O postare pe Facebook – studiu de caz

Am fost martor la următoarea întîmplare pe o pagină personală a unui utilizator Facebook, în următoarea ordine cronologică

  1. Gabriel publică pe pagina personală o imagine reprezentînd un „Act sanitar veterinar de declarare a focarului de boală„ prin care se declara un focar de pestă porcină africană într-o anumită localitate/sat.
  2. Actul/imaginea conține ștampila și semnătura emitentului (directorul DSVSA – Direcția Sanitar Veterinară și pentru Siguranța Alimentelor) și pe cele ale destinatarului (primarul- Primăria de care aparține satul) fără nici un alt marcaj privind nivelul de clasificare. Acestea sînt singurele date personale. Documentul face referire la numărul de suine moarte și ucise și instituțiile care vor fi informate cu privire la subiect: CJ, primăriile din județ, fonduri de vînătoare, medici veterinari.
  3. Actul publicat (modelul) face parte dintr-un manual al DSVSA, disponibil public ca fișier pdf.
  4. Imaginea publicată de Gabriel este preluată de pe pagina personală a unui consilier al Primăriei. Imaginea este distribuită în online și de alți utilizatori FB.
  5. Un participant la discuție din lista de „prieteni„, medic veterinar și inspector la DSVSA îl somează pe Gabriel să șteargă imaginea invocînd că: documentul nu este destinat publicului și prin publicarea sa se încalcă și GDPR. Cel care „somează„ nu este și „persoană vizată„, nu are nici o funcție de conducere în DSVSA.
  6. La 5 ore distanță, consilierul-sursă își șterge postarea prin care solicita „distribuirea„ pentru informarea locuitorilor iar Primăria publică pe FB o Informarea oficială, ștampilată și semnată de primar :).
  1. Informații publice versus informații clasificate
Informații de interes publicInformații clasificate
Accesul la informaţiile de interes public este asigurat de compartimentele specializate de informare şi relaţii publice.  Accesul este asigurat de structura de securitate sau funcţionarul de securitate  
Informaţiile de interes public sunt comunicate din oficiu sau sunt disponibile pe baza unei solicitări formulate în scris sau verbal.  Persoanele care au acces la informaţii strict secrete de importanţă deosebită vor fi înregistrate în fişa de consultare. Cererea pentru copierea documentelor clasificate se aprobă de conducătorul unităţii cu avizul structurii/funcţionarului de securitate. Accesul la informaţiile calificate este posibil doar persoanelor care deţin certificat/autorizaţie de acces, eliberat(ă) după o procedură prealabilă de verificare  
Accesul la informaţiile de interes public trebuie să respecte principiile transparenţei, aplicării unitare şi al autonomiei.    Accesul la informaţiile clasificate trebuie să respecte principiul necesităţii de a cunoaşte .    
Persoanele au acces la toate informaţiile de interes public.  Persoanele au acces numai în funcţie de certificatul de securitate sau autorizaţia de acces, valabilă pentru nivelul de secretizare al informaţiilor necesare îndeplinirii atribuţiilor de serviciu.  
Lista care cuprinde documentele de interes public se întocmeşte şi se aprobă de autoritatea sau instituţia publică.    Lista care cuprinde informaţiile secrete de stat – pe niveluri de secretizare – elaborate sau deţinute de autoritatea sau instituţia publică se aprobă şi se actualizează prin Hotărâre a Guvernului.  
Informaţiile de interes public nu poartă nici o menţiune.  Informaţiile clasificate sunt inscripţionate pe fiecare pagină cu nivelul de secretizare.  
Accesul la informaţiile de interes public se realizează prin afişare la sediul autorităţii sau al instituţiei publice ori prin publicare în Monitorul Oficial al României sau în mijloacele de informare în masă, în publicaţii proprii, precum şi în pagina de Internet proprie, sau prin consultare la sediul autorităţii sau al instituţiei publice.  Transmiterea informaţiilor clasificate către alţi utilizatori se va efectua numai dacă aceştia deţin certificate de securitate sau autorizaţii de acces corespunzător nivelului de secretizare.  
Evidenţa cererilor de informaţii publice se ţine în registrul privind înregistrarea cererilor şi răspunsurilor privind accesul la informaţiile de interes public  Evidenţa informaţiilor clasificate se ţine în următoarele registre: Registrul de evidenţă al informaţiilor strict secrete de importanţă deosebită; Registrul de evidenţă al informaţiilor strict secrete şi secrete; Registrul de evidenţă al informaţiilor secrete de serviciu; Registrul unic de evidenţă a registrelor, condicilor, borderourilor şi a caietelor pentru însemnări clasificate; Condica de predare-primire a documentelor clasificate; Registrul de evidenţă a informaţiilor clasificate multiplicate; Condica de predare-primire a cheilor de la încăperile şi containerele de securitate; Registrul pentru evidenţa certificatelor de securitate/autorizaţiilor de acces la informaţiile  clasificate  
Informaţiile de interes public pot fi solicitate şi comunicate şi în format electronic.  Este interzisă transmiterea informaţiilor secrete de stat prin cablu sau eter, fără a se folosi mijloace specifice cifrului de stat sau de alte elemente criptografice stabilite de autorităţile publice competente.  
Funcţionarul desemnat pentru aplicarea prevederilor Legii nr. 544/2001 răspunde disciplinar conform Statutului funcţionarilor publici, statutelor speciale sau, după caz, Codului muncii.    Încălcarea normelor privind protecţia informaţiilor clasificate atrage răspunderea disciplinară,contravenţională, civilă sau penală, după caz.  

