art. 45, judecătorul-sindic are următoarele atribuţii: a) judecarea contestaţiei instituţiei de credit debitoare împotriva cererii introductive formulate de Banca Naţională a României pentru deschiderea procedurii; b) Abrogată prin punctul 5. din Lege nr. 312/2015 începând cu 14.12.2015; c) judecarea cererilor de atragere a răspunderii membrilor organelor de conducere, a directorilor şi a persoanelor din conducerea direcţiilor, departamentelor şi altor structuri asemănătoare, a cenzorilor şi a personalului de execuţie cu atribuţie de control din cadrul instituţiei de credit în stare de insolvenţă, care au contribuit la ajungerea acesteia în insolvenţă, precum şi sesizarea organelor de cercetare penală în legătură cu săvârşirea infracţiunilor specifice;
[26] Articolul 8(2) din Legea nr. 190/2018 stabilește: „Prevederile art. 15, 16, 18, 19, 20 și 21 din Regulamentul general privind protecția datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare în interes public, în măsura în care drepturile menționate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar aceste derogări sunt necesare pentru îndeplinirea acestor scopuri.”
[27] Articolul 62(6) din Legea 85/2014 prevede: „În cazul în care operaţiunile pentru care este necesară angajarea de specialişti sunt operaţiuni impuse de lege, cum ar fi, dar nu limitat la acestea, arhivarea documentelor, bilanţurile obligatorii de mediu, audit şi alte asemenea, dacă propunerile administratorului judiciar/lichidatorului judiciar sunt respinse de către comitetul creditorilor, acesta va convoca din nou comitetul în termen de maximum 7 zile, în care membrii comitetului vor propune şi vor desemna un specialist, aprobându-i şi onorariul. În cazul în care în cele două şedinţe ale comitetului creditorilor nu s-a decis numirea unui specialist, practicianul în insolvenţă va putea desemna specialistul cu oferta tehnică şi financiară cea mai bună, dintre cele depuse pentru cele două comitete”.
[28] Situația este identificată în Codul insolvenței adnotat, program finanțat de BIRD: “Întărirea mecanismului insolvenței în România”, pp.228-229.
[29] În mod obișnuit, prevederea de la articolul 23 lit. f) RGPD funcționează în sensul invers ipotezei amintite: anume că permite un refuz din partea instanței de judecată de a furniza date cu caracter personal către entități interesate, atunci când o asemenea cerere de acces, spre exemplu, ar putea aduce atingere independenței actului de justiție.
[30] Spre exemplu, în Irlanda; a se vedea punctul 44 din General Data Protection Regulation – Guidance for Insolvency Practitioners.
[31]Raportul de activitate al ANSPDCP pentru anul 2019 poate fi consultat la adresa: https://www.dataprotection.ro/?page=Comunicat_Presa_28_09_2020&lang=ro (17.03.2021).
[32] Ghid adoptat la 14.01.2021 https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf. Ultima accesare: 16.03.2021