1

GDPR: cinci ani de provocări și numărătoarea continuă

|

Autor: Anca Atanasiu, Avocat, Senior Managing Associate, Băncilă, Diaconu şi Asociaţii

Conformitatea cu GDPR implică asumarea de către operatori a unui angajament permanent de a proteja în mod eficient datele cu caracter personal și de a respecta drepturile persoanelor vizate. Acest angajament este însoțit însă de multiple provocări pe care companiile le întâmpină în mod frecvent în activitatea de zi cu zi. Revizuirea constantă a politicilor de prelucrare a datelor, punerea în aplicare a măsurilor de securitate din ce în ce mai stricte și instruirea corespunzătoare a personalului sunt doar câteva dintre activitățile esențiale pe care orice operator de date cu caracter personal trebuie să le aibă în vedere.

În cei cinci ani de la apariția GDPR, s-a putut observa o creștere a gradului de complexitate a mediului economic și social, mai ales în contextul digitalizării și adoptării tehnologiilor avansate, astfel că se impune o atenție sporită în ceea ce privește măsurile și practicile ce trebuie adoptate de către organizații, pentru a evita sancțiunile și riscul reputațional.

Cadrul de reglementare

Una dintre provocările în această materie rezultă din însuși cadrul de reglementare. De la stabilirea bazelor legale pentru prelucrarea datelor, până la implementarea principiilor privacy by design și privacy by default, companiile au nevoie de o înțelegere profundă a legislației. În multe situații, GDPR folosește termeni vagi sau nedefiniți, cum ar fi „întârziere nejustificată”, „risc pentru drepturi și libertăți” și „efort disproporționat”.

În mod similar, GDPR nu oferă nicio definiție a ceea ce constituie un nivel „rezonabil” de protecție a datelor cu caracter personal, oferind autorităților de reglementare o oarecare libertate în evaluarea nivelului de conformitate.

Astfel, se conturează din ce în ce mai mult nevoia de revizuire a cadrului de reglementare actual sau emiterea de îndrumări din partea autorităților de supraveghere pentru mai multă claritate.

Controale interne și monitorizare

În ultimii ani, am putut observa un progres notabil din partea organizațiilor, în special a multinaționalelor care lucrează cu volume mari de date, în aria de monitorizare a activităților de prelucrare și introducere de controale interne și mecanisme de verificare a conformității cu principiile GDPR.

Companiile trebuie să efectueze audituri, evaluări și revizuiri periodice pentru a monitoriza și demonstra conformitatea lor. Totodată, trebuie să fie pregătite să gestioneze solicitările persoanelor vizate, cum ar fi dreptul de acces, rectificare sau ștergere, prin stabilirea unor proceduri interne și fluxuri de soluționare cât mai rapide și eficiente.

Gestionarea unui volum mare de cereri și menținerea unui sistem centralizat pentru a putea urmări și răspunde acestor solicitări reprezintă o provocare suplimentară pentru organizații.

Multe companii și-au format echipe interne sau externe de experți în domeniul protecției datelor care au pus la punct procesele de prelucrare și au ajutat la conștientizarea colectivă privind necesitatea conformării cu regulile GDPR. Echipele interne, prin rolul lor de a monitoriza, actualiza și îmbunătăți în mod constant procesele interne, contribuie semnificativ la o creștere a calității practicilor GDPR în Romania.

Costuri ridicate de conformitate

Pentru a putea asigura conformitatea și menține un nivel adecvat de monitorizare și control, organizațiile sunt nevoite să ia în considerare și costurile generate de aceste activități și să aloce bugete importante în acest sens.

Companiile trebuie să investească în sisteme performante de management al datelor, să implementeze măsuri tehnice și organizatorice de securitate eficiente împotriva atacurilor cibernetice, să folosească instrumente de monitorizare a duratei de stocare a datelor și mecanisme de ștergere a acestora și, nu în ultimul rând, să asigure instruirea periodică a personalului.

