Prin articolul de astăzi continuăm seria de informări pe tema protecţiei datelor personale folosite de categorii concrete de operatori de date, date vehiculate în virtutea activităţii practicate. Pentru aducere aminte, data trecută am abordat subiectul protecţiei datelor cu caracter personal de către executorii judecătoreşti.
Revenind la subiectul de azi, aşa cum este prevăzut în articolul 2 alin. (1) din Regulamentul European nr. 679/2016, intra sub incidenţa regulamentului prelucrările de date cu caracter personal efecuate total sau parţial, de către asociaţiile de proprietari, prin mijloace automatizate, precum şi prelucrărilor prin alte mijloace decât cele automatizate. În completare, şi art. 4 pct. (7) din regulament defineşte noţiunea de ,,operator” ca fiind persoană fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal, atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern.
Prin urmare, o asociație de proprietari este un operator de date deoarece realizează o prelucrare de date în mod organizat, în cadrul unui sistem de evidență prin mijloace automatizate, combinat uneori cu mijloace neautomatizate, cum ar fi, de exemplu, supravegherea video din cadrul blocului.
Util ar fi să invocăm art. 39 din O.U.G. nr.97 din 14 iulie 2005, republicată în 2011, care prevede: ,,(1) Persoanele care îşi schimbă domiciliul sau îşi stabilesc reşedinţa sunt obligate să ceară înscrierea în cartea de imobil la noua locuinţă în termen de 15 zile de la mutare.
(2) Persoanele care locuiesc în imobil sunt obligate să prezinte actul de identitate responsabilului cărtii de imobil, la solicitarea acestuia, pentru actualizarea cartii de imobil.” Astfel, prin lege, fiecare proprietar este obligat ca în termen de 15 zile să prezinte la asociaţia de locatari documentul care să ateste proprietatea: contractul de vanzare-cumparare, certificat de moştenitor sau orice alt document din care rezultă calitatea de proprietar.
Cu toate că organizarea activităţii de ţinere a evidenţei locatarilor prin cartea de imobil revine, în principal, Ministerului Administraţiei şi Internelor, prin unităţile de poliţie, aceste cărţi de imobil nu sunt completate doar de politişti, ci de administratorul imobilului sau de un reprezentant desemnat în acest sens. Cartea de imobil se întocmeşte şi se actualizează de către persoana anume desemnată, cu acordul proprietarilor imobilului avizată de asociaţia de proprietari. În cazul asociaţiei de proprietari, responsabilul cărtii de imobil este, de regula, administratorul, preşedintele asociaţiei sau un membru al comitetului executiv.
Păstrarea, actualizarea şi utilizarea datelor din cartea de imobil de către persoana desemnată în acest sens, se face cu respectarea legislaţiei pentru protecţia datelor cu caracter personal şi libera circulaţie a acestor date. Pentru completarea cărţii de imobil, proprietarul trebuie să prezinte actul de identitate, în original. Datele sunt notate în cartea imobilului iar asociaţia de locatari este obligată să implementeze măsuri minime tehnice şi organizatorice pentru a asigura confidentialitatea datelor personale ale tuturor locatarilor. De exemplu, modalitatea de afişare, de transmitere şi divulgare a datelor către terţi trebuie să fie însoţită de instrucţiuni concrete.
Prin terţi se întelege orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritatile publice, instituţiile şi structurile teritoriale ale acestora, alte persoane decât persoana vizată (locatarul blocului), operatorul ori persoana împuternicită, sau persoanele care, sub autoritatea directa a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date.
Referitor la securitatea prelucrărilor datelor, în cazul în care asociaţia de locatari deţine un site, acesta trebuie să aibă implementate măsuri tehnice de securitate minime obligatorii, iar în cazul sistemelor de supraveghere video, este obligatoriu ca acesta să aibă toate aprobările de la Inspectoratul General al Politiei Romane, iar societatea care montează sistemul de supraveghere video trebuie să aibă toate autorizaţiile şi să existe un proiect şi plan de securitate depus la Inspectoratul General al Politiei Romane. Pentru instalarea sistemelor de monitorizare video este necesar acordul proprietarilor şi se impune declararea prelucrarii datelor în acest scop, prin completarea unui formular de notificare şi de informare şi afişarea anunţului de supraveghere video.
Astfel, pentru a prelucra legal datele cu caracter personal, trebuiesc îndeplinite cumulativ următoarele condiţii:
- să existe un temei juridic care să fundamenteze;
- prelucrarea să se desfăşoare cu respectarea tuturor cerinţelor legale în materie, datele să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
- prelucrarea să fie realizată într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale.
În acest sens, vă recomandăm aplicarea câtorva proceduri interne referitoare la protecţia datelor, cum ar fi: conştientizarea importanţei datelor cu caracter personal; efectuarea auditului fluxului de date pe care le colectează şi prelucrează societatea, stabilirea temeiului legal al prelucrării şi a perioadei de stocare a datelor; depistarea surselor din care provin datele şi identificarea scopului pentru care aceste date sunt prelucrate; elaborarea măsurilor tehnice adecvate de protecţie a datelor.
Printre măsurile minime se numără măsurile organizatorice, care constau în desemnarea unui responsabil pentru prelucrarea datelor, limitarea numărului de persoane din cadrul asociaţiei care au acces la datele cu caracter personal şi măsuri tehnice, cum ar fi de exemplu criptarea. Regulamentul nu specifică şi nu impune măsuri concrete de securitate. În schimb, acesta cere ca aceste măsuri să fie stabilite de fiecare asociaţie în parte, ţinând cont de factori, cum ar fi: categoria şi natura datelor cu caracter personal pe care le colectează, cât de sensibile sunt acestea şi riscurile generate de prelucrarea lor.
Printre riscurile frecvente care ar trebui să fie luate în considerare se numără: intruziunea fizică, pierderea accidentală sau atacurile hackerilor, imposibilitatea de a răspunde cererilor de acces la date, venite de la persoanele vizate. Dezvoltarea unui plan de gestiune a riscurilor şi luarea unor măsuri de reducere a riscurilor, cum ar fi protejarea prin parolă, jurnale de audit şi implementarea sistemelor de criptare, pot facilita conformitatea.
În cazul unei breşe de securitate, este obligatorie notificarea Autorităţii Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în termen de 72 de ore de la luarea la cunoştinţă. Totodată, dacă breşa de securitate a generat un risc semnificativ de vătămare a persoanelor vizate, devine obligatorie notificarea acestor locatari.
Sursa: www.impactdata.ro