Sergiu BOZIANU, doctorand ULIM
Recenzent: Vitalie BUDECI, doctor în drept, conferențiar universitar
|
|
The Operator of Personal Data as Subject of a Crime This writing aimed to explain the notion of personal data operator based on the material legal framework – the Personal Data Protection Act. In this context, it was concretized when the personal data operator can be an individual and when he/she is to be qualified as a legal person, including those that concern the public or private domain. It presented the legislative evolution of this notion as well as the etymology of this concept at European level. Furthermore, legislative shortcomings have been exposed which give rise to some confusion as to the application of this notion in the light of the Law on Registers. The issues developed in this article were to prove that the operator of personal data is subject to the offense provided in art. 177 Criminal Procedure Code, and the provisions of the Law on the protection of personal data are the material norms for which the non-compliance may come under the liability provided by the criminal law. When the opinions and visions expressed in this article were substantiated, it was also taken into account the practical work of Mr. Sergiu Bozianu at the National Center for Personal Data Protection in the context of the interaction with the Prosecutor’s Office. Keywords: Personal data, subject of crime, the right to privacy, controller, processor |
|
|
|
Prezenta lucrare a avut drept scop de a tălmăci noțiunea de operator de date cu caracter personal avînd la bază cadrul juridic material – Legea privind protecția datelor cu caracter personal. În context, a fost concretizat cînd operatorul de date cu caracter personal poate fi persoană fizică și cînd acesta urmează a fi calificat ca persoană juridică, inclusiv aspectele ce vizează domeniul public sau privat. A fost prezentată evoluția legislativă a acestei noțiuni precum și etimologia acestui concept la nivel european. Mai mult, au fost expuse carențele legislative care generează anumite confuzii din punct de vedere al aplicării acestei noțiuni din perspectiva Legii cu privire la registre. Aspectele dezvoltate în acest articol au avut sarcina de a demonstra că operatorul datelor cu caracter personal este subiectul infracțiunii prevăzute la art. 177 Cod penal, iar prevederile Legii privind protecția datelor cu caracter personal reprezintă normele materiale pentru a cărei nerespectare poate surveni răspunderea prevăzută de legea penală. La fundamentarea opiniilor și viziunilor exprimate în acest articol, s-a ținut cont și de activitatea practică a dl. Sergiu Bozianu în cadrul Centrului Național pentru Protecția Datelor cu Caracter Personal în contextul interacțiunii cu organele procuraturii. Cuvinte cheie: Date personale, date cu caracter personal, subiect al infracțiunii, inviolabilitatea vieții personale, viață privată, operator de date cu caracter personal, persoană împuternicită de către operator, deținător de date cu caracter personal, art. 177 Cod penal. |
|
Noțiunea de operator de date cu caracter personal la prima vedere pare a fi specifică domeniului de operare a unor dispozitive mecanizate, cu ajutorul cărora se ajunge la atingerea unui scop urmărit de operator. Pe cît de tehnic s-ar părea această noțiune pe atît de neveridică este această pistă de percepere a acestei noțiuni.
Operatorul este entitatea cheie în domeniul protecției datelor cu caracter personal în jurul căruia au fost prestabilite anumite limite și responsabilități în legătură cu necesitatea respectării dreptului la viața intimă, familială și privată.
Pentru a desluși legătura dintre normele materiale din domeniul protecției datelor cu caracter personal și subiectul infracțiunii, este necesar de a înțelege cine se face responsabil de respectarea condițiilor de conformitate și securitate la prelucrarea datelor cu caracter personal, de respectarea drepturilor subiecților de date precum și de suportarea răspunderii în caz de încălcare.
