Перейти до основного вмісту

GDPR ТА ВІДЕОНАГЛЯД

Іноді виникають питання стосовно того, чи повинні застосовуватися вимоги GDPR до систем відеонагляду (Closed Circuit Television / CCTV), наприклад в таких місцях як банки, магазини, офіси або в інших будь-яких публічних місцях. В цьому випадку, найперше питання, яке потрібно з’ясувати, стосується того чи потрібно взагалі вважати матеріали, які збирають через камери, персональними даними.

Чи є відеозапис персональними даними?

В контексті GDPR, персональними даними є будь-яка інформація, яка стосується ідентифікованої особи або особи, яка може бути ідентифікована. Отже, беручи до уваги, що камера відеонагляду має здатність фіксувати зовнішній вигляд людини, включаючи вигляд її обличчя, варто зробити висновок, що дані, які збираються такою камерою є персональними, адже є можливість ідентифікувати особу, у разі виникнення необхідності. Саме тому компанія, яка використовує такі відеозаписи з камер відеонагляду, повинна здійснювати обробку відеозаписів, визнаючи їх персональними даними, при цьому, де це необхідно, повинні застосовуватися положення GDPR.

Окрім цього, в кожній країні-члені ЄС існують свої власні внутрішні нормативні акти та документи, які додатково регулюють відносини у сфері використання CCTV. Так, наприклад, у Великій Британії в 2013 році був розроблений Surveillance Camera Code of Practice, що регламентує ефективне використання систем відеонагляду в цій державі.

Як почати використовувати CCTV законно?

1. Розпочинаючи використання системи відеонагляду, перш за все, необхідно зрозуміти та визначити цілі встановлення такої системи, а також цілі використання персональних даних, які будуть збиратися через систему відеонагляду. Це можуть, зокрема, можуть бути цілі, пов’язані із забезпеченням безпеки, а також попередженням та розслідуванням злочинів.

Наприклад, компанія не може використовувати зображення людей для цілей маркетингового аналізу чи моніторингу поведінки, якщо раніше була визначена ціль, пов’язана із забезпеченням безпеки.

2. Потрібно гарантувати, що системи відеонагляду не встановлені в місцях, які фізична особа по замовчуванню вважає приватними. Мова йде, наприклад, про роздягальні або вбиральні. В цих випадках буде порушуватися право не лише на захист персональних даних а й на повагу до фундаментальних прав та свобод людини, що може потягнути за собою накладення значних штрафів на компанії, а посадових осіб компанії – до кримінальної відповідальності.

3. Враховуючи той факт, що в рамках зібраних відеозаписів містяться матеріали, які є персональними даними, повинні також дотримуватися основні принципи обробки персональних даних, які визначені GDPR. Зокрема, повинен бути забезпечений принцип «пропорційності», який полягає в тому, що компанія не може збирати більше персональних даних, ніж це необхідно для встановлених компанією цілей. 

Наприклад, якщо компанія хоче встановити камери зовнішнього відеоспостереження біля свого магазину, з ціллю безпеки, необхідно встановлювати відеокамери таким чином, щоб вони фіксували тільки тих осіб, які відвідують магазин і жодним чином не фіксували зображення інших перехожих або автомобілів, які проїжджають повз магазин.   

4. Компанія, яка встановлює систему відеонагляду, повинна також гарантувати дотримання вимог статті 13 GDPR, яка передбачає необхідність інформування суб’єктів персональних даних про здійснення відеонагляду, а також повідомлення про те, що про них можуть збиратися персональні дані. Таке повідомлення повинне бути розміщене  у вигляді оголошення, складеного доступною зрозумілою мовою та у прозорій формі.

Наприклад, об’ява про використання системи відеонагляду не повинна бути розміщена в недоступному для фізичних осіб місці, написана дуже дрібним шрифтом, а також складена мовою, яка не доступна для розуміння більшості місцевого населення.   

Додаткові заходи для можливості дотримання GDPR.

Компанія, що використовує систему відеонагляду, повинна здійснити ряд заходів в середині своє структури, для можливості більш якісного забезпечення відповідності вимогам GDPR, а також іншого законодавства ЄС у сфері захисту персональних даних.

Окрім іншого, мова може йти про наступне:

  • Розробка внутрішніх якісних документів, що регламентують законне збирання, використання, зберігання та іншу обробку персональних даних в рамках компанії, в тому числі Privacy Policy та інше;
  • Проведення оцінки впливу на захист персональних даних (DPIA), яка допоможе визначити ризики, що можуть виникнути в процесі обробки персональних даних, а також визначити шляхи та засоби їх мінімізації;
  • Забезпечення обізнаності персоналу компанії та обробників, залучених до обробки персональних даних, про необхідність обробки персональних даних у відповідності до GDPR тощо;
  • Здійснення всіх інших належних організаційних та технічних заходів щодо організації належного збору, використання, зберігання та обробки персональних даних компанією.
  • Проведення систематичного аналізу належності та необхідності використання CCTV компанією, в тому числі, в контексті захисту персональних даних.

Підсумовуючи все вищесказане, варто зазначити, що використання систем відеонагляду (Closed Circuit Television / CCTV) є доволі специфічною темою, а тому, для належного визначення необхідних заходів, які потрібно вжити компанії щоб бути GDPR compliance, варто здійснювати детальний аналіз кожного окремого випадку.

Спеціалісти компанії BSO Privacy Group допоможуть розробити та реалізувати необхідні заходи в рамках діяльності вашої компанії, з ціллю організації роботи компанії у відповідності до вимог GDPR, а також іншого законодавства ЄС у сфері захисту персональних даних.