Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a comunicat anul acesta aplicarea a nu mai putin de 7 amenzi totalizand 122503.70 lei, atat pentru incalcarea Regulamentului 679/2016 (GDPR) cat si a Legii 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Adoptarea masurilor tehnice si organizatorice insuficiente pentru a proteja intr-un mod adecvat datele cu caracter personal ramane motivul cel mai des pentru care operatorii romani sunt amendati si in 2021.

Cele mai afectate domenii in urma aplicarii acestor sanctiuni in Romania, sunt cel al telecomunicatiilor si sistemul bancar, aceste doua domenii cumuland peste 70% valoarea totala a amenzilor aplicate in 2021. Conform legislatiei, operatorii au posibilitatea de a contesta aceste amenzi si ramane sa aflam in urmatoarele luni daca aceste valori au ramas definitive.

TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A.

In cazul TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A., Autoritatea de Supraveghere constatat încălcarea prevederilor art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor și încălcarea prevederilor art. 3 alin. (1) și alin. (3) lit. a) și lit. b) din Legea nr. 506/2004, modificată şi completată astfel ca operatorul a fost sancționat contravențional cu amendă în cuantum de 48.748,00 lei (echivalentul a 10.000 EURO), pentru încălcarea art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor si cu amendă în cuantum de 15.000 lei, pentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004. 

În investigația efectuată s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client ale unui număr de 99.210 persoane vizate/clienți. Astfel, adresele de facturare ale acestora au fost introduse eronat în baza de date cu clienți persoane fizice, transmisă unui partener contractual în baza unui contract de cesiune creanțe, ceea ce a determinat expedierea către adrese greșite a notificărilor transmise clienților.

De asemenea, s-a constatat că operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal, de natură să protejeze datele cu caracter personal stocate sau transmise împotriva stocării, prelucrării, accesării ori divulgării ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple) ale unui număr de 413 persoane vizate/clienți Telekom România. Subliniem că, operatorul avea obligația de a garanta că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile menționate de lege, încălcându-se astfel prevederile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată.

TIP TOP FOOD INDUSTRY S.R.L

A doua amendă ca marime, în cuantum de 24.362,50 lei (echivalentul în lei al sumei de 5.000 Euro), a fost aplicata operatorului Tip Top Food Industry S.R.L dupa ce ANSPDCP a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. b) și c) și alin. (2) și art. 6 și art. 7 din Regulamentul General privind Protecția Datelor.

În urma investigației, Autoritatea Națională de Supraveghere a constatat că operatorul a prelucrat imaginea angajaților săi, în mod excesiv, prin intermediul camerelor video instalate în spații cu destinația de vestiare și în zona destinată servirii mesei, invocând scopul protejării bunurilor și a produselor societățiii, precum și al descurajării furtului.

În acest context, Autoritatea Națională de Supraveghere a apreciat că prelucrările datelor personale nu au fost adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”), încălcându-se astfel principiile art. 5 alin. (1) lit. b) și c) din Regulamentul General privind Protecția Datelor. Autoritatea Națională de Supraveghere a apreciat că scopul declarat de operator (protejarea bunurilor, a produselor societății și descurajarea furtului) se putea realiza prin mijloace mai puțin intruzive pentru viața privată a angajaților.

Pe de altă parte, în investigația efectuată, având în vedere relația angajator-angajat, s-a reținut faptul că nu a putut fi considerat liber exprimat consimțământul persoanei vizate și nici nu a putut fi identificat alt temei legal de prelucrare, operatorul neputând face dovada respectării principiilor de prelucrare, prin raportare și la art. 5 alin. (2) din Regulamentul General privind Protecția Datelor.

De asemenea, operatorului respectiv i-au fost aplicate și următoarele măsuri corective:

• măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului „reducerii la minimum a datelor”, raportat la art. 5 alin. (1) lit. c);
• să reanalizeze orientarea unghiului de captare a imaginilor video astfel încât aceastea să nu monitorizeze activitatea angajaților săi în spații cu destinația de vestiare și în sala de mese, raportat la scopul prelucrării.

Investigația a fost demarată ca urmare a unei sesizări a unei persoane fizice care a semnalat faptul că societatea S.C. TIP TOP FOOD INDUSTRY SRL prelucrează date cu caracter personal (respectiv imaginea), prin intermediul camerelor video instalate în birourile angajaților, în vestiare și în sala de mese.

