promo gdpr desktop
 

Соответствие Общему регламенту ЕС по защите данных при использовании продуктов Avigilon

Загрузить PDF

1

Общий регламент по защите данных (GDPR) — это новый регламент Европейского союза (ЕС),  который регулирует защиту данных и конфиденциальности граждан ЕС, а также тех лиц, чьи персональные данные поступают на обработку в компании, зарегистрированные в ЕС. Этот регламент накладывает новые обязательства на тех, кто собирает, хранит и обрабатывает такие данные. Регламент GDPR вступил в силу во всех странах ЕС 25 мая 2018 года.

Несмотря на то, что положения GDPR не составлялись непосредственно для видеоданных, видеоматериалы считаются персональными данными лиц, запечатленных на камеру. В связи с этим GDPR предполагает, что лица и организации, являющиеся владельцами и пользователями систем видеонаблюдения, должны продумывать последствия использования этих систем с учетом конфиденциальности, отражать их в документации и соответствующим образом контролировать работу своих систем.

И хотя технологические решения, например ПО для управления видеоданными Avigilon Control Center (ACC), сами по себе не могут соответствовать Общему регламенту по защите данных (GDPR), все поставщики технологий обязаны содействовать тому, чтобы заказчики могли использовать эти технологии для развертывания и поддержки систем в соответствии с GDPR. Avigilon предпринимает все усилия для того, чтобы ее видеосистемы безопасности со всеми функциями соответствовали GDPR.

На этой странице представлена простая схема на основе пяти базовых принципов GDPR, которая поможет организации, располагающей персональными данными, обеспечить соответствие видеосистем положениям GDPR. Кроме того, рассматриваются особые возможности видеосистем Avigilon для решения этой задачи.

5 основных принципов GDPR

  • Четко обоснованная цель
    Любая организация должна иметь действительные законные основания для сбора и обработки персональных данных.
  • Обеспечение конфиденциальности на стадии проектирования
    Согласно требованиям GDPR, при проектировании и вводе систем в эксплуатацию приоритетным параметром должна быть конфиденциальность. Конфиденциальность данных должна обеспечиваться профилактическими мерами, а не в режиме реагирования. Необходимо оценивать факторы риска и предотвращать нежелательные события.
  • Право доступа
    Согласно статье 15 GDPR пользователям предоставляется возможность управлять своими персональными данными, в том числе правом просмотра этих данных.
  • Право на забвение
    Согласно статье 17 GDPR пользователи получают возможность управлять своими персональными данными, в том числе они могут требовать удалить их, если больше нет необходимости хранить их в соответствии с заявленным предназначением системы.
  • Безопасность
    В соответствии с GDPR организациям необходимо разработать комплексные политики и процедуры, которые бы обеспечивали постоянный контроль организации над персональными данными. Кроме того, организации должны заявлять об утечках персональных данных в соответствующий надзорный орган, назначенный правительством страны их регистрации, в течение 72 часов.
ПринципАспекты, связанные с использованием видеосистемПредлагаемые меры по обеспечению соответствияФункции решений Avigilon, связанные с этой задачей

Четко обоснованная цель

Документальное описание назначения видеосистемы, видов собираемой информации, целей сбора информации, лиц, осуществляющих сбор, и срока хранения информации.

В отдельных случаях, сопряженных с высоким риском нарушения конфиденциальности, требуется формализованная оценка влияния предпринимаемых действий на конфиденциальность данных (DPIA).

Убедитесь, что размещены необходимые обозначения, а также информация о том, где субъекты информации могут найти дополнительные сведения.

Необходимо обеспечить доступность информации о цели сбора данных, типе их обработки (например, в трансляции или в записи), сроках хранения данных и т. д. любому субъекту данных.

Изучите необходимость выполнения процедуры DPIA.

Нет. За выполнение этих процедурных требований несет ответственность организация, располагающая персональными данными.

Обеспечение конфиденциальности на стадии проектирования

Организациям необходимо четко продумывать и документально оформлять принципы соответствия их систем заявленным целевым параметрам.

Необходимо уделять внимание тому, чтобы исключить из сбора персональные данные субъектов, которые находятся вне области применения системы (например, в расположенных поблизости публичных местах).

Требуется тщательно оценить, каким субъектам и к какой информации требуется доступ (например, к трансляциям или записям, за какой период времени, в каком разрешении), а также какие пользователи и к каким функциям должны иметь доступ (например, к поиску).

Используйте Avigilon System Design Tool (SDT) для документальной регистрации разрешения в различных сегментах области обзора камеры, предусмотренных сроков хранения данных и т. д.

Уточните роли и ответственность операторов, специалистов, проводящих расследования, системных администраторов и других лиц, имеющих доступ к системе.

Изучите возможность ограничения доступа к камерам, размещенным с целью записи идентифицируемых данных (например, лиц людей, входящих в магазин) кругом лиц, занимающихся расследованиями.

Рекомендуется также ограничить доступ операторов к видеозаписям: полностью, с доступом только к видеозаписям, сделанным с момента последнего входа оператора в систему, или с помощью двойной авторизации.

Пароль учетной записи администратора должен быть известен только определенному кругу лиц, которые должны использовать эту учетную запись только для администрирования системы.

Решение SDT помогает осуществлять планирование системы до установки и обеспечивает учет таких параметров, как зона охвата, разрешение и срок хранения.

ACC™ позволяет управлять разрешениями пользователей, чтобы сотрудники отдела безопасности имели доступ только к тем видеоданным, которые необходимы им для работы.

ACC контролирует разрешение отображаемых видеоматериалов в соответствии с разрешениями, данными пользователями.*

ACC требуются разрешения пользователей, данные в явной форме, для использования возможностей поиска.*

Право доступа

По запросу организации должны предоставлять субъектам данных все собранные персональные данные, относящиеся к ним, включая видеоматериалы, записанные системой видеонаблюдения.

