1. 适用范围
该指南的适用范围?
该指南适用于通过视频设备处理个人数据的情况。但不适用于与个人无关的数据处理,例如无法直接或间接地识别个人。
举例说明:汽车中安装了一个摄像头,用于提供泊车帮助。如果摄像头的构造或调整方式不会收集任何与自然人有关的信息(如车牌或可识别路人身份的信息),则不适用GDPR。
家庭豁免如何适用于视频监控?
GDPR 第 2(2)(c)条规定,家庭豁免适用于自然人在纯粹的个人或家庭活动(也可包括在线活动)过程中对个人数据的处理。然而,必须对视频监控背景下的家庭豁免进行狭义解释。欧洲法院已澄清,该豁免仅适用于个人在私人或家庭生活中开展的活动。如果视频监控系统超出私人范围,覆盖公共空间或从私人范围向外延伸,则不能被视为纯粹的 "个人或家庭 "活动,不属于家庭豁免范围。决定家庭豁免是否适用于视频监控取决于各种因素,包括监控的性质、数据主体与控制者之间的关系、监控的规模或频率,以及对数据主体的潜在不利影响。
举例说明:一名游客通过手机和摄像机录制视频,记录自己的假期。他向朋友和家人展示了这些录像,但并没有让更多的人观看。这属于家庭免责范围。
举例说明:有人正在监控和记录自己的花园。花园有围栏,只有监控者本人及其家人定期进入花园。只要视频监控没有部分延伸到公共空间或邻近物业,这就属于家庭豁免范围。
执法指令LED(EU2016/680)如何适用于视频监控?
政府部门出于预防、调查、侦查或起诉刑事犯罪或执行刑事处罚的目的处理个人数据,包括保障和预防对公共安全的威胁,属于欧盟 2016/680 号指令的管辖范围。
2. 处理的合法性
通过视频设备处理个人数据的合法性依据都有哪些?
原则上,GDPR第 6(1)条规定的每个法律理由都可以为处理视频监控数据提供法律依据:
1. 同意(Article 6(1)(a)):数据主体明确且明确地同意处理其个人数据,且同意是针对特定目的的。只有在相当特殊的情况下,控制者可将第 6 (1) (a) 条(同意)作为法律依据。
2. 合同履行的必要性(Article 6(1)(b)):处理个人数据是为了履行与数据主体有关的合同,或者是在数据主体要求之前采取的预备步骤。
3. 法律义务(Article 6(1)(c)):处理个人数据是为了遵守数据控制者所受的法律义务。
4. 生命利益(Article 6(1)(d)):处理个人数据是为了保护数据主体或其他自然人的生命利益。
5. 公共任务或公权力(Article 6(1)(e)):处理个人数据是为了履行公共利益或行使数据控制者所授予的公权力的任务。
6. 合法利益(Article 6(1)(f)):处理个人数据是为了数据控制者或第三方追求的合法利益,除非这些利益被数据主体的利益或基本权利所凌驾。
数据控制者必须确定并依赖其中一种合法性依据,以确保个人数据的处理符合GDPR的规定。选择合法性依据取决于具体的情况和处理的目的。
如何平衡数据控制者和第三方之间的利益?
假定视频监控对保护控制者的合法利益是必要的,只有在控制者或第三方的合法利益(如保护财产或人身安全)不被数据主体的利益或基本权利和自由所压倒的情况下,视频监控系统才能投入运行。
控制者需要考虑:
1)监控对个人利益、基本权利和自由的影响程度;
2)是否会对数据主体的权利造成侵犯或负面影响。
举例说明:一家私人停车公司记录了经常发生的车辆失窃问题。停车区是一个开放空间,任何人都可以轻易进入,但停车区周围有明显的标志和路障。停车公司出于合法利益(防止客户车辆被盗),在一天中遇到问题的时间段对该区域进行监控。数据主体在有限的时间范围内受到监控,他们在该区域并非出于娱乐目的,而且防止盗窃也符合他们自身的利益。在这种情况下,控制者的合法权益优先于数据当事人不受监控的利益。
举例说明:一家餐厅决定在洗手间安装摄像机,以控制卫生设施的整洁。在这种情况下,数据主体的权利明显高于控制者的利益,因此不能在此安装摄像头。
由于该条例规定利益平衡是强制性的,因此必须逐案作出决定(见第 6 条第(1)款(f)项)。仅参考抽象情况或对类似情况进行比较是不够的。控制者必须评估侵犯数据主体权利的风险;这里的决定性标准是对个人权利和自由的干预强度。
重要的平衡因素可能是监控区域的大小和监控数据主体的数量。在偏远地区使用视频监控(如监视野生动物或保护关键基础设施,如私人拥有的无线电天线)与在步行区或购物中心使用视频监控的评估方式必须不同。
如何处理数据主体的合理期望?
