Supravegherea video - respectarea sau nu a GDPR?

Scris de Cristian Raiescu

Supravegherea video - respectarea sau nu a GDPR?

Foarte multe companii, datorită Regulamentului European de Protecție a Datelor 2016/679 (GDPR), nu știu ce și cum să procedeze cu privire la sistemele de supraveghere video ( TVCI). 

În România, aceste sisteme intră sub incidența legii 333/2003, respectiv a normelor de aplicare HG301/2012 și HG1002/2015. Iar conform acestor legi, există tipuri de obiective cu obligativitate legală de montare a sistemelor TVCI, ca de exemplu, conform articolului 8.1 avem:  Unităţile şi instituţiile de interes public trebuie să prevadă sisteme de supraveghere video pe căile de acces, holuri şi alte zone cu risc ridicat, detecţie a efracţiei pe zonele de expunere sau depozitare valori şi control acces, prin personal sau echipamente.

 

La fel, conform anexei 1 din HG301/2012, avem articolul 1 și 2, care ne obligă să identificăm și să stabilim zonele funcționale, corespunzătoare activității desfășurate. Iar zonele  funcţionale pentru care este necesară adoptarea unor măsuri de securitate sunt:

a) zona de acces în unitate şi zona perimetrală;
b) zona de tranzacţionare;
c) zona de depozitare;
d) zona de expunere;
e) zona de transfer;
f) zona de procesare;
g) zona echipamentelor de securitate;
h) zona de tranzacţii cu automate bancare.
i) alte zone cu regim de securitate ridicat;

 Iar in recomandările Grupului de Lucru 29, avem recomandare WP249:

În avizul nr. 8/2001, GL 29 a subliniat anterior că angajatorii iau în considerare principiile fundamentale în materie de protecție a datelor ale DPD atunci când prelucrează date cu caracter personal în contextul ocupării unui loc de muncă. Dezvoltarea de noi tehnologii și noi metode de prelucrare în acest context nu a dus la o schimbare a acestei situații, de fapt, se poate afirma că astfel de evoluții au crescut importanța acestui aspect pentru angajatori.

În acest context, angajatorii trebuie:

Acum să le analizăm pe fiecare în parte:

Pentru limitarea scopului, atâta timp cât se respectă legea securitățiii fizice, există legalitate și legitimate. Mai ales că în HG 301/2012 se specifica clar la articolul 2, aliniatul 3: Adoptarea măsurilor de securitate prevăzute la alin. (1) se realizează în conformitate cu analiza de risc efectuată de unitate, prin structuri de specialitate sau prin experţi abilitaţi, care deţin competenţe profesionale dobândite pentru ocupaţia de evaluator de risc la securitatea fizică. Adică avem o limitare clară a scopului.

Subsidiaritatea constă în tendinţa favorabilă la participarea complementară (subsidiară) a statului în sprijinul activităţilor private sau comunitare.

 Pe lângă cele expus mai sus, mai există legea 190/2018 care, la articolul 5 reglementează prelucrarea datelor cu caracter personal în contextul relațiilor de muncă:

ART. 5
În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate. ;

 În concluzie, GDPR nu elimină sistemele TVCI. Doar impune o responsabilitatea mai mare cu privire la imaginile video înregistrare, respectiv accesul la aceste date.

Adică, nu mai navigați de pe telefon, fără a avea asigurată o securitate adecvată a accesului la sistemul TVCI, din exteriorul organizației ( de exemplu un client VPN).