HOLENDERSKA POLICJA UKARANA ZA BRAK DPIA PRZY WYKORZYSTANIU KAMER
Niderlandzki organ nadzorczy nałożył karę administracyjną w wysokości 50 tysięcy euro na policję za brak wykonania oceny skutków dla ochrony danych (DPIA) przy wykorzystaniu kamer samochodowych do monitorowania przestrzegania noszenia maseczek podczas pandemii COVID-19.
W 2020 r. w okresie pięciu tygodniu gmina Rotterdam oraz policja używały pojazdów wyposażonych w systemy kamer o pełnym kącie widzenia, w celu nadzorowania przestrzegania zasad utrzymywania odległości 1,5 metra między osobami. Pojazdy policyjne wykonywały zdjęcia podczas jazdy, które pozwalały na bardzo efektywną identyfikację osób nieprzestrzegających obostrzeń.
Wszystkie zdjęcia zrobione za pomocą kamer zamontowanych w pojazdach policyjnych były zbierane w specjalnym centrum, gdzie następnie były obrabiane, zapisywane i przesyłane do innych posterunków policji. W maju 2020 r. niderlandzki organ nadzorczy zaczął postępowanie w sprawie legalności działań policji.
Organ nadzorczy w toku postępowania stwierdził, że przed wykonaniem zdjęć policja nie wykonała DPIA.
Policja wiedziała, że korzystanie z samochodów wyposażonych w kamery stwarzało poważne ryzyko dla prywatności tych osób. Ponadto, policja zamierzała zbierać w miejscach publicznych wizerunki dużych grup osób, które nawet nie były świadome że ich dane są gromadzone, ani jak będą wykorzystane przez policję.
Wykorzystanie kamer również naruszyło niderlandzką ustawę o danych policyjnych, która określa główne zasady prywatności obowiązujące policję. Niderlandzka policja przyznała się do błędu, za co organ nadzorczy nałożył grzywnę w wysokości 50 tysięcy euro.
Organ nadzorczy również stwierdził, że dane zbierane za pomocą kamer były nieproporcjonalne w stosunku do celów.
Komentarz Auraco:
Warto przypomnieć, że ocena ryzyka jest obligatoryjnym dla wszystkich administratorów danych osobowych wymogiem, który pomaga ustalić czy przetwarzanie konkretnych danych generuje ryzyka i jeżeli tak to jakie. Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO każdy administrator musi być w stanie wykazać przestrzeganie przepisów, w związku z czym warto pamiętać o udokumentowaniu takiej oceny w formie pisemnej czy też elektronicznej. Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, to administrator danych powinien przed rozpoczęciem przetwarzania dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Naruszenie powyższej zasady rozliczalności, jak i zignorowanie analizy ryzyka i oceny skutków może doprowadzić w określonych przypadkach do nałożenia kary administracyjnej przez organ nadzorczy.