Subiectul infracțiunii care atentează la dreptul la viața privată în legătură cu prelucrarea datelor cu caracter personal a fost definit de Convenția nr. 108 ca fiind ,,administratorul fișierului”. Definiția stabilită la art. 3 din această Convenție stabilește că administratorul fișierului este persoana fizică sau juridică, autoritatea publică, organizaţia sau oricare alt organ competent, conform legislaţiei naţionale, pentru a decide finalitatea fişierului prelucrat, tipuri de date cu caracter personal care trebuie înregistrate şi operaţiunile cărora pot fi supuse1. Autorii acestui act internațional au fundamentat noțiunea prin cîteva elemente specifice precum: orice persoană, care decide asupra tipurilor de date, a operațiunilor ce pot fi efectuat precum și asupra finalității acestor prelucrări. În mare parte textul Convenției nu a stabilit un rol major acestei noțiuni, consemnînd doar la art. 8 că orice persoană trebuie să dispună de posibilitatea de a cunoaște identitatea și reședința permanentă sau sediul principal al administratorului fișierului.
În continuare, noțiunea de ,,administrator al fișierului” a fost dezvoltată în Directiva 95/46/CE a cărei esență a fost preluată din Convenția 108. Astfel, ,,administratorul de fișier” a fost definit ca „operator” care înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Înțelegem că calitatea de operator este specifică oricărei persoane fizice sau juridice care singură sau împreună cu altele, stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal. Analizînd textul Directivei 95/46/CE, constatăm că operatorul de date este actorul principal, în sarcina căruia a fost pusă conformitatea și securitatea prelucrării datelor cu caracter personal. Definiția prevăzută de Directiva 95/46/CE spre diferență de cea consemnată în Convenția 108, a fost completată cu mai multe elemente specifice precum: controlul multiplu și obligația ca operatorul să stabilească scopul și mijloacele prelucrării2.
În legislația națională, pentru prima dată această noțiune a fost expusă la art. 4 din Legea cu privire la protecția datelor cu caracter personal, ca deţinător al datelor cu caracter personal care putea fi orice persoană juridică sau fizică care organizează şi efectuează prelucrarea datelor cu caracter personal, precum şi care determină scopurile, esenţa şi mijloacele de prelucrare a acestora3. Așadar legiuitorul național a individualizat acest calificativ juridic prin faptul că persoana fizică sau juridică să organizeze și să efectueze prelucrarea datelor cu caracter personal, inclusiv să determine scopul, mijloacele și esența acestei prelucrări. Definiția denotă o diferență consistentă față de noțiunea stabilită de Directiva 95/46/CE, fapt care a dus la modificarea acesteia odată cu adoptarea noii Legi privind protecția datelor cu caracter personal. Astfel, art. 3 al acestei legi a stabilit că operator înseamnă orice persoană fizică sau persoană juridică de drept public sau de drept privat, inclusiv autoritatea publică, orice altă instituţie ori organizaţie care, în mod individual sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal prevăzute în mod expres de legislaţia în vigoare4. Astfel, constatăm aparent că în această definiție legiuitorul a redus numărul de caracteristici ale acestui element, fiind menționat că operatorul este orice persoană care stabilește scopul și mijloacele prelucrării datelor cu caracter personal.
Pentru a stabili corespunderea acestei norme din anul 2011 la normele de drept european existente la moment, de reținut că art. 4 din Regulamentul 679/2016 stabilește că operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal5.
În opinia autorilor, după cum decurge din normele invocate, definiția operatorului de date cu caracter personal a fost modificată de-a lungul anilor, ținînd cont de evoluția tehnologiei informaționale precum și de modificarea raporturilor juridice. Astfel, pornind de la Convenția 108 care releva situația din acea perioadă de timp, care a fost concepută în special pentru reglementarea sistemelor informaționale automatizate, însă, în următorii ani, domeniul de reglementare a protecției datelor cu caracter personal a fost racordat nu doar la prelucrarea automatizată a datelor dar și la cea manuală, or, sistemele de evidență care pot aduce atingere vieții private sunt ținute atît în format electronic cît și cel manual.
Pentru a înțelege la propriu noțiunea de ,,operator de date cu caracter personal”, avînd în vedere limbajul specific expus în textul acestor norme, urmează să stabilim elementele constitutive ale acesteia. Așadar, conceptul de operator de date cu caracter personal cuprinde trei elemente esențiale: 1. aspectul privind persoana – fizică sau juridică, de drept public sau privat, orice altă instituție sau organizație; 2. aspectul de control – operatorul poate fi de unul singur sau împreună cu alții (multi-operator); 3. elementele specifice ce îl deosebesc de alții – stabilește scopul și mijloacele6.
