Hogyan kell helyesen megjelölni az Európai Adatvédelmi Testület 3/2019 sz. iránymutatása (Guidelines 3/2019) értelmében kamerarendszerrel monitorozott területet.
számú Kép 1
Az 1. számú Kép tartalmazza az összes szükséges információt, amelyet az adatkezelő a GDPR 5. cikk (1) bekezdésének a) pontja szerint köteles az érintett személyekkel közölni a megfigyelt területre való első rétegű belépéskor (átláthatóság elve). Ezeket az adatokat az adatok megszerzését megelőzően vagy a megszerzés pillanatában kell átadnia. Az érintett személyek számára az első réteg tartalmazza az adatkezelőről, az adatfeldolgozás céljáról szóló információkat, valamint az érintett személyes adatai igazságos és átlátható módon történő kezeléséről szóló további információkat. Egyidejűleg az első rétegnek tartalmaznia kell azt az információt is, hogy az érintett személy hol találja meg a további szükséges információkat. A személyes adatok kezelésének szempontjából ezek a kiegészítő információk utalásként szolgálhatnak (például utalás a weboldalra vagy faliújságra), ahol a személyes adatok kezelésének feltételeivel és az érintett személyek jogaival kapcsolatban a többrétegű hozzáférésre nagyobb tér áll rendelkezésre.
A fenti iránymutatásból kitűnik, hogy az érintett személy személyes adatainak kamerarendszerrel történő kezelésére irányuló tájékoztatás elvégzése nem történhet a személyes adatok megszerzését követően (a megfigyelt területre való belépés után). A megfigyelt terület megjelölésének elhelyezése egyidejűleg specifikus azáltal, hogy az érintett személyeket tájékoztatja a megfigyelt területre való belépés helyéről, illetve az átláthatóság elvével összhangban körülhatárolja azt a területet, ahol az érintett személyek személyes adatai megszerzésre kerülnek.
A GDPR 4. cikk (1) bekezdésének értelmében a „személyes adat” azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható természetes személy az a személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosítószám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára utaló egy vagy több tényező alapján azonosítható.
A GDPR rendelet 4. cikk (2) bekezdésének értelmében az „adatkezelés” a személyes adatokon vagy adatállományokon végzett bármely művelet vagy műveletek összessége, például gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés, tekintet nélkül arra, hogy automatizált vagy nem automatizált eszközökkel kerül elvégzésre.
A megfigyelt terület határai
Amennyiben a terület megfigyelése a GDPR 6. cikk (1) bekezdésének f) pontja szerinti jogos érdekből történik, az adatkezelőnek be kell tartania a személyes adatok a szükségesre korlátozásának elveit a GDPR 5. cikk (1) bekezdésének c) pontja szerint (a személyes adatok csak olyan személyes adatok lehetnek, amelyek az adatkezelés céljai szempontjából megfelelőek és relevánsak, és egyúttal elengedhetetlenül szükségesek). Az adatkezelés céljának elérése szempontjából a területet a meghatározott határon kívül tilos megfigyelni.
A felvételek tárolási ideje
A GDPR 6. cikk (1) bekezdésének f) pontja (az adatkezelő jogos érdekeinek érvényesítéséhez elengedhetetlenül szükséges adatkezelés) alkalmazásának esetén az útmutatás érinti a felvételek ajánlott tárolási idejét is, amely 72 óra. A személyes adatok konkrét tárolási idejét sem a GDPR, sem pedig egyéb általánosan kötelező érvényű előírás nem határozza meg. Abban az esetben, ha a felvételek tárolási ideje meghaladja a 72 órát, az adatkezelőnek a felügyeleti szerv előtt elégségesen meg kell tudnia indokolni a felvételek hosszabb ideig tartó tárolási idejét úgy, hogy az a GDPR 5. cikk (1) bekezdésének e) pontjában foglaltakkal ne legyen ellentétben (korlátozott tárolhatóság), tehát hogy a tárolás ne tartson hosszabb ideig, mint az adatkezelés céljainak eléréséhez szükséges idő.
Az említett iránymutatás értelmében az adatok tárolási idejének meghatározásáért a szükségesség és az arányosság elveivel összhangban az adatkezelő felel.
A GDPR 5. cikk (1) bekezdésének e) pontja szerint a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a jelen rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”).
Mi befolyásolhatja még a felvételek tárolási idejét?
- az igazolt lopások vagy incidensek száma a megfigyelt területen, amelyek rendőrségi vizsgálat tárgyát képezték és erről bizonyítékok vannak
- ünnepnapok száma, ami meghosszabbíthatta a tárolás ideját (gondolni kell arra, hogy amennyiben a területen megfigyelő őrszolgálat működik, ezzel gond lehet)
Bármilyen kérdés esetén forduljon hozzánk bizalommal!.
IOSEC
