Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (V)

/in /by

Concluzii și aplicabilitate la nivel național

După lecturarea celor prezentate în cuprinsul articolelor anterioare, putem trage unele concluzii referitoare la:

  • temeiul juridic folosit pentru supravegherea video,

  • obligațiile pe care le are operatorul,

  • îndrumările autorității.

Temeiul juridic pentru supraveghere

În ceea ce privește temeiul juridic pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. În această ultimă situație, condițiile prevăzute de art. 5 din Legea nr. 190/2018 nu sunt obligatorii, dar pot fi avute în vedere mai ales în ceea ce privește perioada de stocare și analizarea posibilității folosirii unor mijloace mai puțin intruzive pentru atingerea scopului urmărit.

Obligațiile operatorului

Referitor la obligațiile pe care le are operatorul, acestea sunt prevăzute expres de art. 5 din Legea nr. 190/2018 pentru cel care are calitatea de angajator ce prelucrează date în interes legitim. Pentru celelalte situații urmează a fi aplicate prevederile și principiile GDPR. În cazul analizat, operatorul avea calitatea de angajator în relația cu salariații și operator obișnuit în relația cu studenții și terțele persoane vizate care intrau în incinta sediilor operatorului. Obligațiile acestuia erau următoarele:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Rezumând, am putea spune că pentru a prelucra date cu caracter personal în mod legal operatorul trebuie să:

  • efectueze o evaluare a impactului asupra protecției datelor cu caracter personal;

  • evalueze interesul legitim atunci când acest temei de prelucrare este aplicabil;

  • revizuiască periodic evaluarea interesului legitim, dacă este cazul;

  • dovedească necesitatea implementării unui astfel de sistem de supraveghere;

  • nu monitorizeze continuu și nu în spațiile de lucru sau de petrecere a pauzelor;

  • consulte sindicatul sau reprezentanții salariaților;

  • informeze corect și complet persoanele vizate în toate sediile unde se face supravegherea;

  • dea acces la date unui număr limitat de persoane autorizate;

  • securizeze accesul la date;

  • securizeze spațiul de stocare a datelor;

  • implementeze politici de stabilire a parolelor și de stocare a datelor.

Îndrumări date de CNIL

Pentru a ajuta operatorul să se conformeze legislației, autoritatea franceză a dat unele îndrumări care pot fi aplicate și de operatorii din România.

CNIL precizează că nu este conformă supravegherea constantă efectuată în zonele de lucru (birouri, săli de clasă) și de petrecere a timpului liber (cantină, curte, săli de recreere) pe perioada programului operatorului.

Referitor la informarea persoanelor vizate, aceasta trebuie să cuprindă: identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, destinatarii datelor, indicarea drepturilor persoanelor  și modul de exercitare a acestora. De asemenea, informarea în cazul supravegherii video trebuie să se facă și prin aplicarea unor panouri informative la fiecare dintre sediile operatorului (dacă este cazul) care să conțină informații despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor persoanelor vizate.

În ceea ce privește securitatea datelor cu caracter personal CNIL recomandă implementarea unei politici obligatorii de gestionare a parolelor. Acestea trebuie să aibă un anumit număr și tip de caractere. De asemenea, autoritatea recomandă utilizarea unor măsuri complementare de siguranță cum ar fi cronometrul de acces la cont după mai multe eșecuri, utilizarea captcha și / sau blocarea contului după mai multe încercări de autentificare nereușite.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (IV)

/in /by

Măsuri propuse

În urma analizării celor constatate, CNIL a dispus luarea unor măsuri referitoare la: modificarea sistemului CCTV, informarea persoanelor vizate, securitatea datelor și perioada de păstrare.

