Curtea de Justiție a UE, căreia Tribunalul București i-a solicitat lămuriri după ce Orange a contestat o amendă aplicată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, arată că un contract privind furnizarea de servicii de telecomunicații care conține o clauză potrivit căreia clientul a consimțit la colectarea și la stocarea unei copii a actului său de identitate nu poate să demonstreze că el și-a dat în mod valabil consimțământul atunci când căsuța care se referă la această clauză a fost bifată de operatorul de date anterior semnării contractului.
“Ca urmare a celor constatate în cursul investigației din oficiu, operatorul Orange România a fost sancționat cu amendă, în cuantum de 10.000 lei, pentru fapta de «prelucrare nelegală a datelor cu caracter personal», prevăzută de articolul 32 din Legea 677/2001, cu încălcarea articolului 4, aliniatul (1), litera c) și articolului 8 din Legea 677/2001, coroborat cu articolele 2 și 6 din Decizia Președintelui ANSPDCP 132/2011, întrucât Orange România, prin colectarea și stocarea copiilor de pe actele de identitate, solicitate prin contractele de servicii de comunicații electronice, prelucrează în mod excesiv date cu caracter personal ce intră sub incidența articolului 8 din Legea 677/2001, fără a avea consimțământul expres al persoanelor vizate, fără a fi supus unor prevederi legale exprese sau fără a avea avizul Autorității”, a transmis Autoritatea pentru Profit.ro.
Potrivit ANSPDCP, în perioada cuprinsă între 1 și 26 martie 2018, Orange România a încheiat contracte de furnizare a unor servicii de telecomunicații mobile care conțin o clauză potrivit căreia clienții au fost informați și și-au dat consimțământul cu privire la colectarea și la stocarea unei copii a actului lor de identitate, în scop de identificare. Căsuța referitoare la această clauză ar fi fost însă bifată de operator anterior semnării contractului.
În acest context, Orange a contestat amenda, iar Tribunalul București (România) a solicitat Curții de Justiție să precizeze condițiile în care consimțământul clienților cu privire la prelucrarea datelor cu caracter personal poate fi considerat valabil.
CITEȘTE ȘI CONFIRMARE Telekom și Orange au ajuns la o înțelegere pentru preluarea rețelelor fixePrin hotărârea pronunțată, Curtea amintește mai întâi că dreptul Uniunii prevede o listă a cazurilor în care o prelucrare de date cu caracter personal poate fi considerată legală. În special, consimțământul persoanei vizate trebuie să fie liber, specific, informat și univoc. În această privință, consimțământul nu este dat în mod valabil în cazul absenței unui răspuns, al căsuțelor bifate în prealabil sau al absenței unei acțiuni.
În plus, în cazul în care consimțământul persoanei vizate este dat în cadrul unei declarații scrise care se referă și la alte aspecte, această declarație trebuie să fie prezentată într-o formă inteligibilă și ușor accesibilă și utilizând un limbaj clar și simplu. Pentru a asigura persoanei vizate o reală libertate de alegere, clauzele contractuale nu trebuie să o inducă în eroare cu privire la posibilitatea de a încheia contractul chiar dacă ea refuză să își dea consimțământul pentru prelucrarea datelor sale.
Curtea precizează că Orange România, în calitate de operator de date cu caracter personal, trebuie să fie în măsură să demonstreze legalitatea prelucrării acestor date și, în consecință, existența unui consimțământ valabil al clienților săi. În această privință, din moment ce clienții vizați nu păreau să fi bifat ei înșiși căsuța referitoare la colectarea și la stocarea unor copii ale actului lor de identitate, simplul fapt că această căsuță a fost bifată nu este de natură să stabilească o manifestare pozitivă a consimțământului lor.
Potrivit Curții, instanței naționale îi revine și sarcina să aprecieze dacă clauzele contractuale în discuție erau sau nu de natură să inducă clienții vizați în eroare cu privire la posibilitatea de a încheia contractul în pofida refuzului de a-și da consimțământul pentru prelucrarea datelor lor, în lipsa unor precizări cu privire la acest aspect.
CITEȘTE ȘI Cadastrul atribuie un contract de 100 mil. lei unei asocieri conduse de o firmă cu afaceri sub 1 milion de lei în 2019. Unul din acționari a fost director Teamnet International, controlată cândva de Sebastian GhițăÎn plus, în cazul refuzului unui client de a consimți la prelucrarea datelor sale, Curtea observă că Orange România impunea ca acesta să declare în scris că nu consimțea nici la colectarea, nici la stocarea copiei actului său de identitate. Potrivit Curții, o asemenea cerință suplimentară este de natură să afecteze în mod nejustificat libera alegere de a se opune acestei colectări și acestei stocări. În orice caz, întrucât societatea menționată este cea căreia îi revine sarcina de a stabili că clienții săi și-au manifestat prin intermediul unui comportament activ consimțământul pentru prelucrarea datelor lor cu caracter personal, această societate nu poate pretinde ca ei să își manifeste în mod activ refuzul.
Prin urmare, Curtea concluzionează că un contract privind furnizarea de servicii de telecomunicații care conține o clauză potrivit căreia persoana vizată a fost informată și și-a dat consimțământul pentru colectarea și pentru stocarea unei copii a actului său de identitate, în scop de identificare, nu este de natură să demonstreze că această persoană și-a dat în mod valabil consimțământul pentru această colectare și pentru această stocare atunci când căsuța care se referă la această clauză a fost bifată de operatorul de date anterior semnării acestui contract, atunci când clauzele contractului menționat sunt de natură să inducă persoana vizată în eroare cu privire la posibilitatea de a încheia contractul în discuție în pofida refuzului de a-și da consimțământul pentru prelucrarea datelor sale sau atunci când libera alegere de a se opune acestei colectări și acestei stocări este afectată în mod nejustificat de acest operator prin cerința ca, pentru a refuza să își dea consimțământul, persoana vizată să completeze un formular suplimentar în care să fie menționat acest refuz.
Regulamentul 2016/ 679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date va intra în vigoare în toate statele membre începând cu 25 mai 2018.
Firmele, autoritățile sau instituțiile care prelucrează date cu caracter personal vor avea obligația desemnării unui responsabil cu protecția datelor, prevede în mod explicit proiectul de lege.
ANSPDCP a transmis avertizări inclusiv Parlamentului României cu privire la necesitatea desemnării la fiecare instituție a unei persoane responsabile cu protecția datelor.
Conform estimărilor agențiilor în domeniu, afacerile a peste 340.000 de firme din România, reprezentând 40% din numărul total al persoanelor juridice înregistrate, vor fi influențate semnificativ de noile reglementări europene privind prelucrarea datelor cu caracter personal.