GDPR și monitorizarea video sau prin GPS: Spețe interesante de care să ții cont

Un exemplu relevant pentru astfel de spete vine din Franța, unde Autoritatea pentru protecția datelor a amendat compania Amazon France Logistique cu o sumă considerabilă, 32 de milioane de euro, pentru implementarea unui sistem de monitorizare excesivă a angajaților.

Compania utiliza scannere pentru a urmări activitatea și performanțele angajaților în timp real, inclusiv perioadele de inactivitate. Autoritatea franceză a considerat că această monitorizare a fost disproporționată și a încălcat principiul minimizării datelor prevăzut de GDPR și a subliniat că măsurarea întreruperilor de muncă cu o asemenea precizie nu este legală.

Mai mult, păstrarea datelor colectate și a indicatorilor statistici pentru toți angajații și lucrătorii temporari timp de 31 de zile a fost considerată disproporționată, iar tentativa companiei de a justifica un interes legitim în prelucrarea acelor date a fost dificil de susținut în fața autorității.

Un caz asemănător privind monitorizarea audio-video a angajaților, de această dată din România, a implicat Compania de Transport Public Cluj-Napoca, care a fost amendată cu 4.000 de euro de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru supravegherea video și audio a șoferilor.

Autoritatea a constatat că prelucrarea datelor (imagine și voce) a fost realizată cu încălcarea principiilor de legalitate, legitimitate și limitare a scopului. Mai mult, datele au fost utilizate și pentru cercetarea și sancționarea disciplinară a angajaților. ANSPDCP a arătat că o astfel de monitorizare excesivă poate afecta și alte categorii de persoane, precum călătorii, prin colectarea sunetelor/vocii acestora.

Legea 190/2018 introduce reguli speciale privind prelucrarea datelor în contextul relațiilor de muncă și detaliază condițiile în care pot fi utilizate sistemele de monitorizare a angajaților, precum și limitele prelucrării datelor în scopul realizării intereselor legitime ale operatorilor privați.

Un alt aspect important se referă la securitatea datelor colectate prin sistemele de supraveghere. ANSPDCP a sancționat un retailer pentru că angajații au fotografiat și distribuit imagini înregistrate de camerele de securitate. Incidentul în cauză arată importanța implementării unor măsuri tehnice și organizatorice adecvate pentru a preveni accesul și divulgarea neautorizată a datelor personale, precum și neesitatea instruirii angajaților cu privire la responsabilitățile legate de manipularea datelor sensibile.

Prin urmare, implementarea sistemelor de monitorizare video sau prin GPS trebuie să se facă cu respectarea prevederilor GDPR și ale legislației naționale, iar angajatorii trebuie să identifice un temei legal adecvat pentru prelucrarea datelor, să informeze transparent angajații, să respecte principiul minimizării datelor, să limiteze perioada de stocare și să asigure măsuri de securitate adecvate.

De curând,  ANSPDCP a sancționat o companie cu 2.000 de euro amendă și două avertismente pentru utilizarea unui sistem de monitorizare GPS pe autoturismul folosit de un fost angajat fără un temei legal și fără a-l informa în prealabil.

Instituția a constatat că firma a prelucrat datele personale fără un temei juridic, nu a informat angajatul cu privire la existența sistemului GPS, scopul prelucrării și drepturile sale, și a stocat datele GPS timp de șase luni, depășind termenul maxim de 30 de zile. 

Monitorizarea video în școli este un alt domeniu sensibil, cu atât mai mult cu cât implică siguranța, dar și intimitatea copiilor. Deși OUG 95/2024 prevede posibilitatea instalării sistemelor de supraveghere video în școli pentru asigurarea pazei și prevenirea violenței, există limite clare privind spațiile în care pot fi montate, fiind excluse vestiarele și grupurile sanitare.

Un control efectuat de ANSPDCP la un liceu a constatat încălcări ale GDPR, inclusiv camere video instalate în grupurile sanitare și acces nesecurizat la imagini. Liceul a fost sancționat cu două avertismente, iar detalii privind limitările legale cu privire la instalarea camerelor de supraveghere și necesitatea implementării măsurilor de securitate adecvate pot fi citite aici.

În sfera operatorilor de date privați, aceștia pot invoca, în anumite condiții stricte, interesul legitim ca temei legal pentru prelucrarea datelor, inclusiv pentru utilizarea sistemelor de monitorizare.

În schimb, autoritățile publice nu pot recurge la interesul legitim în astfel de scopuri. Pentru acestea, temeiul juridic pentru prelucrarea datelor este, de regulă, îndeplinirea unei sarcini care servește unui interes public sau exercitarea autorității publice cu care sunt învestite. Diferența dintre sectorul public și privat în ceea ce privește invocarea interesului legitim este evidentă.