Bugetul.ro a descoperit, în luna martie a anului 2020, că mai sunt administratori de bloc care încalcă Regulamentul General privind Protecția Datelor cu caracter personal (RGPD), făcând publice numele restanțierilor la întreținere. Ca atare, reporterul Bugetul.ro s-a adresat Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Astfel, ANSPDCP ne-a comunicat că administratorul de bloc poate dezvălui numele unei persoane doar cu o condiție: să aibă consimțământul acesteia. În caz contrar, asociația de proprietari riscă amenzi administrative în cuantum de până la 10.000.000 de euro sau, după caz, 20.000.000 de euro- în funcție de încălcarea constatată -, ori poate scăpa doar cu avertisment.
„Prin urmare, raportat la prevederile legale sus-menționate, apreciem că dezvăluirea numelui/prenumelui proprietarilor/locatarilor, în contextul afișării la avizier a restanțierilor la întreținere, se poate realiza cu consimțământul acestora, în baza prevederilor art. 6 alin. (1) lit. a) din Regulament, cu respectarea principiilor și regulilor de protecție a datelor stabilite de acest act normativ”, a precizat, pentru Bugetul.ro, ANSPDCP.
Amenzi de până la 20.000.000 de euro
În cazul în care administratorul de bloc nu respectă Regulamentul General privind Protecția Datelor cu caracter personal, asociața de proprietari riscă să fie amendată cu o sume de până la 20.000.000 de euro.
„Astfel, potrivit art. 83 alin. (4) și (5) coroborat cu alin. (2) din RGPD, se aplică amenzi administrative în cuantum de până la 10 000 000 EUR sau, după caz, 20 000 000 EUR în funcție de încălcarea constatată. Totodată, precizăm că în baza art. 12 alin. (2) din Legea 190/2018 se poate aplica și avertisment în funcție de particularitățile situației”, se arată în răspunsul integral primit de Bugetul.ro de la ANSPDCP.
Răspunsul integral primit de Bugetul.ro de la ANSPDCP
„Domnului Eugen Dinu
Redactor-șef Bugetul.ro
redactorsef@bugetul.ro
Vă informăm că solicitarea dumneavoastră a fost înregistrată la registratura generală a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sub nr. 6116 din 20.03.2020.
Precizăm că Regulamentul General de Protecție a Datelor 2016/679 se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
Menționăm că în ceea ce privește modalitatea de prelucrare a datelor cu caracter personal, inclusiv sub aspectul colectării, stocării, divulgării prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, potrivit Regulamentului (UE) 2016/679, aceasta se realizează în condițiile prevăzute de art. 6 în măsura în care nu sunt date cu caracter special.
Astfel, art. 6 alin. (1) din regulamentul sus-menționat stabilește următoarele:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Astfel, în contextul prelucrării (dezvăluirii) datelor personale, este necesară analizarea temeiului legal al efectuării acesteia, în conformitate cu dispozițiile RGPD mai sus enumerate.
Totodată, menționăm faptul că art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea, se numără cel privind prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (principiul proporționalității), păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele (principiul limitării legate de stocare) și prelucrarea datelor într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
Aceleași dispoziții legale sus-menționate prevăd faptul că operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare (principiul responsabilității).
Prin urmare, raportat la prevederile legale sus-menționate, apreciem că dezvăluirea numelui/prenumelui proprietarilor/locatarilor, în contextul afișării la avizier a restanțierilor la întreținere, se poate realiza cu consimțământul acestora, în baza prevederilor art. 6 alin. (1) lit. a) din Regulament, cu respectarea principiilor și regulilor de protecție a datelor stabilite de acest act normativ.
În același timp, subliniem că prelucrările de date efectuate vor fi precedate de o informare clară, concisă, într-un limbaj simplu, în conformitate cu art. 13 din Regulament, care obligă operatorul să furnizeze persoanei vizate o serie de informații.
Totodată, precizăm că la Capitolul III din Regulamentul (UE) 2016/679 sunt reglementate drepturile persoanei vizate: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergere („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată.
În acest sens, vă informăm că, pentru exercitarea drepturilor, persoanele vizate au posibilitatea să se adreseze cu o cerere operatorului (în speță asociației de proprpietari) în acest sens. Operatorul trebuie să răspundă cererilor persoanelor vizate în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor.
Astfel, la secțiunea ”Plângeri/Plângeri RGPD” de pe site-ul Autorității, persoanele vizate au posibilitatea de a completa un formular electronic de plângere care poate fi trimis pe adresa plangere@dataprotection.ro, cu anexarea de dovezi.
Condițiile de admisibilitate și etapele de soluționare a unei plângeri sunt prevăzute în Decizia președintelui ANSPDCP nr. 133/2018, publicată în M.Of. nr. 600/13.07.2018 și disponibilă pe site-ul nostru.
Pentru nerespectarea prelucrării datelor cu caracter personal, vă informăm că, regimul sancționator în domeniul protecției datelor este reglementat de dispozițiile art. 83 din RGPD și prevederile Cap. VI din Legea nr. 190/2018.
Astfel, potrivit art. 83 alin. (4) și (5) coroborat cu alin. (2) din RGPD, se aplică amenzi administrative în cuantum de până la 10 000 000 EUR sau, după caz, 20 000 000 EUR în funcție de încălcarea constatată. Totodată, precizăm că în baza art. 12 alin. (2) din Legea 190/2018 se poate aplica și avertisment în funcție de particularitățile situației.
Precizăm totodată, că, pentru a veni în sprijinul operatorilor care prelucrează date cu caracter personal, autoritatea de supraveghere a emis ”Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor” și ”Ghid Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 2016/679” care sunt disponibile pe site-ul instituției noastre www.dataprotection.ro la secțiunea ”Regulament (UE) 2016/679 aplicabil din 25 mai 2018”
Vă aducem la cunoştinţă că accesând adresa de internet sus – amintită a autorității de supraveghere puteți regăsi mai multe materiale/ghiduri privind aplicarea Regulamentului General de Protecție a Datelor 2016/679.
Alina SĂVOIU,
Director Direcția juridică și comunicare”.
Vezi și Ne mai putem proteja cadrele medicale de noul coronavirus sau totul este pierdut?
Medicii români au interzis! Motivul pentru care nu se poate prescrie tratamentul pentru COVID-19
