avocatnet.ro 
- Operatorii de supraveghere video adesea refuză sau întârzie furnizarea copiilor înregistrărilor la solicitarea persoanelor vizate, deși au obligația de a le oferi cu datele terților blurate.
- Problemele de securitate ale sistemelor CCTV (acces neautorizat, configurări deficitare, parole expuse) și publicarea neautorizată a înregistrărilor pe social media reprezintă încălcări frecvente.
- Prelucrările prin body-cam și recunoaștere facială sunt considerate zone de risc ridicat, iar operatorii nu realizează evaluări adecvate ale impactului asupra protecției datelor (DPIA).
- ANSPDCP subliniază importanța legalității, proporționalității, securității tehnice și a temeiurilor clare pentru implementarea sistemelor de supraveghere, mai ales în spații sensibile.
Publicat recent, raportul de activitate al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pe 2024 arată că în ceea ce privește privind sistemele de supraveghere audio-video (CCTV, body-cam, recunoaștere facială) apar următoarele probleme recurente:
Pe de o parte, dreptul de acces la imagini nu e respectat: operatorii refuză sau întârzie furnizarea copiei înregistrărilor care privesc persoana vizată (de pildă, asociațiile de proprietari), invocând faptul că apar și alte persoane. Autoritatea reamintește obligația de a furniza copia cu blurarea (opacizarea) datelor terților, în temeiul art. 15 alin. (3) și (4) și art. 12 din GDPR.
În al doilea rând, vorbim de accesul neautorizat la sistemele CCTV și de configurări tehnice deficitare (inclusiv parole/credențiale expuse) -- Autoritatea a dispus în general măsuri corective pe zona de securitate (jurnalizare, retenție minimum 30 de zile a log-urilor în sistem sau testare înainte de producție).
În al treilea rând, apar nu de puține ori situații de publicare neautorizată a înregistrărilor audio-video în online (social media) și utilizarea lor fără temei, inclusiv cu dezvăluirea de date sensibile.
Raportate constant ca zonă de risc (în special în sectorul public) și analizate distinct de Autoritate în raport sunt prelucrările prin body-cam-uri și recunoașterea facială.
De asemenea, raportul arată că operatorii de date nu fac evaluări suficiente sau fac evaluări greșite a impactului asupra protecției datelor (DPIA).
Să luăm câteva chestiuni punctuale din raportul ANSPDCP:
- un operator economic privat a fost sancționat pentru încălcarea GDPR după ce a publicat online o înregistrare cu un client și a refuzat ștergerea ei; instanța a confirmat abordarea ANSPDCP, potrivit raportului;
- unități medicale: la solicitarea privind instalarea camerelor audio-video în secția ATI, ANSPDCP a clarificat că prelucrarea datelor privind sănătatea intră sub art. 9 GDPR (date sensibile) și poate fi făcută doar în condițiile acolo prevăzute (de exemplu, cu consimțământ explicit, existența unui interes vital, motive de interes public major etc.), operatorul trebuind să trateze distinct datele pacienților și ale personalului; pentru un spital județean, Autoritatea a apreciat că DPIA pentru supravegherea video în UPU-SMURD „nu întrunește condițiile unei evaluări de impact” raportat la cerințele GDPR;
- penitenciar: pentru camere cu opțiune de recunoaștere facială, Autoritatea a indicat că operatorul intră și sub incidența Legii nr. 363/2018 (prelucrări în scop penal), astfel încât DPIA și conformarea trebuie raportate atât la GDPR, cât și la această lege;
- propunerea transmisă de SSG privind obligativitatea body-cam pentru toate instituțiile de control: Autoritatea a arătat că proiectul nu îndeplinește cerințele art. 6 alin. (3) GDPR și a cerut ca o eventuală reglementare cu acest scop să fie clară și precisă, incluzând cel puțin temeiul de legalitate, tipurile de date prelucrate, categoriile de persoane vizate (nu doar agenții, ci și cetățenii, inclusiv minori/persoane vulnerabile), destinatarii și scopurile divulgărilor, limitarea scopului, perioadele de stocare, precum și DPIA, având în vedere prelucrarea pe scară largă prin mijloace audio-video.
Merită să citești și: BodyCams: Permise polițiștilor naționali, interzise celor locali
În 2024, Autoritatea s-a aplecat și asupra modificării propuse și ulterior adoptate în ceea ce privește supravegherea audio-video în școli. Pe scurt, Ministerul Educației a propus, prin ordonanță de urgență, modificarea Legii învățământului preuniversitar pentru a da posibilitatea oricărei unități școlare să pună în funcțiune, dacă consideră necesar, un sistem de supraveghere audio-video care să funcționeze, în primul rând, în sălile de curs. La momentul punerii în discuție a proiectului, Autoritatea a subliniat riscurile propunerii și faptul că aceasta nu se aliniază cu prevederile regulamentului european. Într-un final, ordonanța a intrat în vigoare cu îmbunătățiri față de forma inițială - am scris, pe larg, la momentul respectiv, despre noile măsuri și impactul lor, în această secțiune.
În zona de investigații din oficiu la autorități și instituții publice, raportul ANSPDCP arată că în 2024 a verificat și instituții de învățământ publice și private, inclusiv utilizarea de sisteme care presupun prelucrarea datelor biometrice pentru controlul accesului (amprente, imagini faciale) – cu accent pe desemnarea DPO-ului (responsabilul cu protecția datelor) și securitatea prelucrării.
Rezumativ, raportul de activitate al Autorității pe 2024 ne arată că, în ceea ce privește sistemele de supraveghere, Autoritatea pune accent pe legalitatea și proporționalitatea prelucrării, pe efectuarea DPIA înainte de implementare (mai ales pentru spații sensibile ori când se folosesc tehnologii intruzive), dreptul de acces, securitatea tehnică și operațională (jurnalizare, control acces, testare), precum și pe claritatea temeiurilor și a regulilor la nivel normativ când e vorba de scheme generale la nivelul autorităților (body-cam-uri).
Educativ 
usernew2021