Primul element esențial stabilește că operator al datelor cu caracter personal poate fi atît persoana fizică cît și cea juridică, astfel se impune întrebarea, aceste două forme pot exista concomitent față de aceeași prelucrare de date cu caracter personal sau separat ?
Putem deduce că din norma citată calitatea de operator poate fi deținută de orice persoană fizică indiferent de vîrstă, apartenență socială, sex, culoare sau orice alt calificativ. Astfel, legiuitorul nu impune nici o restricție în acest sens, operînd cu o terminologie generală. În mod practic acest fapt ar prezuma că fiecare din noi într-o anumită situație poate fi calificat ca operator de date cu caracter personal. În esență, această abordare își are rostul, or, de regulă, în calitate de subiect al infracțiunii participă în special persoana fizică, de una singură sau de comun cu alții. În calitate de persoană fizică operator al datelor cu caracter personal poate fi orice persoană fizică, inclusiv persoanele care exercită profesii liberale precum: avocatul7, executorul judecătoresc8, administratorii de insolvabilitate9, mediatorul10, notarul11.
În ceea ce ține de persona juridică, din norma citată rezultă că sub acest calificativ poate nimeri orice formă de organizare cum ar fi în cazul activității de antreprenor – întreprindere individuală, societate în nume colectiv, societate în comandită, societate pe acţiuni, societate cu răspundere limitată, cooperativă de producţie, cooperativă de întreprinzător, întreprindere de arendă, întreprindere de stat şi întreprindere municipală12, partidele politice13, asociațiile obștești14, sindicatele15, patronatele16, cultele religioase17, asociațiile de locatari18, ministerele și autoritățile publice din subordine19, autoritățile publice locale20, autoritățile publice autonome, aparatul administrativ al parlamentului etc.
În această ordine de idei rezultă că calificativul de operator de date cu caracter personal este atribuit oricărei forme de organizare juridică fie că în aceste raporturi aceasta se reprezintă în calitate de persoană fizică (cazul profesiilor liberale) sau persoană juridică (celelalte forme de organizare juridică enunțate supra).
Al doilea aspect al operatorului de date care îl caracterizează este controlul de unul singur sau împreună cu alții asupra prelucrării datelor cu caracter personal. Așa cum a fost enunțate în actele legislative, operatorul este cel care deține controlul asupra unei anumite prelucrări de date fie de unul singur sau împreună cu alții. Așadar, în situația obișnuită operatorul deține de unul singur controlul asupra unei prelucrări de date cu caracter personal, totodată în situația în care o persoană juridică deține în teritoriu reprezentanțe sau au forma de organizare de ,,grup” atunci ar trebuie considerați toți acești actori în calitate de operatori de date cu caracter personal distincți, reieșind din faptul că fiecare dintre acești participați răspund de latura lor de prelucrare a datelor cu caracter personal și dețin personalitate juridică separată.
Al treilea element specific ce îl deosebește de alții este că acesta stabilește scopul și mijloacele prelucrărilor de date cu caracter personal.
Existența unui operator este în primul rînd consecința faptului că o entitate a decis să prelucreze datele cu caracter personal în propriile scopuri. Într-adevăr, un simplu criteriu formal nu ar fi suficient, cel puțin din două motive: în unele cazuri, ar lipsi pur și simplu numirea oficială a unui operator – de exemplu, prin lege, într-un contract sau într-o notificare trimisă autorității de protecție a datelor, în alte cazuri, este posibil ca numirea oficială să nu reflecte realitatea, atribuind în mod oficial funcția de operator unui organism care nu este în măsură să „stabilească”21. Așa cum desprindem din această opinie, calitatea de operator de date cu caracter personal nu tot timpul decurge expres din norma legală, sau din contract, care, în multe situații poate stabili formal entitatea care este responsabilă de prelucrarea datelor cu caracter personal. Astfel, dacă e să tratăm stricto sensu aceste două elemente specifice ,,cine stabilește scopul și mijloacele” s-ar primi că în cazul adoptării de către parlament a legilor privind instituirea unor registre, baze de date, sau unor operațiuni de prelucrare a datelor cu caracter personal sub forma emiterii actului legislativ, reiese că unicul operator de date cu caracter personal este Parlamentul Republicii Moldova ? Cu certitudine această ipoteză este o interpretare eronată a acestor principii, or, noțiunea de operator de date cu caracter personal care stabilește scopul și mijloacele urmează a fi apreciată tocmai din considerentul controlului efectiv – dacă s-ar putea, prin analogie, de a împrumuta această expresie din domeniul financiar bancar care este definită la art. 3 din Legea cu privire la prevenirea spălării banilor și finanțării terorismului, ca persoană ce deține sau controlează în ultimă instanță […..] prelucrarea de date cu caracter personal.
