ANSPDCP a confirmat, la mijlocul acestui an, faptul că o persoană fizică poate fi amendată pentru încălcarea GDPR, dacă nu a acționat într-un cadru pur personal sau domestic. Cum se manifestă această posibilitate în practică poate fi înțeles prin prezentarea unor exemple concrete.
Pentru că autoritățile de la noi sunt mai „zgârcite” cu detaliile, exemplele sunt preluate din practica altor autorități europene de protecție a datelor. Și acestea sunt relevante în România pentru că discutăm de același cadru legal - GDPR.
1. Primul exemplu se referă la o amendă de 2.000 de euro dată de către Autoritatea belgiană pentru protecția datelor unui primar care a folosit, în mod ilegal, date personale în campania electorală. Practic, primarul obținuse datele personale în exercitarea mandatului. Ulterior, a folosit acele date în scop electoral.
2. Un alt exemplu interesant este o amendă de 1.400 de euro dată unui ofițer de poliție german. Practic, acesta prelucrase datele personale ale deținătorului unei mașini, în urma folosirii sistemelor la care avea acces în virtutea funcției. Totul s-a petrecut cu depășirea limitelor mandatului și, din această cauză, cel amendat a fost polițistul și nu instituția publică a Poliției.
3. Și persoanele fizice care acționează în afara unui scop profesional (dar nici într-un mod exclusiv domestic sau privat) pot fi amendate. În Germania, la începutul anului 2019, o persoană fizică a fost amendată cu 2.500 de euro pentru că a trimis mai multe mail-uri nesolicitate unor alte persoane, iar destinatorii au putut să vadă cine a mai primit acele mail-uri. În total, au fost vizate mai mult de 131 de adrese de mail.
4. O persoană care a instalat camere video de supraveghere ce acopereau spații publice sau alte locuințe private (cum ar fi parcări, trotuare, vecini intrând și ieșind din casele lor etc.) a fost amendată cu 2.200 de euro în Austria. S-a considerat că măsura era nerezonabilă și, astfel, s-a ajuns la amendarea persoanei care a inițiat filmarea.
Când NU este vizată o persoană fizică de GDPR
O persoană fizică va fi vizată de GDPR, când prelucrează date, doar dacă ea nu acționează exclusiv în cadrul unei activități personale sau domestice.
Un exemplu relevant, în acest sens este persoana care ține un jurnal unde introduce informații legate de sănătatea familiei acesteia. Dacă doar membrii acelei familii folosesc jurnalul, activitatea este exceptată de la aplicarea GDPR, fiind o activitate domestică. De asemenea, puteți găsi un alt exemplu, referitor la amplasarea camerelor de filmat în jurul casei (și cum trebuie amplasate acestea, pentru a nu încălca regulamentul), aici.
În același timp, trebuie menționat că identificarea unei activități pur domestice sau personale nu este, întotdeauna, la fel de simplă precum pare. De exemplu, ANSPDCP se pronunțase, anul acesta, cu privire la amplasarea camerelor de filmat în blocurile de locuințe. Deși Autoritatea a considerat că astfel de activități nu intră în sfera GDPR, opinia ANSPDCP a fost criticată, din cauză că nu orice amplasare de de camere de filmat în blocuri de locuințe ar putea să exceadă sfera regulamentului. Ca dovadă stă și practica altor autorități, cum e cazul și cu ultimul exemplu menționat mai sus.
De cele mai multe ori, o persoana fizică va fi vizată de GDPR doar dacă acționează în scop profesional, însă acest lucru nu este obligatoriu. Pe lângă exemplele menționate anterior, o altă ipoteză ar putea să se refere la o persoană care ar putea să filmeze pe cineva și să distribuie acea filmare pe un site de socializare sau pe o altă platformă online. În acest caz, nu se mai poate considera că activitatea este pur domestică sau personală. Astfel, devin aplicabile prevederile GDPR.