Utjecaj GDPR-a na sustave video nadzora
U današnje vrijeme zahtjevi za zaštitom podataka postali su temeljni zahtjevi o kojima ovisi pravo na privatnost. Opća uredba o zaštiti osobnih podataka (General Data Protection Regulation) kao regulatorni okvir Europske unije uvelike je promijenio način na koji se osobni podaci prikupljaju i obrađuju. Kao najvažniji dio regulative ističe se proces prikupljanja i obrade podataka koji treba biti evidentiran na način da se zna tko prikuplja i obrađuje podatke, za koju svhu i po kojoj osnovi.
Zanimljivo pitanje povezano sa zaštitom osobnih podataka svakako je pitanje o načinu korištenja sustava video nadzora. GDPR uredba klasificira video podatke kao skupinu osjetljivih podataka, što znači da su za njih potrebne posebne mjere zaštite.
Što GDPR dozvoljava organizacijama po pitanju video nadzora?
U slučaju korištenja video nadzora važno je analizirati opravdanost njegove upotrebe kao sredstva zaštite. Zakonska osnova za video nadzor uglavnom je legitimni interes tvrtke (npr. zaštita imovine), a uz pomoć te snimke moguće je utvrditi identitet neke osobe te se stoga označava kao osobni podatak posebno osjetljive prirode. U skladu s navedenim, svaka organizacija čiji su prostori pod video nadzorom trebala bi poduzeti mjere za sigurnost obrade.
Prije samog video nadzora potrebno je provesti procjenu učinka na zaštitu podataka i u procjeni navesti popis svih aktivnosti obrada koje se namjeravaju vršiti, kao i razloge zbog kojih se video nadzor provodi. Sustav nadzora smije se postaviti samo ako procjena pokaže da u tom slučaju postoje potencijalne prednosti koje prevladavaju u odnosu na rizike za pojedince. Dakle, nedvojbeno je da se na snimkama video nadzora nalaze osobni podaci koje je potrebno štititi prema načelima GDPR uredbe.
Uloga voditelja obrade podataka
Dužnost organizacije koja vrši video nadzor je o tome obavijestiti osobe koje se nalaze ili zadržavaju u nadziranom prostoru. Oznaka treba biti jasno vidljiva, a poželjno je da se informacija o video nadzoru pruži prije samog ulaska u takav prostor.
Obavijest mora obuhvatiti sljedeće:
- Oznaku da je prostor pod video nadzorom
- Podatke o voditelju obrade
- Kontakt podatke za moguće ostvarivanje prava
GDPR uredba propisuje da je potrebno voditi evidenciju o osobama koje imaju pristup snimkama. Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama video nadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem video nadzora.
Zakonom je definiran rok u kojem se snimke trebaju čuvati, nakon čega ih je potrebno uništiti. Snimke dobivene putem video nadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.
Kada je potrebno tražiti suglasnost AZOP-a?
U nekim slučajevima korisnici koji namjeravaju koristiti sustav video nadzora trebaju tražiti suglasnost AZOP-a, nacionalne agencije za zaštitu podataka. U nastavku se navode primjeri takvih slučajeva:
- Povezivanje sustava video nadzora s biometrijskim podacima ili bazom fotografija pojedinaca
- Prepoznavanje lica ili drugo biometrijsko prepoznavanje
- Infracrvene kamere s niskim stupnjem osjetljivosti
- Dinamičko-preventivni nadzor (npr. preko aplikacija za prepoznavanje ponašanja osobe)
- Specijalne kamere s mogućnosti digitalnog zumiranja
Upravo zbog problema zlouporabe video nadzora, njegovo korištenje zakonski je propisano. U Hrvatskoj postoje tri zakona koja se odnose na uporabu video nadzora: Zakon o zaštiti osobnih podataka, Zakon o radu i Zakon o zaštiti na radu.
Dakle, važno je imati na umu da GDPR uredba propisuje provođenje pažljive i detaljne analize potencijalnih rizika i koristi temeljem koje je moguće procijeniti učinak na zaštitu osobnih podataka. Organizacije koje se odluče za ugradnju video nadzora trebaju voditi računa o postupcima koji će smanjiti rizike od povrede ili gubitka podataka.