Hrvatsko nadzorno tijelo, Agencija za zaštitu osobnih podataka (AZOP) izdala je 5.7. 2021.g novu upravnu kaznu zbog neoznačavanja objekta pod videonadzorom.
Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako osiguravajuće društvo sa sjedištem u Zagrebu nije označilo da su poslovni objekt (u kojem se provode tehnički pregledi i registracija vozila te ugovaraju usluge osiguranja) i vanjska površina poslovnog objekta pod videonadzorom. Time je voditelj obrade, odnosno osiguravajuće društvo postupilo protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna za neoznačavanje objekta pod videonadzorom izrečena je sukladno članku 51. stavku 1. alineji 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Detalji i iznos kazne u ovom slučaju nisu objavljeni, ali ako vas zanima kako pravilno postaviti videonadzor, što je sve potrebno za usklađivanje s GDPR-om i koje su vaše obveze, donosimo vam više informacija u ovom članku.
Osim Opće uredbe o zaštiti podataka (GDPR), videonadzor je detaljnije obrađen u Zakonu o provedbi Opće uredbe o zaštiti podataka (Zakon). Zakon čitav dio posvećuje upravo tom području. To je ujedno i jedini segment za koji se u zakonu direktno propisuje visina upravne novčane kazne za kršenje odredbi. No nemojte misliti da možete dobiti ˝samo kaznu od 50.000,00 kuna˝ , kazna može biti veća pod određenim okolnostima.
Osim Uredbe i Zakona, važni i relevatni izvori za ovo područje su Smjernice o obradi osobnih podataka putem videouređaja – koje je 2020.g. izdao Europski odbor za zaštitu podataka (European Data Protection Board – EDPB), kao i mišljenja te preporuke hrvatskog nadzornog tijela, Agencije za zaštitu osobnih podataka.
Smjernice 3/2019 o obradi osobnih podataka putem videouređaja možete pročitati ovdje:
https://azop.hr/wp-content/uploads/2020/12/edpb_guidelines_3-2019_on_processing_of_personal_data_through_video_devices_hr_.pdf
Videonadzor u smislu odredbi Zakona odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.
Dakle, ako određen sustav videonadzora ne pohranjuje snimke – gore spomenuti propisi i pravila o kojima ćemo pričati u nastavku se ne primjenjuju.
Navedeno potvrđuje i AZOP u službeno izdanom mišljenju o live-streamingu: “ukoliko se u konkretnom slučaju radi o ‘livestreamingu’, odnosno ukoliko nema sustava pohrane, tada ne dolazi do primjene Opće uredbe.”
Obrada osobnih podataka putem videonadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.
Prije započinjanja s videonadzorom trebali biste provesti procjenu učinka na zaštitu podataka uz pomoć službenika za zaštitu podataka (kojeg trebate imati jer se bavite visokorizičnom aktivnosti). U toj procjeni trebate navesti popis aktivnosti obrade koje namjeravate vršiti, kao i navesti razloge zbog kojih vršite video nadzor.
Sustav nadzora smijete postaviti samo ako procjena pokaže da potencijalne prednosti po vas prevladavaju u odnosu na eventualne rizike za pojedince.
Ne zaboravite da se na snimkama nalaze osobni podaci koje morate štititi prema načelima koje propisuje GDPR. Gubitak i povreda snimki za sobom povlači jednake posljedice kao gubitak ostalih osobnih podataka.
Iako se u GDPR-u ne navodi, zakoni u većini europskih zemlja (pa tako i Hrvatske) generalno zabranjuju snimanje zaposlenika u svrhu procjene radnih aktivnosti.
U zdravstvu je snimanje dozvoljeno samo kao donosi konkretnu korist ispitaniku (na primjer, u intenzivnoj njezi). Samo medicinskom osoblju dozvoljen je pristup tim snimkama.
Što snimati?
Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja prethodno navedenih svrha.
Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.
Obavijest treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:
- da je prostor pod videonadzorom
- podatke o voditelju obrade
- podatke za kontakt putem kojih ispitanik može ostvariti svoja prava
- svrhu obrade
- pravnu osnovu
- prava ispitanika
- informaciju da se cjelovite informacije nalaze na internetskoj stranici ili na drugom odgovarajućem mjestu u okviru Politike privatnosti.
