Contextul: Scandalul #teleormanleaks a luat o turnură mai putin așteptată, o dată cu o cererea “de a fi uitat” de către unul din personajale principale din episodul numărul 1 al campaniei de presă. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) se pare că a pus paie pe foc, cu o cerere către Rise Project de a divulga inclusiv sursa informațiilor. Ulterior, Autoritatea a revenit cu precizări (mai degrabă într-un limbaj de lemn), iar Hotnews a publicat un articol cu unul din jurnaliștii Rise pe această temă.

Pentru că suntem o asociație care s-a ocupat și se ocupă de promovarea atât a libertății de exprimare cât și a dreptului la viață privată în mediul online, am primit o serie de întrebări pe care am zis că este bine să încercăm să le punem într-un FAQ public, încercând să fim cât mai puțin subiectivi cu putință.

1. Fotografiile unei persoane sunt considerate date cu caracter personal?

Da, fotografiile, înregistrările video, numele și prenumele unei persoane sunt considerate date cu caracter personal și cad sub incidența GDPR.

2. GDPR (Regulamentul 679/2016) se aplică în cazul jurnaliștilor?

Da. Activitatea jurnaliștilor sau mai precis materialele cu scop jurnalistic nu sunt exceptate de la întreg regulamentul, dar sunt anumite derogări în anumite circumstanțe (vezi mai jos). În același timp, GDPR nu trebuie să fie văzut sau implementat ca un instrument de limitare a libertății de exprimare - astfel, Regulamentul explică în preambul că “Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg.

3. Derogările prevăzute în GDPR sunt doar pentru jurnaliști?

Nu, derogările privesc scopul jurnalistic al prelucrării datelor, fără vreo limită - deci ele pot fi făcute de către oricine, indiferent dacă vorbim de o societate comercială, organizație neguvernamentală, sau autor independent, indiferent de mediul de publicare dacă vorbim de un ziar, site sau o pagină de Facebook.

4. Ce derogări are GDPR pentru articolele în scop jurnalistic?

GDPR are doar un articol generic (85), dar detaliile sunt lăsate la nivelul statelor membre ale UE. România a adoptat în art. 7 legea 190/2018 aceste derogări (similare ca text cu legea veche 677/2001) și care sunt limitate la 3 situații alternative:

dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată;

care sunt strâns legate de calitatea de persoană publică a persoanei vizate;

ori de caracterul public al faptelor în care este implicată.

5. Dacă persoana din reportaj nu este o persoană publică, înseamnă că nu ai voie să scrii despre ea?

Nu, calitatea de persoană publică este doar unul cazurile de derogare, dar nu singurul caz. Putem sa ne aflăm în situația în care se vorbește nu de o persoană publică, dar este implicată în fapte publice, deci este normal să ne aflăm în situația derogării explicate mai sus.

6. Aceste derogări nu sunt mai "subțiri" decât “interesul public” invocat de jurnaliștii RISE Project?

Da, poate fi interpretat în acest fel. În același timp ANSPDCP este obligată să interpreteze textul GDPR și în conformitate cu Carta Drepturilor Fundamentale ale UE, dar și cu practica CEDO, care ilustrează mult mai detaliat acest concept de “material realizat în interes public”.

7. Ați observat că în cererea autorității se face referire exclusiv la publicarea unui articol pe Facebook (este vorba de fapt de un teaser) și nu de articolul publicat luni pe site-ul Rise Project?

Am observat, dar nu înțelegem această distincție. Din punctul nostru de vedere, este irelevant mediul de publicare electronic – site sau Facebook - atâta vreme cât publicarea pe Facebook nu are și niște elemente suplimentare de prelucrări de date personale (de ex. tag-uirea persoanelor în text sau în poze). Se poate însă ca plângerea primită de autoritate să se fi referit doar la acest teaser.

8. Putea Autoritatea trimite o astfel de cerere jurnaliștilor?

Nu, dacă prelucrarea intră în excepție de la articolul 7 din legea 190/2018,. Putem doar presupune în acest moment că Autoritatea a considerat că nu intră în excepția prevăzută în articolul 7 din legea 190/2018 și a considerat:

fie că articolul nu a fost scris în scopuri jurnalistice;

fie că nu ne aflăm într-unul din cazurile de derogare.

