RÅDETS GENERALSEKRETARIATS POLICY FÖR ANVÄNDNING AV VIDEOSYSTEM

Transkript

1 RÅDETS GENERALSEKRETARIATS POLICY FÖR ANVÄNDNING AV VIDEOSYSTEM 1

2 Innehåll 1. Policyns syfte och omfattning Efterlevnad av relevanta uppgiftsskyddstexter Övervakade områden Insamlade personuppgifter och deras syfte Tillgång till insamlade personuppgifter Skydd av personuppgifter Bevarandetid för uppgifter Information till allmänheten De registrerades rättigheter Rätt till gottgörelse Bilaga

3 Rådets generalsekretariats policy för användning av videosystem 1. Policyns syfte och omfattning För att skydda personal, besökare, byggnader, tillgångar och information samt av logistiska skäl använder sig rådets generalsekretariat av ett videoövervakningssystem i delar av sina lokaler. Föreliggande policy för användning av videosystem beskriver generalsekretariatets videosystem och de skyddsåtgärder som generalsekretariatet vidtar för att skydda de kameraövervakade personernas personuppgifter, integritet och andra grundläggande rättigheter och legitima intressen. Generalsekretariatets policy för användning av videosystem gäller inte inspelning eller sändning av evenemang som en del av rådets eller Europeiska rådets policy när det gäller pressen och information till allmänheten. Det bör också noteras att ett separat anmälningsförfarande ägde rum för den kamera som för närvarande är installerad på generalsekretariatets läkarmottagning (och som inte spelar in film). 2. Efterlevnad av relevanta uppgiftsskyddstexter 2.1 Generalsekretariatet använder sina videosystem i enlighet med Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter 1 och rådets beslut 2004/644/EG av den 13 september 2004 om antagande av genomförandebestämmelser för förordning (EG) nr 45/ Generalsekretariatet tar härvid vederbörlig hänsyn till rekommendationerna i riktlinjerna av den 17 mars 2010 för videoövervakning, utfärdade av Europeiska datatillsynsmannen (nedan kallade riktlinjerna) 3. 1 EGT L 8, , s EUT L 296, , s Supervision/Guidelines/ _Video-surveillance_Guidelines_EN.pdf. 3

4 2.2 Användningen av videosystemet är nödvändig för att rådet ska kunna administreras och fungera väl, och i synnerhet för att säkerheten ska kunna kontrolleras såsom beskrivs i punkt 4.2 nedan. Videosystemet behövs för att stödja de bredare säkerhetsstrategier som fastställs i rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter 1 och bidrar till att fullgöra säkerhetsavdelningens uppdrag enligt beslut 181/10 av rådets generalsekreterare om säkerhetsavdelningens uppgifter Underrättelse om efterlevnadsgrad. Generalsekretariatets nuvarande videosystem installerades efter en riskbedömning och en undersökning av olika möjliga lösningar, och den 15 juni 2007 underrättades generalsekretariatets uppgiftsskyddsombud om detta i enlighet med artikel 25 i förordning (EG) nr 45/2001. Den 20 juni 2007 anmäldes systemet till "förhandskontroll" i efterhand av Europeiska datatillsynsmannen. Denna "förhandskontroll" sköts först upp och ställdes sedan in av Europeiska datatillsynsmannen i väntan på att riktlinjer för detta skulle offentliggöras. Efter det att de hade publicerats fastställde generalsekretariatet sin policy för användning av videosystem och upprättade ett efterlevnadsregister. Efter antagandet kommer uppgiftsskyddsombudet att underrätta Europeiska datatillsynsmannen om denna policy samt om efterlevnadsgraden. 2.4 Kontakter med den relevanta dataskyddsmyndigheten i medlemsstaten. Den behöriga dataskyddsmyndigheten i Belgien, Commissie voor de bescherming van de persoonlijke levensfeer (CBPL)/Commission de la Protection de la Vie Privée ("CPVP") har underrättats om att generalsekretariatet använder videosystem. 2.5 Beslutsprocess. Generalsekretariatet utarbetade denna policy efter att i samråd med de relevanta avdelningarna ha kommit fram till att det nuvarande videosystemet fortfarande är nödvändigt och står i proportion till säkerhetsändamålen. Generalsekretariatet har konsulterat personalkommittén vid generalsekretariatet samt uppgiftsskyddsombudet, och hänsyn har tagits till deras åsikter. Policyn har godkänts av generalsekreteraren. 1 EUT L 274, , s Tillgängligt på säkerhetsavdelningens intranätsida på DOMUS under "DGs and Services DG A SSCIS Security Office". 4

