Sală de fitness din Iași, amendă GDPR de 10.000 EUR pentru camerele video

O firmă din Iași a fost amendată cu 10.000 EUR pentru că a încălcat Regulamentul de protecție a datelor cu personale (GDPR) când a publicat pe Facebook un videoclip, fără a acoperi în vreun fel fețele protagoniștilor, potrivit Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

În 2022 a apărut pe rețelele sociale un videoclip cu o bătaie ce a avut loc într-o sală de fitness Body Line Gym din Iași. Imaginile audio-video extrase de pe camerele de supraveghere ale sălii de sport au fost publicate pe pagina de Facebook a Body Line Nutrition (magazin de suplimente nutritive) și a Body Line Gym, fără a fi acoperite fețele participanților.

În plus, cei de la Body Line Nutrition RO au menționat în descriere de pe Facebook a videoclipului cu pricina că totul a pornit „de la o femeie”, protagoniștii scandalului fiind „un arab și un S.R.I-st”.

Acum, ANSPCP arată că un client al sălii de fitness a reclamat că firma (Body Line SRL) i-a divulgat datele cu caracter personal „prin postarea unei înregistrări audio-video pe paginile de socializare ale operatorului”.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a făcut o investigație pe care a finalizat-o în iulie 2023 și a constatat că firma din Iași, Body Line SRL a încălcat regulamentul GDPR.

Drept urmare, „operatorul a fost sancționat contravențional cu amenzi în cuantum total de 49.322 lei, echivalentul a 10.000 EUR”.

ANSPDCP mai spune că firma a distribuit, prin intermediul paginilor sale de pe rețelele sociale „datele petentului din înregistrarea audio-video și a folosit în comentarii un apelativ ce dezvăluia originea etnică a acestuia, fără a avea temei legal, încălcându-se astfel prevederile art. 5, 6 și 9 din Regulamentul (UE) 2016/679”.

Totodată, Autoritatea a constatat că firma din Iași nu „a dat curs cererii petentului de ștergere a datelor încălcând prevederile art. 17 din Regulamentul (UE) 2016/679” și nici nu a luat măsuri tehnice și organizatorice pentru asigurarea „confidențialității datelor personale prelucrate prin intermediul sistemului de supraveghere audio-video”. 

„Această situație a condus la accesarea și, ulterior, la diseminarea pe paginile de socializare ale operatorului a unei înregistrări audio-video cu imagini ale petentului, fiind astfel încălcate prevederile art. 32 alin. (1) și (2) din Regulamentul (UE) 2016/679” - conform ANSPDCP. 

Ce mai arată ANSPDCP:

„Totodată, operatorului Body Line  SRL i s-au aplicat și următoarele măsuri corective:

• de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, inclusiv prin elaborarea de proceduri scrise, astfel încât datele personale ale persoanelor vizate să fie prelucrate cu stricta respectare a dispozițiilor legale privind protecția datelor personale, prin evitarea colectării și/sau divulgării ilegale/excesive/neautorizate a datelor personale ale acestora;
• de a da curs cererii de ștergere a datelor personale ale petentului, aferente postărilor de pe paginile de socializare ale operatorului;
• de a asigura conformitatea cu GDPR a operațiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice și organizatorice adecvate, în special sub aspectul instruirii persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori), prin organizarea regulată a unor sesiuni de instruire cu acestea, în legătură cu obligațiile ce le revin privind prelucrarea datelor personale prin intermediul sistemului de supraveghere video, al stabilirii condițiilor în care pot fi accesate imaginile sau înregistrările audio-video de către un număr redus de persoane, pe baza unor credențiale individuale, al verificării periodice a accesului la înregistrările imaginilor, precum și al detectării rapide, gestionării și raportării unor situații de încălcare a securității datelor personale” - arată Autoritatea. 

Sancțiunile Autorității de Protecție a Datelor Personale pot fi atacate în instanțe.