Kako uskladiti video nadzor s GDPR-om?

Velik broj naših klijenata iznenadi se kada prilikom razrade stavki programa zaštite osobnih podataka otkriju da pod opseg odredbi Opće uredbe o zaštiti osobnih podataka spada i sustav video nadzora – te za njega također vrijedi niz obveza koje akt propisuje.

Kada malo razmislite, nije teško shvatiti zašto je tako: na snimkama koje stvara video nadzor nerijetko se pojavljuju različite osobe, čija se slika može iskoristiti kako bi se izravno ili neizravno (u kombinaciji s nekim dodatnim informacijama) identificirali – što u potpunosti odgovara definiciji osobnog podatka iz Uredbe.

U ovom članku doznat ćete koji pravni izvori reguliraju ovo područje, objasnit ćemo najvažnija načela Uredbe vezana uz videonadzor te njihovu primjenu u praksi, konkretne tehničke i organizacijske mjere zaštite podataka te objasniti neke kazne koje su u Europi do sada izdane zbog kršenja GDPR-a povezanog s ovom temom.

Hrvatski zakonodavac odlučio je u Zakonu o provedbi Opće uredbe o zaštiti podataka dodatno proširiti ono što o video nadzoru propisuje Uredba – zakon čitav dio posvećuje upravo tom području i zapravo mu se najopširnije posvećuje. To je ujedno i jedini segment za koji se u zakonu direktno propisuje visina upravne novčane kazne za kršenje odredbi.

Osim Uredbe i Zakona o provedbi, važni pravni izvori za ovo područje su Smjernice o obradi osobnih podataka putem videouređaja – koje je ove godine izdao Europski odbor za zaštitu podataka (European Data Protection Board – EDPB), kao i mišljenja te preporuke hrvatskog nadzornog tijela, Agencije za zaštitu osobnih podataka (AZOP).

Kada snimka ulazi u opseg primjene GDPR-a

Prije svega, treba razumjeti kada određena snimka uopće ulazi u opseg primjene Opće uredbe te pripadajućeg Zakona o provedbi: propisi se primjenjuju kada videonadzor podrazumijeva prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane. Dakle, ako određen sustav videonadzora ne pohranjuje snimke – gorespomenuti propisi i pravila o kojima ćemo pričati u nastavku se ne primjenjuju.

Navedeno potvrđuje i AZOP u službeno izdanom mišljenju o live-streamingu: “ukoliko se u konkretnom slučaju radi o ‘livestreamingu’, odnosno ukoliko turistička web kamera nema sustav pohrane već je putem iste moguće samo uživo pratiti događaje s glavnog gradskog trga, tada ne dolazi do primjene Opće uredbe.”

Vjerojatno je jasno da isto tako tzv. “lažne” kamere koje uopće ne snimaju, već služe samo da zastraše eventualne zlonamjernike, ne spadaju u okvir ovih propisa – što je i EDPB naglasio u svojim Smjernicama.

U navedenom aktu, Europski odbor za zaštitu podataka istovremeno daje i konkretne primjere informacija koje osobu čine prepoznatljivom i samim time pretvaraju snimku u osobni podatak: to su npr. snimka lica, pločice s imenom, kao i druge izdvajajuće karakteristike zbog kojih ih možemo prepoznati (primjerice tetovaže). U ovom kontekstu, osobni podatak čine i registracijske tablice automobila, identifikacijski dokumenti, kao i  – značajno za istaknuti – biometrijski podaci.

Načela ograničavanja svrhe i smanjenja količine podataka

Zakon o provedbi je jasno ograničio svrhu za koju smijete obrađivati osobne podatke putem videonadzora: takva se obrada može provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.

Jedno od osnovnih načela GDPR-a jest načelo smanjenja količine podataka, koje objašnjava da osobni podaci koje voditelj obrade prikuplja moraju biti: primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. U slučaju videonadzora, to je u zakonskom tekstu također jasno konkretizirano: Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja gorespomenute svrhe.

EDPB je dao učestali primjer trgovine koja s vanjske površine ima kameru koja nadzire ulaz u trgovinu i/ili njene prozore, s ciljem zaštite od krađe i vandalizma. Ovakve kamere ne smiju ujedno nadzirati i čitav kolnik ili cestu, jer bi na taj način obrađivale osobne podatke brojnih osoba koje su samo u prolazu i nikada ne dođu u bilo kakav doticaj s trgovinom. Takva obrada jasno bi nadilazila svrhu korištenja video nadzora.

