Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, precizări despre asociațiile de proprietari
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, precizări despre asociațiile
02 Dec, 2020 15:56
ZIUA de Constanta
2315
Marime text
- Prin prisma rolului pe care îl îndeplinesc și a atribuțiilor legale, asociațiile de proprietari au calitatea de operatori de date cu caracter personal și, în consecință, obligația de a respecta dispozițiile Regulamentului (UE) 679/2016 - Regulamentul general privind protecția datelor (RGPD).
- În ceea ce privește perioada de stocare a datelor cu caracter personal (imaginea) prelucrate de asociaţie ca urmare a instalării sistemului de supraveghere video, Autoritatea de supraveghere recomandă ca aceasta să nu depăşească 30 zile.
Scopul și mijloacele prelucrării datelor de către asociațiile de proprietari pot fi în mod expres stabilite prin actele normative care le reglementează înființarea, organizarea și funcționarea sau pot fi stabilite de către asociație, fiind justificate de interesul legitim al său. De asemenea, în unele situații, prelucrările de date se pot baza pe consimțământul persoanelor fizice vizate.
În acest context, precizăm că urmare a punctelor de vedere solicitate Autorității de Supraveghere de către asociațiile de proprietari cu privire la prelucrările de date pe care le efectuează sau intenționează să le pună în practică, a rezultat că scopurile în care aceste entități colectează și prelucrează datele personale vizează, în principal, următoarele activități:
1. În ceea ce privește instalarea unui sistem de supraveghere video de către asociația de proprietari, întrucât sistemele de televiziune cu circuit închis au posibilitatea de înregistrare şi stocare a imaginilor şi datelor, această activitate se supune atât prevederilor Regulamentului (UE) 679/2016, cât şi ale Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, modificată şi completată și Normelor metodologice de aplicare a acesteia, mai ales raportat la instalarea şi utilizarea sub aspect tehnic a echipamentelor şi elementelor componente ale sistemului de supraveghere video.
Măsura instalării unui sistem de supraveghere video poate fi luată de către asociația de proprietari în baza interesului legitim al asociaţiei, de ex. pentru asigurarea pazei şi protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor de utilitate publică, precum și a împrejmuirilor afectate acestora, dar și în zona de acces în imobil sau lifturi.
Argumentele privind justificarea interesului legitim trebuie să se regăsească într-o documentație la nivelul asociației de proprietari și, ulterior, hotărârea de a instala un astfel de sistem trebuie adoptată în cadrul adunării generale a asociaţiei de proprietari, potrivit legii.
Referitor la obligația de informare a persoanei vizate, în spaţiile monitorizate prin camerele de supraveghere video, trebuie instalată o pictogramă adecvată, care să conţină o imagine reprezentativă, poziţionată la o distanţă rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzută de orice persoană.
În ceea ce privește perioada de stocare a datelor cu caracter personal (imaginea) prelucrate de asociaţie ca urmare a instalării sistemului de supraveghere video, Autoritatea de supraveghere recomandă ca aceasta să nu depăşească 30 zile.
Excepție pot face situațiile temeinic justificate în care s-au produs evenimente ce necesită stocarea doar a imaginilor relevante pe o perioadă mai mare de timp necesară îndeplinirii scopurilor respective (de ex. până la soluționarea definitivă a unei cauze penale de către organele judiciare).
Referitor la imaginile captate și înregistrate de camerele video, instalate în zonele stabilite potrivit hotărârii adunării generale a proprietarilor, cu respectarea echilibrului dintre interesul legitim al asociației și drepturile și libertățile persoanelor, în vederea respectării principiului proporționalității, se poate apela la echipamente care din punct de vedere tehnic pot fi orientate astfel încât să focalizeze zonele necesare a fi supravegheate.
În ceea ce privește prelucrarea datelor prin altă persoană (cum ar fi de ex. societatea care instalează sistemul de videosupraveghere și asigură mentenanța acestuia, efectuează și prelucrarea datelor), potrivit art. 4 pct. 8 din RGPD aceasta este „persoana împuternicită de operator” întrucât prelucrează datele cu caracter personal în numele operatorului.