Modificarea CCTV

1. Modificarea sistemului de supraveghere astfel încât măsura să fie proporțională în ceea ce privește scopul urmărit, în conformitate cu dispozițiile articolului 5 litera (c) din Regulamentul (UE) 2016/679, în special:

  • oprirea filmării în sălile de clasă și în zonele de petrecere a timpului liber, în cantine și zonele de prânz autorizate, în timpul orelor de program;

  • interzicerea punerii angajaților sub supraveghere constantă (de exemplu, prin reorientarea sau mișcarea camerelor sau prin implementarea măștilor dinamice atunci când sunt vizionate imaginile).

Informarea persoanelor vizate

2. Efectuarea informării persoanelor vizate, în special în ceea ce privește dispozitivul de supraveghere video, în conformitate cu dispozițiile articolelor 12 și 13 din Regulamentul (UE) 2016/679, în special:

  • completarea informațiilor în condițiile generale de înregistrare adăugând identitatea operatorului de date, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • informarea personalului despre identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • să informeze orice persoană, de exemplu, prin aplicarea unor panouri informative la fiecare dintre intrările în cele două spații ale companiei și în curtea condominiului, despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor.

Securitatea datelor

3. Luarea tuturor măsurilor necesare pentru a păstra securitatea datelor cu caracter personal și pentru împiedicarea terților neautorizați de a le putea accesa, în conformitate cu articolul 32 din regulament (UE) 2016/679, în special:

  • să se asigure că fiecare utilizator are un cont individual pentru utilizarea programelor de vizualizare a imaginilor CCTV;

  • să fie configurat un sistem de blocare automată pentru sesiunile Windows după o anumită perioadă de inactivitate;

  • să se implementeze o politică obligatorie de gestionare a parolelor, atât în ​​ceea ce privește software-ul de vizualizare a imaginilor CCTV, cât și în contul computerului Windows unde imaginile sunt vizibile, într-una din următoarele variante:

    • Parolele să conțină cel puțin 12 caractere, dintre care cel puțin o majusculă, o minusculă, o cifră și un caracter special;

    • Parolele să conțină cel puțin 8 caractere, având 3 din cele 4 categorii de caractere (litere majuscule, litere mici, numere și caractere speciale) și să fie însoțite de o măsură complementară, cum ar fi cronometrul de acces la cont după mai multe eșecuri (suspendarea temporară a accesului a cărei durată crește pe măsură ce se fac încercări), instituirea unui mecanism de protecție împotriva încercărilor automate și intense (de ex. captcha) și / sau blocarea contului după mai multe încercări de autentificare nereușite (până la 10);

  • configurarea software-ul de supraveghere video și a sesiunilor Windows astfel încât parolele să nu mai fie salvate implicit;

  • încetarea difuzării de imagini CCTV în spații accesibile întregului personal administrativ al școlii.

Perioada de păstrare

4. Implementarea unei politici privind perioada de păstrare a datelor cu caracter personal în conformitate cu dispozițiile articolului 5 litera (e) din Regulamentul (UE) 2016/679 și care nu depășește durata necesară scopurilor pentru care sunt colectate, în special a nu se păstra înregistrările imaginilor dispozitivului CCTV mai mult de o lună.

Subiectul articolului următor va fi despre concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (III)

/in /by

Încălcări ale legislației

Reprezentanții autorității au constatat că societatea supusă controlului nu a respectat următoarele obligații:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor vizate;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Nerespectarea obligației de a asigura adecvarea, relevanța și natura neexcesivă a datelor

Justificarea companiei privind instalarea sistemului de supraveghere a constat în protejarea bunurilor și a persoanelor (furt, asalt, avarii) și pentru a preveni eventuale acte de violență ale studenților. Reprezentanții companiei au precizat că sistemul de supraveghere video nu a fost folosit pentru a monitoriza angajații sau studenții.

În cazul unuia dintre sedii, reprezentanții autorității au constatat faptul că dispozitivul de supraveghere video instalat filmează prin detectare de mișcare, deci în mod continuu, în toate sălile de clasă (care este totodată locul de muncă al profesorilor) și în spațiile elevilor de petrecere a timpului liber.

