Supravegherea video în instituții publice: școli și poliție

Article Conformitatea Supravegherii Video cu GDPR. COnformitatea CCTV cu GDPR

Prelucrarea datelor cu caracter personal prin utilizarea unor sisteme de televiziune cu circuit închis cu posibilități de înregistrare şi stocare a imaginilor şi datelor se supune, în prezent, atât prevederilor Regulamentului (UE) 2016/ 679, cât şi ale Legii nr. 333/ 2003 privind paza obiectivelor, bunurilor, valorilor şi protecția persoanelor. Supravegherea video este un punct important pentru protecția spațiilor și a persoanelor, dar este esențial, de asemenea, să înțelegem și posibilele efecte adverse asupra libertății cetățenilor și a spațiilor publice.

Principalele puncte de risc atunci când vorbim de supraveghere video, sunt calitatea datelor personale prelucrate, dreptul la informare și perioada de retenție.

·       Camerele de supraveghere pot și ar trebui să fie utilizate în mod inteligent și ar trebui să vizeze doar problemele de securitate identificate în mod specific, reducând astfel la minimum colectarea de imagini irelevante, cu respectarea principiului minimizării datelor. Acest lucru nu numai că reduce intruziunile în viața privată, dar contribuie și la asigurarea unei utilizări mai bine orientate și, în cele din urmă, mai eficiente a supravegherii video.

·       Afișele de informare a persoanelor vizate cu privire la existența sistemului de supraveghere video sunt obligatorii, deoarece persoanele afectate de supravegherea video trebuie să fie informate, la instalarea acesteia, cu privire la monitorizare, la scopul acesteia și la perioada de timp în care vor fi păstrate imaginile și de către cine.

·       Instalarea camerelor de supraveghere poate fi justificată în scopuri de securitate, totuși ștergerea automată și la timp a înregistrărilor este esențială. Operatorii trebuie să aibă politici clare cu privire la utilizarea supravegherii video în sediile lor, inclusiv în ceea ce privește posibila stocare.

Vom analiza două situații din 2022, identificat de către Autorității de supraveghere a datelor personale din România, ANSPDCP, și surprinse în Raportul anual pe 2022. Două zone în care camerele video sunt foarte mult discutate – când vine vorba de școli și de elevi, și când vine vorba de poliție și securitate publică.

 

1.     Utilizarea de sisteme de supraveghere video de către unități de învățământ

Așa cum povesteam aici,primul pas pentru asigurarea conformității sistemului de supraveghere video și respectarea confidențialității și securității datelor personale este de a stabili temeiul legal al prelucrării pentru fiecare dintre scopurile pentru care datele sunt sau vor fi prelucrate.

Așa cum reiese din poziția Autorității naționale de supraveghere (ANSPDCP), putem baza prelucrările de date prin intermediul sistemelor de supraveghere video pe temeiul:

·       Îndeplinirii unei obligații legale;

·       Interesului legitim al operatorului;

·       Consimțământului persoanelor vizate;

Este important de reținut faptul că evaluarea temeiului legal se va realiza în ordinea de mai sus. Astfel, dacă nu avem o obligație legală, vom evalua interesul legitim, iar dacă aceasta nu poate fi temeinic justificat, ne vom orienta spre consimțământul persoanelor vizate.

În cazul evaluării naționale 2022-2023, ANSPDCP a precizat că, prin raportare la prevederile privind organizarea şi desfășurarea evaluării naționale pentru absolvenții clasei a VIII-a, numai pe perioada desfășurării examenelor naționale există obligație legală pentru efectuarea supravegherii video în sălile de clasă.

Cât privește utilizarea de camere de supraveghere video în sălile de curs în afara desfășurării examenelor mai sus amintite, precum și în alte spații pe care le administrează o unitate de învățământ, s-a precizat că aceasta se poate efectua numai cu îndeplinirea condițiilor prevăzute de art. 6 alin. (1) din Regulamentul (UE) 2016/679, adică fie respectat fie temeiul interesului legitim al operatorului, fie să fie luat consimțământul persoanelor vizate, pentru că nu există nicio obligație legală aferentă.  

Conform Regulamentului (UE) 2016/ 679, prelucrările de date specifice supravegherii video efectuate trebuie precedate de o informare clară, concisă, într-un limbaj simplu, în conformitate cu art. 13 din Regulament, care obligă operatorul să furnizeze persoanei vizate o serie întreagă de informații. Conform Ghidului 3/ 2019 emis de către Comitetul European de Protecția a datelor, informarea trebuie să fie făcută o dată cu informarea cu privire la supravegherea video, și să conțină cel puțin următoarele:

- despre scopurile prelucrării,

- identitatea operatorului,

- existența drepturilor persoanei vizate,

- cele mai importante efecte ale prelucrării. (Mesajul poate cuprinde, de exemplu, interesele legitime urmărite de operator sau  de către o parte terță și informațiile de contact ale responsabilului cu protecția datelor.)

