Interesul pentru camerele de supraveghere montate la case și în curți a crescut puternic, iar regulile care se aplică depind de ceea ce filmează efectiv sistemul și cum sunt folosite imaginile.
Baza juridică pornește din Regulamentul (UE) 2016/679 (GDPR) și din practica Curții de Justiție a Uniunii Europene, completate în România de Legea nr. 190/2018 și, în anumite situații, de Legea nr. 333/2003 privind paza obiectivelor și normele sale metodologice. În esență, dacă un sistem captează doar perimetrul personal, fără a surprinde spații publice sau proprietatea altora, și imaginile nu sunt divulgate, se aplică așa-numita „excepție a gospodăriei personale”.
Excepția este prevăzută expres la art. 2 alin. (2) lit. c) din GDPR, care scoate din domeniul de aplicare prelucrările efectuate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice. În practică, asta înseamnă camere orientate strict către propria poartă, curte ori intrare, fără a atinge trotuarul, strada sau ușa vecinului, iar materialele rămân la proprietar și nu sunt distribuite. De la acest punct încolo, orice extindere peste linia proprietății ori folosirea imaginilor în afara cercului personal poate activa obligațiile complete din GDPR.
Curtea de Justiție a UE a stabilit clar limita în cauza Ryneš (C-212/13): o cameră montată la locuință, dar care filmează și domeniul public, nu mai intră în excepția domestică și cade sub incidența normelor de protecție a datelor. Hotărârea Ryneš este reperul european pentru proprietari: dacă surprinzi spații publice sau accesul altora, devii „operator” de date personale și trebuie să respecți toate regulile GDPR.
Ce presupune respectarea GDPR când camerele privesc și dincolo de curte
Odată aplicabil GDPR, trebuie identificată o bază legală pentru filmare. În mod obișnuit, proprietarii invocă interesul legitim, reglementat de art. 6 alin. (1) lit. f) din GDPR. Interesul legitim cere test de necesitate și de echilibru între nevoia de securitate și viața privată a trecătorilor sau vecinilor, conform orientărilor Comitetului European pentru Protecția Datelor (EDPB) din Ghidul 3/2019 privind dispozitivele video. Concluzia trebuie să fie că nu există o alternativă mai puțin intruzivă care să asigure același nivel de protecție.
Transparența este obligatorie. Art. 13 GDPR impune informarea persoanelor vizate, de regulă printr-o pictogramă vizibilă la intrare, completată de o notă de informare accesibilă, care să indice identitatea operatorului, scopul și temeiul prelucrării, perioada de stocare și drepturile persoanelor. Informarea nu este un simplu „aviz”, ci o condiție de legalitate, iar lipsa ei poate duce la sancțiuni chiar dacă scopul este unul legitim.
Regula minimizării, din art. 5 alin. (1) lit. c) GDPR, obligă la configurarea camerelor pentru a evita captarea nejustificată a domeniului public sau a proprietăților vecine. Acolo unde tehnic este posibil, se recomandă mascarea zonelor exterioare, dezactivarea microfonului dacă sunetul nu este strict necesar și evitarea tehnologiilor intruzive, precum recunoașterea facială, în lipsa unei baze legale solide.
Cât păstrăm imaginile, cum le securizăm și ce drepturi au cei filmați
Perioada de păstrare trebuie să fie cât mai scurtă, proporțională scopului și comunicată clar. Temeiul se găsește la art. 5 alin. (1) lit. e) și art. 13 GDPR. În practică, vorbim de zile, nu de luni, în afara unor situații excepționale justificate. Depozitarea pe termen lung „ca să fie” contravine principiului limitării stocării.
Securitatea datelor este impusă de art. 32 GDPR: acces limitat doar persoanelor autorizate, parole robuste, actualizări de firmware, jurnalizarea accesărilor și, acolo unde e posibil, criptarea. O breșă de securitate care ar expune imagini identificabile poate declanșa obligații de notificare către autoritatea de supraveghere și, uneori, către persoanele afectate, în baza art. 33–34 GDPR.
