ビデオ監視とGDPR。何が変わるのか?

Guest authors

スマートカメラを含む技術により、企業が個人に関するより機密性の高い情報を収集できるようになった時点で、個人データの保護に対する、より厳格な監督が確実に必要になっています。識別可能な人物を録画した映像は、各個人の個人データの一部を当然ながら形成します。したがって、2018年5月から欧州連合全体に適用された一般データ保護規則(GDPR)は、カメラシステムのあらゆる運用者に影響しています。

当社では、チェコのGDPR教育、トレーニングおよびコンサルティングWebサイトである「GDPR.cz」を作成したエヴァ・スコルニコワ氏(Eva Škorničková)に、GDPRによって、特にビデオ監視に関してどのような変更が導入されるかについて尋ねてみました。

チェコの企業はGDPRの準備をどの程度していましたか?

残念ながら、あまり進んではいませんでした。2018年上半期にGDPRに関するメディアと教育キャンペーンが集中したにもかかわらず、多くの企業はそれ以上進歩していませんでした。さらに、この課題に関係するさまざまな企業が急増し始め、「奇跡的な」GDPRテクノロジーまたはサービスを提供して、課題は迅速に解決に向かいました。ここで、GDPRコンプライアンスは内部プロセスと情報システムの再展開を含む長期プロジェクトであり、さまざまな企業にとって数か月から数年かかる可能性があるため、これらの慣行の対象とならないよう、一般に訴えています。残念ながら、ほとんどの企業では一貫した個人データ保護に関する現行の法律を順守していなかったため、GDPRルールへの対策を重点的に行う必要がありました。

カメラシステムに関しては、GDPRの出現により、個人データ保護局(Office for Personal Data Protection)に通知する義務はなくなりました。一方で、どのような管理タスクが追加されましたか?

GDPRは、活動の記録を保持するなど、いくつかの新しい義務を導入しています。記録保持は、EUの法律No. 101/2000の下で取り消された登録義務の一種です。カメラシステムの操作は時折行われるとは考えられていないため、各CCTVの運用者はこの新しい義務に間に合うように準備する必要があります。従来のEU法律R. 101/2000 Coll 13条と同様に、GDPRには、管理者の義務に関係するデータセキュリティを扱う別のセクションが含まれています。

それでは、カメラで撮影されていることに気付いた人は、データ処理に関するより正確な情報を得る新しい権利を持つことになりますか?

その通りです。GDPRでは、管理者は、特に子供に関するデータに関しては、カメラシステムによるデータの処理に関して、監視対象者に簡潔でわかりやすく、アクセスしやすい方法ですべての適切な措置を講じる必要がある、と定義しています。これは、カメラに関する情報が記載された案内表示の他に、カメラが自分を撮影している店に入るときに、記録の詳細を知る権利があり、管理者がこの情報を書面、あるいは電子フォームや別の印刷物で提供する必要がある、ということを意味しています。

GDPRに基づく別の新しい義務は、個人データ保護局(Office for Personal Data Protection)へのデータ漏洩の報告義務です。どのような形をとるべきですか?

監視機関への個人データの侵害の報告(第33条)は、管理者が第55条に基づき管轄監督当局に対して、過度の遅延なく、個人データのセキュリティの違反を報告しなければならない、という新しい義務です。これは、可能であれば違反に気付いてから72時間以内に行われるものとされ、その違反が自然人の権利と自由に対するリスクをもたらす可能性が低い場合は除かれます。この新しい義務は、間違いなくカメラシステムの運用者に適用されているため、これらの記録の安全な処理を十分に考慮することが不可欠になっています。

GDPRは従業員の監視をより困難にしますか?

いいえ。個人データ保護局が同局の意見として既に定義しているのと同じ規則が適用されます。したがって、従業員にはカメラシステムの場所を通知する必要がありますが、雇用主の正当な利益に基づいて個人データを処理するため、従業員に同意を求める必要はありません。当該ワーキンググループでは、2017年6月に、第29条に基づいて職場での従業員のモニタリングに関する追加のガイダンスも発行しています。

GDPRがカメラシステムに与える影響

新たに課せられる義務は?
  • カメラシステム(CS)のインストールを個人データ保護局(Office for Personal Data Protection)に通知する義務はありません
  • CSの助けを借りたデータ処理の方法に関する詳細情報を提供する、管理者の義務
  • 管理者がCS操作の記録を保管する義務
  • 個人データ保護のために、個人データの漏洩(またはセキュリティ侵害)を当局に報告する管理者の義務
  • 「公的にアクセス可能な施設の広範囲にわたる体系的な監視」に関するデータ保護影響評価(DPIA)を開発する義務
  • いわゆるデータ保護担当者を任命する義務(個人データの処理のための公共団体または専門家に適用)  
変わらないことは?
  • ビデオ監視が相応の目的で使われている場合、従業員であっても同意は必要ありません
  • CSの操作と保存された記録または個人データは、不正アクセスから適切に保護する必要があります

映像をホスティングサービスとして提供する場合の最後の考慮事項「担当役員の任命を検討してください」GDPRは、個人データの処理の主な責任を持つコントローラー(管理者)の役割と、プロセッサー(処理者)の役割を指定しています。ビデオ監視の現在のトレンドでは、「カメラやその他のハードウェア、ソフトウェア、データストレージを含むソリューション全体がプロセッサー(処理者、アウトソーシング会社)の所有物、コントローラーはサービスのみをレンタルする」というモデルが登場しています。サプライヤー企業は、個人データの処理の専門家である可能性が高く、さらに、GDPRによれば、いわゆるデータ保護担当者、すべてのデータセキュリティ問題のコンサルタントおよび仲介者として行動する人をそれぞれ任命する必要がある、とされています。

質問に対する回答者: エヴァ・スコルニコワ氏 (Eva Škorničková) エヴァは、チェコ共和国政府の個人情報保護法のワーキンググループのメンバーです。カナダのオタワ大学とプラハのカレル大学で法学を学び、カナダのチェコ大使館で外交領事を務めました。15年間、彼女は多国籍企業のKimberly-ClarkおよびMondelēz(旧Kraft Foods)の中央ヨーロッパの法務部門のエグゼクティブおよび法務顧問を務めました。彼女は、情報サイトGDPR.czとLinkedInの専門家チェコGDPRグループを運営しています。

詳細について www.skornickova.eu/english

以前投稿したブログ記事で、コラボレーションがサプライチェーン内のGDPRコンプライアンスをどのように保証するかについて詳しくご覧いただけます。

ビデオ監視への影響について読む:GDPR ホワイトペーパー