GDPR i video nadzor implikacije
Sadržaj članka
- GDPR – General Data Protection Regulation
- Pet osnovnih GDPR principa
- GDPR - Video nadzor implikacije - potrebne akcije i dostupna rešenja
- GDPR i Video Nadzor - Šta će biti predmet izmene u procesu usaglašavanja?
- Izmene ne samo procesa i procedura, već i implementiranih video nadzor solucija
- Kojim putem?
- Zakonsko i GDPR usaglašavanje
- Dodatni izvori
GDPR, video nadzor implikacije i potencijalna rešenja za tehničko-tehnološka usaglašavanja video nadzor solucija
Ušli smo već u naredni mesec od kako je na snagu stupila EU regulativa za zaštitu podataka GDPR, a kako se pravna lica i organizacije nose sa implementacijom ove regulative, kakve sve implikacije u domenu video nadzor sistema GDPR donosi i koja su potencijalna rešenja, pročitajte u našem tekstu na ovu temu.
Kada je u pitanju GDPR i region Balkana, u nekim slučajevima direktno su obavezane organizacije i kompanije da svoje poslovanje usaglase sa GDPR odredbama, obzirom da su Hrvatska i Slovenija punopravne EU članice.
Međutim i ostatak regije na indirektan način je u obavezi da se usaglasi sa ovom EU regulativom, u slučajevima poslovanja sa EU pravnim i fizičkim licima, ali i dodatno u smislu intencija zemalja zapadnog Balkana da se pridruže u punopravnom smislu Evropskoj Uniji.
GDPR – General Data Protection Regulation
EU Regulativa za zaštitu podataka predstavlja set zakona osmišljenih na način da omogući građanima Evropske Unije nova prava u vezi kontrole njihovih ličnih podataka.
Istovremeno, GDPR nameće nove obaveze i dužnosti onima koji prikupljaju, arhiviraju i procesiraju ovakve podatke. Ova nova regulativa stupila je na snagu u svim zemljama članicama EU 25-og maja 2018-te godine.
I dok GDPR regulativa nije izričito napisana za video nadzor sisteme i za način njihovog korišćenja, sam video zapis smatra se ličnom informacijom subjekata zabeleženih video nadzor kamerama, pa stoga GDPR nalaže onima koji poseduju i upravljaju video nadzor sistemima, da ove podatke moraju pažljivo uzimati u obzir, dokumentovati ih na određen način, kao i upravljati odgovorno uticajem na privatnost koji proizilazi iz korišćenja video nadzor sistema.
Od kako je GDPR uredba postala zakonski obavezujuća, mogli smo čuti u prethodnom periodu od raznih proizvođača kako su njihove kamere ili video menadžment softver „sertifikovani da budu GDPR kompatibilni“.
Bila su, doduše na kratko, dostupna i javna saopštenja pojedinih proizvođača o tome – međutim ovo nema mnogo veze sa realnošću, a još manje sa zdravim razumom.
Video nadzor kamere, kao ni drugi elementi video nadzor sistema ne mogu biti „sertifikovani da budu kompatibilni sa GDPR-om“ jer ova regulativa nije kreirana sa fokusom na proizvode, kada pričamo o GDPR-u i video nadzor sistemima.
GDPR regulativa kreirana je sa fokusom na način na koji se video nadzor sistemi i solucije koriste u odnosu na poštovanje prava i procedura u domenu ličnih podataka, odnosno u ovom segmentu je potrebno obezbediti GDPR kompatibilnost video nadzor solucije koja je implementirana i koja se koristi, kako ne bi dolazilo do povrede osnovnih načela propisanih ovom EU poveljom koja definiše principe zaštite ličnih podataka.
U daljem razmatranju dajemo prikaz generalnog okvira zasnovanog na pet osnovnih GDPR principa, implikacija u smislu korišćenja video nadzor sistema, kao i potrebnih akcija i mogućnosti podržanih u enterprise video nadzor solucijama koje vam mogu pomoći u procesu usaglašavanja sa GDPR-om kada su video nadzor solucije i korišćenje istih u pitanju.