BNP PARIBAS PERSONAL FINANCE SA PARIS SUCURSALA BUCUREȘTI

Și în cazul operatorului BNP Paribas Personal Finance SA Paris Sucursala București ANSPDCP a constatat săvârșirea faptei de ”nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate”, prevăzută de art. 13 alin. (1) lit. q) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată și astfel operatorul a fost sancționat contravențional cu amendă în cuantum de 10 000 lei.

Investigația a fost demarată ca urmare a unei plângeri transmise de persoana vizată cu privire la faptul că pe numărul său de telefon a primit un mesaj comercial de tip SMS din partea BNP Paribas Personal Finance S.A. Paris Sucursala București.

În urma investigației s-a constatat că operatorul nu a făcut dovada existenței consimțământului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificată și completată, deși petenta își exercitase anterior, în repetate rânduri, dreptul de opoziție față de prelucrarea datelor sale în scop de marketing.

MEDICOVER S.R.L.

In urma investigatiei la operatorul Medicover S.R.L. ANSPDCP a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul General privind Protecția Datelor si ca urmare operatorul a fost sancționat contravențional cu amendă în cuantum de 9.749,6 lei (echivalentul a 2000 EURO).

Investigația a fost demarată ca urmare a transmiterii de către operator a unor notificări succesive de încălcare a securității datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizată și accesul neautorizat la datele cu caracter personal precum: nume și prenume, CNP, serie și nr. CI, adresă CI, adresa de corespondență, telefonul de contact și e-mail, respectiv nume și date privind starea de sănătate, transmise altor persoane fizice decât destinatarii, la adresa de e-mal sau adresa poștală.

În urma investigației, autoritatea de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, fapt ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decât destinatarii, la adresa de e-mail sau adresa poștală.

De asemenea, operatorului i-au fost aplicate și următoarele măsuri corective:

• revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal și instruirea personalului propriu;
• identificarea și implementarea unor măsuri  pentru a se asigura că datele cu caracter personal prelucrate sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, iar cele inexacte să fie şterse sau rectificate fără întârziere (spre exemplu, un mecanism de verificare a validității adresei de e-mail la momentul colectării).

LUGERA & MAKLER BROKER S.R.L

In urma cu cateva zile, Autoritatea de Supravghere a anuntat faptul ca a incheiet o investigatie la operatorul Lugera & Makler Broker S.R.L., constatând încălcarea dispozițiilor art. 29 și art. 32 alin. (2) și (4) din Regulamentul General privind Protecția Datelor. Ca atare, operatorul Lugera & Makler Broker S.R.L. a fost sancționat contravențional cu amendă în cuantum de 7.331,85 lei lei (echivalentul sumei de 1500 EURO).

Investigația a fost demarată ca urmare a unei sesizări primite din partea unei persoane fizice și a unei notificări de încălcare a securității datelor cu caracter personal transmisă de Raiffeisen Bank SA. din care a rezultat că Lugera & Makler Broker S.R.L (persoană împuternicită de operatorul Raiffeisen Bank SA) nu a predat Raiffeisen Bank SA documentele aferente activităților de prescoring efectuate de un angajat al său, pe motiv că acestea au fost distruse.

În cadrul investigației, Autoritatea Națională de Supraveghere a constatat că opeatorul Lugera & Makler Broker S.R.L. (în calitate de persoană împuternicită de operatorul Raiffisen Bank SA) nu a luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa și nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

De asemenea, ca urmare a efectuării a 1372 de prescoringuri de către un agent de vânzări, angajat al Lugera & Makler Broker S.R.L., au fost afectate de incidentul de securitate 1058 de persoane fizice vizate, întrucât documentația originală aferentă prescoringurilor nu a fost predată de agent, ci distrusă, ceea ce a generat incidentul de securitate notificat de Raiffesien Bank la ANSPDCP, încălcându-se astfel prevederile art. 29, art. 32 alin.(2) și (4) din Regulamentul General privind Protecția Datelor.

ING BANK N.V. AMSTERDAM, SUCURSALA BUCUREȘTI

In cazul  ING Bank N.V. Amsterdam, Sucursala București, Autoritatea de Supraveghere a constatat încălcarea dispozițiilor art. 29 și art. 32 alin. (2) și (4) din Regulamentul General privind Protecția Datelor si a decis sancționarea contravenționala cu amendă în cuantum de 4.874,40 lei (echivalentul a 1000 EURO).

În urma primirii unei notificări de încălcare a securității datelor din partea ING Bank N.V. Amsterdam s-a demarat o investigație și s-a constatat că acest operator a transmis, la două date diferite, unele fișiere către un partener contractual, prin intermediul unei societăți mandatare, în vederea emiterii unor polițe de asigurare. Fișierele transmise conțineau informații neactualizate, întrucât angajații departamentului de monitorizare al polițelor de asigurare nu au verificat și procesat polițele de asigurare în conformitate cu Procedura de lucru, fiind afectate 270 de persoane fizice.

