Az Európai Adatvédelmi Testület 3/ 2019 iránymutatása a videofelvétel készítésére alkalmas eszközökkel történő személyes adatkezeléssel kapcsolatban (Összefoglaló)

(Nyilvános konzultációra bocsátott változat)

A Testület szerint videofelvétel készítésére alkalmas eszközök intenzív használata hatással van az állampolgárok viselkedésére. Ezek a technológiák korlátozzák a szolgáltatások névtelen használatát, és általában, hogy az ember anonim maradjon. Névtelennek maradni és megőrizni a magánéletet általában is bonyolultabbá válik.

1. Alkalmazási terület

  • Személyes adat

Meghatározott területek rendszerszintű automatizált megfigyelése optikai vagy audiovizuális eszközökkel többnyire tulajdonvédelem, vagy a személyek élete és egészsége miatt napjaink fontos jelensége. Az adatokkal való visszaélés kockázata nő a megfigyelt terület nagysága és a területen megforduló emberek számával együtt. A GDPR 35. cikk (3) bekezdés c) pontja ezért írja elő adatvédelmi hatásvizsgálat lefolytatását nyilvános helyek nagymértékű, módszeres megfigyelése esetén, ahogyan a 37. cikk (1) bekezdés b) pontja, amely adatvédelmi tisztviselő kinevezését írja elő, ha az adatkezelési tevékenység az érintetek rendszeres és szisztematikus nagymértékű megfigyelését teszi szükségessé.

A szabályozás nem vonatkozik olyan adatkezelésekre, amely alapján a személyek nem azonosíthatók közvetlenül vagy közvetetten.

Példák: Az álkamerák nem tartoznak a GDPR hatálya alá. Néhány tagállamban azonban egyéb szabályozás tárgyai lehetnek.

Nagy magasságból történő felvételkészítés esetén az adatkezelés akkor tartozik a GDPR hatálya alá, ha kezelt adat meghatározott személyhez köthető.

Az autóban lévő parkoló asszisztensbe kamera van beszerelve, de természetes személyekhez kapcsolódóan nem gyűjt adatokat (pl.: rendszámtáblákról vagy gyalogosokról), akkor nem tartozik a GDPR hatálya alá a működése.

  • Háztartási kivétel

A GDPR 2. cikk (2) bekezdés c) pont értelmében, a GDPR nem alkalmazandó, ha a személyes adatok kezelését természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik. Ez az úgynevezett háztartási kivétel kamerás megfigyelés esetén szűken értelmezendő. Az Európai Bíróság szerint a háztartási kivétel csak olyan esetekben alkalmazható, ha a személyek vagy család privát élete folyamán megvalósított adatkezelésről van szó, amely nyilvánvalóan nem lehetséges személyes adatok interneten történő közzététele esetén, amikor az adatok meghatározhatatlan számú ember számára lesznek elérhetőek. Továbbá, ha a kamerás megfigyelés személyes adatok folyamatos felvételét és tárolását jelenti, és a kamera megfigyel akár részben is közterületet, nem tekinthető teljesen személyes vagy otthoni tevékenységnek.

A video eszközök alkalmazása, amelyek egy magánszemély épületén belül működnek, a háztartási kivételek alá eshetnek. Ez számos tényezőtől függ. A fentieken kívül figyelembe kell venni az üzemeltetőnek, hogy van-e személyes kapcsolata az érintettekkel, a megfigyelés mértéke valamilyen hivatásos tevékenységet sugall-e és a megfigyelés lehetséges hatásait az érintettekre. A fentiek egyike sem jelenti szükségszerűen, hogy ebben az esetben nem tartozhat a tevékenység a háztartási kivétel alá, azonban minden esetben egyedi értékelés szükséges ennek a meghatározásához.

2. Az adatkezelés jogszerűsége

Ezen eszközök alkalmazása előtt részletesen meg kell határozni az adatkezelés célját. A kamerás megfigyelés számos célt szolgálhat, amelyeket írásba kell foglalni, és minden egyes kamera vonatkozásában részletesen meg kell határozni. Azon kamerák, amelyeket ugyanaz az adatkezelő ugyanarra a célra használ, együtt dokumentálhatók, ameddig minden használatban lévő kamerának dokumentált célja van. Az érintetteket tájékoztatásának a GDPR 13. cikke szerint kell történnie. A „biztonsági” vagy az „Ön biztonsága céljából” meghatározás nem eléggé részletes.

Minden a GDPR 6. cikkében meghatározott jogalap alapul szolgálhat videóval történő megfigyelésre, azonban a gyakorlatban leginkább a jogos érdek [f) pont] és a közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében [e) pont] végzett adatkezelés történik. A hozzájárulás [ a) pont] kivételes esetben használható.

  • Jogos érdek

Az adatkezelő vagy a harmadik személy jogos érdeke lehet jogi, gazdasági vagy nem anyagi érdek, azonban, ha az érintett él a tiltakozáshoz való jogával az adatkezelőnek a GDPR 21. cikke szerint kell eljárni. A cél, hogy a tulajdont betöréstől, lopástól vagy vandalizmustól megvédje az adatkezelőnek jogos érdeket teremthet a kamerával történő megfigyeléshez. A jogos érdeknek létező problémának kell lennie. Az elszámoltathatóság miatt ajánlatos, hogy dokumentálják a jelentős incidenseket, mert ez bizonyítékként szolgálhat a jogos érdek létezésére.

Példa: Egy üzlettulajdonos új boltot akar nyitni, és kamerás megfigyelőrendszert szeretne telepíteni. Statisztikák bemutatásával bizonyíthatja, hogy a környéken jelentős a vandalizmus, és a szomszédos üzletek tapasztalatai is hasznosak lehetnek.

Közelgő veszélyhelyzetek jogos érdeket teremthetnek, ilyen lehet, ha az üzlet értékes árut ad el, például ékszert, vagy olyan területek, amelyek tipikusan tulajdon ellen elkövetett jogsértés területei, például benzinkút.

Az adatkezelésnek meg kell felelni az adattakarékosság elvének. A kamerás megfigyelőrendszer telepítése előtt az adatkezelőnek meg kell győződni róla, hogy alkalmas, megfelelő és szükséges-e a cél eléréséhez. Kamerás megfigyelőrendszer akkor telepíthető, ha az adatkezelés célja nem érhető el az érintett alapvető jogaiba és szabadságaiba kevésbé beavatkozó módon.

Ha az adatkezelő meg akarja előzni a tulajdonnal kapcsolatos bűncselekményeket, a kamerás megfigyelőrendszer helyett alternatív biztonsági intézkedéseket választhat. Ilyen lehet az ingatlan körbekerítése, portás alkalmazása, a biztonsági emberek rendszeres őrjárata, jobb világítás alkalmazása, biztonsági zárak alkalmazása.

Általában a kamerás megfigyelőrendszer szükségessége, ahhoz hogy az adatkezelő épületét megvédje az ingatlan határainál végződik (Ennek a szabályozása az egyes tagállamokban nemzeti jogalkotás tárgya lehet.). Mindamellett, vannak esetek, ahol az ingatlan megfigyelése nem elegendő a hatékony védelemhez. Néhány egyedi esetben szükséges lehet a kamerás megfigyelés kiterjesztése az épület közvetlen környezetére. Ebben az összefüggésben az adatkezelőnek fontolóra kell vennie a lehetséges fizikai és technikai eszközöket, például kitakarni vagy képpontosítani a nem releváns területeket.

Példa: Egy könyvesbolt meg akarja védeni az épületét vandalizmus ellen. Általánosságban, a kamerák csak az épületet magát vehetik fel, mert nem szükséges megfigyelni a szomszédos épületeket vagy közterületet.

A hatályos magyar szabályozás értelmében (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól 2005. évi CXXXIII. törvény (Szvmt.) 26. § (2) bekezdése) vagyonőr szerződésben megjelölt ingóságot az őrzött területen kívül is védheti, kivéve, hogy elektronikus megfigyelőrendszert közterületen ilyenkor sem alkalmazhat. Az Szvmt. hatálya alá tartozó esetekben tehát jelenleg közterületen kamerás megfigyelőrendszer nem alkalmazható vagyonőr által.

