ANSPDCP. Clarificări referitoare la sesizarea primită în cazul Rise Project. UPDATE: Clarificări suplimentare. 13 ONG-uri au trimis o scrisoare ANSPDCP pentru susținerea Rise Project
13 noiembrie 2018 | JURIDICE.ro
13 noiembrie 2018: Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH) a anunțat că a semnat scrisoarea transmisă azi Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) de ApTi și Activewatch, în contextul controverselor publice create de solicitarea pe care autoritatea a adresat-o jurnaliștilor de la RISE Project, în legătură cu valiza cu documente din cazul #Teleormanleaks, potrivit unui comunicat.
Textul integral al scrisorii:
”Libertatea de exprimare trebuie înțeleasă corect și în contextul protecției datelor personale
Vă adresăm această scrisoare deschisă în contextul controverselor publice create de solicitarea pe care ați adresat-o jurnaliștilor de la RISE Project, de a vă furniza informații referitoare la postarea pe pagina de Facebook a unui material jurnalistic.
În calitatea noastră de organizații de drepturile omului, susținând atât drepturile la libertatea de exprimare și libertatea presei, cât și dreptul la viață privată, am dori să facem câteva precizări care sperăm să vă fie utile în abordarea unor situații similare cu cea de față, în special cu privire la libertatea de exprimare (pentru că știm că zona de date personale și viață privată este obiectul dvs. de activitate), precizări care ar putea să vă ajute în a înțelege reacția fără echivoc a autorităților europene. De asemenea, sugeram că Autoritatea are nevoie urgentă de implementarea unui sistem de lucru în solicitările care privesc prelucrarea datelor în scop jurnalistic.
1. Nu doar viața privată este un drept fundamental, ci și libertatea de exprimare
Atât dreptul la viață privată, cât și dreptul la libertatea de exprimare se bucură de un regim egal, niciun drept nefiind deasupra celuilalt. O autoritate nu poate invoca în mod arbitrar restricții asupra dreptului la libertatea de exprimare, cu atât mai puțin când este vorba despre un subiect de interes public, precum în cazul de față. Pentru a decide care dintre cele două drepturi primează într-o speță, acestea trebuie puse în balanță, fiind necesar a se efectua un echilibru corect, luându-se în calcul particularitățile fiecărui caz.
A reduce discuția doar la cele 3 derogări din art. 7 din Legea 190/2018 reprezintă o abordare simplistă, câtă vreme este clar că scopul Regulamentul general privind protecția datelor (GDPR) nu este de a limita libertatea de exprimare. În același timp, există numeroase acte normative privind drepturile omului semnate de România (nominalizăm aici doar două – Carta Drepturilor Fundamentale a Uniunii Europene și Convenția Europeană a Drepturilor Omului) ce trebuie luate în considerare atunci când este vorba de un conflict între două sau mai multe drepturi. Curtea Europeană a Drepturilor Omului (CEDO) are o vastă jurisprudență ce vorbește despre punerea în balanță a dreptului la libertatea de exprimare și a dreptului la viață privată, iar acest test de echilibrare ia în considerare cel puțin 6 factori extrem de importanți ce trebuie considerați în fiecare caz în parte. Așadar ar fi fost necesar ca ANSPDCP să ia în calcul – atât în discuțiile interne, dar și în clarificările publice ulterioare – aceste aspecte ce țin de proporționalitate și cântărirea justă a celor două drepturi fundamentale.
2. Protecția surselor în cazul jurnaliștilor este crucială pentru garantarea dreptului la libertatea de exprimare
Protecția surselor jurnalistice este una din condițiile de bază în garantarea libertății presei. Jurisprudența CEDO subliniază cu consecvență că încercarea de a obliga un jurnalist să își dezvăluie sursele încalcă dreptul său la libertatea de a primi și distribui informație, deci încalcă dreptul său la libertatea de exprimare. Curtea a considerat că obligarea jurnaliștilor la a-și dezvălui sursele afectează libera circulație a informației, în detrimentul democrației, drept pentru care poate fi justificată doar în cazuri excepționale.
