POLITICA SECRETARIATULUI GENERAL AL CONSILIULUI PRIVIND UTILIZAREA SISTEMELOR VIDEO 1
Cuprins 1. Scopul și domeniul de aplicare ale prezentei politici... 3 2. Respectarea actelor relevante privind protecția datelor... 3 3. Zonele monitorizate... 6 4. Datele cu caracter personal colectate și scopul acestora... 7 5. Accesul la datele cu caracter personal colectate... 9 6. Protecția și salvgardarea datelor cu caracter personal... 11 7. Durata păstrării datelor... 12 8. Informarea publicului... 12 9. Drepturile persoanelor vizate... 13 10. Dreptul la despăgubire... 15 2
Politica Secretariatului General al Consiliului privind utilizarea sistemelor video 1. Scopul și domeniul de aplicare ale prezentei politici Pentru siguranța și securitatea personalului, vizitatorilor, clădirilor, bunurilor și a informațiilor sale, precum și din rațiuni logistice, Secretariatul General al Consiliului (SGC) utilizează un sistem de protecție video în unele zone ale incintelor sale. Politica privind utilizarea sistemelor video descrie sistemul video al SGC și măsurile de protecție luate de SGC pentru a proteja datele cu caracter personal, viața privată și alte drepturi fundamentale și interese legitime ale persoanelor filmate de camere. Politica SGC privind utilizarea sistemelor video nu se aplică în cazul înregistrării sau al difuzării de evenimente care fac obiectul politicii privind presa și comunicarea publică a Consiliului sau a Consiliului European. De asemenea, trebuie reținut faptul că, în cazul camerei instalate în prezent în departamentul medical al SGC (această cameră nu înregistrează materialul filmat), s-a recurs la o procedură de notificare diferită. 2. Respectarea actelor relevante privind protecția datelor 2.1. SGC utilizează sistemele sale video în conformitate cu Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date 1 și cu Decizia 2004/644/CE a Consiliului din 13 septembrie 2004 de adoptare a normelor de aplicare a Regulamentului (CE) nr. 45/2001 2. În acest sens, SGC ține seama de recomandările care figurează în cadrul Orientărilor în materie de supraveghere video emise de Autoritatea Europeană pentru Protecția Datelor ( orientările ) la 17 martie 2010 3. 1 JO L 8, 12.1.2001, p. 1. 2 JO L 296, 21.9.2004, p. 16. 3 https://edps.europa.eu/sites/edp/files/publication/10-03-17_video-surveillance_guidelines_en.pdf 3
2.2. Utilizarea sistemului video este necesară pentru buna gestiune și funcționare a SGC, în special în vederea controlului de securitate și de siguranță descris în secțiunea 4.2 de mai jos. De asemenea, sistemul video este necesar pentru a sprijini politicile de securitate mai cuprinzătoare instituite de Decizia 2013/488/UE a Consiliului din 23 septembrie 2013 privind normele de securitate pentru protecția informațiilor UE clasificate 4 și contribuie la îndeplinirea mandatului Direcției de siguranță și securitate, astfel cum este prevăzut în Decizia 181/10 a Secretarului General al Consiliului privind sarcinile Oficiului de securitate 5. 2.3. Notificare privind gradul de conformitate Sistemul video existent a fost instalat în urma unei evaluări a riscurilor și a unui studiu privind diversele soluții disponibile, iar responsabilul cu protecția datelor (RPD) al SGC a fost înștiințat cu privire la acestea la 15 iunie 2007 în conformitate cu articolul 25 din Regulamentul 45/2001. La 20 iunie 2007, sistemul a fost supus unei verificări prealabile ex-post de către Autoritatea Europeană pentru Protecția Datelor (AEPD). Această verificare prealabilă a fost inițial suspendată, iar apoi oprită de AEPD până la publicarea orientărilor sale. După publicarea acestora, SGC a instituit politica SGC privind utilizarea sistemelor video, întocmind totodată un document de conformitate. După adoptare, RPD va informa AEPD cu privire la această politică, oferind totodată informații despre gradul de conformitate. 2.4. Contactele cu autoritatea relevantă în materie de protecție a datelor din statul membru Autoritatea competentă în materie de protecție a datelor din Belgia, Commission de la Protection de la Vie Privée ( CPVP ), a fost informată cu privire la faptul că SGC utilizează sisteme video. 4 JO L 274, 15.10.2013, p. 1. 5 Disponibil pe DOMUS la rubrica DGs & Teams - DG A - SSCIS - Safety and Security. 4
2.5. Procesul de luare a deciziilor SGC a conceput această politică după ce a concluzionat, prin consultare cu serviciile relevante, că actualul sistem video este în continuare necesar și proporțional din rațiuni de siguranță și securitate. SGC a consultat Comitetul personalului SGC și RPD, opiniile acestora fiind luate în considerare. Prezenta politică a fost aprobată de Secretarul General. 2.6. Transparență Politica privind utilizarea sistemelor video este disponibilă pe site-ul internet al Consiliului la adresa http://www.consilium.europa.eu/ro/general-secretariat/corporatepolicies/data-protection/ și pe site-ul intranet al SGC de pe DOMUS, la rubrica DGs & Teams - DG A - SSCIS - Safety and Security. 2.7. Revizuiri periodice O dată la doi ani, SGC va efectua o revizuire periodică privind respectarea și evaluarea protecției datelor. Pe parcursul revizuirilor periodice, SGC va reevalua, inter alia, dacă: sistemul continuă să îndeplinească obiectivul declarat, sunt disponibile alternative adecvate și dacă prezenta politică respectă în continuare Regulamentul nr. 45/2001. 2.8. Protejarea vieții private Pentru a spori gradul de protecție a vieții private, SGC a prevăzut următoarele măsuri: estomparea imaginii (pentru a face ca întreaga imagine sau o parte a ei, după caz, să fie de nerecunoscut), limitarea timpului de stocare a materialului filmat, în conformitate cu cerințele de securitate (a se vedea punctul 7 de mai jos) și gestionarea strictă a drepturilor operatorilor în ceea ce privește accesul la sistemul de televiziune cu circuit închis ( CCTV ). 5
3. Zonele monitorizate Camerele sunt amplasate în diverse locuri din clădirile Justus Lipsius, LEX, Europa, creșă și Neder-Over-Hembeek, incluzând: intrarea principală; principalele turnichete acționate cu cartelă magnetică; ieșirile de urgență și de incendiu; intrarea în parcări; săli de ședințe; încăperile securizate; coridoarele și în jurul clădirilor pentru a proteja spațiile exterioare. Amplasarea camerelor a fost atent revizuită pentru a asigura limitarea pe cât posibil a monitorizării zonelor care nu prezintă interes pentru obiectivele urmărite. Monitorizarea zonelor exterioare ale clădirilor de pe teritoriul Belgiei este limitată la minimum, iar autoritățile naționale relevante au fost informate. SGC nu monitorizează zonele în care există un nivel ridicat al așteptărilor privind viața privată, precum birourile sau centrele sportive. În mod excepțional, în cazul unor necesități în materie de securitate justificate în mod corespunzător, se pot instala camere în astfel de locuri, însă numai după efectuarea unei evaluări de impact și după informarea RPD. În astfel de cazuri, trebuie amplasat un anunț specific și vizibil în locurile respective. În mod excepțional, în cazul unor necesități în materie de securitate justificate în mod corespunzător și demonstrabile, pot fi utilizate camere ascunse atunci când acest lucru este necesar pentru prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor. Utilizarea acestora este supusă aprobării prealabile a directorului pentru siguranță și securitate și informării sistematice a RPD în cadrul unei investigații de securitate oficiale, mandatată de Secretarul General. Utilizarea de camere ascunse depinde întotdeauna de gravitatea infracțiunii suspectate, această măsură luându-se în conformitate cu articolul 20 din Regulamentul (CE) nr. 45/2001. Fiecare caz în care sunt utilizate camerele ascunse este documentat în detaliu, incluzând: 6
un obiectiv bine identificat care nu poate fi îndeplinit prin nicio altă metodă de investigație care ar perturba într-o mai mică măsură viața privată; o evaluare de impact privind zona acoperită de camerele video ascunse și persoanele care pot fi vizate; o perioadă strict limitată; locuri strict limitate; un număr strict limitat de beneficiari identificați în mod corespunzător; ștergerea imaginilor imediat ce acestea nu mai sunt necesare pentru investigație. 4. Datele cu caracter personal colectate și scopul acestora 4.1. Sistemul video este un sistem convențional și, în esență, static. Acesta înregistrează imagini digitale și este dotat cu detector de mișcare. Acesta înregistrează mișcările distincte detectate de camerele din zona monitorizată, precum și ora, data și locul. Toate camerele funcționează non-stop. Atunci când este necesar, calitatea imaginii permite identificarea persoanelor din zona de acoperire a camerei. Aproape toate camerele sunt fixe, astfel că doar câteva dintre ele pot fi focalizate de către operatori pe anumite detalii, din rațiuni de securitate. Operatorii special instruiți trebuie să respecte setările de confidențialitate și drepturile de acces. SGC nu utilizează o tehnologie avansată sau o tehnologie de protecție video inteligentă, însă interconectează sistemele sale de protecție video utilizate în clădirile enumerate la secțiunea 3 a prezentei politici. 7
4.2. Scopul utilizării sistemului video SGC utilizează sistemul său video cu unicul scop de a oferi securitate și siguranță. Sistemul video contribuie la asigurarea securității clădirilor SGC, a siguranței personalului și a vizitatorilor, precum și a bunurilor și a informațiilor aflate sau depozitate în incinta lor. Atunci când este necesar, sistemul video este utilizat ca un instrument auxiliar pentru alte sisteme de securitate fizică, precum sistemele de control al accesului și sistemele de control al intruziunilor fizice. Acesta face parte din măsurile de sprijinire a unor politici de securitate mai cuprinzătoare, astfel cum au fost instituite prin Decizia Consiliului privind normele de securitate pentru protecția informațiilor UE clasificate și contribuie la prevenirea, descurajarea și, dacă este cazul, investigarea accesului fizic neautorizat, inclusiv a accesului neautorizat la spațiile securizate și la încăperile protejate, la infrastructura informatică sau la informațiile operaționale. 4.3. Limitarea scopului Sistemul nu este utilizat cu niciun alt scop, cum ar fi monitorizarea muncii funcționarilor sau a altor categorii de personal ori monitorizarea prezenței. Sistemul este utilizat ca un instrument de investigare sau ca probă în cadrul investigațiilor interne sau al procedurilor disciplinare exclusiv în scopul investigării unui incident de securitate fizică sau, în cazuri excepționale, în cadrul anchetelor penale. Acestea sunt efectuate întotdeauna în temeiul unui mandat specific al Secretarului General sau al autorității împuternicite să facă numiri, după caz. 4.4. Utilizarea ad hoc a materialului video. În cazul în care există necesitatea unei protecții video ad hoc justificată în mod corespunzător, astfel de operații se planifică în prealabil, se elaborează o evaluare a impactului și este informat RPD. 4.5. Camerele web SGC nu utilizează camere web pentru asigurarea protecției video. 8
4.6. Categorii speciale de date Sistemul video al SGC nu are ca scop captarea (de exemplu prin focalizare sau orientare selectivă) sau prelucrarea imaginilor (de exemplu, indexare, creare de profiluri) care dezvăluie așa-zise categorii speciale de date în sensul secțiunii 6.7 din orientări. 5. Accesul la datele cu caracter personal colectate 5.1. Accesul la imaginile video înregistrate și transmise în direct este limitat la un număr redus de persoane care pot fi identificate în mod clar, fiind bazat pe necesitatea de a cunoaște. 5.2. Accesul la materialul filmat și/sau la arhitectura tehnică a sistemului video este limitat la un număr redus de persoane care pot fi identificate în mod clar, fiind bazat pe necesitatea de a cunoaște. SGC specifică scopul și limitele drepturilor de acces ale acestora. În special, acesta impune limite în privința persoanelor care au dreptul să vizioneze materialul filmat în timp real; să vizioneze înregistrarea materialului filmat; să copieze, să descarce, să șteargă sau să modifice orice material filmat. 5.3. Toți membrii personalului cu drepturi de acces, inclusiv agenții de pază externi subcontractați, beneficiază de o instruire inițială în domeniul protecției datelor. Instruirea este oferită fiecărui nou membru al personalului, urmând ca ateliere periodice pe teme privind respectarea protecției datelor să fie organizate cel puțin o dată la doi ani pentru toți membrii personalului care au drepturi de acces. 9
5.4. După instruire, fiecare membru al personalului semnează un angajament de confidențialitate. De asemenea, acest angajament este semnat de toți subcontractanții externi și de personalul acestora. 5.5. Toate transferurile și divulgările în afara Direcției de siguranță și securitate sunt documentate și supuse unei evaluări riguroase privind necesitatea unui astfel de transfer și compatibilitatea dintre scopul transferului și scopul de securitate inițial al prelucrării. Registrul privind păstrarea și transferurile poate fi consultat de serviciile de audit intern ale SGC și de RPD din cadrul Consiliului. Conducerea sau resursele umane nu beneficiază de acces, cu excepția situației în care se derulează proceduri disciplinare determinate direct de un incident de securitate fizică și în temeiul unui mandat al autorității împuternicite să facă numiri. Poliția locală sau națională, autoritățile judiciare recunoscute, organismele UE antifraudă (precum OLAF) și departamentele de securitate ale altor instituții europene sau organizații internaționale implicate pot beneficia de acces, dacă este necesar în cazul unor investigații sau al urmăririi penale a infracțiunilor. Nu se dă curs niciunei cereri de explorare de date 6. Orice încălcare a securității în ceea ce privește camerele video este indicată în registrul de investigații, iar RPD este informat în legătură cu acest lucru cât mai repede posibil. 6 Explorarea de date: procesul extrapolării de modele din bazele de date existente. 10
6. Protecția și salvgardarea datelor cu caracter personal Pentru a proteja securitatea sistemului video, inclusiv a datelor cu caracter personal, au fost introduse următoarele măsuri tehnice și organizatorice: Spații securizate, protejate de măsuri de securitate fizică, găzduiesc serverele care stochează imaginile înregistrate; sisteme firewall de rețea protejează perimetrul logic al infrastructurii IT, iar principalele sisteme informatice care conțin datele beneficiază de o securitate sporită. Printre măsurile administrative se numără obligația de a controla în mod individual, din rațiuni de securitate, pe fiecare membru al personalului externalizat care are acces la sistem (inclusiv persoanele care întrețin echipamentele și sistemele). Toți membrii personalului (atât externi, cât și interni) semnează acorduri de nedivulgare și de confidențialitate. Drepturile de acces ale utilizatorilor se acordă doar pentru acele resurse care sunt strict necesare pentru îndeplinirea obligațiilor acestora. Numai administratorul de sistem special desemnat de controlor în acest scop poate acorda, modifica sau anula drepturile de acces ale oricărei persoane. Orice acordare, modificare sau anulare a drepturilor de acces se efectuează pe baza unor criterii stricte. SGC păstrează în permanență o listă actualizată a tuturor persoanelor care au acces la sistem și descrie în detaliu drepturile de acces ale acestora; RPD va fi consultat înainte de achiziționarea sau instalarea oricărui nou sistem video de protecție. Politica de securitate a SGC privind utilizarea sistemelor video a fost elaborată în conformitate cu secțiunea 9 din Orientările AEPD. 11
7. Durata păstrării datelor Imaginile sunt păstrate timp de 30 de zile. Ulterior, imaginile sunt șterse în ordinea în care au fost înregistrate. În cazul producerii unui incident de securitate, durata de păstrare a materialului filmat relevant poate depăși limitele normale în funcție de timpul necesar investigării suplimentare a incidentului de securitate. Păstrarea este documentată riguros, iar necesitatea păstrării este revizuită periodic. Registrul privind păstrarea și transferurile poate fi consultat de serviciile de audit intern ale SGC și de RPD din cadrul Consiliului. 8. Informarea publicului 8.1. Abordare pe mai multe niveluri SGC utilizează o abordare pe mai multe niveluri care cuprinde următoarele elemente: un anunț detaliat privind utilizarea sistemelor video este afișat la fiecare dintre intrările clădirilor SGC, inclusiv la intrările în parcare, pictograme la fața locului amplasate în clădiri pentru a atrage atenția publicului cu privire la faptul că au loc activități de monitorizare și a-l informa despre modul în care poate obține informații suplimentare și politica privind utilizarea sistemelor video este afișată pe site-ul internet și pe site-urile intranet ale SGC pentru cei care doresc să cunoască mai multe despre practicile video ale SGC. De asemenea, la recepțiile diferitelor clădiri există broșuri de informare, care pot fi obținute la cerere și de la Direcția de siguranță și securitate. Sunt oferite informații în cazul în care se adresează întrebări suplimentare. Anunțurile sunt dispuse în spațiile adiacente următoarelor zone monitorizate, printre altele: lângă intrarea principală, la lifturile din parcare și la intrările în parcări. 12
8.2. Anunț individual specific Fără a aduce atingere normelor aplicabile investigațiilor, persoanele trebuie, de asemenea, să fie notificate în mod individual dacă sunt identificate pe cameră (de exemplu, de către personalul de securitate în cadrul unei investigații de securitate), cu condiția existenței a cel puțin uneia dintre următoarele situații: identitatea sa este menționată în oricare dintre fișiere/dosare, înregistrarea video este utilizată împotriva persoanei, păstrată pe o perioadă mai mare decât cea normală sau este transferată în afara Direcției de siguranță și securitate sau identitatea persoanei este divulgată oricărei persoane din afara Direcției de siguranță și securitate. Efectuarea anunțului poate fi amânată atunci când acest lucru este necesar pentru prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor, astfel cum este prevăzut la articolul 20 din Regulamentul 45/2001. RPD din cadrul Consiliului este consultat în toate aceste cazuri pentru a asigura faptul că drepturile persoanei sunt respectate, însă nu și în cazul investigațiilor. 9. Drepturile persoanelor vizate Persoanele vizate au dreptul de a accesa propriile date cu caracter personal stocate de SGC, precum și de a corecta și completa aceste date. Orice cerere de a accesa, rectifica, bloca și/sau șterge date cu caracter personal ca urmare a utilizării camerelor video ar trebui să fie adresată directorului Direcției de siguranță și securitate al Consiliului Uniunii Europene, Rue de la Loi 175, 1048 Bruxelles, iar o copie a acesteia ar trebui trimisă către RPD. 13
Directorul Direcției de siguranță și securitate îi va trimite solicitantului o confirmare de primire în termen de cinci zile lucrătoare de la data primirii cererii. Atunci când este posibil, directorul Direcției de siguranță și securitate oferă un răspuns pe fond la o cerere în termen de 15 zile calendaristice. Dacă acest lucru nu este posibil, solicitantul este informat cu privire la următorii pași și la motivul întârzierii în termen de 15 zile. Chiar și în cazurile cele mai complexe, cererea trebuie soluționată sau trebuie oferit un răspuns final motivat prin care se respinge cererea, în decurs de cel mult trei luni. Directorul Direcției de siguranță și securitate va face tot posibilul să răspundă mai devreme, în special dacă solicitantul dovedește că este o cerere urgentă. În cazul unei solicitări exprese, se poate planifica vizionarea imaginilor. În aceste cazuri, solicitanții trebuie să își decline identitatea mai presus de orice îndoială (de exemplu, să aibă asupra lor cartea de identitate atunci când participă la vizionare), precum și să specifice data, ora, locul și împrejurările în care au fost înregistrați de camere. De asemenea, aceștia trebuie să furnizeze o fotografie recentă a lor care să permită personalului de securitate să îi identifice în imaginile revăzute. În cazul unor nereguli sau al unui abuz flagrant al persoanei vizate în exercitarea drepturilor sale, Direcția de siguranță și securitate poate consulta RPD cu privire la cerere și/sau poate trimite persoana vizată la RPD, care va lua o decizie cu privire la eligibilitatea cererii și la măsurile adecvate. Cererile de vizionare a materialului filmat pot fi refuzate atunci când se aplică o derogare într-un caz specific, în temeiul articolului 20 alineatul (1) din Regulamentul 45/2001, de exemplu pentru a proteja investigarea unei infracțiuni. De asemenea, o restricție poate fi necesară pentru a proteja drepturile și libertățile celorlalți, de exemplu atunci când sunt prezente și alte persoane în imagini și nu este posibilă obținerea acordului acestora pentru a le divulga datele personale sau a utiliza opțiunile de editare a imaginilor pentru a compensa absența acordului. 14
10. Dreptul la despăgubire Fiecare persoană vizată are dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor (edps@edps.europa.eu) în cazul în care consideră că drepturile sale conform Regulamentului 45/2001 au fost încălcate ca urmare a prelucrării datelor sale personale de către SGC. În prealabil, se recomandă ca persoanele să încerce mai întâi să obțină despăgubiri contactând pe: directorul Direcției de siguranță și securitate (prin intermediul Centrului de securitate, disponibil non-stop la numărul 02 281 8909), Consiliul Uniunii Europene, Rue de la Loi 175, 1048 Bruxelles sau video.protection@consilium.europa.eu și/sau responsabilul cu protecția datelor din cadrul Consiliului Uniunii Europene, Rue de la Loi 175, 1048 Bruxelles. De asemenea, membrii personalului pot solicita despăgubiri autorității împuternicite să facă numiri în temeiul articolului 90 din statutul personalului. 15