supraveghere

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (IV)

/in /by

Măsuri propuse

În urma analizării celor constatate, CNIL a dispus luarea unor măsuri referitoare la: modificarea sistemului CCTV, informarea persoanelor vizate, securitatea datelor și perioada de păstrare.

Modificarea CCTV

1. Modificarea sistemului de supraveghere astfel încât măsura să fie proporțională în ceea ce privește scopul urmărit, în conformitate cu dispozițiile articolului 5 litera (c) din Regulamentul (UE) 2016/679, în special:

  • oprirea filmării în sălile de clasă și în zonele de petrecere a timpului liber, în cantine și zonele de prânz autorizate, în timpul orelor de program;

  • interzicerea punerii angajaților sub supraveghere constantă (de exemplu, prin reorientarea sau mișcarea camerelor sau prin implementarea măștilor dinamice atunci când sunt vizionate imaginile).

Informarea persoanelor vizate

2. Efectuarea informării persoanelor vizate, în special în ceea ce privește dispozitivul de supraveghere video, în conformitate cu dispozițiile articolelor 12 și 13 din Regulamentul (UE) 2016/679, în special:

  • completarea informațiilor în condițiile generale de înregistrare adăugând identitatea operatorului de date, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • informarea personalului despre identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • să informeze orice persoană, de exemplu, prin aplicarea unor panouri informative la fiecare dintre intrările în cele două spații ale companiei și în curtea condominiului, despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor.

Securitatea datelor

3. Luarea tuturor măsurilor necesare pentru a păstra securitatea datelor cu caracter personal și pentru împiedicarea terților neautorizați de a le putea accesa, în conformitate cu articolul 32 din regulament (UE) 2016/679, în special:

  • să se asigure că fiecare utilizator are un cont individual pentru utilizarea programelor de vizualizare a imaginilor CCTV;

  • să fie configurat un sistem de blocare automată pentru sesiunile Windows după o anumită perioadă de inactivitate;

  • să se implementeze o politică obligatorie de gestionare a parolelor, atât în ​​ceea ce privește software-ul de vizualizare a imaginilor CCTV, cât și în contul computerului Windows unde imaginile sunt vizibile, într-una din următoarele variante:

    • Parolele să conțină cel puțin 12 caractere, dintre care cel puțin o majusculă, o minusculă, o cifră și un caracter special;

    • Parolele să conțină cel puțin 8 caractere, având 3 din cele 4 categorii de caractere (litere majuscule, litere mici, numere și caractere speciale) și să fie însoțite de o măsură complementară, cum ar fi cronometrul de acces la cont după mai multe eșecuri (suspendarea temporară a accesului a cărei durată crește pe măsură ce se fac încercări), instituirea unui mecanism de protecție împotriva încercărilor automate și intense (de ex. captcha) și / sau blocarea contului după mai multe încercări de autentificare nereușite (până la 10);

  • configurarea software-ul de supraveghere video și a sesiunilor Windows astfel încât parolele să nu mai fie salvate implicit;

  • încetarea difuzării de imagini CCTV în spații accesibile întregului personal administrativ al școlii.

Perioada de păstrare

4. Implementarea unei politici privind perioada de păstrare a datelor cu caracter personal în conformitate cu dispozițiile articolului 5 litera (e) din Regulamentul (UE) 2016/679 și care nu depășește durata necesară scopurilor pentru care sunt colectate, în special a nu se păstra înregistrările imaginilor dispozitivului CCTV mai mult de o lună.

Subiectul articolului următor va fi despre concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

You might also like
evaluarea Telemunca și protecția datelor
evaluarea Evaluarea de impact - Recomandări
activitatea Activitatea ANSPDCP - Date statistice
newsletter Poșta Română și Viva Credit IFN S.A. amendate în baza GDPR
data protection, consimțământul, monitorizare RGPD - Consimțământul persoanei vizate
prelucrare date RGPD - Cine trebuie să desemneze un responsabil cu protecția datelor? (I)
prelucrarea, RGPD, conflict de interese, categorii speciale, activitățile principale RGPD – Datele cu caracter personal
prelucrarea, RGPD, conflict de interese, categorii speciale, activitățile principale RGPD - Cine trebuie să desemneze un responsabil cu protecția datelor? (V - Categorii speciale de date)