Videonovērošana ir viens no datu apstrādes veidiem, kas rada daudzus jautājumus, jo tā var radīt nopietnus privātuma riskus. Pēc 2022. gada aplēsēm, pasaulē ir aptuveni viens miljards videonovērošanas ierīču (Surveillance Camera Statistics: Which City has the Most CCTV Cameras?), kas ikdienā apstrādā datus par mūsu izskatu, uzvedību un citām identificējošām pazīmēm, tai skaitā biometrijas datus.
Ir sagaidāms, ka bankās, viesnīcās, aptiekās un citās sabiedriskās vietās tiek veikta videonovērošana. Tomēr mums bieži trūkst izpratnes par videonovērošanas likumību, kā arī pasākumiem, ko varam veikt, lai aizsargātu mūsu privātumu; tai skaitā pasākumiem, ko organizācija var praktiski veikt jau sistēmas uzstādīšanas laikā. Šis raksts sniegs ieskatu par apsvērumiem, kurus būtu ieteicams ņemt vērā, ja domājat par videonovērošanas izmantošanu savā organizācijā, jau veicat videonovērošanu vai vēlaties uzzināt vairāk par savām tiesībām saistībā ar šo datu apstrādes veidu.
Vai videoieraksts ir personas dati?
Ikreiz, kad ar videonovērošanas kameru tiek uzņemts kādas personas attēls vai video, ko var izmantot šīs personas tiešai vai netiešai identificēšanai, tie tiek uzskatīti par personas datiem. Šādos gadījumos uz darbībām, kas vērstas uz personas datiem (datu vākšana, glabāšana, nosūtīšana), būs attiecināmas Vispārīgās datu aizsardzības regulas (VDAR) prasības.
VDAR nebūs attiecināma uz tādām darbībām, kuros nav iespējams identificēt personu ne tieši, ne netieši, piemēram, izmantojot kameru butaforijas. Tāpat atbilstoši VDAR 2. panta 2. punkta c) apakšpunktam, šie nosacījumi neattiecas uz personas datu apstrādi, ko veic fiziska persona tikai personiskiem vai mājsaimniecības nolūkiem.
Kad saskaņā ar VDAR videonovērošana ir likumīga?
Lai videonovērošana būtu likumīga, tai ir jābūt balstītai uz kādu no sešiem VDAR noteiktajiem personas datu apstrādes likumīgajiem pamatiem:
Datu apstrāde, kas notiek videonovērošanas procesā, vairumā gadījumu tiks balstīta uz pārziņa vai trešo personu leģitīmajām interesēm – īpašuma aizsardzība, indivīdu dzīvības un veselības aizsardzība, kā arī pierādījumu saglabāšana.
Pārziņa pienākumi
Saskaņā ar VDAR prasībām, par datu apstrādes likumību un datu aizsardzības prasību ievērošanu atbild datu pārzinis. Attiecīgi pastāv vairāki pienākumi, kas jāizpilda, uzstādot videonovērošanas sistēmu savā organizācijā. Šie pienākumi ietver:
- datu subjekta tiesību nodrošināšanu (informatīvais paziņojums par videonovērošanu);
- risku novērtējuma veikšanu (novērtējums par ietekmi uz datu aizsardzību, ja videonovērošana rada augstu risku privātpersonu tiesībām un brīvībām);
- tehniskos un organizatoriskos pasākumus (videonovērošanas sistēmas atbilstība datu aizsardzības prasībām pēc noklusējuma).
