Камери за наблюдение, засегнати от GDPR

От Daniel Iona Icu, четвъртък, 26 април 2018 г., 10:00. Последна актуализация в четвъртък, 26 април 2018 г., 18:50

наблюдение

Камерите за наблюдение са „горещият картоф“ на регламента GDPR относно защитата на личните данни, който ще се прилага в Румъния и в останалата част от Европейския съюз от 25 май. Експертите посочват, че има няколко условия по отношение на местоположението на видеокамерите. Те казват още, че дори упълномощените физически лица трябва да се съобразяват с новия регламент и единствените, които не трябва да го приемат, са съдилищата и институциите в областта на националната сигурност, които имат други закони, според които действат.

Видео изображенията са лични данни

„Видеонаблюдение - в света има над 550 милиона камери за наблюдение. Видео изображенията, където и да са поставени, лични данни ли са? Със сигурност. Защото те могат да доведат до нашата идентификация, че сме на определено място и правим определена операция.

Ако са злоупотребявани, ако нямаме съгласието на работещите в определен периметър или ако има жертви, те не могат да бъдат настанени ", каза консултантът Раду Крамалюк по време на събитие, проведено от Axis Communications.

Axis е един от най-големите производители на видеокамери в света и е собственост на японската група Canon.

Изображенията трябва да бъдат изтрити в рамките на 30 дни

„Начинът, по който съхраняваме тези данни, е много важен и особено продължителността. В много страни има препоръки, у нас е препоръка на Националния надзорен орган данните да се съхраняват 30 дни. Трябва да имате легитимен интерес, да информирате служителите, да имате съгласието на профсъюза и можете да опитате по-малко инвазивна система, като например да имате охрана ", казва Крамалюк.

"Правно основание"

„Ако нямаме законовата обосновка защо инсталираме камера за наблюдение, тогава трябва да преосмислим. Те могат да бъдат разположени за предотвратяване на престъпления, предотвратяване на неправомерно поведение от страна на служителите, подобряване на производителността или сигурността и могат да бъдат разположени в съответствие със закона.

Ако са инсталирани на обществени места, по алеи и т.н., не се изисква съгласие. Ако са инсталирани в частни пространства, не трябва да се изисква съгласие, но те трябва да бъдат обозначени с обозначения, така че всеки да може да вижда и знае. Например в обществения транспорт всички виждат.

На някои места няма оправдание за поставяне на видеокамери, като съблекални, места за хранене, други места, където дейностите са по-интимни “, каза той.

Слаба връзка

Крамалюк цитира проучване за киберсигурност, според което 65-70% от нарушенията на сигурността са вътрешни, било поради хора или оборудване. GDPR ще намали този риск просто като изисква от всяка компания да има политика за данни и план за управление на ситуацията в случай на нарушения на сигурността.

„Има ситуации, в които не е оправдано да се отделя стая. След като идентифицираме бизнес потока, всеки, който управлява тази система, системен инженер или компания, означава, че той има ролята на оператор на данни. И това означава, че той има някои задължения. Ако той е служител, трябва да съм сигурен, че имам всичко в ред. Ако е компания, трябва да се уверя по договор, че тя поема своите отговорности ", казва консултантът.

Той също така дава няколко прости примера.

„Ако записите изчезнат, някой идва и ви покрива стая и нещо се случва. Силата ви изчезва и нещо се случва за тези половин час. Това вече е област на уязвимости. Защитата на данните трябва да влезе в нашата култура.

Има рискове, ако имате камера и направите заснемане за различни цели. Искате да направите профилиране, анализ на данни, за всичко това трябва да имате правно основание.

За всеки магазин, който има витрина и е под видеонаблюдение, трябва да има плакат, който да информира хората. Всяка компания, която има камери за наблюдение, трябва да има табели, които да знаят на хората, че не се наблюдават. ", Крамалюк също каза.

Защита на данните, като диета за цял живот

Раду Крамалюк казва, че регламентът GDPR осигурява „здрав разум“, но основният му ефект ще бъде, че ще ни информира за защитата на данните и ще ни осведоми за много неща, които сега пропускаме.

„Първият разрушителен ефект и може би най-драматичният: мислете, че трябва да спазвате диета цял живот. Законът казва, че здравият разум е най-важен. Всяка компания, дори ако е на Великденски остров, трябва да се съобрази с GDPR, ако има клиенти в Европейския съюз, за ​​клиенти в ЕС. Вероятно след една година той ще бъде изменен от Съвета на Европа. Но това е постоянно, необратимо е. Има отделни разпоредби за цифровите комуникации, електронната търговия и маркетинга.

Има здрав разум: научете служителите да защитават данните на клиентите. Според новия регламент вие сте длъжни да утвърдите своята отговорност, аз трябва да докажа, че съм в състояние да защитя вашите данни. Бях изненадан да отида в ИТ компании, които не са имали такива политики.

Данните са мощност, но мощността не е достатъчна. Целта на тази наредба не е да заключва данните в сейф със седем катинара, а да ги направи прозрачни, да циркулират.

В допълнение към защитата на данните има и правото да бъдеш забравен в Европейския съюз, има право на преносимост на данните.

Всяка компания също трябва да има план с влизането в сила на този регламент. Всяка компания трябва да има план за пробиви в сигурността и да го докладва. Както имаме план за евакуация в случай на пожар, така и ние трябва да имаме нарушения на данните.

Принципите на поверителност по дизайн и поверителност по подразбиране също трябва да бъдат приложени. И накрая, трансфер на данни. Между страните от ЕС няма проблеми, но има още 11 държави, които имат споразумения с ЕС и се считат за сигурни. За останалото те трябва да бъдат анализирани “, показа още експертът.

Бизнес данните също са лични данни

Radu Crahmaliuc също показа, че така или иначе се препоръчва да се грижите за личните данни, защото всичко, което правите, е свързано с данни, а бизнес данните също са лични данни.

„Бизнес данните са по-ценни от личните данни. Подобно на списъка с клиенти, с телефонен или имейл адрес. Бизнес данните са лични данни “, каза той.

Всички PFA в Румъния, задължени да спазват GDPR

Той каза също, че регламентът е приложим за упълномощени лица в Румъния.

„Ако сте малка компания и казвате, че сте твърде малка и GDPR не ви засяга, това не е вярно. Дори ако сте упълномощено физическо лице и имате договори, трябва да спазвате GDPR. Същото, ако имате 5 служители, 50 или 5000 ", добави той.

Единствените, които не са задължени да спазват GDPR, са съдилищата и институциите в областта на националната сигурност, които имат отделни закони.

За предпочитане е файловете да се изпращат криптирани

И накрая, експертът препоръча съхранените данни да бъдат шифровани и файловете, изпратени по имейл, от своя страна да бъдат криптирани или защитени с парола, за да се предотврати попадането на информацията в ръцете на неупълномощени лица.

"Всички данни, съхранявани на сървъра, трябва да бъдат криптирани. Също така, ако изпращаме файлове по имейл, имейлът е криптиран, но файлът не е. Препоръчително е файловете да бъдат шифровани и защитени с парола. ".

Глоби до 4% от оборота

Компаниите, които не спазват регламента GDPR, могат да бъдат глобени до 4% от оборота.

Ако Facebook бъде глобен за изтичане на информация в случая на Cambridge Analytica, при който са събрани данните на 87 милиона души, американският гигант може да бъде глобен до 1,6 милиарда долара за всеки от 28-те на държавите от Европейския съюз.