Informacje wstępne
Rozporządzenie o ochronie danych osobowych (EU2016 / 679) (RODO) to rozporządzenie Unii Europejskiej w sprawie ochrony danych osobowych Europejczyków. Jeśli jesteś obywatelem kraju Europejskiego Obszaru Gospodarczego lub mieszkasz, pracujesz lub podróżujesz w ramach jednego z tych krajów, twoje dane osobowe są objęte niniejszym rozporządzeniem. Dane osobowe gromadzone w Europie są objęte gwarancją niezależnie od tego, gdzie znajduje się firma, która gromadzi lub przetwarza dane. Egzekucja RODO wchodzi w życie 25 maja 2018r.
RODO chroni dane osobowe bez względu na miejsce ich przetwarzania. Na przykład amerykańska firma sprzedająca produkty lub usługi ludziom w Wielkiej Brytanii musi przestrzegać RODO, mimo że posiada siedzibę w USA. Jednym z głównych powodów, dla których rozporządzenie to zwróciło uwagę organizacji, jest to, że w przypadku nieprzestrzegania RODO organy regulacyjne mogą nałożyć na firmę kary w wysokości nawet do 20 milionów euro lub 4% globalnego rocznego przychodu firmy.
Jako firma Johnson Controls/LANSTER dbamy o prywatność i bezpieczeństwo oraz dokładamy wszelkich starań, aby chronić dane osobowe zgodnie z uczciwymi praktykami informacyjnymi i obowiązującymi przepisami dotyczącymi ochrony danych, w tym RODO. Prywatność i bezpieczeństwo to bardzo ważne wymagania, które uwzględniamy w całym cyklu życia produktu. Firmy same muszą jednak zdecydować, jakie zasady i procedury wewnętrzne są wymagane, aby firma była zgodna z RODO.
Przepisy dotyczące prywatności mogą być skomplikowane. W dużym stopniu są one zależne od indywidualnych okoliczności, a w poszczególnych krajach występują regulacje prawne, które mogą różnić się od wymogów RODO. Ten dokument ma głównie na celu dostarczyć informacji o tym, jak RODO może wpłynąć na twoją organizację, jednak nie zastępuje profesjonalnej porady dotyczącej przetwarzania, przechowywania lub wykorzystywania danych osobowych w przedsiębiorstwach. Nie gwarantujemy zatem skuteczności praktyk ochrony prywatności opisanych w niniejszych materiałach w celu zapewnienia zgodności z RODO lub jakimkolwiek innym prawem lub regulacją prywatności i zrzekamy się wszelkiej odpowiedzialności za jakiekolwiek szkody, które mogą wystąpić pomimo zgodności z zaleceniami zawartymi w tych materiałach.
Definicje
Zanim przejdziemy do tego, jakie ogólnie znaczenie ma RODO w kontekście systemów bezpieczeństwa, a bardziej szczegółowo w kontekście nadzoru wizyjnego, istnieje kilka definicji, które należy zrozumieć:
Dane osobowe to dane, które mogą, bezpośrednio lub w połączeniu z innymi informacjami, zostać użyte do identyfikacji osoby fizycznej. Przykładami danych osobowych są adresy e-mail, numery telefonów, czy też zdjęcia.
Podmiot danych to osoba fizyczna, która jest przedmiotem Danych Osobowych.
Administrator danych osobowych to osoba lub organizacja, która decyduje o środkach i sposobie przetwarzania danych osobowych.
Podmiot przetwarzający dane osobowy to osoba lub organizacja, która zbiera oraz przechowuje dane osobowe w imieniu Administratora danych osobowych.
Organ nadzoru jest niezależnym organem publicznym ustanowionym przez państwo członkowskie UE. Organ nadzoru pilnuje, aby organizacje przestrzegały RODO.
Inspektor ochrony danych osobowych koordynuje komunikację organizacji i zgodność z RODO. Zgodnie z tym rozporządzeniem niektóre organizacje są zobowiązane do posiadania inspektora ochrony danych osobowych.
Większość organizacji, które obsługują system bezpieczeństwa, to administratorzy danych, ponieważ zbierają niektóre dane osobowe od podmiotów danych, takich jak pracownicy, kontrahenci i goście. Systemy nadzoru wideo bez przerwy rejestrują obrazy osób. Ponieważ obrazy te mogą identyfikować osoby fizyczne, są one uważane za dane osobowe, a organizacją odpowiedzialną za ich zbieranie, wykorzystywanie i przechowywanie jest administrator danych.
Przegląd
RODO, podobnie jak inne przepisy dotyczące prywatności, zawiera szereg podstawowych zasad, w tym przejrzystość i uczciwość, zapewniając, że istnieje uzasadniony cel przetwarzania Danych Osobowych, ograniczenia ich przetwarzania, a także zapewnienia dokładności i właściwej ochrony Danych Osobowych. Ponadto osoby fizyczne mają określone prawa w ramach RODO, a organizacje przetwarzające dane osobowe muszą zagwarantować, że są dostosowane do korzystania z tych praw. Każda organizacja przetwarzająca dane osobowe powinna upewnić się, że ma wdrożony program zapewniający prawidłowe przetwarzanie takich danych osobowych. Minimalny program (polityka) ochrony prywatności powinien rozpoczynać się od: (1) zrozumienia, jakie dane osobowe organizacja przetwarza i dlaczego; (2) dobrej polityki prywatności i informacji o prywatności, która jest zintegrowana z warunkami korzystania z usług organizacji, w stosownych przypadkach; (3) proces reagowania / odpowiadania na wniosek / zapytania osoby (której dane dotyczą) dotyczące kontrolowania swoich danych osobowych wynikające z praw podmiotu danych; (4) zasady zapewniające wykorzystanie danych osobowych do zamierzonych celów oraz dodatkowe, dotyczące innych zastosowań, takich jak praktyki zgody / rezygnacji w zakresie zbierania danych marketingowych; (5) procedurę reagowania na naruszenia danych osobowych; oraz (6) program edukacyjny dla pracowników.
Praktyczne wskazówki dotyczące polityki prywatności
Zapewnienie przejrzystości i uczciwości oznacza gwarancję ze strony przedsiębiorstwa, że osoby są informowane o tym, jakie dane osobowe będą przetwarzane, z jakiego powodu, przez kogo, a także inne istotne informacje. W przypadku niektórych działań podmiot danych może potrzebować zgody, aby móc korzystać z ich danych osobowych. Zgoda ta musi być udzielona dobrowolnie i oparta na pełnych informacjach o sposobie wykorzystania danych osobowych. Organizacje, które przetwarzają dane osobowe, muszą zapewnić, że dostarczają podmiotom danych odpowiednie informacje dotyczące sposobu traktowania danych osobowych. Kiedy już dobrze zrozumiesz, jakie informacje przetwarzasz i w jaki sposób się to odbywa, Twoja organizacja powinna zapewnić, że ma informację o prywatności, która dokładnie informuje podmioty danych o twoich praktykach. Upewnij się zatem, że masz wdrożone procesy ograniczające gromadzone dane osobowe do tego, czego naprawdę potrzebujesz. W celu przetwarzania danych osobowych musisz mieć uzasadniony powód, aby to robić. Na przykład prawnie mógłbyś potrzebować informacji identyfikujących i kontaktowych, aby zakończyć proces sprzedaży. Podobnie, uzasadnioną podstawą do przetwarzania danych osobowych jest zapewnienie bezpieczeństwa pracowników w siedzibie Twojej firmy. Dane osobowe powinny być wykorzystywane wyłącznie do pierwotnie zebranych celów. Nowe zastosowania mogą wymagać ponownego powiadomienia klientów o tym fakcie. Należy również pamiętać, że określone zastosowania mogą mieć dodatkowe wymagania. Na przykład wiele działań marketingowych wymaga zgody / decyzji i tutaj zawsze należy honorować wnioski o rezygnację z przetwarzania danych osobowych w tych celach.
Prawa podmiotu danych osobowych
W ramach RODO podmioty danych osobowych mają pewne prawa do kontrolowania swoich danych osobowych. Organizacje przetwarzające dane osobowe muszą rozumieć te prawa i mieć pewność, że są w stanie szybko reagować na wnioski płynące od podmiotów danych. W ramach RODO musisz potwierdzić otrzymanie wniosku w ciągu siedmiu dni i odpowiedzieć w ciągu miesiąca. Możesz zażądać dodatkowego czasu na odpowiedź w przypadku obszernych lub złożonych wniosków. Prawa przyznane podmiotom danych w ramach RODO obejmują:
- Prawo dostępu, które oznacza znajomość; czy, gdzie i dlaczego przetwarzane są ich dane osobowe.
- Prawo do sprostowania danych osobowych, które jest prawem do poprawiania niedokładnych danych. Podmioty danych osobowych muszą zostać dokładnie poinformowane o tym prawie.
- Prawo do wycofania uprzednio udzielonej zgody.
- Prawo do usunięcia, zwane również prawem do bycia zapomnianym, umożliwia usunięcie niektórych danych osobowych. Podmioty danych osobowych muszą zostać dokładnie poinformowane o tym prawie.
- Prawo do ograniczenia przetwarzania, co oznacza ograniczenie przetwarzania danych osobowych w określonych okolicznościach. Podmioty danych osobowych muszą zostać dokładnie poinformowane o tym prawie.
- Prawo do przenoszenia danych, co oznacza, że osoby fizyczne mogą poprosić o przekazanie swoich danych osobowych do nowego administratora danych. Prawo to jest ograniczone do danych osobowych dostarczonych przez podmiot, przetwarzanych automatycznie, a także przetwarzanych na podstawie umowy lub przedmiotu.
- Prawo do zgłoszenia sprzeciwu wobec przetwarzania danych dotyczy przede wszystkim automatycznego przetwarzania danych osobowych. Przykładem mogą być gromadzone przez sklepy dane pod kątem cech lub zachowań klientów do celów statystycznych lub badawczych. W takich okolicznościach dana osoba może powiedzieć, że nie chce przetwarzać swoich danych osobowych.
- Prawo do niepodlegania wyłącznie automatycznemu przetwarzaniu, co oznacza, że osoba, której dane dotyczą, mogłaby poprosić o interwencję odpowiedniej osoby zajmującej się przetwarzaniem danych w zautomatyzowanym procesie.
- Prawo do złożenia skargi albo z organizacją przetwarzającą ich dane osobowe, albo z organem nadzorczym.
Mając to na uwadze, organizacje muszą ocenić typy danych, które obecnie przetwarzają, jak przetwarzają te dane i jakie kontrole mają w swoim miejscu. Obejmuje to określenie typów danych osobowych takich jak: rozpoznawanie obrazów twarzy, miejsce ich przechowywania oraz dostęp do nich.
Ochrona danych osobowych i naruszeń danych
Głównym wymogiem ochrony danych jest ograniczenie dostępu do danych osobowych. Można to osiągnąć na kilka sposobów, w tym m.in. poprzez minimalizowanie zbierania danych dla elektronicznych systemów zabezpieczeń. Rozwiązania do nadzoru wideo posiadają zazwyczaj ochronę hasłem i pewną formę zarządzania wielopoziomowymi uprawnieniami, a także monitorowanie aktywności w celu zapewnienia, że tylko upoważnieni pracownicy mogą uzyskać dostęp do danych osobowych w systemie. Ważne jest, aby działy bezpieczeństwa zastanowiły się, kto powinien mieć dostęp do danych osobowych, a także posiadać zestaw zasad i procedur służących do przeglądania uprawnień operatorów.
Na przykład pracownik ochrony, który nie powinien mieć dostępu do danych osobowych przypadkowo wyświetla osobisty rekord pracownika. Organizacja natychmiast odkrywa incydent, ogranicza dostęp tego operatora do tego typu danych, a ponieważ nie ma szkody dla podmiotu danych (klienta), incydent jest zarejestrowany i zapominany. RODO definiuje podlegające zgłoszeniu “naruszenie danych osobowych” jako “naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.” Powyższy przykład można śmiało potraktować jako nieuprawniony dostęp, nawet jeżeli jest niezamierzony, i taki, który nie spowodował oczywistej szkody. Jeżeli jednak istnieje ryzyko dla “praw i wolności” osoby, której dane dotyczą, tj. szkód finansowych lub utraty reputacji, a może nawet utraty kontroli nad jej danymi osobowymi, wówczas naruszenie może wymagać zgłoszenia organowi nadzoru “bez nadmiernego opóźnienia”, ale nie więcej niż 72 godziny. Powiadomienie musi opisywać naruszenie i środki podjęte w celu naprawienia sytuacji. Brak zgłoszenia naruszeń danych osobowych może mieć poważne konsekwencje w kontekście przepisów RODO, ponieważ grzywny mogą sięgać nawet 10 milionów EURO lub 2% rocznego obrotu organizacji za tego rodzaju incydent.
Opracuj plan
Organizacje powinny dokonać przeglądu swoich elektronicznych systemów zabezpieczeń i danych osobowych przechowywanych przez te systemy. Dotyczy to nie tylko systemów elektronicznych, ale także wszelkich innych procesów, takich jak systemy papierowe (np. dzienniki odwiedzin gości), które mogą gromadzić dane osobowe. Poniższe kroki mogą pomóc organizacji w opracowaniu planu zgodności:
- Zidentyfikuj rodzaje danych osobowych, które przechowywane są we wszystkich systemach zabezpieczeń, w tym dane papierowe, hostowane lub przechowywane poza siedzibą przedsiębiorstwa lub w chmurze.
- Sprawdź, w jaki sposób wykorzystywane są dane osobowe w Twojej organizacji, w szczególności przepływ danych i punkty dostępu.
- Zminimalizuj gromadzone i przechowywane dane osobowe i upewnij się, że mają do nich dostęp tylko osoby upoważnione.
- Upewnij się, że w razie potrzeby uzyskasz zgodę od podmiotów danych.
- Oceń aktualne zasady i procedury, aby upewnić się, że udokumentowałeś sposób, w jaki Twoja organizacja przetwarza dane osobowe – zarówno po to, aby poinformować osoby, których dotyczą dane, jak i również upewnić się, że twoi pracownicy znają zasady.
- Miej plan na szybkie rozpatrywania wniosków od podmiotów danych, a także reakcję na naruszenia bezpieczeństwa danych, jeśli takie wystąpią.
- Przeszkól swoich pracowników w kwestii właściwego obchodzenia się z danymi osobowymi, ograniczając to, co gromadzą, zachowując bezpieczeństwo, a także usuwając odpowiednie dane, gdy nie są już potrzebne.
Organizacje, które korzystają lub planują korzystać z systemów nadzoru wideo, muszą zaplanować prywatność danych i wdrożyć solidne procesy ochrony prywatności.
Johnson Controls / LANSTER – Produkty bezpieczeństwa wideo
Należy zauważyć, że produkty i / lub rozwiązania nie są same w sobie zgodne z RODO. Każda firma podlegająca pod przepisy RODO musi zdecydować, jakie polityki i procedury są wymagane, aby wywiązać się ze swoich obowiązków wynikających z rozporządzenia oraz pozyskać, skonfigurować i używać produktów i / lub rozwiązań w sposób zgodny z przepisami.
Oferowane przez firmę Johnson Controls/LANSTERprodukty wideo obejmują szereg funkcji, które mogą w znacznym stopniu ułatwić zgodność z regulacjami RODO – w szczególności wymagania dotyczące bezpieczeństwa i ograniczenia przetwarzanych danych. Zgodność z RODO można jednak osiągnąć tylko i wyłącznie dzięki właściwym politykom przetwarzania danych stworzonym specjalnie w celu zaspokojenia potrzeb każdego indywidualnego klienta. Dlatego zgodność z RODO nie może zostać zapewniona przy pomocy zestawu funkcjonalności oferowanych rozwiązań dozoru wizyjnego. Podczas gdy zestaw funkcji produktów może ułatwić osiągnięcie zgodności z RODO, nieuniknione jest wprowadzenie specyficznych działań związanych z wdrożeniem właściwej polityki „obchodzenia” się z danymi osobowymi klientów w celu zapewnienia zgodności z RODO. Zasady cyberbezpieczeństwa odgrywają rolę wspierającą w zapewnieniu prywatności danych osobowych, które rozporządzenie RODO ma chronić (np. zachowanie poufności poprzez szyfrowanie danych).
Nasze podejście do ochrony cybernetycznej ma na celu zapewnienie spokoju naszym klientom. Nasze całościowe podejście do cyberbezpieczeństwa zaczyna się już w początkowym etapie projektu, przechodząc przez rozwój produktu, wsparcie na etapie wdrożenia, aż po szybką reakcję na incydenty w celu spełnienia wszechstronnych i zmieniających się środowisk cyberbezpieczeństwa. Zainwestowaliśmy w stworzenie scentralizowanego, wyspecjalizowanego zespołu ds. globalnego bezpieczeństwa produktów, który koncentruje się na zarządzaniu naszymi praktykami cybernetycznymi w celu egzekwowania zgodności. Jesteśmy zdyscyplinowani w ich wykonywaniu, ponieważ rozumiemy, jakie istnieje ryzyko, jeśli tego nie zrobimy. Jednym z przykładów naszych działań w kontekście zgodności z wymaganiami norm cyberbezpieczeństwa jest platforma VideoEdge, która jest pierwszym na rynku rozwiązaniem spełniającym wymagania standardu cyberbezpieczeństwa UL-2900-2-3 Level 3.
Każdy nasz produkt posiada mechanizmy szyfrujące, a także wiele poziomów dostępu, z których każdy jest chroniony hasłem, po to, aby zapewnić, że tylko uprawnieni pracownicy mogą uzyskać dostęp, przeglądać i korzystać z przechowywanych nagrań wideo oraz obrazu przesyłanego na żywo. Pliki dziennika (tzw. logi systemowe) dokumentują dostęp do systemu i podejmowane przez użytkowników działania. Funkcje te mogą pomóc w zablokowaniu dostępu operatorom do danych, których nie wolno im oglądać, a także uniemożliwić przesyłanie nagrań z rejestratorów na inne nośniki danych. Co więcej, nasi programiści pracują aktualnie nad wprowadzeniem funkcji “Rozmycia twarzy” do kamer Illustra (American Dynamics), a także portfolio oprogramowania VMS / rejestratorów NVR. Ta funkcja chroniona hasłem umożliwi “pikselowanie” poszczególnych twarzy, ukrywając rysy twarzy, ale pozostawiając wyraźną widoczność pozostałej części obrazu.
RODO wymaga również od administratorów ograniczenia ilości danych osobowych, które przetwarzają, wykorzystując tylko te dane, które są rzeczywiście potrzebne.
Podsumowanie
Egzekwowanie RODO rozpoczyna się 25 maja 2018 r., a wszystkie organizacje, których elektroniczne systemy bezpieczeństwa zbierają dane osobowe od Europejczyków, będą musiały zapewnić zgodność swoich procesów z przepisami. Ważne jest, aby zrozumieć, w jaki sposób RODO może wpłynąć na twoją organizację i jak najszybciej podjąć kroki w celu zmniejszenia ryzyka, które zidentyfikujesz.
Źródła
Materiały opracowano na podstawie materiałów Johnson Controls.
Urząd nadzorujący ochronę danych w Twoim regionie może dostarczyć dodatkowych informacji o tym, jak postępować zgodnie z przepisami dotyczącymi prywatności. Poniżej przydatne materiały:
Strona internetowa Komisji Europejskiej poświęcona ochronie danych (w języku angielskim) znajduje się pod adresem https://ec.europa.eu/info/law/law-topic/data-protection_en.
Wykaz europejskich organów ochrony danych i ich stron internetowych znajduje się na stronie Komisji Europejskiej pod adresem: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612080.