5 2.6 Öppenhet och insyn. Policyn för användning av videosystem finns utlagd på rådets webbplats på och på generalsekretariatets intranätsida på DOMUS under "DGs and Services DG A SSCIS - Security Office". 2.7 Periodisk översyn. En återkommande granskning av efterlevnaden av kraven på uppgiftsskydd samt av bedömningen härvidlag ska utföras av generalsekretariatet vartannat år, och första gången före den 31 december Vid den återkommande granskningen ska generalsekretariatet bland annat på nytt bedöma om systemet fortsätter att tjäna sitt avsedda syfte, det finns lämpliga alternativ, och om policyn alltjämt uppfyller kraven i förordning (EG) nr 45/ Skydd för privatlivet. För att stärka skyddet för privatlivet har generalsekretariatet beslutat om pixelering av bilder (att göra bilden antingen delvis eller helt oigenkännlig, beroende på vad som är lämpligt), begränsning av lagringstiderna för filmmaterial i enlighet med säkerhetskraven (se punkt 7 nedan), och om strikt hantering av operatörers rättigheter när det gäller tillgång till kameraövervakningssystemet. 3. Övervakade områden Kameror finns utplacerade på olika ställen i Justus Lipsius-, LEX-, daghems- och Overijse-byggnaderna, bland annat vid huvudentrén, de viktigaste passerkortsstyrda vändkorsen, nödutgångar, infarten till parkeringar, mötesrum, säkrade rum och korridorer samt inom en zon kring byggnaderna för att skydda området runt dessa. Placeringen av kamerorna har varit föremål för en noggrann bedömning i syfte att sörja för att så lite övervakning som möjligt sker av områden som inte är relevanta för de avsedda syftena. Övervakningen utanför byggnaderna på Belgiens territorium begränsas till ett minimum, och berörda nationella myndigheter har informerats. 5

6 Generalsekretariatet övervakar inte områden där det råder större förväntningar på integritet, såsom kontor och idrottsanläggningar. I undantagsfall kan, om vederbörligen motiverade säkerhetsbehov föreligger, kameror installeras på sådana områden, men först måste alltid en konsekvensbedömning göras och uppgiftsskyddsombudet informeras. I sådana fall ska ett särskilt och klart synligt anslag sättas upp i lokalerna. I undantagsfall får, om vederbörligen motiverade och påvisbara säkerhetsbehov föreligger, dolda kameror användas om så krävs för att förhindra, utreda, avslöja eller beivra brott. För att dessa ska få användas måste säkerhetsavdelningens chef först ge sitt godkännande och uppgiftsskyddsombudet systematiskt underrättas inom ramen för en officiell säkerhetsutredning på uppdrag av generalsekreteraren. Användningen av dolda kameror ska alltid stå i proportion till hur allvarligt det misstänkta brottet är samt överensstämma med artikel 20 i förordning (EG) nr 45/2001. Varje enskild förekomst av dolda kameror dokumenteras i detalj och inbegriper följande: Ett noga fastställt ändamål som inte kan uppnås genom någon annan alternativ spaningsmetod som mindre inkräktar på privatlivet. En konsekvensbedömning avseende det område som täcks av dolda videokameror och de personer som kan beröras. En strikt begränsad tidsperiod. Strikt avgränsade platser. Ett strikt begränsat antal väl angivna mottagare. Omedelbar radering av bilder så snart dessa inte längre behövs för utredningen. 6

7 4. Insamlade personuppgifter och deras syfte 4.1 Videosystemet är ett konventionellt och huvudsakligen statiskt system. Det spelar in digitala bilder och är utrustat med rörelsesensorer. Det registrerar bestämd rörelse som detekteras av kamerorna på det övervakade området samt tidpunkt, datum och plats. Alla kamerorna är igång 24 timmar om dygnet, alla veckans dagar. Bildkvaliteten är tillräckligt god för att man i nödvändiga fall ska kunna identifiera personer inom kamerans täckningsområde. Nästan alla kamerorna är fasta och endast ett fåtal kan därför användas av operatörerna för att av säkerhetsskäl zooma in en viss situation. De särskilt utbildade operatörerna måste respektera sekretessinställningar och tillgångsrättigheter. Generalsekretariatet använder sig inte av högteknologisk eller intelligent videoövervakningsteknik men sammankopplar sina videoövervakningssystem i de olika byggnader som anges i avsnitt 3 i policyn. 4.2 Syftet med användning av videosystemet. Generalsekretariatet använder uteslutande sitt videosystem för säkerhetsändamål. Videosystemet hjälper till att garantera säkerheten i generalsekretariatets byggnader, säkerheten för personal och besökare samt för egendom och information som förvaras i lokalerna. När så krävs kompletterar videosystemet andra fysiska säkerhetssystem såsom passerkontrollsystem och kontrollsystem för att skydda mot fysiskt intrång. Det utgör en del av åtgärderna för att stödja de bredare säkerhetsstrategier som fastställts genom rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter och hjälper till att förhindra, avskräcka från och, om så är nödvändigt, utreda obehörig fysisk tillgång, inbegripet obehörig tillgång till säkra lokaler och skyddade utrymmen, IT-infrastruktur och operativ information. 7

8 4.3 Ändamålsbegränsning. Systemet används inte för något annat ändamål, som till exempel att övervaka tjänstemäns eller annan personals arbete eller övervaka närvaro. Systemet används som ett utredningsverktyg eller bevis i interna utredningar eller vid disciplinära förfaranden, uteslutande i syfte att utreda incidenter gällande fysisk säkerhet eller, i undantagsfall, inom ramen för brottsutredningar. Dessa genomförs alltid på särskilt uppdrag av generalsekreteraren eller tillsättningsmyndigheten, beroende på vad som är lämpligt. 4.4 Tillfällig videoanvändning. När det föreligger vederbörligen motiverade säkerhetsbehov av tillfällig videoövervakning planeras sådana åtgärder i förväg, en konsekvensbedömning görs och uppgiftsskyddsombudet informeras. 4.5 Webbkameror. Generalsekretariatet använder inte webbkameror för videoövervakningsändamål. 4.6 Speciella kategorier av uppgifter. Generalsekretariatets videosystem syftar inte till att ta (t.ex. genom att zooma in eller specifikt rikta in sig på) eller på annat vis behandla (t.ex. registrera, profilera) bilder som avslöjar s.k. särskilda kategorier av uppgifter i den mening som avses i avsnitt 6.7 i riktlinjerna. 5. Tillgång till insamlade personuppgifter 5.1 Tillgång till inspelad och direktsänd video är begränsad till ett litet antal klart identifierbara personer och ges på grundval av principen om behovsenlig behörighet. 5.2 Tillgång till filmmaterial och/eller videosystemets tekniska struktur är begränsad till ett litet antal klart identifierbara personer och ges på grundval av principen om behovsenlig behörighet. Generalsekretariatet specificerar syftet med och omfattningen på deras rätt till tillgång. Det begränsar i synnerhet vem som har rätt att se filmmaterialet i realtid, se inspelat filmmaterial, kopiera, ladda ned, radera eller ändra filmmaterial. 8

