monitorizare CCTV

Putem monitoriza angajații și clienții cu camere ascunse?

13 minute • Ana-Maria Udriste • 18 iunie 2019


Când ne gândim la monitorizare video, fie că vorbim despre angajați, fie că vorbim despre potențiali clienți care ne calcă pragul (precum persoanele care intră într-un restaurant), avem în minte de cele mai multe ori doar camerele video vizibile, pe care le vedem cu ochiul liber. Acestea funcționează exact ca pe tiparul mașinilor de poliție cu radar – știm că sunt acolo, așa că încetinim, iar apoi când trecem de ele, accelerăm.
Dar vor exista situații în care avem nevoie să monitorizăm persoanele fără ca respectivele camere să fie vizibile. Acestea se numesc ”camere ascunse” (covert CCTV). Unele echipamente mai avansate se referă chiar și la ”body-worn cameras”, adică camerele care sunt puse pe corpul unei persoane și monitorizează în timp real, dar despre ele vom vorbi cu altă ocazie.

Așadar, ce este CCTV?

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau schimbări (mișcări), de obicei, ale persoanelor de la distanță prin intermediul echipamentelor electronice.
Supravegherea video poate include orice, de la sisteme de televiziune cu circuit închis sau sisteme automate de recunoaștere a plăcilor de înmatriculare, până la orice alt sistem de înregistrare, stocare, recepționare sau vizualizare a imaginilor vizuale în scopuri de supraveghere.
În 2016, s-a estimat că în lume au fost instalate aproximativ 350 de milioane de camere de supraveghere video.

Supravegherea la locul de muncă – principiile

În conformitate cu GDPR, angajatorii au dreptul de a monitoriza activitatea angajaților dacă au o bază legală pentru aceasta și scopul monitorizării lor este comunicat în mod clar angajaților în avans.
Datorită dezechilibrului puterii în relația angajator-angajat, angajatorii nu se mai pot baza pe consimțământul de a prelucra datele angajaților (așadar, odată pentru totdeauna, putem renunța la aceste formalități excesive care nu fac altceva decât să mai omoare un copac). Pentru organizații, cel mai adecvat temei pentru prelucrare va fi, cel mai probabil, interesul legitim al angajatorului, în calitate de operator de date cu caracter personal.
Citește și ghidul nostru complet privind interesul legitim aici.
Există multe motive de afaceri legitime pentru care angajatorii monitorizează angajații prin intermediul CCTV. Temeiul legal al monitorizării include menținerea siguranței și securității angajaților prin prevenirea criminalității, prevenirea abaterilor angajaților, asigurarea conformității cu procedurile de sănătate și siguranță, monitorizarea și îmbunătățirea productivității, iar în unele cazuri, este o cerință de reglementare (cum este în cazul trezoreriei și al caselor de marcat/locurile unde se țin banii).
Angajatorii se bazează, în general, pe interesele lor legitime, ca temei juridic adecvat pentru prelucrarea datelor cu caracter personal – asta implică responsabilitatea organizațională și permit utilizarea în mod responsabil a datelor cu caracter personal, protejând în același timp drepturile de confidențialitate ale datelor angajaților.
Angajatorii care se bazează pe interesele legitime ca temei juridic pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențiale interesele ale terților) și trebuie să-și echilibreze interesul față de interesele, drepturile și libertățile angajaților lor. În plus, angajatorii trebuie, de asemenea, să aplice măsuri de siguranță și măsuri de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz. În cazul în care un angajat se opune utilizării camerelor CCTV într-o anumită zonă, noul test GDPR va pune sarcina asupra angajatorului pentru a demonstra că are “motive legitime convingătoare” pentru prelucrare care sunt mai presus de drepturile salariaților sau pentru stabilirea, exercitarea sau apărarea unui drept în instanță sau alte proceduri similare.
Altfel spus, angajatorul este obligat să efectueze o analiză a interesului legitim pentru a putea conchide, în final, dacă interesele lui sunt mai presus de interese angajaților și o asemenea monitorizare poate avea loc.
Monitorizarea angajaților prin intermediul camerelor CCTV ar trebui să se limiteze la zone în care riscul de încălcare a drepturilor de confidențialitate ale angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup selectat de angajați într-o anumită zonă este mult mai probabil să fie considerată intruzivă decât cele care monitorizează toți angajații într-o zonă de intrare generală. De asemenea, în anumite zone unde angajații nu se așteaptă nici măcar în mod rezonabil să fie monitorizați, o asemenea monitorizare trebuie exclusă din start (precum în zonele cu băi, vestiare etc.)
Scopul CCTV ar trebui să fie în mod clar comunicat angajaților prin intermediul Notificării privind confidențialitatea (care se face în prealabil și este distinctă de politica de prelucrare a datelor a organizației – citește aici cum informezi în mod corect angajații și candidații despre prelucrarea datelor acestora).
În conformitate cu cerințele GDPR, angajatorii au datoria față de angajați să facă acest lucru clar și lipsit de ambiguitate, într-un limbaj accesibil, pe care angajații îl pot înțelege. Spre exemplu, un angajat poate presupune în mod rezonabil că utilizarea CCTV la locul de muncă se face în scopuri de securitate, dar utilizarea CCTV pentru monitorizarea performanței sau comportamentului angajaților nu este un motiv evident. Prin urmare, angajații trebuie să fie înștiințați în mod clar înainte ca datele lor personale să fie înregistrate în acest scop. Aceeași abordare a notificării trebuie adoptată dacă scopul supravegherii CCTV este, de asemenea, din motive de sănătate și siguranță.