A szükségesség kérdése körében jelentősége van a bizonyítékként való megőrzésnek is. A választásnak a fekete boxos (azaz amikor a felvétel egy bizonyos idő elteltével automatikusan törlődik és csak incidens esetén hozzáférhető) vagy valós idejű megfigyelés (ha nincs szükség a felvételre) között szintén célhoz kötöttnek kell lennie. Ha például a kamerás megfigyelés célja a bizonyítékok megőrzése, akkor a valós idejű megfigyelés általában nem megfelelő.

A jogos érdek jogalap esetén érdekek közötti egyensúly vizsgálata kötelező. Az adatkezelőnek figyelembe kell venni az érintettek érdekeit, alapvető jogait és szabadságait a megfigyeléssel kapcsolatban, és hogy ez az érintettek jogait sérti, vagy negatív hatása van-e rájuk.

Példa: Egy magántulajdonban lévő parkoló társaság visszatérő problémát dokumentált a lopásokkal kapcsolatban a parkoló autóknál. A parkoló egy nyitott terület és bárki által könnyen megközelíthető, de jelzésekkel van körülvéve. A társaságnak jogos érdeke (az ügyfelek autóinak ellopásának megelőzése), hogy ellenőrizze a területet a nap azon szakában, amikor a problémát észlelik. Az érintettek korlátozott időkeretben vannak megfigyelve, nem pihenő területen vannak és az ő érdekük is a lopások megelőzése. Az adatkezelő jogos érdeke túllépi ebben az esetben az érintettek azon érdeke, hogy ne legyenek megfigyelve.

Példa: Egy étterem úgy dönt, hogy video kamerákat helyez el a mosdókban, hogy a tisztaságot ellenőrizze. Ebben az esetben nyilvánvaló, hogy az érintettek jogos érdeke túllépi az adatkezelő jogos érdekét, így nem szerelhetnek fel kamerákat.

Absztrakt szituációkra való hivatkozás vagy hasonló szituációkkal való összehasonlítás nem megfelelő, esetről esetre való döntéshozatalra van szükség. Az adatkezelőnek értékelni kell az érintett adataiba történő beavatkozás kockázatát, döntő tényező a beavatkozás erőssége az egyének jogaiba és szabadságaiba. A beavatkozás erőssége többek között meghatározható az információ tartalma, a kiterjedés (térbeli, földrajzi), az érintettek száma, az érintettek csoportjának érdeke által.

Példa: Fedélzeti kamera telepítése esetén (azon célból, hogy bizonyítékul szolgáljon baleset esetén), fontos, hogy gondoskodjunk róla, hogy az nem folyamatosan filmezi a forgalmat, ahogy az út közelében lévő személyeket sem. Másként, az, hogy legyen bizonyítékul szolgáló videó felvétel egy elméleti baleset esetére, nem igazolhatja az érintettek jogaiba történő súlyos beavatkozást. Még, ha bizonyos esetben elméletileg lehetséges is a jogos érdeket igazolni ilyen megfigyelés esetén, az adatkezelőnek akkor is meg kell felelnie az alapelveknek és az átláthatósági követelményeknek, hogy az érintettek tájékoztatása a 13. cikk szerint megtörténjen.

A fentiek alapján tehát fedélzeti kamera jogszerű telepítése csak igen szűk körben képzelhető el.

Az érintettek ésszerű elvárásaival kapcsolatban a döntő tényező, hogy egy objektív kívülálló számára ésszerűen elvárható és kikövetkeztethető-e a megfigyelés ténye egy konkrét szituációban. Egy munkavállaló legtöbb esetben nem számít rá, hogy megfigyelik. A bank ügyfele azonban ésszerűen számíthat rá, hogy kamerát alkalmaznak a bankban vagy az ATM-nél.

