UncategorizedSupravegherea video la birou – Firmele au sau nu nevoie de consimțământul angajaților ca să monteze sisteme de supraveghere?

May 20, 20221
Avocat GDPR & protecția datelor personale: Firmele nu au nevoie de consimțământul angajaților ca să monteze sisteme de supraveghere, consimțământul fiind un temei de prelucrare a datelor personale care nu poate sta în picioare din cauza raportului de subordonare dintre angajator și angajat.

Când vine vorba de sistemele de supraveghere la locul de muncă, angajatorii trebuie să verifice în Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, care prevede:

În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate”.

Interesul legitim pentru prelucrarea datelor personale printr-o măsură de supraveghere a angajaților la birou nu este suficient prin el însuși, chiar dacă prevăzut la nivel intern și măsura, adusă la cunoștința celor vizați, dacă firma (operatorul de date) nu poate să dovedească de ce măsura ar fi fost justificată și că a încercat altele mai puțin intruzive care nu au mers. 

Din practică

O amendă recentă aplicată de Autoritate unei companii din România pe acest subiect:

Sancțiunea (de 4.000 de euro – n.n) a fost aplicată ca urmare a unei sesizări prin care se reclama faptul că operatorul a instalat camere audio-video în birourile angajaților săi cu încălcarea prevederilor legale în materia protecției datelor personale.

În cadrul investigației demarate de Autoritatea de supraveghere, s-au constatat următoarele:

  • că operatorul nu a făcut dovada că scopul invocat în regulamentul său intern (asigurarea protecției persoanelor, bunurilor și valorilor angajatorului și ale angajaților) este unul justificat și că au fost folosite alte mijloace mai puțin intruzive pentru atingerea acestuia care nu și-au dovedit eficiența, anterior adoptării deciziei luate în anul 2020 de a utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă;
  •  operatorul nu a prezentat dovezi cu privire la respectarea principiilor de prelucrare reglementate de art. 5 alin. (1) lit. a), b), c) și alin. (2) și a condițiilor de legalitate prevăzute de art. 6 din Regulamentul General privind Protecția Datelor, care să permită Concordia Capital IFN SA utilizarea mijloacelor de supraveghere video în interiorul birourilor folosite de angajații săi și implicit prelucrarea în acest mod a datelor personale ale persoanelor care își desfășoară activitatea în aceste spații;
  • că operatorul nu a prezentat dovezi din care să rezulte că a îndeplinit toate condițiile prevăzute de art. 5 din Legea nr. 190/2018”, scrie în comunicatul publicat azi la ANSPDCP.

Nu este prima amendă dată de ANSPDCP pentru folosirea contrară GDPR a sistemelor de supraveghere la locul de muncă. În 2020, de exemplu, Autoritatea amendat cu 10.000 de euro o companie care își filmase angajații inclusiv în vestiare, fără informarea prealabilă a acestora măcar și fără să fi făcut dovada că avea un interes legitim justificat pentru asemenea tip de supraveghere.

Operatorul amendat nu a prezentat însă dovezi că a îndeplinit aceste condiții, scrie ANSPDCP.

În cazul de față, Autoritatea i-a reproșat operatorului de date (angajatorului) că nu a respectat următoarele principii de prelucrare a datelor personale și că nu a demonstrat respectarea lor:

  • prelucrarea în mod legal, echitabil și transparent față de persoana vizată;
  • datele personale trebuie să fie colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • principiul reducerii la minimum a datelor – datele să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

Interesul legitim la prelucrarea datelor nu înseamnă doar că angajatorul poate să găsească un motiv obiectiv pentru supravegherea video, ci și că acest motiv este mai important decât interesul angajatului de a-i fi respectată intimitatea și de a nu-i fi prelucrate date personale. Exemple de interese legitime ar putea fi asigurarea securității unor spații, a unor sisteme sau a unor informații, așa cum sunt cele invocate de operator în regulamentul său intern, doar că nici asta nu e suficient în sine.

Dacă angajatorul ar avea acest interes legitim, trebuie să se asigure că măsura supravegherii video este cea mai puțin intruzivă și este strict necesară. Cu alte cuvinte, dacă poate să își atingă aceleași scopuri prin alte mijloace, atunci măsura supravegherii video nu va mai fi justificată. Acesta aspect e cel pe care operatorii ar trebui să îl dovedească totodată.

Av. Vlad Podoleanu

One comment

Leave a Reply

Your email address will not be published. Required fields are marked *