Vaizdo stebėjimas: nauji BDAR reikalavimai organizacijoms
2019 - 09 - 26
Dar praėjusiais metais Airijoje atlikta verslo subjektų apklausa parodė, jog net 66 proc. respondentų vis dar nežinojo, jog Bendrasis duomenų apsaugos reglamentas (BDAR) turės kokią nors įtaką vaizdo stebėjimui. Tendencinga situacija vyrauja ir Lietuvoje, kur didžioji dalis organizacijų apskritai nesijaučia pasiruošusios BDAR keliamiems reikalavimams. Statistikų duomenys puikiai iliustruoja, jog įmonės vis dar skiria per mažai dėmesio vaizdo stebėjimo metu gaunamų duomenų tvarkymui, taip rizikuodamos ne tik pakenkti savo reputacijai, bet ir užsitraukti milžiniškas baudas.
Ar vykdomas vaizdo stebėjimas tikrai atitinka BDAR?
Didžioji dalis Lietuvos įmonių vis dar pasikliauja manymu, jog vaizdo stebėjimą vykdo tinkamai ir teisėtai, nes apie tai buvo pranešusios Valstybinei duomenų apsaugos inspekcijai bei užregistruotos Asmens duomenų valdytojų valstybės registre. Deja, bet nei vienos iš minėtų priemonių įgyvendinimas po 2018 m. gegužės 25 d. BDAR įsigaliojimo nebėra aktualus ar privalomas, o naudojamos vaizdo stebėjimo technologijos gali tapti rimtu pagrindinio BDAR objekto – asmens duomenų apsaugos – pažeidimo priežastimi.
Verslo subjektai, siekdami išsiaiškinti, ar jų vykdomas vaizdo stebėjimas atitinka pakitusį asmens duomenų apsaugos teisinį reglamentavimą, visų pirma, turi gebėti jį pagrįsti. Kitaip tariant, vaizdo stebėjimas gali būti vykdomas tik egzistuojant bent vienam iš BDAR įtvirtintų asmens duomenų teisėto tvarkymo pagrindui bei kai kiti būdai ar priemonės yra nepakankamos ir (arba) netinkamos siekiant teisėtų tokių duomenų tvarkymo tikslų. Bene dažniausias įmonių pasirenkamas pagrindas, tvarkant vaizdo įrašų duomenis – teisėtas interesas, tačiau svarbu suvokti, jog organizacijos negali aklai pasikliauti šiuo pagrindu ar pernelyg plačiai interpretuoti jo apimtį. Pavyzdžiui, jei įmonė mano, jog turi teisėtą interesą apsaugoti jai priklausančias patalpas nuo įsilaužimų, galbūt pirmiau turėtų būti apsvarstomas signalizacijos, o ne vaizdo stebėjimo sistemos, įrengimas – toks būdas leistų ženkliai mažiau varžyti darbuotojų ir (ar) klientų teises.
Kokiai vaizdo stebėjimo įrangai taikomas BDAR?
Organizacijų pasirinkta vaizdo stebėjimo įranga, jos kiekis, įrengimo vieta bei aprėpiama teritorija visuomet privalo atitikti tikslus, kurių siekiama, t. y. skirtingi vaizdo stebėjimo tikslai reikalauja ir skirtingų techninių priemonių pasirinkimo. Pavyzdžiui, kai tikslas yra stebėti tik patekimą į patalpą – proporcingiau būtų rinktis ne judančią, o stabilią vaizdo stebėjimo kamerą. Svarbu suvokti ir tai, kad kuo didesnis naudojamų vaizdo kamerų skaičius, tuo didesnė ir duomenų subjektų teisių pažeidimo rizika.
Praktikoje dažnai pasitaiko atvejų, kuomet organizacijos renka asmens duomenis net pačios to nesuprasdamos. Daugeliu atveju tai įvyksta todėl, kad įmonės linkusios per siaurai vertinti naudojamas vaizdo stebėjimo kameras ar jų technines savybes. Pažymėtina, kad vaizdo stebėjimu pripažįstamas bet koks vaizdo duomenų, susijusių su fiziniu asmeniu, tvarkymas naudojant automatizuotas vaizdo stebėjimo priemones, nepaisant to, ar šie duomenys yra išsaugomi laikmenoje. Taigi, BDAR požiūriu, visai nesvarbu, ar naudojamos kameros geba išsaugoti vaizdą – vien jo gavimas jau laikomas duomenų tvarkymu. Pavyzdžiui, saugiam patekimui į biurą užtikrinti dažnai naudojamos vaizdo neišsaugančios kameros, leidžiančios atsakingam asmeniui per atstumą atpažinti ir į patalpą įleisti praėjimo kortelių neturinčius lankytojus. Nepaisant to, kad šių praėjimo kontrolę užtikrinančių kamerų paskirtis nėra atvaizdo išsaugojimas, o tik jo perdavimas, organizacijos vis tiek privalėtų užtikrinti tokių sistemų naudojimo atitiktį BDAR. Tai galioja ir automobilių valstybinius numerius atpažįstančioms sistemoms, naudojamoms įvažiavimo į įmonės teritoriją kontrolei. Atkreiptinas dėmesys, jog nors žmogaus atvaizdas šiuo atveju nėra stebėjimo sistemos objektas, tačiau automobilio savininko tapatybė atpažįstama būtent pagal valstybinį automobilio registracijos numerį.
