MONITORUL OFICIAL AL ROMÂNIEI

 

P A R T E A  I

Anul 186 (XXX) - Nr. 650         LEGI, DECRETE, HOTĂRÂRI ŞI ALTE ACTE         Joi, 26 iulie 2018

 

SUMAR

 

DECIZII ALE CURŢII CONSTITUŢIONALE

 

Decizia nr. 353 din 22 mai 2018 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 250 alin. (1) şi art. 360 din Codul penal

 

Decizia nr. 498 din 17 iulie 2018 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 30 alin. (2) şi (3), precum şi a sintagmei „sistemul dosarului electronic de sănătate al pacientului” din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii

 

ACTE ALE CONSILIULUI DE MEDIERE

 

119. - Hotărâre privind modificarea anexei nr. 10 la Regulamentul de organizare şi funcţionare a Consiliului de mediere, aprobat prin Hotărârea Consiliului de mediere nr. 5/2007

 

DECIZII ALE CURŢII CONSTITUŢIONALE

 

CURTEA CONSTITUŢIONALĂ

 

DECIZIA Nr. 353

din 22 mai 2018

referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 250 alin. (1) şi art. 360 din Codul penal

 

Valer Dorneanu - preşedinte

Marian Enache - judecător

Petre Lăzăroiu - judecător

Mircea Ştefan Minea - judecător

Mona-Maria Pivniceru - judecător

Livia Doina Stanciu - judecător

Simona-Maya Teodoroiu - judecător

Varga Attila - judecător

Afrodita Laura Tutunaru - magistrat-asistent

 

Cu participarea reprezentantului Ministerului Public, procuror Cosmin Grancea.

 

1. Pe rol se află soluţionarea excepţiei de neconstituţionalitate a dispoziţiilor art. 250 alin. (1) şi art. 360 din Codul penal, excepţie ridicată de Deftu Elena Daniela în Dosarul nr. 4.630/120/2016 al Tribunalului Dâmboviţa şi care formează obiectul Dosarului Curţii Constituţionale nr. 217D/2017.

2. La apelul nominal lipsesc părţile, faţă de care procedura de citare este legal îndeplinită.

3. Cauza fiind în stare de judecată, preşedintele Curţii acordă cuvântul reprezentantului Ministerului Public, care pune concluzii de respingere a excepţiei de neconstituţionalitate. Cu privire la susţinerea autorului excepţiei potrivit căreia prevederile art. 250 din Codul penal privind efectuarea de operaţiuni financiare în mod fraudulos şi art. 360 din Codul penal privind accesul ilegal la un sistem informatic ar fi neconstituţionale în măsura în care s-ar aplica şi cu privire la bunurile comune ale soţilor, precizează că, în cazul ambelor texte contestate, relaţiile sociale protejate de lege nu sunt numai cele patrimoniale. Astfel, în cazul infracţiunii prevăzute de art. 360 din Codul penal, arată că aceasta vizează şi altă valoare socială decât patrimoniul, respectiv protecţia ce trebuie acordată instrumentelor informatice, reglementarea fiind o copie fidelă a art. 2 din Convenţia privind criminalitatea informatică, ratificată de România prin Legea nr. 64/2004, care impune statelor semnatare să incrimineze fapta de acces ilegal la un sistem informatic. De asemenea, în cazul infracţiunii prevăzute de art. 250 din Codul penal, arată că această incriminare protejează şi relaţiile sociale de care depinde utilizarea instrumentelor de plată electronice. Prin urmare, în cazul ambelor infracţiuni sunt protejate şi alte relaţii sociale decât patrimoniul şi, totodată, este prevăzută condiţia ca fapta să fie săvârşită fără consimţământul titularului sau fără drept. Pentru a stabili dacă fapta a fost comisă fără consimţământul titularului sau fără drept pot fi folosite şi prezumţiile reglementate în Codul civil, însă aceasta nu este o problemă de constituţionalitate, ci una de fapt.

CURTEA,

având în vedere actele şi lucrările dosarului, constată următoarele:

4. Prin încheierea din 9 ianuarie 2017, pronunţată în Dosarul nr. 4.630/120/2016, Tribunalul Dâmboviţa a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a dispoziţiilor art. 250 alin. (1) şi art. 360 din Codul penal, excepţie ridicată de Deftu Elena Daniela în dosarul de mai sus,

având ca obiect soluţionarea unei cauze penale aflate în procedura de cameră preliminară şi în care se fac cercetări sub aspectul săvârşirii infracţiunilor prevăzute de art. 250 alin. (1) şi art. 360 din Codul penal.

5. În motivarea excepţiei de neconstituţionalitate se susţine că prevederile legale menţionate sunt neconstituţionale în măsura în care se referă la bunuri comune ale soţilor, întrucât relaţiile de familie între soţi reglementate de Codul civil dau dreptul fiecărui soţ de a folosi bunurile comune, fără consimţământul expres al celuilalt soţ, după cum, fiecare soţ poate încheia acte de conservare, administrare sau dobândire a bunurilor comune.

6. Tribunalul Dâmboviţa opinează că excepţia de neconstituţionalitate este neîntemeiată. Astfel, se apreciază că textele de lege pretins neconstituţionale nu încalcă accesul liber la justiţie, dreptul la viaţă familială sau dreptul la un proces echitabil.

7. Pe de altă parte, instanţa a mai arătat că principiul egalităţii în faţa legii prevăzut de art. 16 din Constituţie nu este încălcat prin dispoziţiile art. 360 din Codul penal, respectiv art. 250 din Codul penal care incriminează (cu incidenţă în cauză) accesul neautorizat la un sistem informatic de tip digipass - un dispozitiv electronic ce permite accesul la un cont bancar prin intermediul unui nume de utilizator, respectiv parolă -, precum şi transferul de fonduri din contul respectiv fără acordul titularului. Împrejurarea că banii respectivi ar putea fi calificaţi drept bun comun al soţilor nu reprezintă o diferenţă specifică care să necesite un tratament diferit în sensul inexistenţei răspunderii penale a soţului care ar accesa contul celuilalt soţ fără acordul acestuia

8. Infracţiunea reglementată de art. 360 din Codul penal vizează în special altă valoare socială decât patrimoniul - respectiv protecţia încrederii ce trebuie acordată de societate instrumentelor informatice, precum cele care dau acces la un cont bancar.

9. Cu privire la infracţiunea prevăzută de art. 250 din Codul penal, care este o infracţiune contra patrimoniului, relevant pentru analiză este faptul că legea penală incriminează transferul fondurilor, fără acordul titularului,

10. Ca atare, diferenţa specifică dintre tipul bunului nu mai are relevanţă din perspectiva art. 16 din Constituţie, pentru că legea civilă prezumă acordul celuilalt soţ la folosirea bunurilor comune, pe când legea penală incriminează situaţia (ce trebuie dovedită de acuzare) că transferul fondurilor s-a realizat fără acordul titularului - în speţă fără acordul soţului.

11. În acest context, premisa de fapt fiind diferită de legea civilă, legiuitorul are, în materie penală, libertate de acţiune. De altfel, circumstanţa că o infracţiune este săvârşită de un membru de familie poate avea diferite conotaţii în legea penală (agravare a răspunderii la infracţiunile de violenţă; îmblânzirea condiţiilor în care ar putea interveni răspunderea penală - de exemplu, art. 231 din Codul penal când furtul se pedepseşte doar la plângere prealabilă, premisă unei reglementări distincte -, art. 379 din Codul penal referitor la nerespectarea măsurilor privind încredinţarea minorilor; nicio consecinţă - la anumite infracţiuni la care persoana vătămată ar putea fi soţul – de exemplu, distrugerea, înşelăciunea, abuzul de încredere etc.). Chiar dacă situaţia din cauză ar avea asemănări mai mari cu infracţiunea de furt între soţi, legiuitorul îşi păstrează libertatea de a nu edicta, precum la art. 231 din Codul penal, vreo cauză procedurală de pedepsibilitate - pedepsirea doar la plângere prealabilă sau vreo cauză de nepedepsire sau micşorare a pedepsei, fiind vorba nu de neconstituţionalitate, ci de optică a politicii penale.

12. Potrivit prevederilor art. 30 alin. (1) din Legea nr. 47/1992, încheierea de sesizare a fost comunicată preşedinţilor celor două Camere ale Parlamentului, Guvernului şi Avocatului Poporului, pentru a-şi exprima punctele de vedere asupra excepţiei de neconstituţionalitate ridicate.

13. Guvernul apreciază că dispoziţiile legale criticate sunt constituţionale. Astfel, art. 250 alin. (1) din Codul penal sancţionează efectuarea de operaţiuni financiare „fără acordul titularului”, în vreme ce textul art. 360 din acelaşi cod pedepseşte accesul „fără drept” la un sistem informatic, astfel încât, odată ce operaţiunea financiară, respectiv accesul la sistemul informatic a avut loc fără acordul titularului, în mod fraudulos, nu are relevanţă din punctul de vedere al dreptului penal dacă el a fost efectuat de către soţ sau de către o altă persoană

14. Având în vedere cele de mai sus, nu poate fi identificat niciun motiv pentru care textele de lege analizate contravin vreunuia dintre principiile constituţionale invocate.

15. Art. 21 alin. (3) din Constituţie garantează dreptul persoanei la un proces echitabil şi la judecarea cauzei într-un termen rezonabil. Dreptul la un proces echitabil presupune, ca garanţii generale, dreptul la o instanţă constituită prin lege, independentă şi imparţială, publicitatea procesului, dreptul de a fi judecat într-un termen rezonabil, respectarea principiului egalităţii armelor şi al contradictorialităţii, dreptul acuzatului de a păstra tăcerea şi de a nu se autoincrimina.

16. Dispoziţiile legale criticate cuprind dispoziţii de incriminare şi au fost instituite de legiuitor în vederea ocrotirii relaţiilor sociale referitoare la siguranţa publică, precum şi la ocrotirea patrimoniului. Aceasta reprezintă o opţiune de politică legislativă şi nu aduce în niciun fel atingere dispoziţiilor constituţionale privind dreptul la un proces echitabil, acest principiu constituţional beneficiind de o reglementare detaliată în cadrul prevederilor Codului penal şi Codului de procedură penală, norme a căror aplicare nu este afectată de către dispoziţiile analizate în prezenta excepţie de neconstituţionalitate.

17. În ceea ce priveşte compatibilitatea cu principiul egalităţii în drepturi, Guvernul consideră că textele de lege sunt, de asemenea, constituţionale. După cum s-a pronunţat Curtea Constituţională în mod constant în jurisprudenţa sa, egalitatea în faţa legii înseamnă aplicarea aceluiaşi regim juridic pentru persoanele aflate în situaţii similare, şi nu un regim juridic uniform pentru persoane aflate în situaţii diferite. Art. 16 din Constituţie privind egalitatea în drepturi a cetăţenilor trebuie interpretat în corelare cu art. 4 din Constituţie, care stabileşte criteriile generale de discriminare, şi anume: rasă, naţionalitate, origine etnică, limbă, religie, sex, opinie, apartenenţă politică, avere sau origine socială. Or, textele de lege criticate nu instituie tratamente discriminatorii pentru anumite categorii de persoane, aplicându-se în mod nediferenţiat tuturor persoanelor aflate în aceeaşi situaţie juridică.

18. Cu privire la art. 20 din Constituţie, care statuează supremaţia tratatelor şi convenţiilor la care România este parte asupra dreptului intern, Guvernul consideră că textele de lege criticate nu sunt de natură a contraveni dispoziţiilor constituţionale invocate, întrucât acestea nu sunt contrare niciunei convenţii sau tratat privind drepturile omului la care România este parte.

