W całej Europie wdrażana jest nowa europejska ustawa o ochronie prywatności, znana jako ogólne rozporządzenie o ochronie danych (RODO). Pierwsze dochodzenie dotyczące prywatności wszczęte na podstawie RODO rozpoczęło się opublikowaniem w dniu 5 listopada informacji na temat skandalu korupcyjnego z udziałem jednego z polityków i jego bliskich związków z firmą będącą przedmiotem postępowania w sprawie oszustwa.
List otwarty wzywający do zrównoważenia ochrony danych i wolności słowa
Rumuński organ ochrony danych (ANSPDCP) wysłał szereg pytań do dziennikarzy będących autorami artykułu i poprosił o dostarczenie danych, które mogłyby ujawnić informacje o źródłach artykułu. Organ ochrony danych wspomniał także o karach w wysokości do 20 mln euro, jeśli dziennikarze nie zastosują się do tych zaleceń. Organ ochrony danych podtrzymywał, że działał niezależnie, bez ingerencji politycznych, a jego celem było "zapewnienie równowagi pomiędzy prawem do ochrony danych osobowych, swobodą wypowiedzi i prawem do informacji".
Stowarzyszenie na rzecz Technologii i Internetu (ApTI) wraz z 11 innymi organizacjami zajmującymi się prawami człowieka i mediami wysłało do ANSPDCP list otwarty. ApTI to organizacja pozarządowa zajmującą się prawami cyfrowymi, która jest członkiem stowarzyszenia European Digital Rights (EDRi) wspierającego i promującego wolny i otwarty Internet, w którym dba się o ochronę praw człowieka. W piśmie organizacje wezwały ANSPDCP do dokładnego przeanalizowania skarg złożonych na podstawie RODO, które mogą zagrozić wolności słowa i domagały się pilnego wprowadzenia przejrzystego mechanizmu oceny roszczeń obejmujących operacje przetwarzania danych w celach dziennikarskich.
Jednocześnie ApTI wraz z Privacy International, EDRi i 15 innymi organizacjami pozarządowymi działającymi na rzecz praw cyfrowych wysłały pismo do Europejskiej Rady Ochrony Danych, dołączając do odbiorców ANSPDCP i Komisję Europejską, z prośbą, aby nie stosować RODO w celu ograniczania wolności mediów w Rumunii.
Rumuński organ ochrony danych kwestionuje post na Facebooku
Hashtag #TeleormanLeaks nawiązuje do artykułu o związku między Tel Drum, firmą zajmującą się budową dróg z siedzibą w okręgu Teleorman w Rumunii, która jest obecnie badana pod kątem niewłaściwego wykorzystywania funduszy europejskich, a Liviu Dragnea, przewodniczącym Partii Socjaldemokratycznej i prezydentem Izby Deputowanych, który jest właścicielem imperium biznesowego w tym regionie. Pierwsza część procedury dochodzeniowej została opublikowana 5 listopada przez organizację RISE Project, zajmującą się dziennikarstwem śledczym w Rumunii. W celu promowania dochodzenia opublikowano także post na Facebooku w formie teasera.
8 listopada ANSPDCP wysłał do organizacji RISE Project pismo, w którym zapytał pracowników o dane osobowe zawarte w poście na Facebooku, w tym o to, skąd pochodzą. Wywołało to międzynarodowy gniew ze strony Organised Crime and Reporting Project (OCCRP), Komisji Europejskiej oraz dziesiątek dziennikarzy i mediów, które z niepokojem zareagowały na list.
W przeddzień dostarczenia listu władzom organizacji RISE Project, rumuńskie media poinformowały, że jedna z kluczowych osób zaangażowanych w ten skandal, obecnie dyrektor handlowy Tel Drum i były szef działu kontroli finansowej w tej samej firmie, złożyła do ANSPDCP wniosek ws. "prawa do bycia zapomnianym". Jednak najwyraźniej zawiadomienie ANSPDCP dotyczące organizacji RISE Project zostało oparte na informacjach pochodzących od strony trzeciej, a nie na tym zawiadomieniu.
Z ogłoszenia wynika, że w oparciu o przepisy RODO, ANSPDCP uważa,że jest uprawniony do zapytania, skąd pochodzą informacje publikowane w poście na Facebooku. Nie wyjaśnił jednak, w jaki sposób nie jest to sprzeczne z rumuńskimi przepisami chroniącymi wolność słowa, w tym z wykorzystywaniem danych do celów dziennikarskich. ANSPDCP nie wyjaśnił również wątpliwości dotyczących analizy na temat pogodzenia przedmiotowych praw podstawowych.