De aceea este absolut normală reacția jurnaliștilor și a instituțiilor europene când au aflat că Autoritatea ar fi cerut „sursa” informațiilor protejate de RISE Project. Aici considerăm că ar fi rolul Autorității de a ține cont de sensibilitățile conflictului dintre drepturi, în primul rând pentru a preciza de ce în acel caz nu se aplică excepțiile pentru colectarea de date în scop jurnalistic. În al doilea rând dacă decide că trebuie să meargă mai departe, nefiind vorba de derogări, Autoritatea trebuie să precizeze că solicitarea de surse în aceste cazuri nu se referă la sursele jurnalistice, ci, mai degrabă, urmărește să identifice dacă datele sunt colectate direct de la persoana vizată sau din alte surse (sau surse publice), pentru eventuala aplicare a articolelor 13 și 14 din GDPR.
Nu putem decât să sperăm că, de fapt, avem de a face mai degrabă cu o inadecvare a comunicării, decât cu o dorință de a avea acces la sursele jurnaliștilor.
3. Amenințările nu au ce să caute într-o adresă din partea unei autorități publice
Solicitarea dvs. către RISE Project indică faptul că sunt pasibili de o amendă de 3000 de lei pe zi, pentru fiecare zi de întârziere cu răspunsul la solicitarea dvs., răspuns ce are termen limită de 10 zile. În plus i-ați mai anunțat și că sunt pasibili de o amendă de până la 20.000.000 de euro pentru încălcarea art. 83 din Regulamentul general privind protecția datelor, subliniind în textul redactat de dvs. referința la „neacordarea accesului”.
Aceasta sună a amenințare (deși textul e conform cu prevederile Regulamentului), iar partea legată de „accesul’ la documente ridică același probleme ca și cele de mai sus. Cu atât mai mult cu cât nimeni în Europa n-a acordat încă vreo amendă de 20 de milioane de euro. De fapt, nici măcar de 1 milion. Credem că nici măcar de 100 000.
În concluzie, față de cele 3 puncte mai sus menționate, observăm că solicitarea formulată către RISE Project a lăsat impresia unei acțiuni făcute în grabă, fără o analiză temeinică a situației, ceea ce a alimentat convingerea publică că ar fi existat o motivație de natură politică, generată de subiectul materialului jurnalistic, și nu ar fi fost vorba de o simplă anchetă obiectivă și imparțială a Autorității de supraveghere în domeniul prelucrării datelor cu caracter personal.
Facem aceste remarci deoarece ambele drepturi fundamentale sunt la fel de importante și nu dorim ca rolul Autorității să pară a fi redus la un instrument de control politic și blocare a dezbaterilor necesare într-o societate democratică.
Considerăm că Autoritatea are nevoie urgentă de implementarea unui sistem de lucru în solicitările care privesc presa. Acest sistem de lucru trebuie conceput doar în baza unor consultări publice cu mass-media și cu organisme cu expertiză în domeniul libertății de exprimare și al libertății presei, din România și din Uniunea Europeană. Așteptăm cu interes propunerile dvs. în acest sens.
Semnatari:
Asociația pentru Tehnologie și Internet – ApTI
ActiveWatch
Centrul pentru Inovare Publică
APADOR-CH
Centrul pentru Jurnalism Independent
Miliția Spirituală
Sindicatul Roman al Jurnaliștilor MediaSind
Centrul Român pentru Jurnalism de Investigație
Societatea Jurnaliștilor Galați
Funky Citizens
Fundatia pentru Dezvoltarea Societatii Civile
CeRe: Centrul de Resurse pentru participare publică
S-au adăugat listei semnatarilor:
Asociația Kompatibil”
***
13 noiembrie 2018: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat, ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public, că în temeiul competențelor legale de monitorizare și control ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, au fost solicitate informații referitoare la situația semnalată, de la operatorul respectiv, potrivit unui comunicat.
În sesizarea primită se precizează că au fost postate în mediul online de către Rise Project o multitudine de date cu caracter personal ale unor persoane private și publice, solicitându-se verificarea respectării reglementărilor legale în vigoare din domeniul prelucrării datelor personale.
În acest context, Autoritatea subliniază că, întrucât însăși postarea publicată de Rise Project a indicat sursa obținerii acestora, respectiv ”o valiză cu informații esențiale (…) a fost găsită în zona rurală din Teleorman”, apreciază că informațiile solicitate prin adresa Autorității de Supraveghere nu sunt de natură să încalce secretul profesional al jurnaliștilor.
