20.06.2022
Sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat, în data de 27.05.2022, o investigație la operatorul Asociația de Proprietari Aviației Park, în urma căreia s-a constatat încălcarea prevederilor Regulamentului General privind Protecția Datelor (RGPD), operatorul fiind sancționat contravențional cu amendă astfel:
- amendă în cuantum de 9.885,80 lei, echivalentul a 2000 EURO pentru încălcarea prevederilor art. 5 alin. (1) lit. a) și c) și alin. (2) prin raportare la art. 6 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (nume, prenume, seria și nr. actului de identitate, destinația, ora sosirii, ora plecării, observații) ale livratorilor și/sau curierilor în calitate de persoane vizate, fără un temei legal justificat raportat la scopul prelucrării (controlul accesului în complexul rezidențial) și fără să prezinte dovezi că asigură informarea corectă și completă a persoanelor vizate, precum și că datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul prelucrării;
- amendă în cuantum de 24.714,50 lei, echivalentul a 5000 EURO pentru încălcarea prevederilor art. 5 alin. (1) lit. e) și alin. (2) din RGPD, deoarece operatorul nu a stabilit o perioadă de stocare a datelor cu caracter personal prelucrate prin intermediul sistemului de supraveghere video (imaginile) și le-a stocat pe o perioadă mai mare decât cea necesară îndeplinirii scopului în care sunt prelucrate, respectiv controlul accesului în condominiu, deși avea obligația de a păstra imaginile într-o formă care să permită identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele.
Totodată, în temeiul art. 58 alin. (2) lit. d) din RGPD, s-au dispus față de operator următoarele măsuri corective:
- Revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la protecția datelor cu caracter personal și stabilirea unor termene privind păstrarea datelor într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele.
- Evaluarea prelucrărilor efectuate ținând cont de principiul proporționalității și reducerii la minimum a datelor raportat la scopul și temeiul legal al prelucrării și implementarea măsurilor necesare în vederea respectării principiilor legate de prelucrarea datelor cu caracter personal prevăzute de art. 5 din RGPD.
Investigația a fost demarată ca urmare a unei sesizări, prin care se semnala o posibilă încălcare a dispoziţiilor RGPD, întrucât reprezentanții societății de pază colectau și prelucrau datele cu caracter personal în scopul accesului persoanelor la intrarea în complexul rezidențial, sens în care solicitau o serie de date persoanelor care intrau în complex și le notau într-un registru intern.
Din investigație a rezultat că prelucrarea datelor în scopul accesului în complexul rezidențial se realiza conform unui contract de prestări-servicii de pază încheiat între asociația de proprietari (operatorul) și societatea de pază (împuternicitul), prin care asociația a mandatat societatea de pază să asigure paza și protecția obiectivului prin agenți de pază și să completeze registrul de evidență a accesului persoanelor. În acest sens, operatorul a emis pentru împuternicit instrucțiunea conform căreia agenții care efectuează serviciile de pază completează Registrul de Evidență Acces Persoane cu datele personale menționate în rubricile acestuia, respectiv nume, prenume, seria și nr. actului de identitate, destinația, ora sosirii, ora plecării, observații, exclusiv pentru serviciile de livrări și/sau curierat.
Totodată, în cadrul investigației s-a constatat faptul că la nivelul complexului rezidențial controlul accesului se realiza și prin intermediul sistemului de supraveghere video, iar Asociația de proprietari nu a putut face dovada respectării principiului limitării legate de stocare, statuat de art. 5 alin. (1) lit. e) din RGPD, respectiv stabilirea de termene adecvate de stocare a imaginilor, constatându-se existența de imagini stocate cu o vechime de aproximativ un an și jumătate.
În acest context, subliniem faptul că potrivit art. 4 pct. 7 din RGPD operatorul stabilește scopul și mijloacele de prelucrare, iar conform art. 28 alin. (3) lit. a) din RGPD împuternicitul prelucrează datele numai pe baza unor instrucțiuni documentate din partea operatorului.
De asemenea, reamintim faptul că potrivit art. 5 din RGPD, operatorul trebuie să respecte principiile de prelucrare a datelor, printre care cele privind ”legalitatea, echitatea şi transparenţa”, ”reducerea la minimum a datelor” și ”limitarea legată de stocare”. În același timp, operatorul este responsabil de respectarea principiilor şi trebuie să demonstreze această respectare (”principiul responsabilității”).
Directia juridică și comunicare
A.N.S.P.D.C.P.