Prelucrarea datelor cu caracter personal prin mijloace video

ÎNTRUCÂT:
(i) Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor - RGPD). Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018. Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.
(ii) Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal. Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line. Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării. Regulamentul (UE) 2016/679 introduce sancţiuni severe, până la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat.
S-A ÎNTOCMIT PREZENTA NOTĂ INFORMATIVĂ PRIVITOR LA PRELUCRAREA DATELOR CU CARACTER PERSONAL PRIN MIJLOACE VIDEO
 1. Scopul prelucrării prin mijloace video
 RIN Grand Hotel, RIN Central Hotel, RIN Airport Hotel prelucrează date cu caracter personal, respectiv imaginea, prin intermediul sistemelor video în scopul monitorizării accesului persoanelor în unităţi hoteliere, al asigurării securității spațiilor și bunurilor acestora, precum și al siguranței persoanelor aflate în unităţile hoteliere.
 Unităţile hoteliere din cadrul RIN Hotels utilizează subsistemul de supraveghere video pentru asigurarea siguranței și securității locaţiilor.
 Întrucât prelucrarea datelor cu caracter personal (imaginea) prin intermediul mijloacelor de supraveghere video are un caracter obligatoriu, refuzul persoanei de a furniza datele respective determină anularea accesului acesteia în incinta hotelurilor.
 2. Condiții de legitimitate
 Prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, instalarea și utilizarea sub aspect tehnic a echipamentelor și elementelor componente ale sistemului de supraveghere video se realizează în conformitate cu prevederile legale în domeniu:
 - Regulamentul nr. 679/2016 privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor - RGPD);
 - Decizia nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, emisă de președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
 - Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, republicată, cu modificările și completările ulterioare,
 - Normele metodologice de aplicare a Legii nr. 333/2003, aprobate prin HG nr. 301/2012, cu modificările și completările ulterioare;
 - Ordinul nr. 52/2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal, emis de Avocatul Poporului;
 Conform dispozițiilor art. 13 alin.(2) din Decizia nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se face numai de către persoanele autorizate de către operator (angajați ai operatorului).
 3. Zonele monitorizate
 Amplasarea camerelor de supraveghere a fost realizată în conformitate cu legislația în vigoare și în baza planului de pază aprobat de Autorităţile competente. Nu sunt monitorizate zonele în care există un nivel ridicat al așteptărilor privind viața privată (birouri în care publicul nu are acces, toalete și alte locații similare). În mod excepțional, în cazul unor necesități în materie de securitate justificate în mod corespunzător, se pot instala camere în birourile în care angajații își desfășoară activitatea, însă numai după efectuarea unei evaluări de impact și după informarea Responsabilului cu protecția datelor. În astfel de cazuri se va avea în vedere respectarea dispozițiilor art. 8 alin.(2) și alin.(3) din Decizia nr. 52/2012.
 Se supraveghează prin mijloace video:
 - zonele de acces și spațiile destinate publicului;
 - zonele cu acces restricționat;
 - zonele de acces în incinta hotelurilor.
 4. Transparență și informare
 RIN Hospitality Company SRL furnizează persoanelor care intră în zona supravegheată video informaţiile prevăzute de Regulamentul general privind protecția datelor şi de art. 11 din Decizia nr. 52/2012, emisă de președintele ANSPDCP.
 În acest sens, informaţiile prevăzute în cuprinsul Regulamentului, sunt aduse la cunoştinţa persoanelor vizate în mod clar şi permanent, prin intermediul unui afiş ″Notă de informare″ postat în locurile monitorizate, poziţionat la o distanţă rezonabilă de locul unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzut de orice persoană.
5. Protejarea vieții private și securitatea informațiilor
 Pentru a proteja securitatea sistemului video și pentru a spori gradul de protecție a vieții, au fost introduse următoarele măsuri tehnice și organizatorice:
 - limitarea timpului de stocare a materialului filmat, în conformitate cu cerințele de securitate;
 - mediile de stocare (înregistratoare video digitale) se află în spații securizate, protejate de măsuri de securitate fizică;
 - toți utilizatorii cu drept de acces au semnat fișa de post prin care se obligă să respecte prevederile legale în domeniul prelucrării datelor cu caracter personal;
 - dreptul de acces se acordă utilizatorilor doar pentru acele resurse care sunt strict necesare pentru îndeplinirea atribuțiilor de serviciu;
 - persoana care are dreptul de a acorda, modifica sau anula dreptul de acces al utilizatorilor, conform procedurii de acces la bazele de date, este administratorul de sistem, desemnat în acest sens de operator;
 - administratorul/responsabilul de sistem de securitate fizică desemnat în acest sens ține în permanență o listă actualizată a tuturor persoanelor care au drept de acces la sistemul de supraveghere video, cu specificarea tipului de acces;
 - responsabilul cu protecția datelor personale va fi consultat înainte de instalarea oricărui nou sistem video.
 Totodată, s-a avut în vedere prevenirea unei prelucrări ilegale de date cu caracter personal sau accesul neautorizat la datele respective.
 
6. Accesul la datele cu caracter personal colectate prin intermediul sistemului de supraveghere video
 Accesul la imaginile video înregistrate și transmise în direct sunt limitate la un număr redus de persoane (angajați ai companiei) care pot fi identificate în mod clar și este determinat prin atribuțiile specificate în fișa postului (în ce scop și ce tip de acces).
 Accesul la materialul filmat și/sau la arhitectura tehnică a sistemului video este limitat la un număr redus de persoane care pot fi identificate în mod clar și este determinat prin atribuțiile specificate în fișa postului (în ce scop și ce tip de acces).
