Rambler's Top100
Реклама
 
Блоги Андрей ПРОЗОРОВ

Европейские рекомендации по privacy при использовании систем видеонаблюдения

  15 августа 2019 Страница персоны
В начале июля EDPB опубликовал очередные разъяснения по защите ПДн в контексте GDPR, на этот раз подробно разобрали все возможные варианты записи видео. Сам документ "Guidelines 3/2019 on processing of personal data through video devices" (29 страниц) можете скачать тут - https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_en
Кратко расскажу основные положения:
  • Видеокамеры могут использоваться в разных целях, причем не только для контроля безопасности. К "неожиданным" для субъектов ПДн целям относятся "маркетинг", "мониторинг производительности труда" и тд.
  • Существуют риски "вторичного" использования видеозаписей (это когда данные собранные для одной цели в дальнейшем используются и для других).
  • Технология видеозаписи может сочетаться с другими технологиями ("смарт-тв", биометрия и пр.), что может также нести дополнительные риски для субъектов ПДн.
  • Всеобщая распространенность систем видеонаблюдения существенно изменяет поведение людей и ведет к снижению приватности. Стоит отказываться от видеонаблюдения если есть другие способы достижения цели.
"Video surveillance is not by default a necessity when there are other means to achieve the underlying purpose. Otherwise we risk a change in cultural norms leading to the acceptance of lack of privacy as the general outset."
  • В документе приводятся примеры исключения отдельных процессов из под действия GDPR, например, использование камер на автомобилях, используемых для помощи при парковке, или использование муляжей камер для целей безопасности.
  • В документе даются примеры и комментарии по использованию видео в личных целях: запись на мобильные телефоны своих выходных, экшен-камеры, мониторинг своей персональной территории.
  • Неоднократно упоминается про баланс интересов субъектов ПДн и прав контролера/оператора. Даже если есть условно важные цели (например, контроль санитарных норм), то все равно не стоит устанавливать видеокамеры в местах, где их не ожидают (туалеты, душевые, сауны и пр.). Наличие предупреждающих знаков в этих случая не работает...
  • Кстати, для установления камер даже просто для контроля работы сотрудников тоже требуются сильные основания, в большинстве случаев работодатель не в праве это делать...
  • Вообще с точки зрения легального основания для обработки рекомендую использовать "легитимный интерес" и "общественные интересы" (Article 6 (1) (f) (legitimate interest); Article 6 (1) (e) (necessity to perform a task carried out in the public interest or in the exercise of official authority)). В некоторых случаях основанием может быть "требование локального законодательства". А вот согласие (consent), не рекомендуется использовать, а если уж стали, то оно должно соответствовать нормам GDPR (втч должна быть возможность его отозвать).
  • Кстати, опять напоминают, что работник компании находится в зависимом положении от своей компании, поэтому его согласие не стоит рассматривать как данное по своей воле и без принуждения...
  • Цели мониторинга должны быть определены и документированы для каждой камеры. 
  • Субъекты ПДн должны быть проинформированы о мониторинге и его целях. При этом цели «для безопасности» и «для вашей безопасности» считаются не достаточно конкретными.
  • При обработке (сборе и хранении) стоит придерживаться принципа «минимизация данных» (сокращение области наблюдения и срока хранения).
  • Иногда видеозаписи могут относиться к специальным категориям ПДн (например, при мониторинге состояния здоровья, записи выступлений, содержащих политические взгляды).
  • Рекомендуют делать двухуровневые уведомления о мониторинге:
    • 1. Таблички до зоны мониторинга с указанием основной информации и ссылкой на дополнительные положения. Вот, например, такого вида:
  •  
    • 2. Расширенные политики, в которых присутствует вся необходимая по GDPR информация.
  • Видеозаписи, для большинства случаев, рекомендуется хранить не более нескольких дней. Если срок хранения более 72 часов, то для этого должно быть сильное правовое основание.
  • При оценке DPIA стоит ориентироваться на следующие моменты: 
    • Who is responsible for management and operation of the video surveillance system • Purpose and scope of the video surveillance project
    • Appropriate and prohibited use (where and when video surveillance is allowed and where and when it is not; e.g. use of hidden cameras and audio in addition to video recording)
    • Transparency measures as referred to in section 7 (Transparency and information obligations) 
    • How video is recorded and for what duration, including archival storage of video recordings related to security incidents
    • Who must undergo relevant training and when 
    • Who has access to video recordings and for what purposes
    • Operational procedures (e.g. by whom and from where video surveillance is monitored, what to do in case of a data breach incident) 
    • What procedures external parties need to follow in order to request video recordings, and procedures for denying or granting such requests 
    • Procedures for VSS procurement, installation and maintenance
    • Incident management and recovery procedures
Источник:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен