Pe zi ce trece devine din ce în ce mai greu să ignori titlurile bombastice care fac referire la acest nou Regulament European (GDPR). Majoritatea titlurilor încearcă să sperie cititorii prin intermediul amenzilor mari și surprinzătoare. În realitate, după trei ani de la intrarea în vigoare, nu este nimic surprinzător. Ne așteptam cu toții să apară aceste amenzi, mai ales că o mare parte dintre operatori nu au facut încă mai nimic sau au încercat o conformare doar formală, prin tiparirea unor documente.
Zilele trecute citeam că o "decizie majoră a fost luată în prinvința GDPR, care vizează persoanele fizice" și apoi un alt titlu " raspuns oficial ANSPDCP - persoanele fizice nu pot fi amendate conform GDPR". Mi-a trezit imediat interesul, nu pentru că era o informație revoluționară, ci pentru că într-un fel contrazicea tot ce știam eu despre acest Regulament. Am căutat pe site-ul autorității și nu am găsit o astfel de decizie oficială, și nici nu cred că ar putea să existe pentru că ar contrazice tocmai Recitalul 18, cât și art.2 alin c din Regulament:
(18) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială. Activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.
Haideți să vă explic și de ce!
De când a apărut acest nou Regulament (26 aprilie 2016) noi toți cei care avem cel puțin un angajat sau desfășurăm o activitate profesională care implică prelucrarea datelor cu caracter personal, ne numim OPERATORI. Pentru acest motiv s-a renuntat și la înscrierea în registrul național al procesatorilor de date, pentru că implicit toți cei care prelucrăm date trebuie să respectăm Regulamentul și devine inutilă o măsură de înregistrare. Definiția oficială din Regulament, este următoarea: un operator este o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Drept urmare, dacă persoana fizică poate fi operator, atunci PERSOANA FIZICĂ POATE FI AMENDATĂ și de fapt s-a și întamplat deja.
Nu calitatea de persoană fizică sau juridică dictează posibilitatea de a primi amenzi, ci scopul prelucrării acestor date (domestic vs. profesional), sau mai bine zis, modul în care respectăm principiile și obligațiile introduse de Regulamentul 679/2016.
Dacă încă vă întrebați ce înseamnă "prelucrare de date cu caracter personal", ei bine, ORICE OPERAȚIUNE, sau set de operațiuni, efectuate asupra datelor cu caracter personal sau asupra seturilor de date, cu sau fără utilizarea mijlocelor automatizate este o prelucrare de date. De remarcat că definiția începe cu "ORICE", astfel că nu există o listă limitativă de activități care se încadrează. Practic, dacă colectăm, înregistrăm, organizăm, structurăm, stocăm, adaptăm sau modificăm, extragem, consultăm, utilizăm, aliniem sau combinăm, divulgăm prin transmitere, diseminăm sau punem la dispoziție prin orice alt mod, restricționăm sau ștergem sau distrugem (și lista nu se oprește aici ...) înseamnă că prelucrăm date.
În cuprinsul Regulamentului sunt prevazute expres și limitativ cazurile în care nu se aplică prevederile Regulamentului și printre aceste excepții se află și activitățile de prelucrare realizate de către o persoană fizică în cadrul unei activitati exclusiv personale sau domestice. Spus altfel, dacă eu prelucrez acasă și nu obțin beneficii ( financiare, de imagine etc), înseamnă că mă încadrez în această situație. Dar trebuie să mă raportez la toată legislația existentă, nu doar la GDPR!
Să vă dau și un exemplu: Angajatul X pleacă de la firmă prin încetarea contractului de muncă și ia cu el (intenționat sau nu) o bază de date cu clienții. Dacă stochează și păstrează acestă listă pentru el (făcând abstracție că a comis o ilegalitate și a încălcat regulamentul intern de funcționare și procedurile de securitate), din punct de vedere GDPR se îndrează în categoria exceptată și nu a încălcat nici o prevedere GDPR. Dar, dacă vinde această bază de date sau o trasferă către o altă persoană, în schimbul unor beneficii, chiar și de imagine, s-a transformat automat în OPERATOR, deoarece tocmai "a stabilit scopurile și mijloacele de prelucrare a datelor cu caracter personal".
