GDPR и системите за видеонаблюдение: Правно съответствие в България.
Въведение
С въвеждането на Общия регламент за защита на данните (GDPR) през 2018 г., правилата за събиране и обработка на лични данни станаха значително по-строги. Това се отрази и върху системите за видеонаблюдение, които често събират и съхраняват лични данни под формата на видеозаписи. В тази статия ще разгледаме какво е необходимо за правно съответствие на системите за видеонаблюдение с изискванията на GDPR в България.
Какво представляват личните данни при системите за видеонаблюдение?
Видеозаписите, които съдържат изображения на лица, се считат за лични данни според GDPR. Това означава, че операторите на системи за видеонаблюдение трябва да следват определени правила при събирането, съхраняването и използването на тези данни.
Основни изисквания на GDPR при системите за видеонаблюдение.
- Информираност: Лицата трябва да бъдат информирани, че се извършва видеонаблюдение и записите от него се съхраняват. Това се осъществява чрез поставяне на ясно видими табели с информация за оператора на системата.
- Цел на обработката: Личните данни трябва да бъдат събирани само за конкретни и легитимни цели, като осигуряване на сигурността на имуществото или контрола на достъпа.
- Минимализъм на данните: Събираните данни трябва да бъдат сведени до минимум – само тези, които са необходими за постигане на целта.
- Срок на съхранение: Личните данни не трябва да се съхраняват по-дълго от необходимото. Обикновено видеозаписите се съхраняват за период от 30 дни, освен ако няма основателна причина за по-дълго съхранение.
- Достъп и сигурност: Достъп до видеозаписите трябва да имат само оторизирани лица, а данните трябва да бъдат защитени срещу неоторизиран достъп или злоупотреба.
Как да се осигури съответствие с GDPR?
За да осигурите съответствие с GDPR при използване на видеонаблюдение, е необходимо да се вземат следните мерки:
- Правна обосновка: Уверете се, че имате легитимна причина за използването на видеонаблюдение, например защита на собственост или контрол на достъпа.
- Документиране на процесите: Водете документация за това как и защо събирате и съхранявате видеозаписи. Това може да включва политика за видеонаблюдение, оценки на въздействието върху личните данни и други съответни документи.
- Оценка на въздействието върху данните: Ако видеонаблюдението може да има значително въздействие върху личния живот на хората, е необходимо да се извърши оценка на въздействието върху защитата на данните (DPIA).
- Информиране на лицата: Поставете ясни и видими табели, които информират хората, че зоната е под видеонаблюдение, както и кой е операторът на системата.
- Управление на достъпа: Ограничете достъпа до видеозаписите само за оторизирани лица и използвайте мерки за сигурност, за да предотвратите неоторизиран достъп.
Защо фирмата, която оперира с дадена система за видеонаблюдение, трябва да е регистриран оператор на лични данни?
Системите за видеонаблюдение събират и обработват лични данни, като например изображения на лица. Това означава, че компанията, която инсталира и управлява такава система, автоматично става оператор на лични данни.
Регистрацията като оператор на лични данни е задължителна по няколко причини:
- Отговорност: Регистрацията показва, че компанията поема отговорност за защитата на личните данни, които обработва.
- Прозрачност: Регистърът на операторите на лични данни позволява на субектите на данните (т.е. хората, чиито данни се обработват) да проверят кои организации обработват техните лични данни.
- Контрол: Комисията за защита на личните данни (КЗЛД) може да извършва проверки на регистрираните оператори, за да се увери, че те спазват изискванията на GDPR.
Какво е оператор на лични данни?
За да разберем по-добре ролята на оператора на лични данни в контекста на системите за видеонаблюдение, нека първо уточним какво точно представлява този термин. Според GDPR, оператор на лични данни е физическо или юридическо лице, което самостоятелно или съвместно с други определя целите и средствата за обработване на лични данни.
С други думи, операторът е този, който:
- Решава защо се събират и обработват лични данни (например, за сигурност, контрол на достъпа).
- Определя как ще се обработват тези данни (например, какви данни ще се събират, за колко време ще се съхраняват и кой ще има достъп до тях).
Какви са задълженията на оператора на лични данни при видеонаблюдение?
- Информиране: Операторът трябва да информира субектите на данните за това, че се извършва видеонаблюдение, за целите му, за категориите на обработваните данни и за техните права.
- Ограничаване на целите: Обработката на лични данни трябва да бъде ограничена до конкретни, изрично определени и легитимни цели.
- Минимизиране на данните: Операторът трябва да събира и обработва само необходимите лични данни.
- Точност: Личните данни трябва да бъдат точни и актуални.
- Ограничаване на съхранението: Личните данни трябва да се съхраняват само за периода, необходим за постигане на целите на обработката.
- Интегритет и конфиденциалност: Операторът трябва да вземе подходящи технически и организационни мерки за защита на личните данни от неправомерна обработка.
- Права на субектите на данните: Операторът трябва да гарантира, че субектите на данните могат да упражняват своите права, като правото на достъп, правото на коригиране, правото на изтриване и др.
Защо е важно да се спазват тези задължения?
Неспазването на GDPR може да доведе до сериозни последици за оператора, включително:
- Глоби: КЗЛД може да наложи значителни глоби на организации, които нарушават GDPR.
- Репутационни щети: Нарушаването на поверителността на личните данни може да навреди на репутацията на организацията.
- Юридически спорове: Пострадалите лица могат да предявят искове за обезщетение.
Заключение
Спазването на изискванията на GDPR при видеонаблюдение е от съществено значение за защита на личните данни и правата на лицата. Важно е да се предприемат необходимите мерки за правно съответствие и да се гарантира, че данните се обработват по отговорен и сигурен начин.