19. De asemenea, Guvernul observă că textele de lege criticate nu conţin dispoziţii de natură a îngrădi exercitarea dreptului constituţional consacrat de art. 26 din Constituţie, referitor la tratatele internaţionale privind drepturile omului, respectiv dreptul la viaţă intimă, familială şi privată.

20. Avocatul Poporului apreciază că dispoziţiile legale criticate sunt constituţionale. Astfel, cât priveşte critica de neconstituţionalitate a prevederilor art. 360 alin. (1)-(3) şi ale art. 250 alin. (1) din Codul penal, faţă de art. 16 alin. (1) din Constituţie, se arată că normele criticate nu aduc atingere principiului constituţional care consacră egalitatea în drepturi a cetăţenilor. În context, normele supuse controlului de constituţionalitate se aplică în mod egal tuturor celor aflaţi în situaţia prevăzută în ipoteza normei legale, fără nicio discriminare pe considerente arbitrare.

21. În acord cu jurisprudenţa Curţii Constituţionale în ceea ce priveşte principiul egalităţii, consacrat prin art. 16 din Constituţie, Avocatul Poporului apreciază că legiuitorul este în drept să stabilească un tratament juridic diferit pentru situaţii de fapt diferite (mandatul tacit al soţilor pentru administrarea bunurilor comune, în dreptul civil, pe de o parte, şi răspunderea penală pentru utilizarea unui instrument de plată electronică, fără consimţământul titularului, pe de altă parte), principiul egalităţii neînsemnând uniformitate de regim juridic. Ca atare, fiind în prezenţa unor instituţii juridice diferite, şi regimul juridic diferit reglementat de către legiuitor este justificat.

22. În privinţa dispoziţiilor art. 20 şi art. 21 alin. (3) din Constituţie, precum şi ale art. 6 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, se arată că nu au incidenţă în cauză, prevederile legale criticate fiind de drept material, iar nu de drept procedural.

23. Referitor la pretinsa nesocotire a prevederilor art. 26 din Constituţie, argumentată din perspectiva unei comparaţii dintre prevederi din Codul civil care reglementează comunitatea de bunuri între soţi şi incriminarea unor fapte penale, trebuie precizat că, în jurisprudenţa sa, Curtea Constituţională a statuat în repetate rânduri că examinarea constituţionalităţii unui text de lege are în vedere compatibilitatea acestui text cu dispoziţiile constituţionale pretins a fi încălcate, iar nu analogia mai multor prevederi legale între ele şi raportarea concluziei ce ar rezulta din această comparaţie la dispoziţii ori principii ale Constituţiei.

24. Procedându-se altfel s-ar ajunge inevitabil la concluzia că, deşi fiecare dintre dispoziţiile legale este constituţională, numai coexistenţa lor ar pune în discuţie constituţionalitatea uneia dintre ele (a se vedea, spre exemplu, Decizia nr. 463 din 12 aprilie 2011 sau Decizia nr. 897 din 17 decembrie 2015).

25 Preşedinţii celor două Camere ale Parlamentului nu au comunicat punctele lor de vedere asupra excepţiei de neconstituţionalitate,

CURTEA,

examinând încheierea de sesizare, punctele de vedere ale Guvernului şi Avocatului Poporului, raportul întocmit de judecătorul-raportor, concluziile procurorului, dispoziţiile legale criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:

26. Curtea Constituţională a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. d) din Constituţie, precum şi ale art. 1 alin. (2), ale art. 2, 3,10 şi 29 din Legea nr. 47/1992, să soluţioneze excepţia de neconstituţionalitate.

27. Obiectul excepţiei de neconstituţionalitate îl constituie dispoziţiile art. 250 alin. (1) cu denumirea marginală Efectuarea de operaţiuni financiare în mod fraudulos şi art. 360 cu denumirea marginală Accesul ilegal la un sistem informatic, ambele din Codul penal, care au următorul conţinut:

- Art. 250 alin. (1) din Codul penal: „(1) Efectuarea unei operaţiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, prin utilizarea, fără consimţământul titularului, a unui instrument de plată electronică sau a datelor de identificare care permit utilizarea acestuia, se pedepseşte cu închisoarea de la 2 la 7 ani.”

- Art. 360 din Codul penal: „(1) Accesul, fără drept, la un sistem informatic se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă.

(2) Fapta prevăzută în alin. (1), săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoarea de la 6 luni la 5 ani.

(3) Dacă fapta prevăzută în alin. (1) a fost săvârşită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricţionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.”

28. Autorul excepţiei de neconstituţionalitate susţine că dispoziţiile legale criticate încalcă prevederile constituţionale ale art. 16referitor la Egalitatea în drepturi, art. 20 referitor la Tratatele internaţionale privind drepturile omului, art. 21 referitor la Accesul liber la justiţie şi art. 26 referitor la Viaţa intimă. familială şi privată, precum şi dispoziţiile art. 6 paragraful 1 referitor la dreptul la un proces echitabil şi art. 8 paragraful 2 referitor la limitele dreptului la respectarea vieţii private şi de familie din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale.

29. Examinând excepţia de neconstituţionalitate, Curtea constată că. dispoziţiile legale criticate reglementează cu privire la infracţiunile de efectuarea de operaţiuni financiare în mod fraudulos şi de acces ilegal la un sistem informatic, ambele din Codul penal.

30. Astfel, incriminarea reglementată de art. 250 alin. (1) din Codul penal protejează relaţiile sociale patrimoniale a căror bună desfăşurare depinde de utilizarea legitimă a instrumentelor de plată electronice, definite în art. 180 din Codul penal ca fiind acele instrumente care permit titularului să efectueze retrageri de numerar, încărcarea şi descărcarea unui instrument de monedă electronică, precum şi transferuri de fonduri, altele decât cele ordonate şi executate de către instituţii financiare. Subiectul activ poate fi orice persoană fizică sau juridică. Obiectul material al acestei infracţiuni îl constituie numerarul ori datele informatice referitoare la fondurile băneşti Stocate pe instrumentul de monedă electronică, iar subiect pasiv poate fi orice persoană fizică sau juridică. Practic, în acest caz, elementul material al infracţiunii în varianta-tip constă în efectuarea de operaţiuni de retragere, încărcare sau descărcare a unui instrument de monedă electronică ori transfer de fonduri, fără consimţământul titularului. Raportat la valoarea socială protejată, infracţiunea prevăzută de art. 250 alin. (1) din Codul penal, făcând parte din categoria infracţiunilor contra patrimoniului prin nesocotirea încrederii (cap. III al titlului II al Părţii speciale a Codului penal) este una de pericol, fiind irelevant, pentru consumarea ei, dacă s-a produs vreo pagubă patrimonială.

31. Cât priveşte incriminarea reglementată de art. 360 din Codul penal, Curtea reţine faptul că, aceasta protejează relaţiile sociale a căror bună desfăşurare depinde de respectarea securităţii şi integrităţii sistemelor informatice, precum şi a securităţii, integrităţii şi confidenţialităţii datelor informatice, definite în art. 181 din Codul penal ca fiind „orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program Informatic”, precum şi „orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic”. Poate avea calitatea de subiect activ şi pasiv orice persoană fizică sau juridică. Elementul material al acestei infracţiuni îl constituie, în principiu, acea operaţiune de acces, fără drept, prin care se realizează o interacţiune funcţională cu sistemul informatic. Formele agravate ale infracţiunii au în vedere, pe de o parte, scopul accesului ilegal la sistemul informatic, respectiv obţinerea de date informatice [art. 360 alin. (2) din Codul penal], precum şi încălcarea măsurilor de securitate [art. 360 alin (3) din Codul penal]. Infracţiunea este una de pericol, astfel că nu intră în tipicitatea legală producerea unui rezultat.

32. Autorul excepţiei a criticat aceste dispoziţii legale susţinând că, în categoria subiecţilor activi ai infracţiunilor reglementate de art. 250 alin. (1) şi art. 360 din Codul penal nu ar trebui să intre soţul subiectului pasiv, deoarece potrivit normelor civile, regimul bunurilor din timpul căsătoriei este unul comun, fiind guvernat de regimul comunităţii legale.

33. O astfel de critică nu poate fi primită, deoarece potrivit art. 2 alin. (3) din Legea nr. 47/1992,,Curtea Constituţională se pronunţă numai asupra constituţionalităţii actelor cu privire la care a fost sesizată Aşa fiind, examinarea constituţionalităţii unui text de lege are în vedere conformitatea acestui text cu dispoziţiile şi principiile constituţionale, iar nu compararea unor prevederi legale dintr-o lege ori a prevederilor mai multor legi între ele - cum ar fi în speţă cele din Codul penal cu cele din Codul civil [art. 339 şi următoarele din Codul civil referitoare la regimul comunităţii legale de bunuri] - şi raportarea concluziei ce ar rezulta din această comparaţie la dispoziţii ori principii ale Constituţiei.

34. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) şi al art. 147 alin. (4) din Constituţie, al art. 1-3, al art. 11 alin. (1) lit. A.d) şi al art. 29 din Legea nr. 47/1992, cu unanimitate de voturi,

CURTEA CONSTITUŢIONALĂ

În numele legii

DECIDE:

Respinge, ca inadmisibilă, excepţia de neconstituţionalitate a dispoziţiilor art. 250 alin. (1) şi art. 360 din Codul penal, excepţie ridicată de Deftu Elena Daniela în Dosarul nr. 4.630/120/2016 al Tribunalului Dâmboviţa.

Definitivă şi general obligatorie.

Decizia se comunică Tribunalului Dâmboviţa şi se publică în Monitorul Oficial al României, Partea I.

Pronunţată în şedinţa din data de 22 mai 2018.

 

PREŞEDINTELE CURŢII CONSTITUŢIONALE

prof. univ. dr. VALER DORNEANU

Magistrat-asistent,

Afrodita Laura Tutunaru

 

CURTEA CONSTITUŢIONALĂ

 

DECIZIA Nr. 498

din 17 iulie 2018

referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 30 alin. (2) şi (3), precum şi a sintagmei „sistemul dosarului electronic de sănătate al pacientului” din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii

 

Valer Dorneanu - preşedinte

Marian Enache - judecător

Petre Lăzăroiu - judecător

Mircea Ştefan Minea - judecător

Daniel Marius Morar - judecător

Mona-Maria Pivniceru - judecător

Livia Doina Stanciu - judecător

Simona-Maya Teodoroiu - judecător

Varga Attila - judecător

Benke Károly - magistrat-asistent-şef

 

Cu participarea reprezentantului Ministerului Public, procuror Luminiţa Nicolescu.

 

1. Pe rol se află soluţionarea excepţiei de neconstituţionalitate a dispoziţiilor art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii, excepţie ridicată direct de Avocatul Poporului, şi care formează obiectul Dosarului Curţii Constituţionale nr. 3.062D/2016.

2. La apelul nominal se prezintă, pentru autorul excepţiei de neconstituţionalitate, doamna Emma Turtoi, şef Birou contencios constituţional şi recurs în interesul legii, din cadrul instituţiei Avocatul Poporului, cu împuternicire depusă la dosar. Procedura de citare este legal îndeplinită.

3. Cauza fiind în stare de judecată, preşedintele Curţii acordă cuvântul reprezentantului Avocatului Poporului, care reiterează motivele de neconstituţionalitate cuprinse în excepţia de neconstituţionalitate formulată.

