Clarificari privind conditiile de prelucrare de date in cazul Asociatiilor de proprietari
In data de 02.12.2020, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a publicat cateva clarificari referitor la conditiile de prelucrare a datelor cu caracter personal realizate de asociatiile de proprietari. Aceste clarificari au fost indelung solicitate de catre reprezentantii multor asociatii de proprietari, acestia avand nevoie sa le fie oferite informatii clare privind obligatiile pe care le au si conditiile pe care trebuie sa le indeplineasca pentru a garanta protectia datelor cu caracter personal ce apartin persoanelor vizate.
In comunicatul de presa se specifica:
Prin prisma rolului pe care il indeplinesc si a atributiilor legale, asociatiile de proprietari au calitatea de operatori de date cu caracter personal si, in consecintă, obligatia de a respecta dispozitiile Regulamentului (UE) 679/2016 – Regulamentul general privind protecția datelor (RGPD).
Astfel, în contextul prelucrarii (inclusiv al dezvaluirii) datelor personale, asociatiile de proprietari trebuie sa identifice temeiul legal al efectuarii acesteia, prevazut de dispozitiile RGPD prin raportare la prevederile legale din domeniul lor de activitate.
Scopul și mijloacele prelucrarii datelor de catre asociatiile de proprietari pot fi in mod expres stabilite prin actele normative care le reglementeaza infiintarea, organizarea și functionarea sau pot fi stabilite de catre asociatie, fiind justificate de interesul legitim al sau. De asemenea, in unele situatii, prelucrarile de date se pot baza pe consimtamantul persoanelor fizice vizate.
In acest context, precizam ca urmare a punctelor de vedere solicitate Autoritatii de Supraveghere de catre asociatiile de proprietari cu privire la prelucrarile de date pe care le efectueaza sau intentioneaza sa le puna in practica, a rezultat ca scopurile în care aceste entitati colecteaza si prelucreaza datele personale vizeaza, in principal, urmatoarele activitati:
1. In ceea ce priveste instalarea unui sistem de supraveghere video de catre asociatia de proprietari, intrucat sistemele de televiziune cu circuit închis au posibilitatea de inregistrare si stocare a imaginilor si datelor, aceasta activitate se supune atat prevederilor Regulamentului (UE) 679/2016, cat si ale Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor, modificata si completata si Normelor metodologice de aplicare a acesteia, mai ales raportat la instalarea si utilizarea sub aspect tehnic a echipamentelor si elementelor componente ale sistemului de supraveghere video.
Măsura instalarii unui sistem de supraveghere video poate fi luata de catre asociația de proprietari in baza interesului legitim al asociatiei, de ex. pentru asigurarea pazei si protectiei persoanelor, bunurilor si valorilor, a imobilelor si a instalatiilor de utilitate publica, precum si a imprejmuirilor afectate acestora, dar si in zona de acces in imobil sau lifturi.
Argumentele privind justificarea interesului legitim trebuie să se regasească intr-o documentatie la nivelul asociatiei de proprietari si, ulterior, hotararea de a instala un astfel de sistem trebuie adoptata in cadrul adunarii generale a asociatiei de proprietari, potrivit legii.
Referitor la obligatia de informare a persoanei vizate, in spatiile monitorizate prin camerele de supraveghere video, trebuie instalata o pictograma adecvata, care sa contina o imagine reprezentativa, pozitionata la o distanta rezonabila de locurile unde sunt amplasate echipamentele de supraveghere, astfel incat sa poata fi vazuta de orice persoana.
In ceea ce priveste perioada de stocare a datelor cu caracter personal (imaginea) prelucrate de asociatie ca urmare a instalarii sistemului de supraveghere video, Autoritatea de supraveghere recomanda ca aceasta sa nu depaseasca 30 zile.
Exceptie pot face situatiile temeinic justificate in care s-au produs evenimente ce necesita stocarea doar a imaginilor relevante pe o perioada mai mare de timp necesara indeplinirii scopurilor respective (de ex. pana la solutionarea definitiva a unei cauze penale de catre organele judiciare).
Referitor la imaginile captate si inregistrate de camerele video, instalate in zonele stabilite potrivit hotararii adunarii generale a proprietarilor, cu respectarea echilibrului dintre interesul legitim al asociatiei si drepturile si libertatile persoanelor, in vederea respectarii principiului proportionalitatii, se poate apela la echipamente care din punct de vedere tehnic pot fi orientate astfel incat sa focalizeze zonele necesare a fi supravegheate.
