Zašto bi gradovi trebali uskladiti videonadzor s GDPR-om?

Postavlja se pitanje u koju svrhu se može provoditi obrada osobnih podataka putem sustava videonadzora. Prije same obrade potrebno je detaljno utvrditi njezinu svrhu. Te svrhe nadzora preporučljivo je evidentirati u pisanom obliku te je za svaku nadzornu kameru u uporabi potrebno navesti odgovarajuću svrhu

Dražen Keresteny, mag. ing. el., Alarm automatika

Svjedoci smo sve nesigurnijih vremena i sve većih sigurnosnih ugroza, a posebno u domeni cybersecurity aktivnosti, gdje se vrlo često događa curenje podataka koji su prikupljeni iz raznih izvora, pa stoga gradovi trebaju polagati veliku pozornost tome da i u segmentu videonadzora budu potpuno usklađeni sa zakonskom regulativom koja se tiče GDPR-a u tom segmentu. Sukladno tome, i ljudi su sve više osjetljivi na curenje njihovih osobnih podataka iz raznih izvora, kao i na njihovo neovlašteno korištenje i distribuiranje.

Hrvatsko nadzorno tijelo, Agencija za zaštitu osobnih podataka (AZOP) i ostale državne agencije unutar EU izdaju sve više upravnih kazni zbog neoznačavanja objekata pod videonadzorom i neusklađenosti postavljenog videonadzora sa GDPR uredbama koje se tiču zakonske regulative vezane uz videonadzor, što možete vidjeti i pratiti na stranicama https://www.enforcementtracker.com/ i/ili https://gdprhub.eu/index.php?title=Advanced_Search tako da kod pretrage ukucate ključne riječi kao što su CCTV, video ili slično. Iz svega navedenog je jasno da ova neregulirana tematika može prouzročiti gradovima veliku reputacijsku, ali i materijalnu štetu, pa ćemo u ovom tekstu pogledati kako to izbjeći.

Osnovna zakonska regulativa
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka - Opća uredba o zaštiti podataka je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. Vezano uz to, Hrvatska je 27. travnja 2018. usvojila Zakon o provedbi Opće uredbe o zaštiti podataka koji je stupio na snagu 25. svibnja 2018. (NN 42/18, u daljnjem tekstu: Zakon) kojim su u RH detaljnije propisani uvjeti obrade osobnih podataka putem uspostavljanja sustava videonadzora. Potrebno je istaknuti kako je odredbom članka 25. stavka 2. Zakona propisano sljedeće: “Ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem sustava videonadzora primjenjuju se odredbe ovoga Zakona”, a što upućuje na povezanu primjenu istog u slučaju obrade osobnih podataka putem sustava videonadzora.

Curenje podataka te njihovo neovlašteno korištenje i distribuiranje sve je češće
 

Europski odbor za zaštitu podataka donio je dana 29. siječnja 2020. Smjernice 3-2019 o obradi osobnih podataka putem video uređaja (dalje u tekstu: Smjernice). Također je dobro biti detaljno upoznat sa Zakonom o privatnoj zaštiti, a posebno sa dijelom koji se tiče videonadzora na javnim površinama. Na žalost, pripadajući novi Pravilnik o provedbi tehničke zaštite je već (pre)dugo u javnoj raspravi, pa je na snazi još uvijek stari Pravilnik koje je bio vezan uz prošli Zakon o privatnoj zaštiti, tako da još uvijek imamo novi zakon i stari pravilnik.

Osnovni pojmovi i preporuke vezane uz obradu osobnih podataka putem videonadzora
Sukladno navedenim propisima i Smjernicama, ovdje ćemo pogledati osnovne pojmove i preporuke vezane uz obradu osobnih podataka putem sustava videonadzora. Prvo treba istaknuti kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz odredbe članka 6. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća. Za više informacija, Vodič o obradi osobnih podataka putem videonadzora možete pronaći ovdje: https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-uporabu-videonadzora.pdf

Svrha i način obrada podataka
Nadalje, postavlja se pitanje u koju svrhu se može provoditi obrada osobnih podataka putem sustava videonadzora. Prije same obrade potrebno je detaljno utvrditi njezinu svrhu. Te svrhe nadzora preporučljivo je evidentirati u pisanom obliku te je za svaku nadzornu kameru u uporabi potrebno navesti odgovarajuću svrhu. Također je važno znati da za obradu osobnih podataka putem sustava videonadzora nije potrebna dozvola AZOP-a. Međutim, već kod procjene potrebnih i dozvoljenih lokacija za postavljanje videonadzornih kamera, moramo znati da Zakon propisuje određena ograničenja u pogledu uspostavljanja sustava videonadzora javne površine i određenih prostorija (primjerice videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje).

Svakako treba obratiti posebnu pažnju na to da je ispitanike potrebno obavijestiti o prostorima koji su pod videonadzorom. Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt, odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom (članak 27. stavak 1. Zakona). Više detalja o tome gdje se točno moraju nalaziti te oznake te što točno mora sadržavati obavijest o prostorima ili javnim površinama pod videonadzorom možete pronaći u Smjernici kojoj možete pristupiti putem sljedeće poveznice: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_hr.

Voditelji i izvršitelji obrade podataka - prava i obaveze
Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti (članak 28. stavak 1. Zakona). Odgovorna osoba u poslovnom subjektu može biti primjerice direktor. Navedene osobe ne smiju koristiti snimke iz sustava videonadzora suprotno svrsi utvrđenoj u odredbi članka 26. stavka 1. Iznimka je to da pristup podacima prikupljenim putem videonadzora imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg djelokruga (članak 28. stavak 5. Zakona), kao što je primjerice policija koja postupa po nalogu o istrazi određenog kriminalnog djela.

Važno je razlikovati tko je voditelj obrade, a tko izvršitelj obrade kod poslovnih subjekata. Poslovni subjekt je voditelj obrade ukoliko samostalno obrađuje podatke video nadzornog sustava ili od drugog poslovnog subjekta koristi uslugu video nadzornog sustava (npr. ugovorio je zaštitarske usluge s društvom koje se bavi pružanjem zaštitarskih usluga), a ukoliko u ime drugoga pruža uslugu videonadzornog sustava (obrađuje podatke putem video nadzornog sustava) tada je izvršitelj obrade.

U tri godine naplaćene su 79 kazne u 16 EU zemalja, a glavni razlog je bio snimanje javnih površina bez odgovarajućih mjera
 

Ukoliko poslovni subjekt samostalno obrađuje podatke putem videonadzora tada treba propisati tko su odgovorne osobe koje imaju pravo pristupa snimkama videonadzora unutar poslovnog subjekta, a ako koristi uslugu drugog poslovnog subjekta (izvršitelja obrade) tada to treba definirati ugovorom ili drugim pravnim aktom.

Također bi ovlašteni zaposlenici izvršitelja obrade trebali propisati odgovarajući dokument (npr. izjava o povjerljivosti) kojim se obvezuju da će štititi osobne podatke. Voditelj obrade i izvršitelj obrade uz sve navedeno moraju poduzeti odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti podataka koji se obrađuju putem sustava videonadzora.

Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku (članak 29. Zakona). Važno je napomenuti da je nadzor javnih površina putem videonadzora dozvoljen je samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo ako je propisano zakonom, ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine (članak 32. stavak 1. Zakona).

Sankcije i kazne su vrlo ozbiljne
Prema odredbama Opće uredbe o zaštiti podataka povredu je moguće sankcionirati upravnim novčanim kaznama koje se mogu izricati uz ili umjesto drugih sankcija poput upozorenja, opomena, zabrana, ograničenja itd. Postoje dva seta kršenja: za neka kršenja (obveze voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 milijuna eura ili dva posto godišnjeg prometa na svjetskoj razini, a za druga kršenja načela obrade, prava ispitanika, prijenosi u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 milijuna eura ili četiri posto godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće. U slučaju postupanja protivno odredbama Zakona u pogledu obrade podataka putem ustava videonadzora Agencija za zaštitu osobnih podataka izreći će upravnu novčanu kaznu odgovornim osobama.

Sukladno odredbi članka 51. Zakona, upravnom novčanom kaznom u iznosu do 50.000 kuna (6636 EUR) kaznit će se:
- voditelj obrade i izvršitelj obrade koji ne označe objekt, prostorije, dijelove prostorije te vanjsku površinu objekta na način propisan člankom 27. Zakona,
- voditelj obrade i izvršitelj obrade koji ne uspostave automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora, sukladno članku 28. stavku 4. Zakona,
- odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti koja koristi snimke iz sustava videonadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. Zakona

Kao što smo u uvodu članka naveli, na stranicama https://www.enforcementtracker.com/ i/ili https://gdprhub.eu/index.php?title=Advanced_Search možete vidjeti izrečene kazne na razini EU tako da kod pretrage ukucate ključne riječi kao što su CCTV, video ili slično. Pogledajte tabelu u kojoj se navode izrečene kazne. U tri godine naplaćene su 79 kazne u 16 EU zemalja, a glavni razlog je bio snimanje javnih površina bez odgovarajućih mjera.