2019. 02. 14.

Vaizdo stebėjimas ir asmens duomenų apsauga

Pradėjus taikyti ES Bendrąjį duomenų apsaugos reglamentą (toliau – Reglamentas) ir naują LR asmens duomenų teisinės apsaugos įstatymo redakciją, šie pakeitimai, be kitą ko, įnešė tam tikrų su vaizdo stebėjimo vykdymu susijusių pokyčių. Kita vertus, didelė dalis esminių su vaizdo stebėjimu kaip specifinio pobūdžio asmens duomenų tvarkymu susijusių principų išliko tie patys, nors didelės dalies vaizdo stebėseną vykdančių subjektų jie ir buvo atrasti kaip nauji tik įvykus asmens duomenų teisinės apsaugos reformai.

Atitinkamai, atsižvelgiant į vaizdo stebėjimo paplitimą bei tai, kad dar tikrai ne visi vaizdo stebėjimą vykdantys subjektai laikosi ne vien naujų, bet ir jau prieš daugiau nei dešimtmetį vaizdo duomenų tvarkymui iškeltų reikalavimų, būtina aptarti esminius su vaizdo stebėsena susijusius aspektus. Šią temą paliesti skatina ir tai, kad tarp pirmųjų pagal Reglamentą paskirtų baudų atsidūrė ir Austrijos priežiūros institucijos skirtos baudos už neteisėtą vaizdo stebėjimą, iš kurių didžiausia siekė 4800 Eur.

I. tikslų ir teisinio pagrindo nustatymas

Pirmasis žingsnis prieš imantis bet kokių praktinių sprendimų įgyvendinimo yra būtinybė įsivertinti, kokių konkrečiai tikslų yra siekiama vaizdo stebėjimu. Vaizdo stebėjimas įprastai vykdomas siekiant užtikrinti darbuotojų, klientų ar kitų asmenų saugumą, apsaugoti vaizdą stebinčio subjekto ar kitų asmenų turtą. Vaizdo stebėjimas galimas ir siekiant kitų teisėtų interesų, tačiau būtina objektyviai įsivertinti, ar tokiu būdu iš tikro siekiama nusistatytų tikslų.

Be tikslų, taip pat reikšmingas yra ir teisinio pagrindo, kuriuo remiantis vykdomas vaizdo stebėjimas, pasirinkimas. Nors egzistuoja ir daugiau teisinių pagrindų, kuriais galima pagrįsti asmens duomenų tvarkymą, aktualiausia vaizdo stebėsenos kontekste yra būtinybė tvarkyti duomenis siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų.

Nors LR asmens duomenų teisinės apsaugos įstatymas nebenumato apribojimo, įvardijančio konkrečius galimus vaizdo stebėjimo tikslus, svarbu atsižvelgti, kad ne visi galimi vaizdo stebėjimo naudojimo būdai yra priimtini, pavyzdžiui, vaizdo stebėjimo priemonės negali būti naudojamos nuotoliniu būdu kontroliuoti darbo kokybę.

Labai svarbu atsižvelgti į tai, kad duomenų valdytojas, ketinantis vykdyti vaizdo stebėjimą, turi įvertinti ir pagrįsti vaizdo stebėjimo būtinybę bei gebėti paaiškinti, ar siekiami tikslai negali būti įgyvendinti kitais būdais ar priemonėmis, t. y. nevykdant vaizdo stebėjimo. Vien vaizdo stebėjimo paplitimas praktikoje ir patogumas savaime nenulemia jo vykdymo teisėtumo.

II. Vaizdo stebėjimo kamerų įrengimas

Pasirenkant vietas, kur bus montuojamos vaizdo kameros, svarbu nepamiršti aptartų tikslų ir jų poreikio įvertinimo. Labai svarbios yra faktinės aplinkybės. Pavyzdžiui, vykdant vaizdo stebėjimą mokykloje, vaizdo stebėjimas būtų iš esmės pagrindžiamas tik vietose, kur kuriose saugumas yra svarbiausias prioritetas: pavyzdžiui, prie mokyklų įėjimų bei išėjimų ir kitose vietose, kuriose vaikšto daug žmonių, tuo tarpu kamerų įrengimas daugelyje kitų vietų galėtų varžyti ne tik mokinių mokymosi bei žodžio laisvę, bet ir mokymo laisvę. Taip pat nereikėtų pamiršti, kad vaizdo kamerų modeliai ir galimybės gali reikšmingai skirtis, todėl renkantis stebėjimo priemonę turėtų būti apsiribojama mažiausiai privatumą pažeidžiančiu funkcionalumu, leidžiančiu pasiekti norimą tikslą.

Atsižvelgiant į minėtus atvejus, kai pagal Reglamentą Austrijoje paskirtos baudos, rekomenduotina atsakingai įvertinti stebimą erdvę. Didžiausios baudos skyrimo atveju pažeidimas apėmė du aspektus – kameros stebėjimo laukas apėmė nemažą šaligatvio plotą priešais bendrovės patalpas, o tai priežiūros institucija pripažino viešos vietos stebėsena dideliu mastu, neturinčia teisinio pagrindo ir atitinkamai neteisėta pagal Reglamentą, o taip pat nustatyta, kad kamera nebuvo tinkamai pažymėta, dėl ko nebuvo įgyvendintas ir skaidrumo reikalavimas.