Ne postoji pravna osnova za snimanje površine koja nije dio objekta koji želite zaštititi i treba iskoristiti sve tehničke mogućnosti sustava video nadzora koji koristite da se to spriječi. U praksi to znači da je važno provjeriti perimetar svake pojedine kamere i podesiti ih ako snimaju površine van onih nužnih – pogotovo ako je riječ o tuđim privatnim posjedima ili javnim površinama gdje prolazi veća količina ljudi.
Kao pravnu osnovu za vršenje video nadzora uglavnom ćete u odnosu na posjetitelje kao ispitanike koristiti legitimni interes tvrtke (zaštita imovine, sprečavanje kriminala i sl.) ili primjerice propise koji se odnose na zaštitu na radu u odnosu na radnike.
Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.
Zakonom je propisano da se podaci, odnosno videozapisi mogu čuvati najviše 6 mjeseci od prikupljanja što znači da je potrebno podatke izbrisati nakon proteka 6 mjeseci ili nakon kraćeg vremena ukoliko voditelj obrade (primjerice, poduzeće ili obrt) tako definiraju u svojim internim aktima. Naravno, snimke se mogu i dulje čuvati ukoliko se vodi sudski proces i potrebne su u svrhu provođenja dokaznog postupka.
Nužan je kvalitetno napisan Ugovor o obradi i dijeljenju podataka kako bi se zaštitili
Vanjska tvrtka koja održava sustav video nadzora u određenim situacijama može imati pristup snimkama i zato se u okviru Uredbe smatra izvršiteljem obrade, s kojim ste dužni sklopiti Ugovor o obradi podataka kojim regulirate svoj odnos Voditelja i Izvršitelja obrade.
Ako vaš Izvršitelj obrade krši GDPR, i vi možete odgovarati nadzornom tijelu, ali i ispitanicima u individualnim tužbama za naknadu štete – budući da ste Izvršitelja sami odabrali kao partnera te ste odgovorni za njegovu usklađenost. Zato je važno da za instalaciju i održavanje sustava video nadzora odaberete tvrtku koja može dokazati da je sposobna osigurati visoku razinu zaštite osobnih podataka te se drži svih propisa vezanih uz tehničke i organizacijske mjere zaštite.
Sve tehničke i organizacijske mjere zaštite osobnih podataka trebali biste dokumentirati: to je pravilo koje vrijedi i na općenitoj razini, a dio vezan uz videonadzor može biti u zasebnom pravilniku o sustavu videonadzora, ili mjere mogu biti dio postojećeg internog akta – no važno je da su zapisane, da su zaposlenici obaviješteni o njima te da možete dokazati da ih uistinu provodite.
Voditelj obrade trebao bi imati na umu da ako ispitanik uloži prigovor na videonadzor u skladu s člankom 21., voditelj obrade videonadzor takvog ispitanika može provoditi samo ako postoje uvjerljivi legitimni interesi koji nadilaze ispitanikove interese, prava i slobode ili ako je svrha takvog videonadzora postavljanje, ostvarivanje ili obrana pravnih zahtjeva.
Legitiman interes treba uistinu postojati te mora upućivati na postojeći problem (ne smije biti fiktivne ili špekulativne prirode). Upotreba videonadzora mora biti opravdavana stvarnom neprilikom kao što su nanesena šteta ili ozbiljan incident u prošlosti. U skladu s načelom odgovornosti voditeljima obrade se savjetuje da evidentiraju relevantne incidente (da zabilježe podatke kao što je datum, način počinjenja, financijski gubitak) i povezane kaznene prijave. Takvi evidentirani incidenti mogu biti snažni dokazi o postojanju legitimnog interesa.
Postojanje legitimnog interesa te nužnost nadzora potrebno je iznova ocjenjivati u redovitim vremenskim razmacima (npr. jednom godišnje, ovisno o okolnostima).
Na kraju, pregledajte svoje oznake videonadzora, s tim započnite, a zatim provedite detaljnu reviziju.
Primjer dobre naljepnice: