GDPR vine ca un instrument pentru a proteja viața privată și, în consecință, instituie în sarcina operatorilor o serie de obligații vis-à-vis de protecția datelor cu caracter personal. Având în vedere că a patra amendă GDPR s-a dat pentru lipsa informării cu privire la utilizarea CCTV, în acest articol vom trece în revistă, 7 elemente-cheie de care să țineți cont pentru fi la adăpost de amenzile GDPR și a proteja viața privată a persoanelor vizate.
-
Supravegherea video pentru scopuri exclusiv domestice
GDPR nu se aplică supravegherii video pentru scopuri exclusiv domestice, ca de exemplu supravegherea unei locuințe personale. Însă, în măsura în care se depășește sfera domestică, de exemplu, se prelucrează și strada din apropierea locuinței, GDPR se va aplica indiferent că supravegherea video este realizată de o persoană fizică.
-
Legalitatea prelucrării
Înainte de a amplasa camere CCTV, trebuie să ne întrebăm dacă avem un temei legal pentru a face acest lucru. Întrucât să obținem consimțământul tuturor persoanelor vizate ar fi greu de realizat, iar consimțământul poate fi retras oricând, recomandarea este să se meargă pe interes legitim, în măsura în care nu există o obligație legală în acest sens.
Dacă se utilizează interesul legitim, operatorii trebuie să realizeze o analiză prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza.
Dacă în urma analizei, dimpotrivă, rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.
Exemplu #1: O fabrică decide să instaleze camere video în vestiarele angajaților pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.
Mai multe despre supravegherea video la locul de muncă puteți afla accesând acest articol.
-
Dezvăluirea materialelor video către terțe părți
Orice dezvăluire a materialelor trebuie să fie legală și să se bazeze pe cel puțin unul dintre cele șase temeiuri (consimțământ, obligație legală, contract, interes legitim, interes vital, interes public.). De exemplu, înainte să urcăm un material video online, ar trebui să ne întrebăm dacă avem consimțământul tuturor persoanelor vizate sau dacă există un interes legitim.
Orice destinatar al materialului trebuie să își facă propria analiză cu privire la respectarea GDPR. Cu toate acestea, uneori putem avea o obligație legală de a pune la dispoziția organelor abilitate conținutul materialelor video, de exemplu, organelor de urmărire penală sau instanțelor de judecată.
-
Categorii speciale de date cu caracter personal
În general, captarea de categorii speciale de date cu caracter personal este interzisă. Imaginile sau materialele video cu persoane în ipostaze religioase, filozofice, politice, infracționale, sexuale, medicale etc, trebuie evitate în măsura în care nu există o excepție legală în acest sens, ca de exemplu, consimțământul explicit al persoanei vizate.
Exemplu: #1 Materialele video de la festivalurile LGBT sau festivaluri religioase nu ar trebui prelucrate deoarece orientarea sexuală sau credințele religioase ale persoanei sunt categorii speciale de date a căror prelucrare este, în principiu, interzisă.
-
Drepturile persoanei vizate
Dreptul la informare – Fiecare persoană vizată are dreptul de a fi informată înainte de a fi monitorizată video prin intermediul unei note de informare afișate într-un loc vizibil. Mai multe despre informarea persoanei vizate puteți afla accesând acest articol.
Model avertizare CCTV:
Sursa: Opinia 3/2019 EDPB
Dreptul de acces - Fiecare persoană vizată are dreptul de a obține o confirmare că s-au prelucrat imagini sau conținut video, iar în caz afirmativ, accesul la respectivele informații.
Dreptul la ștergere – În unele cazuri, persoana vizată poate obține ștergerea datelor și, în consecință, a materialelor video.
Dreptul la opoziție – În unele cazuri, persoana vizată are dreptul de a se opune monitorizării CCTV.
-
Perioada de stocare și obligația de ștergere
Potrivit principiului limitării stocării, datele nu trebuie păstrate mai mult decât este necesar. După împlinirea perioadei, datele trebuie șterse. Cu privire la supravegherea video a angajaților, Legea nr. 190/2018 prevede o durată maximă de 30 de zile. În toate cazurile, însă, perioada de stocare trebuie să fie minimă.
Exemplu oferit de Comitetul European pentru Protecția Datelor: Un proprietar de magazin are, în general, posibilitatea să afle despre un vandalism/un furt în aceeași zi. În consecință, o perioadă de stocare de 24 de ore ar trebui să fie suficientă. Pentru weekend-uri și zilele nelucrătoare, poate fi instituită o perioadă de stocare mai mare.
Dacă o infracțiune este detectată, datele ar putea fi păstrate pe o perioadă mai mare pentru a fi utilizate ca probe în procedurile legale.
-
Măsuri tehnice și organizatorice
Pe lângă efectuarea unei analize de impact, dacă este obligatory, și implementarea măsurilor tehnice, operatorii ar trebui să implementeze măsuri organizatorice adecvate prin care să asigure, în principal, securitatea (integritatea, confidențialitatea și disponibilitatea datelor).
În acest sens, operatorii ar trebui să implementeze politici și proceduri care:
- Să stabilească cine este responsabil pentru sistemele CCTV;
- Să stabilească scopurile supravegherii;
- Să stabilească când supravegherea video este permisă și când este interzisă;
- Să stabilească condițiile de transparență față de persoanele vizate;
- Să stabilescă cine are acces la materiale și pentru ce scopuri;
- Să stabilească cine efectuează training-urile angajaților;
- Să prevină să reacționeze optim la incidentele de Securitate.