Політика CCTV

Політика обробки персональних даних системами відеоспостереження

I. МЕТА ПОЛІТИКИ

Ця політика служить для підвищення обізнаності та інформування фізичних осіб, як співробітників, так і третіх осіб (співробітників / постачальників послуг / представників договірних партнерів і т.д.) щодо обробки їх персональних даних за допомогою систем відеоспостереження (CCTV), встановлених на об'єктах / місцях, якими керує SMART SOFT SERV SRL.  

Конкретно ця політика викладена в цьому документі:

a) Єдиний набір цілей, принципів і правил, що регулюють використання систем відеоспостереження для наступних цілей:

1. Забезпечення безпеки, тобто збереження та нагляд за суб'єктами даних (працівниками, третіми особами¹ ) та гарантування їхніх прав на основі та в дусі Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою персональних даних та про вільне переміщення таких даних та про скасування Директиви 95/46/ЄС компанією SMART SOFT SERV SRL, як Контролером персональних даних;

2. Забезпечення безпеки та цілісності активів, товарів/ІТ-обладнання/матеріалів, що використовуються в конкретній діяльності SMART SOFT SERV SRL, відповідно до законодавства в цій галузі в поєднанні з законними інтересами SMART SOFT SERV SRL;

б) Відповідальність за управління та експлуатацію систем відеоспостереження, а також за підготовку, погодження та затвердження документів, пов'язаних з цією діяльністю.

Політика відеоспостереження описує принципи, правила і практику, яких дотримується SMART SOFT SERV SRL і всі особи, з якими ця компанія взаємодіє у зв'язку з адмініструванням і використанням систем відеоспостереження, встановлених на її об'єктах.  

Водночас ця Політика описує організаційні заходи, що здійснюються Оператором з метою захисту персональних даних, недоторканності приватного життя та інших основоположних прав фізичних осіб.

II. МАСШТАБ

Політика застосовується до діяльності з відеоспостереження або у зв'язку з нею. Політика застосовується, відповідно до повноважень, шляхом:

1. СМАРТ СОФТ СЕРВ СРЛ;

2. співробітники з обов'язками, зазначеними в посадовій інструкції, щодо відстеження записів, де це доречно;

3. інші особи в компанії SMART SOFT SERV SRL, наділені повноваженнями для перегляду записів системи відеоспостереження.  

III. УМОВИ ЛЕГІТИМНОСТІ

SMART SOFT SERV SRL обробляє персональні дані за допомогою систем відеоспостереження, встановлених у своїх приміщеннях, згідно з відповідними законодавчими положеннями.

a) Нормативні посилання:

1. Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв'язку з обробкою персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС;

2. Закон № 190/2018 про заходи з імплементації Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС;

3. Закон № 333 від 8 липня 2003 року "Про охорону об'єктів, вантажів, цінностей та захист осіб" з наступними змінами та доповненнями, а також Методичні рекомендації щодо застосування Закону № 333/2003;

4. Рішення Національного органу з нагляду у сфері захисту персональних даних (далі - ANSPDCP) № 174/2018 про перелік операцій, для яких обов'язковим є проведення оцінки впливу на захист персональних даних (ст. 1, п. "в")

5. Керівні принципи Європейського нагляду з питань захисту даних щодо відеоспостереження, опубліковані 17 березня 2010 року, Брюссель.

б) Використання відеосистеми:

Використання систем відеоспостереження в приміщеннях/приміщеннях, що належать SMART SOFT SERV SRL, необхідне не тільки для належного управління та функціонування Оператора, але, зокрема, для забезпечення безпеки та контролю охорони, описаних в розділі V, пункт (a) нижче.

Важливо відзначити, що розвиток Оператора ґрунтується на намірі керівництва компанії чітко встановити ступінь дотримання стратегій і конкретних напрямків діяльності SMART SOFT SERV SRL і, в той же час, забезпечити цілісність і безпеку зацікавлених осіб і приміщень, в яких здійснюються конкретні види діяльності.

Системи відеоспостереження, встановлені в приміщеннях компанії, сприяють досягненню цих цілей.

в) Прозорість:

Кожен співробітник SMART SOFT SERV SRL знає про існування систем відеоспостереження, встановлених у приміщеннях компанії (у повітах Муреш, Клуж та Брашов), де він здійснює свою діяльність, і був проінформований про це протягом усього періоду працевлаштування.  

Крім того, кожна третя особа (співробітник / постачальник послуг / представник договірних партнерів тощо на території, якою керує компанія) має фундаментальне право знати, як працює система відеоспостереження, про яку йдеться, і з якою метою вона використовується стосовно його/її особи.

Якщо дані, зібрані за допомогою системи відеоспостереження, можуть порушити конфіденційність суб'єктів даних (працівників, співробітників / постачальників послуг / представників договірних партнерів тощо), які мають доступ до місць розташування SMART SOFT SERV SRL, вони мають право втручатися у власні дані, за винятком випадків, коли факти або дії, зафіксовані системою, суперечать закону або Внутрішнім правилам Оператора.

г) Періодичні огляди: Структури, відповідальні за забезпечення безпеки, щорічно здійснюватимуть періодичний огляд та аналіз:

1. необхідність підтримувати системи у робочому стані;

2. виконати заявлені цілі;

3. можливі відповідні альтернативи системам відеоспостереження;

4. чи відповідає ця Політика положенням Регламенту (ЄС) 2016/679, тобто чи є вона актуальною.

IV. ПІДКОНТРОЛЬНІ ТЕРИТОРІЇ

Системи відеоспостереження повинні використовуватися для спостереження за необхідності:

a). Штаб-квартира в повіті Муреш - доступ для осіб через вхідні ворота у внутрішній двір (а потім до вхідних дверей у приміщення);  

b). Повітова адміністрація Клужського повіту - 2 під'їзди до штаб-квартири;

c). Штаб-квартира в Брашовському повіті - 2 під'їзди до штаб-квартири.  

Записуючі пристрої повинні бути розміщені в добре захищених, належним чином охоронюваних і замкнених приміщеннях, щоб виключити, наскільки це можливо, можливість крадіжки носіїв інформації.

Зони, де очікується високий рівень приватності, не контролюються, наприклад, туалети, роздягальні, їдальні тощо.  

У виняткових випадках, у разі належним чином обґрунтованих потреб безпеки або важливих управлінських потреб Оператора, камери можуть бути встановлені в таких місцях, за винятком місць, пов'язаних з розкриттям приватного життя, але тільки після проведення оцінки впливу ризиків та інформування відповідального за захист даних або, у відповідних випадках, ANSPDCP.

V. ПЕРСОНАЛЬНІ ДАНІ, ЗІБРАНІ ЗА ДОПОМОГОЮ ВІДЕОСПОСТЕРЕЖЕННЯ

a) Мета відеоспостереження:

SMART SOFT SERV SRL використовує системи відеоспостереження з метою безпеки співробітників, охорони та захисту активів, ІТ-обладнання, матеріалів, що використовуються в специфічній діяльності компанії.  

Ці системи використовуються для контролю доступу до приміщень та місць, що належать компанії, для забезпечення безпеки товарів, ІТ-обладнання та матеріалів, що знаходяться в цих місцях, а також безпеки людей (*співробітників SMART SOFT SERV SRL, *колег/постачальників послуг/представників договірних партнерів/інших осіб), а також інформації, що зберігається на цих територіях.  

Системи відеоспостереження допомагають запобігати, протидіяти, а в певних ситуаціях і розслідувати несанкціонований фізичний доступ до приміщень співробітників і приміщень, де можливий доступ до конфіденційної інформації.  

Крім того, системи відеоспостереження допомагають запобігти, виявити або розслідувати крадіжки ІТ-обладнання/інших вразливих товарів, що належать компанії.  

б) Обмеження за призначенням:

Системи відеоспостереження не повинні використовуватися для цілей, відмінних від зазначених у попередньому пункті. Однак, якщо можлива справа виникає у зв'язку з трудовим спором, записи з відеореєстраторів, вилучені відповідно до правових норм, можуть бути використані для з'ясування та встановлення істини.

Системи відеоспостереження також можуть бути засобом розслідування або засобом отримання інформації для внутрішніх розслідувань або дисциплінарних проваджень, особливо в ситуаціях, коли відбувається інцидент фізичної безпеки або спостерігається злочинна поведінка (у разі вчинення злочину записи, які можуть допомогти з'ясувати і встановити істину, будуть передані органам кримінального розслідування, за умови дотримання спеціальних законодавчих положень з цього приводу).

в) Спеціальні категорії даних:

Встановлені системи відеоспостереження не призначені для захоплення (наприклад, шляхом вибіркового фокусування або націлювання) або обробки (наприклад, індексування, профілювання) зображень, які розкривають "особливі категорії даних" (наприклад, про стан здоров'я людини).

d) Опис та технічні характеристики систем:

Традиційно встановлені системи відеоспостереження - це статичні системи (оснащені камерами UniFi G5Bullet). Вони записують зображення та оснащені датчиками руху. Системи можуть фіксувати будь-який рух, виявлений камерами, встановленими на периметрах, що охороняються, із зазначенням дати, часу та місця події. Всі камери працюють 24 години на добу, 7 днів на тиждень.

Якість отриманих зображень може дозволити розпізнати осіб, які проходять через зону дії камер. Спеціально навчений персонал повинен дотримуватися налаштувань конфіденційності та прав доступу.  

Відсутність взаємозв'язку з іншими системами відеоспостереження та аудіозапису. Доступ до приміщень, де знаходиться обладнання для запису та зберігання даних систем відеоспостереження, суворо обмежений персоналом, спеціально призначеним керівництвом SMART SOFT SERV SRL.

д) Переваги системи спостереження:

1. Посилення контролю та безпеки на периметрах/територіях/просторах, що перебувають під наглядом;

2. Обмеження доступу для іноземців;

3. Усунути втрати, спричинені можливими непередбачуваними подіями та/або виявити ті, що призвели до таких втрат;

4. Реалізація законного інтересу SMART SOFT SERV SRL, захист іміджу компанії та документування будь-яких аспектів, які неможливо було б задокументувати іншим способом.

VI. КОНФІДЕНЦІЙНІСТЬ ТА ІНФОРМАЦІЙНА БЕЗПЕКА

Для захисту безпеки встановлених відеосистем і посилення захисту приватності були реалізовані наступні технічні та організаційні заходи:

обладнання для зберігання записаних зображень (сервери, на яких зберігаються записані зображення) знаходяться в безпечних приміщеннях, захищених механічними та фізичними заходами безпеки;

Право доступу надається користувачам за принципом "службової необхідності", і тільки до тих ресурсів, які строго необхідні для виконання службових завдань;

тільки керівництво Оператора, за рекомендацією особи, відповідальної за адміністрування системи відеоспостереження на підприємстві, має право надавати, змінювати або відкликати право доступу користувача, відповідно до принципу "необхідності знати";

системний адміністратор повинен вести постійно оновлюваний список усіх осіб, які мають право доступу до систем відеоспостереження, із зазначенням типу та рівня доступу;

зовнішні особи, уповноважені обслуговувати систему відеоспостереження (де це можливо), підпишуть угоду про конфіденційність;

перед придбанням або встановленням будь-якої нової системи/елемента відеоспостереження необхідно проконсультуватися з відповідальним за захист даних SMART SOFT SERV SRL;

Періодично відбувається перевірка доступу до комп'ютерної системи та задокументований аналіз щодо законності доступу.

VII. ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХ РОЗКРИТТЯ

a) Права доступу:  

Доступ до збережених зображень та/або технічної архітектури систем відеоспостереження обмежується обмеженим колом осіб і визначається посадовими обов'язками, зазначеними в Посадових інструкціях (з якою метою і тип доступу), на підставі рішення керівництва Оператора.

Що стосується принципу службової необхідності, то доступ до секретної інформації надається, в кожному конкретному випадку, лише особам, які, виконуючи свої службові обов'язки, повинні працювати з такою інформацією або мати до неї доступ.

SMART SOFT SERV SRL накладає обмеження на персонал, який має право переглядати записані матеріали в режимі реального часу. Метою перегляду в режимі реального часу є виключно безпека та захист співробітників, активів, ІТ-обладнання/матеріалів, що використовуються в конкретній діяльності компанії.

Будь-який інший перегляд у реальному часі здійснюється на основі права доступу, а обробка реєструється в Журналі доступу.

Доступ до перегляду зображень має персонал, визначений керівництвом Оператора.  

Перегляд записаних зображень буде здійснюватися в обґрунтованих випадках, таких як випадки, прямо передбачені законом, та інциденти, пов'язані з безпекою, спеціально уповноваженим персоналом.

Копіювання, завантаження, видалення, розповсюдження або зміна будь-якого записаного матеріалу забороняється без згоди керівництва Оператора та попереднього повідомлення суб'єкта даних, за винятком випадків, спеціально передбачених законодавством.

б) Інструктаж:

Усі співробітники, які мають права доступу, повинні пройти спеціальну початкову підготовку з питань захисту персональних даних. Ця процедура буде інтегрована в програму навчання та інструктажу для всіх користувачів з правами доступу та обов'язками щодо експлуатації систем відеоспостереження.

Адміністратор(и) системи(-и) відеоспостереження повинен(-ні) забезпечити навчання та інструктаж усього персоналу, залученого до експлуатації системи(-й), з усіх функціональних, експлуатаційних та адміністративних аспектів роботи системи(-й).

в) Розголошення персональних даних:

Будь-яка діяльність з розкриття персональних даних третім особам буде задокументована і підлягатиме ретельному аналізу необхідності розкриття, з одного боку, і, з іншого боку, сумісності між метою, для якої запитується розкриття, і метою, для якої ці дані спочатку оброблялися.  

У таких випадках необхідно проконсультуватися з відповідальним за захист даних. Будь-яка ситуація розголошення буде зареєстрована системним адміністратором у Журналі реєстрації.

SMART SOFT SERV SRL зобов'язана надавати слідчим органам на їх письмову вимогу відеозаписи, на яких зафіксовано можливе вчинення дій, що суперечать закону. Після розкриття і якщо інше не передбачено законом, Оператор інформує суб'єкта даних про призначення та одержувачів відеозаписів, що стосуються його/її.

У виняткових випадках, але за умови дотримання гарантій, описаних вище, доступ до записів може бути наданий Дисциплінарній раді в рамках внутрішнього дисциплінарного розслідування, за умови, що інформація є переконливою для розслідування дисциплінарного проступку, який може завдати шкоди правам і свободам особи або законним інтересам Оператора.

Будь-яке порушення безпеки системи відеоспостереження реєструється в Журналі реєстрації інцидентів безпеки, а співробітник SMART SOFT SERV SRL, відповідальний за захист даних, інформується про це в найкоротші терміни.

VIII. ПЕРІОД ЗБЕРІГАННЯ

Термін зберігання записів на серверах пропорційний меті, для якої використовуються системи відеоспостереження. Зображення зберігаються максимум 30 днів, після чого вони автоматично видаляються в тому порядку, в якому вони були записані.

У разі інциденту з безпекою або кримінального розслідування тривалість зберігання відповідних записів може перевищувати звичайний ліміт залежно від часу, необхідного для розслідування.  

Зберігання даних і зображень суворо документується, а необхідність зберігання регулярно переглядається.

