Utilizarea camerelor video instalate la bordul autovehiculelor din perspectiva GDPR – o a doua opinie.

Mare e Grădina Ta, Doamne !….

A apărut în spațiul online o opinie ciudată, fiind exprimată de profesioniști care ar trebui să vină cu opinii menite să lămurească, nu să inducă în eroare, prin expunerea în spațiul public a unor păreri eronat argumentate.

Concret, e vorba de un articol publicat de Hotnews.ro, în secțiunea Dosare juridice, având titlul Utilizarea camerelor video instalate la bordul autovehiculelor din perspectiva GDPR. Articol prin care, doi avocați ai unei firme de renume, susțin că persoanele care folosesc camere video pe autovehicule în interes personal au diverse obligații, ca urmare a existenței GDPR-ului. Și aduc ca argument o decizie a Curții de Justiție a Uniunii Europene prin care s-a stabilit că, citez din articol:

„În măsura în care o supraveghere video (…) se extinde, fie și parțial, la spațiul public și, în consecință, este îndreptată în afara sferei private a persoanei care efectuează prelucrarea datelor prin acest mijloc, aceasta nu poate fi considerată drept o activitate exclusiv «personală sau domestică»” (Cauza Rynes c. Urad, 2014).

Un argument complet eronat ! Căci conform acestuia, ar trebui ca atunci când facem un film sau fotografie în spații publice, în interes propriu și personal (fiind de exemplu, în vacanță) ar trebui să avem spânzurat de orice organ disponibil (că mâinile sunt ocupate cu aparatul foto/video) un imens banner cu toate informațiile prin care asigur transparența acelui tip de prelucrare a datelor cu caracter personal a celor din jur, aflați în acel moment în spațiul public și sunt sau pot fi „prinși” de obiectiv ….
Din fericire însă, argumentele folosite în articol sunt eronate. În primul rând, decizia invocată din jurisprudența Curții de Justiție a UE, datează din 11 decembrie 2014, și a fost pronunțată având ca bază juridică Directiva 95/46/EC a Parlamentului European și a Consiliului, din 24 octombrie 1995. Deci, fără nicio legătură cu GDPR-ul. Și care este acum abrogată, exact de GDPR, prin art. 94 . Așadar, nu mai poate exista o decizie similară într-un caz similar, întrucât s-a modificat pe ici, pe colo, anume într-un loc esențial, izvorul juridic care ar sta la baza unei solicitări de pronunțare pe un caz similar. Iar în ceea ce privește celălalt argument adus în favoarea opiniei exprimată în articol, un ghid al Autorității Naționale de Supraveghere din Irlanda, lipsește o precizare: acel Ghid, e valabil doar pe teritoriul Irlandei ! Întrucât se bazează și se integrează în dreptul intern Irlandez, mai exact pe legislația irlandeză de aplicare a GDPR – Data Protection Act 2018, care poate conține prevederi suplimentare celor precizate în GDPR. Nu știu, nu l-am citit, mă voi informa când hotărăsc să fac o călătorie în Irlanda. Așadar, singurul izvor de drept care poate fi luat în considerare pe tot teritoriul UE, este Decizia CJUE invocată în articol și evident, GDPR. A, și ar mai fi Legea 190 din 2018 privind aplicarea (în România) a GDPR, doar că în cele 16 articole ale sale, Legea nu face nicio referire la acest subiect. Și revenind la Decizia CJUE, din 2014 de când a fost pronunțată și până în prezent, a apărut după cum spuneam, o mică modificare legislativă, dar esențială.

Ce s-a modificat, mai exact ?

Păi, vă las să judecați singuri. Decizia prin care Curtea de Justiție a U.E. a hotărât că un cetățean cehoslovac care a instalat o cameră de supraveghere în curtea proprie dar care colecta imagini și din vecini, nu putea să se prevaleze de faptul că era o prelucrare personală efectuată în interes personal, încălcând astfel normele legale de atunci și în prezent abrogate, se baza pe art. 3 din Directiva mai sus amintită, care prevedea ca domeniu de aplicare:

Articolul 3
Domeniul de aplicare
(1) Prezenta directivă se aplică prelucrării automate, în totalitate sau parțial, precum și prelucrării neautomate a datelor cu caracter personal, conținute sau care urmează să fie conținute într-un sistem de evidență a datelor cu caracter personal.
(2) Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:
— puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;
—efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.

Dat fiind faptul că acel sistem utilizat de cetățeanul cehoslovac capta și imagini din afara spațiului privat, neîncadrându-se în prevederile de atunci care defineau ce însemna o activitate exclusiv domestică, nu au putut fi aplicate prevederile excepției de la art. 2 din Directiva care reamintesc, în prezent este abrogată. În plus, sistemul utilizat, făcea și prelucrare automată, în sensul înlocuirii automate a unor înregistrări mai vechi, când unitatea de stocare a datelor (hard disk-ul sistemului DVR – Digital Video Recorder) se umplea cu informațiile captate. Așadar se încadra „cu brio” la art. 3, al. (1).