4. Reprezentantul Ministerului Public pune concluzii de respingere a excepţiei de neconstituţionalitate ca neîntemeiată, apreciind, în esenţă, că stocarea datelor cu caracter medical ale pacienţilor este necesară pentru a evalua starea de sănătate a pacientului şi, în condiţiile în care accesul la acestea este limitat numai la personalul medical, o asemenea măsură nu încalcă art. 26 din Constituţie. Se mai indică faptul că prelucrarea datelor medicale se face doar cu acordul pacientului. În final se subliniază că există suficiente garanţii cu privire la asigurarea confidenţialităţii datelor astfel stocate, chiar în Legea nr. 677/2001, prin urmare, acestea nu trebuie să fie prevăzute în mod distinct în Legea nr. 95/2006.

CURTEA,

având în vedere actele şi lucrările dosarului, constată următoarele:

5. Prin Adresa nr. 20.849 din 28 noiembrie 2016, înregistrată la Curtea Constituţională cu nr. 11.773 din 28 noiembrie 2016, în temeiul art. 146 lit. d) teza a două din Constituţie şi al art. 32 din Legea nr. 47/1992, Avocatul Poporului a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a dispoziţiilor art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii.

6. În motivarea excepţiei de neconstituţionalitate se susţine că, în materia asigurării asistenţei medicale, cadrul legal trebuie reglementat într-o manieră care să nu vină în coliziune cu drepturile fundamentale prevăzute de art. 26 din Constituţie, care stabilesc obligaţia autorităţilor publice de a respecta şi ocroti viaţa intimă, familială şi privată. În materia drepturilor personale, regula unanim recunoscută este aceea a garantării şi respectării acestora, respectiva confidenţialităţii, statul având în acest sens obligaţii majoritar negative, de abţinere, prii care să fie evitată, pe cât posibil, ingerinţa sa în exerciţiului dreptului sau al libertăţii.

7. În acest context se observă că dispoziţiile legale criticate prezintă un grad mare de generalitate, deşi privesc un domeniu sensibil, respectiv datele personale de natură medicală, cuprinse în dosarul electronic de sănătate. Legiuitorul s-a limitat la a enunţa în mod generic obligativitatea utilizării dosarului electronic de sănătate al pacientului, fără a stabili în concret garanţii adecvate, menite să asigure protecţia datelor cu caracter personal, cuprinse în cadrul acestuia. De asemenea, s-a rezumat la a reglementa că modalitatea de utilizare şi completare a dosarului antereferit va fi stabilită prin norme metodologice de aplicare a prevederilor referitoare la acesta, care se aprobă prin hotărâre a Guvernului. Astfel, textele analizate fac trimitere la acte normative cu forţă juridică inferioară legii, aşa încât modalitatea de utilizare şi completare a dosarului antereferit se va realiza în baza unei proceduri neprevăzute de lege şi deci „susceptibilă de a fi calificată ca arbitrară”. Simpla trimitere, în cazul dat, la o legislaţie infralegală, respectiv la hotărâri ale Guvernului, care trimit, la rândul lor, la ordine - acte normative caracterizate printr-un grad sporit de instabilitate - încalcă principiul legalităţii prevăzut de art. 1 alin. (5) din Constituţie; în acest sens se face referire la Decizia Curţii Constituţionale nr. 17 din 21 ianuarie 2015, paragraful 60. Astfel, cerinţele art. 26 din Constituţie nu mai sunt realizate prin lege, ci prin acte administrative, respectiv Hotărârea Guvernului nr. 34/2015 şi Ordinul ministrului sănătăţii şi al preşedintelui Casei Naţionale de Asigurări de Sănătate nr. 1 123/849/2016.

8. Sub acest aspect se reţine caracterul lacunar al normelor care reglementează dosarul electronic de sănătate, de vreme ce regulile substanţiale, esenţiale în materia protecţiei vieţii intime, familiale şi private, precum şi a protecţiei datelor cu caracter personal nu sunt reglementate prin lege. Chiar dacă ipoteza dată poate fi considerată, aparent, o omisiune legislativă, nu poate fi ignorat viciul de neconstituţionalitate existent, deoarece tocmai această omisiune este cea care generează încălcarea Constituţiei. Lăsarea la latitudinea unor autorităţi administrative a accesului la datele reţinute, relativizează cadrul normativ al dosarului antereferit.

9. Se arată că asociaţiile medicilor şi cele ale pacienţilor au expus în spaţiul public o serie de temeri cu privire la implicaţiile pe care aplicarea dosarului electronic de sănătate le-ar putea avea asupra vieţii intime, familiale şi private ale persoanelor fizice, precum şi asupra vieţii profesionale a acestora, în condiţiile în care legiuitorul primar nu prevede o serie de garanţii menite să preîntâmpine diseminarea datelor personale cu caracter medical.

10. În acest sens se arată că în dosarul electronic de sănătate există o secţiune numită „sumar pentru situaţii de urgenţă”, care conţine date vitale pentru pacient, esenţiale medicilor în situaţii de urgenţă, în care „pacientul e inconştient sau nu poate spune medicilor bolile, alergiile cu care a fost diagnosticat şi nici dacă se află sub tratament medicamentos. În această secţiune sunt cuprinse printre altele bolile cronice ale pacientului; bolile hematologice relevante pentru urgenţe medicale; boli transmisibile relevante pentru urgenţe medicale; tratamentele curente; internări recente”. De asemenea, se arată că, potrivit asociaţiilor medicilor şi ale pacienţilor, „aceste informaţii sunt accesibile oricând oricărui medic din sistemul medical public şi privat, care e autentificat în sistemul dosarului electronic de sănătate, precum şi faptul că farmaciile, laboratoarele medicale, stomatologii şi orice alt furnizor de servicii medicale din România, autentificat obligatoriu în sistemul dosarului electronic de sănătate, pot avea acces oricând la aceste informaţii din dosarul oricărui pacient din ţară. Această situaţie poate apărea motivată de faptul că sistemul dosarului electronic de sănătate este parte integrantă a platformei informatice din asigurările de sănătate, care este utilizată în mod obligatoriu, la nivelul furnizorilor de servicii medicale, autorizaţi în conformitate cu prevederile legale, de către medicii care îşi desfăşoară activitatea într-o formă legală la aceşti furnizori, pentru toate serviciile medicale acordate pacienţilor, aferente întregii activităţi medicale. Or, potrivit art. 3 din Normele metodologice, prin furnizori de servicii medicale se înţeleg persoanele fizice sau juridice autorizate de Ministerul Sănătăţii pentru a furniza servicii medicale, medicamente şi dispozitive medicale, în conformitate cu prevederile legale”.

11. Se apreciază că accesul la datele personale medicale ale pacienţilor este permis unei categorii definite mult prea larg. Astfel, cadrul normativ actual, configurat de două acte administrative normative, nu stabileşte criterii obiective, care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, astfel încât pacienţii ale căror date au fost păstrate în dosarul electronic de sănătate nu pot beneficia de garanţii suficiente, care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă. Se arată că jurisprudenţa Curţii Constituţionale a subliniat necesitatea existenţei unor prevederi legale care să dispună limitarea la strictul necesar a numărului persoanelor care să aibă acces la datele personale cu caracter medical, indicându-se în acest sens Decizia nr. 17 din 21 ianuarie 2015 şi Decizia nr. 440 din 8 iulie 2014. Se mai invoca jurisprudenţa Curţii Europene a Drepturilor Omului, referitoare la protecţia datelor personale, inclusiv a datelor medicale. În acest sens se arată că respectarea confidenţialităţii datelor medicale este un principiu esenţial în sistemele legale ale statelor-părţi la Convenţie. Dezvăluirea acestor date poate afecta în mod dramatic viaţa privată şi de familie a persoanei, precum şi situaţia sa socială şi profesională, prin expunerea persoanei respective la oprobiul şi riscul de excludere din viaţa publică; sunt indicate în acest sens hotărârile din 17 ianuarie 2012 şi 25 februarie 1997, pronunţate în cauzele Varapnickaité-Mazyliené împotriva Lituaniei şi Z. împotriva Finlandei. De aceea se arată că este necesar ca legislaţia primară internă să cuprindă reglementări clare şi previzibile, care să nu permită încălcarea art. 26 din Constituţie.

12. Cu privire la cadrul european incident în materia asistenţei medicale transfrontaliere este invocată Directiva 2011/24/UE din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere, care stabileşte, în cuprinsul considerentului nr. 25, faptul că dreptul la protecţia datelor cu caracter personal reprezintă un drept fundamental, recunoscut prin art. 8 din Carta drepturilor fundamentale ale Uniunii Europene, în condiţiile în care asigurarea continuităţii asistenţei medicale transfrontaliere depinde de transferul de date cu caracter personal, privind starea de sănătate a pacienţilor; prin urmare, aceste date cu caracter personal ar trebui să poată circula între statele membre, dar, în acelaşi timp, ar trebui respectate drepturile fundamentale ale persoanelor. Directiva 95/46/CE din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date stabileşte dreptul persoanelor fizice de a avea acces la propriile date cu caracter personal privind starea lor de sănătate, de exemplu, datele din dosarele lor medicale, care conţin informaţii precum: diagnostice, rezultate ale examinărilor, evaluări realizate de medicii curanţi şi orice alt tratament sau alte intervenţii realizate. Se susţine că, potrivit art. 4 alin. (2) lit. e) şi f) din Directiva 2011/24/UE din 9 martie 2011, este în responsabilitatea statului membru să respecte dreptul fundamental la protecţia vieţii private, în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi respectarea dreptului pacienţilor care au beneficiat de tratament într-un alt stat membru, de a avea un dosar medical al tratamentului respectiv, în format pe hârtie sau electronic, şi acces la cel puţin o copie a acestui dosar, în conformitate cu şi sub rezerva măsurilor naţionale de punere în aplicare a dispoziţiilor Uniunii privind protecţia datelor cu caracter personal, în special directivele 95/46/CE şi 2002/58/CE.

13. Prin urmare, se arată că aceste acte stabilesc, ca principiu, necesitatea existenţei unui echilibru între asigurarea continuităţii asistenţei medicale, posibilă prin intermediul dosarului electronic de sănătate, şi protecţia drepturilor acestora, În special al dreptului la viaţă intimă, familială şi privată. Astfel, se impune reglementarea la nivelul legislaţiei primare a unor garanţii adecvate pentru utilizarea datelor medicale existente în dosarul electronic de sănătate, care să preîntâmpine orice abuz în utilizarea acestora şi orice accesare sau utilizare ilicită,

14. Cu privire la limitările care pot fi aduse art. 8 din Convenţie, privind dreptul la respectarea vieţii private şi de familie, se arată că acestea pot fi realizate „în conformitate cu legea”, sintagmă care presupune, pe de o parte, ca masurile intruzive să aibă o bază legală în dreptul intern, iar, pe de altă parte, acestea trebuie să fie compatibile cu principiul supremaţiei legii. De aceea, legea trebuie să fie accesibilă şi previzibilă, ceea ce înseamnă ca aceasta să fie suficient de precisă, încât să permită părţilor să-şi conformeze conduita potrivit regulii de drept. Pentru ca dreptul intern să întrunească aceste condiţii este necesară şi stabilirea unei protecţii juridice adecvate împotriva arbitrariului şi, ca urmare, să se indice cu suficientă claritate scopul puterii conferite autorităţilor competente şi maniera de exerciţiu al acestei puteri; în acest sens se indică hotărârile Curţii Europene a Drepturilor Omului din 4 decembrie 2008 şi 29 aprilie 2014, pronunţate în cauzele S. şi Marper împotriva Regatului Unit şi L.H. împotriva Letoniei.

