ASOCIATII DE PROPRIETARI – GDPR

ARTICOL AVOCATNET.RO + DATE SITE https://www.dataprotection.ro

Într-o informare recentă privind sancțiunile și măsurile dispuse în urma unor controale din ultimele luni,
asociațiile de proprietari apar și ele ca fiind ținta controalelor Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal (ANSPDCP). Problemele găsite de Autoritate la asociații nu au avut
însă de-a face doar cu sistemele de supraveghere video. ANSPDCP a subliniat că uneori se cer locatarilor
prea multe date personale, că asociațiile sunt obligate să răspundă solicitărilor în materia protecției datelor,
dar și că la avizier nu trebuie să apară date personale.
Când GDPR a intrat în vigoare, la finele lui mai 2018, am observat mulți membri ai unor asociații de
proprietari care păreau convinși că normele privind protecția datelor nu le incumbă, nu le privesc, iar
asociațiile nu pot intra nicicând sub lupa Autorității de Protecția Datelor pentru că nu sunt operatori de
date. Asociațiile de proprietari prelucrează date personale însă, prin urmare, dacă există o legislație a
protecției datelor, atunci ele trebuie să o respecte, oricum s-ar numi ea.
Marți, ANSPDCP a prezentat public măsurile coercitive impuse în lunile iulie-septembrie 2019 entităților
controlate și, printre acestea, găsim destule ce privesc asociațiile de proprietari. Observăm că Autoritatea
nu a aplicat acestor asociații amenzi, ci avertismente, însoțite de anumite solicitări: să ofere informații
Autorității, să ia anumite măsuri, să dea informațiile cerute membrilor asociației ș.a.m.d.
1.Avertisment -pentru încălcarea art. 12 din RGPD, deoarece
Asociația de
Asociația de Proprietari Bl. 35 a transmis un răspuns petentului cu
Proprietari Bl.
13 depășirea termenului prevăzut în art. 12 alin. (3) din RGPD;
35, 20.06.2019
. 2.Să furnizeze persoanelor vizate informaţii privind acţiunile
Municipiul
întreprinse în urma unor cereri în temeiul articolelor 15-22, fără
Bucuresti
întârzieri nejustificate.

1. Avertisment - în temeiul art. 58 alin. (2) lit. b) din Regulamentul

(UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea nr.
190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin. (1) din
Legea nr. 102/2005, republicată, întrucât Asociația de Proprietari
Confort Park 1A:
- a instalat un sistem de supraveghere video în incinta imobilului pe
care îl administrează fără să facă dovada realizării informării
persoanelor vizate încălcându-se prevederile art. 13 din Regulament;
- nu a facut dovada asigurării confidențialității datelor cu caracter
Asociația de
personal ale persoanelor ale căror date au fost afișate la avizier, astfel
Proprietari
încât au fost dezvaluite numele și prenumele la avizierul asociației,
Confort Park
22 fără consimțământul acestor persoane și fără existența unei alte
1A, 5.07.2019
. situații în care consimțământul nu este necesar, încălcându-se
Municipiul
prevederile art. 5 alin. (1) lit. b) și c) și art. 6 alin. (1) lit. a) din RGPD;
Bucuresti
- solicită proprietarilor date personale excesive și copii după diverse
documente, în vederea completării cărţii de imobil, încălcându-se
prevederile art. 5 alin. (1) lit. a) și c) din RGPD.
2. Să ia măsurile necesare astfel încât, pe viitor, datele cu
caracter personal să nu fie utilizate și dezvăluite cu încălcarea
principiilor de prelucrare a datelor, respectându-se principiul
limitării legate de scop și reducerea la minimum a datelor;
3. Să realizeze informarea persoanelor vizate prin completarea
afișelor de avertizare cu informațiile prevăzute de art. 13.

