Videobewakingssysteem openbare ruimte
Een hoge bestuursrechter bevestigde het besluit van de Franse Gegevensbeschermingsautoriteit (CNIL) waarin verschillende AVG-overtredingen door een gemeente werden vastgesteld, waaronder het niet uitvoeren van een DPIA op grond van artikel 35 AVG voor een videobewakingssysteem met 73 camera's.
De CNIL heeft een besluit uitgevaardigd tegen de gemeente wegens meerdere overtredingen van de AVG als gevolg van een videobewakingssysteem en automatische kentekenplaatleesapparatuur.
Volgens de CNIL was de gemeente niet bevoegd om op grond van de Code de la sécurité intérieure geautomatiseerde leesapparatuur voor de kentekenplaten van voertuigen in te voeren. Bovendien zou het verzamelen van kentekenplaatgegevens met als enig doel te voldoen aan de verzoeken van wetshandhavingsambtenaren in de uitoefening van hun taken van gerechtelijke politie, niet overeenkomen met een van de in artikel L. 251-2 van de code interne veiligheid genoemde doeleinden.
Ook was de gemeente verplicht om de DPIA uit te voeren, omdat 73 camera's voor het publiek toegankelijke gebieden bestreken, onder meer gebieden in de buurt van belangrijke doorgangsroutes en verschillende openbare diensten en infrastructuur. De gegevensverwerking in kwestie vormde dus een hoog risico voor de rechten en vrijheden van natuurlijke personen en er een verplichting om DPIA uit te voeren op grond van artikel 35 van de AVG aanwezig was.
De CNIL oordeelde ook dat de gemeente om verschillende redenen artikel 32 van de AVG had geschonden. Er waren problemen met de netwerkinfrastructuur en het gebruik van een serverbesturingssysteem (zonder update-ondersteuning gedurende bijna 10 jaar). Maar ook de beveiliging van wachtwoorden die worden gebruikt voor applicaties binnen de gemeente was onvoldoende.
De gemeente ging in hoger beroep tegen het besluit.
Het Franse equivalent van de afdeling bestuursrechtspraak van de Raad van State (Conseil d'Etat) verwierp het beroep.
Ten eerste benadrukte het Conseil d'Etat dat de gemeente de betrokken apparaten enkel had geïmplementeerd om tegemoet te komen aan de verzoeken van de veiligheidsdiensten, namelijk om de gegevens ter beschikking te stellen van de veiligheidsdiensten voor de uitoefening van hun taken van gerechtelijke politie. Een dergelijk doel was echter niet voorzien in artikel L. 251-2 van de code de la sécurité intérieur, waardoor de activiteit van de gemeente onrechtmatig was.
Ten tweede steunde het Conseil d'Etat het argument van de CNIL dat sommige gegevensverwerkingen een hoog risico vormden voor de rechten en vrijheden van natuurlijke personen. Daarom moest de DPIA worden uitgevoerd.
Ten derde zag het Conseil d'Etat geen rechtvaardiging om de schending van artikel 32 AVG terzijde te schuiven.
Voor meer informatie over DPIA's en cameratoezicht ga je naar DPIA cameratoezicht
Bron: www.dpia.nu