În plus, mesajul trebuie să conțină și orice fel de informație care ar putea surprinde persoana vizată. Ar putea fi vorba, de exemplu, despre transmiteri către părți terțe, în special dacă acestea sunt situate în afara UE, și despre perioada de stocare. Dacă aceste informații nu sunt precizate, persoana vizată trebuie să poată avea încredere că este doar o monitorizare live (fără înregistrări sau transmiteri de date către părți terțe).  

De asemenea, mesajul trebuie să facă referire și la o notificare mai detaliată de informații și la locul și modul în care poate fi găsit, furnizate persoanei vizate într-un loc ușor accesibil, de exemplu sub forma unei fișe cu informații complete disponibilă într-un loc central (de exemplu, birou de informații, recepție sau casierie) sau afișate pe un panou ușor accesibil. În plus, cel mai bine este dacă se face referire la o sursă digitală (de exemplu, codul QR sau o adresă a unui site) pentru accesarea acestor informații. Însă informațiile trebuie să fie ușor accesibile și în format non-digital. Aceste informații detaliate trebuie să poată fi accesate fără a intra în zona supravegheată, în special dacă informațiile sunt furnizate digital (acest lucru se poate realiza, de exemplu, printr-un link). Alte mijloace adecvate ar putea consta într-un număr de telefon care să poată fi apelat.

Cele de mai sus se traduc, de obicei, într-o pictogramă instalată în spațiile monitorizate, care să conțină o imagine reprezentativă, poziționată la o distanță rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzută de orice persoană, și care să aibă informațiile menționate.

În contextul supravegherii video în școli, vorbim totuși despre o prelucrare a datelor minorilor, iar ANSPDCP a subliniat faptul că Regulamentul (UE) 2016/679 impune un nivel suplimentar de protecție în cazul în care sunt prelucrate datele cu caracter personal ale persoanelor fizice vulnerabile, în special ale copiilor. Considerentul 38 al Regulamentul (UE) 2016/679 prevede: „Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal”.

Așadar, raportat la reglementările din domeniul educației și la prevederile art. 5-7 din Regulamentul (UE) 2016/679, ANSPDCP a precizat că datele nu pot fi prelucrate de un operator, în acest caz unitatea de învățământ, decât dacă există

·       consimțământul persoanelor vizate (angajați, elevi, respectiv reprezentanții legali ai acestora din urmă), ori în măsura în care există

·       un temei legal expres pentru această prelucrare, cu respectarea principiilor de prelucrare a datelor și cu informarea persoanelor vizate.

În ceea ce privește supravegherea video a spațiilor publice precum trotuare și parcări, din imediata apropiere a unităților de învățământ ANSPDCP a subliniat că, în măsura în care unitatea de învățământ stabilește și scopul prelucrării, aceasta are calitatea de operator, și îi revin obligațiile din Regulamentul (UE) 2016/679, adică obligația de a minimiza prelucrarea datelor prelucrate, prin reducerea unghiului camerelor de supraveghere, informarea expresă și precisă a persoanelor vizate, punerea în aplicare a unor măsuri stricte de funcționare a sistemului (accesul să fie limitat la persoane anume desemnate, în funcție de atribuții, back-up-ul să nu depășească limita legală, elaborarea unor politici de lucru șamd). Pentru mai multe informații cu privire la măsurile tehnice ce trebuie adoptate de operatori, găsești aici. 

 

 2. Utilizarea de sisteme de supraveghere video de către politie : Body-Worn Camera”

În 2020, ANSPDCP a fost sesizată cu o încălcare a legislației privind protecția datelor de către o Direcție Generală de Poliție Locală, sesizare ce semnala faptul că polițiștilor locali din cadrul Direcției Generale de Poliție Locală a Unității Administrativ Teritoriale le-a fost stabilită obligația de a purta asupra lor, în timpul programului de lucru, camere de înregistrare audio – video de tip ”Body-Worn Camera”, angajații fiind, așadar, monitorizați permanent. Pentru această faptă, operatorul a fost sancționat cu avertisment și cu măsuri complementare, ce au inclus ștergerea tuturor datelor personale astfel prelucrate.

În urma acestei investigației s-a constatat că operatorul – UAT pentru Direcția Generală de Poliție Locală a încălcat obligația de a prelucra datele în mod legal, echitabil și transparent față de persoana vizată, mai precis prevederile art. 5 alin. (1) lit. a) raportat la art. 6 alin. (1) din Regulamentul (UE) 2016/679, deoarece personalul Direcției Generale de Poliție Locală, aflat în exercitarea misiunilor și activităților specifice, a prelucrat date cu caracter personal, imagine și voce, prin utilizarea sistemului audio-video portabil de tip ”Body-Worn Camera”,   fără un temei legal de prelucrare: obligație legală a operatorului sau consimțământ. Articolul 6 din Regulamentul (UE) 679/2016, menționează că prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una din condițiile prevăzute la alin. (1), dar când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau o parte terță, impune excepția prelucrărilor efectuate de autorități publice în îndeplinirea atribuțiilor lor.  Așadar, în prelucrările efectuate de autorități publice în îndeplinirea atribuțiilor lor, interesul legitim nu poate fi un temei de prelucrare.

