O asociație de proprietari, amendată cu 2.000 euro pentru că firma de pază contractată prelucra datele curierilor și livratorilor

Astfel, amenda aplicată recent de ANSPDCP, de 2.000 de euro, a vizat asociația de proprietari dintr-un complex rezidențial, ce, prin intermediul companiei care asigura paza complexului, a prelucrat în mod excesiv datele cu caracter personal - nume, prenume, seria și numărul actului de identitate, destinația, ora sosirii și a plecării - ale livratorilor și/ sau curierilor ce voiau să intre în complex, fără un temei legal justificat raportat la scopul prelucrării, așa cum stabilește GDPR, care era controlul accesului în spațiul rezidențial.

Totodată, asociația nu a putut prezenta dovezi legate de faptul că îi informa corect și complet pe cei vizați de monitorizare - livratori și curieri - și că datele prelucrate erau adecvate, relevante și limitate la ceea ce era necesar în raport cu scopul prelucrării.

În plus, ANSPDCP a aplicat o amendă suplimentară, în valoare de 5.000 de euro, deoarece nu fusese stabilită o perioadă de stocare a datelor cu caracter personal prelucrate prin intermediul sistemului de supraveghere video (imaginile), acestea fiind stocate pe o perioadă mai mare decât cea necesară îndeplinirii scopului în care erau prelucrate, respectiv controlul accesului în condominiu.

Investigația ANSPDCP a pornit de la o sesizare prin care era semnalată o posibilă încălcare a prevederilor RGPD, fiindcă reprezentanții firmei de pază colectau și prelucrau datele cu caracter personal în scopul accesului persoanelor la intrarea în complexul rezidențial, iar pentru asta solicitau o serie de date persoanelor care intrau în complex și le notau într-un registru intern.

Din verificare a rezultat că prelucrarea datelor în scopul accesului în complexul rezidențial se făcea în baza unui contract de prestări servicii încheiat între asociația de proprietari și societatea de pază, prin care asociația a mandatat firma de pază să asigure paza și protecția obiectivului prin agenți de pază și să completeze registrul de evidență a accesului persoanelor.

De aceea, asociația de proprietari a stabilit regula ce-i obliga pe agenții de pază să completeze registrul de evidență a persoanelor care voiau să intre în complexul rezidențial cu datele personale menționate în rubricile acestuia, respectiv nume, prenume, seria și numărul actului de identitate, destinația, ora sosirii și a plecării, exclusiv pentru serviciile de livrări și/ sau de curierat.

Nu în ultimul rând, ANSPDCP a constatat că, la nivelul complexului rezidențial, controlul accesului se făcea și prin intermediul sistemului de supraveghere video, iar asociația nu a putut face dovada respectării principiului stabilit de GDPR privind limitarea legată de stocarea datelor obținute astfel, adică nu a fost stabilit un termen adecvat de stocare a imaginilor, fiind găsite imagini înregistrate cu circa un an și jumătate înainte.