GDPR Quickguide 2018-02-27T09:30:57+00:00

Skrevet af:

Clemen Lillienskiold
Clemen LillienskioldDirektør

GDPR og videoovervågning – er der styr på det?

I 2012 startede den Europæiske Kommission planerne om en reform til databeskyttelse på tværs af alle medlemslandene, der skulle gøre EU klar til den digitale tidsalder.

Et af nøglepunkterne i reformen er nu blevet introduktionen af GDPR (General Data Protection Regulation). Denne forordning træder i kraft d. 25. maj 2018 og gælder for alle virksomheder og organisationer, som sælger varer og ydelser og samtidig opbevarer personlige data om borgere i EU.

Borgere i EU og EØS får samtidig større kontrol over deres personlige data og får sikkerhed for, at alle informationer om dem er beskyttet.

Overordnet skal en virksomhed forholde dig til hvert enkelt af sine systemer, der indeholder persondata. Virksomheden skal vide, hvilke oplysninger den ligger inde med, og hvordan den bruger dem. Den skal vurdere om oplysningerne er nødvendige, og samtidigt kunne sikre og dokumentere, hvem der har adgang til disse systemer og data.

Der er en del opmærksomhed på GDPR påvirkningen af HR-systemer, e-mail marketing, kundeklubber samt systemer, der deler og behandler filer. Langt de fleste virksomheder er forhåbentlig godt i gang med at undersøge og implementere GDPR påvirkningen af disse systemer. Dog glemmer rigtig mange virksomheder deres videoovervågningssystemer.

Videoovervågning er også persondata

Persondataloven gælder ifølge lovens § 1, stk. 8 enhver form for behandling af personoplysninger i forbindelse med tv-overvågning. Bestemmelsen om tv-overvågning er indsat i persondataloven ved en lovændring, der er trådt i kraft d. 1 juli 2007.

Det er derfor ikke noget nyt, at videoovervågning indeholder persondata og derfor reguleres af datatilsynet. Det kan heller ikke komme som den store overraskelse, at det er indeholdt i GDPR regulativerne.

De fleste formål med videoovervågning er at kunne identificere personer eller køretøjer i en given situation. Identificerbare billeder eller personlige data – både direkte og indirekte – er betragtet som personlige data under GDPR, og kræver derfor samme opmærksomhed som andre berørte områder af virksomhedens it-systemer.

Som en hjælp har vi samlet de vigtigste oplysninger og punkter vedrørende GDPR og brugen af videoovervågning.

  1. Hvem har adgang – fysisk og logisk?

Den fysiske adgang til VMS servere eller NVR optagere skal være reguleret. Det vil sige, at det skal have begrænset, hvem der har fysisk adgang til din lokalitet, samt til de lokaler, hvor udstyret er placeret. Det skal løbende dokumenteres og revideres, så virksomheden kan påvise hvem og hvornår, de har haft adgang.

Den logiske adgang til dine VMS servere eller NVR optagere skal være begrænset, dokumenteret og reguleret. Det går altså ikke, at udstyret har ”nemme” eller ingen passwords. Virksomheden skal samtidigt hele tiden vurdere, om brugere har de rigtige rettigheder og begrænse dem, hvis rettighederne ikke er nødvendigt. Dette skal dokumenteres. Ligeledes skal det kunne dokumenteres, hvem der har haft adgang og hvornår.

  1. Behandling af data.

Virksomheden skal kunne dokumentere enhver persondatabehandling, hændelser og aktiviteter samt forbindelsen imellem dem.

Det bliver derfor nødvendigt, at der på virksomhedens VMS servere eller NVR optagere kan registreres og logges helt centrale ting, for at systemerne kan leve op til GDPR forpligtelserne. Hvem bruger systemerne, hvornår er de anvendt, hvilke arkivdata tilgås, og hvilke data eksporteres.

  1. Visning af data

Det er helt essentielt, at levende eller optaget data kun kan tilgås af autoriserede personer og altså ikke af tilfældige offentlige personer, der eksempelvis går forbi en sikkerhedsvagt eller et kontrolcenter. Den offentligt tilgængelige liveskærm ved en indgangsdør, som vi kender fra flere tankstationer, går derfor ikke længere. Ligeledes er det heller ikke fremover muligt at have en live overvågningsskærm hængende, så den er synlig for tilfældige offentlige personer, der kommer forbi/passerer.