Obținerea consimțământului valabil

O altă provocare are în vedere obținerea din partea persoanelor vizate a consimțământului privind prelucrarea datelor personale în anumite scopuri, într-un mod transparent și complet informat, anterior colectării și prelucrării datelor lor.

Organizațiile trebuie să se asigure că, acolo unde prelucrarea datelor personale are loc pe baza consimțământului persoanelor vizate, acestea l-au exprimat în mod liber, specific, informat și lipsit de ambiguitate.

Astfel, companiile trebuie să instituie mecanisme de colectare și management al consimțământului, asigurându-se că acesta este colectat și exprimat în mod valabil, precum și păstrat și utilizat în baza unor evidențe clare și complete.

GDPR și AI

Inteligența Artificială (AI) prezintă noi provocări pentru respectarea GDPR. Sistemele de AI pot implica procese automate de luare a deciziilor care pot încălca drepturile și libertățile fundamentale ale persoanei vizate, în cazul în care aceste tehnologii nu sunt utilizate în mod corespunzător.

Conform GDPR, persoanele vizate au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. În situațiile de excepție, atunci când luarea acestor decizii este permisă, persoanele vizate au dreptul de a obține intervenție umană, de a-și exprima punctul de vedere și de a contesta decizia.

Acest lucru ridică provocări, deoarece funcționarea unor modele de AI poate fi opacă. Sistemele de AI pot lua decizii pe care chiar și creatorii lor nu le înțeleg complet, încălcând astfel principiul transparenței GDPR. De asemenea, conceptul de minimizare a datelor stabilit de GDPR și nevoia AI pentru volume mari de date sunt aparent contradictorii.

Organizațiile care intenționează să folosească AI vor trebui să găsească un echilibru între utilizarea datelor pentru a instrui sistemele lor de AI și respectarea cerințelor GDPR pentru a proteja drepturile și libertățile fundamentale ale persoanelor vizate.



S-a încheiat era amenzilor „mici” în cazurile de încălcare a regulilor în materia protecției datelor cu caracter personal?

|

Autori:

  • Daniel Vinerean, Avocat Senior Coordonator, D&B David și Baias
  • Andrei Niculescu, Avocat Colaborator, D&B David și Baias

Comitetul European pentru Protecția Datelor (EDPB) propune un nou ghid pentru calcularea amenzilor aplicabile în cazul încălcărilor prevederilor GDPR, care ar putea conduce la creșterea nivelurilor acestora, pe de o parte, și la posibilitatea anticipării scenariului de amendă aplicabil, pe de altă parte. Ghidul se află în dezbatere publică până la 27 iunie.

Deși intenția declarată a EDPB este de a asigura aplicarea unitară a prevederilor GDPR de către autoritățile de supraveghere europene, ghidul nu este obligatoriu și cuprinde principii și mecanisme orientative de individualizare a sancțiunilor. Autoritățile naționale de supraveghere au libertatea de a aplica acest ghid sau de a utiliza o metodologie similară. În plus, anumite prevederi ale ghidului nu sunt aplicabile în cazul în care legislația națională prevede un regim sancționator diferit pentru autoritățile publice (așa cum se întâmplă, de altfel, în România).

În ciuda acestor limitări, ghidul propus de EDPB prezintă detaliat principiile de analiză și sancționare a posibilelor încălcări ale GDPR și este de așteptat ca autoritățile de supraveghere naționale să aplice recomandările acestei autorități europene.

Este deja cunoscut faptul că GDPR se aplică oricărei entități care prelucrează date cu caracter personal, indiferent de mărime, obiect de activitate, volum de date cu caracter personal prelucrate sau orice alte criterii asemănătoare. Prin urmare, EDPB consideră că este echitabil ca diferențele de mărime și evident, putere financiară, dintre entitățile care trebuie să respecte și să aplice GDPR, să fie reflectate prin aplicarea unui punct comun de plecare în individualizarea amenzilor, respectiv cifra de afaceri.