Ce spune acum GDPR privind domeniul de aplicare ?
Ceva aproape identic:

Articolul 2 – Domeniul de aplicare material
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
(b) de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;
(c) de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
(d) de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
(3) Pentru prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 și alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal se adaptează la principiile și normele din prezentul regulament în conformitate cu articolul 98.
(4) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12-15 din directiva menționată.

Și totuși, o diferență între actul abrogat și actualul GDPR există. Diferență pe care distinșii autori ai articolului, neluând-o în seamă, ajung la concluzii greșite.
În preambul, Directiva, (repet ! acum abrogată) care a stat la baza Deciziei CJUE folosită ca argument în articolul menționat, a fost adoptată la vremea ei (1995 !), printre alte motive și datorită celui descris la nr. (12),
întrucât principiile protecției trebuie să se aplice tuturor prelucrărilor de date cu caracter personal efectuate de orice persoană ale cărei activități sunt reglementate de dreptul comunitar; întrucât trebuie excluse prelucrările de date efectuate de o persoană fizică în exercitarea unor activități exclusiv personale sau domestice, precum corespondența și păstrarea repertoarului de adrese;” Aceasta este așadar, formularea veche, abrogată.

În prezent, într-un alt preambul, cel al GDPR-ului, unul din motivele care au stat la baza adoptării acestui nou Regulament, printre multe altele, este și cel enumerat la pct. (18), motivul descris acolo fiind
Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială. Activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.

Oooops… Poate autorilor articolului menționat în introducere, această diferențiere a noțiunii de „activități exclusiv personale sau domestice”, care a devenit acum prelucrare „în cadrul unei activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială” li s-o pare neglijabilă. Numai că nu este. Acum, prelucrare exclusiv personală sau domestică poate fi considerată orice prelucrare efectuată de o persoană fizică, ȘI care nu are legătură cu o activitate profesională sau comercială. În rest, poate fi orice tip prelucrare. Indiferent de unde sunt preluate informațiile, din spațiul exclusiv privat și/sau public. Desigur, asta nu înseamnă că dacă surprind pe o cameră proprie imagini care pot afecta sau compromite o altă persoană aflată în spațiul public, nu încalc alte norme de drept civil sau chiar penal, dacă le fac publice și nu le păstrez doar pentru sine. Dar, încalc alte norme de drept, nu GDPR-ul !!! Căci datorită acestei conjuncții, „ȘI”, cât timp activitățile prin care captez acele date cu caracter personal nu au legătură cu vreo activitate comercială sau profesională, rămâne activitate exclusiv personală sau domestică și astfel GDPR-ul nu se mai aplică !!!

ȘI acesta este unul din elementele de noutate care este adus de GDPR (cum ar fi detaliile despre legalitatea consimțământului sau înființarea Responsabilului cu Protecția Datelor – DPO), în plus, față de Directiva care a stat la baza Deciziei CJUE, Directivă acum abrogată.

Reiau ideea, să fie bine înțeleasă, cât timp prelucrările se fac de către o persoană fizică și nu pot fi puse „în legătură cu o activitate profesională sau comercială” conform actualelor prevederi legale, prin urmare, trebuie să fie considerate ca fiind efectuate exclusiv în scopuri personale sau domestice. Și devine aplicabil art. 2 (2) (c) din GDPR.

Să ne mai mirăm că un oraș din Germania interzice copiilor să pună dorințe de Crăciun în brad din cauza regulilor GDPR ? Sau, când auzim că diverse instituții (cum ar fi situația descrisă aici sau cea de aici) secretizează numele unor angajați implicați în activități controversate, motivând, de asemenea, GDPR ? Deși, la art. 1, atunci când definește obiectivele urmărite prin adoptare, GDPR precizează clar și că „Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal”.

Mai trebuie să fie interzise și filmulețele sau pozele efectuate în spațiile publice și în care pot apare diverse alte persoane de la care, nu-i așa, nu avem acorduri de preluare a datelor lor cu caracter personal și gata, adio Youtube sau Facebook ! Căci dacă vede cineva vreo diferență (în afară desigur, de viteză) între un film făcut din mers prin telefonul mobil propriu și personal, față de utilizarea unei camere video la bordul autovehiculului propriu care merge pe strada de lângă același trotuar și care conform articolului comentat aici nu ar mai avea voie să filmeze fără să aplice GDPR, e rugat să o facă publică cât mai repede. Pentru că, în baza opiniei exprimate în articolul care a generat această postare, și aceste filmulețe sau poze ar trebui să dispară…. De pe Facebook, Youtube, Twitter, Snapchat, etc…..

Dar n-ar fi cazul să ne mai mirăm. Pur și simplu, pentru că ”mare e Grădina Domnului !….”.

Echipa ITProtection.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *