Protecia datelor personale i supravegherea video Expert Proiect

Protecția datelor personale și supravegherea video Expert Proiect Twinning UE: Ian Deguara Activitatea Proiectului: 3. 7 Data: decembrie 2019 Acest Proiect este finanțat de Uniunea Europeană 1

Dispozitivul video – un dispozitiv care poate produce imagini sau înregistrări pentru supraveghere sau alte scopuri. • Costul dispozitivelor video și al tehnologiei conexe a devenit relativ ieftin, iar implementarea a crescut semnificativ. • Tehnologia a înregistrat progrese extraordinare în ultimul deceniu (algoritmi video inteligenți). 2

Utilizarea dispozitivelor video are un impact asupra drepturilor cetățenilor de protecție a datelor • Performanța angajaților • Analiza publicului • Publicitate personalizată • Recunoasterea facială • Monitorizarea comportamentului 3

În mod implicit, supravegherea video nu este o necesitate. Trebuie avut în vedere ab initio dacă există mijloace mai puțin intruzive pentru atingerea aceluiași scop. În caz contrar, va exista riscul modificării normelor culturale care să conducă la acceptarea lipsei de confidențialitate. 4

Principiul responsabilității Ținând cont, inter alia, de riscurile pentru drepturile și libertățile subiecților de date, operatorii de date pun în aplicare măsurile tehnice și organizatorice adecvate pentru a se asigura și pentru a putea demonstra că prelucrarea este în conformitate cu Regulamentul. Aceste măsuri includ punerea în aplicare a politicilor adecvate de către operatorul de date. 5

Aplicabilitatea Colectarea și stocarea înregistrărilor Informația audio -vizuală a persoanelor Prelucrarea datelor personale 6

Aplicabilitatea – Definițiile principale Date personale înseamnă orice informație ce identifică sau duce la identificarea unei persoane fizice. • Înregistrarile video nu sunt considerate date biometrice decât dacă sunt prelucrate printr-un mijloc tehnic specific care permite identificarea unică a unei persoane. prelucrare înseamnă orice operațiune sau ansamblu de operații care se efectuează pe date cu caracter personal sau pe seturi de date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automatizate. • Monitorizarea în timp real constituie, de asemenea, prelucrarea datelor cu caracter personal. 7

Aplicabilitatea – Definițiile principale operator de date înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau în comun cu alte persoane, stabilește scopurile și mijloacele prelucrării datelor cu caracter personal; • Persoana care decide scopul instalării dispozitivului video. • Administratorul în cazul unui bloc de apartamente. persoana împuternicită înseamnă o persoană fizică, autoritate publică, agenție sau alt organism care prelucrează date cu caracter personal în numele operatorului de date; • Persoana care găzduiește înregistrările sau oferă servicii de întreținere și asistență operatorului de date. 8

Ne-Aplicabilitate Excepția pentru utilizarea domestică CJEU C-212/13 (cazul Rynes) Dec 2014 – camerele CCTV instalate întrun spațiu privat și care acoperă, chiar parțial, un spațiu public sau o casă din vecinătate nu intră în categoria excepției domestice (utilizarea în scopuri domestice)stalled on 9

Non-Aplicabilitate Camerele false • Camerele false/simulări instalate pentru a servi ca un element de descurajare. 10

Non-Aplicabilitate Înregistrarea de la altitudine înaltă înregistrarea este preluată de la înălțimea ochiului unei păsări vizualizați folosind o dronă și fără persoane să fie identificate. 11

Non-Aplicabilitate Camerele reversibile instalate în automobile • Camera poziționată în așa fel încît să nu poată înregistra trecătorii. 12

Necesitatea prelucrării și proporționalitatea Înainte de a instala un dispozitiv video, operatorul trebuie să stabilească dacă este necesară instalarea unui dispozitiv video. 1. Examinați critic dacă această măsură este adecvată pentru atingerea obiectivului. 2. Stabiliți dacă instalarea sistemului este adecvată și relevantă pentru scopurile sale. 3. Stabiliți un scop și asigurați-vă că acesta este într-adevăr unul legitim și respectă drepturile fundamentale subiecților de date. 13

Necesitatea prelucrării și proporționalitatea 4. Asigurați-vă că scopul nu este îndeplinit prin alte măsuri care sunt mai puțin intruzive la drepturile și libertățile subiecților de date. 5. Să poată demonstra că instalarea unui sistem care colectează date în mod continuu este justificată și nu excesivă. 14