Įprastai vaizdo stebėsenos priimtinumas priklauso nuo faktinių aplinkybių visumos ir neįmanoma iš anksto pateikt tam tikro sąrašo atvejų, kada vaizdo stebėjimas leidžiamas ar kategoriškai draudžiamas. Puikus pavyzdys yra laukiamojo, kuriame yra administratoriaus(-ės) darbo vieta, stebėsena. Jei laukiamajame lankosi daug pašalinių asmenų (pavyzdžiui, tai viešbutis ar privati klinika), tokiu atveju įprastai egzistuotų pagrįstas poreikis vaizdo stebėjimo kameromis užtikrinti turto bei asmenų saugumą. Tačiau jei tai uždara patalpa, į kurią be bendrovės darbuotojų patenka tik pavieniai asmenys, kiltų abejonių, ar tų pačių tikslų negalima pasiekti kitomis saugos priemonėmis, nerenkančiomis asmens duomenų.

III. Poveikio duomenų apsaugai vertinimas

Tam tikrais atvejais prieš pradedant vaizdo stebėjimą privaloma atlikti poveikio duomenų apsaugai vertinimą. Toks vertinimas gali būti atliekamas vadovaujantis skirtingomis metodologijomis, tačiau visais atvejais leisti sistemiškai išanalizuoti atliekamą duomenų tvarkymą, įvertinti planuojamo duomenų tvarkymo būtinumą bei proporcingumą, identifikuoti kylančias grėsmes asmenų teisėms ir laisvėms, o taip pat nustatyti planuojamas įgyvendinti priemones, leidžiančias minėtą riziką suvaldyti.

Tiesiogiai Reglamente įtvirtinta pareiga atlikti poveikio duomenų apsaugai vertinimą tada, kai vykdomas sistemingas viešos vietos stebėjimas dideliu mastu. Viešą vietą šiame kontekste reikėtų suprasti kaip bet kurią visuomenės nariui atvirą vietą, todėl ši sąvoka apimtų ir prekybos centrus, turgavietes, traukinių bei autobusų stotis ir pan. Taip pat reikšmingas šiame kontekste yra Valstybinės duomenų apsaugos inspekcijos parengtas sąrašo atvejų, kai poveikio duomenų apsaugai vertinimas yra privalomas, projektas. Sąrašo projektas apima atvejus, kai vaizdas stebimas:

  1. duomenų valdytojui nepriklausančiose patalpose/teritorijose;
  2. sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims;
  3. kartu su garso įrašymu. Apie šį atvejį pridurtina, kad garso įrašymas, ypač jį vykdant kartu su vaizdo stebėjimu, praktikoje savaime laikomas darančiu didelį poveikį asmens privatumui, dėl to garso įrašymas turėtų būti vykdomas tik esant išskirtinėms aplinkybėms, tinkamai informavus įrašomus asmenis, ir nevykdant nuolatinio garso įrašymo.

Sistemingas darbuotojų veiklos stebėjimas, įskaitant darbo vietų ir patalpų bei teritorijų, kuriose dirba darbuotojai, stebėsena taip pat lemia pareigą atlikti poveikio duomenų apsaugai vertinimą.

Šiuo atveju pabrėžtinas sistemiškumo elementas, kurį Europos duomenų apsaugos valdyba (angl. European Data Protection Board, EDPB), įvertinusi Valstybinės duomenų apsaugos inspekcijos pateiktą aukščiau paminėto sąrašo projektą, nurodė kaip būtiną pripažinti poveikio duomenų apsaugai vertinimą privalomu. Sistemiškumas nėra apibrėžiamas Reglamente, bet Direktyvos 95/46/EB 29 straipsnio darbo grupė (nuo 2018 m. gegužės 25 dienos ją pakeitė Europos duomenų apsaugos valdyba) savo gairėse wp248 dėl poveikio duomenų apsaugai vertinimo sąvoką „sistemingas“ apibūdino kaip reiškiančią duomenų tvarkymą, vykdomą pagal sistemą ir pagal iš anksto nustatytą, organizuotą arba metodinę tvarką. Valstybinė duomenų apsaugos inspekcija savo konsultacijoje taip pat pateikia panašų apibrėžimą nurodydama, kad tai duomenų tvarkymas, „atliekamas tam tikrais intervalais, nuolat tebevykstantis, pasikartojantis tam tikrais periodais, yra organizuotas, planuotas, metodiškas ar pan.“. Atsižvelgiant į šį apibūdinimą, sumontuotų vaizdo kamerų vykdomas vaizdo stebėjimas atitiktų sistemingumo kriterijų.