Pet osnovnih GDPR principa
- Jasno opravdana svrha – Sve organizacije moraju imati opravdanu zakonsku osnovu radi prikupljanja i procesiranja ličnih podataka;
- Privatnost u projektovanju sistema – GDPR nalaže da privatnost mora biti prioritet tokom kompletnog procesa projektovanja, kao i tokom procesa puštanja sistema u rad. Pristup koji se preduzima u pogledu privatnosti video nadzor podataka, mora biti proaktivan, a ne reaktivan. Rizici treba da budu očekivani, a cilj mora biti sprečavanje incidentnih događaja pre nego što se realizuju u punoj meri i sa nesagledivom štetom.
- Pravo pristupa informaciji – Članom br.15, GDPR daje građanima kontrolu nad njihovim ličnim podacima uključujući i pravo uvida u ove podatke.
- Pravo da se bude zaboravljen – Članom br.17, GDPR daje građanima kontrolu nad njihovim ličnim podacima uključujući i pravo da se njihovi lični podaci obrišu, ukoliko nisu više neophodni za namenjenu svrhu korišćenja sistema.
- Cyber-bezbednost podataka – GDPR zahteva od organizacija da imaju sveobuhvatne procedure koje omogućuju da lični podaci ostaju pod kontrolom organizacije svo vreme. Dodatno, upadi u sistem i eventualna kompromitovanost ovih podataka mora biti prijavljena u roku od 72 časa nadležnom nadzornom organu, imenovanom od strane državne vlasti.
GDPR – Video nadzor implikacije – potrebne akcije i dostupna rešenja
Razmotrite pažljivo i koje su korelacije između GDPR principa, implikacija u smislu korišćenja video nadzor sistema, akcija koje treba preduzeti i mogućnosti koje po tom pitanju nude enterprise video nadzor solucije.
Princip: Jasno opravdana svrha
Video nadzor implikacije:
- Dokumentovani opis jasno opravdane svrhe korišćenja video nadzor sistema;
- Dokumentovati zbog čega se konkretno informacija prikuplja;
- Dokumentovati za šta konkretno će se informacija koristiti; od strane koga; koliko vremenski dugo;
- U posebnim slučajevima u obzir se uzima i visok rizik od teških povreda privatnosti, te je dodatno potrebno formulisati uticaj na privatnost podataka i izraditi DPIA(Data Protection Impact Assessment) procenu o tome;
Potrebne akcije u cilju usaglašavanja:
- Obezbediti postavljanje obaveštenja o tome gde subjekti podataka mogu pronaći više informacija;
- Obezbediti informacije dostupne svakom subjektu podataka o: svrsi prikupljanja informacija, vrsti obrađene informacije, vremenu zadržavanja informacija, i sl;
- Razmotriti da li vam je potrebna DPIA procena;
Solucije proizvođača: Navedene implikacije se rešavaju internim dokumentima i procedurama, što je obaveza i odgovornost Data Controller-a(vlasnika video nadzor sistema), ne proizvođača.