Ypatingą dėmesį organizacijos turėtų skirti ir vaizdo kamerų, įrašančių garso duomenis, naudojimui. Tokiu būdu įrašomos informacijos beveik neįmanoma kontroliuoti – ji gali atskleisti neapibrėžtos apimties asmens duomenis, tokius kaip asmens finansinę informaciją, medicininius įrašus ir kt. Atsižvelgiant į tai, nepaprastai svarbu šią įrangą naudoti tik išimtiniais atvejais, nustačius teisėtą pagrindą (praktikoje itin retai pasitaikantis atvejis) bei, kaip numato šiuo metu paskelbtas Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymo „Dėl duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“ projektas, galimai teks atlikti ir poveikio duomenų apsaugai vertinimą.
Kaip išvengti baudos
Apie bet kokį vaizdo stebėjimą duomenų subjektams privalo būti pranešta iš anksto, o darbuotojų informavimo atveju – supažindinama pasirašytinai. Duomenų subjektų informavimas apie įmonės atliekamą vaizdo stebėjimą vaizdiniu žymeniu nėra naujas ir galiojo dar iki BDAR priėmimo, tačiau nuo šiol jame nurodomai informacijai keliami aukštesni reikalavimai. Duomenų valdytojas privalo užtikrinti, kad dar prieš asmenims patenkant į filmuojamas patalpas ar teritorijas, o kai įmanoma ir jų viduje, būtų aiškiai, nedviprasmiškai ir tinkamai suteikta bent ši informacija: apie tai, kad vyksta vaizdo stebėjimas; duomenų valdytojo duomenys bei kontaktinė informacija (jei paskirtas duomenų apsaugos pareigūnas – nurodoma jo kontaktinė informacija); vaizdo stebėjimo tikslas bei nuoroda į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą. Papildomai rekomenduojama pateikti ir informaciją apie tai, ar įrašomas ir garsas, bei duomenų saugojimo terminą. Pilną informaciją apie asmens duomenų tvarkymą rekomenduojama pateikti organizacijos interneto svetainėje, taip pat pasitelkiant informacinio pranešimo popierinį variantą, kurį duomenų subjektas turėtų galimybę gauti, pavyzdžiui, apsaugos poste arba registratūroje. Nereiktų pamiršti ir pačios vaizdinio žymens formos: joje turi būti kameros simbolis, vartojama tos šalies, kurios teritorijoje vyksta vaizdo stebėsena, kalba (vaizdo stebėjimo pastato ar patalpos viduje atveju rekomenduojama informaciją pateikti ir kita kalba, kurią vartoja personalas ir (ar) didžioji dalis lankytojų), o naudojamas šriftas – aiškus ir įskaitomas. Šrifto dydis turi būti parinktas atsižvelgiant ir į vaizdo kameromis siekiamus užfiksuoti subjektus, pavyzdžiui, automobilio vairuotojų informavimui – naudojamas didesnis šriftas.
Nepaprastai svarbu ir tai, kad įmonės personalas būtų apmokytas, kokių veiksmų turi imtis, jei asmuo kreipiasi dėl papildomos informacijos, susijusios su jo duomenų tvarkymu. Vien asmens patekimo į vaizdo kameromis stebimą teritoriją ar patalpą faktas nereiškia organizacijos prievolės pateikti prašomą vaizdo medžiagą. Filmuotoje medžiagoje užfiksuoti asmens duomenys privalo būti identifikuojantys, t. y. aiškiai nustatantys arba galintys nustatyti asmens tapatybę. Todėl asmens prašymas gauti vaizdo stebėjimo priemonėmis užfiksuotus jo duomenis, kai vaizdo medžiagoje matyti tik neryškus jo siluetas su tik jam vienam atpažįstamu džemperiu, savaime nereiškia pareigos įmonei patirti papildomas sąnaudas, darant vaizdo medžiagos kopiją ar organizuojant vaizdo įrašo peržiūrą. Tačiau, jei organizacija, atsižvelgdama į asmens prašymą, nusprendžia, jog įrašo peržiūra ar pateikimas yra būtini, ji privalo užtikrinti, jog filmuotos medžiagos pateikimo metu nebūtų atskleisti jokie kiti trečiųjų asmenų duomenys, pavyzdžiui, jei iš vaizdo medžiagos gali būti nustatyta ir kitų asmenų tapatybė, vaizdo įrašas turi būti koreguojamas taip, kad jos būtų neįmanoma atpažinti arba gaunamas tų asmenų sutikimas. Bet kuriuo atveju, į asmens prašymą įmonė turi atsakyti ne vėliau kaip per 30 kalendorinių dienų.
Baudos dėl naujų BDAR reikalavimų neįgyvendinimo padės išvengti ir tinkamai pasirinktas vaizdo duomenų saugojimo terminas. BDAR neįvardija konkrečių tokių duomenų saugojimo terminų, todėl taikomas bendrasis principas, jog duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Pavyzdžiui, jei stebėjimas atliekamas siekiant apsaugoti įmonės nuosavybę, manytina, jog protingas ir adekvatus saugojimo terminas galėtų būti viena savaitė. Taip pat turėtų būti įvertinta, ar vaizdo stebėjimo išsaugojimas yra apskritai būtinas – galbūt tam tikrais atvejais užtektų tik tiesioginio vaizdo stebėjimo be jo įrašymo.
Indrė Tamošiūnaitė, advokatų kontoros „COBALT“ asocijuota teisininkė