Primul pas pentru asigurarea conformității sistemului de supraveghere video și respectarea confidențialității și securității datelor personale este de a stabili temeiul legal al prelucrării pentru fiecare dintre scopurile pentru care datele sunt sau vor fi prelucrate.
Așa cum reiese din poziția autorității, putem baza prelucrările de date prin intermediul sistemelor de supraveghere video pe temeiul:
Îndeplinirii unei obligații legale;
Interesului legitim al operatorului;
Consimțământului persoanelor vizate;
Este important de reținut faptul că evaluarea temeiului legal se va realiza în ordinea de mai sus. Astfel, dacă nu avem o obligație legală, vom evalua interesul legitim, iar dacă aceasta nu poate fi temeinic justificat, ne vom orienta spre consimțământul persoanelor vizate.
Pe teritoriul României, activitatea de pază, protecție și monitorizare a sistemelor de supraveghere și alarmare împotriva efracției este reglementată de următoarele acte normative:
Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, cu completările și modificările ulterioare;
Hotărârea nr. 301 din 11 aprilie 2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor;
Norma metodologică de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor din 11.04.2012.
„Art. 5. - Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă
În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu si-au dovedit anterior eficienta; si
e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”
Extras din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679
Informarea persoanelor vizate privind utilizarea Sistemului CCTV este obligatorie atât conform art. 13 al Regulamentului EU 679/2016 cât și potrivit art. 67 alineatul (2) al Normei metodologice de aplicare a Legii nr. 333/2003.
Principiile GDPR pot fi încălcate prin foarte multe moduri din cauza sistemelor de supraveghere video.