În același timp, Autoritatea evidențiază că, în cauza Alkaya contra Turciei (cererea nr. 42811/06), Curtea Europeană a Drepturilor Omului a constatat încălcarea articolului 8 al Convenţiei Europene a Drepturilor Omului (dreptul la respectul vieţii private şi de familie) de către un cotidian național. Cauza vizase dezvăluirea de către presă a adresei domiciliului unei actriţe din Turcia, al cărei apartament fusese jefuit.
CEDO a statuat că opţiunea locuinţei este o chestiune fundamental privată, iar exerciţiul liber al acestei alegeri este parte integrantă a sferei autonomiei personale protejate de articolul 8 al Convenției.
CEDO a trebuit astfel să determine dacă statul a administrat un just echilibru între dreptul reclamantei la protejarea vietii sale private și dreptul jurnaliștilor de la un cotidian la libertatea de exprimare, protejat de art. 10 din Convenție, iar în hotărârea pronunțată a constatat încălcarea vieții private a persoanei respective (încălcarea art. 8 al Convenției europene a drepturilor omului).
În acest context, Autoritatea menționează faptul că, în prezent, în România nu există în vigoare o lege a presei.
Ca atare, Autoritatea reiterează aspectele evidențiate în comunicatul de presă din data de 09.11.2018, postat pe site-ul ANSPDCP, în sensul că:
Solicitarea de informații adresată Rise Project s-a realizat în temeiul competențelor de control ale ANSPDCP, stabilite de art. 57 alin. (1) lit. f) și h) și art. 58 alin. (1) și (2) din Regulamentul (UE) nr. 2016/679, de art. 141 din Legea nr. 102/2005, cu modificările și completările ulterioare, de Legea nr. 190/2018, raportat și la necesitatea asigurării echilibrului între dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare (inclusiv prelucrarea în scopuri jurnalistice), prevăzut la art. 85 din RGPD, precum și având în vedere jurisprudența CEDO în domeniu.
Autoritatea de Supraveghere, în considerarea rolului său de garant al dreptului la viață privată și a dreptului la protecția datelor personale s-a exprimat și a actionat în mod constant, încă de la înființare, în anul 2005, în sensul asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație.
În acest context, Autoritatea de Supraveghere precizează, în mod ferm, că demersurile sale se înscriu exclusiv în sfera atribuțiilor legale, fără a aduce atingere libertății presei și fără a interfera în vreun fel cu exercitarea competențelor și atribuțiilor legale ale altor instituții ale statului.
***
9 noiembrie 2018: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat, ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public, că în temeiul competențelor legale de monitorizare și control ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, au fost solicitate informații referitoare la situația semnalată, potrivit unui comunicat.
Față de informațiile eronat vehiculate în spațiul public, Autoritatea de Supraveghere precizează că nu emite somații.
De asemenea, Autoritatea de Supraveghere este o autoritate publică autonomă și independentă în îndeplinirea sarcinilor şi exercitarea competenţelor sale, potrivit art. 52 din Regulamentul (UE) nr. 2016/679 privind protecţia persoanelor fizice, în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), coroborat cu art. 2 din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare.
Competențele de control ale instituției sunt stabilite de art. 57 alin. (1) lit. f) și h) și art. 58 alin. (1) și (2) din Regulamentul (UE) nr. 2016/679, de art. 141 din Legea nr. 102/2005, cu modificările și completările ulterioare, de Legea nr. 190/2018, precum și de Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor.
Astfel, art. 57 alin. (1) lit. f) din Regulamentul general privind protecţia datelor (RGPD) conferă Autorității atribuția de a trata plângerile depuse de o persoană vizată, un organism, o organizaţie sau o asociaţie şi de a investiga obiectul acestora, iar lit. h) stabilește competența de a desfăşura investigaţii privind aplicarea regulamentului european.
De asemenea, art. 58 alin. (1) din RGPD stabilește competențele de investigare ale Autorității, potrivit cărora aceasta poate da dispoziţii operatorului să furnizeze orice informaţii pe care autoritatea de supraveghere le solicită, în vederea îndeplinirii sarcinilor sale, de a obţine, din partea operatorului, accesul la toate datele cu caracter personal şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale, precum și de a obţine accesul la orice echipamente şi mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual intern.