Având în vedere aceste aspecte, s-a stabilit că nu au fost suficiente măsurile tehnice și organizatorice implementate de operator înainte de incident, ceea ce a condus la încălcarea confidențialității datelor cu caracter personal.

PERSOANA FIZICA

Una din cele mai interesante amenzi ale Autoritatii de Supraveghere din 2021 a fost aplicata unei persoane fizice, ce deținea, în același timp, funcția de Secretar General în cadrul unei filiale de sector din Municipiul București a unui partid politic care a  încălcat dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția Datelor. Persoana fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate, susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5 lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și confidențialitate”.

Așadar, operatorul a fost sancționat contravențional pentru încălcarea dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor.

Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului Municipiului București.

Faptul că o persoană fizică a primit o amendă pentru încălcarea Regulamentului 679/2016 (GDPR) nu ar trebui să mai surprindă pe nimeni, mai ales că nu e prima dată, nici în România, nici în Europa. Da! persoanele fizice pot fi operatori de date cu caracter personal, atâta timp cât aceste date nu sunt prelucrate în scop domestic.

Ultima amendă în cuantum total de 974.89 (echivalentul sumei de 200 EURO) aplicată de Autoritatea Națională de Supraveghere unei persoane fizice, în calitate de operator, a fost pentru încălcarea dispozițiilor art. 5 alin.(1) lit. a) și b) și alin.(2), raportat la art. 6 alin.(1), precum și a dispozițiilor art. 13 alin.(1)-(3) și art. 32 alin.(2). 

Investigația a fost demarată ca urmare a primirii mai multor sesizări prin care s-a reclamat faptul că prin intermediul site-ului https://declaratieppr.ro, prin completarea unui formular care genera o declarație pe propria răspundere necesară părăsirii locuinței pe perioada stării de urgență se prelucrau anumite date cu caracter personal, respectiv nume, prenume, prenume părinți, domiciliu, cod numeric personal, seria și numărul actului de  identitate, adresa locuinței în fapt, locul deplasării, scopul deplasării și semnătura. În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal datele cu caracter personal, colectate și stocate pe site-ul https://declaratieppr.ro. Totodată, s-a constatat că nu a prezentat dovezi din care să rezulte că a asigurat informarea persoanelor vizate în legătură cu prelucrarea datelor lor personale, colectate pe același site. De asemenea, operatorul (persoana fizica) nu a luat măsuri de securitate adecvate pentru a se asigura că fișierul ce conținea date personale ale persoanelor vizate nu este supus unor riscuri de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

La începutul lunii martie 2021 citeam despre una din cele mai interesante amenzi ale Autoritatii de Supraveghere din 2021 care a fost aplicata unei persoane fizice, ce deținea, în același timp, funcția de Secretar General în cadrul unei filiale de sector din Municipiul București a unui partid politic care a  încălcat dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția Datelor. Persoana fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate, susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5 lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și confidențialitate”.

Așadar, operatorul a fost sancționat contravențional pentru încălcarea dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor. Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului Municipiului București.

Tot în România, Olarian Augustin, deținătorul domeniului olarian.ro, este prima persoană sancționată pentru nerespectarea GDPR, a cărei identitate a fost făcută publică de către autoritate.

Oralian.ro este un site care oferă servicii de optimizare a site-urilor construite pe platforma wordpress și care a transmis mesaje comerciale fără a se baza pe consimțământul destinatarilor, încălcând astfel prevederile art. 6 și 7 din GDPR. În urma investigației, Autoritatea a decis impunerea unei sancțiuni contravenționale, constând într-un avertisment însoțit de o serie de măsuri corective. Una dintre măsurile corective impuse operatorului Olarian Augustin a fost „să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică”. Autoritatea a recomandat în acest caz utilizarea metodei „dublu opt-in” pentru colectarea adreselor de e-mail.

Când pot fi aplicate amenzi GDPR persoanelor fizice?

De când a apărut acest nou Regulament (26 aprilie 2016) noi toți cei care avem cel puțin un angajat sau desfășurăm o activitate profesională care implică prelucrarea datelor cu caracter personal, ne numim OPERATORI. Pentru acest motiv s-a renuntat și la înscrierea în registrul național al procesatorilor de date, pentru că implicit toți cei care prelucrăm date trebuie să respectăm Regulamentul și devine inutilă o măsură de înregistrare. Definiția oficială din Regulament, este următoarea: un operator este o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Drept urmare, dacă persoana fizică poate fi operator, atunci PERSOANA FIZICĂ POATE FI AMENDATĂ și de fapt s-a și întamplat deja. 