Un al doilea exemplu: eu ca persoană fizică îmi fac un grup pe Facebook destinat pasionaților de călătorii și reușesc să strâng câteva sute de persoane. Sunt operator de date sau nu ? Conform Curții de Jusție a Uniunii Europene, prin Hotărârea în cauza C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH, s-a constatat că un administrator de grup trebuie considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce privește prelucrarea datelor membrilor acelui grup. "Un administrator de grup participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privință că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – și deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă și de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de cumpărare online ale vizitatorilor paginii sale precum și privind categoriile de produse sau de servicii care îi interesează cel mai mult) și de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii."
Potrivit Curții Europene de Justitie, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal. Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani.
Un ultim exemplu: a fost amplasată în România o cameră de luat vederi într-un bloc, de către o persoană fizică care nu este nici administrator al clădirii, nici reprezentant al asociației de proprietari. Această persoană nu deține acordul celorlalți proprietari și nici temei legal pentru procesarea și stocarea acestor date. Imaginile de pe camere video surprind atât locatarii blocului, cât și persoane străine ce intra sau ies din clădire pe durata unei zile, inclusiv reprezentanți și angajați ai unor firme cu sediu în bloc. O persoana filmată ilegal în mod repetat, reprezentant al unei societăți comerciale, a sesizat ANSPDCP, și se pare că a primit următorul răspuns: „Potrivit art. 2 alin. (2) lit. c) din RGPD, acest act normativ nu se aplică prelucrărilor de date cu caracter personal efectuate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice”.
Opinia ANSPDCP, raportată la prevederile Regulamentului UE 679/2016, consider că este corectă, dar cazul de față trebuie analizat și din prisma legislației amintite și a jurisprudenței europene. Voi solicita ANSPDCP un punct de vedere față de modul în care declarația oficială a fost publicată într-un mod cred tendențios și decontextualizat afirmându-se că "printr-o hotărâre recentă, ANSDCP arată că GDPR nu se aplică persoanelor fizice care procesează date în scop personal sau domestic, chiar dacă prelucrarea în sine are loc fără acordul persoanei vizate și fără temei legal. "
Revenind la analiza acestui caz, persoana fizică desfașoară o activitate domestică și se încadrează în excepția de aplicabilitate conform art. 2 alin. c . Totuși, acest exemplu dat cu filmarea privată trebuie analizat nu doar din prisma GDPR (activitatea domestică fiind exceptată), ci mai degrabă raportandu-ne la Legea privind asocițiile de locatari și Legea privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor pentru a analiza ce înseamna filmarea în spațiul public de către o persoană fizică fără aprobare și fără o notificare prealabilă.
Dacă persoana fizica poate dovedi că prelucrarea de date este necesară, scopul fiind securitatea bunurilor și protecția persoanelor, ne putem gândi că legalitatea prelucrării este dovedită de acest interes legitim, cu condiția bineînțeles să fie respectate principiile transparenței și a stocării limitate. Recomandarea generală în astfel de situații este ca să fie obținut acordul asociației de proprietari și condiționată de afișarea unui anunț că zona este monitorizată video, cu menționarea scopului, și că imaginile nu sunt păstrate mai mult de 30 de zile.
Jurisprudența europeană în domeniul protecției datelor vine și susține afirmația inițială că persoanele fizice pot fi amendate, dovadă fiind cele doua amenzi acordate deja de Autoritățile de Supraveghere din Belgia și din Austria:
- Am scris într-un articol anterior despre un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 (doi) locuitori ai orașului său. Cei doi reclamanți au intrat în contact cu primarul municipalității, comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale din 14 octombrie 2018, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. În urma audierii părților, Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. (Data: 28.05.2019
Baza legala:Art. 5 (1) b) GDPR, art. 6 GDPR) - În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost isemnalizată corespunzător. (Data: 20.12.2018, Baza legala: Art. 5 (1) a) și c GDPR, art. 6 (1) GDPR, art. 13 GDPR)
În concluzie, persoanele fizice pot fi operatori de date cu caracter personal și drept urmare pot fi amendate.Contează în primul rând dacă acestea desfășoară activități domestice sau activități profesionale sau comerciale.
Iar legat de titlurile bombastice, recomandarea mea este să treceți prin filtrul rațiunii și să vă informați din mai multe surse credibile. Nu tot ce se publică este adevărat, nu tot ce zboară se mănâncă!