Mężczyzna na prywatnym profilu facebookowym opublikował fragment orzeczenia sądowego z widocznymi danymi kobiety (imię, nazwisko) i dziecka pozostającego pod jej opieką (imię, nazwisko, data urodzenia). Ta złożyła skargę do Urzędu Ochrony Danych Osobowych na ujawnienie tych danych bez podstawy prawnej. Na dowód przedstawiła zrzut ekranu. Autor posta już go usunął, więc bronił się, iż dane nie są już udostępniane, a ponadto, iż jego działanie nie podlega pod przepisy RODO, bo stanowi „czynność o czysto prywatnym lub domowym charakterze”.
– Faktycznie, RODO przewiduje taki wyjątek – mówi Olga Rentflejsz, adwokatka z EY. – Inaczej każdy z nas musiałby zabezpieczać listę kontaktów do przyjaciół, którą ma w telefonie. Jednak internet nie jest do końca miejscem prywatnym. Upubliczniony został fragment orzeczenia sądowego, a z założenia do akt sprawy nie ma dostępu każdy. Ponadto nie ustawił postu jako dostępnego tylko dla znajomych – nie był to więc ograniczony krąg osób – podsumowuje.
Publiczny wpis
Orzecznictwo TSUE wskazuje, iż granicą powołania się na wyłączenie stosowania RODO jest rozpowszechnianie danych. Przytoczyć można tu wyroki w sprawach Lindqvist, C-101/01 (publikowanie przez katechetkę w sieci danych członków swojej wspólnoty religijnej), oraz Sergejs Buivids, C-345/17 (opublikowanie nagrania z przesłuchania na komisariacie). Co prawda oba zapadły jeszcze przed wejściem w życie RODO, na gruncie dyrektywy 95/46/WE, ale przepis, na którym się opierały, był identyczny z obecnym. Podobnie sprawę oceniła w swojej opinii Grupa Robocza art. 29.
– jeżeli upubliczniam dane osobowe, to nie mogę się już powoływać na „cel osobisty lub domowy” – tłumaczy adwokat Paweł Litwiński. – Na pewno post publiczny to rozpowszechnianie, ale choćby post prywatny mógłby być tak kwalifikowany, gdyby miał bardzo dużo odbiorców (znajomych autora) – dodaje.
UODO przyjął, iż w tej sprawie skarżony nie może skorzystać ze wskazanego przez siebie wyjątku i jest traktowany jako administrator, który przetwarza dane osobowe. Co więcej, naruszył on zasadę „minimalizacji danych” z art. 5 ust. 1 lit. c RODO, która nakazuje przetwarzanie tylko danych, które są niezbędne do osiągnięcia celu. W tym natomiast wypadku poinformowanie o treści orzeczenia było możliwe bez ujawniania danych, tj. np. po jego anonimizacji, tak jak wyroki publikowane np. w portalach orzeczeń sądowych.
Zagrożenie karą
Skarżąca domagała się wymierzenia kary pieniężnej, ale urząd ograniczył się do upomnienia. Potencjalnie jednak mężczyźnie groziła kara, i to wysoka.
– Osobom fizycznym karę wymierza się kwotowo – do 20 mln euro. Osoba fizyczna nie ma bowiem obrotu ani przychodu, jak firmy – tłumaczy Paweł Litwiński. – Zaliczam się do prawników, którzy uznają, iż to jest ten sam przypadek, co z byłym ministrem Niedzielskim. Rozpowszechniając dane osobowe lekarza, w tym informację o przyjmowanych przez niego lekach, sam stał się administratorem i powinien płacić karę osobiście – dodaje.
Kary za publikację cudzych danych osobowych w internecie już się zdarzały, np. w państwach skandynawskich.
– Jedna dotyczyła trenera, który zainstalował ukrytą kamerę w szatni damskiej – wskazuje Olga Rentflesz. – Waga naruszenia była tak duża, iż nałożono na niego karę pieniężną – niższą niż na korporacje, ale i tak dotkliwą.