Regulamentul privind protecția datelor cu caracter personal nu mai este o necunoscută la nivel juridic și social. Prevederile sale sunt aplicabile erga omnes și presupun, în caz de încălcare, aplicarea sancțiunilor necesare. Actualmente s-a statuat că și persoanele fizice se vor conforma și pot să fie sancționate prin prezentul regulament. Ce se întâmplă însă cu asociațiile de proprietari? Au acestea calitatea de subiect activ – prin aceasta înțelegându-se subiectul asupra căruia se va aplica sancțiunea pentru încălcarea prevederilor privind protecția datelor cu caracter personal?
Înainta de a trata propriu-zis problematica enunțată, este necesar să pornim de la pct. (129) din Regulamentul privind protecția datelor cu caracter personal. În acest sens, sunt precizate următoarele:
- pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași sarcini și competențe efective, inclusiv competențe de investigare, competențe corective și sancțiuni, precum și competențe de autorizare și de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum și, fără a aduce atingere competențelor autorităților de urmărire penală în temeiul dreptului intern, de a aduce în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și de a se implica în proceduri judiciare. Aceste competențe ar trebui să includă și competența de a impune o limitare temporară sau definitivă, inclusiv o interdicție, asupra prelucrării.
Atare prevederi conferă o protecție sporită persoanei, în sensul de a preciza modalitatea în care se va realiza protecția datelor cu caracter personal, dacă se produce o încălcare a acestora. Astfel, Regulamentul prevede posibilitatea de stabilire a unor competențe clare, care se vor subsuma în competențe de investigare, corective și sancționatorii, dar și în competențe de consiliere și autorizare.
La nivel intern, în ceea ce privește aplicarea sancțiunilor privind încălcarea prevederilor în materie de protecție a datelor cu caracter personal, regăsim ca entitate îndreptățită Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În privința subiectului aplicării sancțiunilor, apare întrebarea cu privire la calitatea de subiect ,,activ” în materie de nerespectare a prelucrării datelor cu caracter personal a asociațiilor de proprietari.
Asociația de proprietari este definită drept o formă de asociere autonomă și nonprofit a majorității proprietarilor dintr-un codominiu. Poate aceasta fi sancționată pentru nerespectarea prevederilor privind protecția datelor cu caracter personal?
Pentru lămurirea acestei problematici vom porni de la un caz practic, anume de la sancțiunea aplicată de către Autoritatea Națională de Supraveghere unei asociații de proprietari. Sancțiunea aplicată a fost urmare a unei plângeri, ce avea ca obiect accesarea, utilizarea și dezvăluirea către terțe persoane, fără temei legal, a unor imagini cu persoana în cauză. Imaginile respective proveneau de la sistemul de supraveghere al asociației. Investigarea realizată de către Autoritatea de Supraveghere a condus la concluzia că nu s-au adoptat măsurile de securitate pentru protejarea datelor personale colectate.
Sancțiunea aplicată a fost amenda în valoare de 500 de euro, pentru încălcarea prevederilor art. 83, alin. (5), lit. a) și b) și ale art. 83, alin. (4) din Regulamentul privind protecția datelor cu caracter personal. De asemenea, s-au aplicat următoarele măsuri corective:
- de a asigura conformitatea cu RGPD a operațiunilor de prelucrare efectuate prin intermediul sistemului de supraveghere video în sensul informării persoanelor vizate conform art. 12 și 13 din RGPD, inclusiv prin postarea unor avertizări și note de informare în apropierea locurilor unde sunt montate camerele video, în termen de 10 zile lucrătoare de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD);
- de a asigura conformitatea cu RGPD a operațiunilor de prelucrare prin adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video, inclusiv sub aspectul integrării principiilor de protecție a datelor (cum ar fi cel al stocării limitate a înregistrărilor), al stabilirii unui număr limitat de persoane care să aibă acces la acest sistem, al drepturilor ce pot fi alocate fiecăreia dintre acestea, al prevederii unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației, astfel încât să se evite accesarea, diseminarea sau prelucrarea în alt mod neautorizat a datelor personale prelucrate prin intermediul acestui sistem, conform art. 25 și art. 32 din RGPD, în termen de 30 zile de la data comunicării prezentului proces-verbal (art. 58 alin. (2) lit. d) din RGPD).
Măsurile au fost aplicate în scopul asigurării conformității operațiunilor de prelucrare cu prevederile Regulamentului privind protecția datelor cu caracter personal. Pe aceste considerente și având în vedere cazul expus anterior, asociațiile de proprietari pot să fie supuse aplicării sancțiunilor în materie de prelucrare a datelor cu caracter personal (punctual în stituația în care se realizează stocări ale anumitor înregistrări video, care pot să fie accesate, diseminate sau prelucrate în mod neautorizat).
