Organizațiile care vor să instaleze sisteme de monitorizare video CCTV trebuie să respecte o serie de obligații de protecție a datelor personale, pentru a evita sancțiunile.
Autoritatea de protecție a datelor din România s-a concentrat semnificativ în ultimii 4 ani asupra sistemelor CCTV. A aplicat sancțiuni companiilor și asociațiilor de proprietari pentru o serie întreagă de probleme legate de monitorizarea video. Vei afla din acest articol care au fost acele probleme și ce poți face pentru a respecta cerințele GDPR.
Obligațiile care trebuie respectate, conform GDPR:
Stabilirea scopului pentru care este instalat sistemul video
Prelucrarea datelor personale rezultate din supravegherea video poate să aibă loc doar dacă operatorul și-a stabilit un scop determinat, explicit și legitim de prelucrare. De asemenea, instalarea sistemului CCTV într-un scop inițial și folosirea imaginilor în alte scopuri incompatibile cu cele declarate este o încălcare a GDPR.
În ce privește monitorizarea CCTV, aceasta poate avea scopul de menținere a siguranței bunurilor și a persoanelor (ca parte a măsurilor anti efracție instalate conform Legii 333/2003). Dacă însă montarea sistemelor de supraveghere are ca scop monitorizarea activității profesionale a angajaților, compania trebuie să respecte indicațiile de informare a angajaților cu privire la scopurile supravegherii și să respecte cerințele specifice ale Legii 190/2018.
Autoritatea de protecție a datelor (ANSPDCP) a sancționat mai mulți operatori pentru folosirea imaginilor CCTV în scopuri incompatibile cu cel de securitate. Spre exemplu, au existat cazuri în care capturile de ecran au fost distribuite de către președintele asociației de proprietari pe un grup de Whatsapp, în care supravegherea video avea loc în spații intime (vestiare) sau situații când angajații erau monitorizați în birouri (fără respectarea cerințelor legale speciale pentru o astfel de monitorizare).
Notă: Instalarea unui sistem CCTV pentru scopuri pur personale (de exemplu, pentru supravegherea propriei locuințe) nu este supusă obligațiilor din GDPR. Însă, dacă se depășește scopul personal prin supravegherea unor spații unde au în general acces și alte persoane (cum ar fi holurile blocului), atunci este foarte probabil ca monitorizarea să cadă sub incidența GDPR.
Stabilirea temeiului prelucrării datelor personale
Pe lângă scop, este necesară stabilirea unui temei legal de prelucrare. Dacă operatorul nu are o obligație legală specifică de a instala sistemul CCTV, atunci temeiul legal poate fi interesul legitim al operatorului de a asigura paza bunurilor și persoanelor. E important de reținut că invocarea interesului legitim ca temei presupune și efectuarea unei analize a interesului legitim (LIA).
Este necesară analizarea cu atenție a normelor de aplicare a Legii 333/2003, pentru a vedea dacă spațiul monitorizat de operator se încadrează în categoriile unde este obligatorie instalarea CCTV (spre exemplu, bănci, case de schimb valutar, servicii poștale, benzinării, spații comerciale cu suprafețe mai mari de 500mp). Doar în astfel de cazuri, în care legea prevede expres, prelucrarea datelor personale se poate întemeia pe o obligație legală.
Autoritatea de protecție a datelor (ANSPDCP) a emis un ghid pentru asociațiile de proprietari, care include detalii cu privire la instalarea sistemelor de supraveghere video. În acest ghid, autoritatea clarifică temeiul legal:
„Măsura instalării unui sistem de supraveghere video poate fi luată de către asociația de proprietari în baza interesului legitim al asociației, de ex. pentru asigurarea pazei şi protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor de utilitate publică, precum și a împrejmuirilor afectate acestora, dar și în zona de acces în imobil sau lifturi.
Argumentele privind justificarea interesului legitim trebuie să se regăsească într-o documentație la nivelul asociației de proprietari și, ulterior, hotărârea de a instala un astfel de sistem trebuie adoptată în cadrul adunării generale a asociaţiei de proprietari, potrivit legii.”
Extrapolând indicațiile din ghid, orice operator care instalează sistemul CCTV pe temeiul interesului legitim, ar trebui să documenteze justificarea acestui interes. Analiza rezultată va fi adoptată de către operator, conform regulilor statutare.
Informarea persoanelor vizate
Operatorul trebuie să asigure transparența monitorizării, astfel că persoanele vizate (angajați, vizitatori etc.) trebuie să fie conștienți de faptul că pot intra în raza de aplicare a sistemului CCTV. Informarea trebuie să fie accesibilă, deci trebuie să fie vizibilă persoanelor care ar putea trece prin fața camerelor. Pentru că notele de informare ajung să fie destul de voluminoase, informarea poate fi afișată succint, însoțită de un cod QR, care va cuprinde o trimitere către informarea detaliată.
Relația cu terții care ar putea avea acces la înregistrări
Deseori, sistemele CCTV sunt implementate cu ajutorul unor terți furnizori de servicii (e.g. firme specializate de pază), care vor avea acces la imaginile înregistrate. Din acest motiv, clientul și societatea de pază trebuie să încheie un acord de prelucrare a datelor personale. În practică, raportul dintre cele două părți este unul de operator și împuternicit, deci acordul trebuie să conțină toate elementele obligatorii impuse de art. 28 din GDPR.
Efectuarea unei analize de impact asupra datelor personale (DPIA), dacă este cazul
Dacă sistemul CCTV are ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea în centre comerciale, stadioane, pieţe, parcuri sau alte asemenea spații, este necesară efectuarea unei DPIA (conform unei decizii adoptată de ANSPDCP). În plus, este necesară DPIA de fiecare dată când prelucrarea poate să genereze riscuri ridicate pentru persoane fizice (de exemplu, cum este cazul monitorizării activității angajaților).
Alte aspecte
Companiile trebuie să ia în calcul și alte aspecte suplimentare:
- Să aplice măsuri tehnice și organizatorice de securitate pentru a preveni incidentele de securitate sau alte prelucrări nelegale ale înregistrărilor.
- Să stabilească modului în care se vor respecta drepturile persoanelor vizate – spre exemplu, dacă cineva dorește să obțină acces la filmări. ANSPDCP a aplicat în anul 2022 mai multe amenzi pentru refuzul de a oferi acces la imagini persoanelor vizate.
- Să stabilească durata maximă de păstrare a imaginilor. Legislația din domeniul pazei prevede un termen de 20 de zile pentru stocarea imaginilor, care poate fi interpretat ca un termen minim, iar recomandarea ANSPDCP pentru asociațiile de proprietari este de 30 de zile. În general, operatorii optează pentru termenul de păstrare de 30 de zile, după care imaginile se șterg automat (prin suprascriere).