Европейские рекомендации по privacy при использовании систем видеонаблюдения

Европейские рекомендации по privacy при использовании систем видеонаблюдения
В начале июля EDPB опубликовал очередные разъяснения по защите ПДн в конетксте GDPR, на этот раз подробно разобрали все возможные варианты записи видео. Сам документ "Guidelines 3/2019 on processing of personal data through video devices" (29 страниц) можете скачать тут -  https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_en
Кратко расскажу основные положения:
  • Видеокамеры могут использоваться в разных целях, причем не только для контроля безопасности. К "неожиданным" для субъектов ПДн целям относятся "маркетинг", "мониторинг производительности труда" и тд.
  • Существуют риски "вторичного" использования видеозаписей (это когда данные собранные для одной цели в дальнейшем используются и для других).
  • Технология видеозаписи может сочетаться с другими технологиями ("смарт-тв", биометрия и пр.), что может также нести дополнительные риски для субъектов ПДн.
  • Всеобщая распространенность систем видеонаблюдения существенно изменяет поведение людей и ведет к снижению приватности. Стоит отказываться от видеонаблюдения если есть другие способы достижения цели.
"Video surveillance is not by default a necessity when there are other means to achieve the underlying purpose. Otherwise we risk a change in cultural norms leading to the acceptance of lack of privacy as the general outset."
  • В документе приводятся примеры исключения отдельных процессов из под действия GDPR, например, использование камер на автомобилях, используемых для помощи при парковке, или использование муляжей камер для целей безопасности.
  • В документе даются примеры и комментарии по использованию видео в личных целях: запись на мобильные телефоны своих выходных, экшен-камеры, мониторинг своей персональной территории.
  • Неоднократно упоминается про баланс интересов субъектов ПДн и прав контролера/оператора. Даже если есть условно важные цели (например, контроль санитарных норм), то все равно не стоит устанавливать видеокамеры в местах, где их не ожидают (туалеты, душевые, сауны и пр.). Наличие предупреждающих знаков в этих случая не работает...
  • Кстати, для установления камер даже просто для контроля работы сотрудников тоже требуются сильные основания, в большинстве случаев работодатель не в праве это делать...
  • Вообще с точки зрения легального основания для обработки рекомендую использовать "легитимный интерес" и "общественные интересы" (Article 6 (1) (f) (legitimate interest); Article 6 (1) (e) (necessity to perform a task carried out in the public interest or in the exercise of official authority)). В некоторых случаях основанием может быть "требование локального законодательства". А вот согласие (consent), не рекомендуется использовать, а если уж стали, то оно должно соответствовать нормам GDPR (втч должна быть возможность его отозвать).
  • Кстати, опять напоминают, что работник компании находится в зависимом положении от своей компании, поэтому его согласие не стоит рассматривать как данное по своей воле и без принуждения...
  • Цели мониторинга должны быть определены и документированы для каждой камеры. 
  • Субъекты ПДн должны быть проинформированы о мониторинге и его целях. При этом цели «для безопасности» и «для вашей безопасности» считаются не достаточно конкретными.
  • При обработке (сборе и хранении) стоит придерживаться принципа «минимизация данных» (сокращение области наблюдения и срока хранения).
  • Иногда видеозаписи могут относиться к специальным категориям ПДн (например, при мониторинге состояния здоровья, записи выступлений, содержащих политические взгляды).
  • Рекомендуют делать двухуровневые уведомления о мониторинге:
    • 1. Таблички до зоны мониторинга с указанием основной информации и ссылкой на дополнительные положения. Вот, например, такого вида:
    • 2. Расширенные политики, в которых присутствует вся необходимая по GDPR информация.
  • Видеозаписи, для большинства случаев, рекомендуется хранить не более нескольких дней. Если срок хранения более 72 часов, то для этого должно быть сильное правовое основание.
  • При оценке DPIA стоит ориентироваться на следующие моменты: 
    • Who is responsible for management and operation of the video surveillance system • Purpose and scope of the video surveillance project
    • Appropriate and prohibited use (where and when video surveillance is allowed and where and when it is not; e.g. use of hidden cameras and audio in addition to video recording)
    • Transparency measures as referred to in section 7 (Transparency and information obligations) 
    • How video is recorded and for what duration, including archival storage of video recordings related to security incidents
    • Who must undergo relevant training and when 
    • Who has access to video recordings and for what purposes
    • Operational procedures (e.g. by whom and from where video surveillance is monitored, what to do in case of a data breach incident) 
    • What procedures external parties need to follow in order to request video recordings, and procedures for denying or granting such requests 
    • Procedures for VSS procurement, installation and maintenance
    • Incident management and recovery procedures
Alt text

Andrey Prozorov

Информационная безопасность в России и мире