Pasikeitimai susiję su vaizdo stebėjimu, privaloma papildoma dokumentacija
Europos duomenų apsaugos valdyba išleido naujas gaires dėl duomenų tvarkymo naudojant vaizdo fiksavimo įrenginius. Be kita ko, gairėse pasisakoma ir dėl atliekamo vaizdo stebėjimo turto apsaugos tikslu. Kadangi tai yra vienas iš populiariausių vaizdo stebėjimo kamerų panaudojimo tikslų Lietuvoje, tikslinga apibendrinti svarbiausius Europos duomenų apsaugos valdybos išdėstytus aspektus.
Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) nenumato jokių specialių taisyklių, taikytinų vaizdo stebėjimui. Šiuo metu galiojanti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, skirtingai nei iki BDAR įsigaliojimo galiojanti jo redakcija, taipogi nenumato jokių specialių taisyklių. Todėl toliau bus aptarti svarbiausi Europos duomenų apsaugos valdybos išdėstyti aspektai, liečiantys vaizdo stebėjimą turto apsaugos tikslu.
Teisinis pagrindas
Turto apsaugos tikslu atliekamas vaizdo stebėjimas gali būti vykdomas tik teisėto intereso pagrindu (BDAR 6 str. 1 d. f p.) kai vaizdą stebi privačios įmonės ir valdžios įstaigos ir institucijos, kai tai būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas (BDAR 6 str. 1 d. e p.).
Valstybės institucijos diegdamos vaizdo stebėjimą gali remtis teisės aktų reikalavimais ir suteikiamomis teisėmis arba bendrųjų sveikatos ir saugumo užtikrinimo reikalavimų įgyvendinimu. Valstybės institucijos taipogi gali priimti specialius teisės aktus reguliuojančius jų atliekamą vaizdo stebėjimo, kuriuose išdėstytos taisyklės turėtų būti suderintos su BDAR principais.
Kiek kitokia situacija su privačiomis įmonėmis. Teisėtas interesas atlikti vaizdo stebėjimą turto apsaugos tikslu turėtų pasireikšti tikra ir realia grėsme, kad įmonės turtas gali būti apgadintas, sugadintas, pavogtas ar pan., o ne teorine grėsmės galimybe. Įmonė, laikydamasi atskaitomybės principo, turėtų sugebėti įrodyti, kad grėsmė patirti žalos yra reali. Įrodinėjimas galimas įvairiomis priemonėmis, pvz.: remiantis artimoje kaimynystėje įvykusiais incidentas ar incidentais, į kuriuos pateko pati bendrovė. Laikantis atskaitomybės principo, įmonė turėtų saugoti tokius incidentus pagrindžiančius dokumentus (kreipimąsi į policiją, policijos protokolus, teismo sprendimus ir pan.). Taipogi, teisėtas interesas gali egzistuoti ir dėl įmonės veiklos pobūdžio, pvz.: įmonė pardavinėja juvelyrinius dirbinius, ar teikia bankines ar panašias paslaugas. Taip pat gali būti remiamasi nusikalstamumo statistika konkrečioje vietovėje, tačiau ja reikėtų remtis labai atsargiai – vertinti tik nusikaltimus atliktus artimoje kaimynystėje, atsižvelgiant į pasitaikančių nusikaltimų pobūdį.
Papildomos dokumentacijos poreikis
Įsigaliojus minėtoms gairėms, juridiniai asmenys privalo pasirengti papildomus dokumentus:
- tiek įmonės, tiek valdžios institucijos ir įstaigos diegdamos naujas vaizdo stebėjimo kameras turėtų dokumentuoti kiekvienos vaizdo stebėjimo kameros tikslus (jei kelių vaizdo stebėjimo kamerų tikslas yra tas pats, jų tikslus galima dokumentuoti kartu).
- atitinkamai, turėtų būti parengiama aiški ir jau įdiegtų vaizdo stebėjimo kamerų dokumentacija, aprašanti kiekvienos kameros vaizdo stebėjimo tikslą (jei kelių vaizdo stebėjimo kamerų tikslas yra tas pats, jų tikslus galima dokumentuoti kartu).
- valdžios institucijoms derėtų priimti atitinkamus teisės aktus siekiant įteisinti jų vykdomą vaizdo stebėjimą. Sprendžiant dėl vaizdo stebėjimo įdiegimo, kiekvienas atvejis turėtų būti vertinamas atskirai įvertinant galimus teisėtus interesus ir jų poveikį asmenų teisėms ir laisvėms;
- parengti asmenų informavimui apie vykdomą vaizdo stebėjimą būtinus dokumentus (informacinio pobūdžio ženklus įspėjančius apie vaizdo stebėjimą, privatumo politiką interneto puslapiui ir pan.)