При предоставлении видеозаписи субъекту данных остальные лица, появляющиеся на записи, должны быть скрыты маской или защищены от идентификации иным способом.

Необходимо разработать формальные процедуры и политики для обработки запросов на право доступа к данным.

ACC содержит возможности добавления закладок и экспорта видео.

Технология Avigilon Appearance Search™ также используется в решении ACC, которое позволяет пользователям находить, помечать закладками и экспортировать записанные видеоматериалы, в которых фигурирует определенное лицо.

Результаты поиска Appearance Search можно экспортировать с использованием ACC, защитив при этом изображения всех остальных участников видео от возможности идентификации.*

Право на забвение

Поскольку удаление изображения отдельного субъекта из видеозаписи практически нереализуемо, обработчики данных должны строго ограничивать период хранения видеоматериалов в соответствии с назначением системы, зафиксированным в документации.

Проверьте период хранения для всех камер и убедитесь ,что он задан в соответствии с назначением системы, зафиксированным в документации.

В решении ACC строго соблюдаются заданные пользователями ограничения срока хранения видеоматериалов для каждой камеры.

Кибербезопасность

Необходимо предпринять все возможные организационные меры и использовать все доступные технические средства для обеспечения безопасности персональных данных.

Необходимо строго соблюдать принципы GDPR относительно предоставления информации о нарушениях безопасности в случае их возникновения.

Проверьте политики безопасности, относящиеся к управлению паролями и использованию учетных записей.

Рекомендуется задать минимальные требования по сложности пароля для всех групп. Требования для учетных записей администраторов должны быть жестче.

Необходимы работающие процессы для проверки статуса защиты данных и обнаружения утечек.

Исключите возможность использования чужих учетных записей путем передачи паролей или в том случае, если пользователь не вышел из учетной записи по окончании смены или не вошел в нее в начале смены.

Необходимо отразить в документах политику и процедуру, в которых зафиксированы действия в случае утечки данных, и поддерживать актуальность этих документов.

В решении ACC применяются такие средства безопасности, как обязательные сложные пароли, проверка подлинности при подключении и шифрование данных.

ACC предоставляет журналы, содержащие все действия пользователей, по которым проверяющие могут определить, кто, к каким ресурсам и когда получал доступ.

* Эта функция будет доступна в одном из следующих выпусков ACC в 2018 году

Дополнительные источники

Руководство ICO.org по Общему регламенту ЕС по защите данных

Орган ЕС по надзору за соблюдением законодательства о защите персональных данных, “Принципы осуществления видеонаблюдения в соответствии с требованиями надзорного органа ЕС по защите данных“ (PDF)

Орган ЕС по надзору за соблюдением законодательства о защите персональных данных, “Статья 13: обязательная информация, предоставляемая субъекту при сборе его персональных данных”,

Орган ЕС по надзору за соблюдением законодательства о защите персональных данных, “Статья 15: право субъекта данных на доступ к данным”,

Орган ЕС по надзору за соблюдением законодательства о защите персональных данных, “Статья 25: обеспечение защиты данных на стадии проектирования и по умолчанию”,

Орган ЕС по надзору за соблюдением законодательства о защите персональных данных, “Статья 33: уведомление надзорного органа об утечке персональных данных”,

 

Содержание этой страницы нельзя рассматривать как правовую консультацию, оно служит только цели информировать вас. Этот информационный листок дает лишь общее представление о GDPR. Его нельзя рассматривать как полноценную рекомендацию по соблюдению положений регламента. Меры по его исполнению зависят от конкретной ситуации. Как конечный пользователь продуктов Avigilon, вы несете ответственность за соблюдение законов о конфиденциальности (в том числе GDPR). Если вам требуется консультация, вы должны обратиться к аттестованному юристу.


Глоссарий

Версия ACC Последняя версия ACC, протестированная с камерой. Поддержка также обеспечивается и для более старых версий ACC, если в технических характеристиках не указано иное.
Аудиовход Получить аудиопоток с камеры.
Аудиовыход Отправить аудио на микрофон, подключенный к камере.
Автоматическое определение Автоматическое определение IP-адреса камеры при подключении в пределах сети LAN.
Тип сжатия Описывает тип шифрования, поддерживаемого камерой.
Тип подключения Описывает тип используемого драйвера устройства. "Native" указывает на драйвер устройства, предоставленный производителем.
Компенсация искажений Встроенная функция компенсации искажений при съемке объективами типа Fisheye или панорамными объективами.
Цифровой вход Получить цифровые входы или входы реле от камеры.
Цифровой выход Запустить цифровые выходы или выходы реле, физически подключенные к камере.
Движение Быстрый вывод информации о том, доступна ли функция записи движения для камеры.
Настройка определения движения Настройка функции определения движения в клиенте ACC.
Запись движения Поддержка записи при обнаружении движения.
PTZ Быстрый вывод информации о том, доступны ли функции PTZ для камеры.
Элемент управления PTZ Базовые движения PTZ.
Образцы/маршруты PTZ Возможность создавать и запускать образцы или маршруты PTZ в зависимости от поддерживаемой камеры.
Предустановки PTZ Создание и запуск предустановок PTZ.
Тип устройства Тип камеры.
Проверено Организация, осуществившая тестирование камеры и заявленных характеристик.
Проверенная микропрограмма Specific firmware version tested.
Производитель Blah
Модель DS-2DE2103
Тип подключения ONVIF
Тип устройства IP-камера PTZ
Compression Types H.264

  • Версия ACC
  • Модель DS-2DE2103
  • Тип подключения ONVIF
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah
  • Производитель Blah