Home » Comunicat_Presa_07.12.2022
 Română | English | Francais

07.12.2022

Supraveghere video - autorități publice locale

 

În considerarea solicitărilor primite din partea autorităților publice, dar și a publicului larg, referitor la condițiile utilizării sistemelor de supraveghere video în spații publice, supunem atenției operatorilor și persoanelor interesate următoarele aspecte:

 Potrivit art. 4 pct. 1 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor), date cu caracter personal înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Astfel, reprezintă date cu caracter personal: numele şi prenumele, adresa, locul şi data naşterii, codul numeric personal, seria şi număr de BI /CI, cetăţenia, profesia, e-mail, telefon/fax, imaginea, locul de muncă, funcția, semnătura, situaţia familială, religia, apartenența politică, starea de sănătate, numărul de înmatriculare al vehiculului şi altele.

Raportat la prevederile art. 4 pct. 7 din Regulamentul General privind Protecția Datelor, autoritățile publice locale au calitatea de operator atunci când stabilesc, singure sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal sau atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul intern aplicabil.

În ceea ce privește modalitatea de prelucrare a datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video în spații publice de către autoritățile publice locale, aceasta nu se poate realiza decât cu stricta respectare a dispozițiilor art. 6 din Regulamentul General privind Protecția Datelor (RGPD).

Astfel, raportat la condițiile de prelucrare a datelor cu caracter personal de către operatori, menționăm că, potrivit art. 6 alin. (1) din RGPD, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condițiile:

a) când persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale pentru unul sau mai multe scopuri specifice;

b) când prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

c) când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

d) când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e) când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

f) când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. 

Litera (f) – (interesul legitim ) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.”

Coroborat cu prevederile de mai sus, art. 6 alin. (3) din RGPD prevede că :

 ”Temeiul pentru prelucrarea menţionată la alineatul (1) literele (c) şi (e) trebuie să fie prevăzut în:       a) dreptul Uniunii; sau

b) dreptul intern care se aplică operatorului.”

De asemenea, trebuie avute în vedere condițiile limitative de utilizare a datelor cu caracter personal în alt scop decât cel instituit de actele normative aplicabile în activitatea operatorului respectiv, potrivit art. 6 alin. (4) RGPD.

Ca atare, subliniem că, în principiu, autoritățile publice (inclusiv unitățile administrativ-teritoriale), în calitatea acestora de operatori de date, prelucrează date cu caracter personal pentru respectarea unei obligații legale, raportat la prevederile legale specifice aplicabile domeniului lor de activitate și la scopurile stabilite în limita acestor prevederi.

Acestea au obligația de analizare a existenței temeiului legal specific pentru fiecare prelucrare efectuată și le revine obligația de respectare a reglementărilor legale specifice din domeniul propriu de activitate și a RGPD.

În acord cu cele de mai sus, considerentul (41) din RGPD statuează că o măsură legislativă ar trebui să fie clară şi precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru persoanele vizate de aceasta, în conformitate cu jurisprudenţa Curţii de Justiţie a Uniunii Europene ("Curtea de Justiţie") şi a Curţii Europene a Drepturilor Omului.

În plus, considerentul (45) din RGPD precizează: În cazul în care prelucrarea este efectuată în conformitate cu o obligaţie legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autorităţii publice, prelucrarea ar trebui să aibă un temei în dreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune existenţa unei legi specifice pentru fiecare prelucrare în parte. Poate fi suficientă o singură lege drept temei pentru mai multe operaţiuni de prelucrare efectuate în conformitate cu o obligaţie legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autorităţii publice. De asemenea, ar trebui ca scopul prelucrării să fie stabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să specifice condiţiile generale ale prezentului regulament care reglementează legalitatea prelucrării datelor cu caracter personal, să determine specificaţiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrării, a persoanelor vizate, a entităţilor cărora le pot fi divulgate datele cu caracter personal, a limitărilor în funcţie de scop, a perioadei de stocare şi a altor măsuri pentru a garanta o prelucrare legală şi echitabilă.

În același timp, precizăm faptul că art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor (inclusiv al supravegherii video a spațiilor publice). Astfel, operatorii (inclusiv autoritățile publice locale) trebuie să respecte principiul legalității prelucrării, cel privind prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile stabilite ale prelucrării (principiul proporționalității) și principiul prelucrării datelor într-un mod care asigură confidențialitatea și securitatea adecvată. Operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare (principiul responsabilității).

De asemenea, în cazul intenției de a utiliza noi tehnologii pe scară largă, cum sunt cele de supraveghere video în spații publice, revine operatorilor și obligația de a efectua în prealabil o evaluare de impact. Astfel, art. 35 din RGPD intitulat ”Evaluarea impactului asupra protecţiei datelor” prevede că: ”Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.”

În temeiul art. 35 din RGPD, a fost emisă Decizia ANSPDCP nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal (publicată în M.Of. nr. 919 din data de 31.10.2018). Art. 1 din această decizie prevede că evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie când are loc o prelucrare pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în vederea facilitării accesului în diferite spaţii.

În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că, ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament.

În acest context, precizăm că în Capitolul IV din RGPD sunt reglementate obligațiile pe care le au operatorii de date cu caracter personal, precum și persoanele împuternicite. Printre principalele obligații ale operatorului în aplicarea Regulamentului sunt: desemnarea unui responsabil cu protecția datelor în condițiile art. 37-39 din Regulament (obligatorie pentru autoritățile publice), cartografierea prelucrărilor de date cu caracter personal, asigurarea confidențialității și securității datelor, notificarea încălcărilor de securitate în condițiile art. 33 din Regulament, evaluarea impactului asupra protecției datelor și respectarea drepturilor persoanelor fizice (dreptul de informare, de acces, de ștergere, de opoziție, ș.a).

Precizăm că, prin art. 12 din RGPD, a fost instituită obligația fiecărui operator de a asigura respectarea drepturilor persoanei vizate prevăzute de art. 12-22 RGPD, cu un accent deosebit în ceea ce privește realizarea informării persoanelor ale căror date sunt utilizate.

De asemenea, operatorilor le revine și obligația de a furniza persoanelor implicate informaţii privind acţiunile întreprinse în urma unei cereri primite în temeiul art. 15-22 RGPD, în orice caz în cel mult o lună de la primirea cererii.

În acest context, subliniem că, în eventualitatea constatării încălcării prevederilor legale din domeniul protecției datelor, devin aplicabile sancțiunile stabilite de legislația în vigoare.

Reliefăm că, potrivit considerentului (1) al RGPD, protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental.

Art. 53 din Constituția României statuează:

”(1) Exerciţiul unor drepturi sau al unor libertăţi poate fi restrâns numai prin lege şi numai dacă se impune, după caz, pentru: apărarea securităţii naţionale, a ordinii, a sănătăţii ori a moralei publice, a drepturilor şi a libertăţilor cetăţenilor; desfăşurarea instrucţiei penale; prevenirea consecinţelor unei calamităţi naturale, ale unui dezastru ori ale unui sinistru deosebit de grav.

(2) Restrângerea poate fi dispusă numai dacă este necesară într-o societate democratică. Măsura trebuie să fie proporţională cu situaţia care a determinat-o, să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenţei dreptului sau a libertăţii.

În acest sens s-a pronunțat și Curtea Constituțională a României, prin Decizia nr. 498/2018, subliniind următoarele:

”50. (...). Se observă că garanţii pentru asigurarea dreptului constituţional prevăzut de art. 26 sunt cuprinse într-o hotărâre a Guvernului, însă o asemenea manieră de reglementare este total neadecvată, fragilizând, în mod nepermis, protecţia constituţională a vieţii intime, familiale şi private. Practic, autoritatea administrativă poate oricând modifica standardele de garanţii asociate acestui drept, prin emiterea unor acte administrative normative (...). Or, o protecţie adecvată a acestui drept este cea stabilită printr-o lege, ceea ce nu este cazul în speţa de faţă. În consecinţă, textele criticate încalcă art. 26 din Constituţie.

52. Prin urmare, revine legiuitorului obligaţia de a reglementa garanţiile asociate dreptului la viaţă intimă, familială şi privată. Această obligaţie trebuie să se materializeze prin lege, în sens de instrumentum.

În acest context, menționăm, ca exemplu, faptul că la nivel de lege a fost reglementată expres (prin art. 56 alin. (1) din Legea nr. 218/2002 privind organizarea și funcționarea Poliției Române, republicată) posibilitatea organelor Poliției Române de a înregistra cu mijloacele foto-audio-video din dotare, în spaţii publice, precum și condițiile de realizare, raportat la scopul realizării activităţilor de prevenire, depistare, investigare sau urmărire penală a infracţiunilor sau executării pedepselor.

Pe de altă parte, evidențiem și faptul că, în jurisprudenţa Curţii Europene a Drepturilor Omului referitoare la art. 8 din Convenţia pentru apărarea drepturilor omului şi libertăţilor fundamentale (dreptul la respectarea vieții private și de familie), instanța europeană a statuat faptul că „protecţia oferită de acest articol ar fi diminuată în mod inacceptabil dacă folosirea de tehnici ştiinţifice moderne ar fi permisă cu orice preţ şi fără realizarea unui echilibru între beneficiile folosirii extensive a acestor tehnici şi interesele importante legate de viaţa privată (Cauza S. şi M. Marper contra Regatului Unit, 4.12.2008).

Prin urmare, față de cele de mai sus și în contextul unor posibile prelucrări de date personale în spații publice, prin sisteme de supraveghere video, de către autoritățile publice locale, subliniem că acești operatori au obligația de a respecta cu strictețe reglementările legale specifice administrației publice locale coroborate cu dispozițiile RGPD, în special cu principiile de prelucrare, în special al legalității, proporționalității și al asigurării confidențialității și securității prelucrării datelor, consacrate de art. 5 și 6 din RGPD.

Direcția juridică și comunicare

A.N.S.P.D.C.P.