Autoritatea națională de supraveghere a fost sesizată cu privire la o posibilă încălcare a prevederilor Regulamentului (UE) 2016/679, referitoare la prelucrarea datelor cu caracter personal ale persoanelor fizice posesoare de permise de acces auto, într-o anumită zonă rezidențială.
În fapt, prin intermediul unui Regulament de acces auto, aprobat printr-o hotărâre a consiliului local, o autoritate publică prevedea că accesul rezidenților se va putea efectua doar în baza unui permis de acces eliberat de către Primărie, în care vor fi trecute atât numele posesorului auto, cât și adresa acestuia. Permisul de acces trebuia expus în bordul autoturismului, la vedere.
Autoritatea națională de supraveghere a constatat faptul că prin operațiunile de prelucrare prevăzute în scopul emiterii permiselor de acces auto pentru rezidenții persoane fizice exista posibilitatea ca operatorul să încalce principiul ”reducerii la minimum a datelor” prevăzut de art. 5 alin. (1) lit. c) din Regulamentul (UE) 2016/679, deoarece datele cu caracter personal colectate și dezvăluite pe talonul permisului de acces auto în Zona Peninsulară, afișat în bordul autoturismului, respectiv numele și prenumele titularului, numărul autoturismului și perioada de valabilitate, nu sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
Reamintim că principiile care guvernează prelucrarea datelor prevăd că datele cu caracter personal trebuie să fie:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
(b) colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri („limitări legate de scop”);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”);
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).
Operatorul este responsabil de respectarea principiilor enumerate mai sus și trebuie să poată demonstra această respectare („responsabilitate”).
Sursa: ANSPDCP, Raport activitate pe anul 2021
Imagine: Marvin Meyer, Unsplash.com