A munkavállalókkal kapcsolatban a 29. cikk szerinti Adatvédelmi Munkacsoport 2/2017. számú véleménye a munkahelyi adatkezelésről kimondja, hogy a videofelvételek elemzésére szolgáló eszközök műszaki lehetőségeinek köszönhetően a munkáltató számára lehetővé válik a dolgozó arckifejezésének automatizált megfigyelése, az előre meghatározott mozgásmintázatoktól való eltérés felismerése (pl. üzemi környezetben), és hasonlók. Ez azonban a munkavállalók jogaihoz és szabadságaihoz viszonyítva aránytalan, és így általában jogszerűtlen lenne. Az adatkezelés emellett valószínűleg profilkészítést és esetleg automatizált döntéshozatalt is magában foglalna, ezért a munkáltatóknak tartózkodniuk kell az arcfelismerési technológiák alkalmazásától. A szabály alól lehetnek speciális kivételek, de az ilyen helyzetek nem használhatók fel annak alátámasztására, hogy az ilyen technológia általános alkalmazása jogszerű.

  • Hozzájárulás

A hozzájárulásnak önkéntesnek, konkrétnak, megfelelő tájékoztatáson alapulónak, egyértelműnek kell lennie. A kamerás megfigyelés természetéből adódik, hogy ez a technológia ismeretlen számú személyt figyel meg egyszerre, ezért a GDPR 7. cikk (1) bekezdésében foglalt előzetes hozzájárulás bizonyítása nehezen megvalósítható. Amennyiben pedig az érintett a 7. cikk (3) bekezdésében foglaltaknak megfelelően visszavonja hozzájárulását, az adatkezelőnek nehéz bizonyítani, hogy már nem kezeli az érintett adatait.

Ha az adatkezelő mégis a hozzájárulást szeretné a megfigyelés jogalapjának az ő felelőssége, hogy minden érintett, aki belép a megfigyelt területre hozzájárulását adja, amely megfelel a 7. cikk követelményeinek. A jelzéssel ellátott megfigyelt területre való belépés nem jelent hozzájárulást, hacsak nem felel meg a 4. és 7. cikkek feltételeinek.

A munkáltató és a munkavállaló között fennálló hatalmi egyensúly miatt, a munkáltatók legtöbb esetben nem alapíthatják az adatkezelést a hozzájárulásra, mert az nem önkéntes.

Példa: A sportolók kérhetik, hogy egyéni gyakorlás közben felvegyék őket, hogy elemezhessék a technikájukat. Másrészt viszont, ha a sport klub kezdeményezi, hogy az egész csapatot felvegyék ugyanazon célból, a hozzájárulás gyakran nem lesz érvényes, mert nyomást érezhetnek a sportolók a hozzájárulásra, hogy az ő elutasításuk ne befolyásolja hátrányosan a csapattársakat.

3. A videofelvétel közlése harmadik személyek részére

A személyes adatok közléséhez az adatkezelőnek valamely, a GDPR 6. cikkben meghatározott jogalapra van szüksége. A videofelvételek harmadik személyek részére történő továbbítása más célból, mint amilyen célból gyűjtve lett a GDPR 6. cikk (4) bekezdésében foglaltaknak megfelelően lehetséges.

Példa: Egy parkolóban a sorompó kamerás megfigyelése a kárügyek megoldása céljából történik. A kár bekövetkezik és felvételt az ügyvédnek továbbítják, hogy megoldja az esetet. Ebben az esetben a felvételkészítés és továbbítás célja azonos.

Példa: Egy sorompó kamerás megfigyelése parkolóban a kárügyek megoldása céljából történik, ha azonban a felvételt pusztán szórakoztatási célból online közzéteszik, akkor az adatkezelési cél megváltozik és nem összeegyeztethető az eredeti céllal. Továbbá problémás lenne a jogalap azonosítása ezen célból (publikálás).

A harmadik személyeknek saját elemzést kell készíteni ahhoz, hogy azonosítsák az adatkezeléshez szükséges jogalapot (pl.: megkapják a felvételeket).