In ceea ce priveste prelucrarea datelor prin alta persoana (cum ar fi de ex. societatea care instaleaza sistemul de videosupraveghere si asigura mentenanta acestuia, efectueaza si prelucrarea datelor), potrivit art. 4 pct. 8 din RGPD aceasta este „persoana imputernicita de operator” intrucat prelucreaza datele cu caracter personal in numele operatorului.
De asemenea, art. 28 alin. (3) lit. a) si alin. (10) din acelasi regulament stabileste ca prelucrarea de catre o persoana imputernicita de un operator este reglementata printr-un contract, ce trebuie sa contina si instructiuni documentate din partea operatorului pe baza carora imputernicitul va prelucra datele cu caracter personal.
In ceea ce priveste instalarea camerelor video pe fiecare nivel/palier din imobil, apreciem ca pentru prelucrarea imaginilor respective este necesara obtinerea consimtamantului fiecarui locatar de pe nivelul/palierul respectiv.
Pentru informatii suplimentare privind prelucrarea datelor prin intermediul mijloacelor video, se poate consulta Ghidul nr. 3/2019 privind prelucrarea datelor cu caracter personal prin intermediul mijloacelor video”, care poate fi accesat pe adresa https://www.dataprotection.ro/?page=noua%20_pagina_regulamentul_GDPR, elaborat in vederea aplicarii în mod unitar a prevederilor Regulamentul (UE) 2016/679 in intreaga Uniune Europeana, de catre Comitetul European pentru Protectia Datelor, care reuneste reprezentantii tuturor autoritatilor de supraveghere din statele membre.
2. In ceea ce priveste dezvaluirea datelor precum numele si prenumele proprietarilor/locatarilor la avizierul scarii de bloc, precizam ca în lipsa unei prevederi legale exprese datele pot fi dezvaluite doar pe baza consimtamantului persoanei vizate, potrivit art. 6 alin. (1) lit. a) din RGPD.
In ceea ce priveste consimtamantul (art. 7 coroborat cu art. 4 pct. 11 din RGPD), acesta trebuie acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, cum ar fi o declaratie facuta in scris, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu.
Absenta unui raspuns sau absenta unei actiuni din partea persoanei vizate nu constituie un consimtamant valabil.
Consimtamantul trebuie sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri, iar asociatia de proprietari trebuie sa fie în masura sa demonstreze faptul ca persoana vizata si-a dat consimtamantul pentru operatiunea de prelucrare a datelor cu caracter personal.
Pentru mai multe informatii privind obținerea consimtamantului, precum si conditiile pentru retragerea acestuia, se poate aceesa Ghidul Intrebari și raspunsuri cu privire la aplicarea Regulamentului (UE) 679/2016 https://www.dataprotection.ro/servlet/ViewDocument?id=1650
3. In ceea ce priveste inregistrarea datelor personale in cartea de imobil, in masura in care exista o obligatie legala in acest sens, datele pot fi prelucrate fara consimtamantul persoanei vizate.
In acest context, precizam ca art. 94 și 95 din Normele metodologice din 4 octombrie 2006 de aplicare unitara a dispozitiilor legale privind evidenta, domiciliul, resedinta si actele de identitate ale cetatenilor romani, aprobate prin HG nr. 1375/2006 prevad ca:
”Art. 94
Responsabilii cartii de imobil, desemnati in conditiile legii, au următoarele atributii:
a) sa solicite persoanelor care locuiesc in imobil prezentarea actelor de identitate, în termen de 15 zile de la sosire, in vederea inscrierii datelor in cartea de imobil;
b) sa atentioneze persoanele care au actele de identitate cu termenul de valabilitate expirat sau care nu si-au efectuat schimbarea domiciliului ori stabilirea resedintei, in vederea punerii acestora in legalitate;
c) sa pastreze, sa actualizeze si sa utilizeze datele din cartea de imobil cu respectarea dispozitiilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare (in prezent, Regulamentul (UE) 679/2016 – subl. ns.); cartea de imobil se prezinta spre verificare numai politistilor şi lucratorilor de la serviciile publice comunitare de evidenta a persoanelor;
d) sa pastreze in bune conditii cartea de imobil, sa nu o instraineze, iar la mutarea din imobil să o predea presedintelui asociatiei de proprietari.
Art. 95
Inscrierea persoanelor in cartea de imobil se face in baza actului de identitate, iar pentru copiii sub 14 ani, in baza certificatului de nastere.”
Ca atare, legea stabileste ca inscrierea datelor personale in cartea de imobil are la baza actul de identitate sau certificatul de nastere.
In ceea ce priveste datele si categoriile de date colectate in cartile de imobil in conditiile in care legea nu le prevede in mod expres, asa cum s-a subliniat mai sus, corelat cu temeiul legal al prelucrarii, care poate fi interesul legitim, art. 5 din RGPD stabileste o serie de principii care se impun a fi respectate în cadrul prelucrarii datelor, printre care se numara cele privind colectarea datelor in scopuri determinate, explicite şi legitime, prelucrarea datelor adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate, prelucrarea de date exacte, etc.
Cu alte cuvinte, in aceasta situatie se impune respectarea principiului reducerii la minimum a datelor, respectiv prelucrarea datelor strict necesare indeplinirii scopului. Necesitatea insa, trebuie motivata cu argumente solide, care sa justifice prevalenta intersului legitim al colectarii si prelucrarii datelor, asupra drepturilor fundamentale ale persoanelor vizate.
Raportat la situatiile de mai sus, dar si la alte situatii in care prelucreaza date cu caracter personal, asociatiile de proprietari trebuie sa aiba in vedere conditiile de legitimitate si regulile prelucrarii datelor prevazute de RGPD.
In acest context, precizam ca RGPD stabileste ca prelucrarea datelor cu caracter personal se realizeaza la consimtamantul persoanei vizate sau in alte conditii legale in care nu se solicita consimtamantul, prevazute de art. 6, 9 și 10, in functie de natura datelor si categoriilor de date colectate si prelucrate.
Spre exemplu, pentru datele care nu au un caracter special (cum sunt, de ex., numele, prenumele, adresa, telefonul), art. 6 din RGPD stabileste ca prelucrarea este legala numai daca si în masura in care se aplica cel putin una dintre urmatoarele conditii:
”(a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
(c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
(d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
(f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terța, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.”
Corelat cu temeiul legal al prelucrarii, asociatiile de proprietari trebuie sa respecte si principiile prelucrarii datelor care se regasesc la art. 5 din RGPD, astfel:
■ principiul legalitatii, echitatii si transparentei: prelucrarea datelor in mod legal, echitabil si transparent fata de persoana vizata
■ principiul limitarii legate de scop: date colectate in scopuri determinate, explicite si legitime si care nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri
■ principiul reducerii la minimum a datelor: prelucrarea datelor adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate,
■ principiul limitarii legate de stocare: datele sunt pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele
■ principiul exactitatii – prelucrarea de date exacte
■ principiul integritatii si confidentialitatii – prelucrarea datelor intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzătoare.
De asemenea, aceleasi dispozitii ale art. 5, sus-mentionate prevad faptul ca operatorul (asociatia de proprietari) este responsabil de respectarea acestor principii si poate demonstra aceasta respectare (principiul responsabilitatii).
In ceea ce priveste responsabilitatea operatorului, art. 24 din RGPD prevede ca ”Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi în masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.”
Referitor la masurile de securitate pe care asociatia de proprietari este obligata sa le adopte, art. 32 din Regulamentul (UE) 2016/679 care reglementeaza ”Securitatea prelucrarii”, stabileste o serie de aspecte pe care operatorul (asociatia) si persoana imputernicita de acesta (de ex. o societate care indeplineste rolul de administrator sau o entitate care instaleaza si asigura mentenanta sistemului de supraveghere video) trebuie sa le urmareasca in contextul implementarii masurilor tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului pe care o are prelucrarea pentru drepturile si libertatile persoanelor fizice. Printre acestea se regasesc si cele privind pseudonimizarea si criptarea datelor cu caracter personal.
In ceea ce priveste transparenta prelucrarii, sub aspectul informarii persoanelor vizate, asociatia de proprietari trebuie sa efectueze informarea indiferent de temeiul prelucrarii, la consimțamant sau pe baza altor conditii legale in care nu se solicita consimtamantul.
Astfel, art. 12 din RGPD prevede ca operatorul ia masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la articolele 13 si 14 si orice comunicari in temeiul articolelor 15-22 si 34 referitoare la prelucrare, intr-o forma concisa, transparenta, inteligibila si usor accesibila, utilizand un limbaj clar şi simplu.
Informatiile se furnizeaza in scris sau prin alte mijloace, inclusiv, atunci cand este oportun, in format electronic.