9. Este competentă Autoritatea să facă această balanță între dreptul la viață privată și liberatatea de exprimare?

Mărturisim că nu știm cum să răspundem la această întrebare. Nici nu știm dacă personalul Autoritătii a urmat niște cursuri sau alte pregătiri specializate pe subiectul libertății de exprimare și al felului cum este văzută de CEDO, sau măcar a conflictului dintre cele două. În același timp, având în vedere practica curentă CEDO cu privire la factorii care trebuie luați în calcul în legătură cu conflictul dintre cele două drepturi fundamentale, sunt cel puțin 6 factori care trebuie luați în considerare într-un asemenea caz (I-am detaliat într-un raport mai larg pe jurisprudenta CEDO):

contribuția la o dezbatere de interes public a materialului în discuție;

subiectul materialului (e.g. persoana vizată);

modul în care au fost obținute informațiile și veridicitatea lor;

comportamentul anterior al persoanei implicate;

conținutul, forma și consecințele publicării;

gravitatea penalității impuse, ca urmare a constatării încălcării dreptului la viață privată.

10. Are dreptul această Autoritate de a cere sursele lui Rise Project?

Din punctul nostru de vedere, Autoritatea nu ar avea dreptul să ceară accesul la sursele nepublice ale unei investigații in scop jurnalistic, având în vedere practica CEDO pe zona de libertate de exprimare. În același timp, cererea, așa cum apare pe pagina de Facebook a lui Rise Project, pare a fi destul de vagă cu privire la acest aspect, cerând mai degrabă chestiuni standard pentru zona de GDPR, cum ar fi sursa datelor sau tipul de suport. De exemplu, sursa datelor pare a fi bazată ad litteram pe a interpreta dacă și cum a fost respectat art 14 (2) f) al GDPR. Suportul este electronic, evident.

Cu toate acestea, în partea a doua a cererii, Autoritatea menționează dreptul ei de a avea acces la suportul electronic în care ar fi stocate datele cu caracter personal (în contextul pervăzut la art 58 (1) e) și f) al GDPR – text subliniat în mod specific de Autoritate, ceea ce poate fi interpretat indirect ca o cerere din partea acesteia de a afla locul unde sunt stocate datele, deși acesta ar trebui să fie acordat doar dacă este necesar pentru îndeplinirea atribuțiilor sale.

11. Dacă există o autoritate pentru protecția datelor personale, înseamnă că există și o autoritate publică în România care ar putea proteja libertatea de exprimare într-un astfel de caz?

Răspunsul simplu este nu. Pentru cel complicat, altădată...

Textele legislative complete:

Art 7 legea 190/2018 - Art. 7. - Prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare

În vederea asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta privește date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecția datelor:

a) capitolul II - Principii;

b) capitolul III - Drepturile persoanei vizate;

c) capitolul IV - Operatorul și persoana împuternicită de operator;

d) capitolul V - Transferurile de date cu caracter personal către țări terțe sau organizații internaționale;

e) capitolul VI - Autorități de supraveghere independente;

f) capitolul VII - Cooperare și coerență;

g) capitolul IX - Dispoziții referitoare la situații specifice de prelucrare

GDPR

Preambul - (153)

Dreptul statelor membre ar trebui să stabilească un echilibru între normele care reglementează libertatea de exprimare și de informare, inclusiv exprimarea jurnalistică, academică, artistică și/sau literară, și dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare ar trebui să facă obiectul unor derogări sau al unor excepții de la anumite dispoziții ale prezentului regulament în cazul în care este necesară stabilirea unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și de informare, astfel cum este prevăzut în articolul 11 din cartă. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal în domeniul audiovizualului, precum și în arhivele de știri și în bibliotecile ziarelor. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Statele membre ar trebui să adopte astfel de excepții și derogări în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, cooperarea și coerența, precum și în ceea ce privește situații specifice de prelucrare a datelor. În cazul în care aceste excepții sau derogări diferă de la un stat membru la altul, ar trebui să se aplice dreptul statului membru sub incidența căruia intră operatorul. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg.

Text

Art 58 (1) Fiecare autoritate de supraveghere are toate următoarele competențe de investigare:

(...)

(e) de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal și la toate informațiile necesare pentru îndeplinirea sarcinilor sale;

(f) de a obține accesul la oricare dintre incintele operatorului și ale persoanei împuternicite de operator, inclusiv la orice echipamente și mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual intern.

(...)

Articolul 85

Prelucrarea și libertatea de exprimare și de informare

(1) Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament și dreptul la libertatea de exprimare și de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.

(2) Pentru prelucrarea efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, statele membre prevăd exonerări sau derogări de la dispozițiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul și persoana împuternicită de operator), ale capitolului V (transferul datelor cu caracter personal către țări terțe sau organizații internaționale), ale capitolului VI (autorități de supraveghere independente), ale capitolului VII (cooperare și coerență) și ale capitolului IX (situații specifice de prelucrare a datelor) în cazul în care acestea sunt necesare pentru a asigura un echilibru între dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare.

(3) Fiecare stat membru informează Comisia cu privire la dispozițiile de drept intern pe care le-a adoptat în temeiul alineatului (2) precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară a acestora.