Co firmy budowlane muszą wiedzieć o RODO i przepisach dotyczących prywatności - anonimizacja zdjęć i filmów
Do niedawna firmy budowlane miały takie same obowiązki jak inne podmioty wynikające z RODO. Musieli chronić dane osobowe swoich pracowników, dostawców i kontrahentów. Stosunkowo proste rozwiązania, takie jak szyfrowana transmisja danych, regularne kopie zapasowe i bazy danych chronione hasłem, w wielu przypadkach wystarczały. Oczywiście nie mogło zabraknąć także DPO (inspektora ochrony danych) odpowiedzialnego za dostosowanie procedur firmy do wymogów prawnych.
Ale to dopiero początek ochrony danych w firmach budowlanych, zwłaszcza że obecnie muszą gromadzić i przetwarzać gigabajty danych wizualnych, często zawierających wizerunki gości, urzędników, pracowników, innych pracowników, a nawet przypadkowych osób i tablic rejestracyjnych samochodów.
Dane zdjęciowe zebrane przez firmy budowlane
Dziś sytuacja jest bardziej skomplikowana, ponieważ firmy budowlane przetwarzają ogromne ilości danych wizualnych (zarówno wideo, jak i zdjęć). Materiały te służą do:
- Przygotowuj plany, plany i projekty
- Zwiększ bezpieczeństwo pracowników i zadbaj o to, aby przestrzegali przepisów bezpieczeństwa
- Monitoruj osoby wchodzące i wychodzące z obiektu
- Chroń sprzęt budowlany (znak monitoringu całodobowego może zniechęcić do wielu potencjalnych kradzieży)
- Dokumentuj postęp prac, użyte materiały i zastosowane rozwiązania
Jest to szczególnie istotne w przypadku dużych projektów infrastrukturalnych, takich jak:
- Drogi i autostrady
- Koleje
- Farmy wiatrowe
- Rurociągi
- Sztuczne zbiorniki wodne
- Projekty przekształceń rolnictwa i gruntów
Część z tych zdjęć to fotografie bardzo specjalistyczne (np. zdjęcia panoramiczne i zdjęcia 360 stopni). Często wykonuje się je przy pomocy specjalistycznego sprzętu montowanego na pojazdach, podobnego do tego stosowanego w mapowaniu mobilnym. W innych sytuacjach proces dokumentowania placu budowy jest znacznie prostszy. Być może niektóre zdjęcia są nawet robione przez personel za pomocą aparatów cyfrowych lub nawet smartfonów. I oczywiście teoretycznie można poinstruować pracowników, aby unikali robienia zdjęć osób lub pojazdów z widocznymi tablicami rejestracyjnymi, ale nie zawsze jest to możliwe.
Jest bardzo prawdopodobne, że przynajmniej część zdjęć przetwarzanych przez firmę budowlaną przedstawia ludzi lub pojazdy. Firmy budowlane muszą mieć świadomość, że wszystkie te zdjęcia podlegają przepisom dotyczącym ochrony danych określonym w RODO. Nawet jeśli firma działa poza Unią Europejską, najprawdopodobniej w danym kraju obowiązują podobne regulacje z podobnymi przepisami.
W jaki sposób firmy budowlane mogą przestrzegać tych przepisów?
Ochrona danych osobowych: Wyzwania i obowiązki
Każda europejska firma budowlana ma obowiązek działać w pełnej zgodności z RODO. Co to oznacza w praktyce?
PRAWO DOSTĘPU DO DANYCH OSOBOWYCH
W tym przypadku jedną z kwestii, o których muszą pamiętać firmy budowlane, jest prawo dostępu osoby, której dane dotyczą (art. 15). Nie trzeba dodawać, że dosłownie każdy może być podmiotem danych, ponieważ kamery CCTV mogą „uchwycić” nawet osoby postronne patrzące na powstający nowy budynek. Zagadnieniu praw dostępu do danych na blogu Gallio.PRO poświęciliśmy jeden z naszych najnowszych wpisów na blogu: Art. 15 RODO i Video Monitoring – obowiązek udostępniania nagrań.
PRZECHOWYWANIE DANYCH W BEZPIECZNY SPOSÓB
Materiały wideo i fotograficzne zawierające dane osobowe nie mogą być przechowywane w jakikolwiek sposób i w żadnym miejscu. Majątek ten należy zabezpieczyć, aby nie dostał się w niepowołane ręce. Z pewnością nikt nie chce mieć problemów, ponieważ wyciekł materiał filmowy przedstawiający widoczne twarze pracowników, przypadkowych osób oraz urzędników lokalnych lub rządowych. Dlatego firmy budowlane muszą zadbać o to, aby:
- Wszystkie dane wizualne przechowywane są w bezpiecznym miejscu chronionym kontrolą dostępu.