15. Chiar dacă prevederile Convenţiei sau ale Constituţiei nu interzic consacrarea legislativă a ingerinţei autorităţilor statului în exercitarea drepturilor menţionate, intervenţia statală trebuie să respecte reguli stricte, expres menţionate în art. 8 din Convenţie, cât şi în art. 53 din Constituţie, care prevăd, printre alte condiţii, ca restrângerea exerciţiului dreptului să fie realizată prin lege. Or, în cazul de faţă, ingerinţa în dreptul la viaţă intimă, familială şi privată, generată de utilizarea şi completarea dosarului electronic de sănătate, nu este reglementată prin lege, contrar art. 53 din Constituţie. Restrângerea prin lege a exercitării unui drept reprezintă una dintre cele mai importante garanţii constituţionale ale legalităţii restrângerii. Ea permite controlul de constituţionalitate a legii sau ordonanţei prin care s-ar depăşi cazurile limitativ prevăzute în art. 53 alin. (1) din Constituţie. Expresia „numai prin lege” semnifică interdicţia stabilirii unor restrângeri privind exerciţiul unor drepturi sau libertăţi fundamentale, prin acte juridice inferioare, ca forţă juridică, legii, în acest sens este invocată şi Decizia Curţii Constituţionale nr. 134 din 1 februarie 2011.

16. Se apreciază că, în procesul de legiferare, legiuitorul ar trebui să aibă în vedere anumite aspecte menite să garanteze apărarea dreptului la viaţă intimă, familială şi privată şi a dreptului de proprietate asupra datelor personale, respectiv: modalitatea de utilizare a datelor având caracter medical; precizarea limitativă a categoriilor de persoane fizice şi juridice care au acces la informaţiile înscrise în dosarul electronic de sănătate; garanţii adecvate pentru protecţia acestor date faţă de orice accesare şi utilizare ilicită; necesitatea consimţământului pacienţilor, atât pentru constituirea dosarului electronic de sănătate, cât şi pentru utilizarea acestuia (caz în care urmează a fi avuţi în vedere, eventual, şi reprezentanţii legali sau aparţinătorii pacientului); posibilitatea pacienţilor de a refuza includerea în dosar a anumitor informaţii despre starea lor de sănătate, ce îi pot prejudicia, precum şi dreptul acestora de a decide asupra retragerii unor informaţii din propriul dosar electronic de sănătate, în aplicarea prevederilor care, în prezent, se regăsesc în art. 1 alin. (2) din normele metodologice, care proclamă dreptul exclusiv de proprietate al pacientului faţă de informaţiile din propriul dosar. Cu privire la acest ultim aspect se subliniază că, în condiţiile admiterii excepţiei de neconstituţionalitate, actele normate secundare, emise în executarea prevederilor art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006, vor înceta, la rândul lor, să producă efecte juridice.

17. În contextul celor prezentate se consideră că textele legale criticate, prin trimiterea pe care o fac la legislaţia infralegală, nu sunt în concordanţă cu garanţiile care însoţesc art. 26 din Constituţie. În vederea asigurării, pe de o parte, a unui climat de ordine, guvernat de principiile unui stat de drept şi democratic, iar, pe de altă parte, a protecţiei persoanei faţă de riscurile la adresa vieţii private, se apreciază că accesul şi utilizarea datelor cuprinse în dosarul electronic de sănătate al pacientului trebuie să se facă în condiţii de maximă securitate, pentru a se înlătura diseminarea, chiar şi accidentală, a oricăror date personale care ar putea aduce prejudicii de orice fel persoanei în cauză.

18. Potrivit prevederilor art. 30 alin. (1) şi art. 33 din Legea nr. 47/1992, actul de sesizare a fost comunicat preşedinţilor celor două Camere ale Parlamentului şi Guvernului pentru a-şi exprima punctele de vedere asupra excepţiei de neconstituţionalitate ridicate.

19. Guvernul apreciază că excepţia de neconstituţionalitate este neîntemeiată. Se arată că argumentele prezentate reprezintă considerente subiective, care ţin de modalitatea în care autorităţile competente înţeleg să interpreteze şi să aplice dispoziţiile legale respective. Simplul fapt al trimiterii la acte normative infralegale nu constituie ab initio motiv de neconstituţionalitate, cu atât mai mult cu cât acestea trimit la actele respective pentru aspecte procedurale, privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului, respectiv organizarea şi administrarea Platformei informatice din asigurările de sănătate.

20. Se arată că situaţia din dosarul de faţă nu este comparabilă cu cea reţinută în Decizia nr. 17 din 21 ianuarie 2015, astfel încât nu se poate desprinde aceeaşi concluzie, respectiv neconstituţionalitatea textelor legale criticate. În cauza de faţă se arată că este vorba de un dosar electronic medical, în care se au în vedere doar datele cu caracter medical relevante pentru starea de sănătate a unei persoane. În acest sens este invocat art. 1 din Normele metodologice privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului, aprobate prin Hotărârea Guvernului nr. 34/2015. Utilizarea informaţiilor respective se face cu respectarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cadrul general în materie, ale cărei reguli generale şi specifice sunt deja cunoscute şi respectate de utilizatorii unor astfel de date, în speţă, de către cei care folosesc, potrivit competenţelor legale, sistemul medical. Prin urmare, se apreciază că nu poate fi reţinută încălcarea art. 1 alin. (5) din Constituţie.

21. Stocarea, cu respectarea legislaţiei în vigoare cu privire la protecţia datelor cu caracter personal, a unor informaţii medicale, la care au acces doar persoane specializate din acest domeniu, nu face decât să creeze posibilitatea ca instituţiile competente să dispună de informaţii corecte şi complete, cu privire la starea de sănătate a unei persoane, astfel încât aceasta să poată beneficia de cea mai bună soluţie medicală individuală. Prin urmare, se apreciază că dispoziţiile legale criticate nu produc în sine o restrângere a dreptului fundamental la viaţă intimă, familială şi privată,

22 Preşedinţii celor două Camere ale Parlamentului nu au comunicat punctele lor de vedere asupra excepţiei de neconstituţionalitate.

CURTEA,

examinând actul de sesizare, punctul de vedere al Guvernului, raportul întocmit de judecătorul-raportor, concluziile reprezentantului autorului excepţiei de neconstituţionalitate, concluziile procurorului, dispoziţiile legale criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:

23. Curtea Constituţională a fost legal sesizată, potrivit dispoziţiilor art. 146 lit. d) teza a două din Constituţie, precum şi ale art. 1 alin. (2), ale art. 2, 3, 10, 29, 32 şi 33 din Legea nr. 47/1992, să soluţioneze excepţia de neconstituţionalitate.

24. Obiectul excepţiei de neconstituţionalitate, astfel cum a fost formulat, îl constituie dispoziţiile art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii, republicată în Monitorul Oficial al României, Partea I, nr. 652 din 28 august 2015. În realitate, criticile de neconstituţionalitate vizează dispoziţiile art. 30 alin. (2) şi (3), precum şi sintagma „sistemul dosarului electronic de sănătate al pacientului”din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006, texte asupra cărora Curtea urmează să se pronunţe prin prezenta decizie. Acestea fac parte din dreptul pozitiv la data pronunţării prezentei decizii [a se vedea Decizia nr. 64 din 9 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 145 din data de 27 februarie 2017, paragraful 45] şi au următorul cuprins:

- Art. 30 alin. (2) şi (3): „(2) Unităţile prevăzute la alin. (1) au obligaţia asigurării condiţiilor de mobilitate a informaţiei medicale în format electronic, prin utilizarea sistemului dosarului electronic de sănătate al pacientului. În situaţia în care se utilizează un alt sistem informatic, acesta trebuie să fie compatibil cu acest sistem din platforma informatică din asigurările de sănătate, caz în care furnizorii sunt obligaţi să asigure condiţiile de securitate şi confidenţialitate în procesul de transmitere a datelor.

(3) Modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului va li stabilită prin norme metodologice de aplicare a prevederilor referitoare la dosarul electronic de sănătate al pacientului, care se aprobă prin hotărârea Guvernului

- Art. 280 alin. (2): „(2) CNAS [Casa Naţională de Asigurări de Sănătate - sn.] organizează şi administrează Platforma informatică din asigurările de sănătate, care cuprinde: sistemul informatic unic integrat, sistemul naţional al cârdului de asigurări sociale de sănătate, sistemul naţional de prescriere electronică şi sistemul dosarului electronic de sănătate al pacientului, asigurând interoperabilitatea acestuia cu soluţiile de e-Sănătate la nivel naţional, pentru utilizarea eficientă a informaţiilor în elaborarea politicilor de sănătate şi pentru managementul sistemului de sănătate

25. Art. 30 alin. (1) din Legea nr. 95/2006, la care trimite alin. (2) al aceluiaşi articol, reglementează unităţile prin care se asigură asistenţa medicală profilactică şi curativă, respectiv cabinetele medicale ambulatorii ale medicilor de familie şi de alte specialităţi, centrele de diagnostic şi tratament, centrele medicale, centrele de sănătate, laboratoarele, alte unităţi sanitare publice şi private, precum şi unităţile sanitare publice şi private cu paturi,

26. Textele constituţionale invocate în susţinerea excepţiei de neconstituţionalitate sunt cele ale art. 1 alin. (5) privind calitatea legii, art. 26 privind viaţa intimă, familială şi privată, şi art. 53 privind restrângerea exerciţiului unor drepturi sau libertăţi fundamentale. De asemenea, se mai invocă şi prevederile art. 8 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, privind dreptul la respectarea vieţii private şi de familie.

27. Examinând excepţia de neconstituţionalitate, Curtea reţine că, în precedent, s-a pronunţat asupra constituţionalităţii dispoziţiilor art. 330-338 din Legea nr. 95/2006, referitoare la cârdul naţional de asigurări sociale de sănătate, reţinând, prin Decizia nr. 204 din 31 martie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 430 din 16 iunie 2015, paragraful 47, că acesta nu cuprinde date medicale, ci doar următoarele informaţii: a) numele, prenumele, precum şi codul numeric personal ale asiguratului; b) codul unic de identificare în sistemul de asigurări sociale de sănătate; c) numărul de identificare al cârdului naţional de asigurări sociale de sănătate. Desigur, şi aceste date au caracter personal, dar nu medical. În aceste condiţii, Curtea nu a analizat criticile de neconstituţionalitate referitoare la pretinsa înscriere pe card/cipul cârdului a datelor medicale, ci a stabilit că există garanţii adecvate şi suficiente pentru protecţia datelor cu caracter personal înscrise - aşadar, altele decât cele medicale - şi, în consecinţă, a constatat constituţionalitatea prevederilor legale criticate. Prin urmare, situaţia de faţă, supusă atenţiei Curţii Constituţionale, este diferită de cea analizată în precedent, întrucât dosarul electronic de sănătate cuprinde „informaţii medicale”, potrivit art. 30 alin. (2) din Legea nr. 95/2006.

28. Curtea constată că autorul excepţiei de neconstituţionalitate îşi axează, în principal, critica formulată pe faptul că textele legale criticate nu cuprind garanţii cu privire la asigurarea protecţiei datelor cu caracter personal, de natură medicală, cuprinse în dosarul electronic de sănătate, reglementarea acestora fiind lăsată la nivelul legislaţiei secundare, respectiv Hotărârea Guvernului nr. 34/2015 pentru aprobarea Normelor metodologice privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului, publicată în Monitorul Oficial al României, Partea I, nr. 65 din 26 ianuarie 2015, şi Ordinul ministrului sănătăţii şi al preşedintelui Casei Naţionale de Asigurări de Sănătate nr. 1.123/849/2016 pentru aprobarea datelor, informaţiilor şi procedurilor operaţionale necesare utilizării şi funcţionării dosarului electronic de sănătate (DES) al pacientului, publicat în Monitorul Oficiat al României, Partea I, nr. 806 din 13 octombrie 2016.

29. Într-adevăr, întreaga materie a dosarului electronic de sănătate este reglementată în actele de reglementare secundară, legea nefăcând altceva decât să introducă sistemul dosarului electronic de sănătate al pacientului în sistemul normativ de reglementare primară. Referirile la acesta, în corpul Legii nr. 95/2006, aşadar, într-un act normativ de reglementare primară, sunt sumare şi fără consistenţă. Prin urmare, revine Curţii Constituţionale sarcina de a analiza dacă datele cuprinse în dosarul electronic de sănătate, respectiv informaţiile medicale, sunt date care privesc viaţa intimă, familială şi privată a persoanei, iar, în cazul în care Curtea ajunge la o concluzie afirmativă, urmează să stabilească dacă protecţia acestora ţine de nivelul actelor de reglementare primară sau secundară.

30. Cu privire la prima problemă ridicată, Curtea reţine că datele personale şi procesarea acestor informaţii ţin de viaţa privată a individului [a se vedea Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 43, sau Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 35]. Orice informaţie de natură medicală intră în categoria datelor cu caracter personal [Hotărârea din 10 octombrie 2006, pronunţată în Cauza L.L. împotriva Franţei, paragraful 32], Obiectul art. 8 din Convenţie este acela de a proteja individul de ingerinţa arbitrară a autorităţilor publice; el nu obligă statul doar să se abţină de la astfel de ingerinţe, ci, suplimentar acestei obligaţii negative, pot exista obligaţii pozitive inerente, în vederea respectării efective a vieţii private sau de familie. Aceste obligaţii pot implica adoptarea de măsuri concepute pentru a apăra respectarea vieţii private, chiar şi în sfera relaţiilor dintre indivizi [Hotărârea din 17 iulie 2008, pronunţată în Cauza /. împotriva Finlandei, paragraful 36]. Prin urmare, sfera de cuprindere a dispoziţiilor art. 8 din Convenţie priveşte informaţiile personale referitoare la pacienţi [Hotărârea din 17 ianuarie 2012, pronunţata în Cauza Varapnickaité-Mazyliené împotriva Lituaniei, paragraful 41].

31. Garantarea securităţii datelor medicale împotriva accesului neautorizat reprezintă, în termenii Convenţiei, obligaţia pozitivă a statului de a apăra respectarea vieţii private a pacientului, prin intermediul unui sistem de reguli şi garanţii de protecţie a datelor [Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 37].

32. Protecţia datelor personale, în special a celor medicale, are o importanţă fundamentală pentru ca persoana să se bucure de dreptul său la respectarea vieţii de familie şi private, garantat de art. 8 din Convenţie. Respectarea confidenţialităţii datelor privind sănătatea este un principiu vital în sistemul juridic al statelor-părţi la Convenţie. Este crucială nu numai respectarea vieţii private a pacientului, ci şi menţinerea încrederii în corpul medical şi în serviciile medicale în general [Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 38]. Legislaţia internă trebuie, prin urmare, să prevadă garanţii adecvate pentru a preveni orice comunicare sau divulgare de date cu caracter personal referitoare la sănătate, care nu sunt în conformitate cu garanţiile prevăzute de articolul 8 din Convenţie [Hotărârea din 17 iulie 2008, pronunţată în Cauza Z. împotriva Finlandei, paragraful 38, Hotărârea din 25 februarie 1997, pronunţată în Cauza Z. împotriva Finlandei, paragraful 95, sau Hotărârea din 10 octombrie 2006, pronunţată în Cauza L.L împotriva Franţei, paragraful 44]. Fără o astfel de protecţie, cei ce au nevoie de asistenţă medicală pot fi împiedicaţi în a-şi găsi tratamentul corespunzător, punându-şi în pericol propria sănătate [Hotărârea din 6 iunie 2013, pronunţată în Cauza Avilkina şi alţii împotriva Rusiei, paragraful 45], precum şi pe cea a comunităţii, în cazul bolilor transmisibile [Hotărârea din 25 februarie 1997, pronunţată în Cauza Z. împotriva Finlandei, paragraful 95],

33. Dezvăluirea datelor medicale poate afecta în mod serios viaţa familială şi privată a persoanei, precum şi situaţia socială şi de muncă a acesteia, prin expunerea ei la oprobriul public şi la riscul ostracizării [Hotărârea din 17 ianuarie 2012, pronunţată în Cauza Varapnickaité-Mazyliené împotriva Lituaniei, paragraful 44, sau Hotărârea din 6 iunie 2013, pronunţată în Cauza Avilkina şi alţii împotriva Rusiei, paragraful 45].

34. Curtea Europeană a Drepturilor Omului recunoaşte, în acelaşi timp, că protecţia confidenţialităţii datelor medicale, care este în interesul pacientului, precum şi a întregii comunităţi poate uneori să treacă în plan secund în raport cu necesitatea de a investiga infracţiunile, de a-i urmări pe autori şi pentru a proteja publicitatea procedurilor judiciare, atunci când se dovedeşte că interesele din urmă sunt de o importanţă şi mai mare. În ceea ce priveşte problemele legate de accesul publicului la date cu caracter personal, Curtea de la Strasbourg a Statuat că autorităţilor naţionale competente ar trebui să li se acorde o anumită marjă de apreciere, pentru a găsi un echilibru echitabil între protecţia publicităţii procedurilor judiciare, pe de o parte, şi interesele unei părţi sau ale unei terţe părţi de a păstra aceste date confidenţiale, pe de altă parte. Dimensiunea marjei de apreciere în acest sens depinde de factori precum natura şi importanţa intereselor în cauză şi gravitatea intervenţiei [Hotărârea din 25 februarie 1997, pronunţată în cauza Z. împotriva Finlandei, paragrafele 97 şi 99].

35. Dezvăluirea unor date medicale în favoarea unei agenţii publice de asigurări sociale de către o clinică privată nu este contrară art. 8 din Convenţie, atât timp cât: (1) persoana a depus o cerere de acordare a unei indemnizaţii pentru handicap la acea entitate publică, bazată tocmai pe problema medicală ale cărei date se aflau în posesia clinicii private, (2) datele cerute erau strict necesare pentru soluţionarea respectivei cereri;

(3) datele solicitate erau relevante; (4) atât personalul clinicii private, cât şi cel al autorităţii publice erau ţinuţi de obligaţia de confidenţialitate, în caz contrar putându-se angaja răspunderea civilă sau penală a acestora [Hotărârea din 27 august 1997, pronunţată în Cauza M.S. împotriva Suediei, paragrafele 39-44]. Pe de altă parte, dezvăluirea unor date medicale în favoarea unui ziar, a unui procuror sau angajatorului pacientului, precum şi colectarea datelor medicale ale pacientului, de către o instituţie responsabilă în monitorizarea calităţii actului medical, constituie ingerinţe în dreptul la viaţă privată, urmând a fi analizate, de la caz la caz, prin intermediul testului de proporţionalitate [Hotărârea din 17 mai 2016, pronunţată în Cauza Furst-Pfeifer împotriva Austriei, paragraful 44, Hotărârea din 29 aprilie 2014, pronunţată în Cauza L.H. împotriva Letoniei, paragraful 33, Hotărârea din 15 aprilie 2014, pronunţată în Cauza Radu împotriva Republicii Moldova, paragraful 27, Hotărârea din 6 iunie 2013, pronunţată în Cauza Avilkina şi alţii împotriva Rusiei, paragraful 54, şi Hotărârea din 25 noiembrie 2008, pronunţată în Cauza Armoniené împotriva Lituaniei, paragraful 43].

36. Curtea Europeană a Drepturilor Omului a constatat, de asemenea, că stocarea şi colectarea datelor de sănătate ale unei persoane pentru o perioadă lungă de timp, împreună cu dezvăluirea şi utilizarea acestor date, fără a avea o legătură cu scopul iniţial al colectării acestora, constituie o ingerinţă disproporţionată în dreptul la respectarea vieţii private [Hotărârea din 26 ianuarie 2017, pronunţată în Cauza Surikov împotriva Ucrainei, paragrafele 70 şi 89, privind divulgarea motivelor medicale în temeiul cărora un angajat a fost scutit de efectuarea serviciului militar],

37. În cauza de faţă. Curtea constată că instituirea dosarului electronic de sănătate s-a realizat prin lege, fără ca aceasta să prevadă datele pe care dosarul urmează a le cuprinde. Desigur, din denumirea acestuia şi din referirea pe care textul art. 30 alin, (2) o face la „mobilitatea informaţiei medicale”, poate fi dedus faptul că el cuprinde date medicale, însă abia prin art. 1 din normele metodologice se stabileşte că dosarul electronic de sănătate „reprezintă înregistrări electronice consolidate la nivel naţional, cuprinzând date şi informaţii medicale relevante pentru medici şi pacienţi” şi „conţine date şi informaţii clinice, biologice, diagnostice şi terapeutice, personalizate, acumulate pe tot parcursul vieţii pacienţilor, aceştia fiind şi proprietarii de drept ai acestor informaţii/date”. În consecinţă, întrucât legea nu prevede obiectul dosarului electronic de sănătate, numai din coroborarea textului legal cu cel al normelor metodologice, în interpretarea normei, se poate ajunge la concluzia că dosarul electronic de sănătate cuprinde date personale de natură medicală.

38. În continuare, Curtea reţine că instituirea dosarului electronic medical reprezintă o măsură luată de stat, în considerarea asigurării sănătăţii publice. În acest sens, art. 34 alin, (2) din Constituţie prevede că „(2) Statui este obligat să ia măsuri pentru asigurarea igienei şi a sănătăţii publice”.

39. Dreptul la ocrotirea sănătăţii persoanei presupune, din partea statului, două obligaţii principale, şi anume: de abţinere, respectiv de a nu aduce atingere sănătăţii persoanei prin recurgerea la acţiuni violente/nonviolente (obligaţia negativă), şi de asigurarea cadrului necesar protejării dreptului (obligaţie pozitivă).

40. Opţiunea statului în sensul creării unui mecanism modern/suplu prin intermediul căruia unităţile medicale să consemneze istoricul medical al pacientului şi să l-l pună la dispoziţie acestuia, sub forma dosarului electronic de sănătate, nu pune în discuţie în sine o limitare a dreptului la viaţă intimă, familială sau privată; din contră, acesta poate fi o măsură adecvată, dată în aplicarea dreptului la ocrotirea sănătăţii. În schimb, datele introduse în acest dosar electronic intră în sfera de protecţie a dispoziţiilor art. 26 din Constituţie, întrucât sunt date medicale, care, la rândul lor, reprezintă date cu caracter personal, definite ca „orice informării privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de Identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale” [art. 4 pct. 1 din Regulamentul 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016]. Indiferent că evidenţa acestor date este realizată pe suport hârtie sau electronic, introducerea/consultarea acestora reprezintă o formă de prelucrare a acestora. Conform art. 4 pct. 2 din Regulamentul 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, noţiunea de prelucrare înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţiona rea, ştergerea sau distrugerea.

41. Astfel, obligaţia unităţilor medicale care asigură asistenţa medicală profilactică şi curativă de a consemna/actualiza/ consulta informaţiile medicale ale pacientului în cadrul dosarului medical al acestuia reprezintă o măsură care sprijină realizarea obligaţiei pozitive a statului de a asigura sănătatea publică, dar şi o prelucrare a datelor cu caracter medical. Însă exercitarea obligaţiei pozitive a statului de a crea condiţiile optime asigurării sănătăţii publice trebuie realizată cu respectarea garanţiilor asociate dreptului la viaţă intimă, familială şi privată a pacientului. Astfel, dacă statul se manifestă activ, în sensul că îşi exercită marja sa de apreciere în cadrul obligaţiei sale pozitive de a apăra dreptul la ocrotirea sănătăţii, acesta trebuie să se manifeste, de asemenea, activ în cadrul obligaţiilor pozitive care îi incumbă prin raportare la dreptul la viaţa intimă, familială şi privată.

