M-am gândit că Exemplul prezentat mai jos este adesea întâlnit de către fiecare dintre noi atunci când ne întoarcem acasă sau ne plimbăm prin cartier în vizită la vreun prieten.
Exemplul. O persoană (“vecinul”) sau Asociația de proprietari montează o cameră de supraveghere video la balcon (sau în altă parte) în scopul de a înregistra persoanele care intră în bloc, precum și parcarea publică din fața blocului, unde se află parcată și mașina personală a acestuia. Situația apare des întâlnită în viața publică a locatarilor și proprietarilor de locuințe precum și a asociațiilor de proprietari. Are aceasta vreo legătură cu Regulamentul General privind Protecția Datelor? Există vreo obligație a primăriilor sau altor instituții, autorități publice în privința gestionării acestui tip de acțiuni care, în general, au drept scop prevenirea sau luarea măsurilor de identificare a autorilor unor infracțiuni? Trebuie persoanele fizice să accepte aceste modalități de alarmare împotriva efracțiilor?
În primul rând, trebuie să se observe că Exemplul privește două situații distincte, fiecare la rândul ei cu variante: situația monitorizării parcării unde se găsesc autoturisme în general ale proprietarilor/deținătorilor de locuințe, și cea de a doua situație care privește paza blocului și a locuințelor. O altă observație este referitoare la calitatea celui care realizează monitorizarea: poate fi asociația de proprietari, poate fi o persoană fizică, însă calitatea influențează dimensiunea monitorizării, modul de organizare a monitorizării și consistența/anvergura interesului legitim de a realiza supravegherea video. Astfel, persoana fizică poate justifica monitorizarea exclusiv a spațiilor unde interesul legitim, strict propriu, justifică această supraveghere video, în timp ce asociația de proprietari își extinde interesul legitim prin reprezentarea locatarilor la întreg perimetrul unde se află bunuri ale acestora (parcare, condominium și alte spații unde se realizează activități ale locatarilor reprezentați).
Problematica prezentată fiind “culeasă” din practici existente la momentul de față, mai mult sau mai puțin legale, evidențiază ideea că o prelucrare de date cu caracter personal “prin sistem de supraveghere CCTV” realizată fie de o persoană fizică, fie de o persoană juridică, precum asociația de proprietari, chiar dacă se poate justifica și întemeia pe un interes legitim, aceasta devine nelegală atât timp cât modalitatea de realizare a ei se face cu nerespectarea reglementărilor specifice și a garanțiilor adecvate pentru respectarea vieții private (informare adecvată; posibilitate de acces, transparență, stabilirea clară a drepturilor de acces sau de exercitare a drepturilor de ștergere, control etc.)
Din acest motiv, sancționarea unor acțiuni de acest gen se poate realiza atât în temeiul Regulamentului General de Protecție a Datelor, precum și în temeiul altor legi specifice, precum legea privind paza bunurilor și a obiectivelor.
Problema care se pune atunci când în practică se ivește o situație de acest gen este că riscurile la adresa persoanelor vizate nu pot fi evaluate și nici tratate, deoarece este dificil de cunoscut intruziunea în viața privată a persoanelor vizate a unui sistem care nu a trecut printr-o procedură administrativă și juridică de certificare, în timp ce deținătorul sistemului nu a luat măsuri adecvate de informare a persoanelor fizice, iar accesul la sistem și exercitarea drepturilor persoanelor vizate devine anevoioasă sau ineficientă, dat fiind circumstanțele în care s-a produs prelucrarea de date prin sistemul CCTV.
Sub aspectul aplicabilității RGPD se impune constatarea că o asociație de proprietari este un operator de date care intră sub incidența articolului 2 alin. (1) din RGPD coroborat cu art. 4 pct. (7), deoarece realizează o prelucrare de date organizată, în cadrul unui sistem de evidență prin mijloace automatizate, combinat uneori cu mijloace neautomatizate (spre exemplu, atunci când sistemul de supraveghere este dublat de vizionarea înregistrării, de către o persoană cu atribuții, într-un mod constant și cu o periodicitate specifică, eventual chiar instantaneu). Atunci, însă, când avem în vedere o supraveghere realizată de către o persoană fizică (un așa-zis “vecin”), constatarea aplicabilității RGPD poate fi o activitate mai dificilă, fie pentru că nu sunt cunoscute caracteristicile sistemului de supraveghere CCTV și nici modul de organizare a supravegherii (periodicitate, stocare de imagini, vizionare de înregistrări etc.), fie pentru că această constatare este dificil de realizat datorită conduitei potrivnice a celui care face asemenea înregistrări. Intim legat de această rezoluție este faptul de a ști dacă este incident articolul 2 aliniatul 2 litera c) unde se stabilește că RGPD nu se aplică atunci când prelucrarea se realizează “c) de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice. Aici, trebuie să se aibă în vedere statuarea Curții de Justiție a Uniunii Europene din cauza C 212/13, potrivit căreia nu poate fi considerată o activitatea exclusiv personală, supravegherea video care este îndreptată spre un spațiu public și nu cuprinde elemente private exclusiv ale celui care face această supraveghere.
Asemenea practici aduc în discuție incidența regulilor încălcate, din moment ce constatarea noastră este că RGPD este, de principiu, aplicabil situațiilor mai sus expuse.
Articolul 5 (1) din RGPD pretinde, pentru conformitate, ca prelucrarea de date să fie realizată în mod legal, echitabil și transparent: este evidentă încălcarea acestei reguli, deoarece supravegherea se face cu nerespectarea prevederilor Legii 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor (nelegalitate); cu ignorarea proporționalității dintre interesul legitim al operatorului și restrângerea vieții private (nu există evaluare de riscuri a sistemului; nu există dimensionarea perimetrului supravegheat raportat la scopul urmărit; deci există lipsă de echitate a prelucrării); calitățile sistemului de supraveghere, informările adecvate despre prezența acestuia și posibilitățile de exercitare a drepturilor de acces adesea sunt inexistente (încălcarea transparenței adecvate).
Față de expunerea de mai sus, trebuie să se identifice ce măsuri s-ar recomanda pentru tratarea acestor riscuri generate, de altfel, de absența conformității cu RGPD?
Ținând cont că RGPD, în spiritul său, pretinde acțiuni din partea autorităților statului cu competențe de informare sau coordonare pe diferitele domenii, în cauza de față putem observa cel puțin două categorii de persoane juridice interesate să ia măsuri de acest fel. În special, astfel cum rezultă din Legea specială nr. 333/2003 autoritățile polițienești sunt cele care au atribuții în acest sens, tot astfel cum credem că activitățile ar trebui să se axeze pe partea de prevenire prin informare. De asemenea, potrivit articolului 1 alin. (2) litera a), coroborat cu Articolul 36(6) din Legea nr. 215/2001 a administrației publice locale și articolul 10 alin. (1) din noua Lege nr. 196/2018 privind înființarea, organizarea și funcționarea asociațiilor de proprietari și administrarea condominiilor, rezultă că primăriile ar putea să se implice în procesul de informare și conștientizare a aspectelor legate de protecția datelor printr-o colaborare cu asociațiile de proprietari.