De asemenea, art. 28 alin. (3) lit. a) și alin. (10) din același regulament stabilește că prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract, ce trebuie să conțină și instrucțiuni documentate din partea operatorului pe baza cărora împuternicitul va prelucra datele cu caracter personal.
În ceea ce privește instalarea camerelor video pe fiecare nivel/palier din imobil, apreciem că pentru prelucrarea imaginilor respective este necesară obținerea consimțământului fiecărui locatar de pe nivelul/palierul respectiv.
Pentru informații suplimentare privind prelucrarea datelor prin intermediul mijloacelor video, se poate consulta Ghidul nr. 3/2019 privind prelucrarea datelor cu caracter personal prin intermediul mijloacelor video”, care poate fi accesat pe adresa https://www.dataprotection.ro/?page=noua%20_pagina_regulamentul_GDPR, elaborat în vederea aplicării în mod unitar a prevederilor Regulamentul (UE) 2016/679 în întreaga Uniune Europeană, de către Comitetul European pentru Protecția Datelor, care reunește reprezentanții tuturor autorităților de supraveghere din statele membre.
2. În ceea ce privește dezvăluirea datelor precum numele și prenumele proprietarilor/locatarilor la avizierul scării de bloc, precizăm că în lipsa unei prevederi legale exprese datele pot fi dezvăluite doar pe baza consimțământului persoanei vizate, potrivit art. 6 alin. (1) lit. a) din RGPD.
În ceea ce privește consimțământul (art. 7 coroborat cu art. 4 pct. 11 din RGPD), acesta trebuie acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrareadatelor sale cu caracter personal, cum ar fi o declarație făcută în scris, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.
Absența unui răspuns sau absența unei acțiuni din partea persoanei vizate nu constituie un consimțământ valabil.
Consimțământul trebuie să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri, iar asociația de proprietari trebuie să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare a datelor cu caracter personal.
Pentru mai multe informații privind obținerea consimțământului, precum și condițiile pentru retragerea acestuia, se poate aceesa Ghidul Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 679/2016 https://www.dataprotection.ro/servlet/ViewDocument?id=1650
3. În ceea ce privește înregistrarea datelor personale în cartea de imobil, în măsura în care există o obligație legală în acest sens, datele pot fi prelucrate fără consimțământul persoanei vizate.
În acest context, precizăm că art. 94 și 95 din Normele metodologice din 4 octombrie 2006 de aplicare unitară a dispoziţiilor legale privind evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, aprobate prin HG nr. 1375/2006 prevăd că:
”Art. 94
Responsabilii cărţii de imobil, desemnaţi în condiţiile legii, au următoarele atribuţii:
a) să solicite persoanelor care locuiesc în imobil prezentarea actelor de identitate, în termen de 15 zile de la sosire, în vederea înscrierii datelor în cartea de imobil;
b) să atenţioneze persoanele care au actele de identitate cu termenul de valabilitate expirat sau care nu şi-au efectuat schimbarea domiciliului ori stabilirea reşedinţei, în vederea punerii acestora în legalitate;
c) să păstreze, să actualizeze şi să utilizeze datele din cartea de imobil cu respectarea dispoziţiilor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare (în prezent, Regulamentul (UE) 679/2016 – subl. ns.); cartea de imobil se prezintă spre verificare numai poliţiştilor şi lucrătorilor de la serviciile publice comunitare de evidenţă a persoanelor;
d) să păstreze în bune condiţii cartea de imobil, să nu o înstrăineze, iar la mutarea din imobil să o predea preşedintelui asociaţiei de proprietari.
Art. 95
Înscrierea persoanelor în cartea de imobil se face în baza actului de identitate, iar pentru copiii sub 14 ani, în baza certificatului de naştere.”
