41 de ani de la recunoașterea importanței protecției datelor cu caracter personal. Scurtă incursiune în istoria GDPR
După cum au precizat atât vice-președintele Comisiei Europene, doamna Jourová, dar și comisarul Reynders, „Datele devin din ce în ce mai importante pentru economia noastră și pentru viața noastră de zi cu zi. Odată cu lansarea 5G și adoptarea tehnologiilor și a inteligenței artificiale, dar și așa – numitului „Internet of things” (IoT), datele personale vor fi din ce în ce mai întâlnite și vor avea utilizări pe care probabil nu ni le putem imagina. Deși acest lucru oferă oportunități uimitoare, unele situații arată că sunt necesare reguli solide pentru a aborda riscurile clare pentru indivizi și pentru democrațiile noastre. În Europa știm că regulile puternice de protecție a datelor nu sunt un lux, ci o necesitate.”
Datele noastre cu caracter personal sunt supuse zilnic unor procese de prelucrare, fie că vorbim despre efectuarea de tranzacții, relaționarea cu autoritațile publice ori cu entitățile angajatoare, fie că ne raportăm la achiziționarea de bunuri sau servicii, încheierea de parteneriate comerciale sau chiar la simpla noastră navigare pe internet. Toate aceste prelucrări aduc cu sine și o serie de riscuri pe care, de cele mai multe ori, în calitate de persoane vizate, nu le conștientizăm.
Este necesar să întelegem faptul că, în legatură prelucrările de date ce ne aparțin, deținem, în raport cu GDPR, o serie de drepturi pe care ni le conferă chiar legislația în vigoare în materia protecței datelor cu caracter personal, existând o preocupare constantă în legatură cu acest subiect atât pe plan național, cât și la nivel european.
Astfel, în data de 26 aprilie 2006, Consiliul European a decis consacrarea unei zile dedicate protecției datelor cu caracter personal care se celebrează anual în data de 28 ianuarie. Această dată marchează împlinirea a 41 de ani de la adoptarea, în anul 1981, la Strasbourg, a Convenției nr. 108 pentru protecția persoanelor referitoare la prelucrarea automatizată a datelor cu caracter personal. Convenția 108 a avut drept scop garantarea pe teritoriul fiecărui stat parte la aceasta, fiecărei persoane fizice, oricare ar fi cetățenia sa sau reședința sa, respectării drepturilor și libertăților sale fundamentale și, în special, dreptul la viața privată, față de prelucrarea automatizată a datelor cu caracter personal care o privesc, iar prevederile acesteia au avut aplicabilitate atât în sectorul public, cât și în cel privat.
Actualizarea Convenției 108 s-a efectuat în anul 2018, atunci când Comitetul de Miniștri al Consiliului Europei a adoptat Protocolul modificat al Convenției, cunoscut sub numele de „Convenția 108+”. Aceasta așa-zisă modernizare a Convenției surprinde provocările la adresa vieții private a persoanelor, apărute odată cu utilizarea de noi tehnologii informaționale și de comunicare, consolidând totodată principiile Convenției 108, care a fost adaptată noilor realități.
Recent, prin Legea nr. 290 din 9 decembrie 2021, România a ratificat Protocolul de amendare a Convenției 108, deschis spre semnare la data de 10 octombrie 2018 la Strasboug și semnat de țara noastră pe data de 26 iunie 2020.
Cu ocazia împlinirii a 41 de ani de la momentul adoptării Convenției mai sus precizate, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a readus în atenția publicului importanța respectării principiilor de prelucrare a datelor cu caracter personal, a dreptului la viața privată și a dreptului la protecția datelor personale, consacrate ca drepturi fundamentale ale fiecărei persoane fizice. În concret, în cadrul evenimentului dedicat Zilei Protecției Datelor Personale, a fost lansat Ghidul privind prelucrările de date efectuate de asociațiile de proprietari. Acest Ghid afirmă calitatea asociațiilor de proprietari de operatori de date cu caracter personal, context în care se subliniază și obligația acestora de a respecta prevederile impuse de Regulamentul nr. 679/206 (GDPR). Potrivit ANSPDCP, în contextul prelucrării (inclusiv al dezvăluirii) datelor personale, asociațiile de proprietari trebuie să identifice temeiul legal al efectuării acesteia, prevăzut de dispozițiile GDPR prin raportare la prevederile legale din domeniul lor de activitate. Pentru a veni în sprijinul acestor operatori de date cu caracter personal, Autoritatea de Supraveghere a trasat principalele scopuri în care aceste entități prelucrează datele personale, ce vor fi menționate pe scurt în cele ce urmează, și care vizează, în principal, următoarele activități:
- Supravegherea video de către asociația de proprietari
Sistemele de televiziune cu circuit închis (cunoscute și sub denumirea de CCTV) au posibilitatea de înregistrare și stocare a imaginilor și datelor, această activitate supunându-se, conform ANSPDCP, atât prevederilor Regulamentului (UE) 679/2016, cât și ale Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, modificată și completată și Normelor metodologice de aplicare a acesteia, mai ales raportat la instalarea și utilizarea sub aspect tehnic a echipamentelor și elementelor componente ale sistemului de supraveghere video.