42. Cu alte cuvinte, dacă statul a instituit, prin lege, o măsură în aplicarea dreptului la ocrotirea sănătăţii persoanei, tot acestuia îi revine obligaţia de a proteja şi garanta caracterul confidenţial al informaţiilor medicale prelucrate, printr-un act normativ de acelaşi nivel, respectiv prin lege. Astfel, din acest punct de vedere, obligaţiile pozitive asociate celor două drepturi sunt corelative şi interdependente, trebuind să existe un just echilibru între acestea. Statului nu îi este permis ca, protejând un drept constituţional, să o facă în detrimentului celuilalt drept deopotrivă ocrotit, pentru că s-ar putea ajunge la situaţia în care afectarea acestuia din urmă să fie atât de puternică, încât avantajul iniţial obţinut să apară ca fiind nesemnificativ în această ecuaţie. Prin urmare, la nivel normativ, complementaritatea şi proporţionalitatea trebuie să caracterizeze relaţia dintre cele două drepturi constituţionale antereferite.

43. Raportat la situaţia de faţă, din examinarea art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii rezultă că de lege lata s-a considerat a fi suficient faptul ca, prin lege, să fie reglementate următoarele aspecte: instituirea dosarului electronic de sănătate; stabilirea administratorului platformei informatice din asigurările de sănătate, respectiv Casa Naţională de Asigurări de Sănătate, din care face parte şi sistemul dosarului electronic de sănătate al pacientului; instituirea obligaţiei asigurării condiţiilor de mobilitate a informaţiei medicale în format electronic; stabilirea titularilor obligaţiei antereferite; ipoteza în care se utilizează un alt sistem informatic, acesta trebuind să fie compatibil cu sistemul din platforma informatică din asigurările de sănătate, caz în care furnizorii sunt obligaţi să asigure condiţiile de securitate şi confidenţialitate în procesul de transmitere a datelor.

44. Curtea constată că prevederile anterior menţionate sunt departe de a constitui, prin ele însele, garanţii ale respectării dreptului la viaţă intimă, familială şi privată. Ele, în realitate, reprezintă elementele de bază ale organizării şi asigurării funcţionării noului sistem electronic conceput de legiuitor. Or, astfel cum s-a arătat anterior, organizarea unui astfel de sistem în considerarea obligaţiei pozitive a statului de a lua măsuri în sensul protejării dreptului la ocrotirea sănătăţii implică, în mod necesar, obligaţia pozitivă a acestuia, asociată protejării şi garantării dreptului înscris în art. 26 din Constituţie.

45. În legătură cu acest aspect se constată că legea tace, neprevăzând nicio măsură care să poată fi calificată drept garanţie a dreptului la viaţă intimă, familială sau privată. Prin urmare, prin prisma celor anterior expuse, statul nu a acordat nicio atenţie acestor garanţii, ele fiind aşadar ignorate în corpul legii.

46. Faptul că legea indică titularii dreptului de a asigura condiţiile de mobilitate a informaţiei medicale în format electronic nu poate fi văzut decât ca o măsură strict organizatorică, textul legii neindicând cine, în ce moment şi ce date introduce în dosarul electronic de sănătate; mai mult, nu se indică nici ce tip de acces este asociat unei astfel de operaţiuni. Astfel că sfera largă pe care o presupune sintagma „unităţi medicale”, care asigură „mobilitatea informaţiei medicale”, conduce la concluzia că un număr nedeterminat de persoane, într-un număr nedeterminat de situaţii, pot introduce date medicale nedeterminate în acel dosar. De altfel, nici noţiunea de „mobilitate a informaţiei medicale” nu este definită, ceea ce indică faptul că nu se cunoaşte ce fel de informaţie medicală este introdusă, care dintre aceste informaţii sunt supuse mobilităţii şi cine are acces la informaţia devenită „mobilă”. Mai mult, nu reiese scopul pentru care este introdusă şi eventual folosită informaţia medicală Astfel, Curtea constată că o măsură pozitivă a statului, chiar bine intenţionată, poate produce efecte negative de o amploare deosebită în privinţa vieţii private a persoanei.

47. Reglementarea dosarului electronic de sănătate apare astfel ca fiind o intruziune a statului în viaţa intimă, familială şi privată a persoanei. Chiar dacă reprezintă un mijloc prin intermediul căruia statul îşi îndeplineşte obligaţia constituţională de a ocroti sănătatea individului, intervenţia etatică apare ca fiind una ordonatoare, imperativă pentru persoană, în sensul stocării datelor medicale ale persoanei pe o anumită platformă electronică, fără ca aceasta să se poată împotrivi în vreun fel.

48. De principiu, instituirea şi gestionarea de către stat a unui dosar electronic de sănătate nu încalcă art. 26 sau art. 34 din Constituţie, cele două texte constituţionale antereferite aflându-se într-un just echilibru, în condiţiile în care dreptul la viaţă intimă, familială şi privată, consacrat de art. 26 din Constituţie, nu poate fi conceput ca fiind un drept absolut, el cunoscând limitări, implicit admise în favoarea altor texte constituţionale, astfel cum este situaţia de faţă. Însă Avocatul Poporului nu contestă faptul că dreptul prevăzut la art. 26 din Constituţie nu poate fi limitat, în raport cu art. 34, ci modul în care s-a realizat limitarea, care duce la o nesocotire a garanţiilor asociate art. 26 din Constituţie, dezechilibrând relaţia dintre aceste două texte constituţionale. Aşadar, ar rezulta că, deşi ţinerea unui dosar electronic de sănătate nu încalcă nici art. 26 şi nici art. 34 din Constituţie, printr-o redactare legală defectuoasă se poate ajunge în situaţia în care legiuitorul să neglijeze fie dreptul la viaţă intimă, familială şi privată şi să îl treacă în plan secund, fie dreptul la ocrotirea sănătăţii, ceea ce nu este de dorit. Astfel, deşi Constituţia normativizează o relaţie de echilibru între aceste două texte, expresia lor legală acordă o prevalenţă unuia sau altuia, cu desconsiderarea esenţei celuilalt, ceea ce nu poate conduce decât la constatarea neconstituţionalităţii textului legal în raport cu textul constituţional încălcat.

49. Raportat la cauza de faţă, Curtea constată că, deşi ingerinţa legală în dreptul prevăzut la art. 26 din Constituţie poate avea un scop legitim (ocrotirea sănătăţii persoanei prin ordonarea istoricului său medical şi ţinerea acestuia de către o autoritate de stat), este adecvată şi necesară scopului propus, ea nu păstrează un just echilibru între interesele concurente, anume: interesul statului în legătură cu sănătatea publică, interesul persoanei de a-i fi ocrotită sănătatea, dar şi interesul persoanei de a-i fi protejată viata intimă, familială şi privată.

50. Nu este îndeajuns ca protejarea datelor medicale să fie realizată printr-o legislaţie infralegală, Curtea, în numeroase cazuri, avertizând că actele de reglementare secundară, exempli gratia, hotărâri ale Guvernului, sunt oricum caracterizate printr-un grad sporit de instabilitate sau inaccesibilitate [a se vedea în acest sens Decizia nr. 17 din 21 ianuarie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 79 din 30 ianuarie 2015, paragrafele 67 şi 94, Decizia nr. 51 din 16 februarie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 190 din 14 martie 2016, paragraful 47, sau Decizia nr. 61 din 7 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 219 din 30 martie 2017, paragraful 42]. Se observă că garanţii pentru asigurarea dreptului constituţional prevăzut de art. 26 sunt cuprinse într-o hotărâre a Guvernului, însă o asemenea manieră de reglementare este total neadecvată, fragilizând, în mod nepermis, protecţia constituţională a vieţii intime, familiale şi private. Practic, autoritatea administrativă poate oricând modifica standardele de garanţii asociate acestui drept, prin emiterea unor acte administrative normative, cetăţeanul/pacientul fiind astfel la bunul plac al autorităţii administrative. Or, o protecţie adecvată a acestui drept este cea stabilită printr-o lege, ceea ce nu este cazul în speţa de faţă. În consecinţă, textele criticate încalcă art. 26 din Constituţie.

51. De asemenea, principial, o reglementare cu caracter primar este cea care se bucură de forţa juridică a legii şi de o stabilitate în consecinţă, astfel că pare chiar impropriu ca o măsură de natura legii, dată în aplicarea art. 34 din Constituţie, să cunoască limitări printr-o hotărâre a Guvernului, considerată a fi suficientă pentru respectarea art. 26 din Constituţie. Într-o atare modalitate de reglementare se ajunge la o restructurare/reconfigurare a legii, prin intermediul actului administrativ, ceea ce este de neconceput. Ar rezulta că limitele unei ingerinţe etatice prevăzute de lege sunt fixate printr-un act administrativ, emis chiar în baza acelei legi, ceea ce încalcă art. 1 alin. (5) din Constituţie.

52. Prin urmare, revine legiuitorului obligaţia de a reglementa garanţiile asociate dreptului la viaţă intimă, familială şi privată. Această obligaţie trebuie să se materializeze prin lege, în sens de instrumentam. În centrul acestor garanţii legale trebuie să se regăsească consimţământul pacientului. Legiuitorul are drept obligaţie constituţională, prin prisma art. 26, să nu condiţioneze actul medical în sine de efectuarea înscrierilor în dosarul electronic de sănătate, neexistând un raport de corespondenţă directă între acestea. De asemenea, consimţământul trebuie să fie unul liber, ce nu poate fi stimulat prin oferirea unor posibile avantaje medicale sau de altă natură (economice), pentru că, în acest caz, s-ar ajunge la vicierea indirectă a acestuia. S-ar ajunge la situaţia în care omul ar fi tratat drept obiect, cu desconsiderarea principiilor subiective care caracterizează fiinţa umană, ceea ce este contrar demnităţii umane [a se vedea mutatis mutandis şi Decizia Tribunalului Constituţional Federal german 2 BVerfGE 45, 187, în care Curtea a impus formula obiect-subiect în analiza încălcării demnităţii umane]. Persoana, mai ales dacă este vorba despre sănătatea sa, vădeşte o vulnerabilitate aparte şi este tentată să accepte, total şi necondiţionat, măsurile legislative promovate de stat ăi care îi sunt propuse spre acceptare, fără a mai analiza justul echilibru care trebuie să existe între dreptul la ocrotirea sănătăţii şi cel la viaţă intimă, familială şi privată. Mai mult, persoana este cu atât mai vulnerabilă cu cât se află într-o stare fizică/emoţională care nu îi mai permite să aprecieze în mod obiectiv cu privire la consimţământul său. De aceea, cadrul normativ nu trebuie să o desconsidere şi să o plaseze într-un plan secund în raport cu dorinţa statului de a ţine un dosar electronic de sănătate şi/sau de a centraliza diverse date medicale (ca măsură obiectivă de ocrotire a sănătăţii publice). Aceleaşi consideraţii se impun şi în privinţa modului în care este tratată persoana care nu îşi dă consimţământul pentru prelucrarea datelor sale medicale în cadrului dosarului electronic de sănătate.

53. Totodată, este de datoria statului să se asigure de faptul că cei care acţionează în numele său nu îşi compromit propria demnitate umană, chiar presupunând că aceştia, la nivel personal, nu consideră că, în îndeplinirea sarcinilor de serviciu, încalcă drepturile pacientului. Practic, obligaţia pozitivă a statului de a reglementa un cadru normativ care să respecte demnitatea umană nu trebuie să îl pună nici pe angajatul statului şi nici pe pacient în situaţia de a obliga, respectiv de a-şi da consimţământul, chiar dacă aceştia, la nivel subiectiv, nu realizează faptul că îşi încalcă propria demnitate. Astfel, cadrul legislativ în sine trebuie să preîntâmpine posibilitatea ca, prin modul lor de acţiune, cele două categorii de persoane să îşi încalce propria lor demnitate umană.