RODO i wolność wypowiedzi
W art. 153 rozporządzenia w sprawie ogólnych przepisów dotyczących wzrostu gospodarczego stwierdzono, że rozporządzenie nie może być wykorzystywane jako narzędzie służące do korzystania z innych praw, w tym dziennikarskiej wolności słowa. Wszystkie prawa podstawowe mają taką samą pozycję i kiedy pojawia się konflikt, konieczne jest znalezienie konsensusu.
Państwa członkowskie i organy regulacyjne muszą brać pod uwagę szersze europejskie ramy praw człowieka i uwzględniać Kartę praw podstawowych Unii Europejskiej, Europejską konwencję praw człowieka oraz decyzje Europejskiego Trybunału Praw Człowieka (ETPC).
Rumunia zawęża art. 85 RODO
Sposób, w jaki Rumunia wdrożyła RODO, rodzi pytania, ponieważ kraj zezwala na odstępstwa od rozporządzenia dla celów dziennikarskich tylko w jednym, bardzo wąskim, alternatywnym scenariuszu, który jest niezwykle ograniczony. Sytuacja ta opisana jest w art. 7. Przetwarzanie danych osobowych na rzecz działalności dziennikarskiej jest zwykle znacznie szersze niż opcja przyjęta w Rumunii. Ograniczenie odstępstw w celach dziennikarskich jedynie do trzech opcji nie spełnia wymogów ochrony wolności słowa, w szczególności wolności dziennikarskiej i orzecznictwa w zakresie praw człowieka.
Niejasne intencje władz
Wspomniane powyżej odstępstwa przewidziane w art. 7 stanowią, że "do przetwarzania danych osobowych do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej może dojść, jeżeli dotyczy to danych osobowych, które zostały publicznie ujawnione przez osobę, której dane dotyczą, lub są ściśle związane z publicznym statusem osoby lub publicznym charakterem spraw, w które jest zaangażowana."
Na podstawie korespondencji z organizacją RISE Project zakładamy, że ANSPDCP uznał, że post na Facebooku nie został napisany w celach dziennikarskich, a sytuacja nie jest objęta jednym z wąskich wyjątków zawartych w art. 7.
Możliwe też, że ANSPDCP nigdy nie zamierzał zajmować się działalnością dziennikarską, ale był zainteresowany jedynie możliwym naruszeniem ochrony podstawowych danych osobowych. Nawet jeśli ochrona danych osobowych dotyczyłaby art. 7, jego braki oznaczają, że nie ma gwarancji, że zapewniona byłaby odpowiednia ochrona wolności słowa i źródeł dziennikarskich.
Rumuński organ ochrony danych mógł nie być nawet uprawniony do pytania o źródła dziennikarskie
Biorąc pod uwagę orzecznictwo Europejskiego Trybunału Praw Człowieka dotyczące wolności słowa, wątpliwe jest, czy ANSPDCP miał prawo prosić o źródła wykorzystane w dziennikarskim dochodzeniu. Jednocześnie sam wniosek jest dość niejasny. Na początku wydaje się, że organ poszukuje standardowych informacji dotyczących ochrony danych, takich jak źródło informacji lub sposób przechowywania danych.
Jednak w drugiej części wniosku ANSPDCP wspomina o swoim prawie dostępu do elektronicznego magazynu, w którym przechowywane są dane osobowe. Można to interpretować jako prośbę o sprawdzenie tego, gdzie przechowywane są takie dane, chociaż zgodnie z rumuńskim prawem procesowym tego rodzaju dostęp powinien być wymagany tylko wtedy, gdy jest niezbędny do przeprowadzenia dochodzenia.
Pogodzenie ochrony danych i wolności wypowiedzi
Aby organ ochrony danych mógł pogodzić wolność słowa z prawidłową ochroną danych, musi istnieć odpowiednie odstępstwo przewidziane w prawie. Jak wspomniano powyżej, wąskie odstępstwo zawarte w art. 7 rumuńskiej ustawy budzi wiele obaw. Aby prawo mogło być skutecznie i konsekwentnie stosowane, ważne są również odpowiednie wytyczne i szkolenia.
Europejski Trybunał Praw Człowieka (ETPC) wymienia czynniki, które należy wziąć pod uwagę w odniesieniu do tych dwóch praw podstawowych. Obejmują one wkład w interes publiczny, sposób uzyskiwania informacji oraz treść, formę i konsekwencje publikacji pracy.
W odpowiedzi na tę sprawę Privacy International, EDRi, ApTI i inne organizacje wezwały do udostępnienie odpowiednich wskazówek i interwencję Europejskiej Rady Ochrony Danych. Organ ten powinien być wykorzystywany do ochrony praw, a nie jako narzędzie służące do uciszenia lub zastraszania dziennikarzy i tworzenia sprawozdań na temat interesu publicznego.