În fiecare an, raportul de activitate al Autorității ne arată că asociațiile de proprietari se află în topul sesizărilor privind prelucrările nelegale de date personale. Raportul pe anul precedent arată că „au fost reclamate, în principal, aspecte referitoare la: afișarea la avizierul condominiului a diferite documente care conțineau date cu caracter personal ale proprietarilor, utilizarea imaginilor video preluate de sistemele de supraveghere video instalate în alt scop decât cel pentru care au fost instalate inițial camerele de supraveghere la nivelul asociației de proprietari, nerespectarea dreptului de acces la propriile imagini, instalarea nelegală a camerelor de supraveghere pe paliere”.
1. Afișarea la avizier a datelor personale a mai fost sancționată până acum de ANSPDCP de numeroase ori. Într-unul dintre cazurile prezentate în raportul de activitate al Autorității pe 2021 e descrisă situația unui locatar căruia asociația i-a dezvăluit datele cu caracter personal (nume, prenume, domiciliu), cuprinse într-o solicitare înregistrată la asociație, prin afișarea respectivului înscris la intrările în scările blocului în care domiciliază. Deși locatarul a cerut respectarea confidențialității datelor sale, asociația nu a dat curs solicitării sale.
Ne întoarcem însă și la o altă practică comună a asociațiilor de proprietari, respectiv afișarea cheltuielilor la avizier. Practica s-ar putea să nu fie conformă cu legislația din domeniul protecției datelor - cel puțin nu în felul în care ea are loc de cele mai multe ori, adică cu toate datele la vedere. În ceea ce privește dezvăluirea datelor precum numele și prenumele proprietarilor/locatarilor la avizierul scării de bloc, în lipsa unei prevederi legale exprese, datele pot fi dezvăluite doar pe baza consimțământului persoanei vizate. Consimțământ care, de cele mai multe ori, lipsește.
Soluția ideală ar fi publicarea unor liste cu numerele apartamentelor și sumele de plată sau cele deja restante, să zicem. Dar fără nume și prenume în dreptul fiecărui apartament.
În egală măsură, afișarea imaginilor de pe camerele video cu persoane suspectate de comiterea unor infracțiuni nu e permisă.
2. Sistemele de supraveghere - li se oferă sau nu persoanelor acces la imagini? Autoritatea a lămurit demult că amplasarea sistemelor de supraveghere video în blocurile de locuințe, în curțile ansamblurilor rezidențiale cu circuit închis (proprietate privată) ș.a. este permisă - dar nu și pe paliere, la fiecare etaj sau la unele etaje, întrucât măsura este excesivă. Totuși, nu în toate asociațiile s-a înțeles chestiunea accesului la imagini. „În ceea ce privește instalarea camerelor video pe fiecare nivel/palier din imobil, apreciem că pentru prelucrarea imaginilor respective este necesară obținerea consimțământului fiecărui proprietar/locatar de pe nivelul/palierul respective, raportat la riscurile aduse vieții private a acestora”, potrivit ANSPDCP.
În politicile de prelucrare a datelor ce însoțesc sistemele de supraveghere apare adesea menționată ideea că accesul la imagini se face doar în cazul solicitărilor venite din partea organelor judiciare, conform legii. Pentru a susține o plângere penală depusă pentru o faptă de distrugere, un locatar a cerut asociației acces la imaginile de pe camerele din exteriorul blocului, instalate la una dintre scările asociației în dreptul căruia se afla parcată mașina sa (care suferise distrugerile), aflăm din speța prezentată în raportul ANSPDCP. Asociația a refuzat, invocând, pe de o parte, că sistemul a fost achiziționat și pus în funcțiune exclusiv de către proprietarii din scara respectivă (printre care nu se număra și petentul), dar și că, pe de altă parte, nu dispune de personal specializat care să utilizeze sistemul de supraveghere pentru a accesa și extrage informațiile și imaginile din perioada solicitată.
Asociația a procedat greșit refuzând accesul petentului la imagini. Și atunci apare întrebarea: când și cum se permite accesul la imaginile de pe camerele de supraveghere? E nevoie mereu de o solicitare venită de la organele legii sau poate fi o solicitare justificată și a unui locatar?
Întotdeauna, Autoritatea subliniază necesitatea de a stabili, prin politica internă, un număr limitat de persoane care au acces la imagini. Totodată, persoanele care au acces la imagini nu le pot prelucra decât la cererea operatorului și în scopul pentru care datele au fost inițial colectate. „Persoana/persoanele care are/au acces la imagini ar trebui să le poată vizualiza doar în situația producerii unui incident care are legătură cu scopul declarat al prelucrării, și nu în mod continuu/frecvent și/sau în timp real”, spune ANSPDCP pentru asociațiile de proprietari.
Practic, având în vedere dreptul de acces recunoscut persoanelor vizate de prelucrări prin art. 15 din GDPR, asociațiile sunt obligate să le pună la dispoziție solicitanților imagini de pe sistemul de supraveghere, în condițiile stabilite în instrucțiunile aferente - de exemplu, în baza unei solicitări scrise, însoțită de suportul pe care vor fi transferate înregistrările solicitate.
ANSPDCP recomandă în general o perioadă de stocare a datelor de 30 de zile, dar excepțional ar putea fi nevoie de o perioadă de stocare mai îndelungată - „situațiile temeinic justificate în care s-au produs evenimente ce necesită stocarea doar a imaginilor relevante pe o perioadă mai mare de timp necesară îndeplinirii scopurilor respective (de ex. până la soluționarea definitivă a unei cauze penale de către organele judiciare)”.
3. Prelucrarea datelor vizitatorilor. Tot recent, o asociație a fost amendată pentru că în urma unui control s-a constatat că, la intrarea în complexul rezidențial a livratorilor sau curierilor, erau notate datele personale ale acestora (nume, prenume, seria și numărul actului de identitate, destinația, ora sosirii și a plecării). Prelucrarea o făcea, în mod concret, firma de pază, dar ca împuternicit, la solicitarea asociației, ca operator de date, iar din instrucțiunea trimisă de la operator la împuternicit reieșea că datele erau prelucrate în acest fel doar pentru serviciile de livrări și/sau curierat.
ANSPDCP a amendat operatorul pentru că prelucra în mod excesiv datele cu caracter personal ale livratorilor și curierilor, fără un temei legal justificat raportat la scopul prelucrării (controlul accesului în complexul rezidențial) și fără să prezinte dovezi că asigură informarea corectă și completă a persoanelor vizate, precum și că datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul prelucrării.