Камери спостереження, на які впливає GDPR

Даніель Іонашку, четвер, 26 квітня 2018 р., 10:00. Останнє оновлення в четвер, 26 квітня 2018 року, 18:50

впливає

Камери спостереження є "гарячою картоплею" регламенту GDPR щодо захисту персональних даних, який застосовуватиметься в Румунії та решті Євросоюзу з 25 травня. Експерти зазначають, що існує кілька умов щодо розташування відеокамер. Вони також говорять, що навіть уповноважені фізичні особи повинні дотримуватися нового регулювання, і єдиними, хто не повинен його приймати, є суди та установи у сфері національної безпеки, які мають інші закони, згідно з якими вони діють.

Відеозображення - це особисті дані

"Відеоспостереження - у світі існує понад 550 мільйонів камер спостереження. Чи є відеозображення, де б вони не розміщувались, особистими даними? Звичайно. Оскільки вони можуть призвести до нашої ідентифікації, що ми знаходимось у певному місці і робимо певну операцію.

Якщо ними зловживають, якщо ми не маємо згоди тих, хто працює в певній місцевості, або є жертви, їх неможливо знайти ", - сказав консультант Раду Крахмалюк під час заходу, проведеного Axis Communications.

Axis є одним з найбільших у світі виробників відеокамер і належить японській групі Canon.

Зображення потрібно видалити протягом 30 днів

"Спосіб збереження цих даних дуже важливий, і особливо тривалість. У багатьох країнах існують рекомендації, в нашій країні це рекомендація Національного наглядового органу зберігати дані протягом 30 днів. Ви повинні мати законний інтерес, інформувати працівників, мати згоду профспілки, і ви можете спробувати менш інвазивну систему, наприклад, мати охоронця ", - говорить Крамалюк.

"Правова основа"

"Якщо ми не маємо юридичного обґрунтування, чому ми встановлюємо камеру спостереження, тоді нам потрібно переглянути. Вони можуть знаходитись для запобігання злочинам, запобігання неправомірним поведінкам працівників, підвищення продуктивності праці та безпеки, а також можуть знаходитись відповідно до законодавства.

Якщо вони встановлюються у громадських приміщеннях, на алеях тощо, згода не потрібна. Якщо вони встановлені в приватних приміщеннях, згода не потрібна, але повинна бути вказана, щоб кожна людина могла бачити та знати. Наприклад, у громадському транспорті всі бачать.

Подекуди немає виправдання розміщення відеокамер, таких як роздягальні, місця для їжі, інші місця, де проводяться більш інтимні дії ", - сказав він.

Слабке посилання

Крахмалюк процитував дослідження з кібербезпеки, згідно з яким 65-70% порушень безпеки є внутрішніми, або через людей, або через обладнання. GDPR зменшить цей ризик, просто вимагаючи від кожної компанії мати політику даних та план управління ситуацією на випадок порушень безпеки.

"Бувають ситуації, коли не виправдано виділяти кімнату. Коли ми визначили бізнес-потік, кожен, хто керує цією системою, системний інженер або компанія, означає, що він виконує роль оператора даних. А це означає, що у нього є якісь зобов’язання. Якщо він працівник, я повинен переконатися, що у мене все в порядку. Якщо це компанія, я повинен за контрактом переконатись, що вона бере на себе свої обов'язки ", - говорить консультант.

Він також наводить кілька простих прикладів.

"Якщо записи зникають, хтось приходить і закриває вам кімнату, і щось трапляється. Ваше живлення згасає, і щось відбувається за ці півгодини. Це вже область вразливостей. Захист даних повинен увійти в нашу культуру.

Якщо у вас є камера та зробити знімок для різних цілей, є ризики. Ви хочете зробити профілювання, аналіз даних, для всього цього ви повинні мати юридичну основу.

Для будь-якого магазину, який має вітрину та знаходиться під відеоспостереженням, повинен бути плакат, який повідомляє людей. Будь-яка компанія, яка має камери спостереження, повинна мати вивіски, щоб люди знали, що за ними не стежать "., Крамалюк також сказав.