Astfel, ghidul stabilește mai multe praguri ale cifrei de afaceri în funcție de care autorităților naționale de supraveghere le este recomandabil să procedeze la individualizarea și aplicarea amenzilor administrative în temeiul GDPR, respectiv:

  • pentru entitățile cu o cifră de afaceri mai mică sau egală cu 2 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 0.2% din cifra de afaceri;
  • pentru entitățile cu o cifră de afaceri mai mică sau egală cu 10 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 0.4% din cifra de afaceri;
  • pentru entitățile cu o cifră de afaceri mai mică sau egală cu 50 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 2% din cifra de afaceri;
  • pentru entitățile cu o cifră de afaceri cuprinsă între 50 de milioane de euro și până la 100 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 10% din cifra de afaceri;
  • pentru entitățile cu o cifră de afaceri cuprinsă între 100 de milioane de euro și până la 250 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 20% din cifra de afaceri;
  • pentru entitățile cu o cifră de afaceri de peste 250 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 50% din cifra de afaceri.

Ca regulă, principiul statuat de EDPB este că valoarea amenzii este mai mare în cazul entităților cu cifră de afaceri mai mare, motivat cel mai probabil de faptul că, în cazul acestor entități, prelucrările de date cu caracter personal afectează într-o măsură mai mare drepturile și libertățile persoanelor vizate.

Trebuie precizat că aceste niveluri de la care se poate pleca cu ocazia individualizării amenzii nu reprezintă sume fixe, mai ales că GDPR nu indică un cuantum minim al amenzilor care pot fi aplicate. În plus, autoritățile de supraveghere pot să stabilească cuantumul amenzii într-un interval cuprins între minimul posibil (care poate fi chiar zero, dacă nu sunt aplicate pragurile minime recomandate de EPDB, așa cum am arătat mai sus) și maximul admisibil.

Investigarea în cinci pași a încălcărilor GDPR. Ghidul este redactat pornind de la principiul că amenzile administrative aplicate în temeiul GDPR trebuie să fie eficace, proporționale și disuasive. Ca atare, abordarea EDPB indică cinci pași care ar trebui urmați de autoritățile de supraveghere atunci când investighează o posibilă încălcare a prevederilor legale aplicabile în materia protecției datelor cu caracter personal sancționabilă conform GDPR, respectiv:

  • identificarea activităților de prelucrare incidente situației analizate și evaluarea aplicabilității prevederilor GDPR privind încălcările sancționabile, precum și stabilirea existenței intenției de încălcare, respectiv a neglijenței entității investigate;
  • identificarea bazei legale de aplicare a amenzii prin raportare la încălcările prevăzute de GDPR, respectiv dacă fapta este sancționată cu amendă de 10 milioane de euro sau 2% din cifra de afaceri globală sau, dimpotrivă cu amendă de 20 milioane de euro sau 4% din cifra de afaceri globală, stabilirea gradului de pericol și raportarea la cifra de afaceri a entității investigate;
  • evaluarea circumstanțelor agravante sau a celor atenuante, analizând comportamentul trecut sau prezent al entității investigate, cu consecința creșterii, respectiv a diminuării corespunzătoare a amenzii;
  • stabilirea cuantumului maxim al amenzii, indiferent dacă încălcarea este rezultatul uneia sau a mai multor activități de prelucrare; și
  • analizarea caracterului eficace, proporțional și disuasiv al amenzii finale, cu posibilitatea creșterii, respectiv a diminuării acesteia în mod corespunzător.

Așadar, înainte de stabilirea efectivă a cuantumului amenzii, autoritățile de supraveghere trebuie să analizeze circumstanțele de fapt ale încălcării și să procedeze la încadrarea într-una dintre situațiile sancționate de GDPR. În concret, circumstanțele de fapt pot reprezenta o singură încălcare sau mai multe, în această din urmă situație fiind posibilă aplicarea unei amenzi a cărei valoare nu poate depăși cuantumul maxim prevăzut de GDPR pentru cea mai gravă încălcare.

