A doua amendă aplicată de ANSPDCP. Operatorul despre care nu se menționează nimic

Până în prezent ANSPDCP a anunţat că a aplicat deja patru amenzi operatorilor de date cu caracter personal pentru încălcarea GDPR. Aceasta ne indică faptul că autoritatea de supraveghere este activă și dornică să pună în aplicare prevederile GDPR.

În cuprinsul acestui material facem o scurtă analiză cu privire la cea de-a doua amendă, cea aplicată World Trade Center Bucharest S.A. (”WTCB”), în cuantum de 15.000 euro.

Potrivit comunicatului ANSPDCP, ”încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.”

Așadar, la o analiză atentă a situaţiei factuale, identificăm mai multe fapte de încălcare a GDPR, respectiv:

1. Divulgare neautorizată de date – operatorul a permis (voit sau nu) fotografierea listei de clienţi conţinând datele lor personale, de către terţi din afara societăţii,

2. Accesare neautorizată de date – terţii din afara societăţii au vizualizat şi fotografiat lista de clienţi, fără ca aceasta să le fie destinată ori fără să aibă permisiunea de a o face,

3. Divulgare neautorizată de date – de data aceasta de către terţii din afara societăţii, care au publicat lista de clienţi în mediul online.

Ca atare, observăm că în fapt vorbim despre cel puțin doi operatori de date care au procedat contrar prevederilor GDPR, respectiv WTCB şi terţii („persoane neautorizate din afara societăţii”).

Indiferent dacă acești terți sunt persoane fizice sau juridice, ei devin operatori de date prin faptul publicării listei în mediul online. Aceasta deoarece, chiar și în calitate de persoane fizice, ei vor fi calificați ca operatori dacă pun la dispoziţia unui număr nelimitat de persoane (de exemplu prin publicare) date cu caracter personal care ar fi trebuit folosite doar în scop personal, domestic.

Cu toate că în spaţul public din România au circulat în ultima vreme mai multe informaţii contradictorii cu privire la posibilitatea unei persoane fizice de a fi operator, considerăm că nu există niciun dubiu în această privinţă. Atât GDPR (art. 2 alin. 2 litera c și considerentul 18), cât și European Data Protection Board (de ex. Ghidul nr. 3/2019) şi Curtea de Justiție a Uniunii Europene (de ex. cauza C‑25/17 privind Martorii lui Iehova sau cauza C-345/17 privind publicarea unui filmuleț cu o audiere efectuată de polițiști) au statuat fără echivoc faptul că persoanele fizice devin operatori de date atunci când le prelucrează în aşa manieră încât aceasta nu se mai efectuează în scop exclusiv personal sau domestic. De exemplu, divulgarea datelor către un număr nelimitat de persoane sau instalarea unei camere video într-un spaţiu public sunt activităţi de prelucrare care nu intră în sfera activităţilor pur personale.

Observăm, totuși, că Autoritatea nu ne comunică nimic despre aceşti terţi, în sensul de a ne informa despre măsurile luate în privința lor.

Considerăm că și ei, în calitate de operatori care au savârșit fapte de încălcare a prevederilor GDPR, ar fi trebuit sancționați alături de operatorul WTCB, mai ales că în fapt acțiunea lor de publicare a listei a agravat situația.

Recomandăm persoanelor fizice să fie mai atente atunci când iau cunoștință de date cu caracter personal și în niciun caz să nu le facă publice fără a avea un temei legal. Indiferent de modalitatea de răspuns a Autorității la diferite solicitări punctuale, legislația privind protecția datelor stabilește posibilitatea răspunderii și a persoanelor fizice pentru încălcarea sa.