Necesitatea prelucrării și proporționalitatea 6. Imaginile înregistrate nu vor fi utilizate în scopuri incompatibile cu scopul inițial. 7. Localizați camerele în locația potrivită pentru a atinge scopul și nu în zonele în care subiecții de date au o așteptare rezonabilă de confidențialitate. 15

Temeiul legal pentru prelucrare 1 • Prelucrarea este necesară în scopul intereselor legitime ale operatorului sau al terțului, cu excepția cazurilor în care aceste interese sunt depășesc drepturile și libertățile fundamentale subiecților de date. 2 • Prelucrarea este necesară pentru respectarea unei obligații legale la care este supus operatorul de date. 3 • Subiectul de date și-a dat consimțământul pentru prelucrare. 16

Temeiul legal pentru prelucrare 1. INTERESUL LEGITIM - Interesul legitim ar putea fi un interes juridic, economic sau moral. - Supravegherea video este legală dacă este necesară îndeplinirea scopului unui interes legitim al operatorului de date sau al unei terțe părți, cu excepția cazului în care aceste interese nu depășesc drepturile și libertățile persoanelor fizice. - Scopul protejării bunurilor împotriva furtului sau a vandalismului poate intra în temeiul legal de interes legitim. 17

Temeiul legal pentru prelucrare - Interesul legitim trebuie să reprezinte: § o situație din viața reală, de ex. daune aduse proprietății sau incidente grave în trecut. § o situație de pericol iminent, de ex. bănci, magazine care vând bunuri prețioase sau zone susceptibile de a fi comise infracțiuni. - Operatorii de date ar trebui să documenteze aceste probleme pentru a putea demonstra necesitatea interesului legitim (principiul răspunderii). 18

Temeiul legal pentru prelucrare - Bazarea pe acest motiv legal necesită un test de echilibrare pentru a evalua interesul legitim al operatorului sau al unei terțe părți și impactul asupra drepturilor de protecție a datelor ale subiecților de date. De exemplu. Compania privată de parcări auto are probleme recurente cu furtul din mașini și instalează camere CCTV pentru a preveni eventualele cazuri de furt. În acest caz, compania are un interes legitim de a instala camerele de luat vederi, deoarece subiecții de date sunt monitorizați doar pentru un interval de timp limitat și este în interesul proprietarilor să se prevină furtul din mașinile lor. De exemplu. Camerele instalate în toalete pentru a controla curățenia. În mod evident, drepturile subiecților de date depășesc interesele legitime ale operatorului. 19

Temeiul legal pentru prelucrare Factorii care trebuie luați în considerare atunci când se bazează pe motive de interes legitim includ: Natura datelor și numărul subiecților de date în cauză. Așteptări rezonabile ale subiecților de date De exemplu. când cineva se află în grădina sa privată sau în zone accesibile public, de obicei utilizate pentru recreare, cum ar fi parcuri sau plaje. Măsurile de siguranță implementate de operatorul de date 20

Temeiul legal pentru prelucrare 2. Respectarea unei obligații legale - Legile naționale prevăd instalarea camerelor CCTV (de exemplu, în zonele de jocuri ale cazinourilor). - În acest caz, prelucrarea va fi legitimată în temeiul legal al respectării unei obligații legale la care este supus operatorului de date. - Principiile protecției datelor trebuie totuși respectate. 21

Temeiul legal pentru prelucrare 3. Consimțămîntul liber, dat, specific, informat și lipsit de ambiguitate indicarea dorințelor persoanei fizice date de un enunț sau printr-o acțiune afirmativă clară Operatorul de date trebuie să poată demonstra că subiectul de date a consimțit la prelucrarea datelor. În principiu, nu este un temei legal valabil în contextul ocupării forței de muncă. Utilizarea unui limbaj clar și simplu în clauzele informaționale. Prin urmare, tăcerea, căsuțele marcate în prealabil sau inactivitatea nu ar trebui să constituie consimțământ. 22 Dreptul de a retrage consimțământul (ușor de retras ca și pentru a da consimțământ).