1.Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și lit. e) din

RGPD întrucât nu a furnizat toate informațiile solicitate de ANSPDCP,
în exercitarea competențelor sale de investigare, prin adresele
Asociația de transmise, cu privire la comunicarea unui răspuns la cererea unor
Proprietari Bloc petenți;
. 713 18.07.2019 2. Comunicarea unui răspuns la cererea petenților;
Municipiul 3. Să întocmească o procedură referitoare la gestionarea
Bucuresti cererilor persoanelor vizate prin care acestea își pot exercita
drepturile prevăzute de Regulamentul (UE) 679/2016, cu aducerea
acesteia la cunoștința persoanelor vizate, conform prevederilor art. 12
din Regulamentul (UE) 679/2016.

1
 1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și e)
din RGPD, în temeiul art. 58 alin. (2) lit. b) din Regulamentul
Asociația de (UE) 679/2016, corelat cu art. 12 alin. (1), (2) și (4) din Legea
Proprietari bl. nr. 190/2018, art. 14 alin. (11), art. 15 alin. (1), (3) și art. 16 alin.
31.07.
33. B29, (1) din Legea nr. 102/2005, republicată, raportat la art.
2019
Municipiul 58 alin. (1) lit. a) și lit. e) din RGPD întrucât nu a furnizat nicio
București informaţie solicitată de ANSPDCP prin adresele transmise;
2. Să transmită ANSPDCP răspuns complet la adresele
instituției.
1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și
lit. e) din RGPD, în temeiul art. 58 alin. (2) lit. b) din
Asociația de Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2)
Proprietari și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin.
41. Speranța bl. D3 (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005,
8.08.2019
Municipiul republicată, întrucât nu a furnizat nicio informaţie solicitată
Oradea, Județul de ANSPDCP, în exercitarea atribuțiilor sale de investigare;
Bihor 2.Să transmită ANSPDCP răspuns complet la
adresa instituției.

1. Avertisment, pentru încălcarea art. 58 alin. (1) lit. a) și

lit. e) din RGPD, în temeiul art. 58 alin. (2) lit. b) din
Asociația de
Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2)
Proprietari
și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin.
Militari R
42. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată,
Comuna 8.08.2019
întrucât nu a furnizat nicio informaţie solicitată de
Chiajna,
ANSPDCP, în exercitarea atribuțiilor sale de investigare;
jud. Ilfov
2. Să transmită ANSPDCP răspuns complet la
adresa instituției, în termen de 5 zile lucrătoare de la data
procesului verbal.
1. Avertisment - pentru încălcarea art. 58 alin. (1) lit. a) și
Asociaţia de
lit. e) din RGPD, în temeiul art. 58 alin. (2) lit. b) din
Proprietari nr.
Regulamentul (UE) 679/2016, corelat cu art. 12 alin. (1), (2)
505
și (4) din Legea nr. 190/2018, art. 14 alin. (11), art. 15 alin.
Municipiul 21.08.201
48. (1), (3) și art. 16 alin. (1) din Legea nr. 102/2005, republicată,
Reșița 9
întrucât nu a furnizat nicio informaţie solicitată de
Județul
ANSPDCP, prin adresa transmisă;
Caraș-Severin
2. Transmiterea către ANSPDCP a unui răspuns la
adresa instituției.

Am sintetizat, mai jos, problemele identificate de Autoritate la asociațiile sancționate:

1. Asociația nu răspunde în termenul de maximum o lună prevăzut de GDPR (15 zile în vechea
lege) cererilor adresate de persoanele vizate de prelucrări. E vorba de cererile prin care petentul își
valorifică dreptul de acces, rectificare, ștergere, opoziție, restricționare a prelucrărilor ș.a.m.d. pe care
Regulamentul european i le recunoaște. De pildă, un membru al asociației cere o informare cu privire la cine
a avut accesul la înregistrările video sau dacă datele sale personale au fost transmise unor terți. Asociația
este obligată să răspundă acestor cereri în cel mult o lună și poate fi sancționată dacă nu o face.
2. Probleme la afișarea listelor din bloc - fără nume și prenume la avizier: Autoritatea a subliniat că nu
se respectă confidențialitatea datelor personale atunci când, la avizierul asociației, vedem numele și
prenumele proprietarilor, mai ales în contextul în care nu există consimțământul acelor persoane.
3. Solicitarea unor copii după documente (după buletine, de exemplu) în scopul completării cărții de
imobil nu e conformă GDPR-ului. Problema aici e că sunt cerute excesiv date personale. Asociației
respective, ANSPDCP i-a pus în vedere "să ia măsurile necesare astfel încât, pe viitor, datele cu caracter
personal să nu fie utilizate și dezvăluite cu încălcarea principiilor de prelucrare a datelor, respectându-se
principiul limitării legate de scop și reducerea la minimum a datelor" - minimizarea datelor prelucrate este, de
altfel, un deziderat primordial al GDPR.
4. Montarea de sisteme video de supraveghere - informarea persoanelor privind prelucrarea datelor lor
personale în acest fel, informare pe care trebuie să o vadă toată lumea. Informarea persoanelor trebuie să
se facă prin afișele de avertizare, conform articolului 13 din GDPR. Aici, Regulamentul prevede că
informațiile ce trebuie puse la dispoziția persoanelor vizate de prelucrări sunt: identitatea operatorului, datele
de contact ale responsabilului cu protecția datelor, datele prelucrate, scopul prelucrării, perioada de stocare
a datelor, perioada pentru care vor fi stocate datele (mai exact, cât anume se vor păstra înregistrările).
5. Asociațiile trebuie să întocmească o procedură referitoare la gestionarea cererilor persoanelor
vizate de prelucrări care își exercită drepturile din GDPR (dreptul de acces, opoziție etc.) și procedura
trebuie adusă la cunoștința celor ale căror date sunt prelucrate.

2
6. Asociațiile sunt obligate să răspundă solicitărilor ANSPDCP, pentru că dacă le ignoră și dacă nu
cooperează pot fi sancționate inclusiv cu amenzi. E important de știut că Autoritatea nu trebuie neapărat să
se deplaseze la fața locului pentru a face o investigație, putând desfășura o procedură de control și la
distanță. În contextul în care asociația ignoră adresele trimise de ANSPDCP, lucrurile se pot complica destul
de mult și asta numai în defavoarea asociației și a membrilor acestora. Trei asociații controlate au fost trase
de mânecă de Autoritate că au ignorat adresele trimise și solicitările de informații în controale.
Notă: Investigațiile ANSPDCP se pot face din oficiu sau în urma unor plângeri primite de la persoanele
fizice, cu informare prealabilă sau inopinat –

Câteva chestiuni pe care asociațiile trebuie să le aibă în vedere în cazul montării

sistemelor de supraveghere video
Așa cum spuneam mai sus, redacția avocatnet.ro a realizat anul trecut o serie de materiale pentru asociațiile
unde s-au montat sisteme video, în contextul GDPR. Discuția pornea de la alegerea temeiului de
prelucrare a datelor - interesul legitim în securizarea proprietății, de principiu. Însă nu întotdeauna se
justifică amplasarea unor camere video sau, mai exact, nu în anumite locuri (de pildă, nu atunci când în
filmare apare ușa de la un apartament, pentru că, într-un atare caz, vorbim de o prelucrare excesivă).
Subliniam, de asemenea, faptul că accesul la datele astfel colectate, la filmări, nu ar trebui să îl aibă oricine.
Trebuie desemnată o persoană în acest sens, toată lumea din bloc trebuie să o știe, iar divulgarea imaginilor
de pe camere nu ar trebui făcută la cererea oricărei persoane - sunt asociații unde acest lucru se face doar
către poliție, în cazul unor cercetări privind fapte penale. De asemenea, filmările nu trebuie păstrate sine
die, perioade lungi de timp, iar perioada de stocare trebuie cunoscută de toată lumea.
Așa cum sublinia și în cadrul controalelor recente ANSPDCP, nu trebuie să scăpăm din vedere că într-un
bloc nu intră numai persoane care au un drept locativ acolo, ci și alte persoane, iar datele lor personale
ajung să fie și ele prelucrate de asociație, prin sistemele de monitorizare. De aceea se cere informarea prin
afișe de avertizare, despre care vorbeam mai sus.
În ce măsură ar putea face opoziție un locatar față de sistemul de supraveghere video montat în bloc, în
contextul în care nu mai dorește ca datele sale personale să fie prelucrate în acest mod? Discutabil, deși el
are dreptul de a se opune prelucrărilor, voința sa nefiind singura care contează într-o asociație de proprietari
(montarea în sine trebuie să fie rezultatul voinței majorității).
Decizia de a monta un sistem de supraveghere video la bloc trebuie luată de majoritate. Dar și chestiunile
tehnice, ce țin de amplasarea camerelor, de numărul lor ori unde se va așeza echipamentul trebuie să facă
și ele obiectul aceleiași hotărâri a asociației. "ANSPDCP recomandă instalarea unui număr redus de camere,
prin raportare la scopul prelucrării și la locația supravegheată; un număr excesiv de camere aduce atingere
dreptului la viață intimă, familială și privată", scrie într-un ghid mai vechi al Autorității, din epoca pre-GDPR.

