Indeling:
Richtlijnen van de EDPB
Identificatie van gegevenssubjecten
Kentekenplaten, Identificatiedocumenten en biometrische gegevens
Waar moet met rekening mee houden bij het opzetten van een videobewakingssysteem?
Artikel 15 van de GDPR
Veiligheidsmaatregelen voor videobewakingssystemen
Opslag en bewaartermijnen van videobewakingsbeelden
Conclusie
Camerabewaking is tegenwoordig bijna overal te vinden. Er zijn naar schatting miljarden bewakingscamera’s die u wereldwijd in de gaten kunnen houden.
We zijn ons allemaal bewust van het wijdverbreide gebruik van camerabewaking wanneer we een bank, hotel, apotheek en andere openbare ruimtes binnenlopen.
Echter hebben we vaak geen inzicht in de rechtmatigheid van camerabewaking, de maatregelen die moeten worden genomen om onze privacy te beschermen en of onze videobeelden zelfs als persoonlijke gegevens worden beschouwd krachtens de GDPR.
Richtlijnen van de EDPB
Het Europees Comité voor gegevensbescherming (“EDPB”) heeft richtlijnen voor de verwerking van persoonsgegevens via videoapparatuur uitgebracht. Specifiek betreft het alle videoapparatuur die voor openbare raadpleging ter beschikking zijn gesteld, dit omvat niet enkel beveiligingscamera’s maar ook dashcams, privécamera’s beveiligingscamera’s en camera’s van mobiele telefoons.
Identificatie van Gegevenssubjecten
Het is belangrijk op te merken dat deze richtlijnen alleen betrekking hebben op camerabewaking waarbij persoonsgegevens worden verwerkt. Men spreekt van persoonsgegevens wanneer de gegevens kunnen worden gebruikt om natuurlijke personen (d.w.z. een ‘gegevenssubjecten‘) direct en/of indirect te identificeren. Deze beelden tonen, bijvoorbeeld, het gezicht van een persoon, een naamplaatje of andere onderscheidende kenmerken die deze persoonidentificeerbaar maken (bv. unieke tatoeages of moedervlekken).
Kentekenplaten, Identificatiedocumenten en Biometrische Gegevens
Onder persoonsgegevens vallen in ieder geval, maar in het bijzonder in deze context, ook kentekenplaten van auto’s, identificatiedocumenten en biometrische gegevens. Voor deze laatste categorie is het belangrijk op te merken dat een afbeelding of video op zichzelf niet wordt beschouwd als een biometrische gegeven in de zin van artikel 9, als deze niet specifiek is verwerkt om bij te dragen tot de identificatie van een persoon.
Beeldmateriaal zonder dergelijke persoonsgegevens, bijvoorbeeld onderzoekcamera’s die uitsluitend dieren in het wild filmen, vallen buiten het toepassingsgebied van de GDPR en bijgevolg ook buiten het toepassingsgebied van deze Richtlijnen.
Waar moet men rekening mee houden bij het opzetten van een videobewakingssysteem?
Voordat een camerabewakings-systeem wordt opgezet, moet er altijd worden beoordeeld of een dergelijk systeem überhaupt nodig is. Zowel de Richtlijnen van de EDPB als de GDPR stellen namelijk uitdrukkelijk dat persoonsgegevens niet onnodig verwerkt mogen worden. Waar mogelijk moeten er dan ook alternatieven overwogen worden voor de videobewaking.
Camerabewaking kan pas legaal en GDPR-proof zijn als de 6 rechtsgrondslagen voor de verwerking van persoonsgegevens worden gerespecteerd.
Opdat camerabewaking legaal is, moet het gebaseerd zijn op een van de 6 rechtsgrondslagen voor de verwerking van persoonsgegevens. Deze grondslagen zijn de volgende:
Toestemming
Contract
Wettelijke verplichting
Bescherming van vitale belangen
Publieke taak
Legitieme belangen
Voordat CCTV-camera’s worden geïnstalleerd, is het aangeraden een DPIA (gegevensbeschermingseffectbeoordeling) door een erkend DPO te laten uitgevoerd.