Urmare a evaluării naturii, gravității și duratei încălcării, dar și a caracterului său intenționat sau neglijent, GDPR impune autorităților de supraveghere să analizeze eventualele circumstanțe agravante sau atenuante aplicabile situației de fapt. Astfel de circumstanțe pot include:

  • orice acțiuni întreprinse de entitatea investigată pentru a reduce prejudiciile cauzate persoanelor vizate;
  • gradul de responsabilitate cu privire la măsurile tehnice și organizatorice implementate;
  • eventualele încălcări anterioare;
  • gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale acesteia;
  • modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere;
  • modul în care entitatea a dus la îndeplinire măsurile dispuse de autoritatea de supraveghere cu privire la încălcarea investigată;
  • aderarea la coduri de conduită adecvate sau la mecanisme de certificare aprobate;
  • orice alte circumstanțe agravante sau atenuante.

Dacă, în cazul stabilirii cuantumului minim de la care autoritățile de supraveghere ar trebui să pornească cu ocazia individualizării amenzii, ghidul face propuneri concrete de procente aplicabile, în cazul circumstanțelor agravante sau atenuante, nu sunt indicate nici modalități concrete de evaluare, dar nici procente clare care ar putea fi aplicate. Prin urmare, stabilirea cuantumului final al amenzii va ține seama de toate elementele analizate în cursul investigației, aprecierea finală aparținând autorității de supraveghere competente.

Fără îndoială, cele succint prezentate anterior sunt de natură să creeze o practică unitară la nivelul autorităților de supraveghere europene în contextul investigării și sancționării încălcărilor GDPR cel puțin din perspectiva nivelurilor minime de la care ar trebui să plece cu ocazia stabilirii amenzilor finale. Rămâne însă de văzut cum va evolua conținutul ghidului propus de EDPB în această etapă de consultare publică. Un lucru este însă cert, intenția de reglementare a modului în care sunt investigate și sancționate încălcările GDPR reprezintă o preocupare la nivel european, scopul urmărit fiind de a asigura finalitatea corespunzătoare a regulilor aplicabile domeniului protecției datelor cu caracter personal.



PwC România și D&B David și Baias au format prima serie de responsabili cu protecția datelor cu caracter personal autorizați din România

|

Prima generație de responsabili cu protecția datelor cu caracter personal, data protection officer, a susținut examenul de absolvire în data de 19 octombrie la București în fața comisiei de examinare. Aceștia au finalizat programul de formare profesională organizat PwC România împreună cu societatea de avocatură D&B David și Baias, cu sprijinul Academiei PwC.

A doua generație este programată vineri, 9 noiembrie 2018, pentru examenul de absolvire în urma căruia participanții vor dobândi certificate de absolvire emise de Ministerului Muncii și Justiției Sociale și de Ministerului Educației Naționale.

Cursul a fost susținut de formatori cu experiență în aplicarea practică a principiilor Regulamentului privind protecția datelor cu caracter personal (GDPR) și de experți în securitate cibernetică. Materialele prezentate în cadrul cursului îmbină pregătirea teoretică cu cea practică și ating atât aspecte de natură juridică, cât și tehnică.

De-a lungul celor două sesiuni de pregătire care au avut loc până la acest moment participanții au fost ajutați să înțeleagă noțiunile și principiile cu care operează Regulamentul General de Protecție a Datelor. Un accent deosebit a fost pus pe latura practică a activității specifice unui responsabil cu protecția datelor.