În practica sa, CNIL a considerat că, exceptând unele circumstanțe excepționale neaplicabile în acest caz, nu poate fi justificată filmarea în locurile de petrecere a timpului liber, în timpul orelor de program.

În motivare societatea a menționat că au avut loc două furturi în incintă, dar autoritatea a considerat că nu se justifică plasarea oamenilor într-o situație de supraveghere constantă. De asemenea, autoritatea a considerat că îngrijorările privind violența între elevi și între profesori și studenți ca urmare a unor incidente petrecute înainte de implementarea dispozitivului, nu sunt susținute de niciun element faptic (cum ar fi depunerea unei reclamații sau un raport de incidente).

Caracterul excesiv al prelucrării este dat de configurația dispozitivului de supraveghere prin faptul că îi plasează pe studenți și profesori într-o situație de supraveghere permanentă.

În ceea ce privește cel de-al doilea sediu, o cameră filma biroul persoanei responsabile cu recepția, filmându-se, deci, în mod continuu stația de lucru a unui angajat. CNIL s-a pronunțat în mod constant în sensul că „filmările continue ale posturilor de lucru ale anumitor angajați sunt disproporționate, cu excepția unor circumstanțe speciale, de exemplu atunci când un angajat manipulează fonduri sau obiecte de valoare sau când operatorul este capabil să facă dovada că există pericol de furt sau deteriorare a acestor zone.”

În speță, supravegherea constantă a salariatului nu a părut a fi justificată și a fost considerată în mod evident disproporționată și excesivă față de scopul declarat.

CNIL a reținut că „toate aceste fapte constituie o încălcare a obligațiilor prevăzute la articolul 6 alineatul (3) din Legea nr. 78-17 din 6 ianuarie 1978, care prevede că datele personale colectate trebuie să fie adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrarea ulterioară a acestora.” Aceste prevederi există în GDPR la art. 5 alin. 1 lit. c).

Nerespectarea obligației de informare a persoanelor vizate

Reprezentanții CNIL au constatat că în cuprinsul condițiilor generale de înscriere, anexate contractului de înscriere, este inclusă o mențiune referitoare la supravegherea video, dar cu referire la respectarea vieții private conform Codului civil, iar nu cu referire la prevederile GDPR. În ceea ce privește profesorii și personalul administrativ, aceștia nu au fost informați nici prin contractul de muncă și nici prin regulamentul intern.

S-a mai constatat faptul că nicio persoană vizată nu a fost informată despre identitatea persoanei responsabile cu prelucrarea, destinatarii filmărilor, durata de stocare a imaginilor sau drepturile lor.

În ceea ce privește semnalizarea CCTV, aceasta lipsea la unul dintre sedii și era incompletă la celălalt (semnalizarea indica doar existența sistemului de supraveghere video și calitatea de operator a directorului școlii).

Faptele constituie o încălcare a legislației privind protecția datelor cu caracter personal care impun comunicarea către persoana vizată a anumitor informații cu privire la prelucrarea datelor sale, în special identitatea operatorului de date, scopul prelucrării, destinatarii datelor, indicarea drepturilor persoanelor vizate, precum și datele prelucrate și categoriile persoanelor vizate.

Nerespectarea obligației asigurării securității și confidențialității datelor

Delegația CNIL a constatat că o stație de calculator permitea accesul la imaginile preluate de la ambele sedii în timp real și le înregistra. La unul dintre sedii imaginile erau retransmise pe un ecran prezent în biroul personalului administrativ.

Computerul din biroul direcțiunii nu era protejat de parolă și nici deconectat, iar biroul era pur și simplu încuiat în caz de absență fără alte măsuri de siguranță.

În ceea ce privește software-ul folosit pentru vizualizarea imaginilor în ambele locații, acesta nu necesita introducerea unei parole la pornire și se conecta automat la contul de administrator al software-ului.