De 6 gyldne step for en lovlig videoovervågning efter GDPR

Grundlag – Informér – Opbevar – Tilladelse – Hjælp – Sikre
  • Grundlag:

    Hvis der er placeret kameraer rundt omkring for at sikre mod ubudne gæster, så bør det være let at retfærdiggøre et grundlag. Men hvis der er installeret overvågning for at overvåge ansatte, så er det ikke helt så enkelt, da det kan ses som en krænkelse af privatlivet.

    Hvis virksomheden kan dokumentere, at kameraerne er der alene af sikkerhed- eller sundhedsgrunde ved eksempelvis at fremhæve hændelser i fortiden, så kan det gøre overvågningen acceptabel.

    Husk at videoovervågning reelt kun må bruges til det grundlag og formål, det er opsat efter.

  • Informér:

    Man skal informere om, at der udføres videoovervågning. Er formålet indlysende, kan det være tilstrækkeligt med de normale videoovervågningsskilte ved indgang til området. Er formålet mere kryptisk, eller overvåges dine ansatte af forskellig grunde, så vil det oftest være nødvendigt at informere skriftligt.

  • Opbevar:

    Som udgangspunkt må videooptagelser kun opbevares i 30 dage. Det er virksomhedens ansvar, at optagelserne ikke opbevares længere tid. Et specifik klip, der eksporteres, er omfattet af samme regler og må også kun opbevares i 30 dage. Det er også virksomhedens ansvar at sikre og dokumentere, at alle optagelser opbevares sikkert.

  • Tilladelse:

    GDPR giver enhver person, hvis billede er optaget på et CCTV-system, ret til at søge om og blive forsynet med en kopi af deres egne personoplysninger fra optagelserne. Alle kan derfor anmode om optagelser, der indeholder dem selv. De skal følge en given procedure, men det ligger helt inden for deres personlige rettigheder iht. GDPR.

    For de fleste systemer, kan det blive en stor teknisk udfordring at finde enkeltindivider i optagelserne. Det er også en udfordring at sikre, at andre synlige personer i de samme optagelser, bliver gjort ikke-identificerbare, ved at deres ansigter udviskes.

  • Hjælp:

    Politiet kan bede om, at der udleveres videomateriale til dem som led i politiarbejde, og virksomheden kan altid udlevere dette materiale. Sørg dog for at få en skriftlig anmodning herom.

    Retsplejelovens § 804, stk. 3 siger, at man som ”ikke-mistænkt” kan udlevere materiale til politiet, hvis man selv er indstillet på det – dvs. at man samtykker. Man har samtidigt krav på en kvittering jf. Retsplejeloven § 807, stk. 5, hvis dette ønskes.

    Virksomheden er ikke forpligtet til at udlevere materiale frivilligt, men retten kan pålægge en at udlevere det via en editionskendelse.

  • Sikre:

    Sørg for at sikre, at man har en databehandleraftale med de sikkerhedsfirmaer, der tilgår, opsætter, vedligeholder eller servicerer virksomhedens CCTV system. Brug kun data behandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger.

Sanktioner:

Bøderne ved brud af de grundlæggende principper for behandling af data og mangel på sikkerhedsforanstaltninger for private virksomheder er på op til EUR 20.000.000 eller 4% af virksomhedens årlige globale omsætning (den højeste af disse to)

Konklusion:

Mange virksomheder, store som små, bliver nødt til at kigge på sin sikkerhed og sikre, at data forvaltes og behandles efter reglerne. Det er ikke længere acceptabelt ”ikke at forstå” eller ”ikke at være klar over” reglerne for videoovervågning. Det er let at få installeret, eller selv installere et videoovervågningssystem. Men uden input fra en professional leverandør åbner virksomheden op for efterfølgende retsforfølgelse eller bøder.

Så det nytter ikke at ignorere GDPR. Kom i gang nu og undersøg de mange andre områder eller særlige forhold, som netop din virksomhed skal være opmærksom på.

Hvis du har brug for rådgivning eller for at øge sikkerheden, så kan vi hjælpe.

Skal vi kontakte dig?