Câteva mii de documente – fișiere, fotografii, videouri – au fost prezentate de-o publicație de investigații. Câteva zile mai târziu, a apărut în discuție GDPR și-o amendă de 20 milioane euro.
Pe scurt despre cum Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a ajuns în atenția publicului: pe 8 noiembrie, ANSPDCP a informat RISE Project că dezvăluie date cu caracter personal. Publicația tocmai avea online primul articol din seria „Teleorman Leaks”. Amenda menționată ar ajunge la 20 de milioane de euro.
[related]
Se impune o clarificare despre ce face și nu face GDPR, dar și care e cadrul legal mai larg.
Atât Regulamentul UE nr. 679/27 din aprilie 2016 (GDPR), cât și Legea nr.190/2018 menționează expres că activitatea jurnalistică este exclusă de la aplicarea regulilor privind protecția datelor cu caracter personal. Implicit, și de la controlul și aplicarea sancțiunilor în baza acestei legislații. Singura condiție necesară pentru aplicabilitatea derogării de la dispozițiile GDPR o reprezintă prelucrarea de date ce sunt strâns legate de calitatea de persoană publică a persoanei fizice vizate sau de caracterul public al faptelor în care este implicată.
Faptul că ANSPDCP nu are atribuții de control în cazul activitităților jurnalistice care privesc persoane sau fapte publice nu este doar o intepretare forțată a dispozițiilor legale, ci rezultă foarte clar din dispozițiile art. 85 alin. 2 și art. 57 alin.1 lit. h din GDPR. La acestea se adaugă și dispozițiile art. 7 din Legea nr.190/2018. În plus, Legea nr.504/2002 asigură jurnaliștilor libertatea de a nu-și dezvălui sursa informațiilor obținute în legătură directă cu activitatea lor profesională.
Pe fondul acestor dispoziții intervine recenta solicitare a ANSPDCP către RISE Project, prin care, fără a se menționa absolut nimic în privința competenței asupra investigării activităților jurnalistice, li se solicită în mod abuziv celor investigați divulgarea sursei informațiilor obținute de aceștia. Mai mult, sunt avertizați, în mod tendențios, de cuantumul maxim al amenzii aplicabile.
ANSPDCP are ca obiectiv, declarat prin legea sa de organizare, apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal şi cu libera circulaţie a acestor date. Ar trebui să apere, în special, dreptul la viaţă intimă, familială şi privată.
Atât timp cât persoanele fizice, presupus afectate de investigație, nu au considerat că li s-au prelucrat în mod nelegal datele cu caracter personal și nu au depus o plângere la ANSPDCP, sesizarea din oficiu a respectivei autorități, așa cum rezultă din adresa comunicată publicației, pare un exces de zel nejustificat.
Lipsa justificării rezultă, pe de o parte, din faptul că se anchetează o activitate jurnalistică căreia nu i se aplică prevederile GDPR. Pe de altă parte, din faptul că anchetele din oficiu ar trebui să privească, în primul rând, acele activități care implică prelucrarea pe scară largă a datelor cu caracter personal sau prelucrarea de categorii speciale de date.
În astfel de situații, ca cea din urmă, există riscul să fie încălcate drepturile unui număr foarte mare de persoane sau să se permită accesul nelegal la informații sensibile privind persoanele fizice. Prevenirea acestor incidente ar trebui să constituie prima îngrijorare a ANSPDCP și nu monitorizarea presei pentru a se autosesiza în cazuri individuale, cu privire la posibile încălcări ale GDPR. Asta în condițiile în care persoanele vizate nu au înțeles să depună plângere.
Pentru a pune în context recentul exces de zel al ANSPDCP, trebuie menționat că autoritatea a reușit abia la data de 9 octombrie 2018, cu mai mult de patru luni de la data intrării în vigoare a GDPR, să-și stabilească propria procedură de efectuare a investigațiilor.
ANSPDCP are trebui să-și exercite atribuţiile în mod transparent şi imparţial, obligație stipulată tot în legea lor de organizare.
Ce înseamnă transparent și imparțial?
Exercitarea în mod transparent și impațial a atribuțiilor, deci și a celor de control, ar implica că modul în care acestea sunt manifestate este ușor înțeles iar ANSPDCP ar trebuie să fie nepărtinitoare și să aplice în mod obiectiv dispozițiile legii.
Cum a înțeles însă ANSPDCP să-și exercite atribuțiile?
A insistat asupra cuantumului maxim al amenzii aplicabile, pentru a speria persoana care face obiectul investigației, și a solicitat în mod nejustificat o serie de informații, fără a distinge între persoanele fizice vizate, fără a clarifica aplicabilitatea GDPR și fără a lua în considerare incidența altor dispoziții legale.
Primul aspect care trebuia precizat de ANSPDCP prin adresa înaintată RISE Project îl reprezintă identificarea persoanelor fizice vizate a căror drepturi se presupune că ar fi fost încălcate prin prelucrarea datelor cu caracter personal. Dacă acestea sunt sau nu persoane publice prezintă relevanță din perspectiva aplicării dispozițiilor GDPR și a dreptului de control al autorității.
Al doilea aspect ar fi trebuit să privească identificarea faptelor prezentate, raportat la care au înaintat solicitarea de furnizare informații, respectiv dacă acestea pot avea caracter public sau nu.
Apoi, ANSPDCP ar fi trebuit să stabilească în mod transparent, menționat clar în cadrul adresei, dacă sunt aplicabile sau nu derogările de la GDPR pentru activitățile jurnalistice, raportat la primele două aspecte menționate mai sus.
[related]
Nu în ultimul rând, era necesar să se clarifice și posibila incidență a Legii nr. 504/2002 care asigură jurnaliștilor libertatea de a nu-și dezvălui sursa informațiilor obținute în legătură directă cu activitatea lor profesională.
Autoritatea a utilizat însă un modus operandi observat din ce în ce mai des, în ultimul timp, la autoritățile a căror conducători sunt numiți politic. Acestea ies în evidență prin acțiuni care tind să protejeze interesele partidelor politice aflate la putere. În acest caz, au fost evitate aspectele care pun în discuție competența de control a ANSPDCP, deși acestea erau primordiale, și s-a insistat asupra valorii colosale a posibilelor sancțiuni, parcă în încercarea de a descuraja orice alți jurnaliști de investigație.
Nota editorului: Liviu Dragnea, președintele PSD, a dezmințit că ar avea legătură cu Tel Drum, compania care a devenit subiectul investigațiilor RISE Project. Deocamdată, publicația a prezentat un prim articol despre cum erau administrați banii în compania din Teleorman. Printre fotografiile din valiză era și Dragnea în diverse excursii. Nu în ultimul rând, în mesajul publicat de RISE pe Facebook a menționat că demersul ANSPDCP este o încercare de intimidare a grupării „Dragnea”.
Conținutul articolelor din secțiunea Opinii reprezintă strict opiniile autorilor textelor și nu reprezintă neapărat poziția oficială a PLAYTECH.ro.