Procesul verbal a fost atacat în instanță, dar Autorității de supraveghere i s-a dat dreptate cu privire la această prelucrare și la sancțiunile aplicate. Operatorului i s-a impus să înceteze orice operațiune sau set de operațiuni de prelucrare de date cu caracter personal efectuate prin intermediul sistemelor audio-video de top ”Body-Worn Camera” și să șteargă sistemul de evidență a datelor cu caracter personal constituit ca urmare a realizării unor astfel de sisteme.

Avertismentul a fost însoțit de următoarele măsuri:

·       asigurarea conformității operațiunilor de prelucrare, efectuate prin utilizarea sistemelor audio-video portabile de tip ”Body-Worn Camera”, cu dispozițiile art. 5, ce instituie principiile de prelucrare a datelor personale, și cu art. 6, ce instituie obligațiile privind temeiul de prelucrare a datelor personale, din Regulamentul (UE) 2016/679;

·       încetarea oricărei operațiuni sau set de operațiuni de prelucrare de date cu caracter personal efectuate prin intermediul sistemelor audio-video de tip ”Body –Worn Camera”;

·       ștergerea sistemului de evidență a datelor cu caracter personal constituit ca urmare a utilizării unor astfel de sisteme.

Ultimele două măsuri au fost impuse ca urmare a neconformității sistemului până la momentul controlului, așadar, chiar dacă operatorul ar fi asigurat conformitatea ulterioară cu Regulamentul GDPR, aceste măsuri trebuie aplicate, adică trebuie șterse datele stocate și orice prelucrare aferentă, pentru că aceste date personale au fost prelucrate fără respectarea legislației. Aceste măsuri complementare sunt asociate de ANSPDCP, în general, sancțiunilor pecuniare aplicate operatorilor ce nu asigură conformitatea prelucrărilor cu Regulamentul GDPR.

În anul 2022, incidentele de securitate identificate de ANSPDCP au scos în evidență probleme legate de respectarea confidențialității, disponibilității sau integrității datelor, iar un de din modalitățile cele mai des întâlnite de neconformitate a fost accesul neautorizat la sisteme de supraveghere video, și dezvăluirea de date cu caracter personal. În 2023, Autoritatea de supraveghere din România și cea din Spania au aplicat cele mai multe sancțiuni cu privire la sistemele de supraveghere video, multe din ele fiind aplicate chiar persoanelor fizice, ce au instalat camere de supraveghere fără a notifica și informa public persoanele posibil vizate, fără a minimiza spațiul filmat și fără a motiva temeinic instalarea camerelor. Persoanele juridice sancționate au încălcat în mod similar legislația privind protecția datelor – nu au asigurat transparența prelucrării și nu au probat un temei legal de prelucrare.

Comitetul european pentru protecția datelor (CEPD) a pus accent pe implicațiile majore pe care utilizarea intensivă a dispozitivelor video le are asupra protecției datelor. Circulația și utilizarea serviciilor controlată video poate afecta comportamentul cetățenilor, pentru că se diluează posibilitatea anonimatului. Chiar și când vorbim despre securitatea cetățenilor și a bunurilor, este importantă implementarea unor garanții pentru a evita utilizarea abuzivă în scopuri total diferite și neașteptate, ca de exemplu, utilizarea nelegitimă în scopuri de marketing sau monitorizarea performanțelor angajaților. Trebuie să luăm în calcul și noile instrumente tehnice de exploatare a imaginilor, care cresc exponențial riscul de utilizare secundară – utilizarea imaginilor din spațiul public pentru a urmări activitatea cuiva sau crearea de deep fake-uri ce pot influența negativ persoanele vizate. Problemele de protecție a datelor ridicate în fiecare situație pot fi diferite, la fel ca și analiza juridică atunci când a fost utilizată una sau alta dintre aceste tehnologii.

               Dincolo de încălcarea confidențialității, riscurile sunt legate și de funcționarea defectuoasă a sistemelor de supraveghere și de prejudecățile pe care le pot produce. Un exemplu relevant este faptul că software-ul utilizat pentru identificarea, recunoașterea și analiza facială funcționează diferit în funcție de vârsta, sexul și etnia persoanei, iar algoritmii se bazează pe date demografice diferite. Așadar, favorizarea sau influențarea negativă sunt două din cele mai mari probleme ale supravegherii video.

 

               Dacă vrei să implementezi un astfel de sistem de supraveghere video, poți găsi mai multe detalii aici sau ne poți scrie la office@decalex.ro.

 
Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI