Skydda den personliga integriteten vid videoövervakning

Artikel
5 maj 2020
Införandet av den allmänna dataskyddsförordningen (GDPR) har haft stor inverkan på företag som använder videoövervakning. Det kan vara en utmaning att hitta en lämplig balans mellan säkerhetsbehov och att skydda personers integritet vid behandling av personuppgifter. Det görs möjligt genom planering, korrekt dokumentation, verktyg och den optimala samarbetspartnern.

Europeiska unionens allmänna dataskyddsförordning, GDPR, infördes i maj förra året i syfte att skydda enskilda personers integritet. Förordningen innehåller bestämmelser om hur personuppgifter ska samlas in, behandlas och överföras. GDPR omfattar inte bara om skriftliga uppgifter, såsom namn och adresser, utan är även tillämplig på alla uppgifter som kan identifiera en person. Detta innebär att även videoövervaknings omfattas, exempelvis bilder och videofilmer.
 

Riktlinjer för att underlätta efterlevnad

Som huvudansvarig finns det några saker att hålla reda på när ditt företag behandlar personuppgifter. Europeiska dataskyddsstyrelsen (EDPB) har publicerat användbara riktlinjer för att skapa klarhet och hjälpa företag att följa bestämmelserna. Riktlinjerna täcker samtliga aspekter av efterlevnaden av GDPR, från planering och installation av din videoövervakning till driften av den. Riktlinjerna innehåller exempelvis information om vad du får spela in, hur länge du får spara inspelningar samt hur och när du kan exportera dem.

En professionell leverantör bör kunna hjälpa dig, både med den information du behöver och lämplig maskin- och programvara för att skydda gemene mans integritet.
 

En bra start

Låt oss säga att du är butiksägare och håller på att installera ett videoövervakningssystem. Syftet kan vara att skydda lokalerna mot vandalisering eller kontrollera vad som sker i din butik för att minska stölder samt förbättra personalens och kundernas säkerhet. Generellt innebär detta att du blir personuppgiftsansvarig.

Dokumentation och processer är grundläggande faktorer för att uppfylla GDPR. Det första steget är att förklara varför du behöver installera kameror som eventuellt kan inskränka på en persons rättigheter. Denna avvägning mellan intressen är en av förordningens hörnpelare. Dina berättigade intressen vägs alltså mot intressena hos de enskilda personer vars personuppgifter samlas in, innehas eller behandlas. Dessa personer kallas även registrerade.
 

Videoövervakning – viktiga frågor

När du har konstaterat att du har ett berättigat behov av att installera videoövervakning är det dags att utforma systemet. Ur ett allmänt systemperspektiv finns det ett par frågor som du behöver överväga.

  • Systemets utformning

När du utformar ditt videoövervakningssystem bidrar AXIS Site Designer till att säkerställa att dina skyldigheter enligt GDPR beaktas på lämpligt sätt. Här kan du bestämma hur länge inspelningarna ska behållas och definiera kamerans synfält och upplösning för att säkerställa att rätt bilder tas.

AXIS Site Designer skapar installationsanteckningar som kan användas för att informera installatören om hänsynstaganden i fråga om GDPR, såsom behovet av integritetsmaskning och specifika installationskrav.

  • Lagring av uppgifter

Lagring av uppgifter omfattar två områden: hur länge du bör lagra uppgifterna och hur du skyddar dem.

Generellt sett får du inte lagra uppgifter ”under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas”, vilket kallas ”lagringsminimering” i GDPR. Beroende på ändamålet är tre eller fyra dagar vanligtvis tillräckligt. Ju längre du vill lagra uppgifterna desto tyngre måste ditt berättigade intresse väga.

För att skydda dina uppgifter bör du säkerställa fysisk åtkomst till den plats där videohanteringssystemet är installerat och uppgifterna lagras.

Själva videohanteringssystemet måste vara skyddat mot obehörig åtkomst till de lagrade inspelningar som innehåller personuppgifter.

Med hjälp av AXIS Camera Station kan du enkelt välja säkra lösenord, både för VMS och kameran, och lösenorden kan till och med göras slumpmässiga. Användarbehörighet kan också tillämpas för att begränsa åtkomsten till funktioner enligt vad som är lämpligt för operatören.

Eventuella personuppgiftsläckor eller säkerhetsöverträdelser måste direkt rapporteras till behörig tillsynsmyndighet.

  • Tredjeparters integritet i ditt VMS

Verktyg för integritetsskydd bör vara grundläggande funktioner i programvara för videohantering. Ibland kan du behöva maska objekt, oskyldiga personer som befinner sig i närheten eller personal i videofilmerna för att uppfylla bestämmelserna.

Genom att använda den inbyggda videoredigeringen i AXIS Camera Station kan du enkelt pixla delar av videon innan du exporterar den.

Enskilda personers begäran att få tillgång till personuppgifter kan tillmötesgås snabbt och effektivt genom enkel export av maskade videofilmer.

  • Dokumentation

Dokumentation av videoövervakningssystem är en aspekt som betonas starkt i GDPR, vilket gäller såväl under planering som drift. Du ska kunna lämna information om hur uppgifter behandlas och vem som har tillgång till de insamlade uppgifterna och du ska föra ett skriftligt register över driften av systemet. AXIS Site Designer, installationsverifieraren och loggar i AXIS Camera Station ger användbar information för att dokumentera installationen.

  • Kameraplacering

Det är viktigt att kameran endast täcker relevanta områden, vilket innebär att du ska tillämpa det som kallas ”uppgiftsminimering” i GDPR. Förordningen föreskriver att personuppgifter bör vara ”adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för”. Om du exempelvis vill skydda ditt skyltfönster ska kamerorna inte täcka irrelevanta delar av gatan.

Statisk integritetsmaskning bör användas för att förhindra att offentliga områden som fönster kommer med i synfältet. De flesta av Axis kameror har integritetsmaskning. Funktionen innebär att valda områden i bilden kan blockeras för visning och inspelning. I Axis PTZ-kameror med stöd för 3D‑integritetsmaskning bibehålls maskningen även när kamerans synfält förändras via panorering, tiltning och zoomning, eftersom maskningen styrs av kamerans koordinatsystem.

AXIS Live Privacy Shield ger dynamisk integritetsmaskning. Det är ett analysverktyg i kameran som du kan använda för att övervaka inomhusaktiviteter i realtid utan att samla in känsliga personuppgifter. Analysverktyget skyddar integriteten genom att anonymisera personer i videofilmen, samtidigt som det är möjligt att övervaka aktiviteter eller rörelser.

  • Lämplig information

Du måste sätta upp tydliga skyltar för att informera besökare om att området videoövervakas. De har rätt att få veta varför de spelas in och hur uppgifterna kommer att användas.

Enskilda personer har också rätt att få tillgång till eventuella personuppgifter som du har samlat in, både en översikt och de faktiska uppgifterna.
 

Ytterligare överväganden

Förutom de punkter vi redan har tagit upp bör systemets säkerhet i allmänhet granskas, eftersom bristande säkerhet kan leda till personuppgiftsbrott.

  • Försäkra dig om att ditt system är säkert genom att använda starka lösenord och policyer för alla enheter och programvaror.
  • Välj utrustning från företag som tillämpar bästa praxis för IT-säkerhet.
  • Överväg att begränsa internetexponeringen om det är möjligt.
  • Försäkra dig om att alla enheter körs med den senaste inbyggda maskinvaran eftersom den senaste versionen kan undanröja sårbarheter. AXIS Camera Station informerar användaren om uppdateringar av den inbyggda programvaran och förenklar hanteringen av videoövervakningsenheter.
  • Försäkra dig om att systemet stöder krypterad datakommunikation mellan enheterna i systemet, såsom HTTPS. AXIS Camera Station stöder HTTPS mellan serverklienten och kamerorna så att systemet hanterar data på ett säkert sätt.
     

Vikten av att ha rätt partner

Att erbjuda det skydd av tredje parters integritet som krävs och uppfylla GDPR kan framstå som en mycket komplicerad uppgift. Som personuppgiftsansvarig är du visserligen ansvarig för att efterleva GDPR, men installatörer, distributörer och tillverkare finns där för att hjälpa dig.

Med rätt leverantör av övervakningsutrustning eller rätt partner får du utrustning som skyddar personuppgifter, men också stöd och tjänster som underlättar för dig. De kan hjälpa dig att få ut det bästa av två världar – att efterleva GDPR och få det skydd och den säkerhet som du behöver.

Om du behöver mer information om efterlevnaden av GDPR  är Axis GDPR whitepaper en användbar utgångspunkt. Axis whitepaper ger mer information om hur du följer förordningen, oavsett om du redan har videoövervakning eller planerar att installera ett sådant system.

 

För mer information, vänligen kontakta: Kristina Tullberg, Regional Communications Manager Northern Europe, Axis Communications
Telefon +46 708 90 18 72
Mer om