Datu subjekta tiesības
Datu subjektam ir tiesības saņemt informāciju no datu pārziņa par to, vai viņa dati tiek apstrādāti, kā arī tiesības atsevišķos gadījumos piekļūt saviem personas datiem. Informatīvajā paziņojumā par videonovērošanu jāiekļauj vismaz informācija par pārziņa identitāti, kā arī veiktās apstrādes mērķis. Paziņojumam jābūt viegli saskatāmam, ar atbilstošu kameras simbolu, kas informē par videonovērošanu ikvienu, kas ienāk teritorijā. Būtisks aspekts ir tas, ka datu subjektam ir tiesības saņemt visu informāciju, kas tam ir sniedzama saskaņā ar VDAR 13. un 14.pantu, tāpēc videonovērošanas paziņojumā jānorāda pārziņa kontaktinformācija, kuru datu subjekti var izmantot, lai izmantotu savas tiesības.
Risku novērtēšana un pārvaldība
Pastāv iespēja, ka pirms videonovērošanas uzsākšanas, pārzinim būs jāveic novērtējums par ietekmi uz datu aizsardzību (NIDA). NIDA ir process, kas identificē ar personas datu apstrādi saistītos riskus un ir vērsts uz to samazināšanu vai likvidēšanu. Organizācijas parasti veic NIDA, kad tiek uzsākta jauna datu apstrādes darbība vai mainīts kāds no esošajiem procesiem (piemēram, ieviešot jaunas tehnoloģijas).
Videonovērošanas gadījumā tā būs jāveic, ja novērošana rada augstu risku datu subjektu tiesībām un brīvībām, vai ja NIDA ir jāveic saskaņā ar VDAR 35.panta 4.punktu - Datu valsts inspekcija ir izveidojusi sarakstu ar apstrādes darbībām, attiecībā uz kuriem jāveic šis novērtējums. Sarakstā iekļauta arī videonovērošana, kas tiek veikta plašā un sistēmiskā mērogā, lai novērotu, uzraudzītu vai kontrolētu datu subjektus.
Privacy by design jeb datu aizsardzība pēc noklusējuma
Saskaņā ar VDAR 25. pantu, pārzinim jāīsteno atbilstoši tehniskie un organizatoriskie pasākumi tiklīdz viņi ieplāno veikt videonovērošanu. Šie pasākumi tiek dēvēti par “privacy by design and default” jeb datu aizsardzība pēc noklusējuma. Būtībā tas nozīmē, ka ir jāintegrē vai jāievieš datu aizsardzība savās apstrādes darbībās un uzņēmējdarbības praksē sākot no sistēmas plānošanas un izstrādes fāzēm līdz pat uzturēšanas un tālākiem datu dzīves cikla posmiem.
Šie pasākumi ietver sevī integrētas privātuma uzlabošanas tehnoloģijas, noklusējuma iestatījumus, kas minimizē datu apstrādi, un tādu nepieciešamo rīku nodrošināšanu, kuri ļauj sasniegt visaugstāko iespējamo personas datu aizsardzības līmeni, tai pašā laikā ļaujot sasniegt datu apstrādes mērķus. Tas sevī ietver visu sistēmas komponenšu fiziskās drošības nodrošināšanu, datu šifrēšanu, piekļuves kontroles, ugunsmūru, antivīrusu un ielaušanās atklāšanas sistēmu implementēšanu u.c. Tāpat ir jāņem vērā datu minimizācijas princips un jāizvēlas tādas videonovērošanas sistēmas, kas saskaņā ar saviem tehniskajiem parametriem apstrādā tikai minimāli nepieciešamo datu apjomu.
Vairums tehnisko un organizatorisko pasākumu videonovērošanas sistēmu ekspluatācijā neatšķirsies no pasākumiem, ko veic citās IT sistēmās. Tādējādi ir svarīgi atzīmēt, ka šādai apstrādei valsts iestādēm un privāto tiesību juridiskajām personām būs piemērojami arī 2015.gada 28.jūlija Ministru kabineta noteikumi Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” šajā normatīvajā aktā noteiktajā tvērumā.
Par piemērojamām IT drošības prasībām un labāko praksi, ieviešot videonovērošanas sistēmu organizācijā, lasi maija e-ziņās “Kiberdrošības aktualitātes”.