Princip: Privatnost u projektovanju sistema
Video nadzor implikacije:
- Organizacije moraju pažljivo razmotriti i dokumentovati na koji način su video nadzor sistemi projektovani, kako bi ostali u okvirima prethodno navedenih ciljeva;
- Pažnja se mora obratiti da se ne arhiviraju lični podaci onih koji su van namenske upotrebe sistema(npr. susedne javne površine ili aktivnosti subjekata koje se tu odvijaju);
- Pažljivo razmotriti već prilikom projektovanja ko treba da vidi koje informacije (npr. uživo snimak, arhivirani snimak, u kojim vremenskim okvirima, u kojoj rezoluciji, itd.); takođe definisati samim projektom i ko može da pristupa video nadzor snimcima putem pretrage;
Potrebne akcije u cilju usaglašavanja:
- Koristite System Design SW alate kako biste omogućili različite rezolucije u različitim tačkama u sceni kamere, kako biste definisali vreme zadržavanja video nadzor arhive i sl;
- Revidirajte i definišite uloge i odgovornosti za operatere, istražitelje, sistem administratore, kao i za ostale osobe sa pristupom sistemu;
- Razmotrite zabranu pristupa grupama korisnika koji imaju zadatak istražitelja, samo za kamere koje su specifično pozicionirane kako bi beležile identitet (npr. lica ljudi koja ulaze u objekat);
- Razmotrite ograničavanje pristupa snimljenom video zapisu za operatere, ili u potpunosti; ili samo na video arhivu koja je snimljena od momenta kada se taj konkretan operater poslednji put logovao na sistem; ili omogućiti operaterima pristup snimljenom video zapisu, samo uz pomoć sistema dualne autorizacije;
- Osigurajte da je lozinka administratorskog naloga poznata samo određenim osobama i da se ovaj nalog koristi samo za administrativne zadatke;
Solucije proizvođača:
- System Design softverski alati video nadzor proizvođača omogućuju pravilno i detaljno planiranje sistema, i pomažu značajno u tome da se pravilno razmotre pokrivenost prostora, rezolucija i zakonski propisano čuvanje video nadzor zapisa;
- Video menadžment softver platforme vodećih video nadzor vendora nude efikasnu kontrolu nad korisničkim nalozima, osiguravajući time da security osoblje može pristupiti samo i isključivo video materijalu koji im je potreban za obavljanje njihovog posla;
- Video menadžment softver platforme vodećih proizvođača pružaju mogućnost kontrole nad prikazanom rezolucijom, u skladu i u zavisnosti od korisničkih ovlašćenja i dozvola;
- Profesionalne video menadžment softver solucije zahtevaju eksplicitne korisničke dozvole za pristup funkcionalnosti pretrage video nadzor zapisa;
Princip: Pravo pristupa informaciji
Video nadzor implikacije:
- Po primljenom zahtevu, organizacije i kompanije subjektu podataka moraju dostaviti sve lične podatke prikupljene o njima, uključujući video snimke koje prikuplja sistem za video nadzor;
- Kada organizacije isporučuju subjektu podataka tražene informacije u formi video nadzor zapisa, sve druge osobe koje se pojavljuju na snimku moraju biti zamaskirane, ili na drugi način anonimizirane;
Potrebne akcije u cilju usaglašavanja:
- Obezbediti formalne procedure i korporativne politike za kreiranje prava na pristup zahtevima;
Solucije proizvođača:
- Video menadžment softver platforme vodećih video nadzor proizvođača omogućuju inteligentno bookmark-ovanje i korespodentno eksportovanje video nadzor zapisa;
- Napredni AI-bazirani video nadzor algoritmi (npr. Appearance Search tehnologija) podržani u VMS rešenjima vodećih video nadzor proizvođača omogućuju opreaterima da lociraju, označe i da eksportuju video nadzor zapis konkretne individue.
- Napredne VMS solucije prilikom eksporta video nadzor zapisa nude mogućnost anonimizacije svih drugih subjekata u eksportovanom video materijalu.
Princip: Pravo da se bude zaboravljen
Video nadzor implikacije:
- Budući da brisanje određenog subjekta iz video nadzor zapisa nije praktično, data-procesori moraju striktno ograničiti koliko dugo se zadržava video u skladu sa dokumentovanom namenom video nadzor sistema;
Potrebne akcije u cilju usaglašavanja:
- Pregledajte vreme zadržavanja setovano za sve kamere i za celokupan sistem, i osigurajte da je podešeno u skladu sa dokumentovanom namenom video nadzor sistema;
Solucije proizvođača:
- Vodeće VMS solucije imaju mogućnost striktnog sprovođenja setovanog vremenskog limita i ograničenja u čuvanju video nadzor zapisa, po svakoj ponaosob video nadzor kameri.