根据GDPR第 47 条,合法权益的存在需要仔细评估。这里必须包括数据主体在处理其个人数据时的合理期望。关于系统性监控,数据主体和控制者之间的关系可能会有很大不同,并可能影响数据主体可能具有的合理期望。对合理期望概念的解释不应仅仅基于相关的主观期望。相反,决定性的标准必须是客观第三方是否可以合理预期并得出在这种特定情况下受到监控的结论。
举例说明:在大多数情况下,雇员在其工作场所不可能期望受到其雇主的监控。此外,在私人花园、起居室、检查室和治疗室也不会受到监视。同样,期望在卫生或桑拿设施中受到监控也不合理-监控这些地方是对数据主体权利的强烈侵犯。数据主体的合理期望是不会在這些地方进行视频监控。另一方面,银行的客户可能期望在银行内或ATM取款机旁受到监控。
在确定数据主体客观上可期望什么时,告知数据主体视频监控的标志没有任何意义。这意味着,例如,店主不能仅仅因为在入口处有告示牌告知个人监控,就认为顾客客观上对被监控有合理期望。
同意(第 6(1)(a)条)在什么情况下可以作为通过视频设备处理个人数据的合理依据?
同意必须是自由作出的、具体的、知情的和明确的。关于系统监控,只有在特殊情况下,数据主体的同意才能作为第 7 条规定的法律依据(见第 43 条说明)。监控的性质决定了这种技术会同时监控不知道多少人。控制者很难证明数据主体在处理其个人数据前已表示同意(第 7 (1) 条)。假设数据主体撤回同意,控制者将很难证明个人数据不再被处理(第 7 (3) 条)。
举例说明:运动员可能要求在个人练习时进行监控,以便分析他们的技术和表现。另一方面,如果体育俱乐部出于同样的目的主动对全队进行监控,同意往往是无效的,因为个别运动员可能会感到有压力而不得不同意,这样他们拒绝同意就不会对队友造成不利影响。
如果控制者希望以同意为依据,则有责任确保进入视频监控区域的每个数据当事人都表示同意。该同意必须符合第 7 条的条件。进入有标记的监控区域(例如,人们被邀请通过特定的走廊或大门进入监控区域)并不构成同意所需的声明或明确的肯定行动,除非它符合第4条和第7条中有关同意的指南中描述的标准。
鉴于雇主和雇员之间的权力不平衡,在大多数情况下,雇主在处理个人数据时不应依赖同意,因为同意不太可能是自由给予的。在这种情况下,应考虑有关同意的指导原则。例如,欧盟会员国法律或集体协议,包括 "工作协议",可规定具体的关于在就业情况下处理雇员个人资料的规定(见第 88 条)。
3. 向第三方披露视频数据
向第三方披露录像资料的一般情况
第 4 条第(2)款将披露定义为传输(如个人通信)、传播(如在线发布)或以其他方式提供。第 三方的定义见第 4 条第(10)款。向第三国或国际组织披露时,还适用第 44 条及其后的特殊规定。
根据第 6(4)条的规定,可以将录像资料传送给第三方,但不得用于收集资料的目的。
举例说明:为解决损害赔偿问题,(停车场)安装了障碍物视频监控。损害发生后,监控录像被移交给律师,以便提起诉讼。在这种情况下,录像的目的与移交的目的相同。
举例说明:为解决损害赔偿问题,(停车场)安装了障碍物视频监控。出于纯粹的娱乐目的在网上公布了录像。在这种情况下,目的已经改变,与最初的目的不符。此外,确定处理(发布)的法律依据也是个问题。
第三方接收者必须自行进行法律分析,特别是根据第 6 条确定其处理的法律依据(如接收材料)。
向执法机构披露录像资料
根据第GDPR第 6(1)(c)条,如果为履行控制者所承担的法律义务而有必要进行处理,则该处理是合法的 。虽然适用的警察法完全由成员国控制,但每个成员国很可能都有规范向执法机构移交证据的 一般规则。GDPR 对控制者移交数据的处理进行了规定。如果国家立法要求控制者与执法部门合作(如调查),则根据第 6 (1) (c) 条的规定,移交数据的法律依据是法律义务。
举例说明:店主在店门口录像。录像显示一个人偷窃了另一个人的钱包。警方要求控制 者交出材料以协助调查。在这种情况下,店主将使用第 6 (1) (c)条(法律义务)规定的法律依据,并结合相关国家法律进行传输处理。
而执法机构本身对个人数据的处理并不遵循 GDPR(见第 2 (2) (d)条),而是遵循执法指令(EU2016/680)。
4. 特殊类别个人数据的处理
什么情形下,通过视频设备处理的数据属于特殊类别个人数据?
