Imaginile de pe camerele de supraveghere și GDPR-ul: Se pot publica sau distribui? Ce spune ANSPDCP

Cea mai recentă amendă aplicată de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) atrage atenția că publicarea pe Facebook a unei imagini de pe camerele video nu este permisă. Deși în cazul companiei din România amenda a fost de doar 1.000 euro, o situație similară a fost sancționată în Norvegia cu 40.000 euro, în 2021.

Pentru a explica de ce o astfel de prelucrare de date personale, respectiv publicarea pe rețelele de socializare a unor imagini surprinse de camerele de filmat nu este permisă de GDPR, detaliem o serie de recomandări făcute de ANSPDCP, chiar la începutul anului. Deși recomandările vizau în mod direct asociațiile de proprietari, în esență, este vorba de orice fel de operator de date personale care folosește camere de supraveghere.

Astfel, (1) orice instalare și folosire a unei camere de filmat să fie justificată în mod obiectiv, să fie necesară și proporțională cu scopul urmărit.

Dacă prima chestiune a fost identitată, următoarea este extrem de important de respectat: (2) filmările și/sau înregistrările audio pot fi folosite exclusiv pentru motivele invocate pentru justificarea lor. 

De exemplu, dacă au fost instalate camere video pentru depistarea unui furt, acele înregistrări pot fi folosite exclusiv în acest scop, respectiv vor sta la baza unei plângeri depuse la poliție, și nu pentru ca firma să își facă dreptate singură, să publice imagini ale furtului la sediu sau pe diverse rețele de socializare. Acest lucru este mai grav dacă în imaginile publicate se regăsesc, și pot fi identitate, alte persoane care s-au aflat în același cadru cu hoțul.

În aceeași măsură, (3) cei care accesează înregistrările camerelor de filmat trebuie să o facă într-un cadru clar determinat, limitându-se expunerea datelor. Continuând în spiritul exemplului de mai sus, doar pentru că prin zona unde sunt expuse imaginile camerelor de securitate mai are acces și șeful de magazin/administratorul, asta nu îi dă dreptul de a face o fotografie/filmare a înregistrărilor, pe care apoi să le publice pe Facebook sau chiar să le transmită prin WhatsApp subalternilor- chiar și pe un grup privat, pentru a depista dacă persoana respectivă mai intră în magazin/sediu.

(4) Orice spațiu care face obiectul unei supravegheri video trebuie anunțat. Mai exact, trebuie să existe panouri sau afișe prin care să se anunțe faptul că persoanele care trec pragul firmei respective sunt înregistrate video. "În acest sens, trebuie instalată și o pictogramă adecvată, care să conţină o imagine reprezentativă, poziţionată la o distanţă rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzută de orice persoană”, susținea ANSPDCP în ghidul său.

(5) Păstrarea imaginilor nu trebuie să depășească 30 de zile decât dacă s-au produs situații în care evenimentele necesită stocarea pe o perioadă mai mare de timp. Totuși, după trecerea acestei perioade nu înseamnă că imaginile nu mai sunt supuse regulilor GDPR și pot fi folosite în alte scopuri. După cele 30 de zile, imaginile trebuie șterse de pe suporturile electronice pe care au fost înregistrate.