supraveghere

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (V)

/in /by

Concluzii și aplicabilitate la nivel național

După lecturarea celor prezentate în cuprinsul articolelor anterioare, putem trage unele concluzii referitoare la:

  • temeiul juridic folosit pentru supravegherea video,

  • obligațiile pe care le are operatorul,

  • îndrumările autorității.

Temeiul juridic pentru supraveghere

În ceea ce privește temeiul juridic pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. În această ultimă situație, condițiile prevăzute de art. 5 din Legea nr. 190/2018 nu sunt obligatorii, dar pot fi avute în vedere mai ales în ceea ce privește perioada de stocare și analizarea posibilității folosirii unor mijloace mai puțin intruzive pentru atingerea scopului urmărit.

Obligațiile operatorului

Referitor la obligațiile pe care le are operatorul, acestea sunt prevăzute expres de art. 5 din Legea nr. 190/2018 pentru cel care are calitatea de angajator ce prelucrează date în interes legitim. Pentru celelalte situații urmează a fi aplicate prevederile și principiile GDPR. În cazul analizat, operatorul avea calitatea de angajator în relația cu salariații și operator obișnuit în relația cu studenții și terțele persoane vizate care intrau în incinta sediilor operatorului. Obligațiile acestuia erau următoarele:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Rezumând, am putea spune că pentru a prelucra date cu caracter personal în mod legal operatorul trebuie să:

  • efectueze o evaluare a impactului asupra protecției datelor cu caracter personal;

  • evalueze interesul legitim atunci când acest temei de prelucrare este aplicabil;

  • revizuiască periodic evaluarea interesului legitim, dacă este cazul;

  • dovedească necesitatea implementării unui astfel de sistem de supraveghere;

  • nu monitorizeze continuu și nu în spațiile de lucru sau de petrecere a pauzelor;

  • consulte sindicatul sau reprezentanții salariaților;

  • informeze corect și complet persoanele vizate în toate sediile unde se face supravegherea;

  • dea acces la date unui număr limitat de persoane autorizate;

  • securizeze accesul la date;

  • securizeze spațiul de stocare a datelor;

  • implementeze politici de stabilire a parolelor și de stocare a datelor.

Îndrumări date de CNIL

Pentru a ajuta operatorul să se conformeze legislației, autoritatea franceză a dat unele îndrumări care pot fi aplicate și de operatorii din România.

CNIL precizează că nu este conformă supravegherea constantă efectuată în zonele de lucru (birouri, săli de clasă) și de petrecere a timpului liber (cantină, curte, săli de recreere) pe perioada programului operatorului.

Referitor la informarea persoanelor vizate, aceasta trebuie să cuprindă: identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, destinatarii datelor, indicarea drepturilor persoanelor  și modul de exercitare a acestora. De asemenea, informarea în cazul supravegherii video trebuie să se facă și prin aplicarea unor panouri informative la fiecare dintre sediile operatorului (dacă este cazul) care să conțină informații despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor persoanelor vizate.

În ceea ce privește securitatea datelor cu caracter personal CNIL recomandă implementarea unei politici obligatorii de gestionare a parolelor. Acestea trebuie să aibă un anumit număr și tip de caractere. De asemenea, autoritatea recomandă utilizarea unor măsuri complementare de siguranță cum ar fi cronometrul de acces la cont după mai multe eșecuri, utilizarea captcha și / sau blocarea contului după mai multe încercări de autentificare nereușite.

You might also like
newsletter Newsletter Start Lawyers 21/2020
newsletter Newsletter Start Lawyers 19/2020
informații Newsletter Start Lawyers nr. 3/2020
newsletter Newsletter Start Lawyers 14/2020
activitatea Activitatea ANSPDCP - Date statistice
cctv CCTV și Asociațiile de proprietari
newsletter Newsletter Start Lawyers 7/2020
biometrice Prelucrarea datelor biometrice – amendă GDPR în Polonia