Conform celor de mai sus se poate concluziona că operatorul nu a asigurat securitatea datelor și nu a luat măsuri pentru împiedicarea terților neautorizați să aibă acces la acestea.

În consecință, faptele de mai sus constituie o încălcare a prevederilor conform cărora operatorul trebuie să ia toate măsurile de precauție necesare, având în vedere natura datelor și riscurile prezentate de prelucrare, pentru a păstra securitatea datelor și, în special, pentru a preveni modificarea ori deteriorarea acestora sau accesul unor terțe părți neautorizate (GDPR la art. 5 alin. 1 lit. f).

Nerespectarea obligației de a limita perioada de păstrare a datelor

Conform declarației inițiale făcute la CNIL privind sistemul CCTV, operatorul a indicat o perioadă de păstrare a datelor de 30 de zile. Conform constatărilor, însă, înregistrările au fost păstrate pentru mai mult de 48 de zile.

Delegații autorității au constatat că faptele de mai sus constituie o încălcare a obligațiilor care prevăd că datele cu caracter personal trebuie păstrate pentru o perioadă care nu depășește durata necesară scopurilor pentru care sunt colectate și prelucrate. (GDPR la art. 5 alin. 1 lit. e) prima teză).

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (II)

/in /by

Decizia Comisiei Naționale de Informatică și Libertăți (CNIL) privind CCTV

Prin decizia CNIL din 2 septembrie 2019 a fost finalizată investigația pornită în baza deciziei nr. 2018-024 din 02.07.2018, ca urmare a conformării operatorului ITIC la legea națională din Franța și GDPR. Pentru acest articol este importantă decizia nr. 2018-0241 din 02.07.2018 prin care autoritatea a constatat lipsurile ITIC și a propus un plan de măsuri.

Persoana juridică somată (operatorul)

ITIC este un S.R.L. – școală privată de învățământ superior care oferă cursuri în sectorul economic terțiar (contabilitate, IT, resurse umane, comerț, etc.).

Situația de fapt

În urma unei misiuni de control la cele două sedii ale ITIC, al cărei obiect a fost verificarea respectării legii privind protecția datelor cu privire la toate prelucrările de date personale implementate de companie, s-au făcut unele constatări referitoare la o prelucrare excesivă prin intermediul camerelor de supraveghere video (CCTV).

Constatări

La ambele sedii, sistemul de supraveghere era alcătuit din 40 de camere video care filmau în special săli de clasă, cantina, camere de petrecere a timpului liber și curtea condominiului. Camerele erau fixe, filmau color, fără înregistrare de sunet și erau acționate de detectarea mișcării. Sistemul de supraveghere video fusese anterior declarat la CNIL.

În ceea ce privește informarea cu privire la utilizarea sistemului video CCTV, ITIC a instalat un panou informativ privind supravegherea video doar la intrarea unuia dintre sedii. Directorul companiei a susținut că elevii sunt informați despre prezența unui sistem de supraveghere video prin condițiile generale atașate contractului de înregistrare. Angajații (personalul administrativ și profesorii) nu au făcut obiectul vreunei informări speciale cu privire la supravegherea video.

Imaginile din sistemele video erau înregistrate și puteau fi vizualizate, în direct sau nu, de la biroul directorului și de la biroul personalului administrativ. În ceea ce privește accesul la software-ul de vizualizare, acesta nu necesita o parolă pentru conectarea la contul de administrator al software-ului. De asemenea, nici sesiunea Windows din stația de lucru a directorului nu necesita o parolă și nu era vreodată deconectată.

Reprezentanții autorității au remarcat că perioada de păstrare a înregistrărilor depășea 49 de zile.

În articolul următor vom scrie despre constatările CNIL referitoare la nerespectarea legislației de către operator.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (I)

/in /by

→ Partea a II-a – conținutul deciziei CNIL și constatările făcute de delegații acesteia.

→ Partea a III-a – constatările CNIL referitoare la nerespectarea legislației de către operator.

