Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal a luat recent o decizie discutabilă care vizează toate persoanele fizice care procesează date personale. Este un precedent periculos în domeniul legislaţiei GDPR, spun avocaţii.
După valul de amenzi din ultima vreme, problema GDPR este readusă în atenția publicului. Însă conform susținerilor ANSDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal), românii nu trebuie să-şi facă griji cu privire la aceste sancțiuni decât în cazul în care dețin o firmă și prelucrează date în scop comercial, spune avocatul Ruxandra Vişoiu, Managing Partner la R&R Partners Bucharest.
Printr-o hotărâre recentă, ANSDCP arată că GDPR nu se aplică persoanelor fizice care procesează date în scop personal sau domestic, chiar dacă prelucrarea în sine are loc fără acordul persoanei vizate și fără temei legal. Acest răspuns oficial vine în urma unei sesizări privind amplasarea ilegală a camerelor de luat vederi într-un bloc și prelucrarea acestor date fără temei juridic de către o persoană fizică. Autoritatea menționează că „Potrivit art. 2 alin. (2) lit. c) din RGPD, acest act normativ nu se aplică prelucrărilor de date cu caracter personal efectuate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice”.
Proprietarul camerelor de luat vederi nu era administrator al clădirii, ori reprezentant al asociației de proprietari. De asemenea, acesta nu deținea acordul celorlalți proprietari și nici temei legal pentru procesarea și stocarea acestor date. Imaginile de pe camere video surprindeau atât locatarii blocului, cât și persoane străine ce intrau sau ieșeau din clădire pe durata unei zile, inclusiv reprezentanți și angajați ai unor firme cu sediu în bloc. Persoana filmată ilegal în mod repetat, reprezentant al unei societăți comerciale, a sesizat ANSDCP fiind asistată de firma de avocatură R&R Partners Bucharest.
„Decizia autorităților este cel puțin discutabilă. Prin aceasta se admite în mod oficial că amenzile GDPR se acordă doar firmelor, nu și persoanelor fizice, chiar dacă acestea încalcă în mod flagrant dispozițiile legale.”, declară Ruxandra Vișoiu. „Apreciem că acesta este un precedent periculos în domeniul GDPR. Societățile care încalcă legea pot încerca să se pună la adăpost de amenzi arătând că procesarea ilegală de date nu se realizează cu scop comercial, ci în scop personal, de către indivizi din cadrul firmei ce acționează independent de voința societară. Lipsa oricărei măsuri, nici măcar sub forma avertismentului, nu face decât să încurajeze conduita necorespunzătoare în situații similare.”
Până la acest moment au fost aplicate doar trei amenzi GDPR în țară, către persoane juridice, pentru fapte cu diverse grade de gravitate.