Sistemele de supraveghere video (CCTV) sunt tot mai utilizate de către companii pentru a monitoriza spațiile în care își desfășoară activitatea. Instalarea acestor sisteme trebuie să respecte normele GDPR, în caz contrar, companiile pot fi amendate.
Cum vă asigurați că respectați normele GDPR cu privire la utilizarea CCTV?
Răspunsul la această întrebare este unul complex, aplicabilitatea GDPR fiind una extinsă. În cele ce urmează vom prezenta trei măsuri de bază ce ar trebui implementate pentru a se evita aplicarea unei amenzi.
1. Întocmirea unei Politici de confidențialitate privind prelucrarea datelor prin intermediul CCTV.
Imaginile prelucrate prin intermediul sistemelor de supraveghere reprezintă o prelucrare de date cu caracter personal și astfel trebuie avute în vedere prevederile legale aplicabile.
Compania trebuie să documenteze, în scris, scopurile și temeiurile prelucrării datelor cu caracter personal obținute prin intermediul sistemelor de supraveghere video.
Politica de confidențialitate trebuie să mai prevadă, printre altele, procedura de răspuns la solicitările persoanelor vizate, perioada de păstrare a datelor precum și situațiile în care datele personale colectate pot fi transferate către terți.
2. Realizarea Evaluării impactului asupra protecției datelor (Data Protection Impact Asessment- DPIA)
Prelucrarea datelor personale prin intermediul CCTV impune, de cele mai multe ori, realizarea unei evaluări prin care să fie documentată necesitatea utilizării sistemului de supraveghere și impactul acestuia asupra drepturilor persoanelor vizate.
DPIA este documentul prin care se justifică din punct de vedere legal necesitatea instalării unui sistem de supraveghere video. Prin intermediul acestei evaluări se analizează ce alte măsuri de protecție au fost implementate de către companie și se va realiza punerea în balanță a drepturilor persoanelor vizate față de interesele companiei.
De exemplu, instalarea unui sistem de supraveghere în lipsa îngrădirii locației ar putea fi considerată nejustificată de către inspectorii Autorității naționale de supraveghere a prelucrării datelor cu caracter personal(ANSPDCP).
3. Informarea persoanelor vizate. Cum se realizează și de ce este importantă ?
Clienții, angajații sau colaboratorii care intră în raza de acțiune a sistemului de supraveghere trebuie să fie informați cu privire la existența acestuia, informarea persoanelor vizate fiind diferită în funcție de calitatea acestora.
Pentru angajați este recomandată utilizarea unei notificări de confidențialitate mai detaliate având în vedere că angajatul este monitorizat pentru o perioadă îndelungată de timp.
În ceea ce privește clienții și colaboratorii, informarea se recomandă a fi realizată înainte ca persoana vizată să pătrundă în raza de acțiune a sistemului de supraveghere.
Informarea se poate realiza printr-un afiș sau pictogramă și trebuie să prevadă cel puțin scopurile prelucrării, datele de identificare și contact ale companiei precum și modalitatea prin care persoana vizată poate contacta compania pentru exercitarea drepturilor prevăzute de GDPR.
Amendă de 10.000 EURO aplicată de ANSPDCP.
Autoritatea Natională de supraveghere a prelucrării datelor cu caracter personal(ANSPDCP) a aplicat recent o amendă de 10.000 EURO pentru utilizarea unui sistem de supraveghere video fără a fi respectate prevederile GDPR.
Se observă așadar că autoritatea de control are posibilitatea de a aplica amenzi într-un cuantum ridicat. Amenzile prevăzute de lege pot ajunge până la 20 de milioane de euro, în funcție de gravitatea nerespectării.
Prevederile GDPR încep să fie cunoscute de către populație și persoanele vizate urmăresc respectarea drepturilor conferite, încălcarea acestora putând fi sancționată extrem de ușor printr-o plângere on-line adresată ANSPDCP.
Implementarea normelor GDPR de către companii.
Pentru companii, implementarea GDPR aduce cel puțin două beneficii. În primul rând se evită aplicarea unor amenzi și este crescută încrederea clienților, angajaților și colaboratorilor în ceea ce privește prelucrarea datelor personale ale acestora.
Respectarea obligațiilor prezentate în acest articol pot reprezenta un prim pas spre implementarea GDPR în cadrul companiei dar trebuie avut în vedere faptul că aceste dispoziții legale sunt mult mai vaste și trebuie adaptate în funcție de activitatea desfășurată.
Prezentul articol nu reprezintă consultanță juridică, având un rol pur informativ și nu angajează în niciun fel răspunderea autorului.
Redactat de avocat Popovici Claudiu.