Temeiul legal pentru prelucrare Consimțămîntul poate fi utilizat doar în situații excepționale Dacă se folosește consimțământul, operatorul de date trebuie să se asigure că toți subiecții de date care intră într-o zonă monitorizată și-au dat consimțământul. De exemplu. sportivii pot solicita clubului lor să-și monitorizeze sesiunile de antrenament în scopul analizării tehnicilor și îmbunătățirii performanței. 23

Dezvăluirea materialelor video către terți Dezvăluirea este definită ca transmisie, difuzare (de exemplu, publicare online) sau altfel făcută disponibilă. Dezvăluirea trebuie să satisfacă un temei legal. Consimțămînt • De exemplu. Un operator care dorește să încarce o înregistrare pe un site we Scopul compatibil Obligația legală • De exemplu. Supravegherea video întro parcare pentru rezolvarea incidentelor. Înregistrările sunt transmise avocatului pentru a începe un caz legal. • De exemplu. Proprietarul magazinului înregistrează o persoană care fura. Se face un raport cu Poliția. Înregistrările (probele) sunt transmise în scopul investigației. 24

Obligația privind transparența Informațiile sunt furnizate în momentul în care datele cu caracter personal sunt colectate de la subiecții de date și includ: • datele de identitate și de contact ale operatorului de date și, dacă este cazul, ale DPO • scopurile prelucrării 25

Obligația privind transparența Informațiile sunt furnizate în momentul în care datele cu caracter personal sunt colectate de la subiectul de date și includ: • datele de identitate și de contact ale operatorului și, dacă este cazul, ale DPO • scopurile prelucrării 26

Obligația privind transparența Informațiile sunt furnizate în momentul în care datele cu caracter personal sunt colectate de la subiectul de date și includ: • perioada de stocare sau criteriile utilizate pentru a determina perioada respectivă • existența drepturilor de protecție a datelor • destinatarii sau categoriile de destinatari ai datelor cu caracter personal 27

Obligația privind transparența Informațiile sunt furnizate în momentul în care datele cu caracter personal sunt colectate de la subiectul de date și includ: • dreptul de a depune o plângere la autoritatea de supraveghere • indicați interesele legitime atunci când prelucrarea este legitimată pe acest motiv 28

Obligația privind transparența Obligații generale cum să furnizăm informația • Folosind un limbaj clar și simplu • Ușor accesibil • Utilizarea notificărilor stratificate pentru a evita oboseala informațiilor: - informațiile nu sunt furnizate într-o singură notificare - permite utilizatorilor să navigheze prin secțiunea pe care doresc să o citească primul strat trebuie să ofere o imagine de ansamblu clară asupra informațiilor (informații care cel mai mare impact asupra subiecților de date) - indicație clară unde puteți găsi informații suplimentare 29

Obligația privind transparența Primul strat de informație: Identity and contact details of controller and DPO Semn de avertizare plasat într-o poziție vizibilă înainte de a intra în zona monitorizată Informații care sunt considerate importante pentru primul impact și alte informații care ar putea surprinde subiectul de date, precum perioadele de păstrare și transferul înregistrărilor către terți. Link către al doilea strat de informație Purposes of processing Video surveillance Data subjects’ rights More information: Website: Address: Contact number: 30

Obligația privind transparența Al doilea strat de informație: Acest strat ar trebui să fie pus la dispoziția subiecților de date într-un loc ușor accesibil: - În mod digital, de ex. pe un site web; - Non-digital, de ex. fișă informativă la recepția operatorului (ideal nu se află într-o zonă monitorizată). Operatorii de date pot folosi, de asemenea, mijloace tehnologice pentru a furniza informațiile subiecților de date, cum ar fi camere de geo-localizare și să includă informațiile în aplicații de mapare sau site-ul web. 31

Dreptul de acces Operatorul de date furnizează, în termen de o lună, o copie a datelor cu caracter personal în curs de prelucrare împreună cu accesul la alte informații: - scopul prelucrării - categoriile de date 32

Dreptul de acces Operatorul de date furnizează, în termen de o lună, o copie a datelor cu caracter personal în curs de prelucrare împreună cu accesul la alte informații: - destinatarii cărora le-au fost dezvăluite datele personale - când este posibil, perioada prevăzută de păstrare - existența drepturilor de rectificare, ștergere sau restricționare a prelucrării 33

Dreptul de acces Operatorul de date furnizează, în termen de o lună, o copie a datelor cu caracter personal în curs de prelucrare împreună cu accesul la alte informații: - dreptul de a depune o plângere la DPA - existența procesului decizional automatizat, inclusiv profilarea și alte informații semnificative despre logica implicată și consecințele preconizate. 34

Dreptul de acces În Data cazul monitorizării în direct, în cazul în care nu suntmonth, stocate sau transferate controller shall provide , within one a copy of thedate personale către o terțăprocessing parte, subiectul de datear trebui să fie informat nu sunt data undergoing together with access to othercăinformation: prelucrate date cu caracter personal (ar trebui să fie furnizate în continuare informații suplimentare). În cazul stocării de înregistrări, subiecții de date trebuie să aibă acces la datele cu caracter personal, fără a afecta drepturile terților: Înregistrările pe ecran Furnizarea unei copii a înregistrărilor În ambele cazuri, instrumentele de editare a imaginilor trebuie utilizate pentru a se asigura că terții care apar în înregistrări sunt fie blurați sau pixilați. 35