Захист даних, як дієта на все життя

Раду Крахмалюк зазначає, що регламент GDPR передбачає "здоровий глузд", але головним його наслідком буде те, що він поінформує нас про захист даних і дасть нам зрозуміти багато речей, яких ми зараз сумуємо.

"Перший руйнівний ефект і, мабуть, найдраматичніший: подумайте, що вам доведеться дотримуватися дієти все життя. Закон говорить про здоровий глузд, але його ефект важливий. Будь-яка компанія, навіть якщо вона перебуває на острові Пасхи, повинна дотримуватися GDPR, якщо у неї є клієнти в Європейському Союзі, для споживачів в ЄС. Ймовірно, до нього через рік буде внесено зміни до Ради Європи. Але це постійно, це незворотно. Існують окремі правила щодо цифрових комунікацій, електронної комерції та маркетингу.

Є речі здорового глузду: навчіть працівників захищати дані клієнтів. Відповідно до нового регламенту, ви зобов’язані затвердити свою відповідальність, я повинен довести, що я в змозі захистити ваші дані. Я був здивований, звернувшись до ІТ-компаній, які не мали такої політики.

Дані - це потужність, але потужності недостатньо. Мета цього правила - не зафіксувати дані у сейфі із сімома навісними замками, а зробити їх прозорими, циркулювати.

Окрім захисту даних, в Європейському Союзі є також право забути, є право на перенесення даних.

Кожна компанія також повинна мати план з набранням чинності цим положенням. Кожна компанія повинна скласти план порушень безпеки та повідомити про це. Подібно до того, як ми маємо план евакуації на випадок пожежі, так ми повинні мати і з порушеннями даних.

Принципи конфіденційності за задумом та приватності за замовчуванням також повинні бути реалізовані. Нарешті, передача даних. Між країнами ЄС проблем немає, але є ще 11 країн, які мають угоди з ЄС і вважаються безпечними. В іншому їх потрібно проаналізувати ", - також показав експерт.

Бізнес-дані - це також особисті дані

Раду Крахмалюк також показав, що рекомендується піклуватися про особисті дані в будь-якому випадку, оскільки все, що ви робите, пов’язане з даними, а дані про бізнес - це також особисті дані.

"Дані бізнесу є ціннішими за особисті дані. Як і список клієнтів, з адресами телефону або електронної пошти. Бізнес-дані - це особисті дані ", - сказав він.

Будь-яка PFA в Румунії, зобов'язана дотримуватися GDPR

Він також зазначив, що це положення застосовується до уповноважених осіб в Румунії.

"Якщо ви невелика компанія, і ви говорите, що ви занадто малі і GDPR не впливає на вас, це неправда. Навіть якщо ви є уповноваженою фізичною особою і маєте контракти, ви повинні поважати GDPR. Те саме стосується, якщо у вас 5 співробітників, 50 або 5000 ", - додав він.

Єдині, хто не зобов’язаний дотримуватись GDPR, - це суди та установи у сфері національної безпеки, які мають окремі закони.

Файли бажано надсилати зашифрованими

Нарешті, експерт рекомендував зашифрувати збережені дані, а файли, надіслані електронною поштою, у свою чергу, зашифрувати або захистити паролем, щоб запобігти потраплянню інформації в руки несанкціонованих осіб.

"Усі дані, що зберігаються на сервері, повинні бути зашифровані. Крім того, якщо ми надсилаємо файли електронною поштою, електронна пошта зашифрована, але файл ні. Файли рекомендується шифрувати та захищати паролем. ".

Штрафи до 4% обороту

Компанії, які не відповідають вимогам GDPR, можуть бути оштрафовані до 4% від обороту.

Якщо Facebook оштрафують за витік інформації у справі Cambridge Analytica, в якій були зібрані дані 87 мільйонів людей, американського гіганта можуть оштрафувати до 1,6 мільярда доларів за кожного з 28 держав Європейського Союзу.