ВІДЕЗЙОМКА В ГРОМАДСЬКИХ МІСЦЯХ: РАДА УКРАЇНСЬКОГО РЕГУЛЯТОРА
Бам!
Огляд нових рекомендацій Уповноваженого Верховної Ради України про відеоспостереження у громадських місцях. Раді, що робота українського регуляторного органу не стоїть на місці.
❓ Що можна дізнатися у рекомендаціях?
🔹 Дії, які необхідно здійснити до ухвалення рішення про встановлення систем відеоспостереження;
🔹 Дії після ухвалення рішення про встановлення систем відеоспостереження;
🔹 Дії, якщо стався витік інформації.
Рекомендації написані у дусі європейських тенденцій, як регулюється відеоспостереження.
GDPR також згадується як орієнтир, відповідно до якого ведеться гармонізація українського закону.
❗️ДІЇ «ДО»
🔻 Крок 1. Проведіть оцінку пропорційності
Чи маєте ви чітко виражену мету?
Чи допоможе відеоспостереження досягти поставленої мети?
Чи є менш інвазивні методи, ніж відеоспостереження?
Ідея такого тесту схожа на оцінку законних інтересів (LIA) за GDPR або пропорційного тесту за ст. 8 Європейської Конвенції.
🔻 Крок 2. Проведіть оцінку ризиків
У рекомендаціях вказуються як приклади ризиків (хоча й у загальному вигляді), а й пропонуються спеціальні організаційно-технічні заходи для мінімізації ризиків.
Деякі з них:
🔹 відмова від підключення камер до комп'ютерної мережі та/або Wi-Fi;
🔹 регулювання кута зйомки камер;
🔹 відмова від додаткових технологій (наприклад, розпізнавання облич) або автоматизованої обробки даних.
🔻 Крок 3. Оцініть кількість і тип необхідних камер, включаючи якість зйомки та інші параметри
🔻 Крок 4. Оцініть необхідність додаткового технічного функціоналу.
Такого як технології розпізнавання облич, дрони чи аудіофіксація. Є відчуття, що цей крок трохи накладається на перший та другий;
🔻 Крок 5. Оцініть обмежені терміни зберігання даних
🔻 Крок 6. Визначте та убезпечте місце зберігання даних
❗️ ДІЇ «ПІСЛЯ»
🔻 Крок 1. Privacy Notice
У приклад з найкращих європейських практик наводиться layered notice!
🔻 Крок 2. Розробіть внутрішні документи та політики
🔻 Крок 3. Внутрішні правила доступу до відеозйомки
🔻 Крок 4. Правила доступу третіх осіб
🔻 Крок 5. ROPA
🔻 Крок 6. Призначте DPO.
Звертаємо увагу, що в цьому пункті припущено помилку: не всі організації за 24 статтею ЗУ зобов'язані призначати DPO.
🔻 Крок 7. Забезпечте безпеку даних.
Наприклад наводяться заходи організаційного і технічного характеру, як двофакторна автентифікація, шифрування даних, обмеження доступу до моніторів з відображення зйомки, тренінги співробітників проти фішингу.
❗️ ПІСЛЯ ВИТОЧКИ ІНФОРМАЦІЇ (ПОРУШЕННЯ БЕЗПЕКИ)
🔻 Крок 1. Визначте, чи витекли персональні дані
🔻 Крок 2. Оцініть, хто отримав доступ
🔻 Крок 3. Оцініть, чиї дані вибігли, і яким чином приватність може бути порушена
🔻 Крок 4. Забезпечте негайне реагування на витік.
Рекомендують навіть у ризикованих випадках повідомити суб'єкта даних.
🏆 ВИСНОВКИ
У рекомендаціях є багато цікавих положень.
Респект команді, яка над ними працювала!
Сподіваємося, що українські оператори камер користуватимуться матеріалом.
________________
ℹ️ Джерело:
🔹 Рекомендації Уповноваженого щодо дотримання права на приватність під час встановлення та використання систем відеоспостереження в громадських місцях
Підготовлено PrivacyHUB