Accesul și stocarea filmărilor de la bloc: Cum respectăm legislația de protecția datelor

Nu am mai putea vorbi despre respectarea legislației privind protecția datelor personale (în centrul căreia stă Regulamentul general privind protecția datelor -- pe scurt, GDPR), dacă la montarea unui sistem de supraveghere video la bloc nu s-ar trata cu maximă importanță modul și perioada de stocare a imaginilor de pe camerele video și dacă oricine ar avea posibilitatea să aibă acces la acestea.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a subliniat, în trecut, că montarea unor sisteme de supraveghere video este o chestiune de natură să aducă atingere dreptului la viață privată al persoanelor din bloc și că asociațiile care au (întemeiat) decizia să-și monteze camere trebuie să cocheteze foarte bine cu legislația de protecția datelor.

În primul rând, păstrarea datelor personale prelucrate nu se poate face pentru perioade foarte lungi de timp. GDPR prevede că datele personale trebuie „păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele”.

„Ori de câte ori se realizează o operațiune de prelucrare, trebuie menționată foarte clar perioada pentru care se vor stoca datele în cauză, iar această perioadă nu trebuie să fie mai mare decât perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. (...) GDPR nu cuprinde, în textul său, perioade pentru care trebuie stocate datele în anumite tipuri de prelucrare”, a spus Alin Popescu, avocat cu o experiență extinsă în pregătirea pentru implementarea GDPR.

Într-un ghid realizat pe vechea legislație a protecției datelor, ANSPDCP recomanda asociațiilor de proprietari ca perioada de stocare a imaginilor să nu depășească 20 de zile. Și perioada aceasta ar trebui menționată în hotărârea asociației prin care se ia decizia montării camerelor, alături de toate chestiunile tehnice legate de modul de funcționare a sistemului (care, așa cum precizam cu altă ocazie, e absolut necesar să fie cunoscute de toți cei din bloc, pentru că ține de transparența prelucrării datelor lor personale).

Cine are acces la date?

"În cazul în care persoana desemnată să aibă acces face parte din asociație, instrucțiunile date acesteia se vor realiza în scris, recomandabil, prin aceeași hotărâre a adunării generale a asociației de proprietari. În cazul în care accesul la datele stocate se realizează prin intermediul unei terţe persoane (fizică sau juridică – de exemplu, societatea care asigură mentenanţa sistemului), aceasta are calitatea de persoană împuternicită cu care asociația de proprietari va trebui să încheie un contract [n.a. în condițiile GDPR]: stabilirea de instrucțiuni clare și precise privind prelucrarea datelor, obligația de respectare a măsurilor de securitate și confidențialitate de către persoana împuternicită. ANSPDCP recomandă ca accesul să fie realizat, pe cât posibil, de trei persoane, pentru a se evita utilizarea ilegală a informațiilor obținute din sistem", spunea ANSPDCP în ghidul său pentru montarea sistemelor de supraveghere în blocuri.

Prin urmare, ori e cineva din asociație, ori e cineva din afară, precum firma care asigură mentenanța sistemului. În acest din urmă caz, apare în discuție persoana împuternicită de operator (asociația) să prelucreze datele personale. Lucrurile sunt mai complicate aici și pentru a nu intra în detalii suplimentare despre raportul dintre operatorul de date și împuternicitul său puteți lectura acest material dedicat acestui subiect.

"În orice caz, persoanele care au acces trebuie desemnate și cunoscute de toți cei interesați din bloc. În cazul invocării unui interes legitim de către un terţ, pentru a i se dezvălui datele (imaginile), acest interes legitim trebuie temeinic argumentat de către terţ. Autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari", adaugă ANSPDCP în ghidul său.

Recomandările autorității privind datele stocate și modul de stocare

În privința accesării datelor stocate, ANSPDCP a făcut în trecut unele recomandări, de exemplu:

• realizarea accesului la camere și la imaginile (înregistrările) stocate să nu se facă prin conexiune la internet; 
• accesarea imaginilor stocate să fie efectuată pe bază de user şi parolă; 
• orice accesare la imaginile stocate să fie înregistrată într-un fişier de acces (log); 
• userul de administrator şi parola să fie în posesia unui număr limitat de persoane (o persoană din cadrul asociaţiei şi eventual, reprezentantul din partea societăţii care asigură mentenanţa sistemului, dacă asociaţia a apelat la serviciile unei societăţi); dacă există mai mulți utilizatori, fiecare va avea acces pe bază de user și parolă particularizate, cu stabilirea distinctă a drepturilor fiecăruia (de vizualizare, de salvare pe suport extern, etc.); 
• utilizatorii trebuie să acceseze numai datele necesare pentru îndeplinirea atribuţiilor de serviciu; 
• accesul la imaginile stocate se va face numai în cazul producerii unor evenimente corespunzătoare scopului prelucrării datelor; 
• accesul se va face în baza unor cereri scrise şi înregistrate în cadrul asociaţiei, iar toate accesările trebuie evidențiate în log-uri sau registre speciale care să reflecte cel puțin următoarele: identitatea persoanei care a accesat sistemul, data accesării, motivul, dacă accesarea a avut ca rezultat stocarea imaginilor pe suport extern, destinatarii cărora le-a fost înmânat suportul extern;
• stocarea imaginilor se poate realiza doar local, pe DVR; stocarea imaginilor pe suport extern este admisă numai în cazul exercitării dreptului de acces și al depunerii unor reclamații la organele de control abilitate, în cazuri justificate (de exemplu, ca anexă la o plângere penală); în aceste cazuri, se va întocmi proces-verbal de accesare și înmânare a înregistrărilor către respectivii destinatari, semnat de aceștia și de asociație.

"ANSPDCP recomandă ca aceste echipamente (de stocare - n.red.) să fie localizate în biroul utilizat de conducerea asociației de proprietari; în cazul în care nu există un astfel de birou, echipamentele de stocare se pot instala într-un spațiu distinct, complet securizat. În niciun caz nu este admisă instalarea lor într-unul dintre apartamentele proprietarilor din asociație", a mai precizat Autoritatea în ghidul special.
 

Notă: Acest material face parte dintr-o serie de articole realizate pe tema montării sistemelor de supraveghere în blocurile de locuințe, în contextul GDPR. Restul materialelor se regăsesc aici.