Coroborat cu cele de mai sus, art. 141 din Legea nr. 102/2018 cu modificările și completările ulterioare, personalul de control al Autorității de Supraveghere are dreptul să efectueze investigaţii, inclusiv inopinate, să ceară şi să obţină de la operator orice informaţii şi documente, indiferent de suportul de stocare, să ridice copii de pe acestea, să aibă acces la oricare dintre incintele operatorului şi persoanei împuternicite de operator, precum şi să aibă acces şi să verifice orice echipament, mijloc sau suport de stocare a datelor, necesare desfăşurării investigaţiei, în condiţiile legii.
Referitor la procedura de efectuare a investigațiilor, Autoritatea precizează că aceasta este reglementată prin Decizia nr. 161/2018, act publicat în Monitorul Oficial, potrivit căreia investigaţiile pot fi efectuate pe teren, la sediul Autorităţii de Supraveghere ori în scris.
În cazul investigațiilor în scris, se transmite o adresă-tip către entitatea controlată, prin care se solicită informaţii, date şi documente necesare soluţionării cazului supus investigaţiei, raportat la prevederile legale aplicabile în domeniul protecției datelor cu caracter personal. În acest sens, în cadrul răspunsului la investigație, entitatea controlată are posibilitatea de a-și expune argumentele și apărările privind modalitatea de prelucrare (inclusiv de dezvăluire) doar a datelor cu caracter personal.
În ceea ce privește prelucrarea datelor în scop jurnalistic, subliniem că art. 85 din RGPD stabilește faptul că ”Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament şi dreptul la libertatea de exprimare şi de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.”
În acest sens, art. 7 din Legea nr. 190/2018 prevede:
”În vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, libertatea de exprimare şi dreptul la informaţie, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecţia datelor:
a) capitolul II – Principii;
b) capitolul III – Drepturile persoanei vizate;
c) capitolul IV – Operatorul şi persoana împuternicită de operator;
d) capitolul V – Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
e) capitolul VI – Autorităţi de supraveghere independente;
f) capitolul VII – Cooperare şi coerenţă;
g) capitolul IX – Dispoziţii referitoare la situaţii specifice de prelucrare.”
Prin urmare, derogările enumerate în acest text de lege sunt aplicabile dacă sunt îndeplinite următoarele condiții:
– prelucrarea priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată;
– date care sunt strâns legate de calitatea de persoană publică a persoanei vizate;
– date care sunt strâns legate de caracterul public al faptelor în care este implicată persoana respectivă.
În acest context, precizăm că art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor, astfel:
– colectarea datelor în scopuri determinate, explicite şi legitime („limitări legate de scop”);
– date adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
– păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”);
– prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate”).
De asemenea, aceleași dispoziții legale sus-menționate prevăd faptul că operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare (”principiul responsabilității”).
În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”
Raportat la publicarea pe Internet a unor date cu caracter personal, Autoritatea subliniază faptul că dreptul la viaţă privată și protecția datelor cu caracter personal sunt garantate de art. 26 din Constituție, art. 8 din Convenţia Europeană a Drepturilor Omului, precum și art. 7 și 8 din Carta Drepturilor Fundamentale a UE, iar diseminarea în spațiul virtual a datelor persoanelor fizice în cauză și, implicit, punerea la dispoziția unui număr potențial foarte mare de persoane, fără niciun control asupra utilizării ulterioare a datelor în scopuri posibil incompatibile cu scopul inițial, poate conduce la afectarea acestor drepturi fundamentale.
Astfel, prin jurisprudenţa relevantă a Curţii de Justiţie a Uniunii Europene (Hotărârea din 6 noiembrie 2003, în cauza Bodil Lindqvist) s-a statuat că referinţele pe o pagină de Internet la diverse persoane şi identificarea lor prin nume sau alte mijloace constituie „prelucrare de date personale efectuată integral sau parţial prin mijloace automate”, iar prin publicarea pe Internet, datele personale devin accesibile unui număr nedefinit de persoane.
Autoritatea de Supraveghere, în considerarea rolului său de garant al dreptului la viață privată și a dreptului la protecția datelor personale s-a exprimat și a actionat în mod constant, încă de la înființare, în anul 2005, în sensul asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație.
În acest context, Autoritatea de Supraveghere precizează, în mod ferm, că demersurile sale se înscriu exclusiv în sfera atribuțiilor legale, fără a aduce atingere libertății presei și fără a interfera în vreun fel cu exercitarea competențelor și atribuțiilor legale ale altor instituții ale statului.
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