Dreptul de acces Data controller shall provide , within one month, a copy of the personal data undergoing processing with access to other information: • Să together se identifice Cînd depune cererea de acces, subiectul de date trebuie: • Precizeze când (în termen de rezonabil) el/ea a intrat în zona monitorizată • Specifice zona aproximativă, în special, când există mai multe camere amplasate în acea zonă 36

Dreptul la ștergerea datelor și dreptul de opoziție Applicable where the processing goes beyond the real-time monitoring Dreptul la ștergere • Datele cu caracter personal care nu mai sunt necesare în scopul în care au fost colectate vor fi șterse, cu excepția cînd înregistrarea este necesară pentru a respecta o obligație legală sau necesară pentru exercitarea dreptului la libertatea de exprimare 37

Dreptul la ștergerea datelor și dreptul de opoziție Applicable where the processing goes beyond the real-time monitoring Dreptul de opoziție • Atunci când prelucrarea se bazează pe interesele legitime ale operatorului, subiectul de date are dreptul să se opună prelucrării, cu excepția cazului în care operatorul demonstrează obligațiile legitime care depășesc drepturile subiecților de date. 38

Acordul dintre operator – persoană împuternicită Contract în temeiul legii Uniunii sau SM care conține aceleași obligații prevăzute în contractul dintre operator și persoana împuternicită Contract sau document legal sub incidența legii Uniunii sau legii Statului Membru Persoană împuternicită Operator de date Având suficiente garanții pentru a pune în aplicare cele necesare security measures Autorizare scrisă Persoana împuternicită este complet responsabilă pentru acțiunile sub-persoanei împuternicite Sub-persoană împuternicită 39

Perioada de stocare a înregistrare Principiul limitării stocării stabilește că datele personale nu trebuie păstrate o perioadă mai lungă decât este necesar pentru scopul pentru care datele sunt prelucrate. În general, păstrarea se bazează pe scopul legitim de păstrare a probelor. 40

Perioada de stocare a înregistrare Ținând cont de principiul minimizării datelor, datele personale ar trebui, în cele mai multe cazuri, șterse, în mod ideal automat, după câteva zile. În cazul în care înregistrările vor fi păstrate o perioadă mai lungă, cu excepția cazului în care este prevăzut de lege, operatorul trebuie să justifice perioada în conformitate cu principiile necesității și proporționalității. 41

Securitatea prelucrării Măsuri organizaționale • Proceduri operaționale • Instruirea permanentă a personalului • Proceduri de achiziție (specificații ale sistemului soluție cutie neagră), inclusiv instalare • Contractul de întreținere și sprijin Sistem și securitatea datelor • Criptarea datelor • Firewall-uri, antivirus sau sisteme de detectare a intruziunilor împotriva atacurilor cibernetice • Detectarea defecțiunilor componentelor • Mijloace de restabilire a accesului la sistem în caz de incident Controlul accesului • Doar personalul autorizat ar trebui să aibă acces la sistem • Proceduri de înregistrare și audit pentru acțiunile utilizatorilor • Metode de autentificare și autorizare a utilizatorului (model de acces bazat pe roluri, parole complexe) 42

Evaluarea Impactului asupra Datelor Personale În cazul în care prelucrarea poate duce la un risc ridicat, atunci când se ține cont de natura, sfera de aplicare, contextul și scopurile prelucrării, ar trebui să se efectueze o DPIA. În general, cazurile de supraveghere video vor necesita un DPIA în care scopurile includ: - Protecția persoanelor și a bunurilor - Detectarea, prevenirea și controlul infracțiunilor - Colectare de dovezi 43

Evaluarea Impactului asupra Datelor Personale Este necesară consultarea prealabilă cu autoritatea de supraveghere dacă, în pofida punerii în aplicare a măsurilor de atenuare a securității, DPIA indică în continuare că prelucrarea implică un risc ridicat pentru subiecții de date. Modele pentru realizarea unei DPIA sunt disponibile pe diverse portaluri a autorităților de protecție a datelor din UE. 44

Vă mulțumesc pentru atenție ! Ian Deguara Director – Afaceri Tehnice Autoritatea pentru Informație și Protecția Datelor, MALTA email: ian. deguara@idpc. org. mt Acest Proiect este finanțat de Uniunea Europeană 45