În ceea ce privește temeiul prelucrării de date prin intermediul CCTV, este menționat faptul că măsura instalării unui sistem de supraveghere video poate fi luată de către asociația de proprietari în baza interesului legitim al asociației. Interesul legitim se poate referi, spre exemplu, la asigurarea pazei și protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor de utilitate publică, precum și a împrejmuirilor afectate acestora, dar și în zona de acces în imobil sau lifturi.
De asemenea, este important de menționat faptul că nu este suficientă existența în sine a interesului legitim pentru prelucrarea acestor categorii de date personale. Argumentele privind justificarea interesului legitim trebuie, potrivit ANSPDCP, să se regasească într-o documentație la nivelul asociației de proprietari și, ulterior, hotărârea de a instala un astfel de sistem trebuie adoptată în cadrul adunării generale a asociației de proprietari, potrivit legii.
Nu în ultimul rând, în prezentul context de prelucrare a datelor, trebuie precizat și faptul că instalarea camerelor video pe fiecare nivel/ palier din imobil presupune obținerea consimțământului fiecarui locatar de pe nivelul/palierul respectiv.
- Afișarea datelor persoanelor vizate la avizier
In ceea ce privește dezvăluirea datelor proprietarilor/locatarilor la avizierul scării de bloc, ANSPDCP apreciază că, în lipsa unei prevederi legale exprese, datele pot fi dezvăluite doar pe baza consimțământului persoanei vizate, potrivit art. 6 alin. (1) lit. a) din GDPR.
Desigur că, pentru a fi considerat valabil, consimțământul trebuie să îndeplinească mai multe condiții: în primul rând, acesta trebuie acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștința de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, cum ar fi o declarație făcută în scris, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Deși ignoranța adesea în practică, absența unui răspuns sau absența unei acțiuni din partea persoanei vizate echivalează cu absența unui consimțământ valabil.
- Înregistrarea datelor personale în cartea de imobil
Potrivit ANSPDCP, în ceea ce privește înregistrarea datelor personale în cartea de imobil, în măsura în care există o obligație legală în acest sens, datele pot fi prelucrate fără consimțământul persoanei vizate.
Cu toate acestea, și în această circumstanță se impune respectarea principiului reducerii la minimum a datelor, respectiv prelucrarea datelor strict necesare îndeplinirii scopului. Potrivit Ghidului sus amintit, necesitatea, însă, trebuie motivată cu argumente solide, care să justifice prevalența interesului legitim al colectării și prelucrării datelor asupra drepturilor fundamentale ale persoanelor vizate.
Obligațiile asociațiilor de proprietari, prin raportare la GDPR, vor fi detaliate în cadrul unui articol distinct, pe care vă invităm să îl consultați prin accesarea website-ului nostru: www.greculawyers.ro/articole.
Revenind la importanța Zilei Europene a Protecției Datelor, trebuie menționat că în data de 28 ianuarie guvernele, parlamentele, organismele naționale de protecție a datelor, precum și alte entități de profil desfășoară activități de sensibilizare cu privire la drepturile persoanelor de a le fi protejate datele cu caracter personal, respectiv la dreptul la confidențialitate. Acestea pot include, spre exemplu, campanii care vizează publicul larg, proiecte educaționale pentru profesori și studenți, porți deschise la agențiile de protecție a datelor și diverse workshop-uri și conferințe.
Pentru SCA Grecu și Asociații, protecția datelor cu caracter personal reprezintă unul dintre elementele – cheie în desfășurarea activității. Prin crearea unui departament dedicat acestei expertize, avocații din cadrul echipei de „Data protection” susțin în mod activ evenimentele de profil și monitorizează constant progresul legislației naționale și europene în acest domeniu, astfel încât să ofere clienților societății cele mai avizate opinii juridice.
Vă invităm să consultați informațiile regăsite în secțiunea privind serviciile GDPR oferite de SCA Grecu și Asociații pentru crearea unei viziuni de ansamblu în legătură cu modul în care echipa noastră de avocați vă poate sprijini în conformarea la normele în materia protecției datelor: https://greculawyers.ro/consultanta-juridica-gdpr/.
Avocat Mihaela Bălău