视频监控系统通常会收集大量的个人数据,这些数据可能会揭示高度个人化的数据,甚至是特殊类别的数据。事实上,最初通过视频收集的看似无关紧要的数据可以用来推断其他信息,以达到不同的目的(如绘制个人习惯图)。然而,视频监控并不总是被视为对特殊类别个人数据的处理。
举例说明:显示资料当事人戴眼镜或使用轮椅的视频录像本身不被视为特殊类别的个人资料。
但是,如果处理录像是为了推断特殊类别的数据,则被视为GDPR第9条定义的特殊类别数据。
举例说明:例如,可以从显示可识别信息主体参加活动、罢工等的图像中推断出政治观点。这属于第 9 条的范畴。
举例说明:医院安装摄像机以监控病人的健康状况,将被视为对特殊类别个人数据的处理(第9条)。
处理生物识别数据时的一般注意事项?
使用生物识别数据,尤其是面部识别,会给数据主体的权利带来更大的风险。在使用这些技术时,必须充分尊重 GDPR 规定的合法性、必要性、相称性和数据最小化原则。控制者应首先评估其对基本权利和自由的影响,并考虑采用侵入性较低的手段来实现其合法的处理目的。
举例说明:管理员使用面部识别方法管理大楼的出入。人们只有在事先明确表示同意的 情况下(根据第 9 (2) (a) 条)才能使用这种方法进入大楼。不过,为了确保没有事先征 得同意的人不会被抓拍,面部识别方法应由资料当事人自己触发,例如按下按钮。为确 保处理过程的合法性,控制者必须始终提供不经生物识别处理的其他进入大楼的方式, 如徽章或钥匙。
在生成生物识别模板的这类情况下,控制者应确保一旦获得匹配或不匹配的结果,立即安全地删除为与数据主体在录入系统时创建的模板进行比较而临时制作的所有中间模板(经数据主体明确和知情同意)。为申请而创建的模板只能为实现处理目的而保留,不得储存或存档。
举例说明:某店主在店内安装了面部识别系统,以便为个人定制广告。在使用该生物识别系统和提供定制广告之前,数据控制者必须获得所有数据当事人的明确和知情同意。如果该系统捕获了未同意创建其生物识别模板的访客或路人,即使他们的模板在尽可能短的时间内被删除,该系统也是非法的。事实上,这些临时模板构成生物识别数据,经处理后可以唯一地识别一个可能不希望收到有针对性的广告的人。
一些生物识别系统安装在不受控制的环境中,这意味着该系统需要即时捕捉在摄像头范围内经过的任何个人的脸部,包括没有同意使用生物识别设备的人,从而创建生物识别模板。这些模板与在登记过程中事先同意的数据主体(即生物识别设备用户)所创建的模板进行比较,以便数据控制员识别该人是否是生物识别设备用户。在这种情况下,系统的设计通常是为了从数据库中将要识别的个人与未被征召的个人区分开来。由于其目的是唯一识别自然人,因此仍需根据《个人数据保护条例》第 9 (2) 条对摄像头拍摄到的任何人进行例外处理。
举例说明:一家酒店使用视频监控,当识别到贵宾的面部时,会自动提醒酒店经理贵宾已到。这些贵宾在被录入为此目的建立的数据库之前,已明确同意使用面部识别技术。除非所有其他被监控的客人(为了识别贵宾)都同意根据《欧洲个人信息权公约》第9 (2) (a) 条进行处理,否则这些生物识别数据处理系统将是非法的。
在处理生物识别数据时尽量减少风险的建议措施。
为识别和认证/验证而需要的模板应存储在由用户保管并由其独自控制的个人设备中(智能手机或身份证),当出于特定目的和客观需要时应以加密形式存储在中心数据库中,密钥/秘密仅由个人掌握,以防止未经授权访问模板或存储位置。如果数据控制者无法避免对模板的访问,他必须采取适当措施确保所存储数据的安全。这可能包括使用加密算法对模板进行加密。
