Posts

3 sfaturi pentru asociațiile de proprietari, extrase din ultimul comunicat al ANSPDCP

/in /by

Proprietari sau nu, GDPR nu se aplică doar atunci când vrem noi.

Cu toate că au trecut 2 ani de la aplicarea GDPR, nu toți realizăm importanța protejării datelor cu caracter personal și a drepturilor persoanelor vizate. Sunt unele persoane cărora li se pare perfect justificată nerespectarea drepturilor unei alte persoane atunci când se pune problema apărării unui interes pe care îl consideră superior. În acele situații nu mai contează ce spune legea. Și dacă ar conta, legea nu se aplică decât în favoarea lor, conform interpretării proprii. Interpretarea legislației este o operațiune destul de dificilă pentru care este nevoie de studii de specialitate. Mulți uită lucrul ăsta și, oricum, ei știu cel mai bine.

Am auzit destul de des următoarea replică: „Nu avem nevoie de proceduri GDPR pentru că nu se aplică în cazul nostru. Montăm camere pentru siguranța locatarilor în spațiul nostru privat. E proprietatea noastră și facem ce vrem.” E inutil să explicăm cât de greșită este această abordare. În loc de explicații lungi și plictisitoare mai bine prezentăm speța din ultimul comunicat al ANSPDCP.

Ce aflăm din comunicatul ANSPDCP?

În urma unei plângeri, ANSPDCP a sancționat Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, pentru nerespectarea GDPR.

Sancțiunile aplicate au fost:

  • amendă în cuantum de 2417,55 lei ( echivalentul a 500 euro) pentru prelucrarea ilegală a imaginii unei persoane fizice, provenită din sistemul de supraveghere video al asociației, prin afișare la avizierul imobilului, cu încălcarea principiilor de prelucrare a datelor personale;
  • avertisment pentru neadoptarea de măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video;
  • avertisment pentru lipsa unei informări complete a persoanelor vizate ale căror date personale le prelucrează prin intermediul sistemului de supraveghere video deținut.

Asociației de proprietari i s-au aplicat și măsuri corective în sensul remedierii deficiențelor: informarea persoanelor vizate și adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate.

Ce se poate învăța din această speță?

1. Atunci când prelucrați imaginea unei persoane fizice, provenită din sistemul de supraveghere video al asociației, prin afișare la avizierul imobilului, respectați principiile de prelucrare a datelor personale prevăzute de art. 5 din GDPR, coroborat cu art. 6 alin. (1) din GDPR, articol care prevede temeiurile de prelucrare!

Conform GDPR, orice prelucrare trebuie să se facă respectând următoarele principii:

  1. Legalitate, echitate și transparență;
  2. Limitări legate de scop – să fie determinat, explicit și legitim;
  3. Reducerea la minimum a datelor colectate – adecvate, relevante și limitate la ceea ce este necesar;
  4. Exactitate – datele trebuie să fie exacte și actualizate;
  5. Limitări legate de stocare – să nu fie păstrate mai mult decât este necesar;
  6. Integritate și confidențialitate – modul de prelucrare să asigure o securitate adecvată.

Pentru ca o prelucrare de date cu caracter personal să fie legală, trebuie să se bazeze cel puțin pe unul dintre temeiurile de prelucrare prevăzute de art. 6 alin. (1) din GDPR:

  • consimțământul persoanei vizate;
  • prelucrarea este necesara pentru încheierea sau executarea unui contract;
  • prelucrarea este necesara pentru îndeplinirea unei obligații legale;
  • prelucrare este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • prelucrare este necesara pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
  • prelucrare este necesara în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Toate acestea nu sunt noutăți. Totuși, oricât le-am repeta se pare că nu e de ajuns.

2. Pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video trebuie să implementați măsuri de securitate, tehnice și organizatorice, adecvate, în conformitate cu dispozițiile art. 25 și 32 din GDPR!

