Scopul acestei Politici
Prezenta Politică se aplică protecției datelor cu caracter personal prelucrate prin mijloacele de supraveghere video, având scopul de a vă oferi informații cu privire la modalitatea în care vă prelucrăm datele (imaginea) prin intermediul sistemului de supraveghere video. Politica privind supravegherea video se aplică de către conducerea Institutului și de către personalul desemnat cu administrarea și mentenanța sistemului de supraveghere video.
Operatorul de date cu caracter personal
Institutul Oncologic ”Prof. Dr. Ion Chiricuță”, Cluj-Napoca, este unitate sanitară cu personalitate juridică ce prelucrează date cu caracter personal, având calitatea de Operator de date cu caracter personal potrivit Regulamentului (UE) 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.
-
- Denumirea: Institutul Oncologic ”Prof. Dr. Ion Chiricuță”, Cluj-Napoca.
- Adresa: Mun. Cluj-Napoca, str. Republicii, nr. 34-36, RO400015, Cod fiscal 4547125, jud. Cluj.
- Număr de telefon: 0264 598 361, 0264 598 362, 0264 598 363, 0264 598 364, 0264 591 281.
- Adresă de e-mail: office@iocn.ro
- Date de contact Responsabil cu Protecția Datelor cu Caracter Personal: Tămaș-Bobocea Larisa-Ionela, adresă e-mail: dpo@iocn.ro.
Scopul și temeiul legal al prelucrării
Institutul Oncologic ”Prof. Dr. Ion Chiricuță” utilizează un sistem TVCI (subsistem de televiziune cu circuit închis) în scopul asigurării pazei și protecției persoanelor, bunurilor și valorilor, al prevenirii și combaterii de contravenții sau infracțiuni, asigurării respectării procedurilor de sănătate și siguranță, investigării eficiente a reclamațiilor.
Temeiul legal pentru prelucrarea imaginilor prin intermediul sistemului de supraveghere video este reglementat în Regulamentul (UE) 679/2016, art. 6, alin. 1, lit. f) ”prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil”.
Interesul este legal. Astfel, potrivit Legii 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor se pot utiliza sisteme electronice de supraveghere video care să asigure paza și protecția persoanelor, bunurilor și valorilor, al prevenirii și combaterii de infracțiuni împotriva oricăror acțiuni ilicite care ar putea să aducă atingere dreptului la proprietate, dreptului la viață. De asemenea, considerentul 47 din Regulamentul (UE) 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal stabilește că: ”prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză”, ceea ce justifică prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video.
Interesul este necesar. Astfel, funcționarea unui sistem de supraveghere video pentru îndeplinirea scopurilor de mai sus este esențială întrucât, fiind vorba despre o instituție publică sanitară, unde fluxul de persoane este extrem de ridicat, folosirea oricăror alte mijloace mai puțin intruzive, de pildă: angajarea de personal care să verifice fiecare intrare din Institut, fiecare parcare, hol etc., ar fi ineficientă și insuficientă. Posibila anonimizare a înregistrărilor și estomparea fețelor persoanelor vizate ar face imposibilă identificarea persoanelor vizate în înregistrări și, prin urmare, scopul lor fundamental (protecția) nu ar putea fi atins. În plus, fără stocarea pentru o anumită perioadă de timp, înregistrările nu ar putea fi folosite ca dovezi sau ca mijloace de efectuare a controalelor.
Interesul este specific, fiind menționate scopurile exacte ale utilizării camerelor de supraveghere video.
Interesul este real și actual, întrucât posibilitatea încălcării scopului instalării mijloacelor de supraveghere video subzistă pe o perioadă nedeterminată de timp.
Drepturile persoanei vizate
Dreptul de acces la date. Aveți dreptul de a obține o confirmare că se prelucrează sau nu date cu caracter personal care vă privesc. Informațiile vă vor fi furnizate în termen de cel mult o lună de la primirea cererii, termen care poate fi prelungit cu încă 2 luni atunci când este necesar, comunicându-vă și motivele întârzierii. Dacă perioada de stocare a imaginilor (20 de zile) s-a împlinit, informația pe care operatorul o comunică persoanei vizate este că nu mai sunt prelucrate date cu caracter personal. În situația în care în imaginile solicitate apar și alte persoane, se vor lua măsuri de editare a imaginilor: mascare, estomparea clarității, distorsionare. Pentru a putea fi furnizate informațiile solicitate, persoana vizată trebuie să se identifice prin prezentarea unui document de identitate și să menționeze intervalul de timp în care a intrat în zona monitorizată video.
Dreptul la rectificarea datelor. Atunci când datele furnizate către noi nu sunt exacte, aveți dreptul de a obține completarea/rectificarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.
Dreptul la ștergerea datelor. Acest drept poate fi exercitat numai atunci când se aplică unul dintre motivele curpinse în art. 17, alin. 1 din Regulamentul GDPR și anume: datele nu mai sunt necesare pentru îndeplinirea scopurilor, v-ați retras consimțământul, dacă acesta a fost acordat, vă opuneți prelucrării, datele cu caracter personal au fost prelucrate ilegal, datele trebuie șterse pentru respectarea unei obligații legale care revine operatorului și datele au fost colectate în legătură cu oferirea de servicii ale societății informaționale. De asemenea, este necesară și inexistența unei situații excepționale regăsite la alin. 3 al aceluiași articol.
Dreptul la restricționarea prelucrării poate fi exercitat dacă dumneavoastră contestați exactitatea datelor, prelucrarea este ilegală, operatorul nu mai are nevoie de datele personale în scopul prelucrării, dar solicitați datele pentru constatarea, exercitarea sau apărarea unui drept în instanță sau dacă v-ați opus prelucrării.
Dreptul la portabilitatea datelor vă oferă posibilitatea de a primi datele care vă privesc și pe care ni le-ați furnizat și de a transmite aceste date altui operator.
Dreptul la opoziție poate fi exercitat atunci când vă opuneți prelucrării de date în scopul îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau dacă vă opuneți prelucrării de date necesare în interesele legitime ale operatorului.
Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri.
Dreptul de a vă retrage consimțământul, dacă acesta a fost acordat, poate fi exercitat în orice moment, iar retragerea lui nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.
Dreptul de a depune o plângere la Autoritatea de Supraveghere a Protecției Datelor cu Caracter Personal atunci când considerați că v-au fost încălcate drepturile de către operator, după ce, în prealabil, s-au efectuat demersuri de comunicare directe cu noi în vederea soluționării amiabile a eventualelor diferende.
Dreptul de a depune o plângere la Autoritate se poate exercita prin accesarea site-ului https://www.dataprotection.ro/?page=Plangeri_pagina_principala. Datele de contact ale ANSPDCP sunt: B-dul G-ral Gheorghe Magheru, nr. 28-30, sector 1, cod poștal 010336, București, România, telefon: 40.318.059.211, anspdcp@dataprotection.ro.
Drepturile pot fi exercitate:
- prin completarea unui model de cerere publicat pe site-ul https://www.potisaprevii.eu/ și trimis la adresa de e-mail: dpo@iocn.ro;
- prin e-mail, la adresa dpo@iocn.ro;
- prin poștă, la adresa Cluj-Napoca, str. Republicii, nr. 34-36, 400015, jud. Cluj;
- prin cerere scrisă depusă la Registratura generală de la sediul operatorului;
- verbal, cu condiția stabilirii identității persoanei solicitante.
Definiții
În Anexa 1, găsiți explicația termenilor utilizați în cuprinsul prezentei Politici privind supravegherea video.
Categorii de date cu caracter personal pe care le prelucrăm
Imaginile sunt principalele date care se prelucrează prin intermediul sistemului de supraveghere video.
Nu prelucrăm date biometrice. Potrivit considerentului 51 din Regulamentul GDPR ”prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice.”
Principiile prelucrării și securitatea datelor cu caracter personal
Institutul Oncologic ”Prof. Dr. Ion Chiricuță”, Cluj-Napoca prelucrează date cu caracter personal în conformitate cu prevederile Regulamentului GDPR și ale legislației naționale din sfera datelor cu caracter personal. Astfel, datele cu caracter personal vor fi:
- prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
- colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop”);
- adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
- exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).
Institutul Oncologic ”Prof. Dr. Ion Chiricuță”, Cluj-Napoca dispune măsurile tehnice și organizatorice conforme cu prevederile Regulamentului (UE) 679/2016 astfel că, procedurile de prelucrare pe care le efectuăm asigură confidențialitatea și securitatea datelor cu caracter personal.
Desi luăm toate măsurile pentru a asigura securitatea datelor dumneavoastră, Institutul Oncologic ”Prof. Dr. Ion Chiricuță”, Cluj-Napoca nu poate garanta lipsa oricărei încălcări de securitate sau intangibilitatea sistemelor de securitate. Dacă această situație se va ivi, vom pune în aplicare procedurile legale pentru limitarea efectelor și informarea persoanelor vizate.
Sistemul de supraveghere video
* Un sistem de supraveghere video (CCTV) este alcătuit din dispozitive analogice și digitale, precum și din software pentru captarea imaginilor unei scene, prelucrarea imaginilor și afișarea lor unui operator. Componentele sale sunt grupate în următoarele categorii:
- Mediul video: captarea imaginilor, interconectări și prelucrarea imaginilor:
-
- scopul captării imaginilor este generarea unei imagini a lumii reale într-un format în care să poată fi utilizată de restul sistemului;
- interconectările descriu toate transmisiile de date din mediul video, mai precis conectările și comunicațiile. Cablurile, rețelele digitale și transmisiile wireless reprezintă exemple de conectări. Comunicațiile descriu toate semnalele video și de date de control, care pot fi digitale sau analogice:
- prelucrarea imaginilor se referă la analiza, stocarea și prezentarea unei imagini sau a unei secvențe de imagini.
- Din perspectiva gestionării sistemului, un CCTV are următoarele funcții logice:
-
- gestionarea datelor și a activităților, care include procesarea comenzilor operatorilor și a activităților generate de sistem (proceduri de alarmă, alertarea operatorilor);
- interfețe cu alte sisteme, printre care conectarea la alte sisteme de Securitate (controlul accesului, alarmă de incendiu) și fără legătură cu securitatea (sisteme de gestionare a clădirilor, recunoaștere automată a numărului de înmatriculare).
- Securitatea CCTV constă în confidențialitatea, integritatea și disponibilitatea sistemului și a datelor:
-
- securitatea sistemului presupune securitatea fizică a tuturor componentelor sistemului și controlul accesului la CCTV;
- securitatea datelor se referă la prevenirea pierderii sau a manipulării datelor.
Administrarea și mentenanța sistemului de supraveghere video este asigurată de către administratorul societății S.C. PYROSTOP TOTAL SECURITY S.R.L., str. Calea Dorobanților, nr. 114, corp IV/1, et.1, ap.2, Cluj-Napoca, telefon: 0729 885 001, e-mail: info@totalsecurity.group.
Camerele de supraveghere video sunt montate în locuri vizibile. Camerele nu sunt și nu vor fi montate în zone unde se impune asigurarea intimității persoanelor, cum ar fi: birouri, vestiare, toalete și alte locații similare.
Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private sau înregistrarea trecătorilor. În funcție de rolul fiecărei camere, imaginile captate se limitează la o anumită arie de acoperire, iar datele cu caracter personal prelucrate sunt cele strict necesare pentru atingerea scopurilor sistemului de supraveghere.
Sunt instalate 16 camere video fixe în interiorul și în exteriorul sediului operatorului. Din totalul de 16 de camere, 8 sunt amplasate în exteriorul clădirii, iar 8 sunt situate în interior. Toate camerele sunt funcționale 24 de ore timp de 7 zile pe săptămână.
Se supraveghează prin mijloace video:
-
- interior acces secție Col Uterin + recepție;
- interior hol secție Col Uterin;
- interior hol mare secție Col Uterin;
- interior hol secșie Col Uterin;
- exterior acces latura estică dreapta;
- exterior acces latura estică stânga;
- exterior latura nordică dreapta;
- exterior latura nordică stânga;
- exterior acces depozit + latura vestică stânga;
- exterior acces depozit + latura estică dreapta;
- exterior acces latura sudică stânga;
- exterior acces latura sudică dreapta.
Perioada de stocare a imaginilor și ștergerea
Imaginile prelucrate prin mijloace de supraveghere video se stochează pe o perioadă de 20 de zile calendaristice. După împlinirea termenului, datele se șterg prin procedură automată, începând cu cea mai veche înregistrare. Datele sunt stocate pe 1 hard disk, amplasat într-un rack, fiind închis cu cheie într-un dulap.
Accesul la date
Datele pot fi accesate de către administratorul societății deținătoare a sistemului de supraveghere video, fiind singura persoană care are dreptul de acces în sistem. Orice altă persoană, cu excepția persoanei vizate, care solicită acces la imagini, trebuie să întocmească o cerere pe care o adresează managerului operatorului, urmând să fie analizat scopul accesului. Dacă acesta din urmă este unul legitim, se acordă acces asistat de către administratorul sistemului. De asemenea, imaginile prelucrate video se pot transmite, în condițiile legii, organelor judiciare, instanțelor de judecată sau altor autorități publice abilitate care, potrivit legii, au dreptul de a avea acces la aceste date.
Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații, numele persoanei, motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
Atunci când se transmit imagini în care apar și alte persoane decât cele vizate, imaginile vor fi transmise după ce s-a estompat claritatea acelor părți din imagine în care apar și alte persoane, astfel încât să nu se aducă atingere drepturilor și libertăților acestora.
În locurile unde sunt montate monitoarele pe care pot fi vizualizate imaginile captate de camerele video, are acces doar personalul autorizat în aces sens.
Măsuri tehnice și organizatorice
Pentru a proteja securitatea datelor cu caracter personal colectate sunt stabilite următoarele măsuri tehnice și organizatorice:
- limitarea timpului de stocare a imaginilor prelucrate prin intermediul sistemului de supraveghere video;
- spațiile de stocare a imaginilor se află în încăperi securizate, unde au acces doar persoane autorizate;
- accesul la date este limitat, având acest drept numai administratorul societății deținătoare a sistemului;
- persoana care hotărăște cine are drept de acces la imagini (cu excepția persoanei vizate care își poate exercita dreptul de acces conform Capitolului II) este managerul Institutului;
- păstrarea unui Registru de acces la datele obținute prin sistemul de supraveghere video.
Transparența informațiilor
Locația camerelor de supraveghere va fi indicată prin pictograme. La fiecare intrare principală în Institut pictogramele afișate vor conține următoarele informații: datele de contact ale operatorului, scopurile prelucrării și drepturile persoanei vizate.
Prezenta Politică poate fi accesată pe site-ul https://www.potisaprevii.eu/ sau se poate solicita o copie la adresa de e-mail dpo@iocn.ro ori de la Registratura generală.
Această informare poate fi revizuită ori de câte ori considerăm necesar, urmând să fie adusă la cunoștința persoanelor vizate.
Anexa 1- Definiții
- „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
- „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
- „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
- „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
- „supraveghere TVCI” înseamnă sistem de televiziune cu circuit închis/supraveghere video;
- „persoana vizată” înseamnă orice persoană fizică ale cărei date sunt prelucrate;
- ”ANSPDCP” Autoritatea Națională de Supraveghere a Protecției Datelor cu Caracter Personal;
- ”măsuri tehnice și organizatorice” înseamnă măsurile de securitate luate de către operator cu privire la prelucrarea datelor cu caracter personal.
* Pct. 9.1. din Ghidul 3/2019 privind prelucrarea datelor cu caracter personal prin mijloace video.