O investigație efectuată de Autoritatea pentru Protecția Datelor a concluzionat că un liceu din Neamț a încalcat reglementările GDPR prin monitorizarea video în grupurile sanitare și accesul neautorizat la imagini.
Liceul Vasile Conta din Târgu Neamț a fost sancționat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru utilizarea necorespunzătoare a sistemului de supraveghere video.
Investigația a confirmat că liceul monitoriza și grupurile sanitare, iar directorul avea acces la imagini, inclusiv pe telefonul personal.
Autoritățile au impus două avertismente și un plan de remediere pentru a asigura conformitatea cu normele GDPR.
Mai jos, comunicatul A.N.S.P.D.C.P. :
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în ianuarie 2025, o investigație la operatorul Liceul Vasile Conta din Târgu Neamț și a constatat încălcarea dispozițiilor art. 5 alin. (1) lit. a) și c) și ale art. 32 din Regulamentul General privind Protecția Datelor (RGPD).
Astfel, operatorul a fost sancționat cu două avertismente pentru contravenția prevăzută de art. 14 alin. (5) lit. a) din Legea nr. 190/2018 în raport cu art. 5 alin. (1) lit. a) și c) din RGPD și contravenția prevăzută de art. 14 alin. (2) lit. a) din Legea nr. 190/2018 în raport cu art. 32 din RGPD.
Investigația a fost inițiată în urma unei sesizări care a semnalat că liceul prelucrează date cu caracter personal prin intermediul sistemului de supraveghere video, inclusiv audio, având monitoarele amplasate în biroul directorului, acesta având acces (inclusiv pe telefonul personal) la imaginile din holuri, scări și grupuri sanitare.
Pe parcursul investigației, s-a constatat că operatorul a prelucrat date cu caracter personal (imaginea) prin camere video instalate ilegal în grupurile sanitare, depășind scopurile pentru care au fost colectate datele, încălcând astfel art. 5 alin. (1) lit. a) și c) din RGPD.
De asemenea, s-a observat că Liceul Vasile Conta din Târgu Neamț nu a adoptat măsuri tehnice și organizatorice adecvate pentru a garanta confidențialitatea datelor, inclusiv accesul limitat și securizat la imagini și alocarea monitoarelor doar persoanelor autorizate, contrar dispozițiilor art. 32 din RGPD.
În plus, s-au impus următoarele măsuri corective operatorului:
– revizuirea procedurilor interne pentru a implementa măsuri tehnice și organizatorice, astfel încât datele cu caracter personal prelucrate prin sistemul de supraveghere video să fie gestionate în conformitate cu principiile de prelucrare specificate în art. 5 din RGPD;
– revizuirea procedurilor interne pentru a adopta măsuri tehnice și organizatorice, asigurând un acces limitat și securizat la imaginile prelucrate și alocând monitoarele de vizualizare a imaginilor în timp real exclusiv persoanelor autorizate.
În acest context, menționăm că art. 66 alin. (4) din Legea nr. 198/2023 a învățământului preuniversitar stipulează că „Sistemele de supraveghere audio-video pot fi instalate în spaţiul şcolar, după cum urmează: în sălile de clasă, în exteriorul clădirilor, pe holuri, în sălile de festivităţi, pe holurile căminelor sau internatelor, precum şi în sălile de sport, cu excepţia vestiarelor şi a grupurilor sanitare.”
Referitor la regimul sancționator aplicat autorităților publice din România, precizăm că acesta este reglementat de Legea nr. 190/2018 care prevede că autorităţile publice primesc inițial un avertisment, la care se anexează un plan de remediere (art. 13 din Legea nr. 190/2018).
În cazul în care instituțiile publice nu îndeplinesc măsurile din planul de remediere, Autoritatea Naţională de Supraveghere, în funcție de circumstanțele fiecărui caz, poate aplica o sancțiune contravențională ce variază de la 10.000 lei la 200.000 lei (art. 14 din Legea nr. 190/2018).