Organizacijos pareiga informuoti apie vykdomą vaizdo stebėjimą
Europos Parlamento ir Tarybos Reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) 13 straipsnyje yra nustatyta, su kokia informacija duomenų gavimo metu turi būti supažindinamas duomenų subjektas, kai yra renkami jo asmens duomenys. Su šia informacija duomenų subjektas turi būti supažindinamas ir tais atvejais, kai asmens duomenys yra renkami atliekant vaizdo stebėjimą. Duomenų subjektas turi būti supažindinamas su šia informacija:
duomenų valdytojo ir, jei taikoma, duomenų valdytojo atstovo tapatybė ir kontaktiniai duomenys;
duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinis pagrindas;
jeigu duomenų tvarkymas atliekamas siekiant duomenų valdytojo ar trečiosios šalies interesų apsaugojimo, teisėti duomenų valdytojo ar trečiosios šalies interesai;
ji yra, asmens duomenų gavėjai arba asmens duomenų gavėjų kategorijos;
kai taikoma, apie asmens duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai ir Komisijos sprendimo buvimą ar nebuvimą - tinkamos ir pritaikytos apsaugos priemonės ir būdai, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti.
įspėjamuoju ženklu/įspėjamąja lentele, kuris pakabinamas matomoje vietoje. Šiame ženkle turi būti nurodoma svarbiausia su vaizdo stebėjimu susijusi informacija, pavyzdžiui, duomenų tvarkymo tikslus, duomenų valdytojo tapatybę, bei nurodoma, kur galima rasti platesnę informaciją;
pateikiant informacinį pranešimą, kuris apimtų visą BDAR 13-14 str. nurodytą informaciją, t.y., koks yra duomenų saugojimo laikotarpis, duomenų gavėjai ir kt. Informacinis pranešimas turi būti skelbiamas lengvai prieinamoje vietoje, pavyzdžiui, internetiniame puslapyje, pakabinus plakatą ir pan.
Aptariamoje situacijoje Asociacija keturiomis vaizdo stebėjimo kameromis, kurios įrašo ir garsą, stebėjo gyvenamojo pastato patalpas. Dvi kameros buvo skirtos stebėti pastato laiptinę, viena kamera buvo naudojama stebėti pagrindinį įėjimą į pastatą, o dar viena kamera - paskirstymo dėžes. Asociacija nebuvo pateikusi informacijos pastato gyventojams apie atliekamą vaizdo stebėjimą. Dėl šios priežasties Švedijos Institucija nustatė pažeidimą.
Organizacijos pareiga periodiškai peržiūrėti atliekamo vaizdo stebėjimo būtinybę
BDAR 5 straipsnio 1 dalies a punktas nustato, kad asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu. Tuo atveju, kai yra remiamasi BDAR 6 straipsnio 1 dalies f punkte nurodyta teisėtumo sąlyga - intereso pagrindu, teisėtas interesas turi būti pagrįstas, realus ir aktualus. EDAV Gairėse yra nustatyta, kad vaizdo stebėjimo galima imtis tuomet, kai iš tikrųjų įvyksta nelaimė, pvz., anksčiau buvo padaryta žala arba įvyko rimti incidentai. Taip pat tose pačiose gairėse yra nurodoma ir tai, kad reikėtų periodiškai iš naujo įvertinti teisėto intereso buvimą bei būtinybę vykdyti stebėseną.
Nagrinėjamoje situacijoje viena iš vaizdo kamerų vaizdo stebėjimas kartu su garso įrašymu buvo vykdomas prie pagrindinio įėjimo į pastatą. Asociacija pateikė paaiškinimą, kad vaizdo kamera, kuri buvo naudojama stebėti pagrindinį įėjimą į pastatą, buvo siekiama užkirsti kelią vandalizmui. To buvo siekiama, kadangi 2018 metais du mėnesius buvo kilusios problemos dėl vandalizmo. Švedijos Institucija nurodė, kad atliekant vaizdo stebėjimą kyla pareiga periodiškai peržiūrėti atliekamo vaizdo stebėjimo būtinybę ir įvertinti, ar vaizdo stebėjimas yra vis dar būtinas. Toks Institucijos sprendimas iš esmės atitinka EDAV Gairėse numatytą reikalavimą periodiškai peržvelgti būtinumą vykdyti vaizdo stebėjimą.
Kas turi būti įvertinta, norint įrašyti garsą, atliekant vaizdo stebėjimą?
Siekiant ne tik atlikti vaizdo stebėjimą, bet ir įrašyti garsą yra svarbu įvertinti, ar garso įrašymas yra būtinas ir ar garso įrašymu siekiamų tikslų galima pasiekti kitomis priemonėmis. Reikia vadovautis principu, kad turi būti renkama kuo mažiau asmens duomenų, todėl svarbu, jog esant galimybei naudotis kitomis priemonėmis, garsas nebūtų įrašomas.
Taip pat atkreiptinas dėmesys, kad pagal BDAR 35 straipsnio 1 dalį reikalaujama, kad duomenų valdytojai atliktų poveikio duomenų apsaugai vertinimą (toliau - PDAV), jeigu, atsižvelgiant į duomenų tvarkymo rūšį, tikėtina, kad duomenų tvarkymas kels didelę riziką fizinių asmenų teisėms ir laisvėms. Taip pat BDAR 35 straipsnio 4 dalyje yra nustatytas reikalavimas kiekvienai priežiūros institucijai skelbti apie tas duomenų tvarkymo operacijų rūšis, dėl kurių atitinkamoje šalyje privaloma atlikti PDAV. Nors nagrinėjamoje situacijoje Švedijos Institucija nevertino, ar Asociacija turėjo atlikti PDAV, tačiau svarbu atkreipti, kad Lietuvoje yra privaloma atlikti PDAV ir, jo neatlikus, gresia administracinė atsakomybė. Plačiau, kas turi būti įvertinta, norint įrašyti garsą, atliekant vaizdo stebėjimą, skaitykite mūsų klausimuose - atsakymuose.
Atsakomybė už reikalavimų neįgyvendinimą
Institucija Asociacijai nurodė sustabdyti atliekamą vaizdo stebėjimą laiptinėje bei prie prie pagrindinio įėjimo į pastatą ir nutraukti garso įrašymą prie paskirstymo dėžių. Asociacijai buvo paskirta 20 000 Švedijos kronų (apie 2 000 EUR) dydžio bauda. Nustatant skiriamos baudos dydį buvo atsižvelgta į faktą, kad tai yra gana nedidelė Asociacija.
Pagal BDAR 83 straipsnio 5 dalį tais atvejais, kai yra pažeidžiamos duomenų subjekto teisės pagal 12-22 straipsnius, skiriamos baudos iki 20 000 000 EUR arba, įmonės atveju - iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pareiga informuoti duomenų subjektą apie asmens duomenų rinkimą (šiuo atveju, vaizdo kamerų naudojimą), yra numatyta BDAR 13 straipsnyje, todėl gali būti skiriama administracinė atsakomybė, numatyta BDAR 83 straipsnio 5 dalyje.
Švedijoje skirta bauda už vaizdo stebėjimą su garso įrašymu gyvenamajame pastate
Organizacijos pareiga informuoti apie vykdomą vaizdo stebėjimą
Europos Parlamento ir Tarybos Reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) 13 straipsnyje yra nustatyta, su kokia informacija duomenų gavimo metu turi būti supažindinamas duomenų subjektas, kai yra renkami jo asmens duomenys. Su šia informacija duomenų subjektas turi būti supažindinamas ir tais atvejais, kai asmens duomenys yra renkami atliekant vaizdo stebėjimą. Duomenų subjektas turi būti supažindinamas su šia informacija:
Tvarkant asmens duomenis, kai yra atliekamas vaizdo stebėjimas, pagal EDAV gaires 3/2019 dėl asmens duomenų tvarkymo naudojant vaizdo prietaisus (toliau - Gairės) minėta informacija turi būti pateikiama dviem būdais:
Aptariamoje situacijoje Asociacija keturiomis vaizdo stebėjimo kameromis, kurios įrašo ir garsą, stebėjo gyvenamojo pastato patalpas. Dvi kameros buvo skirtos stebėti pastato laiptinę, viena kamera buvo naudojama stebėti pagrindinį įėjimą į pastatą, o dar viena kamera - paskirstymo dėžes. Asociacija nebuvo pateikusi informacijos pastato gyventojams apie atliekamą vaizdo stebėjimą. Dėl šios priežasties Švedijos Institucija nustatė pažeidimą.
