Folosești camere de supraveghere la firmă? Atunci ești operator de date cu caracter personal, conform GDPR. Asta înseamnă obligații concrete — multe încălcate, până la primul control sau prima plângere. Ghidul de mai jos sumarizează ce contează în 2026 pentru o firmă din România.

Cine se aplică

Orice persoană juridică care folosește camere CCTV în spații cu acces public sau în care sunt înregistrate persoane (clienți, angajați, vizitatori) intră sub GDPR. Nu contează dacă firma are 3 angajați sau 300, nici dacă imaginile sunt vizionate doar de tine.

1. Bază legală — fără ea, ești în culpă

GDPR cere o bază legală explicită pentru prelucrare. Pentru CCTV, cele mai uzuale sunt:

  • Interesul legitim (Art. 6(1)(f)) — protecția bunurilor, prevenirea furturilor, siguranța angajaților
  • Obligație legală (Art. 6(1)(c)) — anumite domenii reglementate (transport, bancar)

Trebuie să documentezi printr-un Document de evaluare a interesului legitim (LIA — Legitimate Interest Assessment) — un document scris în care explici de ce ai nevoie de camere, ce alternative ai luat în calcul, cum echilibrezi cu drepturile persoanelor monitorizate. ANSPDCP poate cere acest document în 24 de ore la control.

2. Semnalizare obligatorie

Conform Art. 13 GDPR și ghidurilor EDPB, în fiecare zonă supravegheată trebuie să existe semnalizare vizibilă:

  • Pictograma unei camere video
  • Mențiunea „Zonă supravegheată video" sau echivalent
  • Operatorul (denumire firmă + CUI)
  • Scopul prelucrării (ex: „pentru siguranța bunurilor și a persoanelor")
  • Contactul DPO (sau persoană de contact)
  • Linkul către politica completă (URL sau QR code)

Semnalizarea trebuie să fie la fiecare intrare în zona supravegheată și la înălțimea ochilor.

3. Durata stocării

Standardul ANSPDCP: 30 de zile maxim pentru imagini, dacă nu există un incident documentat. Mai mult e disproporționat și ai nevoie de justificare puternică.

Pentru sectoare reglementate (sedii bancare, pază specială), poți avea perioade mai lungi prin acte normative specifice.

Atenție: stocarea pe NVR/cloud trebuie să suprascrie automat după perioada declarată. Configurarea greșită (păstrare la infinit) e încălcare clară.

4. Drepturile persoanelor înregistrate

Conform Art. 15-22 GDPR, orice persoană înregistrată poate cere:

Drept Ce trebuie să faci
Acces la datele sale Furnizezi extras video cu blurare pentru ceilalți
Ștergere Doar dacă nu există motiv legitim de păstrare (incident)
Restricționare Ștergere completă imediată
Opoziție Răspuns motivat în 30 zile

Important: la furnizarea de imagini către un angajat care le solicită, fețele celorlalți trebuie blurate. Software-ul NVR Hikvision și Ajax oferă această funcție prin export controlat.

5. Angajații — caz special

Monitorizarea angajaților are reguli suplimentare conform Decizia ANSPDCP 174/2018:

  • Informare prealabilă scrisă, cu acord semnat (sau notificare în regulamentul intern)
  • Consultarea sindicatului/RPSP dacă există
  • Interzis în zone private (vestiare, toalete, săli de pauză)
  • Limitare la zone strict necesare scopului declarat

Multe firme greșesc punând camere în birouri pentru „productivitate" — practica e cvasi-imposibil de justificat sub GDPR.

6. Sancțiuni reale

ANSPDCP a aplicat în 2025 sancțiuni pentru încălcări CCTV de la 1.000 EUR (firmă mică) până la 40.000 EUR (lanț de magazine fără semnalizare). Plus reputațional: deciziile sunt publice pe site-ul autorității.

Checklist conformitate

  • Bază legală documentată (LIA scris)
  • Semnalizare la toate intrările (pictogramă + text + operator + contact)
  • Politică de confidențialitate completă pe site (cu secțiune CCTV)
  • Stocare ≤ 30 zile, configurată tehnic (nu doar promisă)
  • DPO numit sau persoană de contact GDPR (e-mail dedicat)
  • Acord scris cu angajații monitorizați
  • Registru evidență prelucrări (Art. 30 GDPR)
  • Procedură răspuns la cereri (drept de acces, ștergere)
  • NVR/Cloud cu acces restricționat și jurnalizare

Cum poate ajuta Activ.NET

Instalăm sisteme CCTV Hikvision configurate GDPR-ready din fabrică: ștergere automată după perioada declarată, jurnalizare acces, export cu blurare pentru drept de acces. Te ajutăm și cu documentația aferentă (LIA template, semnalizare conformă, politica de confidențialitate pentru site).

Vezi detalii camere supraveghere → sau Cere o ofertă.

Acest articol este informativ și nu înlocuiește consultanța juridică. Pentru cazuri specifice, recomandăm consultarea unui DPO acreditat sau a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).