Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (III)

Încălcări ale legislației

Reprezentanții autorității au constatat că societatea supusă controlului nu a respectat următoarele obligații:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor vizate;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Nerespectarea obligației de a asigura adecvarea, relevanța și natura neexcesivă a datelor

Justificarea companiei privind instalarea sistemului de supraveghere a constat în protejarea bunurilor și a persoanelor (furt, asalt, avarii) și pentru a preveni eventuale acte de violență ale studenților. Reprezentanții companiei au precizat că sistemul de supraveghere video nu a fost folosit pentru a monitoriza angajații sau studenții.

În cazul unuia dintre sedii, reprezentanții autorității au constatat faptul că dispozitivul de supraveghere video instalat filmează prin detectare de mișcare, deci în mod continuu, în toate sălile de clasă (care este totodată locul de muncă al profesorilor) și în spațiile elevilor de petrecere a timpului liber.

În practica sa, CNIL a considerat că, exceptând unele circumstanțe excepționale neaplicabile în acest caz, nu poate fi justificată filmarea în locurile de petrecere a timpului liber, în timpul orelor de program.

În motivare societatea a menționat că au avut loc două furturi în incintă, dar autoritatea a considerat că nu se justifică plasarea oamenilor într-o situație de supraveghere constantă. De asemenea, autoritatea a considerat că îngrijorările privind violența între elevi și între profesori și studenți ca urmare a unor incidente petrecute înainte de implementarea dispozitivului, nu sunt susținute de niciun element faptic (cum ar fi depunerea unei reclamații sau un raport de incidente).

Caracterul excesiv al prelucrării este dat de configurația dispozitivului de supraveghere prin faptul că îi plasează pe studenți și profesori într-o situație de supraveghere permanentă.

În ceea ce privește cel de-al doilea sediu, o cameră filma biroul persoanei responsabile cu recepția, filmându-se, deci, în mod continuu stația de lucru a unui angajat. CNIL s-a pronunțat în mod constant în sensul că „filmările continue ale posturilor de lucru ale anumitor angajați sunt disproporționate, cu excepția unor circumstanțe speciale, de exemplu atunci când un angajat manipulează fonduri sau obiecte de valoare sau când operatorul este capabil să facă dovada că există pericol de furt sau deteriorare a acestor zone.”

În speță, supravegherea constantă a salariatului nu a părut a fi justificată și a fost considerată în mod evident disproporționată și excesivă față de scopul declarat.

CNIL a reținut că „toate aceste fapte constituie o încălcare a obligațiilor prevăzute la articolul 6 alineatul (3) din Legea nr. 78-17 din 6 ianuarie 1978, care prevede că datele personale colectate trebuie să fie adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrarea ulterioară a acestora.” Aceste prevederi există în GDPR la art. 5 alin. 1 lit. c).

Nerespectarea obligației de informare a persoanelor vizate

Reprezentanții CNIL au constatat că în cuprinsul condițiilor generale de înscriere, anexate contractului de înscriere, este inclusă o mențiune referitoare la supravegherea video, dar cu referire la respectarea vieții private conform Codului civil, iar nu cu referire la prevederile GDPR. În ceea ce privește profesorii și personalul administrativ, aceștia nu au fost informați nici prin contractul de muncă și nici prin regulamentul intern.

S-a mai constatat faptul că nicio persoană vizată nu a fost informată despre identitatea persoanei responsabile cu prelucrarea, destinatarii filmărilor, durata de stocare a imaginilor sau drepturile lor.

În ceea ce privește semnalizarea CCTV, aceasta lipsea la unul dintre sedii și era incompletă la celălalt (semnalizarea indica doar existența sistemului de supraveghere video și calitatea de operator a directorului școlii).

Faptele constituie o încălcare a legislației privind protecția datelor cu caracter personal care impun comunicarea către persoana vizată a anumitor informații cu privire la prelucrarea datelor sale, în special identitatea operatorului de date, scopul prelucrării, destinatarii datelor, indicarea drepturilor persoanelor vizate, precum și datele prelucrate și categoriile persoanelor vizate.

Nerespectarea obligației asigurării securității și confidențialității datelor

Delegația CNIL a constatat că o stație de calculator permitea accesul la imaginile preluate de la ambele sedii în timp real și le înregistra. La unul dintre sedii imaginile erau retransmise pe un ecran prezent în biroul personalului administrativ.

Computerul din biroul direcțiunii nu era protejat de parolă și nici deconectat, iar biroul era pur și simplu încuiat în caz de absență fără alte măsuri de siguranță.

În ceea ce privește software-ul folosit pentru vizualizarea imaginilor în ambele locații, acesta nu necesita introducerea unei parole la pornire și se conecta automat la contul de administrator al software-ului.

Conform celor de mai sus se poate concluziona că operatorul nu a asigurat securitatea datelor și nu a luat măsuri pentru împiedicarea terților neautorizați să aibă acces la acestea.

În consecință, faptele de mai sus constituie o încălcare a prevederilor conform cărora operatorul trebuie să ia toate măsurile de precauție necesare, având în vedere natura datelor și riscurile prezentate de prelucrare, pentru a păstra securitatea datelor și, în special, pentru a preveni modificarea ori deteriorarea acestora sau accesul unor terțe părți neautorizate (GDPR la art. 5 alin. 1 lit. f).

Nerespectarea obligației de a limita perioada de păstrare a datelor

Conform declarației inițiale făcute la CNIL privind sistemul CCTV, operatorul a indicat o perioadă de păstrare a datelor de 30 de zile. Conform constatărilor, însă, înregistrările au fost păstrate pentru mai mult de 48 de zile.

Delegații autorității au constatat că faptele de mai sus constituie o încălcare a obligațiilor care prevăd că datele cu caracter personal trebuie păstrate pentru o perioadă care nu depășește durata necesară scopurilor pentru care sunt colectate și prelucrate. (GDPR la art. 5 alin. 1 lit. e) prima teză).