Šių metų rugsėjo 16 d. Norvegijos duomenų apsaugos tarnyba paskyrė Norvegijos viešųjų kelių administracijai 37 400 EUR baudą už asmens duomenų tvarkymą tikslais, kurie buvo nesuderinami su nustatytais tikslais bei už vaizdo įrašų neištrynimą po nustatyto termino, t.y., 7 dienų. Apie organizacijos pareigas ir priemones, kaip išvengti baudų vykdant vaizdo stebėjimą supažindina Duomenų apsaugos pareigūnas Allaw.

Organizacijos pareiga tvarkyti duomenis aiškiai apibrėžtais bei teisėtais tikslais


Vadovaujantis Bendrame duomenų apsaugos reglamente (toliau - BDAR) įtvirtintu tikslo apribojimo principu (5 str. 1 d. b) punktas) asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. 

Vadovaujantis Valstybinės duomenų apsaugos inspekcijos rekomendacijomis, duomenų valdytojas prieš įdiegdamas vaizdo stebėjimo sistemas, privalo kritiškai įvertinti, ar ši priemonė, pirma, yra tinkama tikslui pasiekti, antra, ar ji adekvati tokiam tikslui pasiekti. Pavyzdžiui, jei duomenų valdytojas siekia apsaugoti nuosavybę nuo galimų nusikalstamų veikų, jis, pirmiausia, turėtų įvertinti, ar kitos priemonės (ne vaizdo stebėjimo) galėtų pasiekti tuos pačius tikslus (pavyzdžiui, tvoros įrengimas, apsaugos darbuotojo pasamdymas, apšvietimo sistemos atnaujinimas, papildomų fizinių apsaugos priemonių (užraktų) įrengimas ir kt.).

Įvertinus aukščiau paminėtus aspektus ir nustačius tikslą asmens duomenys gali būti tvarkomi tik to tikslo apimtyje. Minėtu baudos skyrimo atveju Norvegijos viešųjų kelių administracija buvo nustačiusi, kad vykdys vaizdo stebėjimą kaip priemonę, kad galėtų imtis skubių apsaugos priemonių. Tačiau vykdydant vaizdo stebėjimą šis tikslas buvo išplėstas ir vaizdo stebėjimas pradėtas naudoti darbuotojų, paslaugų teikėjų ir jų darbuotojų kontrolei. Novegijos duomenų apsaugos tarnyba pabrėžė, kad toks naujas asmens duomenų naudojimas (pagal anskčiau neapibrėžtą tikslą) yra nepalankus stebimiems asmenims ir kad tai prieštaruja tam, kaip duomenų subjektai gali tikėtis, kad bus naudojami jų asmens duomenys. Duomenų valdytojai siekdami tvarkyti duomenis nauju tikslu turėtų įvertinti jo proporcingumą ir teisėtumą, jį dokumentuoti ir apie tai informuoti duomenų subjektus.

Organizacijos pareiga nustatyti duomenų saugojimo laikotarpį ir jo laikytis


Vadovaujantis BDAR įtvirtintu saugojimo trukmės ribojimo (5 str. 1 d. e) punktas) bei duomenų kiekio mažinimo (5 str. 1 d. c) punktas) principais asmens duomenys negali būti saugomi ilgiau, nei būtina siekiant tikslų, kuriais asmens duomenys tvarkomi. Remiantis Europos duomenų apsaugos valdybos (toliau - EDAV) gairėmisatsižvelgiant į minėtus principus, asmens duomenis (pvz.,  siekiant nustatyti vandalizmo atvejį) idealiausiu atveju reikėtų ištrinti po kelių dienų. Kuo ilgesnis saugojimo laikotarpis nustatomas (ypač kai jis ilgesnis nei 72 val.), tuo daugiau reikia argumentų, susijusių su tikslo teisėtumu ir saugojimo būtinumu. 

Jeigu duomenų valdytojas stebėjimą vaizdo kameromis naudoja ne tik savo patalpoms stebėti, bet ir ketina saugoti duomenis, jis privalo patikrinti, kad duomenų saugojimas faktiškai yra būtinas norint pasiekti tikslą. Jei taip saugojimo laikotarpis turi būti aiškiai apibrėžtas ir nustatytas atskirai dėl kiekvieno konkretaus tikslo. Tai reiktų dokumentuoti Vaizdo stebėjimo taisyklėse, kuriose Valstybinės duomenų apsaugos inspekcijos, nuomone, turėtų būti nustatyta:

  • vaizdo duomenų tvarkymo tikslai,
  • teisėtumo sąlygos,
  • duomenų rinkimo būdai,
  • saugojimo vieta ir terminai,
  • duomenų subjektų teisių įgyvendinimo tvarka ir kitos nuostatos pagal BDAR.

Pavyzdžiui, EDAV nuomone, mažos parduotuvės savininkas paprastai tą pačią dieną pastebi bet kokį vandalizmo atvejį, todėl tikslui pasiekti pakaktų 24 val. saugojimo laikotarpio. Tačiau savaitgaliai, kai parduotuvė nedriba, arba daugiau šgenčių dienų gali būti priežastis nustatyti ilgesnį saugojimo laikotarpį. Jeigu nustatoma žala, savininkui taip pat gali reikėti ilgiau saugoti filmuotą vaizdo medžiagą, kad galėtų imtis teisinių veiksmų prieš nusikaltėlį.

Minėtu Norvegijos atveju, bauda buvo skirta todėl, kad vaizdo įrašai buvo saugoti kelis mėnesius vietoje nustatytų 7 dienų saugojimo laikotarpio. Kelių mėnesių saugojimo laikotarpį Norvegijos duomenų apsaugos tarnyba pripažino nesuderinamu su pirminiu duomenų tvarkymo tikslu, t.y., imtis skubių saugumo priemonių.

Atsakomybė už reikalavimų neįgyvendinimą


Norvegijos duomenų apsaugos tarnyba už minėtus pažeidimus paskyrė Norvegijos viešųjų kelių administracijai 37 400 EUR baudą.

Pagal BDAR 83 straipsnio 5 dalį tais atvejais, kai yra pažeidžiami pagrindiniai duomenų tvarkymo principai, įtvirtinti 5 straipsnyje, skiriamos baudos iki 20 000 000 EUR arba, įmonės atveju - iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pareiga laikytis tikslo apribojimo, saugojimo trukmės ribojimo ir duomenų kiekio mažinimo principų yra numatyta BDAR 5 straipsnio 1 d. b,c, e punktuose, todėl už šių principų nesilaikymą arba netinkamą įgyvendinimą gali būti skiriama administracinė atsakomybė, numatyta BDAR 83 straipsnio 5 dalyje


Nuorodos

Link to this page