Iată-ne la finalul celei de-a doua sesiuni a cursului și în fața perspectivei de a organiza lunar câte o astfel de sesiune. Succesul de până acum se datorează modului pragmatic și aprofundat în care am înțeles să abordăm formarea participanților. Am acordat prioritate situațiilor practice asociate poziției de DPO și am împărtășit din experiența noastră acumulată în cele peste 50 de proiecte legate de implementarea prevederilor Regulamentului General de Protecție a Datelor”, a declarat Manuela Guia, Partener, Liderul echipei dedicate domeniului protecției datelor cu caracter personal din cadrul D&B David și Baias.

Suntem încântați că putem vorbi deja de două generații de cursanți pregătiți de către echipele noastre de specialiști. Poziția de responsabil cu protecția datelor cu caracter personal are atât valențe tehnice cât și de cunoaștere și aplicare a legislației în acest domeniu. Acesta este motivul pentru care viitorii specialiști în acest domeniu vor fi un element deosebit de important în orice organizație. Dacă ar fi să numesc o caracteristică a viitorului DPO, aceea ar fi abilitatea de a lucra cu concepte tehnice și juridice, în același timp, dar și să reușească implementarea unor proceduri din ambele domenii astfel încât informațiile cu care lucrează organizațiile să fie în permanentă siguranță” a declarat Mircea Bozga, Partener, Liderul departamentului de Risk Assurance, PwC România.

Cursul a fost susținut, din partea D&B David și Baias, de către Cătălina Ilie și Daniel Vinerean, avocați seniori, specializați în domeniul protecției datelor cu caracter personal. Secțiunea tehnică a cursului a fost predată de Robert Stoicescu, Senior Manager, PwC România și Alin Raicu, Manager, PwC România, amândoi specializați în securitate informatică.

PwC Romania a programat următoarea sesiune a cursului pentru data de 19 noiembrie 2018. Absolvenții vor primi în urma cursului certificate de absolvire emise de Ministerul Muncii şi Justiției Sociale şi a Ministerului Educației Naționale.

Mai multe detalii privind cursul de responsabil cu protecția datelor organizat de PwC România şi D&B David și Baias sunt disponibile în secțiunea de aici a Academiei PwC.

Despre D&B David și Baias

D&B David și Baias este societatea de avocatură afiliată PwC în România și este parte din rețeaua internațională PwC Legal, care cuprinde 3000 de avocați în 90 de țări. Echipa D&B David și Baias este alcătuită din 50 de avocați (dintre care 4 parteneri) și acordă consultanță și asistență juridică societăților locale și multinaționale în domenii precum: fuziuni, achiziții și restructurări, societăți comerciale și grupuri de societăți, proprietăți imobiliare, concurență și ajutoare de stat, servicii financiare și piețe de capital, relații de muncă și resurse umane, proprietate intelectuală, protecția consumatorului și a datelor cu caracter personal, litigii fiscale și comerciale.

Mai multe informații pe www.david-baias.ro.

Despre PwC

Scopul PwC este de a construi încredere în sânul societății și de a contribui la rezolvarea unor probleme importante. Firmele din rețeaua PwC ajută organizațiile și indivizii să creeze valoarea adăugată de care au nevoie. Suntem o rețea de firme prezentă în 158 de țări cu mai mult de 236.000 de specialiști dedicați oferirii de servicii de calitate de audit, consultanță fiscală și consultanță pentru afaceri. Spuneți-ne care sunt lucrurile importante pentru dumneavoastră și descoperiți mai multe informații despre noi vizitând site-ul www.pwc.ro.

 



PwC România și D&B David și Baias au obținut validarea standardului ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal

|

•    PwC și D&B David și Baias urmează să lanseze primele cursuri autorizate de formare pentru poziția de DPO
•    Prin introducerea în Clasificatorul Ocupațiilor din România s-a realizat și validarea standardului ocupațional aferent rolului la Ministerul Educației Naționale

PwC România și D&B David și Baias au obținut validarea standardului ocupațional aferent rolului de Responsabil cu protecția datelor cu caracter personal (sau DPO) de la Comitetul Sectorial Administrație și Servicii Publice din cadrul Autorității Naționale pentru Calificări, structură a Ministerului Educației Naționale. Acest standard elaborat de echipa PwC împreună cu cea a D&B David și Baias va sta la baza cursurilor de formare profesională pentru această poziție organizate pe viitor în România.

Această reușită este și ca urmare a demersurilor făcute de aceeași echipă în fața Ministerului Muncii pentru introducerea în COR a ocupației pentru prima dată în România.

Rolul de Responsabil cu protecția datelor cu caracter personal (DPO) este prevăzut de noul Regulament european privind protecția datelor cu caracter personal (GDPR), care va intra în vigoare din mai 2018.

Datorită importanței acestui nou rol în organigrama unei organizații, am dorit să adăugăm și mai multă valoare serviciilor pe care le putem oferi clienților noștri în contextul pregătirii pentru aplicarea GDPR. Am dorit astfel să autorizăm cursurile noastre de training DPO încă de la începutul anului trecut. Ne-am lovit însă de un impas. Cursul nostru nu putea fi autorizat deoarece această ocupație nu era recunoscută la nivel oficial în România (prin COR) și nu exista un standard ocupațional care să stea la baza evaluării cursului nostru. Ca atare, am făcut demersuri pentru a obține introducerea unei noi ocupații în COR și am procedat la elaborarea acestui standard ocupațional. Pasul logic următor este să autorizam cursul de formare profesională pentru ocupația de Responsabil cu protecția datelor cu caracter personal, astfel încât finalizarea programelor noastre de pregătire să fie confirmată de o diploma de calificare oficială. Sperăm ca acest lucru să se întâmple foarte curând.” a precizat Manuela Guia, avocat partener D&B David și Baias.

Echipa noastră interdisciplinară are o experiență semnificativă atât în ceea ce privește protecția datelor cu caracter personal, cât și în securitatea informației, organizarea proceselor interne și managementul datelor. Suntem încrezători că efortul nostru pentru elaborarea acestui standard și a cursului autorizat deschid practic drumul oficial pentru crearea acestei poziții importante în organigrama fiecărei companii, în așa fel încât să se poată conforma prevederilor GDPR și a evita riscul unor amenzi care pot fi extrem de costisitoare pentru organizații (mergând până la 4% din cifra de afaceri la nivelul grupului). De asemenea, această certificare le oferă celor doritori de a-și construi o carieră în domeniul protecției datelor cu caracter personal un certificat de DPO confirmat de autorități, pe care îl vor prezenta potențialilor clienți sau angajatori”, a adăugat Mircea Bozga, Partener, Risk Assurance, PwC România.

Echipa implicată în acest proiect a fost formată din Manuela Guia – partener D&B David și Baias, Bianca Naghi – avocat senior coordonator și Cătălina Ilie – avocat asociat din partea D&B David și Baias și Mircea Bozga – partener, PwC România și Robert Stoicescu – manager, PwC România. Echipa a colaborat îndeaproape cu membrii Comitetului Sectorial Administrație și Servicii Publice pentru elaborarea și finalizarea acestui standard (dată fiind noutatea rolului, responsabilitățile și funcționalitățile create prin standard au fost supuse avizării ANSPDCP de multiple ori în cadrul procesului de autorizare).



Directiva privind protecția datelor cu caracter personal se aplică în cazul unei înregistrări video realizate cu ajutorul unui sistem de supraveghere video instalat de o persoană pe locuința sa de familie și îndreptat spre drumul public

|

Directiva permite totuși evaluarea interesului legitim al acestei persoane de a-și proteja proprietatea, sănătatea și viața, precum și cele ale familiei sale

Directiva privind protecția datelor cu caracter personal permite, în principiul, prelucrarea unor astfel de date numai dacă persoana vizată și-a dat consimțământul. Cu toate acestea, directiva nu se aplică prelucrării datelor cu caracter personal efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.