Nu calitatea de persoană fizică sau juridică dictează posibilitatea de a primi amenzi, ci scopul prelucrării acestor date (domestic vs. profesional), sau mai bine zis, modul în care respectăm principiile și obligațiile introduse de Regulamentul 679/2016.

Dacă încă vă întrebați ce înseamnă "prelucrare de date cu caracter personal", ei bine, ORICE OPERAȚIUNE, sau set de operațiuni, efectuate asupra datelor cu caracter personal sau asupra seturilor de date, cu sau fără utilizarea mijlocelor automatizate este o prelucrare de date. De remarcat că definiția începe cu "ORICE", astfel că nu există o listă limitativă de activități care se încadrează. Practic, dacă colectăm, înregistrăm, organizăm, structurăm, stocăm, adaptăm sau modificăm, extragem, consultăm, utilizăm, aliniem sau combinăm, divulgăm prin transmitere, diseminăm sau punem la dispoziție prin orice alt mod, restricționăm sau ștergem sau distrugem (și lista nu se oprește aici ...) înseamnă că prelucrăm date.

În cuprinsul Regulamentului sunt prevazute expres și limitativ cazurile în care nu se aplică prevederile Regulamentului și printre aceste excepții se află și activitățile de prelucrare realizate de către o persoană fizică în cadrul unei activitati exclusiv personale sau domestice. Spus altfel, dacă eu prelucrez acasă și nu obțin beneficii ( financiare, de imagine etc), înseamnă că mă încadrez în această situație. Dar trebuie să mă raportez la toată legislația existentă, nu doar la GDPR!

Să vă dau și un exemplu: Angajatul X pleacă de la firmă prin încetarea contractului de muncă și ia cu el (intenționat sau nu) o bază de date cu clienții. Dacă stochează și păstrează acestă listă pentru el (făcând abstracție că a comis o ilegalitate și a încălcat regulamentul intern de funcționare și procedurile de securitate), din punct de vedere GDPR se îndrează în categoria exceptată și nu a încălcat nici o prevedere GDPR. Dar, dacă vinde această bază de date sau o trasferă către o altă persoană, în schimbul unor beneficii, chiar și de imagine, s-a transformat automat în OPERATOR, deoarece tocmai "a stabilit scopurile și mijloacele de prelucrare a datelor cu caracter personal".

Un al doilea exemplu: eu ca persoană fizică îmi fac un grup pe Facebook destinat pasionaților de călătorii și reușesc să strâng câteva sute de persoane. Sunt operator de date sau nu ? Conform Curții de Jusție a Uniunii Europene, prin Hotărârea în cauza C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH, s-a constatat că un administrator de grup trebuie considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce privește prelucrarea datelor membrilor acelui grup. "Un administrator de grup participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privință că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – și deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă și de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de cumpărare online ale vizitatorilor paginii sale precum și privind categoriile de produse sau de servicii care îi interesează cel mai mult) și de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii."

Potrivit Curții Europene de Justitie, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal. Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani.

Un ultim exemplu: a fost amplasată în România o cameră de luat vederi într-un bloc, de către o persoană fizică care nu este nici administrator al clădirii, nici reprezentant al asociației de proprietari. Această persoană nu deține acordul celorlalți proprietari și nici temei legal pentru procesarea și stocarea acestor date. Imaginile de pe camere video surprind atât locatarii blocului, cât și persoane străine ce intra sau ies din clădire pe durata unei zile, inclusiv reprezentanți și angajați ai unor firme cu sediu în bloc. O persoana filmată ilegal în mod repetat, reprezentant al unei societăți comerciale, a sesizat ANSPDCP, și se pare că a primit următorul răspuns: „Potrivit art. 2 alin. (2) lit. c) din RGPD, acest act normativ nu se aplică prelucrărilor de date cu caracter personal efectuate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice”.

