CCTV a GDPR #
Všeobecné nariadenie o ochrane údajov je už za rohom. Nové predpisy výrazne zmenia spôsob, akým organizácie spravujú prístup k údajom a manipulácii s kamerovými záznamami. Pre podniky všetkých veľkostí je dôležité, aby pochopili regulačné požiadavky a vedeli, aké kroky je potrebné pripraviť. Nariadenie GDPR nadobudne platnosť 25. mája 2018. Pokuty, ktorým čelia podniky za nedodržanie predpisov, sú až do výšky 20 miliónov EUR alebo 4% celosvetového ročného obratu spoločnosti. Predpisy sa vzťahujú na všetky spoločnosti na celom svete, ktoré spracovávajú osobné údaje občanov Európskej únie.
Firmy si musia byť vedomé toho, aký vplyv budú mať na ne nové pravidlá GDPR, a to zahŕňa aj zmenu podmienok používania kamerových systémov.
Dodržiavanie predpisov o CCTV a 6 krokov, ktoré vám pomôžu dodržiavať pravidlá GDPR #
Doteraz každý kto inštaloval kamerový systém v skutočnosti nepremýšľal o dôsledkoch svojho konania. Akonáhle využívate rozpoznateľné obrazy z vášho CCTV systému, potom spravujete “osobné údaje”. Takže skutočnosťou je, že teraz pracujete ako riadiaci pracovník a s tým prichádza zodpovednosť. Prevádzkovateľ musí byť schopný zdôvodniť získanie a používanie osobných údajov prostredníctvom systému CCTV.
1) Odôvodniť #
Je váš kamerový systém oprávnený? #
Ak inštalujete kamery ako perimetrickú ochranu vášho objektu, aby ste odhalili narušiteľov, mali by ste ich použitie odôvodniť jednoducho. V prípade ak používate kamery na monitorovanie zamestnancov, potom oprávnenie nie je až tak jednoduché. Považuje sa to za narušenie súkromia. Je potrebné dokázať napr. z minulosti, že kamery sú používané z dôvodov ochrany zdravia a bezpečnosti zamestnancov. V takomto prípade to môže byť prijateľné.
Aké snímky môžu byť zachytené a prečo? #
Pri snímaní priestoru považovaného za súkromie je potrebné ospravedlniť potrebu týchto záberov. Napríklad v oddychových priestoroch alebo verejných priestoroch, ak sa vyskytla zjavná úroveň bezpečnostných incidentov. Je nutné preukázať, že tieto kamery sú opodstatnené.
Je nutné vykonať analýzu rizík s uvedením každej kamery a snímanej oblasti pre konkrétnu kameru.
2) Informovať #
Musíte informovať ľudí o prítomnosti CCTV? #
Účel zozbieraných údajov by mal byť jasný. Je to obzvlášť dôležité, ak účel nie je zrejmý. Ak napr. ide o monitorovanie zamestnancov pre ochranu zdravia a bezpečnosti, je potrebné to zdôrazniť osobám zachyteným kamerami.
Zákonnosť spracovávania osobných údajov je bežne ošetrená udelením súhlasu s ich spracovávaním. Avšak tento titul by sa ťažko dodržiaval pri spracovaní údajov kamerovými systémami. Preto môže spracovanie prebiehať bez súhlasu, ak je to potrebné na oprávnené účely prevádzkovateľa alebo tretej strany. Je ale potrebné predovšetkým zrozumiteľne informovať dotknuté osoby o spracovávaní takýchto údajov.
V tomto prípade je dôležité, aby informácie o monitorovanom objekte (značka zvýrazňujúca používanie CCTV a kontaktné číslo) boli uvedené na viditeľných miestach, t.j. pri všetkých vstupoch/vjazdoch a následne pre prehľadnosť na nástenke. Pre názornosť je možné doplniť písomné informácie jednoduchými a názornými obrázkami. Rovnako tak môže správca informovať subjekty elektronickou formou.
3) Uchovať #
Dôvody uchovávania záznamov #
Vo všeobecnosti (v SR) platí 15 dňové uchovávanie záznamov. Ak máte pocit, že musíte vaše záznamy CCTV uchovávať dlhšie, vaše hodnotenie rizika by malo uvádzať, ako dlho a prečo. Moderný kamerový systém CCTV vám umožňuje nastaviť konkrétne obmedzenia pre každú kameru
4) Povoliť #
Žiadosti o prístup k osobným údajom #
GDPR uvádza: „Každá osoba, ktorej obraz je zaznamenaný na kamerovom systéme, má právo požadovať a mať k dispozícii kópiu vlastných osobných údajov zo záznamu.“
Takže každý, kto je zachytený vašimi CCTV kamerami, má právo požadovať túto nahrávku, považuje sa to za osobné údaje. Musia postupovať podľa stanoveného postupu, ale majú na to právo. Ak sú v záznamoch viditeľné nejaké iné osoby, je potrebné upraviť záznam, t.j. rozostrenie tvárí iných osôb.