Duomenų saugojimo terminas
Iki BDAR įsigaliojimo galiojusioje Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo redakcijoje buvo numatytas maksimalus 14 kalendorinių dienų vaizdo stebėjimo duomenų saugojimo terminas. Įsigaliojus BDAR Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas buvo kardinaliai pakeistas ir jame šiuo metu nėra nieko užsimenama apie vaizdo stebėjimo duomenų saugojimo terminą. BDAR taipogi tokio termino nenustato. Po BDAR įsigaliojimo vis dar buvo įprastai laikytis šio 14 kalendorinių dienų maksimalaus vaizdo stebėjimo duomenų saugojimo termino.
Europos duomenų apsaugos valdybos gairėse išdėstyta pozicijai kardinaliai keičia šį duomenų saugojimo terminą. Jose nurodoma, kad žalai pastebėti užtenka vienos ar dviejų dienų. Atsižvelgiant į BDAR įtvirtintus saugojimo trukmės apribojimo bei duomenų kiekio mažinimo principus turto apsaugos tikslu neturėtų būti saugomi ilgiau nei keletą dienų. Kuo ilgesnis duomenų saugojimo terminas, tuo daugiau ir detalesnės argumentacijos dėl vaizdo stebėjimo reikalingumo ir tikslų bus privaloma, ypač jei vaizdo duomenų saugojimo terminas viršija 3 kalendorines dienas. Kai prieš savaitgalius ar po jų seka šventinės dienos, šiam laikotarpiui vaizdo stebėjimo duomenų saugojimas gali būti prailginamas, kad šiuo metu įrašyti vaizdo stebėjimo duomenys nebūtų ištrinti, jei įmonė ar valdžios institucija šiomis dienomis nedirba. Bet kuriuo atveju, informacija apie duomenų saugojimo laikotarpį asmenims turi būti pateikta aiškia ir suprantama forma.
Asmenų informavimas apie vykdomą vaizdo stebėjimą
BDAR 13 straipsnis nurodo kokia informacija asmenims turi būti pateikiama, kai duomenys renkami tiesiogiai iš paties asmens:
- duomenų valdytojo tapatybė ir kontaktinė informacija;
- duomenų apsaugos pareigūno kontaktinius duomenis, jei toks yra paskirtas;
- duomenų tvarkymo tikslą ir teisinį pagrindą;
- jei duomenų tvarkymas vykdomas teisėto intereso pagrindu, nurodyti teisėtą interesą kuriuo vadovaujamasi;
- jei duomenys kam nors perduodami ar suteikiama prieiga prie šių duomenų, nurodyti duomenų gavėjus ar jų kategorijas;
- jei duomenys perduodami į trečiąsias valstybes ar tarptautines organizacijas, nurodyti ar yra priimtas Europos Komisijos sprendimas dėl duomenų gavėjo tinkamumo arba kitas tinkamas ar pritaikytas apsaugos priemones;
- duomenų saugojimo laikotarpį arba kriterijus jam nustatyti;
- asmenų teises duomenų apsaugos srityje, numatytas BDAR 15, 16, 17, 18, 20 ir 21 straipsniuose;
- informuoti asmenį apie teisę bet kada atšaukti sutikimą, jei jo duomenys tvarkomi sutikimo pagrindu;
- informuoti asmenį apie tai, kad jis turi teisę pateikti skundą priežiūros institucijai;
- nurodyti ar duomenų pateikimas yra teisės aktais ar sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, o taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;
- jei atliekami automatizuoto sprendimų priėmimo ir/ar profiliavimo veiksmai, nurodyti prasmingą informaciją apie loginį jų/jo pagrindimą, o taip pat, tokio duomenų tvarkymo reikšmę bei galimas pasekmes asmeniui.
Visa ši informacija, tiek kiek ji taikoma atliekamam ar planuojamam atlikti vaizdo stebėjimui turi būti pateikta asmenims, kurie gali patekti į vaizdo stebėjimo lauką.