În speța prezentată, ANSPDCP, pe lângă măsurile generale implicite, recomandă următoarele măsuri pentru protejarea datelor personale:

  • imaginile să nu mai poată fi accesibile oricărei persoane – de exemplu, prin intermediul monitorului amplasat pe hol;
  • accesul imaginilor să nu se facă la distanță prin internet – cu ajutorul unor aplicații;
  • stabilirea, în cadrul Adunării Generale a Asociației de Proprietari, următoarelor:
    • un număr limitat de persoane care să aibă acces la acest sistem;
    • drepturile ce pot fi alocate fiecăreia dintre persoanele cu drept de acces;
    • întocmirea unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației.

3. Informați complet persoanele vizate ale căror date personale sunt prelucrate prin intermediul sistemului de supraveghere video, cu privire la prelucrarea prin intermediul acestui sistem, potrivit cerințelor art. 12 și 13 din GDPR!

Informarea persoanelor vizate este prezentată destul de clar în cuprinsul art. 12 și 13 din GDPR. Pentru că nu a făcut o informare corespunzătoare, asociația de proprietari a fost obligată de autoritate să asigure informarea completă a persoanelor vizate, prin furnizarea tuturor informațiilor prevăzute de art. 12-13 din RGPD, la loc vizibil, în apropierea camerelor de supraveghere.

Chiar dacă pare dificilă, conformarea cu regulile GDPR se poate face atunci când se dorește acest lucru. Este nevoie de timp și de răbdare. Și, poate cel mai important, de o nouă perspectivă asupra dreptului la viața privată a celuilalt, drept care de cele mai multe ori este uitat.

Despre prelucrarea datelor cu caracter personal prin intermediul unui sistem CCTV, alături de Roxana Păunescu, am mai scris:

CCTV și Asociațiile de proprietari

/in /by

Supravegherea prin intermediul CCTV este un subiect intens dezbătut atunci când se pune problema instalării acestuia sau în cazul în care unele persoane sunt deranjate de supravegherea video, măsură pe care, de cele mai multe ori, o consideră disproporționată.

Despre supravegherea CCTV în cazul unei instituții de învățământ am scris o serie de articole unde am analizat o decizie emisă de C.N.I.L. (autoritatea pentru protecția datelor din Franța).

Sancțiunea A.N.S.P.D.C.P. și decizia preliminară TK împotriva Asociației de Proprietari bloc M5A‑Scara A

În România, A.N.S.P.D.C.P. a sancționat o Asociație de Proprietari care nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video.

Supravegherea prin intermediul CCTV a făcut obiectul trimiterii preliminare (cauza C‑708/18) formulată în cadrul unui litigiu pe rolul Tribunalului București între TK, pe de o parte, și Asociația de Proprietari bloc M5A‑Scara A, pe de altă parte, cu privire la cererea TK de a se dispune ca această asociație să scoată din funcțiune sistemul de supraveghere video al acestui imobil și să demonteze camerele instalate în părțile comune ale acestuia.

Soluția CJUE a fost în sensul că dispozițiile legale incidente „trebuie interpretate în sensul că nu se opun unor dispoziții naționale care autorizează instituirea unui sistem de supraveghere video precum sistemul în discuție în litigiul principal instalat în părțile comune ale unui imobil cu destinație de locuință, în scopul de a urmări interese legitime care constau în asigurarea pazei și a protecției persoanelor și a bunurilor, fără consimțământul persoanelor vizate, dacă prelucrarea datelor cu caracter personal efectuată prin intermediul sistemului de supraveghere video în cauză îndeplinește condițiile prevăzute la articolul 7 litera (f) menționat, aspect a cărui verificare revine instanței de trimitere.

Practic, instalarea sistemelor de supraveghere video fără consimțământul persoanelor vizate este legală doar dacă se face cu respectarea dispozițiilor legale incidente.

În ceea ce privește temeiul juridic din legislația națională pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. Mai multe informații despre obligațiile operatorilor în cazul supravegherii video am scris aici.

Amendă aplicată de Autoritatea pentru protecția datelor din Suedia

Aceste probleme referitoare la supravegherea video făcută de către asociațiile de proprietari nu există doar în România. De exemplu, Autoritatea pentru protecția datelor din Suedia a amendat o asociație de locatari pentru supraveghere video excesivă. Asociația respectivă avea instalate camere video la intrarea principală în imobil, la casa scării și o cameră îndreptată spre îndreptat către o cutie de distribuție în spațiul de depozitare al asociației. Camerele înregistrau video și audio non-stop.

