Соответствие GDPR и российским нормам при хранении видео
Соответствие GDPR и российским нормам при хранении видео
Камеры фиксируют персональные данные — лица, регистрационные знаки, поведение людей. Значит, при проектировании и эксплуатации систем видеонаблюдения важно одновременно учитывать требования GDPR (для данных граждан ЕС) и российское законодательство о персональных данных. Ниже — понятная карта действий для владельцев жилья, бизнеса и профессиональных инсталляторов.
Коротко о законах и что это значит для видеозаписи
GDPR (Евросоюз) распространяется, если вы обрабатываете данные граждан ЕС — даже удалённо. Основные требования: законная цель обработки, прозрачность, минимизация данных, сроки хранения, права субъектов данных, оценка риска (DPIA) при масштабном мониторинге.
В России ключевой документ — закон о персональных данных (152‑ФЗ). Он требует правомерной обработки, организационных и технических мер безопасности и, для операторов, обеспечивать хранение баз данных с персональными данными граждан РФ на серверах в РФ (локализация). Кроме того, для коммерческих площадок обычно достаточно уведомлений и ограниченного доступа к видео.
Смотрите, какая штука: видео — это персональные данные. Законность и безопасность — не опция, а часть проекта.
Как выбрать схему хранения: локально, на сервере в РФ или в облаке
| Критерий | Локальный NVR | Облачный VMS | Гибрид (ретеншн в облаке, архив в РФ) |
|---|---|---|---|
| Соответствие 152‑ФЗ | + (если сервер в РФ) | зависит от места хранения | + при правильной архитектуре |
| Доступность удалённо | ограничена | высокая | высокая |
| Контроль доступа и шифрование | в зависимости от конфигурации | обычно встроено | нужно контролировать |
Практическая схема: шаги до ввода в эксплуатацию
- Карта видеонаблюдения: куда смотрят камеры, какие зоны захватываются, есть ли общественные места и частные территории.
- Определите правовую основу: законный интерес, договор, согласие (для сотрудников/подрядчиков) или необходимость охраны имущества.
- Оценка рисков (DPIA) для массового мониторинга или систем распознавания — фиксируйте выводы и меры.
- Выберите место хранения: сервер в РФ для данных граждан РФ; если облако — уточните локацию дата‑центров и договор о защите данных.
- Настройка доступа: учетные записи с ролями, двухфакторная аутентификация, журнал доступа.
- Политика хранения: минимальный срок, затем удаление или анонимизация. Типичная рабочая норма — 7–30 дней для охранных задач, длиннее — по необходимости и обоснованию.
- Обозначьте камеры знаками и доступностью информации: уведомление о съёмке, контакты оператора.
Технические рекомендации и расчёты хранения
Пример расчёта: одна камера 1080p при среднем битрейте 4 Mbps.
- 4 Mbps ≈ 0.5 МБ/с → 1,8 ГБ/ч → ≈43,2 ГБ/сутки.
- 10 камер × 43,2 ГБ × 30 дней ≈ 12,96 ТБ.
Можно экономить: H.265 кодек, детекцию движения (запись по событию), снижение FPS ночью, локальная ретеншн-политика для важного архива.
Настройка безопасности: конкретные меры
- Шифрование трафика (TLS) и шифрование архива.
- Изоляция сетей: VLAN для CCTV, ограничение интернет‑доступа у камер.
- Регулярные обновления прошивки и контроль целостности записей (хэши, журналирование).
- Доступ на уровне ролей: кто может просматривать, скачивать, удалять записи.
- Резервное копирование архива — но учтите требование по хранению персональных данных в РФ.
Что нужно для сотрудников и посетителей
Если камеры снимают сотрудников или посетителей, оформите:
- Уведомление/таблички о видеонаблюдении с контактами оператора.
- Документы: внутренняя политика по персональным данным, регистр обработок (ROPA) и документы DPIA при необходимости.
- Если используется распознавание лиц или биометрия — отдельные правовые требования и повышенный контроль.
Типичные ошибки и как их избежать
- Хранение важных данных в облаке без проверки местоположения дата‑центров — риск несоответствия 152‑ФЗ.
- Отсутствие знаков и информации — жалобы от посетителей, претензии регулятора.
- Неограниченный доступ к архивам — утечки и юридические проблемы.
- Неведение реестра обработок и отсутствие DPIA при массовом наблюдении.
Пример базовой конфигурации для магазина (малый бизнес)
- 6–8 камер 4MP, NVR с RAID 1/5, регистрация движения.
- Хранение 14–30 дней на локальном NVR + ежедневный экспорт критичных фрагментов в архив в РФ.
- Таблички на входе, назначенный ответственный за доступ к записям.
Цены — ориентиры
- Бюджетная камера 2–4 MP: 4–8 тыс. руб.
- NVR на 8 каналов: 20–60 тыс. руб. (в зависимости от RAID и возможностей)
- Услуги монтажника и настройки: от 5–15 тыс. руб. за точку в зависимости от сложности.
Если вам нужен монтаж и настройка с учётом всех требований и размещением архива в нужной юрисдикции, можно обратиться к специалистам по установке и настройке систем видеонаблюдения.
Чек‑лист соответствия перед сдачей проекта
- Карта зон съёмки и правовая основа обработки указаны.
- Место хранения данных определено и соответствует локализации (если требуется).
- Политика хранения и автоматическое удаление настроены.
- Шифрование трафика и архива включено.
- Доступ ограничен по ролям, логирование включено.
- Таблички о видеонаблюдении установлены.
- Если нужно — DPIA выполнена и задокументирована.
Ничего из этого несложно реализовать, если заранее спланировать систему. Малые проекты часто ограничиваются знаками, ограничением ретеншна и базовой настройкой доступа. Крупные — требуют DPIA, шифрования и хранения в нужной юрисдикции. Небольшая предварительная проверка может сэкономить бюджет и избавить от штрафов и конфликтов.