5) Asistovať #
Poskytnutie CCTV záznamu #
Polícia môže od vás požiadať videozáznam a môžete im ho poskytnúť, ale vždy sa uistite, že je priložená písomná žiadosť na hlavičkovom papieri. Polícii často stačí len prezrieť videozáznamy v priestoroch Vášho dátového centra, táto akcia nevzbudzuje obavy o ochranu údajov.
6) Zabezpečiť #
Zodpovednosť súkromných bezpečnostných spoločností #
Súkromné bezpečnostné spoločnosti (SBS) pôsobia ako spracovatelia údajov v rámci GDPR.
„Klienti SBS by mali mať uzavretú zmluvu, ktorá podrobne opisuje, čo môže táto spoločnosť s údajmi robiť, aké bezpečnostné normy by mali byť zavedené a aké postupy overovania by sa mali uplatňovať.“
Zabezpečte, aby subdodávatelia pracujúci vo vašom mene, napr. SBS alebo integrátori kamerových systémov, postupovali podľa tohto postupu. Buďte na pozore pri porušovaní pravidiel, ak tretia strana môže distribuovať alebo odstraňovať osobné údaje vo forme obrazových záznamov CCTV bez toho, aby dodržiavali vyššie uvedené postupy.
Skutočný poskytovateľ bezpečnostných služieb bude automaticky dodržiavať všetky predpisy GDPR. Požiadajte poskytovateľa systému o svoje pravidlá v súvislosti s GDPR.
Záver #
Berúc do úvahy uvedené skutočnosti, mnohé spoločnosti potrebujú audit svojich bezpečnostných opatrení a zabezpečiť, aby nedošlo k porušeniu predpisov. Nie je prijateľné “nepochopenie” alebo “nevedomosť” zákonov súvisiacich s kamerovými systémami.
Zatiaľ čo je rýchlejšie, lacnejšie a jednoduchšie zakúpiť a inštalovať svoj vlastný kamerový CCTV systém, bez vstupu profesionálnych poskytovateľov bezpečnostných systémov sa môže stať, že budete trestne stíhaní alebo dostanete vysokú pokutu.
V takomto prípade sa odporúča uzatvoriť “Zmluvu na poskytovanie technickej služby” s vašim správcom príp. dodávateľom kamerového systému. Takýto dokument vám zároveň môže poslúžiť aj v prípade auditu alebo poistnej udalosti.
Rekapitulácia #
GDPR sa dotkne rozsahu poskytovaných informácií. Bude potrebné uvádzať kontakt na prevádzkovateľa systému, účely spracovania, kategórie dotknutých osobných údajov a ich príjemcu. Ak to bude nevyhnutné pre transparentnosť využívania spracovaných údajov, mala by byť uvedená doba uloženia osobných údajov, oprávnené záujmy správcu alebo tretej strany. Dôležité je, aby bol prevádzkovateľ schopný reagovať na tieto otázky v primeranej lehote po získaní osobných údajov. Rovnako ako dnes ponesie zodpovednosť prevádzkovateľ, ktorý rozhodol o prevádzkovaní kamerového systému. Vždy bude musieť zaviesť primerané technické a organizačné opatrenia, aby mohol doložiť súlad s GDPR. Dôležité je, aby boli spracovávané dáta nevyhnutné pre daný účel. Týka sa to predovšetkým množstva zhromažďovaných osobných údajov, rozsahu spracovania, doby uloženia a v neposlednom rade ich dostupnosti.
Povinnosťou prevádzkovateľa bude vedenie záznamov o činnostiach spracovania údajov. Nemali by chýbať meno a kontaktné údaje prevádzkovateľa, účely spracovania údajov, opis kategórie údajov, príjemcu, ktorým sú údaje sprístupnené, lehoty na vymazanie, ale aj technické a organizačné bezpečnostné opatrenia. Záznamy musia byť vyhotovované písomne a prevádzkovateľ bude povinný ich na požiadanie poskytnúť dozornému úradu.
Novou povinnosťou bude od mája 2018 tiež ohlásenie porušenia zabezpečenia či úniku dát dozornému úradu do 72 hodín od zistenia nedostatkov.
Tím CANEX je pripravený v súvislosti s požiadavkami nového GDPR a pomôže všetkým klientom dodržiavať tieto predpisy. Ak máte pochybnosti o vašom CCTV systéme a chcete diskutovať o tom, ako vám CANEX pomôže splniť vaše požiadavky podľa legislatívy GDPR, kontaktujte nás.