Asociația a fost amendată pentru că:

  • nu a demonstrat o nevoie urgentă de a utiliza supravegherea video și audio;
  • se monitoriza spațiul de depozitare al locatarilor;
  • înregistrarea audio constituie o intruziune suplimentară în sfera privată, în special atunci când este înregistrată într-o clădire rezidențială și că nu există circumstanțe care să o motiveze;
  • problemele cauzate de actele de vandalism petrecute în 2018 invocate de asociație nu pot constitui temei pentru supravegherea constantă până în 2020, nevoia menținerii sistemului de supraveghere trebuind să fie revizuită periodic;
  • nu a informat corespunzător persoanele vizate.

Concluzii

Din prezentarea acestor cazuri care implică Asociații de proprietari/locatari, putem concluziona că atunci când au calitatea de operator de date cu caracter personal ca urmare a utilizării unui sistem CCTV, asociațiile trebuie să:

  • identifice corect temeiul de prelucrare;
  • se asigure că este nevoie de supravegherea video;
  • revizuiască periodic necesitatea supravegherii;
  • se asigure că supravegherea nu constituie o intruziune suplimentară în viața privată a persoanelor vizate;
  • informeze corect și complet persoanele vizate;
  • ia măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor colectate.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (V)

/in /by

Concluzii și aplicabilitate la nivel național

După lecturarea celor prezentate în cuprinsul articolelor anterioare, putem trage unele concluzii referitoare la:

  • temeiul juridic folosit pentru supravegherea video,

  • obligațiile pe care le are operatorul,

  • îndrumările autorității.

Temeiul juridic pentru supraveghere

În ceea ce privește temeiul juridic pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. În această ultimă situație, condițiile prevăzute de art. 5 din Legea nr. 190/2018 nu sunt obligatorii, dar pot fi avute în vedere mai ales în ceea ce privește perioada de stocare și analizarea posibilității folosirii unor mijloace mai puțin intruzive pentru atingerea scopului urmărit.

Obligațiile operatorului

Referitor la obligațiile pe care le are operatorul, acestea sunt prevăzute expres de art. 5 din Legea nr. 190/2018 pentru cel care are calitatea de angajator ce prelucrează date în interes legitim. Pentru celelalte situații urmează a fi aplicate prevederile și principiile GDPR. În cazul analizat, operatorul avea calitatea de angajator în relația cu salariații și operator obișnuit în relația cu studenții și terțele persoane vizate care intrau în incinta sediilor operatorului. Obligațiile acestuia erau următoarele:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Rezumând, am putea spune că pentru a prelucra date cu caracter personal în mod legal operatorul trebuie să:

  • efectueze o evaluare a impactului asupra protecției datelor cu caracter personal;

  • evalueze interesul legitim atunci când acest temei de prelucrare este aplicabil;

  • revizuiască periodic evaluarea interesului legitim, dacă este cazul;

  • dovedească necesitatea implementării unui astfel de sistem de supraveghere;

  • nu monitorizeze continuu și nu în spațiile de lucru sau de petrecere a pauzelor;

  • consulte sindicatul sau reprezentanții salariaților;

  • informeze corect și complet persoanele vizate în toate sediile unde se face supravegherea;

  • dea acces la date unui număr limitat de persoane autorizate;

  • securizeze accesul la date;

  • securizeze spațiul de stocare a datelor;

  • implementeze politici de stabilire a parolelor și de stocare a datelor.

Îndrumări date de CNIL

Pentru a ajuta operatorul să se conformeze legislației, autoritatea franceză a dat unele îndrumări care pot fi aplicate și de operatorii din România.

CNIL precizează că nu este conformă supravegherea constantă efectuată în zonele de lucru (birouri, săli de clasă) și de petrecere a timpului liber (cantină, curte, săli de recreere) pe perioada programului operatorului.

Referitor la informarea persoanelor vizate, aceasta trebuie să cuprindă: identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, destinatarii datelor, indicarea drepturilor persoanelor  și modul de exercitare a acestora. De asemenea, informarea în cazul supravegherii video trebuie să se facă și prin aplicarea unor panouri informative la fiecare dintre sediile operatorului (dacă este cazul) care să conțină informații despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor persoanelor vizate.

