În 2017, mulți români s-au plâns la autorități pentru că datele personale le-au fost dezvăluite fără acord. Iată trei exemple relevante

Informația a fost extrasă din Raportul de activitate pentru anul 2017, publicat marți de ANSPDCP și pe care avocatnet.ro îl analizează într-o serie de articole. Printre faptele reclamate se numără:

• publicarea fără consimțământul petentului a unor imagini (fotografii sau înregistrări video) pe rețelele de socializare, de către alți utilizatori persoane fizice;
• crearea unor conturi false pe website-uri de dating prin folosirea unor date personale și fotografii însoțite de informații defăimătoare la adresa persoanelor vizate.

ANSPDCP a făcut publice si trei fișe de caz care cuprind situații reale și modul în care au fost ele rezolvate de către autoritate. E de menționat faptul că argumentația face referire la vechea reglementare a prelucrărilor de date (Legea nr. 677/2001), nu la Regulamentul general privind protecția datelor (sau GDPR, pe scurt).

Exemplul 1. Dezvăluirea datelor de către fostul angajator

Un petent a sesizat ANSPDCP cu privire la faptul că datele sale personale au fost dezvăluite către terți de fostul angajator. În cadrul investigației efectuate, s-a constatat că datele personale ale petentului (date de identificare, date din contractul individual de muncă și din fișa postului, date privind starea de sănătate), cuprinse într-un proces-verbal încheiat în cadrul unei proceduri disciplinare, au fost transmise prin intermediul poștei electronice către toți angajații operatorului, în vederea discutării situației în cadrul unui instructaj privind normele de securitate și sănătate în muncă.

La finalizarea demersurilor întreprinse, autoritățile au amendat operatorul pentru fapta prevăzută de art. 32 din Legea nr. 677/2001, întrucât a dezvăluit către terți, fără temei legal, datele cu caracter personal ale petentului, precum și pentru fapta prevăzută de art. 33 din Legea nr. 677/2001, întrucât operatorul nu a asigurat confidențialitatea datelor cu caracter personal ale petentului, prelucrate inclusiv prin persoane împuternicite, și nu a luat măsuri tehnice și organizatorice adecvate împotriva dezvăluirii datelor cu caracter personal ale acestuia.

Exemplul 2. Dezvăluirea datelor personale de către asociația de proprietari

Un petent a reclamat că asociaţia de proprietari din imobilul unde locuiește a prelucrat ilegal datele sale de identitate prin afișarea unui înscris în care sunt menționate adresa sa de domiciliu și codul numeric personal. Petentul a susținut că s-a adresat asociației de proprietari în baza Legii nr. 677/2001, însă nu a primit niciun răspuns în termenul legal de 15 zile.

În urma investigației efectuate, s-a constatat că înscrisul menționat de petent a fost afișat la avizierul blocului și se referea la stadiul dosarului de recuperare debite pe care acesta le avea față de asociația de proprietari, ca urmare a unei hotărâri judecătorești. În ceea ce privește cererea petentului, adresată asociației de proprietari, operatorul a afirmat că a depus un răspuns la cutia poștală a petentului, fără a prezenta o dovadă în acest sens.

La finalizarea demersurilor întreprinse, operatorul a fost sancționat în baza art. 32 din Legea nr. 677/2001, întrucât a dezvăluit la avizierul blocului datele cu caracter personal, inclusiv codul numeric personal, ale petentului, fără consimţământul acestuia sau alt temei legal și fără să facă dovada informării acestuia. De asemenea, operatorul a fost sancționat, întrucât nu a făcut dovada comunicării unui răspuns petentului, la cererea sa de exercitare a dreptului de opoziție prevăzut de art. 15 din Legea nr. 677/2001.

Exemplul 3. Dezvăluirea datelor personale de către un magazin

O petentă a reclamat faptul că datele sale cu caracter personal ar fi fost dezvăluite ilegal de către o societate comercială (magazin de vânzare produse). Petenta a menționat că la o zi după procesul de divorț, fostul soț, invocând calitatea de "actual soț", a obținut de la operator o copie a unui bon de achiziție a unui produs electrocasnic cumpărat de petentă în anul 2015, pretextând că îi este necesar în scopul trimiterii acestuia în unitatea service pentru remedierea unor neconformități.

În cadrul investigației realizate, s-a constatat că reprezentanții magazinului au eliberat fostului soț al petentei o copie după extrasul din sistem (factură) privind achiziția efectuată de petentă în anul 2015, în urma unei cereri scrise și a prezentării unor documente. În notificarea depusă la ANSPDCP pentru prelucrările de date efectuate în scop de "furnizare de bunuri și servicii", operatorul a declarat ca destinatari ai datelor personale persoana vizată, angajații operatorului, autoritatea judecătorească, poliția și mass-media.

La finalizarea demersurilor întreprinse, operatorul a fost amendat pentru fapta prevăzută de art. 32 din Legea nr. 677/2001, întrucât a dezvăluit date cu caracter personal, în legătură cu achiziția efectuată de petentă.