Как обеспечить GDPR/ФЗ-152 соответствие при хранении видео и данных СКУД

Как обеспечить GDPR/ФЗ-152 соответствие при хранении видео и данных СКУД

Видеонаблюдение и системы контроля доступа (СКУД) собирают персональные данные — лица, биометрия, время прохода. Это означает, что к оборудованию и хранению данных применимы требования GDPR (ЕС) и ФЗ-152 (Россия). Ниже — понятное руководство с практическими шагами, схемами и чек-листом для собственников, менеджеров и монтажников.

Проблема и что нужно решить

Коротко: камеры и контроллеры собирают персональные данные. Нарушение правил — штрафы, репутация, риски утечки. Нужно одновременно выполнить юридические требования и внедрить технические меры, чтобы данные были доступны только уполномоченным, хранились ограниченное время и могли быть удалены по необходимости.

Краткая схема соответствия

Вот как это работает в общем виде:

• Идентифицировать какие данные собираются и где хранятся.
• Определить правовую основу хранения (согласие, законный интерес и т. п.).
• Внедрить технические и организационные меры (шифрование, контроль доступа, журналы).
• Установить политики хранения и процедуры реагирования на утечки.
• Заключить договоры с обработчиками и провести оценку воздействия, если нужно.

Выбор схемы хранения: локально, облако или гибрид

Технические меры — минимальный набор

• Сегментация сети: камеры в отдельной VLAN/сегменте, доступ к ним только с доверенных узлов.
• Шифрование: TLS для передачи, шифрование дисков NVR (AES-256 или выше) для хранения.
• Аутентификация и аудит: уникальные учётки, RBAC, двухфакторная аутентификация для админов, журналы доступа и хранения логов внешне.
• Ограничение доступа: VPN для удалённого доступа, запрет UPnP, отключение неиспользуемых сервисов.
• Обновления и управление уязвимостями: план обновлений прошивок и ПО, проверка на уязвимости.
• Резервные копии: автоматические бэкапы с хранением по политике, отдельное хранение ключей шифрования.

Юридические требования — что важно помнить

По GDPR:

• Принципы обработки: минимизация, целевая лимитация, прозрачность (ст.5).
• Законность обработки: определить правовую основу (ст.6). Для видеонаблюдения часто — законный интерес или согласие; для биометрии — особые правила.
• DPIA (оценка воздействия) при систематическом мониторинге или больших объёмах (ст.35).
• Уведомления о нарушениях: 72 часа для надзорного органа (ст.33-34).
• Права субъектов: доступ к данным, удаление, ограничение, возражение.

По ФЗ-152:

• Видео как персональные данные — нужно основание обработки и соблюдение принципов безопасности.
• Локализация: данные о гражданах РФ должны обрабатываться с использованием баз, расположенных в РФ (требование локализации).
• Требования Роскомнадзора к техническим и организационным мерам; классы защищённости данных и соответствующие меры.
• Для биометрии и специальных категорий — дополнительные ограничения и согласия.

Если система может идентифицировать лицо (включая биометрию), нужно считать это персональными данными и действовать как положено — и технически, и юридически.

Пошаговая инструкция для владельца/инсталлятора

1. Сделать инвентаризацию: какие камеры, где хранятся записи, кто к ним имеет доступ.
2. Определить правовую основу и подготовить уведомления/таблички о видеонаблюдении там, где это нужно.
3. Настроить сеть: отдельная VLAN для камер, закрыть внешние порты, настроить VPN.
4. Включить шифрование трафика и дисков, установить сложные пароли и 2FA для админов.
5. Настроить политику хранения: например, 30 дней для торгового зала, 90 для критических зон; автоматическое удаление.
6. Заключить договоры с обработчиками (обеспечить, что провайдер хранит данные в РФ, если это требуется).
7. Провести DPIA при массовом наблюдении или использовании распознавания лиц/биометрии.
8. Тренировать персонал и ввести процедуру реагирования на утечку.

Примеры настроек хранения и расчётов

Пример для одной 2MP камеры, 25 кбит/с при ночном кодировании H.265 (примерные величины):

• Средний битрейт ~2–4 Mbps при активном движении. Для расчёта примем 2 Mbps = 0.25 MB/s = ~21.6 GB/сутки.
• Если нужно хранить 30 дней: 21.6 GB × 30 ≈ 648 GB на камеру.
• На 8 камер ≈ 5.2 TB. Нужен NVR/сервер с RAID и резервом для логов и обновлений.

Примерная оценка стоимости

Контролируйте биометрию отдельно

Если СКУД использует отпечатки, распознавание лица или радужной оболочки — это чувствительные данные. В GDPR это особая категория, в России — дополнительные правила. Для их обработки обычно требуется специальное основание и усиленные меры защиты: шифрование ключей, отдельные политики доступа, явное согласие в трудовых отношениях.

Чек-лист перед запуском

• Инвентаризация оборудования и карт потоков данных.
• Определена правовая основа и оформлены информационные таблички.
• Сегментация сети и VPN для удалённого доступа настроены.
• Шифрование передачи и хранения включено.
• Учетные записи с уникальными логинами, 2FA для админов.
• Политика хранения и процедуры удаления настроены и автоматизированы.
• Договоры с обработчиками и локализация данных проверены.
• Проведён DPIA при необходимости и настроен мониторинг безопасности.

Коротко о документах и ответственности

Держите в порядке: регистр обработки (реестр), политики доступа, журналы аудита, договоры с поставщиками. В случае инцидента — фиксируйте время, масштабы, принятые меры. В ЕС — уведомляйте надзорный орган, в РФ — следуйте требованиям Роскомнадзора.

Если вы выбираете оборудование или хотите профессиональную настройку сети и хранения, можно посмотреть варианты систем видеонаблюдения и сопутствующих устройств в каталоге поставщика.

https://y-ss.ru/catalog/sistemy_videonablyudeniya/

Небольшая рекомендация в конце: начните с простых мер — инвентаризация, сегментация сети, шифрование — и двигайтесь дальше к документам и аудитам. Так вы быстро уменьшите основные риски и сможете планомерно закрывать более сложные требования.