Dakle, ne postoji pravna osnova za snimanje površine koja nije dio objekta koji želite zaštititi i treba iskoristiti sve tehničke mogućnosti sustava video nadzora koji koristite da se to spriječi. U praksi to znači da je važno provjeriti perimetar svake pojedine kamere i podesiti ih ako snimaju površine van onih nužnih – pogotovo ako je riječ o tuđim privatnim posjedima ili javnim površinama gdje prolazi veća količina ljudi.

Transparentnost — obavijest o snimanju

Još jedno od temeljnih načela Uredbe jest načelo transparentnosti, koje zahtjeva da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se uz to, prema potrebi, koristi vizualizacijom. Vezano uz to, članak 13. Uredbe navodi i sve osnovne informacije koje moraju biti pružene ispitaniku u trenutku kada se prikupljaju njegovi podaci

Zakon o provedbi dodatno definira konkretne obveze za videonadzor: Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.

Navode se i osnovne informacije koje obavijest mora sadržavati – to su sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavna i lako razumljiva slika uz tekst kojim se ispitanicima pružaju sljedeće informacije:

• da je prostor pod videonadzorom
• podatci o voditelju obrade
• podatci za kontakt putem kojih ispitanik može ostvariti svoja prava.

Prilikom obične šetnje gradom možemo zamijetiti kako strašno velik broj subjekata još uvijek krši ovu poprilično važnu stavku Zakona, zbog čega građani nerijetko nisu svjesni brojnih situacija kada se njihovi osobni podaci obrađuju putem snimke.

Europski odbor za zaštitu podataka (EDPB) u Smjernicama daje dodatne upute o najvažnijim informacijama koje treba pružiti ispitaniku na jednostavan i jasan način:

• svrha obrade – zašto se prostor snima
• prava koja ispitanik ima vezano uz obradu svojih podataka
• gdje ispitanik može naći daljnje informacije vezane uz obradu svojih osobnih podataka

EDPB ujedno ističe obvezu “dvoslojnog pristupa” prilikom davanja spomenutih informacija. Naime, prvi sloj obavijesti trebao bi ispitaniku dati samo gorenavedene osnovne informacije te ga uputiti na drugi sloj – mjesto gdje se nalaze sve ostale informacije iz članka 13. Uredbe.

Odbor je dao neobvezujući primjer izgleda obavijesti, no ostavio je voditeljima obrade da dizajn prilagode vlastitim željama – ono što je važno jest da se na obavijesti nalaze sve spomenute osnovne informacije.

Tehničke i organizacijske mjere zaštite

Od izrazite je važnosti tko će moći pristupiti snimkama: sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba, a pravo pristupa snimkama smije imati samo odgovorna osoba u poslovnom subjektu. Zakon o provedbi propisuje: osobnim podacima prikupljenim putem videonadzora pristup ima odgovorna osoba koju voditelj ili izvršitelj obrade ovlasti – no niti te osobe ne smiju snimke koristiti za svrhe van onih propisanih.

Ako još nemate sustav videonadzora, a planirate ga instalirati, prilikom odabira rješenja koje ćete koristiti treba uzeti u obzir i odredbu koja se tiče automatiziranog sustava zapisa: Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.

Upozoravamo kako je ovdje ujedno riječ o stavki koju velik broj poslovnih subjekata – koji su sve ostale detalje doista prilagodili važećim propisima – jednostavno zaboravi.

Smjernice Odbora objašnjavaju kako bi trebale biti iskorištene dodatne značajke kamera koje omogućavaju veću privatnost, primjerice: softversko skrivanje ili zacrnjivanje onih područja u vidnom polju kamere koja nisu potrebna za ostvarenje svrhe videonadzora. Isto tako, treba uzeti u obzir da biste trebali ručno zamutiti ili izrezati treće osobe na snimkama ako dajete snimku na uvid osobi koja traži ostvarenje svog prava na pristup osobnim podacima.

S druge strane: tehničke funkcije koje nisu potrebne za ostvarenje određene svrhe – primjerice zumiranje, snimanje zvuka te neograničeno pomicanje kamere – trebaju biti izostavljene ili deaktivirane. Navedeno također treba uzeti u obzir prilikom nabavke opreme za videonadzor: nema smisla trošiti veće iznose novca zbog dodatnih funkcija koje bi vas nepotrebno mogle dovesti u prekršaj.

Vanjska tvrtka koja održava sustav video nadzora u određenim situacijama može imati pristup snimkama i zato se u okviru Uredbe smatra izvršiteljem obrade, s kojim ste dužni sklopiti Ugovor o obradi podataka kojim regulirate svoj odnos Voditelja i Izvršitelja obrade.

Ako vaš Izvršitelj obrade krši GDPR, i vi možete odgovarati nadzornom tijelu, ali i ispitanicima u individualnim tužbama za naknadu štete – budući da ste Izvršitelja sami odabrali kao partnera te ste odgovorni za njegovu usklađenost. Zato je važno da za instalaciju i održavanje sustava video nadzora odaberete tvrtku koja može dokazati da je sposobna osigurati visoku razinu zaštite osobnih podataka te se drži svih propisa vezanih uz tehničke i organizacijske mjere zaštite.

Sve tehničke i organizacijske mjere zaštite osobnih podataka trebali biste dokumentirati: to je pravilo koje vrijedi i na općenitoj razini, a dio vezan uz videonadzor može biti u zasebnom pravilniku o sustavu videonadzora, ili mjere mogu biti dio postojećeg internog akta – no važno je da su zapisane, da su zaposlenici obaviješteni o njima te da možete dokazati da ih uistinu provodite.

Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku – to je odredba iz zakonskog teksta, no posebno su zanimljive smjernice Odbora, koje dodaju: “što je duži period čuvanja podataka, pogotovo kada traje duže od 72 sata, to je teže opravdati legitimnost svrhe i potrebu čuvanja podataka”.

Kazne za kršenje

Kao što smo spomenuli u uvodu, Zakon o provedbi izravno je propisao i iznose upravne novčane kazne koje AZOP može dodijeliti za kršenje odredbi vezanih uz video nadzor. Tako kaznu u iznosu do 50.000 kuna mogu dobiti voditelji i izvršitelji obrade ako ne postave obavijest o video nadzoru koja odgovara svim stavkama koje smo ranije naveli; voditelj i izvršitelj obrade koji ne uspostave automatizirani sustav zapisa za evidentiranje pristupa snimkama; te sve osobe koje imaju pristup snimkama, a koriste ih suprotno zakonom definiranim svrhama.

Nadzorna tijela za zaštitu osobnih podataka država članica Europske unije do sada su izdala niz novčanih kazni za kršenje GDPR-a koje se tiču upravo video nadzora – stranica Enforcement tracker bilježi 26 izdanih kazni u tu svrhu.

Najniža zabilježena kazna je 500 eura zbog manjeg kršenja sigurnosnih mjera u Rumunjskoj, a najviša 72.000 eura u Finskoj – dodijeljenih tvrtki za taksi prijevoz “Taksi Helsinki” zbog uvođenja sustava video nadzora koji snima video i zvuk u vozilima, no bez prethodne procjene zakonitosti prikupljanja i obrade podataka. Tvrtka nije napravila Procjenu učinka na zaštitu podataka prije početka takve obrade, koja bi jasno pokazala utjecaj na prava i slobode pojedinaca. Finsko nadzorno tijelo zaključilo je da prikupljanje zvučnih podataka u ovom slučaju nije u skladu s načelom smanjenja količine podataka iz GDPR-a. Osim toga, istraga je ustvrdila da Taksi Helsinki nije ispitanike na adekvatan način informirao o obradi njihovih podataka – obavijesti u taksijima nisu spominjale zvučne snimke niti davale informaciju klijentima o dodatnim obavijestima vezanima uz zaštitu osobnih podataka.

Navedeni iznos nije blizu najvišim do sada dodijeljenim kaznama za kršenje GDPR-a, no vjerujemo kako je svakako dovoljno ozbiljan da bi ga prosječni poslovni subjekt rado izbjegao. Istovremeno, uvijek ističemo sve poslovne prednosti poslovanja usklađenog s obvezama iz Uredbe i kreiranja kulture privatnosti, čije će osobine klijenti i zaposlenici prepoznati i cijeniti.