Nemrég jelent meg az European Data Protection Board „Guidelines 3/2019 on processing of personal data through video devices” elnevezésű segédlete a GDPR utáni videofelvétel készítéssel kapcsolatos legfontosabb tudnivalókról és irányelvekről. A segédlet természetesen nem tekinthető jogforrásnak, azonban segítséget nyújthat a megfelelő jogértelmezésben és a megfelelő eljárások kialakításában.
A tájékoztató a szabályozás kapcsán, első helyen a magáncélú felvételkészítés kivételét említi. A kizárólag személyes és szűk körű, családi adatkezelés ugyanis kívül eshet a GDPR hatókörén. Igaz lehet ez még videofelvételek készítésére is, például, ha turistaként készítünk felvételeket otthoni felhasználásra, vagy olyan kertről készítünk megfigyelés céljából felvételeket, amely körbe van kerítve és az rendszerint zárt.
Az otthon fogalmán túlmenő, nyilvános terek megfigyelése céljából telepített kamerarendszerek által rögzített és továbbított videofelvételek tekintetében viszont a GDPR már nagyon is releváns, azonban ott sem számít különleges adatnak (ezeket a szabályozás általánosságban jobban védi) az, ha valaki szemüveget visel, vagy épp kerekesszékben ül. Illetve teszem hozzá: ennek analógiájára semmilyen, az érintett egészségi állapotára vonatkozó, kamerafelvételen további vizsgálat nélkül egyértelműen azonosítható további információ sem (végtaghiány, egyéb fogyatékosság) számíthat annak.
Ellenben, a segédlet szerint, különleges adatként kell kezelni annak a kamerának a képét, amelynek célja a beteg egészségi állapotának a monitorozása. Azonban e szabály által támasztott speciális követelmények is módosulhatnak, ha a beteg nincs olyan állapotban, hogy előzetes hozzájárulását adhassa az ilyen célú felvételkészítéshez.
A dokumentum rögzíti, hogy a biometrikus adatkezelés és az arcfelismerés különösen jelentős kockázattal jár az érintettek számára. Bár a képfelvétel készítés akár már önmagában is biometrikus adatfelvételként lenne értelmezhető (és ezzel szigorúbb szabályok vonatkoznának rá), de csak akkor esik ezen kategória alá, amennyiben a célja az érintettek egyedi azonosítása. Utóbbi esetben viszont szükséges az érintett előzetes tájékoztatása és kifejezett hozzájárulása.
Azonban a segédlet szerint nem számít különleges adatok kezelésének, ha az arcfelismerés során nem történik egyedi azonosítás, nem is készül egyedi profil, hanem a rendszer célja például általános statisztikai adatgyűjtés, mondjuk egy bolt látogatóinak neméről, becsült életkoráról.
Ha azonban az ilyen rendszer a látogatót – bármilyen módon – egyedileg is azonosítja, akár csak időlegesen, például, hogy követni lehessen a bolton belüli helységek meglátogatásának sorrendjét, akkor adott esetben már különleges adatok kezeléséről kellene beszélni.
Természetesen ehhez is be lehet szerezni az érintettek megfelelő tájékoztatáson alapuló, kifejezett hozzájárulását, azonban egy ilyen rendszer nem hathat ki olyan személyekre, akik nem adták meg ezen engedélyt, és nem kerültek előzetesen tájékoztatásra.
Utóbbi korlátozásba kell érteni azt az eshetőséget is, amikor az arcfelismerő rendszer működtetésének kifejezett célja a tömeges adatfelvételből azonosítani néhány személyt, amelynek adatai előzetesen rögzítésre kerültek, hiszen a biometrikus adatfelvétel, egyedi azonosítás céljából (igaz, csak nemleges megállapítás erejéig), mindenkire kiterjed.
Megfelelően működő biometrikus adatkezelési rendszer esetében is biztosítani kell a lehetőséget az érintettnek, hogy más módon azonosítsa magát, amely egyben szükségszerű is, amennyiben az érintett a biometrikus azonosításra képtelen, vagy az jelentős nehézségbe ütközik.
Amennyiben a biometrikus adatrögzítés feltételei adottak, akkor is kifejezetten törekedni kell az adatminimalizálás elvére, a begyűjtött biometrikus adatokat megfelelő védelemmel kell ellátni, a nyers felvételeket a célhoz kötött adatkezelésen túlmenően, megfelelő jogalap hiányában, további feldolgozási eljárásoknak tilos alávetni.
Az érintettnek joga van (többek között) a róla készült videofelvételről:
- másolatot kérni (azonban körülbelül meg kell tudnia jelölni, hogy mikor és hol tartózkodott a kérdéses időben),
- kérni a felvétellel rögzített személyes adatai törlését (amennyiben nagyobb tömeg kapcsán, több más érintett is szerepel a felvételen, akkor legalább elmosás technikával).
A célhoz kötött adatkezelés és az adatminimalizálás elve alapján a tulajdon védelmét célzó felvételkészítés időtartama általában nem lehet több néhány napnál, de a 72 órát meghaladó adattárolás már mindenképp külön indokolást igényelhet (mindez természetesen nem jelenti azt, hogy ne lehetne megindokolni).
Az adatkezelő feladata a megszerzett személyes adatok megfelelő védelme, amely alapvetően nem különbözik más IT rendszerek védelmétől és a teljes adatkezelési folyamatra, így a rögzítésre, a továbbításra és a feldolgozásra is ki kell terjednie. A követendő eljárásokra példaként az IEC TS 62045 és a ISO/IEC 27000 követelményeket említi a tájékoztató.
A dokumentum külön kitér arra is, hogy az előzetes tájékoztatásnak mi a javasolt formája. A tájékoztatásnak az ajánlás szerint kétszintűnek kell lennie. Az első tájékoztatási pontnál már nem elegendő a kamerafelvétel tényét piktogramként (esetleg egy mondatos figyelmeztetés mellett) megjeleníteni.
A példa szerint már az első tájékoztatási pontnál tájékoztatni kell az érintettet az adatkezelőről, elérhetőségéről, a felvételkészítés legfontosabb paramétereiről, a felvételkészítés okáról, az érintetti jogokról, illetve a második, részletes tájékoztatási pont elérhetőségéről.
Minta az ajánlásból.
A második tájékoztatási ponton már a teljeskörű adatvédelmi és adatkezelési tájékoztatásnak kell elérhetőnek lenni. Ez elérhető lehet QR kód segítségével az interneten is, de emellett az érintett számára elérhető, fizikai példánynak is rendelkezésre kell állni, például a recepciónál, biztonsági szolgálatnál, külön erre a célra létrehozott, vagy általános információs ponton. Mindez jelentősen átalakíthatja a jelenlegi gyakorlatot.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