Een DPIA is in essentie een risicoanalyse die een goed beeld geeft over het risico op een datalek. Ook helpt het bij het bepalen van effectieve oplossingen en helpt het ervoor te zorgen dat de beelden geschikt zijn voor het beoogde doel.
Indien blijkt dat een bewakingssysteem inderdaad nodig is, moeten maatregelen worden genomen om over het bewakingssysteem naar de betrokkenen te communiceren.
Artikel 15 van de GDPR: Het Recht op Toegang tot Persoonsgegevens – Eisen en volgende Informatie:
- Wat is het doel van de verwerking?
- Wat zijn de categorieën van verwerkte persoonsgegevens (inclusief ontvangers of categorieën van ontvangers in derde landen of internationale organisaties)?
- Wie zijn de ontvangers aan wie de persoonsgegevens zullen worden verstrekt?
- Hoelang worden gegevens bewaard (bewaartermijn)?
Een dergelijke kennisgeving zou op een eenvoudige en beknopte manier belangrijke informatie aan de betrokkenen kunnen doorgeven, met name:
Dat ze zich in een gebied bevinden of op het punt staan een gebied binnen te gaan waar videobewaking plaatsvindt.
Waarom de opname plaatsvindt (d.w.z. de rechtvaardiging van de verwerkingsverantwoordelijke voor het installeren van een CCTV- of ander videosysteem).
De identiteit van de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) die verantwoordelijk is voor het videosysteem.
De rechten die de betrokkene kan uitoefenen met betrekking tot een dergelijke verwerking van zijn persoonsgegevens.
De contactgegevens van een functionaris voor gegevensbescherming of, indien er geen is aangesteld, de persoon die verantwoordelijk is voor de opgenomen beelden, idealiter dezelfde persoon met wie de betrokkenen contact kunnen opnemen om hun rechten uit te oefenen.
Waar de betrokkene meer informatie kan vinden over de verwerking van zijn persoonsgegevens.
Veiligheidsmaatregelen voor videobewakingssysteem
Er zijn ook enkele organisatorische en technische maatregelen die worden toegelicht in de EDPB-richtlijnen
De organisatorische maatregelen omvatte de volgende:
Bepaal wie verantwoordelijk is voor het beheer en de werking van het videobewakingssysteem.
Wat is het doel en de reikwijdte van het toezicht?
Wat zijn uw transparantie- en informatieverplichtingen?
De bewaartermijn van gegevens voor videobeelden.
Wie heeft toegang tot video-opnamen en voor welke doeleinden?
Procedure voor datalekken.
Incidentbeheer en herstelprocedures…
De technische maatregelen omvatte de volgende:
Het beveiligen van de fysieke beveiliging van alle systeemcomponenten.
Data encryptie.
Gebruik van firewalls, antivirus- of inbraakdetectiesystemen tegen cyberaanvallen.
Toegangscontrole.
Opslag van videobewakingsbeelden.
Opslag en bewaartermijnen van videobewakingsbeelden
De videobeelden mogen niet langer worden bewaard dan strikt noodzakelijk is voor het te realiseren doel. Het beeldmateriaal wordt daarom meestal voor een korte tijd bewaard. In bepaalde lidstaten kunnen er aanvullende bepalingen zijn die de bewaartermijnen regelen. Rekening houdend met de principes van gegevensminimalisering en opslagbeperking, zouden de persoonsgegevens in de meeste gevallen na enkele dagen automatisch moeten worden verwijderd.
Wat als ik ze toch langer bewaar?
Als de beelden toch langer moeten worden bewaard, is het raadzaam om een risicobeoordeling uit te voeren om de redenen voor een langere bewaring van gegevens vast te leggen.
Een verwerkingsverantwoordelijke moet voor elk afzonderlijk doel de bewaartermijn van gegevens bepalen. De bewaartermijn moet worden bepaald in overeenstemming met de beginselen van noodzakelijkheid en evenredigheid. De verwerkingsverantwoordelijke moet kunnen aantonen dat hij voldoet aan de GDPR.
Conclusie
Het niet correct behandelen van videobewakingsbeelden kan leiden tot veel problemen op vlak van GDPR. Als u CCTV wilt instaleren voor uw bedrijf, kan u altijd een van onze erkende DPO’s contacteren om uw te begeleiden door het proces en u te voorzien van de nodige DPIA.