Colectarea datelor la intrarea intr-un complex rezidential. De ce, ce, cat….
Majoritatea complexurilor rezidentiale construite recent au implementat reguli privind limitarea si controlul accesului persoanelor straine in incinta complexului, astfel incat sa ofere o mai mare siguranta si incredere celor care aleg sa locuiasca acolo.
Pentru accesul in complex, sunt solicitate date privind identitatea persoanei, destinatia catre care se indreapta, motivul deplasarii, perioada de timp cat va sta in complex si chiar calitatea pe care persoana in cauza o are in cadrul societatii pe care o reprezinta(daca este cazul).
Acum, probabil, va puneti intrebarea daca este legal sa fie solicitate si prelucrate toate aceste date.
Raspunsul este: unele da, altele nu. Depinde de scop!
Nu v-am lamurit, nu-i asa?
Ca sa va lamurim, recurgem la cel mai recent exemplu de ”ASA NU” pe care il avem la indemana, este vorba de cea mai recenta sanctiune primita de o Asociatie de Proprietari.
Mai exact, Asociatia a primit urmatoarele sanctiuni:
- amenda in cuantum de 9.885,80 lei, echivalentul a 2000 EURO, intrucat operatorul a prelucrat in mod excesiv datele cu caracter personal (nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii) ale livratorilor si/sau curierilor in calitate de persoane vizate, fara un temei legal justificat raportat la scopul prelucrarii (controlul accesului in complexul rezidential) si fara sa prezinte dovezi ca asigura informarea corecta si completa a persoanelor vizate, precum si ca datele prelucrate sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopul prelucrarii;
- amenda in cuantum de 24.714,50 lei, echivalentul a 5000 EURO pentru incalcarea prevederilor art. 5 alin. (1) lit. e) si alin. (2) din RGPD, deoarece operatorul nu a stabilit o perioada de stocare a datelor cu caracter personal prelucrate prin intermediul sistemului de supraveghere video (imaginile) si le-a stocat pe o perioada mai mare decat cea necesara indeplinirii scopului in care sunt prelucrate, respectiv controlul accesului in condominiu, desi avea obligatia de a pastra imaginile intr-o forma care sa permita identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele.
Din investigatie a rezultat ca prelucrarea datelor in scopul accesului in complexul rezidential se realiza conform unui contract de prestari-servicii de paza incheiat intre asociatia de proprietari (operatorul) si societatea de paza (imputernicitul), prin care asociatia a mandatat societatea de paza sa asigure paza si protectia obiectivului prin agenti de paza si sa completeze registrul de evidenta a accesului persoanelor. In acest sens, operatorul a emis pentru imputernicit instructiunea conform careia agentii care efectueaza serviciile de paza completeaza Registrul de Evidenta Acces Persoane cu datele personale mentionate in rubricile acestuia, respectiv nume, prenume, seria si nr. actului de identitate, destinatia, ora sosirii, ora plecarii, observatii, exclusiv pentru serviciile de livrari si/sau curierat.
Pentru partea de colectare de date, Autoritatea a mentionat faptul ca s-a realizat o prelucrare excesiva de date, fara temei legal justificat si fara ca operatorul sa fie in masura sa prezinte dovezi ca asigura informarea corecta si completa a persoanelor vizate.
Asadar, greseala operatorului a constituit lipsa informarii persoanelor vizate. Spunem asta deoarece nota de informare era obligatorie in acest caz si prin intermediul ei operatorul era obligat sa comunice urmatoarele date:
- Datele de identificare ale operatorului si ale imputernicitului;
- Scopul prelucrarii datelor;
- Temeiul legal al prelucrarii;
- Perioada de stocare a datelor;
- Datele cu caracter personal necesare satisfacerii scopului urmarit;
- Drepturile persoanelor vizate;
- Canalele puse la dispozitia persoanelor vizate de operator si de imputernicit pentru exercitarea drepturilor;
- Masuri de siguranta aplicate;
Practic, prin informarea respectiva operatorul de date raspundea cerintelor legale si atingea fiecare punct din cele pentru lipsa carora a fost sanctionat.
Pe langa Nota de informare, operatorul era obligat sa implementeze proceduri clare cu privire la:
- perioada de stocare a imaginilor,
- accesul la materialele inregistrate de camerele de supraveghere,
- accesul la registrele in care erau pastrate datele colectate de la persoanele care solicitau accesul in complex,
- volumul de date necesare pentru scopurile urmarite.
Totodata, operatorului i-au fost aplicate de catre reprezentantii autoritatii urmatoarele masuri corective:
- Revizuirea si actualizarea masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor referitoare la protectia datelor cu caracter personal si stabilirea unor termene privind pastrarea datelor intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele.
- Evaluarea prelucrarilor efectuate tinand cont de principiul proportionalitatii si reducerii la minimum a datelor raportat la scopul si temeiul legal al prelucrarii si implementarea masurilor necesare in vederea respectarii principiilor legate de prelucrarea datelor cu caracter personal prevazute de art. 5 din RGPD.
Totodata, in cadrul investigatiei s-a constatat faptul ca la nivelul complexului rezidential controlul accesului se realiza si prin intermediul sistemului de supraveghere video, iar Asociatia de proprietari nu a putut face dovada respectarii principiului limitarii legate de stocare, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatandu-se existenta de imagini stocate cu o vechime de aproximativ un an si jumatate.
Reamintim faptul ca, in situatia in care legislatia aplicabila operatorului nu prevede altfel, perioada de stocare a imginilor surprinse de camerele de supraveghere trebuie limitata la maxim 30 de zile.
Multumim,
Echipa MyBiz GDPR