Persoanele surprinse de camere au drepturi: acces la imagini, ștergere, restricționare sau opoziție, în limitele art. 15–21 GDPR. Operatorul trebuie să dispună de un canal de solicitări și de proceduri pentru a răspunde în termen, putând refuza motivat doar când divulgarea ar afecta prevenirea ori constatarea infracțiunilor sau drepturile altor persoane.
Evidențe, evaluări de impact și regulile speciale din România
Operatorii trebuie, de regulă, să țină evidența activităților de prelucrare conform art. 30 GDPR. Excepția pentru operatorii mici nu acoperă prelucrări „continue” sau care pot prezenta risc, iar supravegherea video este, prin natura ei, continuă, ceea ce face util și prudent un registru minimal al prelucrării. Pentru sisteme care monitorizează pe scară largă zone publice, art. 35 alin. (3) lit. c) GDPR impune realizarea unei evaluări de impact (DPIA).
În dreptul intern, Legea nr. 190/2018, de aplicare a GDPR, introduce reguli speciale pentru supravegherea la locul de muncă. Art. 5 prevede condiții cumulative, inclusiv informarea prealabilă și existența unui interes legitim care nu poate fi realizat prin alte mijloace, iar, ca reper practic, impune un termen de stocare de cel mult 30 de zile pentru imaginile salariaților, cu excepții strict justificate. Regula devine relevantă pentru gospodăriile care au angajați sau contracte de pază.
Tot în plan național, Decizia ANSPDCP nr. 99/2018 a abrogat vechea Decizie nr. 52/2012 emisă în regimul pre-GDPR, astfel că trimiterea la obligațiile anterioare nu mai este valabilă. În plus, Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor și Hotărârea Guvernului nr. 301/2012 cu normele metodologice privesc mai ales operatori economici, instituții, spații cu acces public sau condominii, stabilind cerințe tehnice pentru proiectare, instalare și exploatare; pentru gospodării individuale, aceste acte devin relevante când sistemele acoperă spații comune ori când există servicii de pază licențiate.
Condominii, vecini și linia fină dintre siguranță și viață privată
În condominii sau ansambluri rezidențiale, camerele montate în spațiile comune intră cert sub GDPR, iar asociația de proprietari devine operator. Aici intervin toate cerințele expuse: temei legal, informare vizibilă, termen clar de stocare, măsuri de securitate și, la nevoie, DPIA, în acord cu art. 35 GDPR. Dacă un proprietar individual își orientează camera spre holuri comune sau spre ușa altuia, iese din sfera domestică și datorează aceleași garanții ca orice operator.
Relația cu vecinii cere o configurare atentă a unghiurilor și a zonelor acoperite, pentru a evita captarea fără necesitate a proprietății altuia. Orientările EDPB din Ghidul 3/2019 subliniază că filmarea continuă a intrărilor altor persoane sau a ferestrelor lor este, de regulă, disproporționată, iar interesul legitim nu poate justifica orice intruziune în viața privată.
În fine, atunci când imaginile sunt furnizate organelor de aplicare a legii, transferul se face punctual și justificat, în baza interesului legitim și a obligațiilor legale incidente, fără a transforma arhiva personală într-un depozit general de supraveghere. Și în aceste situații rămân în vigoare principiile GDPR privind minimizarea și limitarea stocării.
Concluzie practică
Linia de demarcație este clară: dacă filmați strict curtea și ușa proprii, pentru uz personal, fără a surprinde spațiul public sau proprietatea altora și fără a divulga imaginile, vă aflați în excepția de la art. 2 alin. (2) lit. c) GDPR.
Proprietarii de case trebuie să configureze camerele astfel încât să rămână în perimetrul propriu și să stabilească termene scurte de păstrare. Pentru asociații sau dezvoltatori, un set complet de politici, un registru al prelucrării și, dacă se monitorizează pe scară largă zone publice, o evaluare de impact devin esențiale pentru conformitate.
În lipsa acestor pași, chiar și un sistem aparent „casnic” poate încălca dreptul la viață privată al trecătorilor sau vecinilor, atrăgând răspunderea operatorului în temeiul GDPR și al legislației românești conexe.
Comentează