Перейти к основному содержанию

GDPR И ВИДЕОНАБЛЮДЕНИЕ

Иногда возникают вопросы относительно того, должны ли применяться требования GDPR к системам видеонаблюдения (Closed Circuit Television / CCTV), например в таких местах как банки, магазины, офисы или в других каких-либо публичных местах. В этом случае, первый вопрос, который нужно выяснить, касается того нужно ли вообще считать материалы, которые собирают через камеры, персональными данными.

Есть ли видеозапись персональными данными?

В контексте GDPR, персональными данными является любая информация, которая касается идентифицированной лица или лица, которое может быть идентифицировано. Итак, принимая во внимание, что камера видеонаблюдения имеет способность фиксировать внешний вид человека, включая вид ее лица, следует сделать вывод, что данные, которые собираются такой камерой являются персональными, ведь есть возможность идентифицировать лицо, в случае возникновения необходимости. Именно поэтому компания, которая использует такие видеозаписи с камер видеонаблюдения, должна осуществлять обработку видеозаписей, признавая их персональными данными, при этом, где это необходимо, должны применяться положения GDPR.

Кроме этого, в каждой стране-члене ЕС существуют свои собственные внутренние нормативные акты и документы, которые дополнительно регулируют отношения в сфере использования CCTV. Так, например, в Великобритании в 2013 году был разработан Surveillance Camera Code of Practice, регламентирующего эффективное использование систем видеонаблюдения в этом государстве.

Как начать использовать CCTV законно?

1. Начиная использования системы видеонаблюдения, прежде всего, необходимо понять и определить цели установления такой системы, а также цели использования персональных данных, которые будут собираться через систему видеонаблюдения. Это могут, в частности, могут быть цели, связанные с обеспечением безопасности, а также предупреждением и расследованием преступлений.

Например, компания не может использовать изображения людей для целей маркетингового анализа или мониторинга поведения, если ранее была определена цель, связанная с обеспечением безопасности.

2. Нужно гарантировать, что системы видеонаблюдения не установлены в местах, которые физическое лицо по умолчанию считает частными. Речь идет, например, о раздевалке или гардеробной. В этих случаях будет нарушаться право не только на защиту персональных данных но и уважения к фундаментальным правам и свободам человека, может повлечь за собой наложение значительных штрафов на компании, а должностных лиц компании - к уголовной ответственности.

3. Учитывая тот факт, что в рамках собранных видеозаписей содержатся материалы, которые являются персональными данными, должны также соблюдать основные принципы обработки персональных данных, которые определены GDPR. В частности, должен быть обеспечен принцип «пропорциональности», который заключается в том, что компания не может собирать больше персональных данных, чем это необходимо для установленных компанией целей.

Например, если компания хочет установить камеры наружного видеонаблюдения возле своего магазина, с целью безопасности, необходимо устанавливать видеокамеры таким образом, чтобы они фиксировали только тех лиц, которые посещают магазин и никоим образом не фиксировали изображения других прохожих или автомобилей, которые проезжают мимо магазина.

4. Компания, которая устанавливает систему видеонаблюдения, должна также гарантировать соблюдение требований статьи 13 GDPR, которая предусматривает необходимость информирования субъектов персональных данных об осуществлении видеонаблюдения, а также сообщение о том, что о них могут собираться персональные данные. Такое сообщение должно быть размещено в виде объявления, составленного доступной понятным языком и в прозрачной форме.

Например, объявление об использовании системы видеонаблюдения не должна быть размещена в недоступном для физических лиц месте, написана очень мелким шрифтом, а также составлена ​​на языке, не доступна для понимания большинства местного населения.

Дополнительные меры по возможности соблюдения GDPR.

Компания, использующая систему видеонаблюдения, должна осуществить ряд мероприятий в середине свое структуры, для возможности более качественного обеспечения соответствия требованиям GDPR, а также иного законодательства ЕС в сфере защиты персональных данных.

Помимо прочего, речь может идти о следующем:

  • Разработка внутренних качественных документов, регламентирующих законное сбора, использования, хранения и другую обработку персональных данных в рамках компании, в том числе Privacy Policy и прочее;
  • Проведение оценки воздействия на защиту персональных данных (DPIA), которая поможет определить риски, которые могут возникнуть в процессе обработки персональных данных, а также определить пути и средства их минимизации;
  • Обеспечение осведомленности персонала компании и обработчиков, привлеченных к обработке персональных данных, о необходимости обработки персональных данных в соответствии с GDPR и тому подобное;
  • Осуществление всех других надлежащих организационных и технических мероприятий по организации надлежащего сбора, использования, хранения и обработки персональных данных компанией.

Проведение систематического анализа принадлежности и необходимости использования CCTV компанией, в том числе, в контексте защиты персональных данных.

Подытоживая все вышесказанное, стоит отметить, что использование систем видеонаблюдения (Closed Circuit Television / CCTV) довольно специфической темой, а поэтому, для надлежащего определения необходимых мер, которые необходимо принять компании чтобы быть GDPR compliance, следует осуществлять детальный анализ каждого отдельного случая.

Специалисты компании BSO Privacy Group помогут разработать и реализовать необходимые мероприятия в рамках деятельности вашей компании, с целью организации работы компании в соответствии с требованиями GDPR, а также иного законодательства ЕС в сфере защиты персональных данных.