IX. ІНСТРУМЕНТИ УПРАВЛІННЯ СИСТЕМОЮ ВІДЕОСПОСТЕРЕЖЕННЯ

Реєстраційне обладнання захищене паролем адміністратора та автоматичними методами шифрування, а також іншими класичними системами безпеки (наприклад, блокуванням неправильного пароля).  

Вони щорічно проходять фізичну перевірку під час періодичного техогляду.  

Періодично змінюйте паролі до системи відеоспостереження:

Коли особі надається доступ до записів, для неї створюється профіль користувача, до якого вона зможе отримати доступ лише особисто, і за допомогою якого вона зможе входити в систему для перегляду записів.  

Коли цій особі буде обмежено доступ до записів (наприклад, якщо вона більше не буде співробітником SMART SOFT SERV SRL), профіль користувача буде видалено. Таким чином, за допомогою вищезгаданого методу, особа більше ніколи не матиме доступу до пароля адміністратора, за допомогою якого здійснюється управління камерами відеоспостереження.

X. ПРАВА СУБ'ЄКТА ДАНИХ

SMART SOFT SERV SRL гарантує дотримання прав суб'єктів даних відповідно до Регламенту (ЄС) 2016/679 та чинного національного законодавства.

a) Інформування суб'єктів даних:

Первинна інформація суб'єктам даних повинна надаватися чітко, постійно та постійно за допомогою відповідного знаку, наприклад, піктограми, з належною видимістю та стратегічною локалізацією зони спостереження, щоб сигналізувати про існування камер спостереження, а також повідомляти важливу інформацію відповідно до ст. 14 Регламенту ЄС 2016/26/ЄС. 14 Регламенту (ЄС) 2016/679.

Суб'єкти даних інформуються про існування системи відеоспостереження та контролера за допомогою відповідних інформаційних повідомлень, які містять мету обробки та визначають SMART SOFT SERV SRL як контролера персональних даних.

Особа, відповідальна за захист даних, буде стежити за тим, щоб інформація підтримувалася в актуальному стані, щоб вона відповідала існуючій дійсності.

б) Реалізація прав доступу, втручання та опозиції:

Протягом усього періоду зберігання персональних даних суб'єкти даних мають право на доступ до персональних даних, що стосуються їх і знаходяться у володінні SMART SOFT SERV SRL, вимагати втручання (видалення / оновлення / виправлення / знеособлення) або заперечувати проти їх обробки відповідно до закону.

Будь-який запит на реалізацію права, передбаченого Регламентом (ЄС) 2016/679, в результаті використання систем відеоспостереження повинен бути адресований SMART SOFT SERV SRL, а його копія повинна бути надіслана особі, відповідальній за захист даних.

Відповідь на запит про доступ, втручання або заперечення повинна бути надана протягом максимум 30 днів, а якщо цей термін не може бути дотриманий, суб'єкт даних повинен бути поінформований про причину відкладення відповіді, а також про процедуру, якої слід дотримуватися для вирішення запиту.

Записи, надані на підставі Запиту на доступ, будуть чіткими, наскільки це можливо, за умови, що права третіх осіб не будуть порушені (суб'єкт даних зможе переглянути лише власне зображення, зображення інших осіб, які можуть з'явитися на записі, будуть відредаговані таким чином, щоб їх неможливо було впізнати та/або ідентифікувати).

У разі такого запиту суб'єкт даних зобов'язаний ідентифікувати себе поза будь-якими підозрами (пред'явити посвідчення особи під час участі в перегляді), назвати дату, час, місце та обставини запису з камер відеоспостереження.

У праві доступу може бути відмовлено, якщо застосовуються винятки, передбачені законом.

Потреба в обмеженні доступу може також виникнути, коли існує зобов'язання захистити права і свободи третіх осіб, наприклад, якщо на зображеннях зображені інші особи і неможливо отримати їхню згоду, або якщо несуттєві персональні дані не можуть бути вилучені шляхом редагування зображень.

‍