ANSPDCP a făcut o serie de precizări legate de scandalul legat de sesizarea primtă în cazul „Valiza”, documentele publicate de Rise Project. Instituția subliniază că acest control se încadrează în limitele legale.
Iată integral comunicatul ANSPDCP:
„Ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public, în temeiul competențelor legale de monitorizare și control ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, au fost solicitate informații referitoare la situația semnalată.
Față de informațiile eronat vehiculate în spațiul public, precizăm că Autoritatea de Supraveghere nu emite somații.
De asemenea, menționăm că Autoritatea de Supraveghere este o autoritate publică autonomă și independentă în îndeplinirea sarcinilor şi exercitarea competenţelor sale, potrivit art. 52 din Regulamentul (UE) nr. 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) coroborat cu art. 2 din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare.
Competențele de control ale institutiei noastre sunt stabilite de art. 57 alin. (1) lit. f) și h) și art. 58 alin. (1) și (2) din Regulamentul (UE) nr. 2016/679, de art. 141 din Legea nr. 102/2005, cu modificările și completările ulterioare, de Legea nr. 190/2018, precum și de Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor.
Astfel, art. 57 alin. (1) lit. f) din Regulamentul general privind protecţia datelor (RGPD) conferă Autorității atribuția de a trata plângerile depuse de o persoană vizată, un organism, o organizaţie sau o asociaţie şi de a investiga obiectul acestora, iar lit. h) stabilește competența de a desfăşura investigaţii privind aplicarea regulamentului european.
De asemenea, art. 58 alin. (1) din RGPD stabilește competențele de investigare ale Autorității, potrivit cărora aceasta poate da dispoziţii operatorului să furnizeze orice informaţii pe care autoritatea de supraveghere le solicită în vederea îndeplinirii sarcinilor sale, de a obţine, din partea operatorului accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale, precum și de a obţine accesul la orice echipamente şi mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual intern.
Coroborat cu cele de mai sus, art. 141 din Legea nr. 102/2018 cu modificările și completările ulterioare, personalul de control al Autorității de Supraveghere are dreptul să efectueze investigaţii, inclusiv inopinate, să ceară şi să obţină de la operator orice informaţii şi documente, indiferent de suportul de stocare, să ridice copii de pe acestea, să aibă acces la oricare dintre incintele operatorului şi persoanei împuternicite de operator, precum şi să aibă acces şi să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfăşurării investigaţiei, în condiţiile legii.
Referitor la procedura de efectuare a investigațiilor, precizăm că aceasta este reglementată prin Decizia nr. 161/2018, act publicat în Monitorul Oficial, potrivit căreia investigaţiile pot fi efectuate pe teren, la sediul Autorităţii de Supraveghere ori în scris.
În cazul investigațiilor în scris, se transmite o adresă- tip către entitatea controlată, prin care se solicită informaţii, date şi documente necesare soluţionării cazului supus investigaţiei, raportat la prevederile legale aplicabile în domeniul protecției datelor cu caracter personal. În acest sens, în cadrul răspunsului la investigație, entitatea controlată are posibilitatea de a-și expune argumentele și apărările privind modalitatea de prelucrare (inclusiv de dezvăluire) doar a datelor cu caracter personal.
În ceea ce privește prelucrarea datelor în scop jurnalistic, subliniem că art. 85 din RGPD stabilește faptul că ”Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament şi dreptul la libertatea de exprimare şi de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.”
În acest sens, art. 7 din Legea nr. 190/2018 prevede:
”În vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, libertatea de exprimare şi dreptul la informaţie, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecţia datelor:
a) capitolul II - Principii;
b) capitolul III - Drepturile persoanei vizate;
c) capitolul IV - Operatorul şi persoana împuternicită de operator;
d) capitolul V - Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
e) capitolul VI - Autorităţi de supraveghere independente;
f) capitolul VII - Cooperare şi coerenţă;
g) capitolul IX - Dispoziţii referitoare la situaţii specifice de prelucrare.”
Prin urmare, derogările enumerate în acest text de lege sunt aplicabile dacă sunt îndeplinite următoarele condiții:
prelucrarea priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată
date care sunt strâns legate de calitatea de persoană publică a persoanei vizate
date care sunt strâns legate de caracterul public al faptelor în care este implicată persoana respectivă.În acest context, precizăm că art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor, astfel:
- colectarea datelor în scopuri determinate, explicite şi legitime ("limitări legate de scop");
- date adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ("reducerea la minimum a datelor");
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele ("limitări legate de stocare");
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").
De asemenea, aceleași dispoziții legale sus-menționate prevăd faptul că operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare (”principiul responsabilității”).
În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”
Raportat la publicarea pe Internet a unor date cu caracter personal, subliniem faptul că dreptul la viaţă privată și protecția datelor cu caracter personal sunt garantate de art. 26 din Constituție, art. 8 din Convenţia Europeană a Drepturilor Omului, precum și art. 7 și 8 din Carta Drepturilor Fundamentale a UE, iar diseminarea în spațiul virtual a datelor persoanelor fizice în cauză și, implicit, punerea la dispoziția unui număr potențial foarte mare de persoane, fără niciun control asupra utilizării ulterioare a datelor în scopuri posibil incompatibile cu scopul inițial, poate conduce la afectarea acestor drepturi fundamentale.
Astfel, prin jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene (Hotărârea din 6 noiembrie 2003, în cauza Bodil Lindqvist) s-a statuat că referinţele pe o pagină de Internet la diverse persoane şi identificarea lor prin nume sau alte mijloace constituie „prelucrare de date personale efectuată integral sau parţial prin mijloace automate”, iar prin publicarea pe Internet, datele personale devin accesibile unui număr nedefinit de persoane.
Menționăm că Autoritatea de Supraveghere, în considerarea rolului său de garant al dreptului la viață privată și a dreptului la protecția datelor personale s-a exprimat și a actionat în mod constant, înca de la inființare, în anul 2005, în sensul asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație.
În acest context, Autoritatea de Supraveghere precizează în mod ferm că demersurile sale se înscriu exclusiv în sfera atribuțiilor legale, fără a aduce atingere libertății presei și fără a interfera în vreun fel cu exercitarea competențelor și atribuțiilor legale ale altor instituții ale statului.”