Tiek 29 straipsnio grupė (po BDAR įsigaliojimo tapusi Europos duomenų apsaugos valdyba), tiek Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) siūlė informavimą apie atliekamą vaizdo stebėjimą daryti dviem „sluoksniais“ – dalį šios informacijos pateikti informacinėje lentelėje (pirmasis „sluoksnis“), o likusią dalį informacijos asmuo galėtų gauti susisiekęs lentelėje nurodytais kontaktais ar rasti nurodytame interneto puslapyje (antras “sluoksnis”). VDAI netgi pateikė keletą galimų pirmojo „sluoksnio“ lentelių pavyzdžių iš kurių buvo galima pasirinkti norimą variantą. Mažiausiai informacijos pateikti reikalaujantis pavyzdys turėjo turėti aiškiai apie atliekamą vaizdo stebėjimą įspėjantį simbolį, duomenų tvarkymo tikslą bei duomenų valdytojo tapatybę bei kontaktinius duomenis.
Dabar duomenų apsaugos valdyba nubrėžė aiškesnes gaires, kaip turėtų būti informuojami asmenys apie atliekamą vaizdo stebėjimą. Toli nuo iki šiol siūlyto modelio nėra bėgama – vis dar siūlomas toks pats, dviejų „sluoksnių“ informavimo metodas, susidedantis iš įspėjamojo ženklo (pirmo „sluoksnio“) ir kituose šaltiniuose prieinamos informacijos (antrojo „sluoksnio“).
Pradžiai, yra pasisakoma apie tai, kaip turėtų matomas pats įspėjamasis ženklas – su jo turiniu asmuo turi galėti susipažinti nepatekdamas į vaizdo stebėjimo lauką. Pats ženklas turėtų būti daugmaž akių lygyje, lengvai pastebimas ir įskaitomas.
Šiame ženkle turėtų būti pateikiama pati svarbiausia informacija bei nuorodą į antrąjį informacijos „sluoksnį“. Svarbiausia informacija yra laikoma duomenų tvarkymo tikslas, duomenų valdytojo tapatybė, trumpa informacija apie asmens turimas teises. Taip pat, tokiame ženkle turėtų būti pateikta informacija, kurios paprastai asmuo gali nesitikėti. Pavyzdžiui, gairėse nurodoma, kad asmenys negali tikėtis, kad duomenys bus įrašomi ir saugomi tam tikrą laikotarpį, todėl jei duomenys yra išsaugomi – būtina nurodyti duomenų saugojimo terminą ar kriterijus jam nustatyti. Priešingu atveju būtų laikoma, kad vaizdas nėra įrašomas ir saugojamas, t. y. yra vykdomas gyvas stebėjimas. Taip pat, asmenys nesitiki, kad duomenys gali būti kam nors perduodami, ypač į trečiąsias šalis, tad jei egzistuoja tokie duomenų perdavimai, būtina ženkle pateikti informaciją apie tokius duomenų tvarkymo aspektus. Kokią konkrečiai informaciją pateikti įspėjamajame ženkle (pirmajame „sluoksnyje“) reikėtų vertinti kiekvienu konkrečiu atveju.
Antrajame „sluoksnyje“ turėtų būti aprašyta visi BDAR 13 straipsnyje (pateikta aukščiau) nurodyti duomenų tvarkymo aspektai. Pirmasis „sluoksnis“, t. y. įspėjamasis ženklas turėtų nukreipti į antrąjį sluoksnį – tai gali būti QR kodas su nuoroda į interneto puslapyje esančia vaizdo stebėjimo privatumo politiką, nuoroda į interneto puslapį, kuriame patalpinta ši privatumo politika, telefono numeris, el. pašto adresas, nuoroda kur rasti recepciją ar pan. Europos duomenų apsaugos valdyba skatina naudotis elektroninėmis priemonėmis, tačiau nurodo, kad ši informacija turėtų būti prieinama ir ne skaitmeniniu formatu, kur tai yra įmanoma, pvz.: jei viešbutis atlieka vaizdo stebėjimą savo vidiniame kieme, kuriame yra automobilių stovėjimo aikštelė, visą informaciją apie atliekamą vaizdo stebėjimą ne skaitmeniniu formatu turėtų būti galima gauti viešbučio recepcijoje ar laukiamajame arba jei parduotuvė atlieka vaizdo stebėjimą, visą informaciją apie atliekamą vaizdo stebėjimą ne skaitmeniniu formatu turėtų būti galima gauti parduotuvės kasoje ar informacijos skyriuje.
Apibendrinant šiuo pokyčius, galima teigti, kad vaido stebėjimui taikomi griežtesni teisėtumo reikalavimai, kadangi būtina pagrįsti tikrai egzistuojantį teisėtą interesą vykdomam vaizdo stebėjimui, grindžiamą faktiškai įvykusiais incidentais. Taipogi atsiranda nauja pareiga papildomai dokumentuoti vaizdo stebėjimą, griežčiau reguliuojami vaizdo saugojimo terminai.