Pastebėtina, kad aukščiau pateikti atvejai nėra baigtinis sąrašas. Poveikio duomenų apsaugai vertinimas pagal Reglamentą privalomas ir kitais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus.

Nors ankstesnė registracija Duomenų valdytojų valstybės registre tikrai nereiškia, kad vaizdo stebėjimas ir šiuo metu atitinka teisės aktų reikalavimus, ji gali turėti tam tikrą vertę. Direktyvos 95/46/EB 29 straipsnio darbo grupė minėtose gairėse wp248 dėl poveikio duomenų apsaugai vertinimo pateikė savo poziciją, kad poveikio duomenų apsaugai vertinimas nėra reikalingas tada, jei kai konkrečiomis sąlygomis, kurios nepasikeitė, vykdomas duomenų tvarkymo operacijas iki 2018 m. gegužės mėn. patikrino priežiūros institucija (vadovaujamasi Reglamento konstatuojamosios dalies 171 punktu). Ankstesnė pranešimų Valstybinei duomenų apsaugos inspekcijai apie duomenų tvarkymą teikimo sistema didele dalimi atitiko vertinimą, įskaitant ir poreikį pagrįsti duomenų tvarkymo būtinumą bei pasirinktas sąlygas (šiuo atveju, vaizdo duomenų tvarkymo tikslus, saugojimo trukmę, vaizdo stebėjimo kamerų įrengimo vietas, pasirinktas technines ir organizacines saugumo priemones) ir kitas aplinkybes, kurios iš esmės atitinka tas, kurias prireiktų vertinti vykdant poveikio duomenų apsaugai vertinimą. Atitinkamai, poveikio duomenų apsaugai vertinimas nebūtų privalomas tada, jei iki 2018 m. gegužės 25 dienos buvo gautas leidimas tvarkyti duomenis ir duomenų tvarkymo sąlygos nėra pasikeitusios.

IV. Informavimas apie vaizdo stebėjimą

Dar galiojant ankstesniam teisiniam reguliavimui galiojo reikalavimas užtikrinti, kad prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas, būtų aiškiai ir tinkamai pateikiama: informacija apie tai, kad vykdomas vaizdo stebėjimas; duomenų valdytojo juridinio asmens pavadinimas ir kodas, duomenų valdytojo fizinio asmens vardas ir pavardė, jų kontaktinė informacija (adresas arba telefono ryšio numeris). Esant poreikiui, buvo galima (ne privaloma) pateikti ir kitą papildomą informaciją.

Pradėjus taikyti Reglamentą, reikalavimai tokiems pranešimams išsiplėtė, be aukščiau nurodytos informacijos taip pat turi būti nurodoma: asmens duomenų tvarkymo tikslas; nuoroda į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą, pavyzdžiui, nuoroda į interneto svetainę, kontaktinis telefonas ar kt.

Taigi, tiek dabar, tiek ir anksčiau vien lentelės, kurioje pavaizduota vaizdo kamera, pakabinimas nebūtų laikomas tinkamu asmens informavimu, būtina pateikti pakankamai išsamią informaciją. Tik pateikęs reikiamą informaciją kamerą įrengęs subjektas laikomas besilaikančiu Reglamente įtvirtinto kertinio skaidrumo principo, o taip pat ir konkrečių informavimui keliamų reikalavimų.

Taip pat atkreiptinas dėmesys ir į specifines vaizdo stebėjimo priemones – vaizdo registratorius. Valstybinė duomenų apsaugos inspekcija dar 2016 metais yra pateikusi viešąją konsultaciją dėl informavimo vykdant vaizdo stebėjimą vaizdo registratoriumi. Tuo atveju, kai vaizdo registratoriai transporto priemonėse naudojami ne asmeniniais tikslais, o, pavyzdžiui, įdiegiami įmonei priklausančiuose automobiliuose, tokiu atveju galioja tokie patys informavimo reikalavimai kaip ir kitais vaizdo stebėjimo atvejais, informacija apie vaizdo stebėjimą turi būti pateikiama informaciniame lipduke transporto priemonės priekyje ir gale. 

Nepaisant vaizdo kamerų paplitimo praktikoje, tai tikrai nėra universali saugos priemonė, kurią savaime būtų priimtina naudoti neatsižvelgiant į praktinės situacijos aplinkybes. Apibendrinant tai, kas aprašyta aukščiau, norint teisėtai įsirengti ir naudoti vaizdo stebėjimo kameras, būtina atsakingai įsivertinti įvairias faktines aplinkybes, gebėti pagrįsti poreikį vykdyti vaizdo stebėjimą ir skirti pakankamai dėmesio asmenų, patenkančių į vaizdo stebėjimo lauką, informavimui.

Publikuota portale portale DELFI 2019-02-12 d. „Vaizdo stebėjimas ir asmens duomenų apsauga“

Teisininkai

_e7q1924_valentinas_1500362139-2376bd065eacecbef85c6710e22e59f2.png
Valentinas Knyva
Vyresnysis teisininkas

+370 5 248 76 70
valentinas.knyva@ilaw.legal