Pentru informare, se poate apela la o modalitate de informare generica, prin afisarea notei de informare la avizierul scarii de bloc sau a unor pictograme adecvate, cum ar fi in cazul supravegherii video, la note de informare a persoanei vizate (afisate), precum si la alte modalitati (prin email) ce sunt stabilite de asociatie in functie de situatia concreta de prelucrare a datelor.
Astfel, art. 13 din RGPD prevede ca in cazul îin care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, operatorul (asociatia de proprietari), in momentul obtinerii acestor date cu caracter personal, furnizeaza persoanei vizate informatiile prevazute de aceste dispozitii legale, printre care se numara:
1. identitatea si datele de contact asociatiei de proprietari
2. scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii;
3. categoriile de date cu caracter personal vizate (in cazul datelor obtinute indirect)
4. interesele legitime urmarite de operator sau de o parte terta (daca este cazul);
5. destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
6. perioada de stocare a datelor cu caracter personal (sau criterii pentru stabilirea perioadei);
7. existenta drepturilor persoanei vizate prevazute de art. 15-22 din RGPD
8. existenta dreptului de a-si retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;
9. dreptul de a depune o plangere la Autoritatea de supraveghere;
10. daca furnizarea de date cu caracter personal reprezinta o obligatie legala, contractuala sau o obligatie necesara pentru incheierea unui contract ori pentru executarea acestuia, precum si daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal si care sunt eventualele consecinte ale nerespectarii acestei obligatii;
11. prelucrarea datelor intr-un alt scop decat cel pentru care acestea au fost colectate (daca este cazul);
12. sursa din care provin datele cu caracter personal si daca acestea provin din surse disponibile public (in cazul datelor obtinute indirect).
Pe langa dreptul de informare, un alt drept pe care in mod frecvent persoanele vizate il exercita fata de asociatiile de proprietari in calitatea acestora de operatori si pe care asociasiile sunt obligate sa il respecte este dreptul de acces (art. 15 din RGPD). Astfel, persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc. In cazul în care raspunsul operatorului este afirmativ, persoana vizata are dreptul de a cunoaste si de a i se comunica urmatoarele informatii:
- scopurile prelucrarii;
- categoriile de date cu caracter personal vizate;
- destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate;
- perioada de stocare a datelor cu caracter personal sau criteriile utilizate pentru a stabili aceasta perioada;
- existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
- dreptul de a depune o plangere in fata Autoritatii de supraveghere;
- orice informatii disponibile privind sursa datelor (in cazul datelor obtinute indirect);
- existenta unui proces decizional automatizat incluzand crearea de profiluri, informatii privind logica utilizata si consecintele prelucrarii asupra persoanei vizate;
- transferul catre o tara terta sau o organizatie internationala si garantiile adecvate referitoare la transfer.
Operatorul furnizeaza persoanei vizate o copie a datelor sale cu caracter personal care fac obiectul prelucrarii, în mod gratuit.
Dreptul de a obtine o copie a datelor nu aduce atingere drepturilor si libertatilor altora. In acest sens, operatorul este obligat sa ia masuri pentru protectia datelor personale ale altor persoane care ar putea figura in copia respectiva.
Daca persoana vizata transmite cererea in format electronic si nu opteaza sa primeasca informatiile în alt format, acestea se furnizeaza intr-un format electronic utilizat în mod curent (de ex. prin email).
Mai multe informatii privind modalitatea de informare a persoanelor vizate, dar si exercitarea dreptului de acces, precum si a celorlalte drepturi de care beneficiaza persoana vizata, se pot obtine din Ghidul Intrebari si raspunsuri cu privire la aplicarea Regulamentului (UE) 679/2016. https://www.dataprotection.ro/servlet/ViewDocument?id=1650
Fata de cele de mai sus, rezulta ca asociatia de proprietari trebuie sa analizeze în funcție de specificul activitatilor efectiv realizate, prelucrarile de date personale efectuate, sa stabileasca temeiul legal al acestora si sa ia toate masurile necesare pentru respectarea drepturilor persoanelor vizate, precum si pentru asigurarea securitatii si confidentialitatii datelor, raportat la prevederile RGPD.
In acelasi timp, precizam ca incepand cu 25 mai 2018, Regulamentul (UE) 2016/679 nu mai stabileste obligatia de notificare a prelucrarilor de date cu caracter personal, astfel ca nici asociatiile de proprietari nu mai au aceasta obligatie.
Referitor la numirea unui responsabil cu protectia datelor, in ceea ce priveste asociatiile de proprietari, acestea nu au obligatia de numire a unui responsabil, raportat la art. 37 din RGPD.