9 5.3 All personal med rätt till tillgång, inklusive externa säkerhetsvakter med underleverantörskontrakt, får introduktionsutbildning i uppgiftsskydd. Varje ny anställd får genomgå utbildning, och regelbundna workshopar om frågor rörande efterlevnad av uppgiftsskyddsbestämmelser kommer att anordnas minst en gång vartannat år för all personal med rätt till tillgång. 5.4 Efter utbildningen undertecknar varje anställd ett sekretessåtagande. Detta åtagande undertecknas också av alla externa underleverantörer och deras personal. 5.5 Alla överföringar och avslöjanden utanför säkerhetsavdelningen dokumenteras och blir föremål för en noggrann bedömning av behovet av sådan överföring samt av huruvida överföringens ändamål överensstämmer med behandlingens ursprungliga säkerhetssyfte. Registret rörande bevarande och överföring får konsulteras av generalsekretariatets interna revisionsenheter och rådets uppgiftsskyddsombud. Ledningen och de personalansvariga ges ingen tillgång, förutom inom ramen för disciplinära förfaranden som direkt föranleds av en incident gällande fysisk säkerhet samt på uppdrag av tillsättningsmyndigheten. Lokal eller nationell polis, erkända rättsliga myndigheter, EU:s bedrägeribekämpningsorgan (såsom Olaf) och säkerhetsavdelningar vid andra europeiska institutioner eller internationella organisationer som berörs kan ges tillgång om detta krävs för att utreda eller beivra brott. Begäran om datautvinning beviljas aldrig 1. Alla säkerhetsöverträdelser vad gäller kameror anges i utredningsregistret och meddelas uppgiftsskyddsombudet snarast möjligt. 1 Datautvinning: process som går ut på att utläsa mönster i befintliga databaser. 9

10 6. Skydd av personuppgifter För att skydda videosystemet, inbegripet personuppgifter, har följande tekniska och organisatoriska åtgärder införts: Servrarna där de inspelade bilderna lagras är belägna i säkra lokaler som skyddas genom fysiska säkerhetsåtgärder. Nätverksbrandväggar skyddar it-infrastrukturens logiska perimeter. De huvudsakliga datorsystemen där uppgifterna finns är säkrade. De administrativa åtgärderna inbegriper bland annat skyldighet för all underleverantörspersonal med tillgång till systemet (inklusive de personer som underhåller utrustningen och systemen) att genomgå individuell säkerhetskontroll. All personal (extern och intern) undertecknar avtal om att inte lämna ut uppgifter och om sekretess. Användare beviljas endast rätt till tillgång till sådana resurser som är strikt nödvändiga för att de ska kunna utföra sina uppgifter. Endast den systemadministratör som av den registeransvarige särskilt utses för detta ändamål kan bevilja, ändra eller upphäva personers rätt till tillgång. Alla beslut, ändringar eller upphävanden avseende rätt till tillgång sker enligt strikta kriterier. Generalsekretariatet för hela tiden en uppdaterad förteckning över alla personer som har tillgång till systemet, där deras rätt till tillgång utförligt anges. Uppgiftsskyddsombudet kommer att rådfrågas innan något nytt videoövervakningssystem köps in eller installeras. Generalsekretariatets säkerhetspolicy för användning av videosystem har utarbetats i enlighet med avsnitt 9 i Europeiska datatillsynsmannens riktlinjer. 10

11 7. Bevarandetid för uppgifter Bilderna bevaras i 30 dagar. Därefter raderas bilderna enligt principen "först in, först ut". Om en säkerhetsincident skulle inträffa får det relevanta filmmaterialet bevaras längre än de normala bevarandeperioderna, så länge som det behövs för att ytterligare utreda säkerhetsincidenten. Bevarandet dokumenteras noggrant och behovet av bevarande ses regelbundet över. Registret rörande bevarande och överföring får tillgås av generalsekretariatets interna revisionsenheter och rådets uppgiftsskyddsombud. 8. Information till allmänheten 8.1 En flerfrontsstrategi. Generalsekretariatet följer en flerfrontsstrategi som inbegriper följande: Ett detaljerat anslag med information om användningen av videosystem sätts upp vid alla entréer till generalsekretariatets byggnader, inklusive vid parkeringsinfarterna. Anslag med piktogram på plats runtom i byggnaderna för att uppmärksamma allmänheten på att övervakning sker och informera människor om hur de kan erhålla ytterligare information. Policyn för användning av videosystem är utlagd på generalsekretariatets webbplats och sidor på intranätet för dem som vill veta mer om generalsekretariatets praxis när det gäller video. Informationsblad finns dessutom tillgängliga vid receptionsdiskarna i våra byggnader och, på begäran, från säkerhetsavdelningen. Information vid ytterligare förfrågningar finns tillgänglig. Anslag finns bland annat uppsatta i anslutning till följande övervakade områden: nära huvudentrén, hissarna vid parkeringen samt vid parkeringsinfarterna. Generalsekretariatets anslag som sätts upp på plats återfinns i bilagan. 11

