У той час, коли технології, у тому числі інтелектуальні камери відеоспостереження, дають компаніям збирати конфіденційну інформацію про людей, суворий нагляд за захистом особистих даних має вагоме значення. Відеозапис людини, що ідентифікується, природно, вважається частиною особистих даних людини. Таким чином, Загальний регламент захисту даних (GDPR), який набув чинності на території Європейського Союзу у травні 2018 року, зачіпає користувачів систем відеоспостереження.

Знедавна GDPR ввів деякі нові зобов'язання, такі як ведення обліку діяльності. Ведення документації вважається своєрідною заміною скасованого реєстраційного мита відповідно до скасованого Закону № 101/2000. Оскільки використання камер відеоспостереження не може розглядатися як випадкове оброблення, кожен користувач відеоспостереження повинен враховувати цей обов'язок. Як і в розділі 13 скасованого Закону № 101/2000, GDPR містить окремий розділ, присвячений безпеці даних, що стосується обов'язків адміністратора.

Люди, яких знімає відеокамера, мають право на точну інформацію щодо обробки їх даних. Відповідно до GDPR, адміністратор зобов'язаний вжити необхідних заходів для надання контрольованим особам інформації в короткій, зрозумілій та легкодоступній формі щодо обробки їх даних системою відеоспостереження, зокрема коли йдеться про дітей. Це означає, що коли людина входить до магазину (де за нею спостерігають внутрішні камери), вона має право, крім таблички з інформацією про камери, знати подробиці запису, і адміністратор повинен зробити цю інформацію доступною у письмовій формі або іншим способом у друкованому чи електронному вигляді.

Ще одне зобов'язання відповідно до GDPR — повідомлення про витік даних в Управління захисту персональних даних. Повідомлення про порушення особистих даних до органу нагляду (стаття 33) вважається новим зобов'язанням, згідно з яким адміністратор повинен повідомляти про всілякі порушення безпеки особистих даних компетентному наглядовому органу відповідно до статті 55 без невиправданої затримки; також, якщо можливо, протягом 72 годин дізнаватися про порушення, якщо малоймовірно, що порушення призведе до ризику права і свободи фізичних осіб. Цей обов'язок поширюється на власника системи безпеки та відеоспостереження, тому важливо, щоб він повною мірою враховував безпечну обробку цих записів.

Чи ускладнює GDPR моніторинг працівників? Ні, будуть застосовуватися ті самі правила, які раніше визначило Управління захисту персональних даних у висновку. Таким чином, співробітники повинні бути поінформовані про місцезнаходження комплектів відеоспостереження, але немає потреби запитувати у співробітників їхню згоду, оскільки це передбачає обробку персональних даних на основі законних інтересів роботодавця. У червні 2017 року робоча група також випустила додатковий посібник з моніторингу працівників на робочому місці відповідно до статті 29.

Що набуло чинності з GDPR:

  • Відсутність зобов'язання повідомляти Управління захисту персональних даних про встановлення камер відеоспостереження;
  • Обов'язок адміністратора надати додаткову інформацію щодо способу обробки даних за допомогою відеокамер;
  • Обов'язок адміністратора вести письмовий облік роботи відеоспостереження;
  • Обов'язок адміністратора повідомляти про витік особистої інформації (або порушення безпеки) до Управління захисту особистих даних;
  • Зобов'язання розробити оцінку впливу на захист даних (DPIA) щодо «широкого систематичного моніторингу загальнодоступних приміщень»;
  • Обов'язок призначити співробітника захисту даних (застосовується до державних організацій або працівників з обробки персональної інформації).

Читайте інші цікаві новини про системи безпеки:

Централізоване відеоспостереження розвивається із дивовижним зростанням

Компанія Optex здобула нагороду Detektor International Awards