Princip: Cyber-bezbednost podataka
Video nadzor implikacije:
- Preduzeti sve odgovarajuće organizacione i tehničke mere i radnje kako bi se zaštitili od potencijalnog kompromitovanja ličnih podataka;
- Strogo pridržavanje GDPR smernica o prijavljivanju penetracionih incidenata i/ili neautorizovane izloženosti ličnih podataka trećih lica, u slučaju pojave ovakvih vrsta događaja;
Potrebne akcije u cilju usaglašavanja:
- Pregledajte sigurnosne procedure vezane za kontrolu lozinki i upotrebe korisničkih naloga;
- Razmotrite opcije za setovanje minimalnih zahteva za jačinu korisničkih lozinki za sve grupe korisnika, takođe razmotrite postavljanje jačih zahteva za administrator korisničke naloge;
- Setujte procese za reviziju statusa zaštite, kao i za detekciju upada i pokušaja upada;
- Obezbedite da korisnici ne dele korisničke naloge, bilo da to čine sa lozinkama, ili na način da se ne izloguju/ne uloguju na kraju odnosno na početku njihove smene;
- Održavajte dokumentovanu politiku i proceduru koja reguliše odgovarajuće radnje u slučaju neautorizovane izloženosti podataka;
Solucije proizvođača:
- Video menadžment softver platforme vodećih video nadzor proizvođača aktivno koriste bezbednosne mere, uključujući visoke zahteve za primenu lozinki, autentifikaciju konekcije i enkripciju podataka;
- Vodeće VMS platforme pružaju kao standardnu opciju dnevnike aktivnosti za sve korisničke akcije, kako bi se omogućilo revizorima da istraže ko je pristupao čemu i kada je to učinjeno.
GDPR i Video Nadzor – Šta će biti predmet izmene u procesu usaglašavanja?
GDPR je po svemu sudeći doneo nova pravila ponašanja kada je u pitanju zaštita ličnih podataka, ali je izmenio i sam način pristupa planiranju, projektovanju i korišćenju video nadzor sistema.
Interesantno, i pre nego što je GDPR stupio na snagu, bio je primetan značajan porast ozbiljnijeg pristupa planiranju, projektovanju i implementaciji projekata i u Ex-Yu regiji, bez obzira da li se radi o EU zemljama članicama ili ostalima.
To je za svaku pohvalu IT/ICT/Security menadžera u regionu Balkana koji su, kada su srednji i veliki korisnici u pitanju, pokazali ne samo izuzetno praktično znanje već i neophodne projekt menadžment veštine da stvari dovedu na pravo mesto.
Ono što je međutim viđeno kao dodatna problematika za srednje i velike korisnike u regiji Balkana jeste što su u većini zemalja usaglašavanja korisnika sa postojećim aktivnim zakonskim regulativama ili nedavno završena, ili još uvek u toku, te dodatna GDPR regulativa predstavlja resursno zahtevnu a u većini slučajeva i tešku, paralelnu obavezu.
Imajući to u vidu većina korisnika, bilo da se radi o EU zemljama, ili ostalima u regiji koji su na putu ka EU, prethodno izvršene procese zakonskog usaglašavanja a vezane za video nadzor segment moraće sada da usaglasi iznova, ovog puta sa GDPR-om kao sastavnim delom zakonskog usaglašavanja video nadzor sistema.
Izmene ne samo procesa i procedura, već i implementiranih video nadzor solucija
Nisu samo procesi ovde predmet trenutnog razmatranja, već će u većini slučajeva i postojeće implementirane video nadzor solucije morati pretrpeti određene izmene i ponovni pristup planiranju i projektovanju. U daljem razmatranju ove tematike i u konsultaciji sa velikim korisnicima, VMS je deo koji će u najčešćem broju slučajeva pretrpeti dopune ili izmene, kako bi bile izvodljive tražene procedure i realizovana zakonska usaglašenost..