Ca atare, legea stabilește că înscrierea datelor personale în cartea de imobil are la bază actul de identitate sau certificatul de naștere.
În ceea ce privește datele și categoriile de date colectate în cărțile de imobil în condițiile în care legea nu le prevede în mod expres, așa cum s-a subliniat mai sus, corelat cu temeiul legal al prelucrării, care poate fi interesul legitim, art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor, printre care se numără cele privind colectarea datelor în scopuri determinate, explicite şi legitime, prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, prelucrarea de date exacte, etc.
Cu alte cuvinte, în această situație se impune respectarea principiului reducerii la minimum a datelor, respectiv prelucrarea datelor strict necesare îndeplinirii scopului. Necesitatea însă, trebuie motivată cu argumente solide, care să justifice prevalența intersului legitim al colectării și prelucrării datelor, asupra drepturilor fundamentale ale persoanelor vizate.
Raportat la situațiile de mai sus, dar și la alte situații în care prelucrează date cu caracter personal, asociațiile de proprietari trebuie să aibă în vedere condițiile de legitimitate și regulile prelucrării datelor prevăzute de RGPD.
În acest context, precizăm că RGPD stabilește că prelucrarea datelor cu caracter personal se realizează la consimțământul persoanei vizate sau în alte condiții legale în care nu se solicită consimțământul, prevăzute de art. 6, 9 și 10, în funcție de natura datelor și categoriilor de date colectate și prelucrate.
Spre exemplu, pentru datele care nu au un caracter special (cum sunt, de ex., numele, prenumele, adresa, telefonul), art. 6 din RGPD stabilește că prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
”(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.”
Corelat cu temeiul legal al prelucrării, asociațiile de proprietari trebuie să respecte și principiile prelucrării datelor care se regăsesc la art. 5 din RGPD, astfel:
■ principiul legalității, echității şi transparenţei: prelucrarea datelor în mod legal, echitabil şi transparent faţă de persoana vizată
■ principiul limitării legate de scop: date colectate în scopuri determinate, explicite şi legitime şi care nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
■ principiul reducerii la minimum a datelor: prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate,
■ principiul limitării legate de stocare: datele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele
■ principiul exactității - prelucrarea de date exacte
■ principiul integrității şi confidenţialității - prelucrarea datelor într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
De asemenea, aceleași dispoziții ale art. 5, sus-menționate prevăd faptul că operatorul (asociația de proprietari) este responsabil de respectarea acestor principii şi poate demonstra această respectare (principiul responsabilității).
În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”
Referitor la măsurile de securitate pe care asociația de proprietari este obligată să le adopte, art. 32 din Regulamentul (UE) 2016/679 care reglementează ”Securitatea prelucrării”, stabilește o serie de aspecte pe care operatorul (asociația) și persoana împuternicită de acesta (de ex. o societate care îndeplinește rolul de administrator sau o entitate care instalează și asigură mentenanța sistemului de supraveghere video) trebuie să le urmărească în contextul implementării măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului pe care o are prelucrarea pentru drepturile şi libertăţile persoanelor fizice. Printre acestea se regăsesc și cele privind pseudonimizarea şi criptarea datelor cu caracter personal.
În ceea ce privește transparența prelucrării, sub aspectul informării persoanelor vizate, asociația de proprietari trebuie să efectueze informarea indiferent de temeiul prelucrării, la consimțământ sau pe baza altor condiții legale în care nu se solicită consimțământul.
Astfel, art. 12 din RGPD prevede că operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.
Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic.
Pentru informare, se poate apela la o modalitate de informare generică, prin afișarea notei de informare la avizierul scării de bloc sau a unor pictograme adecvate, cum ar fi în cazul supravegherii video, la note de informare a persoanei vizate (afișate), precum și la alte modalități (prin email) ce sunt stabilite de asociație în funcție de situația concretă de prelucrare a datelor.
