Decizia Comisiei Naționale de Informatică și Libertăți (CNIL) privind CCTV

Prin decizia CNIL din 2 septembrie 2019 a fost finalizată investigația pornită în baza deciziei nr. 2018-024 din 02.07.2018, ca urmare a conformării operatorului ITIC la legea națională din Franța și GDPR. Pentru acest articol este importantă decizia nr. 2018-0241 din 02.07.2018 prin care autoritatea a constatat lipsurile ITIC și a propus un plan de măsuri.

Persoana juridică somată (operatorul)

ITIC este un S.R.L. – școală privată de învățământ superior care oferă cursuri în sectorul economic terțiar (contabilitate, IT, resurse umane, comerț, etc.).

Situația de fapt

În urma unei misiuni de control la cele două sedii ale ITIC, al cărei obiect a fost verificarea respectării legii privind protecția datelor cu privire la toate prelucrările de date personale implementate de companie, s-au făcut unele constatări referitoare la o prelucrare excesivă prin intermediul camerelor de supraveghere video (CCTV).

Constatări

La ambele sedii, sistemul de supraveghere era alcătuit din 40 de camere video care filmau în special săli de clasă, cantina, camere de petrecere a timpului liber și curtea condominiului. Camerele erau fixe, filmau color, fără înregistrare de sunet și erau acționate de detectarea mișcării. Sistemul de supraveghere video fusese anterior declarat la CNIL.

În ceea ce privește informarea cu privire la utilizarea sistemului video CCTV, ITIC a instalat un panou informativ privind supravegherea video doar la intrarea unuia dintre sedii. Directorul companiei a susținut că elevii sunt informați despre prezența unui sistem de supraveghere video prin condițiile generale atașate contractului de înregistrare. Angajații (personalul administrativ și profesorii) nu au făcut obiectul vreunei informări speciale cu privire la supravegherea video.

Imaginile din sistemele video erau înregistrate și puteau fi vizualizate, în direct sau nu, de la biroul directorului și de la biroul personalului administrativ. În ceea ce privește accesul la software-ul de vizualizare, acesta nu necesita o parolă pentru conectarea la contul de administrator al software-ului. De asemenea, nici sesiunea Windows din stația de lucru a directorului nu necesita o parolă și nu era vreodată deconectată.

Reprezentanții autorității au remarcat că perioada de păstrare a înregistrărilor depășea 49 de zile.

În articolul următor vom scrie despre constatările CNIL referitoare la nerespectarea legislației de către operator.