  • A felvételek továbbítása rendvédelmi szervezetek részére

A felvételek továbbítása a rendvédelmi szervek részére szintén független folyamat, amely külön indoklást kíván az adatkezelő részéről. Ha a nemzeti jog megkívánja az adatkezelőtől a hatóságokkal való együttműködést, akkor a jogalap a továbbításra a GDPR 6. cikk (1) bekezdés c) pontja.

Példa: Egy üzlettulajdonos felvételt készít a bejáratnál. A kamera felveszi, hogy egy személy ellopja valaki pénztárcáját. A rendőrség kéri a felvételek átadását a nyomozás miatt. Ebben az esetben a jogalap a GDPR 6. cikk (1) bekezdés c) pontja.

Példa: Az üzlet bejáratánál biztonsági célból kamera van telepítve. A tulajdonos úgy gondolja, hogy valami gyanúsat vett fel a kamera és elküldi azt a rendőrség részére kérés nélkül. Ebben az esetben az üzlettulajdonosnak meg kell állapítani, hogy feltételek megfelelnek-e, – legtöbb esetben a jogos érdek, – feltételeinek.

4. A személyes adatok különleges kategóriáinak kezelése

A kamerás megfigyelőrendszerek általában jelentős mennyiségű olyan személyes adatot gyűjtenek, amelyek a személyes adatok különleges kategóriáihoz tartoznak. Ha a videofelvételből különleges személyes adat kikövetkeztethető, a GDPR 9. cikk (1) bekezdése alkalmazandó.

Példa: A politikai vélemény kikövetkeztethető olyan képekből, amelyen az érintett bizonyos eseményen vagy sztrájkon vesz részt, így a GDPR 9. cikk alkalmazandó.

Példa: Ha a kórház videokamerát szerel fel, hogy felügyelje a betegek egészségi állapotát, szintén a GDPR 9. cikk hatálya alá tartozik.

A 9. cikk (2) bekezdés e) pontjára (az érintett által kifejezetten nyilvánosságra hozott) nem hivatkozhat az adatkezelő kamerás megfigyelés esetén. Az, hogy a kamera látószögébe valaki belép, nem jelenti, hogy különleges személyes adatokat nyilvánosságra akar hozni.

Tovább a különleges adatok kezelése bizonyos kötelezettségek betartását igényli, például a biztonság magas szintjét igényli, és ahol szükséges adatvédelmi hatásvizsgálatot.

  • Biometrikus adatok

A biometrikus adatok és különösen az arcfelismerés használata az érintettek jogainak magasabb kockázatával jár. Ahol ezek a technológiák különösen hatékonyak, az adatkezelőknek először meg kell állapítani az alapvető jogokra és szabadságokra gyakorolt hatását és megfontolni egy, az érintett jogaiba kevésbé beavatkozó technológia alkalmazását.

A biometrikus adatok három kritériuma:

  • Az adat természete: egy természetes személy fizikai, fiziológiai, viselkedési jellemzőire utal.
  • Az adatkezelés eszköze és módjai: sajátos technikai eljárásokkal nyert személyes adat.
  • Az adatkezelés célja: természetes személy egyedi azonosítása.

Kamerás megfigyelőrendszer alkalmazása, amely biometrikus felismerést alkalmaz és privát entitások a saját céljaikra használják (pl. marketing, statisztikai, vagy akár még biztonsági) legtöbb esetben hozzájárulást igényel a 9. cikk (2) bekezdés a) pont szerint.

Ha 9. cikk szerinti hozzájárulás a jogalap, az adatkezelő nem kötheti a szolgáltatás igénybevételét a biometrikus adatkezeléshez. Ha a biometrikus adatkezelés azonosítási célokat szolgál, az adatkezelőnek alternatív megoldást kell nyújtani az érintett részére, amely nem foglal magában biometrikus azonosítást, korlátozás vagy plusz költség nélkül.

Az adatkezelőnek jogosulatlan hozzáférés esetén minden adatot törölni kell.