- Istnieje specyficzna i dostosowana do potrzeb danej firmy polityka dostępu do danych i ich ochrony.
- Wszystkie dane wizualne (i niewizualne) zawierające osoby i pojazdy są chronione hasłami i innymi odpowiednimi środkami cyberbezpieczeństwa (np. zaporą sieciową).
- Dane osobowe nie są przechowywane dłużej niż jest to konieczne i istnieje osoba odpowiedzialna za harmonogramy i procedury przechowywania danych (ogólnie rzecz biorąc, gdy materiały zawierające dane osobowe osiągną określone cele biznesowe lub po „rozsądnym terminie”, należy je usunąć).
ZASADA PROPORCJONALNOŚCI
Co ważne, duże firmy, które regularnie i na dużą skalę zbierają dane wizualne, muszą zadbać o jeszcze bardziej rygorystyczne procedury i rozwiązania bezpieczeństwa. Dzieje się tak ze względu na tak zwaną zasadę proporcjonalności.
Im więcej danych osobowych przechowuje dana firma, tym więcej środków bezpieczeństwa należy wdrożyć.
Rozważmy następujący przykład: Istnieją dwie firmy zajmujące się handlem elektronicznym. Jeden to mały sklep z bazą kilku tysięcy klientów, drugi to lider rynku z setkami tysięcy klientów i subskrybentów newslettera. Rozporządzenie RODO (przede wszystkim zasada proporcjonalności) implikuje, że każdy duży podmiot musi się lepiej chronić, ustanawiać więcej procedur, zatrudniać specjalistów ds. ochrony danych i płacić za bardziej zaawansowane zabezpieczenia. Co więcej, takie firmy potrzebują bardziej rygorystycznych zasad zgłaszania incydentów, a w przypadku incydentu podlegają znacznie wyższym karom, nawet za drobne zaniedbania.
Ponadto zasada proporcjonalności stanowi, że gromadzone i przetwarzane są wyłącznie dane osobowe, które są adekwatne i istotne do celów przetwarzania.
UDOSTĘPNIANIE DANYCH OSOBOWYCH
Firmy budowlane zazwyczaj chcą lub wręcz muszą udostępniać zebrane dane wizualne innym podmiotom, m.in.:
- Klienci
- Wykonawcy
- Władze
- A nawet medialne
Teoretycznie każda taka sytuacja wymaga podpisania odrębnych umów powierzenia danych, jasno określających, jakie dane osobowe są przekazywane podmiotowi trzeciemu, dlaczego i na jakich warunkach. Na mocy takiej umowy strona otrzymująca ma takie same obowiązki jak strona przekazująca, w szczególności dotyczące zapewnienia pełnego bezpieczeństwa otrzymywanych danych.
Jak uniknąć tych problemów
All these challenges and obligations listed above disappear almost completely when there is the option to remove people and license plates from pictures and recordings. Does it mean, though, that it's necessary to get rid of such materials altogether? Thankfully, no. There is a safer and more effective solution - data anonymization.
Po zanonimizowaniu danych wizualnych firma nie musi się martwić kwestiami prywatności związanymi z tymi materiałami. Dzieje się tak dlatego, że wszystkie dane osobowe zawarte w materiale fotograficznym lub wideo zostały „zneutralizowane” i w związku z tym nie podlegają już RODO.
ANONIMIZACJA DANYCH WIZUALNYCH – MOŻLIWE OPCJE
W najprostszej formie firmy budowlane mogą ręcznie anonimizować swoje zdjęcia. Nawet proste oprogramowanie graficzne może wystarczyć. Rozwiązanie to staje się jednak nieefektywne, kosztowne i czasochłonne, gdy zachodzi potrzeba anonimizacji setek, a nawet tysięcy plików.
Na szczęście istnieje druga, skuteczniejsza opcja – oprogramowanie do automatycznej anonimizacji danych. Algorytmy AI zwykle obsługują takie oprogramowanie, dlatego narzędzia te są bardzo skuteczne w wykrywaniu fragmentów danych osobowych (twarzy, tablic rejestracyjnych) i anonimizowaniu ich poprzez zastosowanie filtra trwałego rozmycia zdjęcia/nagrania.
Oczywiście żadne oprogramowanie anonimizujące nie jest w 100% dokładne (choć poziom dokładności jest zwykle bliski 100%), ale nawet jeśli narzędzie nie zanonimizuje jednej twarzy z – dla przykładu – 10 000 zanonimizowanych, procesor danych może co prawda przynajmniej twierdzić, że podjęli wszelkie odpowiednie środki w celu zabezpieczenia danych osobowych w swoich materiałach wizualnych. Może to stanowić skuteczną linię obrony łagodzącą surowość ewentualnych grzywien i kar.
DWA RODZAJE OPROGRAMOWANIA DO ANONIMIZACJI DANYCH
Firmy budowlane chcące skutecznie anonimizować swoje materiały wizualne mają do wyboru dwie główne opcje:
- Rozwiązania oparte na chmurze: Główną wadą tych narzędzi jest to, że firma nadal musi podpisać umowę o przesyłaniu danych (użytkownik ma obowiązek wysyłać zdjęcia i filmy na serwery stron trzecich) z dostawcą, aby móc korzystać z tych narzędzi zgodnie z prawem. Korzystanie z platform opartych na chmurze bez odpowiednich umów o udostępnienie danych w dalszym ciągu narusza RODO.
- Rozwiązania on-premise: Są wolniejsze od narzędzi chmurowych, ale ponieważ działają w trybie offline, nie ma ryzyka wycieku danych osobowych, a co za tym idzie, nie ma konieczności podpisywania żadnych dodatkowych umów. Dane pozostają w firmie przez cały proces. W tym scenariuszu firma przestrzega w 100% RODO w zakresie anonimizacji danych.
ROZWIĄZANIA ANONYMIZACYJNE szyte na miarę
Ponadto niektóre rozwiązania lokalne klasy branżowej wymagają dedykowanych wdrożeń na serwerach firmy budowlanej, inne zaś dostarczane są w formie „kontenera”, który można uruchomić na serwerze klienta. Taka konfiguracja zwykle wymaga wykwalifikowanego personelu IT i wiąże się z dodatkowymi kosztami wdrożenia/usługi. Tego rodzaju rozwiązania w zakresie anonimizacji są uzasadnione niemal wyłącznie w przypadku ciągłych procesów przemysłowych na dużą skalę (raczej nie w przypadku firm budowlanych, które muszą anonimizować materiały w partiach związanych z konkretnymi projektami), zwłaszcza gdy ma to miejsce tylko od czasu do czasu podczas przekazywania materiału do stronom trzecim (kontrahentom lub klientom).
Łatwość obsługi jest tutaj kolejnym istotnym czynnikiem. W przypadku niektórych aplikacji korzystanie z rozwiązania serwera dedykowanego wiąże się ze złożonymi procesami wdrożeniowymi i konfiguracyjnymi. W tym przypadku proste rozwiązanie desktopowe ma wyraźną przewagę. Każdy użytkownik, nawet mniej obeznany z technologią, może zainstalować takie oprogramowanie komputerowe na dowolnym komputerze z systemem Windows/Mac.
Jednak algorytmy sztucznej inteligencji obsługujące te aplikacje komputerowe są często równie wydajne, jak w przypadku dostosowanych, niestandardowych rozwiązań.
RÓŻNE OPCJE CENOWE
Cena jest również czymś, co należy wziąć pod uwagę. Jeśli chodzi o oprogramowanie do anonimizacji, istnieje kilka modeli cenowych. Najpopularniejsze z nich to:
- Płać za użycie
- Stawka ryczałtowa połączona z licencją czasową
Właściciele firm muszą zadbać o to, aby wybrać model cenowy odpowiedni do potrzeb swojej firmy, aby móc zanonimizować wszystkie istotne pliki i nie przepłacać za dostęp do wybranego narzędzia.
Podsumowanie: Firmy budowlane muszą zadbać o anonimizację danych
W dzisiejszym otoczeniu prawnym wszystkie europejskie firmy budowlane muszą podjąć niezbędne środki w celu minimalizacji danych i, w stosownych przypadkach, ich anonimizacji. Wiąże się to z usuwaniem/zamazywaniem twarzy i tablic rejestracyjnych na wszystkich zdjęciach i filmach. Anonimizacja danych wizualnych pomaga uniknąć dodatkowych kosztów organizacyjnych, możliwych zagrożeń i problemów prawnych spowodowanych nadużyciami w zakresie ochrony danych.
Jeśli po przeczytaniu tego posta nadal masz pytania, zazwyczaj najlepiej jest skontaktować się z lokalnym doradcą ds. zgodności z przepisami dotyczącymi prywatności lub lokalną instytucją zajmującą się ochroną danych.