Care este riscul ”profilării” prin intermediul CCTV sub GDPR?

În conformitate cu articolul 35 din GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații profilați este considerată “profil de risc ridicat”. Aceasta necesită o evaluare a impactului privind protecția datelor (“DPIA“). O DPIA analizează dacă supravegherea este necesară și proporțională cu ceea ce angajatorul încearcă să realizeze în lumina riscurilor pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror măsuri de siguranță sau măsuri de securitate pe care operatorul le va pune în aplicare.

Ce a zis CEDO?

Lopez Ribalda în Spania (despre care am scris pe larg aici).
În acest caz, toți cei cinci reclamanți erau încadrați pe funcția de casieri la aceeași sucursală a unui supermarket spaniol. La începutul anului 2009, au început să fure bani de la angajatorul lor și în asociere cu clienții. Managerii erau suspicioși de lipsa fondurilor și a stocurilor, dar nu erau siguri dacă pierderile au fost cauzate de personal sau de clienți. Ca răspuns la aceste îngrijorări, conducerea a instalat la magazin camere de supraveghere CCTV, având ca scop detectarea furtului de către clienți, unele vizibile și orientate spre ușile de intrare și ieșire.
De asemenea, a fost instalată o supraveghere ascunsă a sistemelor de supraveghere video (CCTV), care vizează plățile de cecuri și bonuri, pe baza unei suspiciuni generale împotriva întregului personal, având în vedere fondurile și stocurile care lipsesc. Personalul a fost informat în prealabil despre supravegherea CCTV vizibilă, dar nu despre supravegherea CCTV ascunsă (asupra camerei ascunse nu fusese informată nici măcar o altă persoană din conducere). În ciuda instalării CCTV vizibile, reclamanții au continuat să fure și au fost prinși făcând acest lucru prin camera ascunsă CCTV. Reclamanții, atunci când au fost confruntați, au făcut recunoscut în totalitate faptele și au fost concediați.
Toate cele cinci persoanei au formulat cereri în fața Tribunalului de ocupare a forței de muncă din Spania, susținând că demiterile lor au fost incorecte, deoarece nu li s-a spus despre camerele ascunse și că există o încălcare de către angajator a legilor spaniole privind protecția datelor, care impun ca persoanele vizate să fie “informate precis și neechivoc” cu privire la prelucrarea datelor lor cu caracter personal (exact cum spune și GDPR).
Cererile privind anularea concedierilor abuzive formulate de reclamanți au fost respinse, instanțele spaniole interne confirmând faptul că supravegherea sub acoperire a fost obținută în mod legal, chiar dacă notificarea prealabilă nu fusese acordată. Instanțele spaniole au fost de părere că supravegherea ascunsă prin intermedul sistemelor CCTV a fost justificată, deoarece există o suspiciune rezonabilă de furt, adecvată scopului legitim al angajatorului de a proteja proprietatea societății, fiind necesară și proporțională.
Cu toate acestea, reclamanții s-au dus la Curtea Europeană a Drepturilor Omului. Aceștia au susținut că utilizarea camerelor ascunse CCTV a constituit o încălcare a dreptului lor conform articolului 8 din Convenția: dreptul la respectarea vieții private și de familie în temeiul Convenției Europene a drepturilor omului. CEDO a constatat că, chiar și la locul de muncă, un lucrător ar trebui să aibă o așteptare de confidențialitate care trebuie respinsă înainte ca orice monitorizare ascunsă să devină potrivită. Pentru a ajunge la această decizie, instanța a luat în considerare următoarele:

  • faptul că un număr de persoane au văzut filmul înainte de reclamanți, inclusiv reprezentantul lor de sindicat și avocatul angajatorului;
  • muncitorilor nu li s-a spus și nici nu au consimțit la supravegherea ascunsă a acestora;
  • filmarea a fost făcută pe mai multe saptamani, la toate orele și a prins imagini ale altor muncitori care nu au fost vinovați de furt.

