avocatnet.ro 
La fel ca firmele, și persoanele fizice pot încălca GDPR-ul și, astfel, să fie sancționate în consecință. Aceasta este poziția oficială a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), după ce a fost întrebată despre acest lucru de avocata Ruxandra Sava, conform unui articol apărut pe site-ul LegalUp.
Sancțiunile la care pot fi expuse persoanele fizice pot ajunge, teoretic, până la 10 milioane de euro sau, în anumite cazuri, până la 20 de milioane de euro, în situații precum nerespectarea condițiilor referitoare la consimțământul dat pentru prelucrare. Practic, însă, este foarte puțin probabil, dacă nu chiar imposibil, că s-ar putea stabili o asemenea amendă exorbitantă în sarcina unei persoane fizice, din cauza faptului că există o serie de condiții de individualizare a sancțiunilor, care țin cont și de persoana sancționată.
Când se aplică și când nu se aplică GDPR persoanelor fizice - exemple
Pentru a fi posibilă sancționarea unei persoane fizice pentru încălcarea GDPR, prelucrarea de date personale trebuie să se facă „în afara unei activități domestice”. Adică nu vorbim de activități care sunt făcute în scop pur personal, precum cele de pe rețelele de socializare, care implică prelucrări de date personale, care sunt însă exceptate de la aplicarea GDPR.
Vorbim de diferența dintre o activitate obișnuită și pur personală, pe care o facem toți, în mod constant, și de activități pe care le fac doar anumite persoane, de cele mai multe ori, în mod profesional. În cadrul aceluiași articol citat mai sus, sunt date două exemple: pe de o parte, e vorba de o filmare realizată într-un spațiu public, fiind surprinse mai multe persoane în cadrul acelei filmări. Dacă persoana care a făcut filmarea o păstrează pentru ea și pentru apropiați, atunci GDPR-ul nu se aplică. Pe de altă parte, dacă e vorba de un vlogger care urcă acea filmare pe o platformă precum YouTube, vorbim deja de o activitate care nu mai e pur personală și GDPR-ul se aplică.
Un alt exemplu poate fi găsit chiar pe avocatnet.ro, într-un articol pe aceeași temă: în concret, era vorba de o persoană fizică ce a amplasat camere de filmat într-un bloc și de faptul că prelucrarea de date (filmarea) s-a făcut fără să existe niciun temei valid. Mai mult, persoana în cauză nu a acționat în numele său sau pentru asociația de properietari și nu era nici administrator al clădirii. ANSPDCP a considerat că acesta era un exemplu de prelucrare în scop personal. Deși decizia a fost criticată, ea rămâne un exemplu în care autoritatea română de protecție a datelor a considerat că GDPR nu era aplicabil.
Un alt exemplu este menținerea unui jurnal în care sunt trecute, printre altele, informații legate de sănătatea membrilor familiei (ipoteza apare într-un manual din 2018 al Consiliului Europei și al Agenției Uniunii Europene pentru Drepturi Fundamentale). În acest caz, dacă jurnalul este folosit de către membrii acelei familii, prelucrarea nu doar că este legală, dar este considerată ca fiind exceptată de la aplicarea GDPR.
Exemplul este unul ușor atipic, întrucât el se referă la prelucrarea de date medicale, care sunt considerate date sensibile - ele având un regim mult mai strict în ceea ce privește prelucrarea lor (puteți citi mai multe despre astfel de date aici).
mark094
Comentarii articol (5)