2023 m. Valstybinė duomenų apsaugos inspekcija (VDAI), vadovaudamasi 2023 metų planinių patikrinimų ir stebėsenos planu, atliko planinius patikrinimus dėl reikalavimų, susijusių vaizdo stebėjimu viešosiose vietose, įgyvendinimo bei Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų, susijusių su duomenų valdytojo ir / ar duomenų tvarkytojo santykiais, įgyvendinimo.
Ko galime išmokti?
1. Prieš pradedant vaizdo stebėjimą, būti atlikti poveikio duomenų apsaugai vertinimą, kurio metu būtų įsivertintas asmens duomenų tvarkymo vaizdo stebėjimo priemonėmis teisėtumas, duomenų rinkimo apimties ir saugojimo terminų būtinumas ir proporcingumas siekiant atskirų nustatytų tikslų. Pažymėtina, kad esmės keičiant stebėjimo technologijas, taip pat plečiant stebėjimo mastą ir pan.) peržiūrėti ir atnaujinti atliktą poveikio duomenų apsaugai vertinimą.
2. Informacijos apie vykdomą vaizdo stebėjimą pateikimas.
- Pirmas lygmuo – informacijos pateikimas vaizdo stebėjimo vietoje. Informacija apie vykdomą vaizdo stebėjimą turėtų būti išdėstyta taip, kad duomenų subjektas, prieš patekdamas į stebimą teritoriją, galėtų lengvai atpažinti stebėjimo aplinkybes (maždaug akių lygyje) bei įvertinti kameros filmuojamą plotą. Informacinėse lentelėse turi būti pateikiama ši informacija: juridinio asmens pavadinimas, kontaktinė informacija, asmens duomenų tvarkymo tikslas, nuoroda į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją. Vis dar praktikoje apsiribojama lentele su kameros ženklu.
- Antras lygmuo – informacija duomenų valdytojų vidaus teisės aktuose (pvz., asmens duomenų tvarkymo taisyklėse) bei interneto svetainėse pateikiama turi atitikti BDAR 13 ir 14 straipsnius.
3. Duomenų kiekio mažinimo principo įgyvendinimas. Turi būti renkama tiek duomenų, kiek būtina pasiekti tikslui. Į vaizdo stebėjimo apimtį neturi patekti kitiems asmenims priklausančios teritorijos; užtikrinti, kad būtų išvengta ne viešų teritorijų stebėjimo.
4. Įrašų saugojimo laikotarpis. Jeigu vaizdo duomenys saugomi ilgiau nei 72 valandas, duomenų valdytojas turėtų argumentuotai pagrįsti, kodėl jam reikalinga saugoti vaizdo duomenis jo nustatytą terminą.
5. Techninių ir organizacinių priemonių įgyvendinimas.
- Prieigos kontrolė, kaip viena iš techninių duomenų saugumo priemonių, padeda užtikrinti, kad prieiga prie sistemos ir duomenų būtų suteikta tik įgaliotiems asmenims.
- Remiantis gerąja praktika, duomenų valdytojas, pasirinkdamas techninius sprendimo būdus, turėtų atsižvelgti į privatumą užtikrinančias technologijas, nes jos padeda užtikrinti didesnį saugumą (pvz., sistemų, kurios sudaro sąlygas užmaskuoti vietas, kurios nėra svarbios stebėjimui, naudojimas).
- Neturėtų būti nebūtinų funkcijų, pvz., neribotas kamerų judėjimas, vaizdo mastelio didinimo galimybės, radijo signalo perdavimas, analizė ir garso įrašai. Jei tokios funkcijos reikalingos – duomenų valdytojas turi pagrįsti jų reikalingumą.
6. Asmens duomenų tvarkytojus pasitelkimas. Būtina tinkamai reglamentuoti duomenų tvarkytojo atliekamą asmens duomenų tvarkymą (sudaryti rašytinę asmens duomenų tvarkymo sutartį / susitarimą, atitinkančius BDAR 28 straipsnio 3 dalį).