Ce drepturi au locatarii din blocurile cu camere video în legătură cu prelucrarea

datelor personale?
Subiectul drepturilor celor vizați de prelucrările de date l-am mai abordat în trecut, dar conținutul fiecăruia
dintre acele drepturi poate să difere, de la caz la caz, în funcție de cine le prelucrează datele, de scop, de
datele prelucrate, de temeiul prelucrării ș.a.m.d.
Ca să încheiem discuția supravegherilor video în blocurile de locuințe, am zis că e cazul să ne aplecăm puțin
și asupra lucrurilor pe care le pot cere locatarii de la asociația de proprietari, în contextul drepturilor
recunoscute de legislația de protecția datelor (în centrul căreia se regăsește Regulamentul general privind
protecția datelor, pe scurt, GDPR).
În primul rând, locatarii au dreptul de acces la datele prelucrate. Dar numai la datele care îi privesc pe ei,
nu și pe alții. Sub umbrela acestui drept, locatarul X poate să ceară asociației să o informeze cu privire la
datele prelucrate, scopurile prelucrării, eventualii destinatari și chiar să vadă imagini de pe acele camere
care îl privesc; dar nu poate cere nimic în legătură cu locatarul Y.
Atunci când se montează sistemul de supraveghere, asociația trebuie să facă o informare către toți cei din
bloc, în legătură cu datele personale ce vor fi prelucrate în acest fel.
Asociația, operator de date personale, trebuie să răspundă solicitărilor, neavând voie, sub egida GDPR,
să nu răspundă. Ca regulă generală, deci, nu doar în raport cu acest drept la informare și acces, asociația nu
are voie să nu răspundă unei solicitări din partea unuia dintre locatari. Mai mult, așa cum subliniază
specialiștii în protecția datelor, e de dorit ca asociația să păstreze un registru al cererilor primite. În orice
caz, în GDPR se prevede un termen de răspuns de maximum o lună, cu posibilitatea prelungirii, excepțional,
până la două luni.
În al doilea rând, cum persoanele vizate de prelucrări nu vor fi numai cei care locuiesc în blocul respectiv,
pentru că nu doar ei au acces în bloc, ci și alte persoane, ar trebui ca asociația să atenționeze, unde la
intrarea în bloc, că respectiva incintă este supravegheată video. Vorbim, practic, tot de o obligație care
decurge din regulamentul european.
În al treilea rând, în ceea ce privește dreptul la ștergerea datelor prelucrate (implicit, a imaginilor de pe
camerele video), lucrurile ar putea fi mai complicate. Așa cum aminteam cu altă ocazie, Autoritatea
Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), într-un ghid întocmit pe

