16 ročný tínedžer dostal pokutu od úradu pre ochranu údajov v Španielsku (Agencia Española de Protección de Datos). Fotografie a videá, ktoré získal od 13 ročného dievčaťa, použil na jej vydieranie.
Predchádzala tomu súkromná komunikácia prostredníctvom aplikácie WhatsApp a Instagram, ktorej súčasťou boli aj intímne fotografie a videá. Po čase sa však tínedžer začal vyhrážať, že ak nedostane ďalšie fotky, tie predchádzajúce zverejní na sociálnych sieťach.
Tínedžer bol súdom pre mladistvých uznaný vinným za skutok vyhrážania.
Do prípadu sa však vložil aj rodič dievčaťa, ktorý podal sťažnosť orgánu pre ochranu osobných údajov. Tento sa prípadom zaoberal a jeho záverom bolo, že uvedené získanie a uchovávanie fotografií a videí je považované za spracúvanie osobných údajov podľa čl. 4 ods. 2 všeobecného nariadenia o ochrane údajov (GDPR). Na tínedžera sa tak nazeralo ako na klasického prevádzkovateľa.
Celý dokument si môžete prečítať na adrese: https://www.aepd.es/es/documento/ps-00107-2022.pdf
To, že jednotlivec môže byť považovaný za prevádzkovateľa a podliehať tak pravidlám GDPR, prekvapivé nie je. Z pohľadu ochrany osobných údajov však prípad rozprúdil diskusiu v tom, či uvedené činnosti (získanie, uchovávanie a pod.) skutočne spadajú do pôsobnosti GDPR. Je v ňom totiž tzv. domáca výnimka. Kedy pravidlám GDPR nepodliehajú také činnosti s osobnými údajmi, ktoré vykonáva fyzická osoba v rámci výlučne osobnej alebo domácej činnosti.
Španielsky úrad sa však vo svojom rozhodnutí odvolával na:
- odôvodnenie 26 GDPR, v ktorom sa uvádza, že zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby,
- pojem osobný údaj, spracúvanie a prevádzkovateľ,
- čl. 1 GDPR, v ktorom sa uvádza, že všeobecné nariadenie o ochrane osobných údajov stanovuje pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov atď.
V celom rozhodnutí nie je ani zmienky o výnimke z vecnej pôsobnosti, ktorou je, ako sme už uviedli čl. 2 ods. 2 písm. c), podľa ktorého sa nariadenie o ochrane údajov nevzťahuje na spracúvania osobných údajov fyzickou osobou v rámci osobnej alebo domácej činnosti.
Je pravdou, že výnimka domácich činností sa vykladá veľmi úzko. Ako napríklad vyplýva z usmernenia 3/2019 od Európskeho výboru pre ochranu údajov: “…sa vzťahuje výlučne na činnosti, ktoré patria do rámca súkromného alebo rodinného života jednotlivcov, čo zjavne neplatí v prípade spracúvania osobných údajov, ktoré spočíva v ich zverejnení na internete takým spôsobom, že sa sprístupnia neobmedzenému počtu osôb.“
Tínedžer tak dostal pokutu 5000 eur, a to z dôvodu, že spracúval osobné údaje bez právneho základu. Tým mal byť súhlas so spracúvaním. Priťažujúcimi faktormi boli napríklad rozsah, účel a úmysel porušenia.