Amendă administrativă în valoare de 23 820 de euro aplicată de către Autoritatea Islandeză pentru Protecția Datelor companiei Íþrótta- og sýningahöllin hf pentru încălcarea articolului 5, 6 și 13 din GDPR

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 23 820 de euro aplicată de către Autoritatea Islandeză pentru Protecția Datelor (SA) companiei Íþrótta- og sýningahöllin hf pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării și art. 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la subiectul de date din GDPR.

Urmare a relatărilor din mass-media cu privire la camerele de supraveghere video care erau active în spațiile în care adolescenții dormeau și își schimbau hainele în timpul unui turneu sportiv, SA Islandeză a lansat o investigație privind supravegherea video efectuată în aceste spații. Instituția în cauză este o mare bază de sport și divertisment din Reykjavík. SA Islandeză a efectuat o inspecție pe teren pentru a investiga domeniul de aplicare a supravegherii video și dacă au fost furnizate suficiente indicații și informații subiecților de date atunci când au intrat în clădire. Inspecția pe teren a concluzionat că aproximativ 50 de camere de supraveghere erau active, în aproape toate încăperile și spațiile, cu excepția băilor și a vestiarelor. Totodată, în diverse locuri din local existau marcaje simple privind supravegherea video, însă acestea nu conțineau suficiente informații despre operatorul de date. În plus, în timpul investigației, SA Islandeză a descoperit că supravegherea video a fost activă și în timp ce se efectua vaccinarea în masă pentru Covid-19.

Pe baza constatărilor rezultate din investigații, SA Islandeză a constatat că operatorul nu a respectat mai multe obligații prevăzute de GDPR cum ar fi:

• Nerespectarea principiului conform căruia datele cu caracter personal sunt prelucrate într-un mod transparent în raport cu subiectul de date – articolul 5 alineatul (1) litera (a).
• Nerespectarea principiului conform căruia datele cu caracter personal sunt colectate în scopuri determinate, explicite și legitime – articolul 5 alineatul (1) litera (b).
• Nerespectarea obligației de a demonstra că prelucrarea datelor cu caracter personal prin intermediul supravegherii video, în timp ce spațiul a fost închiriat pentru evenimente, a fost legală în conformitate cu articolul 6.
• Nerespectarea obligației de a informa subiecții de date cu privire la sistemul de supraveghere video în conformitate cu articolul 13.

În acest context, SA islandeză a impus o amendă administrativă în valoare de 3 500 000 ISK, echivalentul a 23 820 euro și a dispus operatorului de date să înceteze orice acțiune de supraveghere video, cu excepția cazului în care ar putea demonstra că interesele sale legitime prevalează asupra dreptului la viață privată a subiecților de date, atât în general, cât și atunci când localul este închiriat pentru evenimente, precum și să furnizeze acestora  suficiente informații în conformitate cu art. 13.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.