În ceea ce privește securitatea datelor cu caracter personal CNIL recomandă implementarea unei politici obligatorii de gestionare a parolelor. Acestea trebuie să aibă un anumit număr și tip de caractere. De asemenea, autoritatea recomandă utilizarea unor măsuri complementare de siguranță cum ar fi cronometrul de acces la cont după mai multe eșecuri, utilizarea captcha și / sau blocarea contului după mai multe încercări de autentificare nereușite.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (IV)

/in /by

Măsuri propuse

În urma analizării celor constatate, CNIL a dispus luarea unor măsuri referitoare la: modificarea sistemului CCTV, informarea persoanelor vizate, securitatea datelor și perioada de păstrare.

Modificarea CCTV

1. Modificarea sistemului de supraveghere astfel încât măsura să fie proporțională în ceea ce privește scopul urmărit, în conformitate cu dispozițiile articolului 5 litera (c) din Regulamentul (UE) 2016/679, în special:

  • oprirea filmării în sălile de clasă și în zonele de petrecere a timpului liber, în cantine și zonele de prânz autorizate, în timpul orelor de program;

  • interzicerea punerii angajaților sub supraveghere constantă (de exemplu, prin reorientarea sau mișcarea camerelor sau prin implementarea măștilor dinamice atunci când sunt vizionate imaginile).

Informarea persoanelor vizate

2. Efectuarea informării persoanelor vizate, în special în ceea ce privește dispozitivul de supraveghere video, în conformitate cu dispozițiile articolelor 12 și 13 din Regulamentul (UE) 2016/679, în special:

  • completarea informațiilor în condițiile generale de înregistrare adăugând identitatea operatorului de date, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • informarea personalului despre identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • să informeze orice persoană, de exemplu, prin aplicarea unor panouri informative la fiecare dintre intrările în cele două spații ale companiei și în curtea condominiului, despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor.

Securitatea datelor

3. Luarea tuturor măsurilor necesare pentru a păstra securitatea datelor cu caracter personal și pentru împiedicarea terților neautorizați de a le putea accesa, în conformitate cu articolul 32 din regulament (UE) 2016/679, în special:

  • să se asigure că fiecare utilizator are un cont individual pentru utilizarea programelor de vizualizare a imaginilor CCTV;

  • să fie configurat un sistem de blocare automată pentru sesiunile Windows după o anumită perioadă de inactivitate;

  • să se implementeze o politică obligatorie de gestionare a parolelor, atât în ​​ceea ce privește software-ul de vizualizare a imaginilor CCTV, cât și în contul computerului Windows unde imaginile sunt vizibile, într-una din următoarele variante:

    • Parolele să conțină cel puțin 12 caractere, dintre care cel puțin o majusculă, o minusculă, o cifră și un caracter special;

    • Parolele să conțină cel puțin 8 caractere, având 3 din cele 4 categorii de caractere (litere majuscule, litere mici, numere și caractere speciale) și să fie însoțite de o măsură complementară, cum ar fi cronometrul de acces la cont după mai multe eșecuri (suspendarea temporară a accesului a cărei durată crește pe măsură ce se fac încercări), instituirea unui mecanism de protecție împotriva încercărilor automate și intense (de ex. captcha) și / sau blocarea contului după mai multe încercări de autentificare nereușite (până la 10);

  • configurarea software-ul de supraveghere video și a sesiunilor Windows astfel încât parolele să nu mai fie salvate implicit;

  • încetarea difuzării de imagini CCTV în spații accesibile întregului personal administrativ al școlii.

Perioada de păstrare

4. Implementarea unei politici privind perioada de păstrare a datelor cu caracter personal în conformitate cu dispozițiile articolului 5 litera (e) din Regulamentul (UE) 2016/679 și care nu depășește durata necesară scopurilor pentru care sunt colectate, în special a nu se păstra înregistrările imaginilor dispozitivului CCTV mai mult de o lună.

Subiectul articolului următor va fi despre concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (III)

/in /by

Încălcări ale legislației

Reprezentanții autorității au constatat că societatea supusă controlului nu a respectat următoarele obligații:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor vizate;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Nerespectarea obligației de a asigura adecvarea, relevanța și natura neexcesivă a datelor

Justificarea companiei privind instalarea sistemului de supraveghere a constat în protejarea bunurilor și a persoanelor (furt, asalt, avarii) și pentru a preveni eventuale acte de violență ale studenților. Reprezentanții companiei au precizat că sistemul de supraveghere video nu a fost folosit pentru a monitoriza angajații sau studenții.

În cazul unuia dintre sedii, reprezentanții autorității au constatat faptul că dispozitivul de supraveghere video instalat filmează prin detectare de mișcare, deci în mod continuu, în toate sălile de clasă (care este totodată locul de muncă al profesorilor) și în spațiile elevilor de petrecere a timpului liber.

În practica sa, CNIL a considerat că, exceptând unele circumstanțe excepționale neaplicabile în acest caz, nu poate fi justificată filmarea în locurile de petrecere a timpului liber, în timpul orelor de program.

În motivare societatea a menționat că au avut loc două furturi în incintă, dar autoritatea a considerat că nu se justifică plasarea oamenilor într-o situație de supraveghere constantă. De asemenea, autoritatea a considerat că îngrijorările privind violența între elevi și între profesori și studenți ca urmare a unor incidente petrecute înainte de implementarea dispozitivului, nu sunt susținute de niciun element faptic (cum ar fi depunerea unei reclamații sau un raport de incidente).

Caracterul excesiv al prelucrării este dat de configurația dispozitivului de supraveghere prin faptul că îi plasează pe studenți și profesori într-o situație de supraveghere permanentă.

În ceea ce privește cel de-al doilea sediu, o cameră filma biroul persoanei responsabile cu recepția, filmându-se, deci, în mod continuu stația de lucru a unui angajat. CNIL s-a pronunțat în mod constant în sensul că „filmările continue ale posturilor de lucru ale anumitor angajați sunt disproporționate, cu excepția unor circumstanțe speciale, de exemplu atunci când un angajat manipulează fonduri sau obiecte de valoare sau când operatorul este capabil să facă dovada că există pericol de furt sau deteriorare a acestor zone.”

În speță, supravegherea constantă a salariatului nu a părut a fi justificată și a fost considerată în mod evident disproporționată și excesivă față de scopul declarat.

CNIL a reținut că „toate aceste fapte constituie o încălcare a obligațiilor prevăzute la articolul 6 alineatul (3) din Legea nr. 78-17 din 6 ianuarie 1978, care prevede că datele personale colectate trebuie să fie adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrarea ulterioară a acestora.” Aceste prevederi există în GDPR la art. 5 alin. 1 lit. c).

Nerespectarea obligației de informare a persoanelor vizate

Reprezentanții CNIL au constatat că în cuprinsul condițiilor generale de înscriere, anexate contractului de înscriere, este inclusă o mențiune referitoare la supravegherea video, dar cu referire la respectarea vieții private conform Codului civil, iar nu cu referire la prevederile GDPR. În ceea ce privește profesorii și personalul administrativ, aceștia nu au fost informați nici prin contractul de muncă și nici prin regulamentul intern.

S-a mai constatat faptul că nicio persoană vizată nu a fost informată despre identitatea persoanei responsabile cu prelucrarea, destinatarii filmărilor, durata de stocare a imaginilor sau drepturile lor.

În ceea ce privește semnalizarea CCTV, aceasta lipsea la unul dintre sedii și era incompletă la celălalt (semnalizarea indica doar existența sistemului de supraveghere video și calitatea de operator a directorului școlii).

Faptele constituie o încălcare a legislației privind protecția datelor cu caracter personal care impun comunicarea către persoana vizată a anumitor informații cu privire la prelucrarea datelor sale, în special identitatea operatorului de date, scopul prelucrării, destinatarii datelor, indicarea drepturilor persoanelor vizate, precum și datele prelucrate și categoriile persoanelor vizate.

Nerespectarea obligației asigurării securității și confidențialității datelor

Delegația CNIL a constatat că o stație de calculator permitea accesul la imaginile preluate de la ambele sedii în timp real și le înregistra. La unul dintre sedii imaginile erau retransmise pe un ecran prezent în biroul personalului administrativ.

Computerul din biroul direcțiunii nu era protejat de parolă și nici deconectat, iar biroul era pur și simplu încuiat în caz de absență fără alte măsuri de siguranță.

În ceea ce privește software-ul folosit pentru vizualizarea imaginilor în ambele locații, acesta nu necesita introducerea unei parole la pornire și se conecta automat la contul de administrator al software-ului.

Conform celor de mai sus se poate concluziona că operatorul nu a asigurat securitatea datelor și nu a luat măsuri pentru împiedicarea terților neautorizați să aibă acces la acestea.

În consecință, faptele de mai sus constituie o încălcare a prevederilor conform cărora operatorul trebuie să ia toate măsurile de precauție necesare, având în vedere natura datelor și riscurile prezentate de prelucrare, pentru a păstra securitatea datelor și, în special, pentru a preveni modificarea ori deteriorarea acestora sau accesul unor terțe părți neautorizate (GDPR la art. 5 alin. 1 lit. f).

Nerespectarea obligației de a limita perioada de păstrare a datelor

Conform declarației inițiale făcute la CNIL privind sistemul CCTV, operatorul a indicat o perioadă de păstrare a datelor de 30 de zile. Conform constatărilor, însă, înregistrările au fost păstrate pentru mai mult de 48 de zile.

Delegații autorității au constatat că faptele de mai sus constituie o încălcare a obligațiilor care prevăd că datele cu caracter personal trebuie păstrate pentru o perioadă care nu depășește durata necesară scopurilor pentru care sunt colectate și prelucrate. (GDPR la art. 5 alin. 1 lit. e) prima teză).

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (II)

/in /by

Decizia Comisiei Naționale de Informatică și Libertăți (CNIL) privind CCTV

Prin decizia CNIL din 2 septembrie 2019 a fost finalizată investigația pornită în baza deciziei nr. 2018-024 din 02.07.2018, ca urmare a conformării operatorului ITIC la legea națională din Franța și GDPR. Pentru acest articol este importantă decizia nr. 2018-0241 din 02.07.2018 prin care autoritatea a constatat lipsurile ITIC și a propus un plan de măsuri.

Persoana juridică somată (operatorul)

ITIC este un S.R.L. – școală privată de învățământ superior care oferă cursuri în sectorul economic terțiar (contabilitate, IT, resurse umane, comerț, etc.).

Situația de fapt

În urma unei misiuni de control la cele două sedii ale ITIC, al cărei obiect a fost verificarea respectării legii privind protecția datelor cu privire la toate prelucrările de date personale implementate de companie, s-au făcut unele constatări referitoare la o prelucrare excesivă prin intermediul camerelor de supraveghere video (CCTV).

Constatări

La ambele sedii, sistemul de supraveghere era alcătuit din 40 de camere video care filmau în special săli de clasă, cantina, camere de petrecere a timpului liber și curtea condominiului. Camerele erau fixe, filmau color, fără înregistrare de sunet și erau acționate de detectarea mișcării. Sistemul de supraveghere video fusese anterior declarat la CNIL.

În ceea ce privește informarea cu privire la utilizarea sistemului video CCTV, ITIC a instalat un panou informativ privind supravegherea video doar la intrarea unuia dintre sedii. Directorul companiei a susținut că elevii sunt informați despre prezența unui sistem de supraveghere video prin condițiile generale atașate contractului de înregistrare. Angajații (personalul administrativ și profesorii) nu au făcut obiectul vreunei informări speciale cu privire la supravegherea video.

Imaginile din sistemele video erau înregistrate și puteau fi vizualizate, în direct sau nu, de la biroul directorului și de la biroul personalului administrativ. În ceea ce privește accesul la software-ul de vizualizare, acesta nu necesita o parolă pentru conectarea la contul de administrator al software-ului. De asemenea, nici sesiunea Windows din stația de lucru a directorului nu necesita o parolă și nu era vreodată deconectată.

Reprezentanții autorității au remarcat că perioada de păstrare a înregistrărilor depășea 49 de zile.

În articolul următor vom scrie despre constatările CNIL referitoare la nerespectarea legislației de către operator.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (I)

/in /by

→ Partea a II-a – conținutul deciziei CNIL și constatările făcute de delegații acesteia.

→ Partea a III-a – constatările CNIL referitoare la nerespectarea legislației de către operator.

→ Partea a IV-a – măsurile propuse.

→ Partea a V-a – concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

 

Nu este un secret faptul că în ultima perioadă supravegherea video prin CCTV a devenit din ce în ce mai folosită de către antreprenori și nu numai. Scopurile sunt variate: de la asigurarea pazei bunurilor, la asigurarea siguranței angajaților până la supravegherea acestora. În general, supravegherea video nu este un lucru rău. Interesele celor care utilizează astfel de mijloace sunt ușor de intuit. Problemele apar atunci când supravegherea video se face cu nerespectarea legii. Pentru cei care efectuează acest tip de supraveghere este foarte greu de acceptat că de cele mai multe ori interesele lor legitime nu prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate.

Pentru a facilita înțelegerea implicațiilor supravegherii video, vom publica pe blog o serie de articole care vor avea drept obiect reglementarea supravegherii video, cu analizarea unei decizii emise de CNIL (autoritatea de supraveghere în materie de protecție a datelor cu caracter personal din Franța) și indicarea pașilor pe care ar trebui să-i urmeze operatorii care vor să utilizeze astfel de mijloace de supraveghere.

Reglementare

Imaginile prelucrate prin intermediul sistemului CCTV sunt date cu caracter personal, deci principalul act normativ de reglementare este Regulamentul (UE) 2016/679 (denumit în continuare GDPR). Prin legea de punere în aplicare a GDPR, legiuitorul național a dedicat un singur articol prelucrărilor de date cu caracter personal prin intermediul unor mijloace de supraveghere video, și anume în contextul relațiilor de muncă.

Conform acestui articol (Art. 5. – Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă) angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta, doar dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Etape urmate de angajator în cazul utilizării CCTV

Aceasta înseamnă că angajatorul trebuie să parcurgă mai multe etape:

1. după ce conducerea a luat în considerare eventualitatea utilizării unor sisteme de monitorizare CCTV, angajatorul trebuie să facă o evaluare de impact în cuprinsul căreia să analizeze și interesele legitime. Pentru o evaluare completă și corectă angajatorul trebuie să consulte sindicatul sau, după caz, reprezentanții angajaților. De asemenea, acesta trebuie să demonstreze faptul că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit nu și-au dovedit anterior eficiența. Dacă după această evaluare se constată că drepturile persoanelor vizate nu prevalează intereselor legitime ale angajatorului, se poate trece la următoarea etapă. Este foarte important ca evaluarea intereselor legitime să fie păstrată de angajator și să fie revizuită periodic.

2. după efectuarea evaluării, dar mai înainte de introducerea efectivă a sistemelor de monitorizare, angajatorul trebuie să realizeze informarea prealabilă obligatorie, completă și în mod explicit a angajaților. Este recomandat ca în cuprinsul informării să se menționeze detalii cu privire la interesele legitime.

3. după implementarea sistemului de monitorizare angajatorul trebuie să revizuiască periodic evaluarea intereselor legitime și să informeze în prealabil noii angajați cu privire la mijloacele de supraveghere utilizate. De asemenea, trebuie să asigure respectarea cerințelor de prelucrare ale GDPR, inclusiv privind perioada maximă de stocare de 30 de zile. Aceasta nu înseamnă că perioada de stocare va fi obligatoriu de 30 zile, ci ea trebuie să fie cât mai mică, exact atât cât este necesar pentru scopul urmărit. De exemplu, pentru asigurarea securității bunurilor, o perioadă de 24 de ore este în general suficientă, dacă nu s-a petrecut niciun incident.

În ceea ce privește condițiile privind instalarea legală a sistemelor de supraveghere, sunt incidente dispozițiile Legii nr. 333/2003, care cuprinde aspecte pe care nu le vom dezvolta în cuprinsul prezentului articol.

În cuprinsul articolului următor vom prezenta conținutul deciziei CNIL și constatările făcute de delegații acesteia.