54. Prelucrarea datelor cu caracter medical trebuie astfel reglementată încât să asigure confidenţialitatea acestora. La acest moment, Curtea nu este în măsură să analizeze dacă garanţiile cuprinse în actele de reglementare secundară sunt suficiente sau nu, ori dacă ar trebui completate cu alte garanţii, o asemenea sarcină şi competenţă putând fi exercitate numai după ce ele vor fi transpuse în lege. Trebuie reamintit faptul că garanţiile asociate protecţiei acestor date, chiar reglementate la nivel legal, trebuie să aibă un standard înalt de apărare a confidenţialităţii datelor medicale ale pacientului. De asemenea, legea trebuie să prevadă, în mod expres, atât natura răspunderii, cât şi sancţiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale - aplicabile persoanelor implicate în gestionarea dosarului electronic de sănătate, în cazul încălcării obligaţiilor şi garanţiilor ce urmează a fi reglementate prin lege.

55. Curtea constată că Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001, în contextul intrării în vigoare a Regulamentului 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, a fost abrogată prin art. V alin. (1) din Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 503 din 19 iunie 2018. Având în vedere această situaţie normativă şi caracterul direct aplicabil al regulamentului antereferit, legiuitorul trebuie să asigure o protecţie specifică datelor medicale, prin stabilirea unor garanţii puternice, care să ateste nivelul înalt de protecţie a datelor cu caracter medical.

56. Se mai reţine că, prin Decizia nr. 298 din 29 martie 2006, publicată în Monitorul Oficial al României, Partea I, nr. 372 din 28 aprilie 2006, Curtea, în cadrul controlului a priori de constituţionalitate exercitat cu privire la Legea privind reforma în domeniul sănătăţii, a observat că „textele de lege criticate prevăd adoptarea ulterioară a numeroase hotărâri ale Guvernului, ordine, instrucţiuni şi alte asemenea acte ale conducătorilor ministerelor şi ale unor organe ale administraţiei publice centrale de specialitate, pentru aprobarea unor regulamente, statute, metodologii sau norme cu caracter predominant tehnic. Curtea, însă, are în vedere că, potrivit art. 108 alin, (2) din Constituţie şi art. 75 [devenit, în urma unei noi republicări a legii, art. 77 - s.n.] din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 777 din 25 august 2004, se impune ca aceste reglementări să fie emise numai pe baza şi în executarea legii. Aceste reglementări, fiind norme secundare, emise în aplicarea şi executarea legii, trebuie să aibă caracter tehnic. În plus, Curtea reţine că autorităţile publice au obligaţia constituţională de a-şi exercita atribuţiile cu bună-credinţă, în limitele competenţei, neputându-se, aşadar, prezuma elaborarea acestor acte juridice cu încălcarea Constituţiei”.

57. Relaţiile sociale sunt reglementate primar prin legi/ordonanţe de urgenţă/ordonanţe, în timp ce actele administrative cu caracter normativ pot organiza punerea în executare sau executarea acestora, după caz, fără ca ele însele să fie izvor primar de drept. Reglementarea unor norme primare în corpul unui act de reglementare secundară reprezintă o contradicţie în termeni. Astfel, acest din urmă act trebuie să se limiteze strict la organizarea punerii în executare sau la executarea dispoziţiilor primare, şi nu să reglementeze el însuşi astfel de dispoziţii. De aceea, actele administrative cu caracter normativ, fie ele hotărâri ale Guvernului sau ordine ale miniştrilor, nu pot, prin conţinutul lor normativ, să excedeze domeniului organizării executării actelor de reglementare primară [art. 108 alin. (2) din Constituţie], respectiv a executării acestora sau a hotărârilor Guvernului [art. 77 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 260 din 21 aprilie 2010], după caz, pentru că, printr-un atare procedeu, s-ar ajunge la modificarea/completarea însăşi a legii. În consecinţă, dat fiind faptul că textele legale criticate nu numai că permit o asemenea abordare, dar o şi normativizează într-un mod univoc - prin trimiterea extensivă pe care o realizează la actele de reglementare secundară -, Curtea urmează să constate încălcarea art. 1 alin. (5) din Constituţie.

58. Având în vedere neconstituţionalitatea reţinuta prin raportare la art. 1 alin. (5) şi art. 26 din Constituţie, Curtea constată că - în lipsa consacrării legale a garanţiilor aferente dreptului la viaţă intimă, familială şi privată, în raport cu conţinutul dosarului electronic de sănătate -, dispoziţiile legale existente în privinţa dosarului electronic de sănătate nu mai pot face parte din dreptul pozitiv.

59. În fine, Curtea constată că, în funcţie de sistemul constituţional al fiecărui stat, astfel de garanţii sunt reglementate în diverse acte normative de nivel legal sau infralegal. Cu titlu exemplificativ Curtea reţine că printre statele care au reglementat materia dosarului electronic de sănătate prii lege se numără Austria, Cipru, Finlanda, Franţa, Germania, Italia, Olanda şi Suedia.

60. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) şi al art. 147 alin. (4) din Constituţie, al art. 1-3, al art. 11 alin. (1) lit. A.d), al art. 29 şi al art. 32-33 din Legea nr. 47/1992, cu unanimitate de voturi,

CURTEA CONSTITUŢIONALĂ

În numele legii

DECIDE:

Admite excepţia de neconstituţionalitate ridicată direct de Avocatul Poporului şi constată că dispoziţiile art. 30 alin. (2) şi (3), precum şi sintagma „sistemul dosarului electronic de sănătate al pacientului” din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii sunt neconstituţionale.

Definitivă şi generat obligatorie.

Decizia se comunică celor două Camere ale Parlamentului, Guvernului şi Avocatului Poporului şi se publică în Monitorul Oficial al României, Partea I.

Pronunţată în şedinţa din data de 17 iulie 2018.

 

PREŞEDINTELE CURŢII CONSTITUŢIONALE

prof. univ. dr. VALER DORNEANU

Magistrat-asistent-şef,

Benke Károly

 

ACTE ALE CONSILIULUI DE MEDIERE

 

CONSILIUL DE MEDIERE

 

HOTĂRÂRE

privind modificarea anexei nr. 10 la Regulamentul de organizare şi funcţionare a Consiliului de mediere, aprobat prin Hotărârea Consiliului de mediere nr. 5/2007

 

În temeiul art. 17 alin. (2) şi al art. 71 alin. (1) din Legea nr. 192/2006 privind medierea şi organizarea profesiei de mediaţi cu modificările şi completările ulterioare,

Consiliul de mediere adoptă prezenta hotărâre.

Art. I. - Anexa nr. 10 la Regulamentul de organizare şi funcţionare a Consiliului de mediere, aprobat prin Hotărârea Consiliului de mediere nr. 5/2007, publicată în Monitorul Oficial al României, Partea I, nr. 505 din 27 iulie 2007, cu modificările şi completările ulterioare, se modifică şi se înlocuieşte cu anexa care face parte integrantă din prezenta hotărâre.

Art. II. - Prezenta hotărâre se publică în Monitorul Oficial al României, Partea I.

 

Preşedintele Consiliului de mediere,

Mugur Bogdan Mitroi

 

Bucureşti, 29 iunie 2018.

Nr. 119.

 

ANEXĂ

(Anexa nr. 10 la regulament)

 

REGULAMENT

privind normele de organizare internă ale Consiliului de mediere pentru protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal în conformitate cu legislaţia şi reglementările în domeniul medierii

 

CAPITOLUL I

Dispoziţii generale

 

Art. 1. - (1) Prezentul Regulament privind normele de organizare internă ale Consiliului de mediere pentru protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal în conformitate cu legislaţia şi reglementările în domeniul medierii, denumit în continuare Regulament, stabileşte normele de organizare a activităţii Consiliului de mediere (CM) pentru garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi juridice, în special a dreptului la viaţă intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal în conformitate cu Constituţia României şi Regulamentul (UE) nr. 679 din 27 aprilie 2016 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

(2) Adoptarea acestui regulament este impusă de calitatea de „operator”, acordată Consiliului de mediere de către Autoritatea Naţională de Supraveghere şi Protecţie a Datelor cu Caracter Personal (ANSPDCP) prin Notificarea nr. 10.723. Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii, seria L119, din 4 mai 2016, iar prevederile lui sunt direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018. Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE şi, implicit, prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

(3) Regulamentul European nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (Regulamentul general privind protecţia datelor - RGPD) consolidează drepturile garantate persoanelor vizate şi introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor şi dreptul la restricţionarea prelucrării.

Art. 2. - Regulile instituite prin prezentul regulament se aplică tuturor membrilor CM, indiferent de poziţia ocupată şi de atribuţiile pe care le îndeplinesc, precum şi mediatorilor autorizaţi sau altor persoane, care sunt desemnate să facă parte din comisii sau grupuri de lucru, înfiinţate de Consiliul de mediere prin hotărâri ale acestuia şi care, prin natura activităţii, au acces la date cu caracter personal.

Art. 3. - Mediatorii autorizaţi, membrii CM, membrii comisiilor sau grupurilor de lucru înfiinţate de CM, precum şi angajaţii instituţiei sunt informaţi prin prezentul regulament despre regulile aplicabile începând cu 25 mai 2018 şi sunt obligaţi să cunoască şi să respecte dispoziţiile prezentului regulament.

 

CAPITOLUL II

Reguli generale privind prelucrarea datelor cu caracter personal

 

Art. 4. - Atribuţiile CM, care implică prelucrarea datelor cu caracter personal, sunt următoarele:

1. CM, organism autonom, de interes public, desemnează un responsabil cu protecţia datelor, sarcină obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37-39 din Regulamentul general privind protecţia datelor, în vederea înţelegerii şi respectării obligaţiilor prevăzute de RGPD, dialogului cu autorităţile pentru protecţia datelor şi reducerii riscurilor apariţiei unor litigii.

1.1. Rolul responsabilului cu protecţia datelor:

a) să informeze şi să consilieze operatorul sau persoana împuternicită de operator, precum şi angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter personal;

b) să monitorizeze respectarea RGPD şi a legislaţiei naţionale în domeniul protecţiei datelor;

c) să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor şi să verifice efectuarea acestora;

d) să coopereze cu autoritatea pentru protecţia datelor şi să reprezinte punctul de contact în relaţia cu aceasta.

2. Prelucrarea datelor cu caracter personal este necesară, în conformitate cu Legea nr. 192/2006 privind medierea şi organizarea profesiei de mediator, cu modificările şi completările ulterioare, pentru îndeplinirea atribuţiilor Consiliului de mediere ca organism de interes public, respectiv:

a) formarea mediatorilor;

b) autorizarea şi avizarea mediatorilor şi a formelor de exercitare a profesiei;

c) asigurarea respectării legislaţiei în materia medierii şi, în Special, a codului de etică şi deontologie profesională a mediatorilor de către membrii corpului profesional;

d) autorizarea furnizorilor de formare, formatorilor şi evaluatorilor/ examinatorilor în domeniul medierii şi supravegherea calităţii formării;

e) asigurarea calităţii serviciului de medieri;

f) publicarea Tabloului mediatorilor în Monitorul Oficial al României, Partea I, şi pe site-ul propriu, a listei furnizorilor de formare, a formatorilor, a examinatorilor/evaluatorilor;

g) asigurarea transparenţei decizionale, participării la activitatea desfăşurată de CM, publicităţii şedinţelor CM, cu excepţiile prevăzute de hotărârile CM;

h) orice alte atribuţii care revin CM în baza legii pentru organizarea profesiei şi a serviciului de mediere în România.