 RIN Hospitality Company SRL impune limite în privința persoanelor care au dreptul să copieze, să descarce, să șteargă sau să modifice orice material filmat.
 Toți membrii personalului cu drept de acces la înregistrările video beneficiază de o instruire inițială în domeniul protecției datelor. Instruirea este oferită fiecărui nou membru al personalului, urmând ca atelierele periodice pe teme privind protecția datelor să fie organizate cel puțin o dată la doi ani pentru toți membrii personalului care au drept de acces la date.
 Orice încălcare a securității în ceea ce privește subsistemul de supraveghere video este indicată în Registrul de investigații, iar Responsabilul cu protecția datelor este informat în legătură cu acest lucru, fără întârzieri nejustificate, în termen de cel mult 12 ore.
 Sistemul de supraveghere video nu este utilizat pentru verificarea prezenței la program sau evaluarea performanței la locul de muncă.
 În cazuri excepționale, dar cu respectarea garanțiilor descrise mai sus, se poate acorda acces Comisiei de cercetare disciplinară în cadrul unei anchete disciplinare, cu condiția ca informațiile să ajute la investigarea unei infracțiuni sau a unei abateri disciplinare de natură să prejudicieze drepturile și libertățile unei persoane.
 7. Dezvăluirea datelor cu caracter personal colectate prin intermediul sistemului de supraveghere video
 Informațiile înregistrate prin sistemele de supraveghere video sunt destinate utilizării de către RIN Hospitality Company SRL în scopul monitorizării accesului persoanelor în companie, al asigurării securității spațiilor și bunurilor companiei, precum și al siguranței persoanelor aflate în sediul companiei și sunt puse la dispoziția organelor judiciare și a altor instituții abilitate de lege să solicite aceste informații, la cererea expresă a acestora.
 Orice activitate de transfer și dezvăluire a datelor personale către terți va fi documentată și supusă unei evaluări riguroase privind necesitatea comunicării și compatibilitatea dintre scopul în care se face comunicarea și scopul în care aceste date au fost colectate inițial pentru prelucrare (de securitate și control acces). În aceste cazuri va fi consultat și Responsabilul cu protecția datelor desemnat la nivelul operatorului de date.
 Orice situație de dezvăluire va fi consemnată de administratorul sistemului în Registrul de evidență a cazurilor de dezvăluire.
 Imaginile înregistrate prin intermediul sistemului de supraveghere video instalat în incinta unităţilor hoteliere pot fi puse la dispoziția organelor judiciare, la cererea expresă a acestora.
 8. Durata de stocare
 Durata de stocare a datelor obținute prin intermediul sistemului de supraveghere video este proporțională cu scopul pentru care se prelucrează datele, astfel că imaginile sunt stocate pentru o perioadă care nu depășește 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
 La expirarea perioadei de stocare datele se șterg prin procedură automată în ordinea în care au fost înregistrate.
 În cazul producerii unui incident de securitate, precum și în cazuri temeinic justificate, durata de păstrare a materialului filmat relevant poate depăși limitele normale în funcție de timpul necesar investigării suplimentare a incidentului de securitate.
 Păstrarea este documentată riguros, iar necesitatea păstrării este revizuită periodic (la un interval de două luni).
 În cazul în care durata de stocare depășește termenul prevăzut de 30 de zile, aceasta se va consemna în Registrul înregistrărilor care depășesc durata de stocare, gestionat de administratorul sistemului.
 9. Drepturile persoanei vizate
 RIN Hospitality Company SRL garantează că asigură respectarea drepturilor ce revin persoanelor vizate, conform Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
 Toate persoanele implicate în activitatea de supraveghere video și cele responsabile de administrarea imaginilor filmate vor respecta procedura de acces la date cu caracter personal.
 Informarea persoanelor vizate se realizează în mod clar și permanent prin intermediul unui semn adecvat, cu vizibilitate suficientă și localizat în zona supravegheată, astfel încât să semnaleze existența camerelor de supraveghere și pentru a comunica informațiile esențiale privind prelucrarea datelor cu caracter personal.
 Responsabilul cu protecția datelor va asigura actualizarea informărilor corespunzător realităților existente în cadrul activităților desfășurate.
 În conformitate cu dispoziţiile Regulamentului nr. 679/2016 persoana vizată are următoarele drepturi:
 - dreptul de acces,
 - dreptul la rectificare,
 - dreptul la ștergerea datelor (″dreptul de a fi uitat″),
 - dreptul la restricționarea prelucrării,
 - dreptul la portabilitatea datelor,
 - dreptul la opoziție,
 - dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri.
 Pentru exercitarea drepturilor menționate mai sus persoana vizată trebuie să transmită o cerere întocmită în formă scrisă, datată și semnată, (conform modelului prezentat la secțiunea Cereri privind exercitare drepturi) la adresa:
 RIN HOSPITALITY COMPANY SRL
  Sos. Vitan Bârzeşti nr. 7D-7E, sector 4, Bucureşti
  e-mail: dpo@rinhotels.ro
 Pentru informaţii suplimentare puteţi contacta Responsabilul cu protecția datelor la numărul de telefon +40 372 100 000 sau la adresa de e-mail: dpo@rinhotels.ro.
Precizăm faptul că exercitarea drepturilor este gratuită pentru o singură solicitare în cursul unui an calendaristic.
 De asemenea, potrivit Regulamentului general privind protecția datelor, persoana vizată are dreptul de a depune plângere (art. 77) la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal la sediul acesteia din B-dul G-ral Gheorghe Magheru nr. 28-30, sector 1, București, cod poștal 0103336, e-mail: anspdcp@dataprotection.ro sau de a se adresa justiției (art. 79).