Ovo je zapravo jedno od najčešćih pitanja koje dobivamo u mail sandučić tvrtke Consent, pogotovo otkad je AZOP izrekao visoku upravnu novčanu kaznu zaštitarskoj tvrtki u Hrvatskoj zbog neodgovarajućih tehničkih mjera zaštite podataka, povezanih upravo s video nadzorom.
Pokušat ću skratiti post na najosnovnije obveze koje treba imati na umu prilikom uvođenja video nadzora, a više detalja možete pročitati u našem članku: Kako uskladiti video nadzor s GDPR-om?
Prvi detalj koji treba razumjeti je kada sva ova pravila uopće vrijede: naime, propisi i smjernice koje ćemo spominjati primjenjuju se „kada videonadzor podrazumijeva prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane”. U prijevodu, ako sustav videonadzora uopće ne pohranjuje snimke, propisi i pravila kojih se dotičemo u ovom postu ne primjenjuju se na njega.
Kao i kod svake obrade podataka, potrebno je prvo jasno odrediti svrhu, a Zakon o provedbi Opće uredbe o zaštiti podataka ističe kako se obrada putem video nadzora “može provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.”
To nas dovodi do sljedećeg pitanja – što video nadzor uopće smije snimati? Odgovor opet daje zakon: “Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja gorespomenute svrhe.” Europski odbor za zaštitu podataka u svojim Smjernicama o obradi osobnih podataka putem videouređaja kao primjer daje trgovinu koja s vanjske površine ima kameru koja nadzire ulaz u trgovinu i njene prozore, s ciljem zaštite od krađe i vandalizma. Ovakve kamere ne smiju ujedno nadzirati i čitav kolnik ili cestu - jer bi na taj način obrađivale osobne podatke brojnih osoba nikada ne dođu u bilo kakav doticaj s trgovinom. Ukratko, ne postoji pravna osnova za snimanje bilo kakve površine koja nije dio objekta koji želite zaštititi.
Svi znaju da bi trebala postojati i nekakva obavijest o video nadzoru, no kako ona treba izgledati i što sadržavati? Kod tog pitanja još uvijek pada strašno velik broj hrvatskih tvrtki. Naime, oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja, a na njoj trebaju biti: “sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavna i lako razumljiva slika uz tekst kojim se ispitanicima pružaju sljedeće informacije:
• da je prostor pod videonadzorom
• podatci o voditelju obrade
• podatci za kontakt putem kojih ispitanik može ostvariti svoja prava.”
Međutim, to nije sve! Europski odbor za zaštitu podataka u spomenutim Smjernicama daje dodatne upute o najvažnijim informacijama, koje treba pružiti na jednostavan i jasan način:
• svrha obrade – zašto se prostor snima
• prava koja ispitanik ima vezano uz obradu svojih podataka
• gdje ispitanik može naći daljnje informacije vezane uz obradu svojih osobnih podataka
Kao što smo vidjeli i kod pripadajuće AZOP-ove kazne, ali i brojnih drugih slučajeva po EU – iznimno je važno tko ima pristup snimkama: sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba, a pravo pristupa snimkama smije imati samo odgovorna osoba u poslovnom subjektu. Kad smo kod pristupa snimkama, važno je imati na umu i sljedeći članak Zakona o provedbi Uredbe: “Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.”
Ako vanjska tvrtka koja ugrađuje i održava sustav video nadzora može imati pristup snimkama, GDPR je smatra izvršiteljem obrade s kojim ste dužni sklopiti sporazum o obradi podataka - kojim regulirate svoj odnos. Ako vaš Izvršitelj obrade krši GDPR, i vi možete odgovarati nadzornom tijelu, ali možete biti i tuženi za naknadu štete. Zato je važno da za instalaciju i održavanje sustava video nadzora odaberete tvrtku koja može dokazati pripadajuće tehničke i organizacijske mjere zaštite osobnih podataka.
Koliko smijemo čuvati snimke? Zakon daje maksimalni rok od šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. Vrijedi dodatno istaknuti smjernice Odbora, koje dodaju: “što je duži period čuvanja podataka, pogotovo kada traje duže od 72 sata, to je teže opravdati legitimnost svrhe i potrebu čuvanja podataka”. Važno je da odredite rok koji možete opravdati s obzirom na svrhu obrade i da ga se čvrsto držite.
Duje Kozomara
Konzultant za zaštitu osobnih podataka | Osnivač tvrtke Consent
www.consent.hr