Despre noi         Contact

Supravegherea video - respectarea sau nu a GDPR?

Supravegherea video - respectarea sau nu a GDPR?

Foarte multe companii, datorită Regulamentului European de Protecție a Datelor 2016/679 (GDPR), nu știu ce și cum să procedeze cu privire la sistemele de supraveghere video ( TVCI). 

În România, aceste sisteme intră sub incidența legii 333/2003, respectiv a normelor de aplicare HG301/2012 și HG1002/2015. Iar conform acestor legi, există tipuri de obiective cu obligativitate legală de montare a sistemelor TVCI, ca de exemplu, conform articolului 8.1 avem:  Unităţile şi instituţiile de interes public trebuie să prevadă sisteme de supraveghere video pe căile de acces, holuri şi alte zone cu risc ridicat, detecţie a efracţiei pe zonele de expunere sau depozitare valori şi control acces, prin personal sau echipamente.

 

La fel, conform anexei 1 din HG301/2012, avem articolul 1 și 2, care ne obligă să identificăm și să stabilim zonele funcționale, corespunzătoare activității desfășurate. Iar zonele  funcţionale pentru care este necesară adoptarea unor măsuri de securitate sunt:

a) zona de acces în unitate şi zona perimetrală;
b) zona de tranzacţionare;
c) zona de depozitare;
d) zona de expunere;
e) zona de transfer;
f) zona de procesare;
g) zona echipamentelor de securitate;
h) zona de tranzacţii cu automate bancare.
i) alte zone cu regim de securitate ridicat;

 Iar in recomandările Grupului de Lucru 29, avem recomandare WP249:

În avizul nr. 8/2001, GL 29 a subliniat anterior că angajatorii iau în considerare principiile fundamentale în materie de protecție a datelor ale DPD atunci când prelucrează date cu caracter personal în contextul ocupării unui loc de muncă. Dezvoltarea de noi tehnologii și noi metode de prelucrare în acest context nu a dus la o schimbare a acestei situații, de fapt, se poate afirma că astfel de evoluții au crescut importanța acestui aspect pentru angajatori.

În acest context, angajatorii trebuie:

  • să se asigure că datele sunt prelucrate în scopuri specificate și legitime care sunt proporționale și necesare;
  • să țină seama de principiul limitării scopului, asigurându-se, în același timp, că datele sunt adecvate, relevante și neexcesive în raport cu scopul legitim;
  • să aplice principiile proporționalității și subsidiarității, indiferent de temeiul juridic aplicabil; 
  • să exprime transparență în relația cu angajații cu privire la utilizarea și scopurile tehnologiilor de monitorizare;
  • să permită exercitarea drepturilor persoanelor vizate, inclusiv a dreptului de acces și, după caz, rectificarea, ștergerea sau blocarea datelor cu caracter personal;
  • să păstreze datele exacte și să nu le păstreze mai mult decât este necesar; și
  • să ia toate măsurile necesare pentru a proteja datele împotriva accesului neautorizat și să se asigure de faptul că angajații sunt suficient de bine informați cu privire la obligațiile în materie de protecție a datelor.

Acum să le analizăm pe fiecare în parte:

  • Asigurarea că datele sunt prelucrate în scopuri specificate și legitime. În România, sistemele TVCI, pentru organizații, instalarea lor se face doar de către firme autorizate, cu scopul de a asigura securitatea obiectivelor. Pentru camerele montate cu alte scopuri (de exemplu, monitorizarea producției) vor trebui definite și specificate legitimatea scopurilor.

Pentru limitarea scopului, atâta timp cât se respectă legea securitățiii fizice, există legalitate și legitimate. Mai ales că în HG 301/2012 se specifica clar la articolul 2, aliniatul 3: Adoptarea măsurilor de securitate prevăzute la alin. (1) se realizează în conformitate cu analiza de risc efectuată de unitate, prin structuri de specialitate sau prin experţi abilitaţi, care deţin competenţe profesionale dobândite pentru ocupaţia de evaluator de risc la securitatea fizică. Adică avem o limitare clară a scopului.

  • Aplicarea principiilor de proporționalității și subsidiarității. 
    Principiul proporţionalităţii este invocat în general în procedurile judiciare în care se pune problema prevalenţei unui drept legal faţă de alt drept legal sau în care disputa priveşte protecţia unui drept privat în contrapondere cu protecţia interesului public. În această analiză, se urmăreşte mai întâi dacă regula de drept respectivă trece testul calităţii relaţiei dintre mijloace (măsura administrativă în discuţie) şi scop (obiectivul urmărit prin instituirea acelei măsuri). Ulterior, trebuie verificat dacă măsura respectivă este şi necesară scopului urmărit şi cel mai important, dacă este cea mai puţin restrictivă dintre măsurile administrative posibile pentru atingerea scopului propus. În concluzie, atâta timp cât avem obligativitatea legală, pentru montarea sistemului TVCI, pe baza realizării unui proiect tehnic și a uneo analize de risc, avem o măsură necesară scopului de a securiza obiectivului și de a respecta legea. 

Subsidiaritatea constă în tendinţa favorabilă la participarea complementară (subsidiară) a statului în sprijinul activităţilor private sau comunitare.

  • Exprimarea transparenței în relația cu angajații. Prin respectarea legislației și informarea impusă de lege, că obiectivul este supravegheat video, respectiv prin informarea angajaților cu privire la obigațiile legale pe care organizația trebuei să le respecte, pentru a-și proteja valorile; există o relație de transparență cu angajații.
  • Să permită exercitarea drepturilor persoanelor vizate. Prin obligația de respectarea Regulamentului UE 2016/679, mai precis a drepturilor persoanelor fizice; organizația va trebui să asigure metode tehnice și organizatorice, prin care va analiza solicitările angajațiilor cu privire la imaginile video ale sistemului TVCI. Iar prin asigurarea acestor măsuri, nu va fi necesară eliminarea sitemului TVCI.
  • Să păstreze datele exacte și să nu le păstreze mai mult decât este necesar. Legea 333/2003 și normele de aplicare impun o periodă de păstrare a imaginilor de 20 de zile. Prin dimensinarea capacității de stocare ( inclusiv metode de back-up), respectiv de suprascriere, datele sunt păstrate doar atât cât este impus de lege.
  • Să ia toate măsurile necesare pentru a proteja datele împotriva accesului neautorizat.  Accesul limitat la elementele de stocare a sistemului TVCI, este impus și de legislația securității fizice, adică doar pentru personalul autorizat.

 Pe lângă cele expus mai sus, mai există legea 190/2018 care, la articolul 5 reglementează prelucrarea datelor cu caracter personal în contextul relațiilor de muncă:

ART. 5
În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate. ;

 În concluzie, GDPR nu elimină sistemele TVCI. Doar impune o responsabilitatea mai mare cu privire la imaginile video înregistrare, respectiv accesul la aceste date.

Adică, nu mai navigați de pe telefon, fără a avea asigurată o securitate adecvată a accesului la sistemul TVCI, din exteriorul organizației ( de exemplu un client VPN).

NEWSLETTER

Înscrieți-vă la newsletter-ul nostru pentru a fi la curent cu cele mai recente știri și evenimente.

Abonare

Contact

    SC INTERCLOUD SRL

Timisoara, Jud. Timis, România

Str. Martir Ioan Stanciu nr. 9b

Tel. 0723 189 063
Tel. 0722 206 855
e-mail: contact@protectia-datelor.ro