Videobewakingssysteem openbare ruimte
Een Hoge Bestuursrechter bevestigde het besluit van de Franse Gegevensbeschermingsautoriteit (CNIL) waarin verschillende AVG-overtredingen door een gemeente werden vastgesteld, waaronder het niet uitvoeren van een DPIA op grond van artikel 35 AVG voor een videobewakingssysteem met 73 camera's.
De CNIL heeft een besluit uitgevaardigd tegen de gemeente wegens meerdere overtredingen van de AVG als gevolg van een videobewakingssysteem en automatische kentekenplaatleesapparatuur.
Volgens de CNIL was de gemeente niet bevoegd om op grond van de Code de la sécurité intérieure geautomatiseerde leesapparatuur voor de kentekenplaten van voertuigen in te voeren. Bovendien zou het verzamelen van kentekenplaatgegevens met als enig doel te voldoen aan de verzoeken van wetshandhavingsambtenaren in de uitoefening van hun taken van gerechtelijke politie, niet overeenkomen met een van de in artikel L. 251-2 van de code interne veiligheid genoemde doeleinden.
Ook was de gemeente verplicht om de DPIA uit te voeren, omdat 73 camera's voor het publiek toegankelijke gebieden bestreken, onder meer gebieden in de buurt van belangrijke doorgangsroutes en verschillende openbare diensten en infrastructuur. De gegevensverwerking in kwestie vormde dus een hoog risico voor de rechten en vrijheden van natuurlijke personen en er een verplichting om DPIA uit te voeren op grond van artikel 35 van de AVG aanwezig was.
De CNIL oordeelde ook dat de gemeente artikel 32 van de AVG had geschonden om verschillende redenen, waaronder problemen met de netwerkinfrastructuur, het gebruik van een serverbesturingssysteem zonder update-ondersteuning gedurende bijna 10 jaar en geen onderhouden service door de ontwikkelaar, en vanwege onvoldoende praktijken met betrekking tot de beveiliging van wachtwoorden die worden gebruikt voor applicaties binnen de gemeente.
De gemeente ging in hoger beroep tegen het besluit.
Het Franse hoogste bestuursorgaan (Conseil d'Etat) verwierp het beroep.
Ten eerste benadrukte de rechtbank dat de gemeente de betrokken apparaten enkel had geïmplementeerd om tegemoet te komen aan de verzoeken van de veiligheidsdiensten, namelijk om de gegevens ter beschikking te stellen van de veiligheidsdiensten voor de uitoefening van hun taken van gerechtelijke politie. Een dergelijk doel was echter niet voorzien in artikel L. 251-2 van de code de la sécurité intérieur, waardoor de activiteit van de gemeente onrechtmatig was.
Ten tweede steunde de rechtbank het argument van de CNIL dat sommige gegevensverwerkingen een hoog risico vormden voor de rechten en vrijheden van natuurlijke personen. Daarom moest de DPIA worden uitgevoerd.
Ten derde zag de rechtbank geen rechtvaardiging om de schending van artikel 32 AVG terzijde te schuiven.
Bron: CE - N° 472864 - GDPRhub