Art. 5. - (1) Accesul la datele cu caracter personal ale mediatorilor este necesar pentru îndeplinirea unei sarcini care serveşte unui interes public. Accesul membrilor CM, al angajaţilor CM şi al terţilor colaboratori se face în condiţiile prezentului regulament, condiţii care vor fi comunicate public pentru ca orice solicitant să fie informat asupra drepturilor pe care le are în privinţa accesului la datele cu caracter personal prelucrate de CM.

(2) Informarea este asigurată de CM:

a) prin afişare pe site-ul CM;

b) prin afişare la sediul Consiliului de mediere (registratura);

c) prin serviciul sau angajatul responsabil pentru exercitarea drepturilor prevăzute de Regulamentul (UE) nr. 679/2016.

Art. 6. - Categoriile de date prelucrate de Consiliul de mediere sunt:

1. Date de identificare

a) numele şi prenumele;

b) sexul;

c) data şi locul naşterii;

d) cetăţenia;

e) semnătura;

f) date din acte de stare civilă;

g) număr de telefon;

h) adresa personală;

i) adresa de e-mail;

j) profesia;

k) locul de muncă;

l) formarea profesională;

m) apartenenţa la asociaţii profesionale;

n) orice alte date necesare îndeplinirii atribuţiilor legale ale CM.

2. Date cu caracter special, respectiv:

a) codul numeric personal;

b) seria şi numărul actului de identitate;

c) date privind starea de sănătate;

d) date privind eventuale sancţiuni disciplinare;

e) date privind cazierul judiciar;

f) date statistice despre activitatea desfăşurată în mediere;

g) alte date cu caracter personal stabilite de CM prin hotărâri date în aplicarea legislaţiei în domeniu.

Art. 7. - Datele cu caracter personal vor fi colectate de Consiliul de mediere în exercitarea atribuţiilor legale:

a) de la persoanele vizate;

b) de la reprezentanţi legali, împuterniciţi ai persoanelor vizate;

c) de la alte persoane care îşi exercită drepturile, respectiv îşi îndeplinesc obligaţiile în conformitate cu dispoziţiile legale în materia medierii.

Art. 8. - Următoarele categorii de persoane sunt îndrituite să prelucreze date cu caracter personal, colectate de Consiliul de mediere:

a) angajaţii CM;

b) membrii CM;

c) membrii Comisiei de disciplină;

d) membrii comisiilor de specialitate, înfiinţate de CM prin hotărâri;

e) terţi colaboratori sub clauză specială de confidenţialitate a datelor cu caracter personal, înscrisă în contracte sau protocoale.

Art. 9. - Următoarele categorii de persoane pot fi destinatari legali ai datelor cu caracter personal prelucrate de Consiliul de mediere:

a) persoana vizată;

b) reprezentanţi legali ai persoanei vizate;

c) autorităţile judecătoreşti;

d) autorităţile publice;

e) poliţia;

f) terţi care sunt persoane interesate în a obţine date cu caracter personal prelucrate de CM şi care justifică un interes legitim în a avea acces la acest tip de informaţii.

Art. 10. - (1) Datele cu caracter personal sunt prevăzute la art. 6.

(2) Confidenţialitatea acestor date este asigurată de Consiliul de mediere, cu următoarele excepţii:

a) date personale, care este necesar să devină publice pentru îndeplinirea atribuţiilor CM conform Legii nr. 192/2006, cu modificările şi completările ulterioare, Regulamentului de organizare şi funcţionare şi hotărârilor CM;

b) date personale pentru care persoana în cauză îşi dă consimţământul de a se face publice;

c) date personale necesar a fi făcute publice în situaţia unei suspiciuni de fraudare a legii. Aceste situaţii sunt apreciate de Consiliul de mediere, hotărârea CM menţionând motivaţia necesităţii de a se face excepţie de la regula confidenţialităţii pentru fiecare situaţie particulară;

d) date personale de notorietate a căror publicitate este asigurată chiar de persoana titulară a acestora (deţinătorul de drept) sau de un terţ, cu consimţământul persoanei titulare. În acest caz, CM nu are nevoie de consimţământul persoanei. Notorietatea este apreciată de CM, ca organism de decizie, format din 9 membri conform legii.

(3) încălcarea prevederilor cu caracter confidenţial se sancţionează disciplinar, administrativ, material sau penal, după caz, conform dispoziţiilor legale în vigoare.

(4) Prelucrarea datelor cu caracter personal, în alte scopuri decât scopurile pentru care datele cu caracter personal au fost iniţial colectate, este permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. O astfel de prelucrare include transferul de date cu caracter personal în spaţiul comunitar prin sistemul ÎMI.

Art. 11. - Consiliul de mediere va arhiva datele cu caracter personal prelucrate pe o perioadă de 3 ani, după care acestea sunt distruse. Termenul de 3 ani curge de la momentul încetării activităţii de mediere a persoanei vizate sau de la încetarea colaborării cu Consiliul de mediere. Operaţiunea de colectare este prima operaţiune de prelucrare a datelor cu caracter personal conform Regulamentului (UE) 2016/679.

Art. 12. - Transferul datelor cu caracter personal în străinătate se va efectua de CM în conformitate cu legile interne şi legislaţia comunitară aplicabilă statelor membre.

 

CAPITOLUL II

Reguli generale privind prelucrarea datelor cu caracter personal

 

Art. 13. - (1) Prelucrarea datelor cu caracter personal presupune colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea acestora.

(2) Prelucrarea datelor cu caracter personal se face prin mijloace neautomate sau automate,

(3) Prelucrarea neautomată presupune:

a) înregistrarea documentelor în registrul „intrări”;

b) constituirea unei mape a persoanei, care are trecute pe copertă documentele conţinute;

c) analiza de către Secretariatul tehnic a conformităţii documentelor prezentate cu cerinţele legale, cererea de completare;

d) supunerea documentelor analizei comisiei permanente;

e) emiterea deciziei şi arhivarea documentelor în condiţii optime de siguranţă;

f) numerotarea şi stocarea documentelor în dulapuri metalice închise cu cheie, stocarea făcându-se pe litere, în sistem alfabetic, care să permită identificarea rapidă a unei persoane în vederea actualizării datelor sau, după caz, de acces individual la datele personale;

g) analizarea documentelor sau a unor situaţii în care CM se autosesizează în cadrul şedinţelor ordinare şi menţionarea acestora în procesele-verbale, redactate, numerotate şi înregistrate;

h) returnarea documentelor persoanelor care încetează raporturile cu CM sau, după caz, arhivarea pentru o perioadă de 3 ani, fiind apoi distruse;

i) transmiterea datelor prevăzute de lege către terţi;

j) hotărâri ale consiliului sau ale comisiilor, înfiinţate de acesta, cu privire la persoane.

(4) Prelucrarea automată a datelor presupune:

a) existenţa unui soft care să permită introducerea datelor pentru formarea bazei de date sau actualizarea acesteia de către cei interesaţi, prin internet;

b) extragerea datelor statistice necesare;

c) restricţionarea accesului, prin parolare, la datele privind persoana;

d) accesul fiecărei persoane la propriile date, cu posibilitatea

de a le corecta şi actualiza;

e) pentru evitarea dublei înregistrări este necesară prelucrarea codului numeric personal sau a altor date cu caracter personal, având o funcţie de identificare de aplicabilitate generală.

Art. 14. - (1) Consiliul de mediere, la solicitarea persoanei vizate, are obligaţia să rectifice, fără întârzieri nejustificate, datele cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, Consiliul de mediere, în baza unei declaraţii suplimentare din partea solicitantului, trebuie să asigure completarea datelor cu caracter personal care sunt incomplete.

(2) Persoana vizată are dreptul de a obţine din partea Consiliului de mediere ştergerea datelor cu caracter personal care o privesc („dreptul de a fi uitat”), fără întârzieri nejustificate, iar consiliul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate, în cazul în care se aplică unul dintre următoarele motive;

a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu art. 6 alin. (1) lit. a) sau cu art. 9 alin. (2) lit. a) din Regulamentul (UE) nr. 679/2016, şi nu există niciun alt temei juridic pentru prelucrare;

c) persoana vizată se opune prelucrării în temeiul art. 21 alin. (1) din Regulamentul (UE) nr. 679/2016 şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul art. 21 alin. (2) din acelaşi regulament;

d) datele cu caracter personal au fost prelucrate ilegal.

 

CAPITOLUL III

Descrierea generală a măsurilor luate pentru asigurarea securităţii prelucrării

 

Art. 15. - (1) Procedura de prelucrare a datelor cu caracter personal de către persoanele care au acces la date cu caracter personal se face conform regulamentelor adoptate de CM şi, dacă este cazul, ordinelor interne ale preşedintelui CM emise în aplicarea acestora.

(2) Toate persoanele care au acces la date cu caracter personal, prelucrate de CM, vor semna un angajament de confidenţialitate. Excepţie fac situaţiile în care se solicită acces la propriile date cu caracter personal.

Art. 16. - În cazul accesului la date cu caracter personal arhivate de CM, persoana îndrituită va solicita în scris accesul în arhiva CM, care va fi asigurat după următoarea procedură de lucru a CM:

a) solicitarea este adresată CM şi înscrisă de Secretariatul CM în registrul de intrări al CM;

b) solicitarea este înaintată de Secretariatul CM preşedintelui, respectiv vicepreşedintelui CM. Acesta va formula o rezoluţie pe cerere şi o va înainta persoanei cu atribuţie de serviciu, conform fişei de post, responsabilă cu arhivarea sau cu protecţia datelor cu caracter personal, după caz, pentru formularea unui răspuns către solicitant;

c) registratura va comunica solicitantului răspunsul CM, invitându-l să se prezinte la sediul din Bucureşti în vederea consultării documentelor solicitate şi arhivate la CM;

d) arhivarul va înregistra într-un registru special numărul şi data solicitării, persoana care solicită accesul, datele personale la care se solicită accesul, data la care a prezentat solicitantului documentele solicitate. Solicitantul va semna în Registrul special pentru primirea documentelor solicitate;

e) documentele originale din arhiva CM vor fi consultate de solicitant în prezenţa arhivarului, care răspunde de integritatea arhivei.

Art. 17. - (1) Prelucrarea automată a datelor personale se efectuează de personalul cu atribuţii conform fişei de post, prin accesarea fişierelor, utilizând parola individuală.

(2) Schimbarea parolei la intervale de timp determinate se face prin grija preşedintelui CM.

(3) Blocarea accesului după introducerea greşită a parolei este o măsură de siguranţă care asigură securitatea şi protecţia datelor cu caracter personal în cazul accesului neautorizat.

Art. 18. - (1) Prezentul regulament intră în vigoare la data publicării în Monitorul Oficial al României, Partea I, şi se publică pe site-ul oficial al CM, www.cmediere.ro.

(2) Persoana desemnată de operatorul Consiliul de mediere ca responsabil cu protecţia datelor cu caracter personal (DPO) este nominalizată prin decizia preşedintelui CM, cu atribuţii prevăzute în fişa de post în acest sens. DPO va fi afişat pe site-ul CM, cu următoarele date de contact:

a) site: www.cmediere.ro;

b) adresă de e-mail: secretariat@cmediere.ro;

c) telefon: 021-315 25 28;

d) fax: 021-330 25 28.

(3) Soluţionarea plângerilor şi cererilor, adresate de persoanele vizate în exercitarea drepturilor lor, se face de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) la următoarele date de contact: Bd. g-ral Gheorghe Magheru 28-30, sectorul 1, Bucureşti, cod poştal 010336, telefon: +40.318.059.211, e-mail: anspdcp@dataprotection.ro