Urmează a fi menționa că în opinia autorilor, se conturează 2 forme principale de organizare a operatorilor de date cu caracter personal:
1. Operatorii de date cu caracter personal care dețin și gestionează sisteme de evidență în vederea satisfacerii necesităților proprii de gestionare și prelucrare a datelor cu caracter personal în virtutea existenței unor obligații legale;
2. Operatorii care accesează/colectează alte resurse informaționale pentru a-și satisface propriile necesități administrative.
Aparent mai multe răspunsuri la această formă de organizare a operatorilor de date cu caracter personal am putea să o desprindem din prevederile Legii cu privire la registre. Astfel, prevederile art. 9 din această lege stabilește mai multe tipuri de organizare și responsabilitate față de registrele informaționale, cum ar fi: proprietarul registrului – în cazul persoanelor publice proprietar este statul, iar în cazul proprietarilor de drept privat poate fi orice persoană fizică sau juridică; posesorul registrului – poate fi doar autoritatea publică, care are obligația să asigure condiţiile juridice, organizatorice şi financiare pentru crearea şi ţinerea registrului, să asigure securitatea și protecția datelor etc. și care este în drept să delege în tot sau în parte anumite sarcini în adresa deținătorului sau registratorului registrului; deţinătorul registrului de stat – pot fi centrele informaţionale cărora posesorii registrelor de stat le-au delegat atribuţiile corespunzătoare; registratorul şi subregistratorul – registrator poate fi persoana fizică sau juridică căreia posesorii registrelor de stat i-au delegat atribuţiile respective22.
În opinia noastră aceste norme de drept deși par să reglementeze și să responsabilizeze operatorul de date, în mod practic acestea aduc mai multă confuzie și lipsă de compatibilitate cu normele din domeniul protecției datelor cu caracter personal. Aceste raționamente se întemeiază pe faptul că nu este clar cum să coroborezi noțiunea de proprietar, posesor și deținător în raport cu noțiunea de operator de date cu caracter personal ? În mod practic, în cazul în care informația din RSP s-ar face publică sau s-ar oferi acces nerestricționat, cine ar trebui să poartă răspundere în calitate de subiect al infracțiunii pentru aceste acțiuni sau inacțiuni ? Legea privind protecția datelor cu caracter personal spune că responsabil de încălcarea regimului de confidențialitate se face operatorul de date cu caracter personal. Totodată, pct. 13 din Hotărîrea Guvernului nr. 333 din 18.03.200223, stabilește că posesorul RSP este Ministerul Tehnologiei Informației și Comunicațiilor, care potrivit art. 11 din Legea cu privire la Registre are obligația de a asigura condițiile juridice, organizatorice, să asigure confidențialitatea și integritatea datelor, însă deținător al Registrului este IP ,,Agenția Servicii Publice” care gestionează și asigură realizarea tuturor acestor cerințe, inclusiv sub aspect de reglementare. Astfel, presupunem că responsabil pentru comiterea unui eventual incident de securitate s-ar face Ministerul Economiei și Infrastructurii succesor de drepturi și de obligații al Ministerului Tehnologiei Informației și Comunicațiilor?.
În soluționarea acestor reglementări contradictorii, servesc raționamentele expuse în Avizul Grupului de lucru 29 nr. 1/2010 potrivit căruia, se relevă că pilonul 3 cuprinde elementele esențiale de diferențiere a operatorului de alți actori, în timp ce al doilea pilon analizează posibilitatea ,,controlului multiplu”24.
Astfel, Avizul relatează că deși capacitatea de a ,,stabili” ar putea reieși dintr-o atribuție specifică conferită prin lege, aceasta decurge de obicei din analiza elementelor sau a circumstanțelor faptice ale cazului, fiind necesar a fi analizate operațiunile de prelucrare în cauză și să înțelegem cine le determină. Această abordare este de asemenea susținută de considerentul că Directiva 95/46/CE prevede ca operatorul să fie cel care ,,stabilește” și nu cel care ,,stabilește în mod legal” scopul și mijloacele. O ultimă caracteristică a conceptului de operator este autonomia acestuia, în sensul că, deși sursele legale pot ajuta la identificarea operatorului, conceptul ar trebui interpretat în principal în conformitate cu legislația privind protecția datelor, conceptul de operator nu ar trebui prejudiciat de conceptele din alte domenii legislative, care uneori sînt opuse sau coincid. Conceptul de operator este un concept funcțional, menit să aloce responsabilitățile acolo unde există influență efectivă, fiind astfel bazat pe o analiză faptică și nu o analiză formală. Totuși, numirea legală oficială ar trebui să fie în conformitate cu normele privind protecția datelor, asigurînd faptul că organismul desemnat deține efectiv controlul asupra operațiunilor de prelucrare sau, cu alte cuvinte, că numirea legală reflectă situația reală.
Așadar, după cum rezultă din raționamentele enunțate supra, subiectul infracțiunii stabilite la art. 177 Cod penal reprezintă operatorul de date cu caracter personal definit și reglementat de prevederile Legii privind protecția datelor cu caracter personal. Lipsa calificării corespunzătoare a infractorului prin prisma normelor materiale evocate, lipsește unul dintre componentele constitutive ale infracțiunii.
1 Convenţia privind protecţia persoanelor cu privire la procesarea automată a datelor personale, CETS No.: 108, Strasbourg, 28.01.1981;
2 Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
3 Legea nr. 17 din 15.02.2007 cu privire la protecția datelor cu caracter personal.
4 Legea nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal;
5 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
6 Avizul Grupului de lucru 29 nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”
7 Legea nr. 1260 din 19.07.2002 cu privire la avocatură, art. 30 alin. 2;
8 Legea nr. 113 din 17.06.2010 privind executorii judecătorești, art. 2 alin. (1);
9 Legea nr. 161 din 18.07.2014 cu privire la administratorii de insolvabilitate, art. 2 alin. (1);
10 Legea nr. 137 din 03.07.2015 cu privire la mediere, art. 15 alin. (1);
11 Legea nr. 69 din 14.04.2016 cu privire la organizarea activității de notariat, art. 32 alin. (1);
12 Legea nr. 845 din 03.01.1992 cu privire la antreprenoriat și întreprinderi, art. 13 pct. 1;
13 Legea nr. 294 din 21.12.2007 privind partidele politice, art. 1;
14 Legea nr. 837 din 17.05.1996 cu privire la asociațiile obștești, art. 1 alin. (3);
15 Legea sindicatelor nr. 1129 din 07.07.2000, art. 10 alin. (1);
16 Legea patronatelor nr. 976 din 11.05.2000, art. 17 alin. (1);
17 Legea nr. 125 din 11.05.2007 cu privire la cultele religioase și părțile lor componente, art. 17 alin. (1);
18 Legea condominiului în fondul locativ nr. 913 din 30.03.2000, art. 17 alin. (2);
19 Legea nr. 98 din 04.05.2012 privind administrația publică centrală de specialitate, art. 23 alin. (1);
20 Legea nr. 436 din 28.12.2006 privind administrația publică locală, art. 4;
21 Avizul Grupului de lucru 29 nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”;
22 Legea nr. 71 din 22.03.2007 cu privire la registre, art. 10-13;
23 Hotărîrea Guvernului nr. 333 din 18.03.2002 pentru aprobarea Concepţiei sistemului informaţional automatizat „Registrul de stat al populaţiei“ şi Regulamentului cu privire la Registrul de stat al populaţiei.
24 Avizul Grupului de lucru 29 nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”, p. 8.