控制者都应采取一切必要的预防措施,保护所处理数据安全性。为此,控制者应特别采取以下措施:在传输和存储过程中将数据分隔开来,将生物识别模板和原始数据或身份数据存储在不同的数据库中,对生物识别数据,特别是生物识别模板进行加密,并制定加密和密钥管理政策
5. 数据主体的权利
由于使用视频监控时数据处理的特点,需要进一步澄清 GDPR 规定的某些数据主体权利。GDPR 规定的所有权利都适用于通过视频监控处理个人数据。
访问权
数据主体有权要求控制者确认其个人数据是否被处理。对于视频监控而言,这意味着如果没有以任何方式存储或传输数据,那么一旦实时监控时刻过去,控制者只能提供不再处理个人数据的信息。然而,如果在
提出要求时数据仍在被处理(即数据被存储或以任何其他方式被持续处理)则数据主体应根据第 15 条的规定获得访问权和信息。
删除权和被遗忘权
如果控制者在实时监控之外继续处理个人数据(例如存储),则数据当事人可根据 GDPR 第17条要求删除个人数据。
如果控制者已将视频公开(例如广播或在线流媒体),则需要采取合理措施,以便根据 GDPR 第 17 (2) 条的规定将该请求通知其他控制者(现在正在处理相关个人数据)。合理步骤应包括技术措施,同时考虑到现有技术和实施成本。根据 GDPR 第 19 条的规定,控制者应尽可能在删除个人数据时通知之前已向其披露个人数据的任何人。
反对权
对于基于合法利益(GDPR 第 6(1)(f)条)或出于公共利益执行任务的需要(GDPR 第 6(1)(e)条)的视频监控,数据当事人有权在任何时候根据 GDPR 第 21 条,以与其特殊情况相关的理由反对处理。除非控制者证明有令人信服的合法理由压倒数据主体的权利和利益,否则必须停止处理反对者的数据。控制者有义务对数据当事人的要求做出回应,不得无故拖延,最迟应在一个月内做出回应。
举例说明:某公司在其公共入口处遇到安全漏洞问题,出于合法利益的考虑,正在使用视频监控,目的是抓捕非法进入者。一名访客以其特殊情况为由,反对通过视频监控系统处理其数据。然而,在这种情况下,公司拒绝了这一请求,并解释说,由于正在进行内部调查,需要存储录像,因此有令人信服的合法理由继续处理个人数据。
6. 透明度和信息义务
由于需要向数据主体提供的信息量很大,数据控制者可以采取分层方法,选择使用多种方法来确保透明度(WP260,第 35 段;WP89,第 22 段)。关于视频监控,最重要的信息应显示在警示牌上(第一层),而进一步的强制性细节可通过其他方式提供(第二层)。
第一层信息(警告标志)
第一层涉及控制者首次与数据主体接触的主要方式。在这一阶段,控制者可使用警告标志显示相关信息。所显示的信息可与图标结合提供,以便以易于看到、理解和清晰可读的方式,对预定的处理过程进行有意义的概述。信息格式应根据具体地点进行调整。
1)警告标志的位置
信息的位置应使数据主体在进入监控区域之前(大约与视线平齐)就能轻易辨认出监控的环境。只要对哪些区域受到监控没有疑问,而且监控的背景已明确无误,就没有必要透露摄像机的位置(WP 89,第 22 段)。数据主体必须能够估计摄像头拍摄的是哪个区域,以便能够避开监控或在必要时调整自己的行为。
2)第一层的内容