Regula o reprezintă deci caracterul public al informaţiilor gestionate de autorităţile şi instituţiile publice, iar excepţiile de la această regulă  trebuie bine fundamentate juridic.  Instituţia care deţine informaţia va trebui să-şi justifice motivele pentru care nu dă publicităţii datele respective.

În concluzie, documentul „Act sanitar veterinar de declarare a pestei porcine„, neavînd nici un marcaj cu privire la nivelul de clasificare asociat este un „document public„.

2. Încălcarea GDPR

Aici discuția este puțin mai amplă. Semnătura este fără dubii o dată cu caracter personal.

DSVSA este „operator„. Primăria primește un exemplar din acest document. În lipsa instrucțiunilor din partea DSVSA, Primăria este „operator„ și în această calitate a „călcat pe bec„ de cel puțin trei ori:

  • un consilier a fotografiat un document conținînd date cu caracter personal;
  • consilierul a divulgat un document conținînd date cu caracter personal;
  • datele cu caracter personal nu au fost anonimizate

Este Gabriel „operator„?

Considerentul 18 ne spune că:

Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială. Activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.

Este o detaliere a Art. 3 din Convenția 108:

This Convention shall not apply to data processing carried out by an individual in the course of purely personal or household activities.

Regulamentul nu impune deci obligațiile unui operator de date asupra unei persoane care prelucrează date cu caracter personal „în cadrul unei activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială.”.

Pagina lui Gabriel nu este „profesională„ sau „comercială„ (FB permite chiar astfel de pagini):

  • numărul de „friends„ nu este nelimitat ca în cazul vizitatorilor unei pagini web obișnuită.
  • Postările „publice„ pot (sînt) fi distribuite numai celor din listă
  • scara și frecvența de prelucrare a datelor nu confirmă o activitate profesională sau comercială astfel încît Gabriel să fie considerat „operator„ .

Pînă în acest punct putem spune că lui Gabriel i se aplică cu certitudine excepția.
Din WP163 (Opinion 5/2009 on online social networking) aflăm că aplicarea acestei excepții este limitată de necesitatea de a garanta drepturile terților, în special în ceea ce privește datele sensibile. Prin urmare, Gabriel nu trebuie să publice date sensibile despre terți pentru a i se aplica în continuare excepția.

Din GDPR știm că „datele sensibile„ sînt „categorii speciale de date„: cele care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Aceste categorii speciale de date sînt strict legate de drepturile și libertățile noastre individuale, care ar putea fi afectate dacă prelucrarea nu este legală sau nu există măsuri de protecție adecavte:

  • libertatea de gândire, conștiință și religie;
  • libertate de exprimare;
  • libertatea de întrunire și de asociere;
  • dreptul la integritate corporală;
  • dreptul la respectarea vieții private și de familie; sau

Mai știm că regula pentru prelucrarea categoriilor speciale de date o reprezintă „consimțămîntul persoanei vizate„.

Se încadrează semnătura directorului DSVSA și a primarului în „categorii speciale de date„? Singura categorie ar fi „date biometrice„. Dar această categorie specială de date este definită ca fiind:

date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.

În concluzie, opinia mea (care nu este o opinie juridică) este că postarea lui Gabriel nu intră nici sub incidența GDPR.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.