→ Partea a IV-a – măsurile propuse.

→ Partea a V-a – concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

 

Nu este un secret faptul că în ultima perioadă supravegherea video prin CCTV a devenit din ce în ce mai folosită de către antreprenori și nu numai. Scopurile sunt variate: de la asigurarea pazei bunurilor, la asigurarea siguranței angajaților până la supravegherea acestora. În general, supravegherea video nu este un lucru rău. Interesele celor care utilizează astfel de mijloace sunt ușor de intuit. Problemele apar atunci când supravegherea video se face cu nerespectarea legii. Pentru cei care efectuează acest tip de supraveghere este foarte greu de acceptat că de cele mai multe ori interesele lor legitime nu prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate.

Pentru a facilita înțelegerea implicațiilor supravegherii video, vom publica pe blog o serie de articole care vor avea drept obiect reglementarea supravegherii video, cu analizarea unei decizii emise de CNIL (autoritatea de supraveghere în materie de protecție a datelor cu caracter personal din Franța) și indicarea pașilor pe care ar trebui să-i urmeze operatorii care vor să utilizeze astfel de mijloace de supraveghere.

Reglementare

Imaginile prelucrate prin intermediul sistemului CCTV sunt date cu caracter personal, deci principalul act normativ de reglementare este Regulamentul (UE) 2016/679 (denumit în continuare GDPR). Prin legea de punere în aplicare a GDPR, legiuitorul național a dedicat un singur articol prelucrărilor de date cu caracter personal prin intermediul unor mijloace de supraveghere video, și anume în contextul relațiilor de muncă.

Conform acestui articol (Art. 5. – Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă) angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta, doar dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Etape urmate de angajator în cazul utilizării CCTV

Aceasta înseamnă că angajatorul trebuie să parcurgă mai multe etape:

1. după ce conducerea a luat în considerare eventualitatea utilizării unor sisteme de monitorizare CCTV, angajatorul trebuie să facă o evaluare de impact în cuprinsul căreia să analizeze și interesele legitime. Pentru o evaluare completă și corectă angajatorul trebuie să consulte sindicatul sau, după caz, reprezentanții angajaților. De asemenea, acesta trebuie să demonstreze faptul că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit nu și-au dovedit anterior eficiența. Dacă după această evaluare se constată că drepturile persoanelor vizate nu prevalează intereselor legitime ale angajatorului, se poate trece la următoarea etapă. Este foarte important ca evaluarea intereselor legitime să fie păstrată de angajator și să fie revizuită periodic.

2. după efectuarea evaluării, dar mai înainte de introducerea efectivă a sistemelor de monitorizare, angajatorul trebuie să realizeze informarea prealabilă obligatorie, completă și în mod explicit a angajaților. Este recomandat ca în cuprinsul informării să se menționeze detalii cu privire la interesele legitime.

3. după implementarea sistemului de monitorizare angajatorul trebuie să revizuiască periodic evaluarea intereselor legitime și să informeze în prealabil noii angajați cu privire la mijloacele de supraveghere utilizate. De asemenea, trebuie să asigure respectarea cerințelor de prelucrare ale GDPR, inclusiv privind perioada maximă de stocare de 30 de zile. Aceasta nu înseamnă că perioada de stocare va fi obligatoriu de 30 zile, ci ea trebuie să fie cât mai mică, exact atât cât este necesar pentru scopul urmărit. De exemplu, pentru asigurarea securității bunurilor, o perioadă de 24 de ore este în general suficientă, dacă nu s-a petrecut niciun incident.

În ceea ce privește condițiile privind instalarea legală a sistemelor de supraveghere, sunt incidente dispozițiile Legii nr. 333/2003, care cuprinde aspecte pe care nu le vom dezvolta în cuprinsul prezentului articol.

În cuprinsul articolului următor vom prezenta conținutul deciziei CNIL și constatările făcute de delegații acesteia.