Opinia ANSPDCP, raportată la prevederile Regulamentului UE 679/2016, consider că este corectă, dar cazul de față trebuie analizat și din prisma legislației amintite și a jurisprudenței europene. Voi solicita ANSPDCP un punct de vedere față de modul în care declarația oficială a fost publicată într-un mod cred tendențios și decontextualizat afirmându-se că "printr-o hotărâre recentă, ANSDCP arată că GDPR nu se aplică persoanelor fizice care procesează date în scop personal sau domestic, chiar dacă prelucrarea în sine are loc fără acordul persoanei vizate și fără temei legal. "

Revenind la analiza acestui caz, persoana fizică desfașoară o activitate domestică și se încadrează în excepția de aplicabilitate conform art. 2 alin. c . Totuși, acest exemplu dat cu filmarea privată trebuie analizat nu doar din prisma GDPR (activitatea domestică fiind exceptată), ci mai degrabă raportandu-ne la Legea privind asocițiile de locatari și Legea privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor pentru a analiza ce înseamna filmarea în spațiul public de către o persoană fizică fără aprobare și fără o notificare prealabilă.

Dacă persoana fizica poate dovedi că prelucrarea de date este necesară, scopul fiind securitatea bunurilor și protecția persoanelor, ne putem gândi că legalitatea prelucrării este dovedită de acest interes legitim, cu condiția bineînțeles să fie respectate principiile transparenței și a stocării limitate. Recomandarea generală în astfel de situații este ca să fie obținut acordul asociației de proprietari și condiționată de afișarea unui anunț că zona este monitorizată video, cu menționarea scopului, și că imaginile nu sunt păstrate mai mult de 30 de zile.

Jurisprudența europeană în domeniul protecției datelor vine și susține afirmația inițială că persoanele fizice pot fi amendate, dovadă fiind cele doua amenzi acordate deja de Autoritățile de Supraveghere din Belgia și din Austria:

• Am scris într-un articol anterior despre un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 (doi) locuitori ai orașului său. Cei doi reclamanți au intrat în contact cu primarul municipalității, comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale din 14 octombrie 2018, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. În urma audierii părților, Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. (Data: 28.05.2019
  Baza legala:Art. 5 (1) b) GDPR, art. 6 GDPR)
• În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost isemnalizată corespunzător. (Data: 20.12.2018, Baza legala: Art. 5 (1) a) și c GDPR, art. 6 (1) GDPR, art. 13 GDPR)

A cincea amendă GDPR a fost inclusă în "palmaresul" Telekom România. Singura noutate este că, față de cele patru amenzi anterioare, Autoritatea Națională de Supraveghere a constatat, de data aceasta,  încălcarea dispozițiilor art. 6 și art. 21 GDPR și a emis un avertisment și o amendă în cuantum de 9,851.40 lei (echivalentul sumei de 2000 EURO). Cele 4 amenzi GDPR anterioare, totalizând 18,000 euro, la care se aplica și o amendă de 15,000 lei pentru săvârşirea contravenţiei prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004, au fost aplicate pentru măsurile tehnice și organizatorice insuficiente.

Nu putem să nu remarcăm faptul că există operatori care parcă sunt “abonați” la amenzi, cum e cazul Vodafone Spania și Telekom în România iar explicația nu poate fi decât faptul că amenzile aplicate nu îndeplinesc criteriul caracterului disuasiv al acestora, care este prevăzut explicit de Regulament.

De data aceasta, sancțiunile au fost aplicate operatorului Telekom România ca urmare a unei plângeri prin care se reclama faptul că petentul a fost contactat pe numărul său de telefon în scop de marketing de către un reprezentant Telekom, deși acesta își retrăsese consimțământul pentru utilizarea datelor sale cu caracter personal odată cu încetarea relației contractuale cu operatorul. Ulterior, petentul și-a exercitat dreptul de opoziție față de prelucrarea datelor sale personale în scop de marketing și publicitate solicitând operatorului ștergerea numărului său de telefon și a adresei de e-mail din baza de date a Telekom. Cu toate acestea, petentul a fost din nou contactat de un reprezentant Telekom în scop de marketing. Astfel, petentul a transmis operatorului o nouă solicitare de a nu mai fi contactat și de a i se șterge numărul de telefon și adresa de e-mail din baza de date.

Urmare a acestei solicitări, operatorul i-a comunicat petentului că adresa sa de e-mail și numărul de telefon au fost șterse din sistemul de gestionare a clienților confirmând, totodată, că a fost apelat de un reprezentant Telekom, care, dintr-o eroare umană, nu și-a dat seama că nu avea permisiunea petentului de a-l apela.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că Telekom Romania Communications SA  a prelucrat datele cu caracter personal ale petentului în scop de marketing fără a avea temei legal, încălcându-se astfel prevederile art. 6 din GDPR. De asemenea, operatorul a contactat telefonic petentul deși acesta își exercitase dreptul de opoziție, încălcându-se astfel prevederile art. 21 din RGPD.