第一层信息(警告标志)一般应传达最重要的信息,如处理目的的细节、控制者的身份、数据主体权利的存在,以及处理最大影响的信息。例如,这可以包括控制者(或第三方)追求的合法利益和数据保护官的详细联系信息(如适用)。它还必须提及更详细的第二层信息,以及在哪里和如何找到这些信息。
此外,标识还应包含任何可能使数据当事人感到意外的信息(WP260,第 38 段)
第二层信息
第二层信息也必须在资料当事人容易获取的地方提供,例如,在中心位置(如咨询台、接待处或收银台)提供完整的信息表,或张贴在容易获取的海报上。如上所述,第一层警告标志必须明确提及第二层信息。此外,第一层信息最好指向第二层信息的数字来源(如QR码或网站地址)。不过,这些信息也应易于以非数字方式获取。特别是在信息以数字形式提供的情况下(例如,可以通过链接),应该可以在不进入测 量区域的情况下获取第二层信息。其他适当的方式可以是拨打一个电话号码。无论以何种方式提供信息,都必须包含 GDPR 第 13 条规定的所有必要内容。
举例说明:某店主正在对其店铺进行监控。为了遵守第 13 条的规定,他只需在商店入口处容易看到的地方放置一个警告牌,其中包含第一层信息。此外,他还必须在收银台或店内任何其他中心和容易看到的地方提供包含第二层信息的信息表。
7. 保存期限和删除义务
视频监控的合法目的通常是保护财产或保存证据。通常情况下,发生的损失可在一两天内确认。个人数据在大多数情况下(例如,为了检测破坏 行为)应在几天后被删除,最好是自动删除。设定的存储时间越长(尤其是超过 72 小时),就越有必要对存储目的的合理性和必要性进行论证。
举例说明:一家小商店的店主通常会在当天注意到任何破坏行为。因此,24 小时的正常存储期就足够了。不过,周末或节假日可能需要更长的存储时间。如果发现了破坏行为 ,他可能还需要存储更长时间的录像,以便对犯罪者采取法律行动。
8. 技术和组织措施
在视频监控过程中处理个人数据不仅必须在法律上允许,而且控制者和处理者还必须充分保障其安全。根据GDPR 第 24 条和第 25 条,控制者还需要实施技术和组织措施,以便在处理过程中保障所有数据保护原则,并建立数据主体行使 GDPR 第 15-22 条规定的权利的途径。数据控制者应采用内部框架和政策,确保在确定处理方式时和处理本身时实施这些措施,包括在必要时进行数据保护影响评估。
什么是视频监控系统(VSS)
视频监控系统 (VSS) 由模拟和数字设备以及软件组成,用于捕捉现场图像、处理图像并将图像显示给操作员。如下图所示:
设计和默认的数据保护
控制者在计划视频监控时,即在开始收集和处理视频录像之前,就需要实施适当的数据保护技术和组织措施。这些原则强调需要内置隐私增强技术、最小化数据处理的默认设置,以及提供必要的工具,以实现对个人数据的最高保护。
控制者不仅应在技术设计规范中,而且应在组织实践中建立数据保护和隐私保障措施。就组织实践而言,控制者应采用适当的管理框架,制定并执行与视频监控相关的政策和程序。
9. 数据保护影响评估
根据 GDPR 第 35 (1) 条,当某种类型的数据处理可能对自然人的权利和自由造成高风险时,控制者必须进行数据保护影响评估 (DPIA)。GDPR 第 35(3)(c)条规定,如果数据处理构成对公众可访问区域的大规模系统监控,则控制者必须进行数据保护影响评估。此外,根据 GDPR第35 (3) (b) 条,当控制者打算大规模处理特殊类别的数据时,也需要进行数据保护影响评估。
如果 DPIA 的结果表明,尽管控制者计划采取安全措施,但处理过程仍会导致高风险,则有必要在处理前咨询相关监管机构。