5. Az érintett jogai

  • Hozzáféréshez való jog

Az érintett joga, hogy megerősítést kapjon az adatkezelőtől, hogy az adatait kezelik-e vagy sem. Kamerás megfigyelés esetén, ha nincs tárolt vagy továbbított adat (valós idejű megfigyelés) az adatkezelő csak arról tud tájékoztatni, hogy már nem kezelnek a személyes adatokat az érintettről. Ha azonban a felvétel tárolásra kerül, az érintettnek a GDPR 15. cikke alapján hozzáféréshez való joga van.

A másolat igénylésére vonatkozó jog nem érintheti hátrányosan más jogait és szabadságait. Az adatkezelő bizonyos esetekben nem adhat ki olyan felvételt, amelyen mások is azonosíthatóak. Ez azonban nem vezethet arra, hogy az adatkezelő ezen okból a hozzáféréshez való jogát ne teljesítse, ehelyett technikai megoldást, eszközt kell alkalmazni, hogy a hozzáféréshez való jog teljesíthető legyen.

Ha a videofelvétel nem kereshető személyes adatra, az adatkezelő képtelen lehet az érintettet azonosítani. Ezért az érintettnek pontosan meg kell határozni (egy időkereten belül), hogy mikor lépett be a megfigyelt területre. Ha az adatkezelő nem tudja azonosítani az érintettet, akkor erről őt tájékoztatnia kell.

Példa: Ha az adatkezelő automatikusan törli a felvételeket 2 napon belül, az érintettet csak erről tájékoztatja, abban az esetben, ha a kérés ezen 2 nap után érkezik.

Ha nyilvánvalóan túlzó vagy megalapozatlan kérés érkezik az érintettől, az adatkezelő arányos díjat számíthat fel vagy megtagadhatja a kérelem alapján történő intézkedést. Az adatkezelőnek képesnek kell lennie bizonyítani a túlzó vagy nyilvánvalóan megalapozatlan jelleget.

  • Törléshez és tiltakozáshoz való jog

Ha az adatkezelő a személyes adatot a valós idejű megfigyelésen túl is kezeli, az érintett kérheti az adatai törlését a 17. cikk alapján.

Videofelvétel esetén ha a képet úgy elhomályosítják, hogy nem lehet visszaállítani belőle a személyes adatot, amit a kép tartalmazott, akkor töröltnek tekinthető a GDPR értelmében.

A jogos érdeken és közérdeken alapuló kamerás megfigyelés esetén az érintettnek bármikor joga van, hogy a saját helyzetével kapcsolatos okból tiltakozzon az adatkezelés ellen. A kamerás megfigyelés esetén a tiltakozás történhet a megfigyelt területre való belépés előtt, az alatt vagy a megfigyelt terület elhagyása után.

Direkt marketing céljából történő video megfigyelés esetén az érintettnek joga van arra, hogy bármikor tiltakozzon a megfigyelés ellen, és ebben az esetben az adatok nem kezelhetők.

  • Átláthatóság és tájékoztatási kötelezettség

Kamerás megfigyelés esetén a legfontosabb információkat figyelmeztető táblán kell elhelyezni, a tájékoztatás további kötelező részleteit más módon kell nyújtani.

A releváns információkat tartalmazó figyelmeztető táblákat kell használni. A könnyű láthatóság, olvashatóság, érthetőség miatt érdemes ikonokat alkalmazni.

Az információt a megfigyelt területtől megfelelő távolságra kell elhelyezni, úgy az érintett a megfigyelt területre való belépés előtt könnyen észlelje a megfigyelés körülményeit.

Az elsődleges tájékoztatónak a legfontosabb információkat kell tartalmaznia, mint az adatkezelés céljait, az adatkezelő személyét, az érintett jogainak létét, az adatkezelés legfontosabb hatásait, a jogos érdeket, az adatvédelmi tisztviselő kapcsolat adatait, illetve utalnia kell a részletesebb második tájékoztatóra, illetve, hogy az hol és hogyan található meg. Olyan információkat is tartalmazhat, amely az érintettek számára meglepő lehet, például a harmadik személyek részére történő adatátadás történik-e, esetlegesen EU-n kívüli szervezetek részére, a tárolás időtartamát, vagy, hogy élő megfigyelés van-e anélkül, hogy felvétel készülne.