Neke stvari raditi na stari način, pomoću softvera koji se uopšte teško može deklarisati kao VMS i koji ne može na jednostavan i efikasan način isporučiti određene zahteve korisnika, nije više resursno izvodljiva stvar. Bilo da se radi o banci, industriji ili velikoj kompaniji, to resursno nije opravdano, a zbog konvencionalnog načina na koji se radi, to postaje sve više i praktično neizvodljivo.
Vreme koje bi korišćenjem konvencionalnih video softver rešenja bilo potrebno IT osoblju, operaterima ili administratoru da izvrše i isporuče traženi sled nekog incidentnog događaja, pretrage lica, osobe, kretanja, tablice vozila, paralelnog izveštaja sa POS terminala(u slučaju finansijskih incidenata)… jednostavno nije više vreme koje ima svoju opravdanu tržišnu vrednost.
Kada tome pridodamo GDPR i očekivani rast zahteva subjekata podataka za isporukom ličnih podataka snimljenih o njima, za očekivati je da banke osnuju novi šalter: „Incident Management & GDPR“?! Ili je pak izvesnije da će se srednji i veliki korisnici opredeliti za izmenu video menadžment softvera, kao vitalnog dela sistema, a koji im može pomoći i u zakonskom usaglašavanju i u svakodnevnom poslovanju…
Kojim putem?
Profesionalne video menadžment softver solucije upravo omogućuju drugačiji pristup samom korišćenju sistema, i nude jednostavnost i efikasnost u kreiranju i poštovanju kompanijskih procedura i politika vezanih za bezbednost, cyber-security, zakonsku usklađenost, GDPR,…
AI i deep learning algoritmi čine video nadzor sisteme proaktivnim, a korisnicima pružaju do sada neviđen stepen jednostavnosti, efikasnosti i brzine u radu, što je na srednjim i velikim video nadzor instalacijama od ključnog značaja.
Čak i za zemlje regije Balkana, gde još uvek nisu svi korisnici u obavezi sa GDPR usklađivanjem, primetan je porast potražnje korisnika za profesionalnim video menadžment softver solucijama prilikom planiranja i projektovanja sistema. Kao osnovni razlog za to je planiranje unapred i ostavljanje mogućnosti za sistem da doživi neophodne upgrade-e a samim tim i neophodnu zakonsku usaglašenost, tokom vremena. Korisnici koji ostanu „zaključani“ na konvencionalnim rešenjima imaće neopravdan, veći finansijski kao i resursni problem, već u relativno skorom roku.
Zakonsko i GDPR usaglašavanje
Upstream ICT Alliance sa partnerima širom regije pomaže srednjim i velikim kompanijama koje posluju u zemljama Balkana, da usklade svoje procese i procedure sa aktivnom zakonskom regulativom i sa GDPR-om, kada su video nadzor solucije u pitanju.
Licencirani dugogodišnji video nadzor eksperti, za korisnike mogu kompletirati detaljnu analizu postojećeg stanja, kao i predložiti dalje neophodne korake kroz različita enterprise tehničko-tehnološka rešenja koja bi na najefikasniji način odgovorila na konkretne zahteve. Prosledite nam kratak upit putem kontakt formulara i zakažite sastanak.
Dodatni izvori
- ICO.org Vodič za General Data Protection Regulation
- EU Data Protection Supervisor “The EDPS Video-Surveillance Guidelines”
- EU Data Protection Supervisor “Article 13 – Information to be provided where personal data are collected from the data subject”
- EU Data Protection Supervisor “Article 25 – Data protection by design and by default”
- EU Data Protection Supervisor “Article 15 – Right of access by the data subject”
- EU Data Protection Supervisor “Article 33 – Notification of a personal data breach to the supervisory authority”