月初,NBB被指控,在没有法律依据的情况下,对员工进行了至少两年的视频监控。这些未经授权的摄像头覆盖了工作场所、销售室、仓库和公共区域等。德国下萨克森州数据保护机构LfD Niedersachsen依据GDPR对notebooksbilliger.de AG(NBB)处以1040万欧元的罚款。
近日,该公司称其1040万美元的罚款是“非法的”,并誓言要反击。
LfD表示,只有在对特定的人有正当的怀疑,并且在有限的时间内,通过视频监控来发现犯罪行为才是合法的。声明称,NBB使用摄像头的范围既不限于特定员工,也不限于特定时间段,员工不应因受到普遍怀疑而放弃“个人权利”。
NBB首席执行官奥利弗•海尔莫德(Oliver Hellmold)表示:“这笔罚款完全不成比例。这与公司的规模和财务实力或涉嫌违规的严重程度无关。我们认为这一决定是非法的,并要求废除该决定。”
同时,NBB还表示,在IT产品的存储、销售和发运过程中,使用摄像头跟踪货物流动是“航运和物流公司的标准程序”,并且这些摄像头并未用于监控员工的绩效或行为。NBB现在已经重新设计了其摄像机,使其能够以合规的方式工作。
NBB的反对是否有效,我们将会继续关注。
由于视频监控在生活中的已经普遍,SCA今天给大家分享一篇在GDPR中关于视频监控的合规指南。
对于个人数据及其保护,我们通常首先考虑姓名、地址、电话号码、生日等,然后考虑其他敏感信息,如银行账户详情、医疗记录或工作地点。但是,考虑到个人数据可以被定义为“与一个被识别的或可识别的人有关的任何信息”,因此在GDPR条例下,图像也必须同样小心地处理。
考虑到这一点,什么时候可以收集最具个人身份特征的数据片段——某人的面部图像?回答是,只要存在合法利益即可,例如在出于安全考虑需要它的环境中。然而,关于什么是可以接受的,什么是不能接受的,理论上的界限是——保护人们,但也必须保护他们的隐私。
为什么在GDPR中包括视频监视至关重要?
把监控设置(摄像机)放置在合适的位置可以帮助抓小偷,防止危险事故,甚至保护城镇免受自然灾害。然而,虽然摄像机抓拍的照片是客观的,使用它们亦不能免除道德和法律义务。
使用视频监控是一把双刃剑,有时能起保护作用,但是有时也会威胁人们的自由。试想一下,如果一个复杂的面部识别和跟踪系统安装在一个专制政权下,可能会产生怎样的影响——任何熟悉乔治·奥威尔(George Orwell)的《1984》中的“老大哥”(Big Brother)的人都会对此不寒而栗。虽然这看起来像是科幻小说里的情节,但大规模的公共监控已经被滥用了。早些时候,英国四所学校的监控系统遭到黑客攻击,孩子们的视频在网上流传,这一事件表明,在没有监控人员许可的情况下,权限有可能落入不法分子之手。
这就是为什么视频片段作为个人数据被纳入GDPR。考虑到这一点,那些收集和处理视频监控产生的数据的人必须确保他们的工作符合准则。
如何确保你的视频数据是符合要求的?
这是一种复杂的平衡,既要确保你在保护人们的同时又要求不损害他们的隐私。以下是一些需要考虑的事情:
1. 使用安全系统
物联网(IoT)技术已被广泛应用于网络摄像机,从提供有价值的趋势洞察的智能分析,到将视频流传输到异地监视控制器,虽然将摄像头连接到互联网可以带来很多好处,但它也为黑客提供了额外的接入点,理论上黑客可以利用这些设备进行恶意攻击。因此,为了减少被破坏的机会,应该为视频监视和连接购买高端安全软件和安全硬件,及时了解最新的网络安全最佳做法,并确保对所用系统的定期更新和维护,符合制造商的补丁和指导。
2. 有选择的放置摄像机
不能到处乱放摄像机。检查环境中的主要风险/利益点,并将你的策略集中在这些领域。此外,请记住,在建立新系统时,有义务就“对公共场所进行广泛的系统监控”制定数据保护影响评估(DPIA)。问问自己,这些地方是否是人们希望看到的地方(比如,不是洗手间!),同时确保你有“合法的利益”将摄像机放在那里。
通过针对性地进行监视,不仅可以收集必要的数据,而且这也意味着我们有合理的理由进行存储、分析和处理。同时由于公众有权询问数据管理者持有他们哪些数据,缩小视频数据采集点也会方便询问管理。
3.与值得信赖的合作伙伴合作
是否符合或违反GDPR的情况很大程度上取决于你如何使用第三方提供的服务。具体会产生什么样的GDPR责任,以及谁负有这些责任,必须根据具体的应用程序进行审查。让我们以托管的监视服务为例,说明通常如何应用GDPR以及由谁负责什么。
报警操作员的客户:数据控制者浏览由使用者的摄影机监视系统所撷取并上载于该系统的录像资料中所载的个人资料。
报警操作员:数据处理者代表用户对用户在系统中上传的个人数据进行处理(如用户雇员资料及拍摄的视频)。
系统提供商:数据处理者代表报警操作员处理报警操作员在系统中上传的个人数据(例如警报操作员的雇员资料),以及个人数据子处理者(代表报警操作员,处理报警操作员客户在系统中上传的个人数据——视频截图)。
托管Web服务:代表系统供应商的数据子处理者,处理在系统内上传的个人数据(由报警操作员及报警操作员的客户(用户)在系统内上传的个人数据。)
从上面可以看到,有多个利益相关者在参与数据处理,所以使用信誉良好的公司来确保你的视频被正确管理是至关重要的。
但归根结底,作为监控设备、监控解决方案和监控服务的使用者,有责任确保GDPR的合规,并保障我们处理其个人资料的权利。因此,确保已经完成了当前需求方面的功课是很重要的,这样我们将清楚自己的责任与义务,并寻求与合规的供应商和销售商合作。同时我们还应该能够依靠供应商和供应商的技术援助,通过更新和维护支持来促进GDPR的合规性。(本文出自SCA安全通信联盟,转载请注明出处。)