Consultanta

Liceul Vasile Conta din Targu Neamt a fost sanctionat pentru incalcarea GDPR in utilizarea supravegherii video

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în ianuarie 2025, o investigație privind Liceul Vasile Conta din Târgu Neamț, constatând încălcarea prevederilor art. 5 alin. (1) lit. a) și c) și ale art. 32 din Regulamentul General privind Protecția Datelor (GDPR).

Ca urmare, liceul a fost sancționat cu două avertismente pentru contravențiile stabilite conform Legii nr. 190/2018.

Cum a avut loc încălcarea GDPR?

Investigația a fost declanșată în urma unei sesizări care semnala faptul că unitatea de învățământ prelucra date personale printr-un sistem de supraveghere video și audio, ale cărui monitoare erau instalate în biroul directorului. Acesta avea acces la imagini în timp real, inclusiv pe telefonul personal, din holuri, casa scărilor și zona grupurilor sanitare.

În urma verificărilor, s-a constatat că Liceul Vasile Conta a instalat camere video în grupurile sanitare, fapt considerat ilegal și excesiv, depășind scopul justificabil al prelucrării datelor și încălcând principiile prevăzute în art. 5 alin. (1) lit. a) și c) din GDPR.

Totodată, liceul nu a implementat măsuri de securitate adecvate, permițând accesul nelimitat la imagini și neasigurând alocarea monitorizării exclusiv persoanelor autorizate, încălcând astfel art. 32 din GDPR.

Măsuri corective impuse

Autoritatea a dispus următoarele măsuri pentru remedierea deficiențelor:
Revizuirea procedurilor interne pentru conformarea cu principiile de prelucrare a datelor, conform art. 5 din GDPR;
Limitarea și securizarea accesului la imaginile supravegheate, astfel încât vizualizarea să fie permisă doar persoanelor autorizate.

Reglementările aplicabile

Conform Legii nr. 198/2023 a învățământului preuniversitar, supravegherea video este permisă în sălile de clasă, pe holuri, în sălile de sport sau festivități, dar este interzisă în vestiare și grupuri sanitare.

De asemenea, Legea nr. 190/2018 stabilește că autoritățile publice sunt sancționate inițial cu avertisment și un plan de remediere. Dacă măsurile nu sunt implementate, ANSPDCP poate aplica amenzi între 10.000 și 200.000 lei.

Această sancțiune subliniază importanța respectării normelor GDPR, mai ales în cazul instituțiilor care prelucrează datele minorilor.