Відеонагляд проти конфіденційності: правила GDPR для ваших камер
Встановлення камер спостереження для бізнесу може здатися стандартним заходом безпеки. Але чи знаєте ви, що з моменту, коли камера фіксує персональні дані, звичайне відеоспостереження підпадає під дію GDPR? Це означає, що бізнес може наражатися на ризик штрафу до 20 мільйонів євро або 4% річного обороту. Однак GDPR не є вашим ворогом. Натомість він вимагає балансування ваших потреб у безпеці з фундаментальним правом людини на конфіденційність. Дотримання цього регламенту захищає не лише ваших клієнтів, а й ваш бізнес від фінансової та репутаційної шкоди.
Тож як просте відеоспостереження підпадає під дію GDPR?
Відповідь проста: персональні дані.
Головною метою GDPR є захист основних прав і свобод фізичних осіб, зокрема їхнього права на захист персональних даних.
GDPR:
«персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи («суб’єкта даних»);
Визначення персональних даних є дуже широким, і, якщо говорити простою мовою, будь-яка інформація, яка дозволяє прямо або опосередковано ідентифікувати особу, вважається такою, що підпадає під це визначення. Відеоспостереження передбачає збір та зберігання графічної або аудіовізуальної інформації про всіх осіб, які входять до контрольованого простору, що дозволяє ідентифікувати осіб на основі цих даних, що робить їх персональними даними. Таким чином, їх збір, зберігання та використання є «обробкою» згідно з GDPR, що підлягає суворим юридичним вимогам.
5 кроків, щоб система відеоспостереження відповідала вимогам GDPR
Крок 1: Встановіть та задокументуйте свою законну основу
Перш за все, ще до встановлення камер,необхідно чітко визначити юридичні причини для запису. У контексті GDPR це називається законним інтересом, і ваше завдання – це довести його.
Чому це потрібно: Стаття 6(1)(f) GDPR дозволяє обробку персональних даних, якщо це необхідно для ваших законних інтересів, але лише якщо ці інтереси не переважають права суб’єктів даних на конфіденційність.
Що вам потрібно зробити:
– Визначте свою мету: На жаль, просто посилатися на «безпеку» недостатньо. [2] Будьте більш конкретними, виходячи з оцінки ситуації, наприклад, «запобігання вандалізму та крадіжкам», і будьте чесними: використовуйте камери лише для того, щоб справді запобігти вандалізму та крадіжкам у місцях, які, як доведено, є вразливими до таких випадків.
– Обґрунтуйте необхідність: законний інтерес має бути реальним та наявним, а не гіпотетичним. Це є основою для того, «чому» потрібне відеоспостереження. Оцініть ситуацію, проаналізуйте місцевість та зробіть висновок, чи справді спостереження необхідне.
– Проведіть тест на балансування : цей тест має зважити: чи переважує шкода для суб’єктів даних інтереси вашої організації? У Керівних принципах 3/2019 щодо обробки персональних даних за допомогою відеопристроїв наголошується, що тест на балансування має бути задокументованим та адаптованим до кожної ситуації. Ця частина є вирішальною та часто є причиною фінансових санкцій, оскільки наглядові органи регулярно накладають штрафи на основі цього міркування.
| Наприклад, Державний уповноважений із захисту даних та свободи інформації в Нижній Саксонії наклав штраф у розмірі 10,4 мільйона євро за використання відеоспостереження протягом щонайменше 2 років без юридичного обґрунтування та збереження записів до 60 днів, тоді як компанія стверджувала про запобігання та розслідування кримінальних правопорушень і відстеження потоку товарів на складах. Ці причини не були визнані достатніми для легітимізації використання відеоспостереження. У цьому випадку Державний уповноважений заявив, що, можливо, було прийнятно стежити за працівниками за допомогою камер протягом обмеженого періоду часу. Однак відеоспостереження не обмежувалося ні певним періодом, ні конкретними працівниками. |
По-друге, ще до встановлення камер потрібна оцінка ризиків ситуації. Для багатьох систем відеоспостереження, залежно від масштабу та зібраних даних, це офіційна Оцінка впливу на захист даних (DPIA). Це юридична вимога згідно зі статтею 35 GDPR для будь-якої обробки, «яка може призвести до високого ризику».
Оцінка впливу на захист даних (DPIA) повинна включати:
– Мета та опис збору даних
– Необхідність та пропорційність
– Ризики проведеної діяльності
– Рішення для зменшення та усунення цих ризиків
Уникнення проведення такої оцінки може призвести до значних штрафів.
| Через невиконання DPIA фінська служба таксі була оштрафована на 72 000 євро за встановлення камер у своїх транспортних засобах, оскільки моніторинг співробітників вважається обробкою даних з високим рівнем ризику. У той час як іспанське Управління з захисту даних оштрафувало мережу супермаркетів на 2,5 мільйона євро за використання розпізнавання облич, постановивши, що його DPIA було недостатнім для виправдання високого ризику для покупців. |
Крок 2: Будьте прозорими
Статті 12 та 13 GDPR вимагають надання інформації у стислій, прозорій та легкодоступній формі. Усі суб’єкти даних повинні бути чітко проінформовані про те, що ведеться відеоспостереження. Європейська рада з захисту даних (ЄДПБ) встановила для цього дуже специфічний стандарт «багаторівневого підходу».
Перший рівень – Зрозумілість наявності спостереження з першого погляду
Під час розміщення попереджувального знаку слід враховувати зміст інформації, яку він містить, та його розташування. Попереджувальний знак має бути розташований приблизно на рівні очей перед зоною спостереження та відображати найважливішу інформацію, таку як цілі обробки, особа контролера та існування прав суб’єкта даних, а також інформацію про найбільший вплив обробки, щоб забезпечити чітке уявлення про заплановану обробку. Крім того, знак повинен містити будь-яку інформацію, яка може бути неочікуваною для суб’єктів даних, таку як передача даних третім сторонам, особливо якщо вони знаходяться за межами ЄС, та термін зберігання.
Другий рівень – повне повідомлення про конфіденційність
Повний інформаційний лист (вимагається ст. 13(1)–(2) GDPR) також повинен бути доступний у легкодоступному місці та має бути посиланням на перший рівень. Повинна бути можливість отримати доступ до цієї інформації перед входом до зони спостереження через нецифрове джерело (наприклад, номер телефону) та, можливо, цифрове, наприклад, QR-код.
( Керівні принципи 3/2019 щодо обробки персональних даних за допомогою відеопристроїв, версія 2.0, прийняті 29 січня 2020 року)
Крок 3: Збирайте лише необхідні дані
Одним з головних принципів GDPR є принцип мінімізації даних. Ви повинні збирати лише ту інформацію, яка суворо відповідає вашій меті. Це впливає на ваш вибір положення камери, кутів та налаштувань системи, щоб уникнути захоплення непотрібної інформації. Ігнорування цього призводить до значних штрафів.
| Нещодавнє рішення Бельгійського органу захисту даних (DPA) є суворим попередженням , оскільки власника студентського будинку оштрафували на 9700 євро за численні порушення GDPR, пов’язані з його системою відеоспостереження. Центральною частиною рішення було пряме порушення принципу мінімізації даних. Розслідування виявило, що камери, встановлені для моніторингу власності, також знімали дорогу загального користування та частини власності сусіда, включаючи їхній сад та вхідні двері.DPA постановило, що це було явним порушенням, і що орендодавець не мав законної мети для зйомки зображень громадських місць або приватного будинку сусіда, а також не вжив жодних технічних заходів, таких як налаштування поля зору камери, для обмеження цієї надмірної обробки. |
Важливе зауваження: Вимкніть аудіо. Керівництво EDPB чітко вказує на те, що аудіозапис слід вимкнути за замовчуванням, оскільки це дуже нав’язливий захід, який рідко можна виправдати.
Крок 4: Визначте строк зберігання записів
Записи з камер відеоспостереження не можна зберігати вічно. Принцип «Обмеження зберігання» у статті 5(1)(e) GDPR вимагає, щоб дані зберігалися «не довше, ніж необхідно». Головне завдання полягає у визначенні розумного терміну зберігання та його документуванні. Чим довший встановлений термін зберігання, тим більше аргументів щодо законності мети та необхідності зберігання потрібно надати.
GDPR не визначає точну кількість днів для «необхідного» періоду; це повністю залежить від визначеної мети. Ви повинні мати змогу обґрунтувати свій період зберігання, виходячи з ваших конкретних операційних потреб. Як загальне правило, для більшості підприємств період зберігання від 24 до 72 годин вважається достатнім, оскільки він дозволяє досягти основної мети виявлення та перевірки можливих інцидентів.
Крок 5: Забезпечення цілісності, конфіденційності та права доступу
На заключному етапі дотримання GDPR для систем відеоспостереження необхідно дотримуватися двох фундаментальних принципів, а саме: безпеки обробки та прав суб’єктів даних.
Стаття 32(1) GDPR зобов’язує впроваджувати «відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає ризику». Головна мета — захистити персональні дані, зібрані за допомогою системи відеоспостереження, від несанкціонованого доступу, розголошення або втрати. Орієнтир для доступних та ефективних заходів встановлюється «сучасним стандартом», який тлумачить Агентство Європейського Союзу з кібербезпеки.
GDPR надає фізичним особам право доступу. Ви повинні мати процедури для ефективної та правильної обробки цих запитів. Згідно зі статтею 15 GDPR, фізичні особи мають право отримати підтвердження того, чи обробляються їхні персональні дані, і, якщо це так, доступ до цих даних. Додатковою вимогою, яку слід враховувати, є тривалість відповіді, оскільки ненадання відповіді на запит суб’єкта даних у встановлені терміни (протягом одного місяця з моменту отримання запиту) може легко призвести до штрафу.
| Як у випадку з румунською компанією, яку оштрафували на 15 000 євро за порушення статті 15 GDPR (Право доступу) у поєднанні зі статтею 12(3) (Ненадання відповіді на запити суб’єкта даних у встановлені терміни) та 12(4) GDPR (Ненадання інформації про дії, вжиті у відповідь на запити суб’єкта даних).Також уточнюється, що отримана інформація має бути «копією», яка «не повинна негативно впливати на права та свободи інших осіб». Позиція Європейської ради з захисту даних полягає в тому, що перед тим, як розкрити відеозапис суб’єкту даних, контролер повинен відредагувати (наприклад, розмити або замаскувати) персональні дані будь-яких інших осіб. |
Висновок
Використання відеоспостереження є законним, але умовним. Воно має бути необхідним, пропорційним, прозорим та безпечним. GDPR встановлює чітку межу між законним використанням відеоспостереження для безпеки та порушенням права на приватність. Забезпечення відповідності вашої системи відеоспостереження GDPR слід розглядати як необхідний бізнес-актив, який або активно накопичує ризик, або створює довіру. Впроваджуючи ці 5-етапні практики у свою звичайну операційну діяльність, ви гарантуєте, що ваше зобов’язання щодо безпеки та конфіденційності захищає ваш бізнес, а не наражає його на ризик.
