Persoanele fizice pot fi amendate, conform GDPR!

Pe zi ce trece devine din ce în ce mai greu să ignori titlurile bombastice care fac referire la acest nou Regulament European (GDPR). Majoritatea titlurilor încearcă să sperie cititorii prin intermediul amenzilor mari şi surprinzătoare. În realitate, după trei ani de la intrarea în vigoare, nu este nimic surprinzător.

Zilele trecute citeam că o „decizie majoră a fost luată în prinvinţa GDPR, care vizează persoanele fizice“ şi apoi un alt titlu „răspuns oficial ANSPDCP - persoanele fizice nu pot fi amendate conform GDPR“. Mi-a trezit imediat interesul, nu pentru că era o informaţie revoluţionară, ci pentru că într-un fel contrazicea tot ce ştiam eu despre acest Regulament. Am căutat pe site-ul autorităţii  şi nu am găsit o astfel de decizie oficială, şi nici nu cred că ar putea să existe pentru că ar contrazice tocmai Recitalul 18, cât şi art. 2 alin c din Regulament:

(18) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice şi care, prin urmare, nu are legătură cu o activitate profesională sau comercială. Activităţile personale sau domestice ar putea include corespondenţa şi repertoriul de adrese sau activităţile din cadrul reţelelor sociale şi activităţile online desfăşurate în contextul respectivelor activităţi. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activităţi personale sau domestice.

Haideţi să vă explic şi de ce!

De când a apărut acest nou Regulament (26 aprilie 2016) noi toţi cei care avem cel puţin un angajat sau desfăşurăm o activitate profesională care implică prelucrarea datelor cu caracter personal, ne numim OPERATORI. Pentru acest motiv s-a renuntat şi la înscrierea în registrul naţional al procesatorilor de date, pentru că implicit toţi cei care prelucrăm date trebuie să respectăm Regulamentul şi devine inutilă o măsură de înregistrare. Definiţia oficială din Regulament, este următoarea: un operator este o persoană fizică sau juridică, autoritate publică, agenţie sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal. Drept urmare, dacă persoana fizică poate fi operator, atunci PERSOANA FIZICĂ POATE FI AMENDATĂ şi de fapt s-a şi întâmplat deja. 

Nu calitatea de persoană fizică sau juridică dictează posibilitatea de a primi amenzi, ci scopul prelucrării acestor date (domestic vs. profesional), sau mai bine zis, modul în care respectăm principiile şi obligaţiile introduse de Regulamentul 679/2016.

Dacă încă vă întrebaţi ce înseamnă „prelucrare de date cu caracter personal“, ei bine, ORICE OPERAŢIUNE, sau set de operaţiuni, efectuate asupra datelor cu caracter personal sau asupra seturilor de date, cu sau fără utilizarea mijlocelor automatizate este o prelucrare de date. De remarcat că definiţia începe cu „ORICE“, astfel că nu există o listă limitativă de activităţi care se încadrează. Practic, dacă colectăm, înregistrăm, organizăm, structurăm, stocăm, adaptăm sau modificăm, extragem, consultăm, utilizăm, aliniem sau combinăm, divulgăm prin transmitere, diseminăm sau punem la dispoziţie prin orice alt mod, restricţionăm sau ştergem sau distrugem (şi lista nu se opreşte aici ...) înseamnă că prelucrăm date.

În cuprinsul Regulamentului sunt prevazute expres şi limitativ cazurile în care nu se aplică prevederile Regulamentului şi printre aceste excepţii se află şi activităţile de prelucrare realizate de către o persoană fizică în cadrul unei activitati exclusiv personale sau domestice. Spus altfel, dacă eu prelucrez acasă şi nu obţin beneficii (financiare, de imagine etc.), înseamnă că mă încadrez în această situaţie. Dar trebuie să mă raportez la toată legislaţia existentă, nu doar la GDPR!

Să vă dau şi un exemplu: Angajatul X pleacă de la firmă prin încetarea contractului de muncă şi ia cu el (intenţionat sau nu) o bază de date cu clienţii. Dacă stochează şi păstrează acestă listă pentru el (făcând abstracţie că a comis o ilegalitate şi a încălcat regulamentul intern de funcţionare şi procedurile de securitate), din punct de vedere GDPR se îndrează în categoria exceptată şi nu a încălcat nici o prevedere GDPR. Dar, dacă vinde această bază de date sau o trasferă către o altă persoană, în schimbul unor beneficii, chiar şi de imagine, s-a transformat automat în OPERATOR, deoarece tocmai „a stabilit scopurile şi mijloacele de prelucrare a datelor cu caracter personal“.

Un al doilea exemplu: eu ca persoană fizică îmi fac un grup pe Facebook destinat pasionaţilor de călătorii şi reuşesc să strâng câteva sute de persoane. Sunt operator de date sau nu? Conform Curţii de Jusţie a Uniunii Europene, prin Hotărârea în cauza C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH, s-a constatat că un administrator de grup trebuie considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce priveşte prelucrarea datelor membrilor acelui grup.