12 8.2 Särskilda personliga meddelanden. Oaktat bestämmelserna för utredningar måste enskilde också personligen informeras om de identifieras på kamera (till exempel av säkerhetspersonal i en säkerhetsutredning) förutsatt att en eller flera av följande omständigheter också föreligger: Deras identitet finns angiven i något register. Videoinspelningen används mot personen och bevaras längre än den vanliga bevarandeperioden eller överförs utanför säkerhetsavdelningen. Personens identitet utlämnas till någon utanför säkerhetsavdelningen. Detta meddelande får fördröjas om så är nödvändigt för att förhindra, utreda, avslöja eller beivra brott, enligt artikel 20 i förordning (EG) nr 45/2001. Rådets uppgiftsskyddsombud tillfrågas i alla sådana fall för att säkerställa att den enskilda personens rättigheter respekteras, men inte vid utredningar. 9. De registrerades rättigheter De registrerade har rätt att få tillgång till de personuppgifter som generalsekretariatet har om dem och att rätta till och komplettera dessa uppgifter. Begäran om tillgång till, rättelse, blockering och/eller radering av personuppgifter som härrör från användning av videokameror ska ställas till chefen för säkerhetsavdelningen vid Europeiska unionens råd, Rue de la Loi 175, 1048 Bryssel, med kopia till uppgiftsskyddsombudet. 12

13 Chefen för säkerhetsavdelningen kommer att skicka sökanden ett mottagningsbevis inom fem arbetsdagar från det att begäran mottas. Om så är möjligt ska chefen för säkerhetsavdelningen besvara en begäran inom 15 kalenderdagar. Om detta inte är möjligt informeras sökanden inom 15 dagar om nästföljande steg och orsaken till förseningen. Även i de mest komplicerade fallen måste begäran inom tre månader antingen beviljas eller slutgiltigt besvaras med motivering för varför den avslås. Chefen för säkerhetsavdelningen kommer att göra sitt bästa att svara tidigare, särskilt om sökanden framför att begäran är brådskande. Visning av bilderna kan ordnas om detta särskilt begärs. I så fall måste sökanden bevisa sin identitet bortom allt tvivel (t.ex. ta med identitetskort till visningen) och också ange datum, tidpunkt, plats och omständigheter för när de sågs på kamerorna. Personen måste också lämna ett aktuellt foto av sig själv så att säkerhetspersonalen kan identifiera honom/henne på de granskade bilderna. Vid oegentligheter eller uppenbart missbruk från den registrerades sida vid utövandet av hans/hennes rättigheter får säkerhetsavdelningen rådfråga uppgiftsskyddsombudet om begäran och/eller hänvisa den registrerade till uppgiftsskyddsombudet som då beslutar huruvida begäran är berättigad samt om lämplig uppföljning. Begäran om visning av filmmaterial får avslås om undantag enligt artikel 20.1 i förordning (EG) nr 45/2001 gäller i ett enskilt fall, till exempel för att ett brott ska kunna utredas. En begränsning kan också vara nödvändig för att skydda andras rättigheter och friheter, till exempel när andra personer också finns med på bilderna och det inte är möjligt att få deras samtycke till att avslöja deras personuppgifter eller använda bildredigering för att lösa problemet med avsaknad av samtycke. 13

14 10. Rätt till gottgörelse Alla registrerade har rätt att framföra klagomål till Europeiska datatillsynsmannen om de anser att de rättigheter som tillerkänns dem enligt förordning (EG) nr 45/2001 har blivit kränkta till följd av att generalsekretariatet behandlat deras personuppgifter. Innan detta görs rekommenderas det dock att först försöka få gottgörelse genom att kontakta chefen för säkerhetsavdelningen (via säkerhetscentrumet som kan kontaktas 24 timmar om dygnet, alla veckans dagar på ), Europeiska unionens råd, Rue de la Loi 175, 1048 Bryssel, eller och/eller generalsekretariatets uppgiftsskyddsombud vid Europeiska unionens råd, Rue de la Loi 175, 1048 Bryssel. Personal kan även begära gottgörelse från tillsättningsmyndigheten enligt artikel 90 i tjänsteföreskrifterna. 14

15 ANNEX 15