Европейские рекомендации по privacy при использовании систем видеонаблюдения
|
15 августа 2019 |
|
Кратко расскажу основные положения:
- Видеокамеры могут использоваться в
разных целях, причем не только для контроля безопасности. К
"неожиданным" для субъектов ПДн целям относятся "маркетинг", "мониторинг
производительности труда" и тд.
- Существуют риски "вторичного"
использования видеозаписей (это когда данные собранные для одной цели в
дальнейшем используются и для других).
- Технология видеозаписи может сочетаться
с другими технологиями ("смарт-тв", биометрия и пр.), что может также
нести дополнительные риски для субъектов ПДн.
- Всеобщая распространенность систем
видеонаблюдения существенно изменяет поведение людей и ведет к снижению
приватности. Стоит отказываться от видеонаблюдения если есть другие
способы достижения цели.
"Video
surveillance is not by default a necessity when there are other means to
achieve the underlying purpose. Otherwise we risk a change in cultural norms
leading to the acceptance of lack of privacy as the general outset."
- В документе приводятся примеры
исключения отдельных процессов из под действия GDPR, например,
использование камер на автомобилях, используемых для помощи при
парковке, или использование муляжей камер для целей безопасности.
- В документе даются примеры и
комментарии по использованию видео в личных целях: запись на мобильные
телефоны своих выходных, экшен-камеры, мониторинг своей персональной
территории.
- Неоднократно упоминается про баланс
интересов субъектов ПДн и прав контролера/оператора. Даже если есть
условно важные цели (например, контроль санитарных норм), то все равно
не стоит устанавливать видеокамеры в местах, где их не ожидают (туалеты,
душевые, сауны и пр.). Наличие предупреждающих знаков в этих случая не
работает...
- Кстати, для установления камер даже
просто для контроля работы сотрудников тоже требуются сильные основания,
в большинстве случаев работодатель не в праве это делать...
- Вообще с точки зрения легального
основания для обработки рекомендую использовать "легитимный интерес" и
"общественные интересы" (Article 6 (1) (f) (legitimate interest);
Article 6 (1) (e) (necessity to perform a task carried out in the public
interest or in the exercise of official authority)). В некоторых
случаях основанием может быть "требование локального законодательства". А
вот согласие (consent), не рекомендуется использовать, а если уж стали,
то оно должно соответствовать нормам GDPR (втч должна быть возможность
его отозвать).
- Кстати, опять напоминают, что работник
компании находится в зависимом положении от своей компании, поэтому его
согласие не стоит рассматривать как данное по своей воле и без
принуждения...
- Цели мониторинга должны быть определены и документированы для каждой камеры.
- Субъекты ПДн должны быть
проинформированы о мониторинге и его целях. При этом цели «для
безопасности» и «для вашей безопасности» считаются не достаточно
конкретными.
- При обработке (сборе и хранении) стоит
придерживаться принципа «минимизация данных» (сокращение области
наблюдения и срока хранения).
- Иногда видеозаписи могут относиться к
специальным категориям ПДн (например, при мониторинге состояния
здоровья, записи выступлений, содержащих политические взгляды).
- Рекомендуют делать двухуровневые уведомления о мониторинге:
- 1. Таблички до зоны мониторинга с указанием основной информации и ссылкой на дополнительные положения. Вот, например, такого вида:
-
- 2. Расширенные политики, в которых присутствует вся необходимая по GDPR информация.
- Видеозаписи, для большинства случаев,
рекомендуется хранить не более нескольких дней. Если срок хранения более
72 часов, то для этого должно быть сильное правовое основание.
- При оценке DPIA стоит ориентироваться на следующие моменты:
- Who is responsible for management and
operation of the video surveillance system • Purpose and scope of the
video surveillance project
- Appropriate and prohibited use (where
and when video surveillance is allowed and where and when it is not;
e.g. use of hidden cameras and audio in addition to video recording)
- Transparency measures as referred to in section 7 (Transparency and information obligations)
- How video is recorded and for what duration, including archival storage of video recordings related to security incidents
- Who must undergo relevant training and when
- Who has access to video recordings and for what purposes
- Operational procedures (e.g. by whom
and from where video surveillance is monitored, what to do in case of a
data breach incident)
- What procedures external parties need
to follow in order to request video recordings, and procedures for
denying or granting such requests
- Procedures for VSS procurement, installation and maintenance
- Incident management and recovery procedures
Источник:
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.