3
 vechea lege de protecția datelor, recomanda asociațiilor să nu păstreze imaginile de pe camere mai mult de
20 de zile.
De fapt, fiecare asociație trebuie să-și stabilească această perioadă de păstrare a imaginilor (care, uneori, în
funcție de sistemul de supraveghere, ar putea chiar să fie mult mai scurtă de 20 de zile, dat fiind că
rescrierea imaginilor e necesară din lipsă de spațiu de stocare). În ce măsură ar putea să ceară unul dintre
locatari să fie șterse, mai devreme de acest termen, imaginile cu el de pe camere? Discutabil, pentru că
asociația ar putea considera că există un interes în a le păstra (de pildă, pentru folosirea lor într-un proces).
Apoi, în al patrulea rând, locatarii trebuie să știe că au tot timpul dreptul de a se adresa ANSPDCP cu
sesizări. În chiar informarea pe care asociațiile o fac celor din bloc ar trebui subliniat acest lucru. Dreptul
persoanelor vizate de prelucrările de date personale care încalcă legislația nu este îngrădit în niciun fel și
trebuie cunoscut de către toți cei vizați.
În GDPR mai există și dreptul la rectificarea datelor, însă în cazul de față este tehnic greu de imaginat cum
ar putea fi rectificate unele imagini de pe camerele de supraveghere. Prin urmare, dreptul ar rămâne aici fără
conținut. De asemenea, dreptul la portabilitatea datelor rămâne fără conținut, din moment ce prelucrarea
datelor prin intermediul camerelor de filmare ar trebui făcută în baza consimțământului ori a unui contract
(ceea ce nu e cazul).
Cât privește opoziția celor din bloc la prelucrarea datelor personale prin filmările camerelor video, am
dezvoltat subiectul în acest material. Ne rezumăm însă la a spune că este, de asemenea, discutabilă
opoziția locatarilor, pentru că s-ar lovi de interesul legitim al supravegherii video: securitatea celor din bloc și
siguranța bunurilor.

Asociațiile nu au voie să le ceară locatarilor copii după buletin și alte documente

pentru cartea de imobil
Asociațiile de proprietari nu sunt ocolite de obligația de a respecta Regulamentul european privind protecția
datelor (GDPR) și nici de controalele Autorității de Protecția Datelor (ANSPDCP). Asta înseamnă că și
acestea trebuie să aplice principiul prelucrării a cât mai puține date, strict necesare. În urma unor controale
desfășurate vara asta, Autoritatea a subliniat că asociațiile nu ar trebui să ceară copii după diverse
documente ale celor care stau în bloc.
Vara aceasta și câteva asociații de proprietari au fost trase de mânecă de ANSPDCP în urma unor controale
pentru că încălcau normele de protecția datelor. Printre chestiunile prezentate de Autoritate într-o dare de
seamă a măsurilor luate în aceste ultime luni, regăsim în dreptul unei asociații și sublinierea unei probleme
pe care s-ar putea să o aibă mai multe asociații: aceea de a cere locatarilor copii după diverse documente,
în special după cele de identitate, în scopul completării cărții de imobil.
ANSPDCP spune că acest lucru încalcă normele de protecția datelor ("[asociația]" solicită proprietarilor date
personale excesive și copii după diverse documente, în vederea completării cărţii de imobil, încălcându-se
prevederile art. 5 alin. (1) lit. a) și c) din RGPD - GDPR - n.red.").
GDPR-ul impune tuturor celor ce prelucrează date să respecte câteva principii de bază, printre care și
acestea două subliniate de ANSPDCP mai sus:
• datele trebuie să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată;
• datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile
în care sunt prelucrate (reducerea la minimum a datelor).
Cele două principii trebuie avute în vedere și de asociațiile de proprietari. Astfel că a le solicita celor care
locuiesc în bloc anumite copii după documente și diverse informații (profesia, de exemplu, care în mod
definitiv poate fi considerată chiar irelevantă într-un atare context) poate fi considerat excesiv pe legislația de
protecția datelor.
În altă ordine de idei, a cere copii după un act de identitate înseamnă a prelucra datele din acel
document, ceea ce, conform Legii nr. 190/2018, atrage în multe cazuri obligația de a numi un
responsabil cu protecția datelor - or, asociația de proprietari s-ar putea să nu-și dorească acest lucru.