A második, részletesebb tájékoztatónak is könnyen elérhetőnek kell lennie például egy központi helyen (információs pult, kassza, recepció) vagy egy könnyen elérhető plakáton. A legjobb, ha az elsődleges tájékoztató ennek a digitális elérhetőségére utal, de nem digitális formában is könnyen elérhetőnek kell lennie, anélkül, hogy a megfigyelt területre az érintett belépne. Ez lehetséges egy linkkel, vagy pl. egy telefonszám megadásával az elsődleges tájékoztatón. Ennek a részletesebb információnak minden a 13. cikk szerint kötelező információt tartalmaznia kell.

Az Európai Adatvédelmi Testület javasolja, hogy az adatkezelők az információnyújtáshoz használjanak technológiai eszközöket, például a kamerák geolokációs meghatározását, beleértve feltérképező alkalmazásokon és weboldalakon keresztül történő információnyújtást, ez egyrészt az egyén jogainak gyakorlását, másrészt az adatkezelésről való részletesebb információszerzést segítheti elő.

6. Tárolási időtartam és a törlés kötelezettsége

Az adatkezelő felelőssége, hogy meghatározza a tárolási időt, és bizonyítsa a GDPR-nak való megfelelést. A legtöbb kamerás megfigyelés tulajdonvédelmi célból és bizonyíték szolgáltatása céljából történik. Általában az okozott károk 1-2 nap alatt felfedezhetők, ezért a legtöbb esetben a felvételek néhány napon belüli automatikus törlése megfelelő.

Példa: Egy kis üzlet normál esetben egy nap alatt észleli, ha vandalizmus történik. Ezért a normál tárolási idő 24 órában történő meghatározása megfelelő. Ünnepnapokon vagy hétvégeken, ha zárva van a bolt a hosszabb tárolási idő indokolt lehet. Ha kárt fedeznek fel, szintén hosszabb tárolási idő lehet szükséges a károkozó elleni jogi lépések megtétele miatt.

7. Technikai és szervezeti intézkedések

Az adatkezelőknek a megfelelő technikai és szervezeti intézkedések a kamerás megfigyelőrendszerek tervezésekor meg kell valósítani, mielőtt elkezdik gyűjteni az adatokat.

Szervezeti intézkedések:

  • Ki a felelős a kamerás megfigyelőrendszer működéséért?
  • A megfigyelés célja és területe.
  • Átláthatósági intézkedések.
  • Kinek van hozzáférése a felvételekhez, és milyen célból?
  • Működési eljárások (Ki által és honnan van felügyelve a működés, mi történik incidens esetén?)
  • A beszerzésre, telepítésre, karbantartásra vonatkozó eljárások.

Technikai intézkedések:

  • Fizikai védelem: lopás, vandalizmus, természeti katasztrófa, ember által véletlenszerűen okozott károk esetére.
  • Rendszer és adatbiztonság: (szándékos vagy véletlen beavatkozás történik a rendszer normális működésébe) például titkosítással, tűzfallal, vírusirtóval.
  • Hozzáférés kontroll: csak jogosult személyek férhetnek hozzá a rendszerhez és az adatokhoz: például a monitorokat úgy fordítani, hogy csak a jogosult lásson rá, a felhasználói azonosítás szabályai tisztázottak pl.: a jelszavak hossza, megváltoztatásának gyakorisága.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.

Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.

Vélemény, hozzászólás?

 
Read previous post:
2/2019 iránymutatás a személyes adatok GDPR 6. cikk (1) bekezdés b) pontja alapján történő kezelésével kapcsolatban az érintettek számára nyújtott online szolgáltatások tekintetében (Összefoglaló)

(Nyilvános konzultációra bocsátott változat) A GDPR 6. cikk b) pontja jogalapot biztosít a személyes adatok kezelésére, ha „az adatkezelés olyan...

Close