Domnul Ryneš și familia sa au făcut obiectul mai multor atacuri din partea unui necunoscut, și, în plus, geamurile locuinței acestora au fost sparte în mai multe rânduri. În urma acestor agresiuni, domnul Ryneš a instalat pe locuința sa de familie un sistem de supraveghere video care filma intrarea în această locuință, drumul public, precum și intrarea în locuința situată vizavi.

În noaptea de 6 spre 7 octombrie 2007, un geam al locuinței în discuție a fost spart cu o aruncătură de praștie. Datorită înregistrărilor realizate de sistemul de supraveghere video, care au fost predate poliției, au putut fi identificați doi suspecți împotriva cărora au fost inițiate proceduri penale.

Unul dintre suspecți a contestat totuși caracterul legal al prelucrării datelor înregistrate de sistemul de supraveghere video al domnului Ryneš, în fața Oficiului pentru protecția datelor cu caracter personal, care a constatat că domnul Ryneš încălcase efectiv normele în materie de protecția datelor cu caracter personal și i-a aplicat o amendă. În acest sens, Oficiul a subliniat, printre altele, că datele suspectului fuseseră înregistrate fără acordul acestuia, pe când se afla pe drumul public, mai precis pe porțiunea de stradă situată în fața locuinței domnului Ryneš.

Sesizat în recurs cu litigiul dintre domnul Ryneš și Oficiu, Nejvyšší správní soud (Curtea Administrativă Supremă, Republica Cehă) solicită Curții de Justiție să stabilească dacă înregistrarea realizată de domnul Ryneš în vederea protejării vieții, a sănătății și a proprietății (respectiv înregistrarea datelor cu caracter personal ale persoanelor care îi atacă locuința dinspre drumul public) constituie o prelucrare a datelor neacoperită de directivă, pentru motivul că această înregistrare este efectuată de o persoană fizică în cursul unei activități exclusiv personale sau domestice.

În hotărârea pronunțată astăzi, Curtea amintește, în primul rând, că noțiunea „date cu caracter personal”, în sensul directivei, include orice informație referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la unul sau mai multe elemente specifice, proprii identității sale fizice. În consecință, imaginea unei persoane înregistrată de o cameră video constituie o dată cu caracter personal, întrucât permite identificarea persoanei vizate.

De asemenea, supravegherea video care cuprinde înregistrarea și stocarea unor date cu caracter personal intră în domeniul de aplicare al directivei, întrucât constituie o prelucrare automată a acestor date.

În al doilea rând, Curtea constată că excluderea prevăzută de directivă în legătură cu prelucrarea datelor efectuată de o persoană fizică în cursul unor activități exclusiv personale sau domestice trebuie interpretată în mod strict. Astfel, o supraveghere video care se extinde la spațiul public și care, în consecință, este îndreptată în afara sferei private a persoanei care efectuează prelucrarea datelor, aceasta nu poate fi considerată drept o activitate exclusiv „personală sau domestică”.

În același timp, în aplicarea directivei, instanța națională trebuie să țină seama că dispozițiile acesteia2 permit să se evalueze interesul legitim al operatorului de a-și proteja proprietatea, sănătatea și viața, precum și pe cele ale familiei sale.

Mai concret, în primul rând, prelucrarea datelor cu caracter personal poate fi efectuată fără acordul persoanei vizate, în special când această prelucrare este necesară pentru realizarea interesului legitim al operatorului. În al doilea rând, informarea unei persoane cu privire la prelucrarea datelor sale nu este necesară, în cazul în care această informare se dovedește a fi imposibilă sau implică eforturi disproporționate. În al treilea rând, statele membre pot restrânge domeniul obligațiilor și drepturilor prevăzute de directivă, dacă o astfel de restricție este necesară pentru a salvgarda prevenirea, investigarea, detectarea și urmărirea infracțiunilor penale sau protecția drepturilor și libertăților altor persoane.