„Un administrator de grup participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privinţă că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – şi deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă şi de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de cumpărare online ale vizitatorilor paginii sale precum şi privind categoriile de produse sau de servicii care îi interesează cel mai mult) şi de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii.“

Potrivit Curţii Europene de Justitie, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligaţiilor sale în materie de protecţie a datelor cu caracter personal. Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani.

Un ultim exemplu: a fost amplasată în România o cameră de luat vederi într-un bloc, de către o persoană fizică care nu este nici administrator al clădirii, nici reprezentant al asociaţiei de proprietari. Această persoană nu deţine acordul celorlalţi proprietari şi nici temei legal pentru procesarea şi stocarea acestor date. Imaginile de pe camere video surprind atât locatarii blocului, cât şi persoane străine ce intra sau ies din clădire pe durata unei zile, inclusiv reprezentanţi şi angajaţi ai unor firme cu sediu în bloc. O persoana filmată ilegal în mod repetat, reprezentant al unei societăţi comerciale, a sesizat ANSPDCP, şi se pare că a primit următorul răspuns: „Potrivit art. 2 alin. (2) lit. c) din RGPD, acest act normativ nu se aplică prelucrărilor de date cu caracter personal efectuate de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice“.

Opinia ANSPDCP, raportată la prevederile Regulamentului UE 679/2016, consider că este corectă, dar cazul de faţă trebuie analizat şi din prisma legislaţiei amintite şi a jurisprudenţei europene. Voi solicita ANSPDCP un punct de vedere faţă de modul în care declaraţia oficială a fost publicată într-un mod cred tendenţios şi decontextualizat afirmându-se că „printr-o hotărâre recentă, ANSDCP arată că GDPR nu se aplică persoanelor fizice care procesează date în scop personal sau domestic, chiar dacă prelucrarea în sine are loc fără acordul persoanei vizate şi fără temei legal“.

Revenind la analiza acestui caz, persoana fizică desfaşoară o activitate domestică şi se încadrează în excepţia de aplicabilitate conform art. 2 alin. c . Totuşi, acest exemplu dat cu filmarea privată trebuie analizat nu doar din prisma GDPR (activitatea domestică fiind exceptată), ci mai degrabă raportandu-ne la Legea privind asociţiile de locatari şi Legea privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor pentru a analiza ce înseamna filmarea în spaţiul public de către o persoană fizică fără aprobare şi fără o notificare prealabilă.

Dacă persoana fizica poate dovedi că prelucrarea de date este necesară, scopul fiind securitatea bunurilor şi protecţia persoanelor, ne putem gândi că legalitatea prelucrării este dovedită de acest interes legitim, cu condiţia bineînţeles să fie respectate principiile transparenţei şi a stocării limitate. Recomandarea generală în astfel de situaţii este ca să fie obţinut acordul asociaţiei de proprietari şi condiţionată de afişarea unui anunţ că zona este monitorizată video, cu menţionarea scopului, şi că imaginile nu sunt păstrate mai mult de 30 de zile.

Jurisprudenţa europeană în domeniul protecţiei datelor vine şi susţine afirmaţia iniţială că persoanele fizice pot fi amendate, dovadă fiind cele doua amenzi acordate deja de Autorităţile de Supraveghere din Belgia şi din Austria:

• În Belgia un primar al unui oraş belgian a trimis un e-mail conţinând propagandă electorală către 2 (doi) locuitori ai oraşului său. Cei doi reclamanţi au intrat în contact cu primarul municipalităţii, comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale din 14 octombrie 2018, primarul a folosit apoi funcţia „reply“ a e-mail-ului pentru a trimite un mesaj electoral reclamanţilor. În urma audierii părţilor, Camera de litigii a autorităţii belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancţiune financiara de 2000 de euro şi o mustrare primarului. (Data: 28.05.2019, Baza legală: Art. 5 (1) b) GDPR, art. 6 GDPR)  
• În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini şi zonei de acces la complexul rezidenţial în care locuia şi în plus, supravegherea video acoperea şi zonele de grădină ale unei proprietăţi adiacente. În acest caz, supravegherea video nu a fost proporţională cu scopul şi nu s-a limitat la ceea ce este strict necesar şi nu a fost isemnalizată corespunzător. (Data: 20.12.2018, Baza legală: Art. 5 (1) a) şi c GDPR, art. 6 (1) GDPR, art. 13 GDPR)

În concluzie, persoanele fizice pot fi operatori de date cu caracter personal şi drept urmare pot fi amendate. Contează în primul rând dacă acestea desfăşoară activităţi domestice sau activităţi profesionale sau comerciale.

Iar legat de titlurile bombastice, recomandarea mea este să treceţi prin filtrul raţiunii şi să vă informaţi din mai multe surse credibile. Nu tot ce se publică este adevărat, nu tot ce zboară se mănâncă!