iT邦幫忙

2022 iThome 鐵人賽

DAY 2
2

在GDPR裁罰資料庫裡,如果搜尋”Camera”,截至2022年9月1日,會出現104則裁罰案,其中相當比例是西班牙所簽發的罰鍰。
https://ithelp.ithome.com.tw/upload/images/20220915/20151729fRrDyZve5F.png

這些裁罰案在說甚麼呢?我們來講其中一個案例:
2022年8月30日,西班牙主管機關對S公司進行了480歐元的罰鍰,理由是這公司在外面裝了幾支監視器,可是卻沒有公告並通知附近的相關住戶。

在監視器密布的台灣,這個問題就顯得很突兀了。你會問,為什麼要通知呢?

‧當地法令有相關規定
除了GDPR外,西班牙還有另外一個子法來保護數位資料,這個法令叫做The Organic Law 3/2018 of December 5 on Protection of Personal Data and Guarantee of Digital Rights (Spanish: Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, “LOPDGDD”)。在這個法令裡面,直接規定監視器的資料應該要如何蒐集、處理、利用及保存。
在LOPDGDD第22條裡面是這樣寫的(以下節錄並非完整翻譯僅供參考):

  1. 無論是公家機關或私人機構,在保護人身、財產及設施安全的前提下,可以使用監視器或攝影機進行資料處理。
  2. 公有道路的影像只能在前項所述目的所必需的範圍內拍攝。
    但是,為保證相關資產的安全,在必要時可以擴張拍攝範圍,但是在任何情況下都不能涉及私人住宅影像。
  3. 這些相關影像只能保留1個月,除非已證明影像內容有人員、貨物或設施遭到侵害的行為。若是這樣,該影像必須在錄下來的72小時內提供給主管機關。
    (下略)

‧監視器畫面原來也是個人資料?
在上述的法令規範裡面,明明就是說我可以裝監視器,也可以暫時保存這些影像,並沒有講到我必須要公告並通知相關住戶啊?
裁罰書裡給出了原因:

  1. GDPR第4條規定,直接或間接可以識別個人的資料,就是個人資料。
    監視器影像能夠拍到個人,包含長相跟正在進行的行為,當然是個人資料喔!
    你的照片、你的跳舞影片、你跟家人朋友一起聚餐的合照,也許常常被你放在社群網站上讓大家閱覽;但與此同時,這些照片及影片是不是能夠讓一般人辨認出是你本人呢?
    在社群網站上你的照片跟影片是公開的,所以很容易被轉載,那是你自己或者是經過你的朋友非正式同意而做的決定。但是,監視器裡的影像未必是經過你同意就錄下來,有沒有想過,如果你不同意,你能做甚麼來保護自己?
  2. 裁罰書裡並沒有提供相關的照片,但是根據裁罰書所述,檢舉人提供的照片顯示,監視器拍到的範圍及內容已經超過合理目的必要範圍。
    合理目的必要範圍雖然是個相對抽象的概念,不過在LOPDGDD第22條以及GDPR第5.1(c)條有說,要儘可能限制越少越好、不能涉及私人住宅。本案當事人設置了2-3隻監視器,大範圍的保留附近的街景,很容易就違反前面所說的「越少越好、不能涉及私人住宅」。
  3. 根據GDPR第12.1條規定,擁有資料的人(Data Controller)應該要踐行告知義務(有點像你進到各大網站註冊會員的時候會收到的個人資料告知義務—通常你只能按「我同意」的其中一份文件)。
    因此,既然被定義為個人資料,那麼個人資料的蒐集、處理跟利用,也要照法令規定公告並通知。在這裡的通知當然不是對每個經過監視器的人,而是讓這些人可以很輕易的看到,並且知道是誰設的監視器,要找誰去抗議等等。

‧違反了,會怎樣?
在GDPR的架構下,罰鍰的決定在各國的個人資料主管機關。在西班牙,主要的主管機關是Agencia Española de Protección de Datos (AEPD)。在這個案件裡,AEPD說:根據當地法令,由於S公司違反了兩項GDPR(5.1(C)最小蒐集原則&12.1告知義務),每項要罰400歐元,兩項共800歐元。有趣的事情是,如果直接「認罪」,罰鍰可以減少20%;如果在繳款期限內繳款,罰鍰可以再減少20%。因此,如果直接全額付款,實際罰鍰金額將是€(400+400)(100%-20%-20%)=€480。這跟我們印象中的GDPR鉅額罰鍰是不是差很遠呢?

‧不教而殺謂之虐!!我要怎麼遵守相關的規範?
其實,西班牙針對使用監視器有提出相關宣導文件及指引。《la Guía sobre el uso de videocámaras para seguridad y otras finalidades(出於安全或其他目的使用監視器指南)》其實解析了LOPDGDD第22條的規定,也提供了友善的服務。這就是為什麼,APED會非常堅決的開出一張又一張有關監視器的罰單,讓一般使用者知道:保護他人的隱私還是非常重要的事情!


上一篇
引言:資訊治理與資訊管理
下一篇
肉搜最愛的IP Address也不能蒐集?(德國)
系列文
Data Privacy Enforcement - 從近年來Data Privacy各國裁罰案看怎麼實踐資訊治理5
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言