Organizacijos pareiga periodiškai peržiūrėti atliekamo vaizdo stebėjimo būtinybę
BDAR 5 straipsnio 1 dalies a punktas nustato, kad asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu. Tuo atveju, kai yra remiamasi BDAR 6 straipsnio 1 dalies f punkte nurodyta teisėtumo sąlyga - intereso pagrindu, teisėtas interesas turi būti pagrįstas, realus ir aktualus. EDAV Gairėse yra nustatyta, kad vaizdo stebėjimo galima imtis tuomet, kai iš tikrųjų įvyksta nelaimė, pvz., anksčiau buvo padaryta žala arba įvyko rimti incidentai. Taip pat tose pačiose gairėse yra nurodoma ir tai, kad reikėtų periodiškai iš naujo įvertinti teisėto intereso buvimą bei būtinybę vykdyti stebėseną.
Nagrinėjamoje situacijoje viena iš vaizdo kamerų vaizdo stebėjimas kartu su garso įrašymu buvo vykdomas prie pagrindinio įėjimo į pastatą. Asociacija pateikė paaiškinimą, kad vaizdo kamera, kuri buvo naudojama stebėti pagrindinį įėjimą į pastatą, buvo siekiama užkirsti kelią vandalizmui. To buvo siekiama, kadangi 2018 metais du mėnesius buvo kilusios problemos dėl vandalizmo. Švedijos Institucija nurodė, kad atliekant vaizdo stebėjimą kyla pareiga periodiškai peržiūrėti atliekamo vaizdo stebėjimo būtinybę ir įvertinti, ar vaizdo stebėjimas yra vis dar būtinas. Toks Institucijos sprendimas iš esmės atitinka EDAV Gairėse numatytą reikalavimą periodiškai peržvelgti būtinumą vykdyti vaizdo stebėjimą.
Kas turi būti įvertinta, norint įrašyti garsą, atliekant vaizdo stebėjimą?
Siekiant ne tik atlikti vaizdo stebėjimą, bet ir įrašyti garsą yra svarbu įvertinti, ar garso įrašymas yra būtinas ir ar garso įrašymu siekiamų tikslų galima pasiekti kitomis priemonėmis. Reikia vadovautis principu, kad turi būti renkama kuo mažiau asmens duomenų, todėl svarbu, jog esant galimybei naudotis kitomis priemonėmis, garsas nebūtų įrašomas.
Taip pat atkreiptinas dėmesys, kad pagal BDAR 35 straipsnio 1 dalį reikalaujama, kad duomenų valdytojai atliktų poveikio duomenų apsaugai vertinimą (toliau - PDAV), jeigu, atsižvelgiant į duomenų tvarkymo rūšį, tikėtina, kad duomenų tvarkymas kels didelę riziką fizinių asmenų teisėms ir laisvėms. Taip pat BDAR 35 straipsnio 4 dalyje yra nustatytas reikalavimas kiekvienai priežiūros institucijai skelbti apie tas duomenų tvarkymo operacijų rūšis, dėl kurių atitinkamoje šalyje privaloma atlikti PDAV. Nors nagrinėjamoje situacijoje Švedijos Institucija nevertino, ar Asociacija turėjo atlikti PDAV, tačiau svarbu atkreipti, kad Lietuvoje yra privaloma atlikti PDAV ir, jo neatlikus, gresia administracinė atsakomybė. Plačiau, kas turi būti įvertinta, norint įrašyti garsą, atliekant vaizdo stebėjimą, skaitykite mūsų klausimuose - atsakymuose.
Atsakomybė už reikalavimų neįgyvendinimą
Institucija Asociacijai nurodė sustabdyti atliekamą vaizdo stebėjimą laiptinėje bei prie prie pagrindinio įėjimo į pastatą ir nutraukti garso įrašymą prie paskirstymo dėžių. Asociacijai buvo paskirta 20 000 Švedijos kronų (apie 2 000 EUR) dydžio bauda. Nustatant skiriamos baudos dydį buvo atsižvelgta į faktą, kad tai yra gana nedidelė Asociacija.
Pagal BDAR 83 straipsnio 5 dalį tais atvejais, kai yra pažeidžiamos duomenų subjekto teisės pagal 12-22 straipsnius, skiriamos baudos iki 20 000 000 EUR arba, įmonės atveju - iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pareiga informuoti duomenų subjektą apie asmens duomenų rinkimą (šiuo atveju, vaizdo kamerų naudojimą), yra numatyta BDAR 13 straipsnyje, todėl gali būti skiriama administracinė atsakomybė, numatyta BDAR 83 straipsnio 5 dalyje.
Nuorodos