Astfel, art. 13 din RGPD prevede că în cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul (asociația de proprietari), în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate informaţiile prevăzute de aceste dispoziții legale, printre care se numără:
1. identitatea şi datele de contact asociației de proprietari
2. scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
3. categoriile de date cu caracter personal vizate (în cazul datelor obținute indirect)
4. interesele legitime urmărite de operator sau de o parte terţă (dacă este cazul);
5. destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
6. perioada de stocare a datelor cu caracter personal (sau criterii pentru stabilirea perioadei);
7. existenţa drepturilor persoanei vizate prevăzute de art. 15-22 din RGPD
8. existenţa dreptului de a-și retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
9. dreptul de a depune o plângere la Autoritatea de supraveghere;
10. dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală, contractuală sau o obligaţie necesară pentru încheierea unui contract ori pentru executarea acestuia, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
11. prelucrarea datelor într-un alt scop decât cel pentru care acestea au fost colectate (dacă este cazul);
12. sursa din care provin datele cu caracter personal și dacă acestea provin din surse disponibile public (în cazul datelor obținute indirect).
Pe lângă dreptul de informare, un alt drept pe care în mod frecvent persoanele vizate îl exercită față de asociațiile de proprietari în calitatea acestora de operatori și pe care asociațiile sunt obligate să îl respecte este dreptul de acces (art. 15 din RGPD). Astfel, persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc. În cazul în care răspunsul operatorului este afirmativ, persoana vizată are dreptul de a cunoaște și de a i se comunica următoarele informații:
scopurile prelucrării;
categoriile de date cu caracter personal vizate;
destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate;
perioada de stocare a datelor cu caracter personal sau criteriile utilizate pentru a stabili această perioadă;
existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
dreptul de a depune o plângere în fața Autorității de supraveghere;
orice informații disponibile privind sursa datelor (în cazul datelor obținute indirect);
existența unui proces decizional automatizat incluzând crearea de profiluri, informații privind logica utilizată și consecințele prelucrării asupra persoanei vizate;
transferul către o țară terță sau o organizație internațională și garanțiile adecvate referitoare la transfer.
Operatorul furnizează persoanei vizate o copie a datelor sale cu caracter personal care fac obiectul prelucrării, în mod gratuit.
Dreptul de a obţine o copie a datelor nu aduce atingere drepturilor şi libertăţilor altora. În acest sens, operatorul este obligat să ia măsuri pentru protecția datelor personale ale altor persoane care ar putea figura în copia respectivă.
Dacă persoana vizată transmite cererea în format electronic și nu optează să primească informațiile în alt format, acestea se furnizează într-un format electronic utilizat în mod curent (de ex. prin email).
Mai multe informații privind modalitatea de informare a persoanelor vizate, dar și exercitarea dreptului de acces, precum și a celorlalte drepturi de care beneficiază persoana vizată, se pot obține din Ghidul Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 679/2016. https://www.dataprotection.ro/servlet/ViewDocument?id=1650
Față de cele de mai sus, rezultă că asociația de proprietari trebuie să analizeze în funcție de specificul activităților efectiv realizate, prelucrările de date personale efectuate, să stabilească temeiul legal al acestora și să ia toate măsurile necesare pentru respectarea drepturilor persoanelor vizate, precum și pentru asigurarea securității și confidențialității datelor, raportat la prevederile RGPD.
În același timp, precizăm că începând cu 25 mai 2018, Regulamentul (UE) 2016/679 nu mai stabilește obligația de notificare a prelucrărilor de date cu caracter personal, astfel că nici asociațiile de proprietari nu mai au această obligație.
Referitor la numirea unui responsabil cu protecția datelor, în ceea ce privește asociațiile de proprietari, acestea nu au obligația de numire a unui responsabil, raportat la art. 37 din RGPD.
Urmareste-ne pe Grupul de Whatsapp
Comentarii
- Dorin 03 Dec, 2020 15:52 Mulțumim pt. informare. Prevederi legale f. utile pt. Asociațiile de Proprietari.