פרטיות ושימוש בטלוויזיות במעגל סגור

רגולציית הגנת הפרטיות האירופית, ה-GDPR, החלה על חברות בעולם המעבדות נתונים אישיים של אזרחי האיחוד האירופי – נמצאת כבר מעבר לפינה, ועתידה להכנס לתוקף בחודש מאי השנה.

אחת ההשפעות הגדולות שתהיה לכניסתה לתוקף של הרגולציה, הינה בתחום מצלמות המעקב (CCTV). לעניות דעתנו, ישנה חשיבות רבה עבור הארגונים השונים, מכל הגדלים, להבין את הדרישות הרגולטוריות, ולהבין אלו פעולות נדרשות וכיצד להתכונן לבואה של הרגולציה.

עד היום, ארגונים התקינו מערכות טלוויזיה במעגל סגור מבלי להקדיש מחשבה לתוצאה של פעולה זו. ברגע שקיים איסוף של תמונות לזיהוי ממערכת טלוויזיה במעגל סגור בארגון מסוים, על פי כללי הרגולציה החדשה, אותו ארגון מנהל ובעלים של "נתונים אישיים". ועם סטטוס זה, מגיעה גם האחריות. הארגון יהיה חייב להיות בעל יכולת להצדיק את קבלת הנתונים האישיים שנאספו באמצעות מערכת הטלוויזיה במעגל סגור ואת השימוש שנעשה בהם.

כיצד ניתן לציית לרגולציית הפרטיות כארגון המפעיל טלוויזיות במעגל סגור? להלן מספר צעדים שיש לבצע על מנת להבטיח את התאימות הנדרשת:

● סיבה – האם מערכת ה-CCTV בארגון הינה מוצדקת? הארגון מציב מצלמות מסביב למתחם האתר שלו על מנת לאתר פולשים, ואת זה קל להצדיק. אבל, אם מטרת ההתקנה הינה פיקוח על העובדים, אזי הדבר נראה כפלישה לפרטיות. במידה והארגון יכול להוכיח כי המצלמות קיימות מסיבות בריאות ובטיחות, אזי סיבה זו עשוייה להיות מקובלת.

● אלו תמונות נתפסו ולמה – כאשר הארגון "לוכד" תמונות שבהן היתה ציפייה לפרטיות, אז הארגון חייב להצדיק את הצורך. לדוגמה, באזורי מנוחה או על שביל ציבורי – אם יש צידוק אבטחתי ברור לצילום באיזורים אלה, צידוק זה חייב להיות מוכח כדי לאפשר את השימוש במצלמות אלו. זאת ועוד, הארגון צריך לבצע הערכת סיכונים המפרטת את השימוש במצלמה, אזור התצוגה המיועד, ואת הסיבה להימצאותה.

● יידוע – על הארגון ליידע את האנשים/העובדים על הנוכחות של הטלוויזיה במעגל סגור שבשימושו. יש צורך ביידוע ברור. הודעה זו חייבת לכלול הסבר הנוגע לכל הנתונים שנאספים, המטרה שלשמה מתבצע המעקב, במידה וקיום המצלמה הינו עבור ניטור העובד או בריאות ובטיחות, עניין זה חייב להיות מודגש בהסבר לאנשים ש-"נתפסו" בעין המצלמות. בנוסף, יש צורך בסימני זיהוי המדגישים את השימוש ב-CCTV ומספר טלפון של איש קשר לכל מי שמעוניין לקבל פרטים על השימוש בה.

● שמירת הנתונים – באיסוף הנתונים יש צורך להצדיק סיבות לאחסון ולשמירה של נתונים. הכלל השכיח הינו כי כאשר מאחסנים מידע שנאסף באמצעות שימוש ב-CCTV, המידע נשמר למשך 30 ימים. אבל, במצב בו הארגון מרגיש כי הינו חייב לשמור מידע מעין זה למשך זמן רב יותר, אזי יש לציין בפני הפרטים (עובדים/אנשים פרטיים) לכמה זמן יישמר המידע ומה הסיבה לכך.

● היתר – בקשות גישה לנתונים אישיים. רגולציית הפרטיות האירופית מאפשרת גישה לכל אדם אל התמונות שלו אשר נאספו באמצעות השימוש ב-CCTV מעצם היותם נתונים אישיים. לכן, יש צורך לאפשר טשטוש פנים של אנשים אשר "נתפסו" בעין המצלמה כאשר הם אינם המטרה של אותו צילום.

● אחריות חברות האבטחה – על ארגון אשר משתמש ב-CCTV, להבטיח כי חברות האבטחה פועלות כפי שהגדרת "מעבדי נתונים" נתפסת תחת רגולציית ה-GDPR. ללקוחות של חברת האבטחה, הארגונים, צריך להיות חוזה שבו מפורט מה חברת האבטחה יכולה לעשות עם הנתונים, אילו תקני ביטחון צריכים להיות קיימים ומהם נהלי האימות שבשימושם.

בסיכומו של דבר, חברות המבקשות להשתמש בציוד CCTV צריכות להסתכל על סידורי האבטחה שלהן ולוודא שאין הפרות של רגולציית הפרטיות. אי-ידיעת החוקים הקשורים במערכות טלוויזיה במעגל סגור או אי-הבנתם, לא יפטרו את החברות מסכנת תביעה ומקנסות.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.