Instanța a concluzionat că măsurile angajatorului nu erau proporționale. Angajatorul ar fi trebuit să-și protejeze proprietatea prin alte mijloace care să aibă un impact mai redus asupra vieții private a angajaților și ar fi trebuit să-și notifice salariații înainte de instalarea sistemelor de supraveghere. Fiecare dintre reclamanți a primit despăgubiri.
Kopke vs Germania 
În acest caz, un doamnă care lucra la casa de marcat a unui supermarket a fost concediată pentru furt, după ce a fost înregistrată pe camerele CCTV folosite de angajator asupra faptului respectiv. Ulterior, după ce a atacat fără succes decizia de concediere în fața instanțelor germane, a adus cazul în fața Curții Europene a Drepturilor Omului, susținând că dreptul său prevăzut de articolul 8 a fost încălcat.
Totuși, angajatorul ei a abordat problema utilizării camerelor ascunse luând în considerare: (a) pe ce perioadă ar trebui să rămână instalate camerele respective, (b) necesitatea de a-și proteja proprietatea, (c) interesul public pentru o bună administrare a procedurilor judiciare. A fost totodată diferit de cazul Lopez Ribalda amintit anterior pentru că viza un anumit angajat care era suspect de furt, iar monitorizarea era îndreptată doar către acel individ. Ca rezultat, CEDO a constatat că intruziunea angajatorului în viața privată a angajatului a fost restricționată doar la ceea ce era necesar pentru a atinge scopurile monitorizării cu camerele CCTV ascunse.

Așadar, monitorizarea video cu camerele ascunse la locul de muncă este posibilă?

DA, este posibilă, cu condițiile (cumulative) ca:

  • să existe temeiuri/indicii suficiente că ar putea exista o formă de activitate infracțională sau altă abatere;
  • angajații să fie informați despre posibilitatea folosirii camerelor de supraveghere ascunse în circumstanțe excepționale și pentru ce poate fi folosită această înregistrare.

Dacă fiind intruziunea semnificativă în drepturile de viață privată ale angajatului, este esențial pentru angajatori să facă mai întâi o analiză scrisă și detaliată cu scopul de a identifica dacă o asemenea monitorizare cu camere ascunse CCTV poate fi justificată ca fiind o măsură necesară și proporțională pentru a atinge scopurile. Poate fi confirmat că nu există o metodă mai puțin intruzivă de a gestiona activitatea infracțională suspectă sau alte abateri la locul de muncă? Când se face această analiză, angajatorii vor trebui să ia în considerare dacă nu cumva a informa angajații despre o asemenea monitorizare ar aduce prejudicii tocmai prevenirii sau identificării criminalității sau sancționarea persoanelor care se vor face vinovate. De asemeenea, este absolut necesar ca orice formă de monitorizare ascunsă să fie autorizată de managementul senior.

Implicații GDPR

Așa cum știm deja până acum, GDPR caută să modifice modalitatea în care organizațiile gândesc despre protecția datelor și aduc drepturi noi pentru persoanele vizate. Sub imperiul GDPR, analizele privind impactul asupra protecției datelor vor trebui făcute obligatoriu și anterior ca orgnizația să se angreneze în orice fel de prelucrare care prezintă un potențial risc pentru drepturile persoanelor vizate.
The specific introduction of CCTV surveillance into the workplace (whether open or covert) presents a high risk to individuals’ privacy rights. A data protection impact assessment should always be undertaken for any form of CCTV surveillance operation that is to be implemented on or after 25 May 2018. Such an assessment should address the following questions:
Introducerea monitorizării CCTV la locul de muncă (indiferent că este vizibilă sau ascunsă) prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizae. O analiză privind impactul prelucrării asupra drepturilor persoanelor (DPIA) ar trebui făcută întotdeauna pentru orice fel de monitorizare CCTV implementată după 25 mai 2018. O asemenea analiză ar trebui să fie capabilă să răspundă la următoarele întrebări:

  • poate fi folosită monitorizarea limitată/restricționată la o perioadă de timp?
  • angajații știu că există posibilitatea ca monitorizarea CCTV să fie folosită în circumstanțe excepționale și în conformitate cu procedurile și politicile existente la nivelul companiei?

Dacă nu există implementată nicio procedură sau metodă la nivelul organizației pentru efectuarea unei DPIA, sub GDPR recomandările minimale ar trebui să includă:

  • o descriere minimală a operațiunilor de prelucrare preconizate și scopurile acestor prelucrări;
  • analiza necesității și propoționalității activității de prelucrare;
  • analiza riscurilor față de drepturile persoanelor vizate afectate de prelucrare;
  • măsurile luate/ce urmează să fie luate care să se adreseze acestor riscuri și să demonstreze conformitatea cu GDPR, de exemplu, măsurile de siguranță și/sau securitate care trebuie să fie implementate.

Sfaturi pentru angajatorii care vor să introducă CCTV la locul de muncă

  • asigurați-vă că monitorizarea la locul de muncă este rezonabilă și justificăbilă
  • informați angajații despre existența, scopul și locația camerelor CCTV
  • afișați semne clare în locațiile importante amintindu-le angajaților că monitorizarea CCTV este activă
  • implementați o politică clară în ceea ce privește folosirea CCTV
  • țineți minte că imaginile CCTV reprezintă date personale pe care este posibil să fiți obligați să le divulgați în cazul unei cereri de răspuns a persoanelor vizate
  • nu stocați datele mai mult decât este necesar
  • fiți conștienți de obligațiile și responsabilitățile pe care le aveți în conformitate cu legislația privind protecția datelor – fiți informat!

Cum te putem ajuta?

Am conceput un pachet special pentru monitorizarea angajaților și clienților care-ți calcă pragul, pentru a fi conformi legislației. Află mai multe detalii despre pachet aici.

Un răspuns

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *