Aktualno: Videonadzor in GDPR
20. april 2018
Danes bi v poslovnem okolju najbrž težko našli nekoga, ki še ni slišal za GDPR in predvsem visoke kazni za kršitve. Gre za Splošno direktivo o varstvu osebnih podatkov, ki bo začela veljati konec maja. Ker osebne podatke obdelujemo v nekaterih sistemih tehničnega varovanja, pa moramo poskrbeti za skladnost z njenimi določili tudi na tem področju.
Z osebnimi podatki se srečujemo pri pristopni kontroli, evidentiranju obiskovalcev, biometrijskih ukrepih, prepoznavanju registrskih tablic vozil in še kje. Največ jih je zagotovo pri videonadzoru, zato je današnja vsebina namenjena tej temi.
Najprej spomnimo, kar je znano.
Splošna direktiva o varstvu osebnih podatkov (GDPR) je bila sprejeta 24.5.2016 z dveletnim prehodnim obdobjem, ki poteče 25.5.2018. Kot pove že ime, predpisuje splošno zavezujoče določbe na nivoju Evropske skupnosti, katerih cilje moramo doseči z nacionalno zakonodajo. V našem primeru naj bi bil to novi Zakon o varstvu osebnih podatkov (ZVOP-2), za katerega je trenutno majhna verjetnost, da bo sprejet pred navedenim datumom.
Ne glede, kdaj bo ZVOP-2 začel veljati, predpisuje za videonadzor nekaj pomembnih sprememb v primerjavi z veljavnim ZVOP-1, ki jih moramo poznati in upoštevati, da ne bomo v prekrških.
Prva sprememba je, da bo ZVOP-2 veljal za vse vrste videonadzora in tudi, če gre zgolj za neposredno spremljanje dogajanja pred kamerami (94. člen), ki ga bo lahko izvajalo samo pooblaščeno varnostno osebje (97. člen).
V primerjavi z veljavnim zakonom, po katerem se posnetki lahko hranijo eno leto, novi zakon določa, da se bodo posnetki lahko hranili tri mesece od dneva nastanka, če zakon ne določa drugače.
Povsem novo je poglavje o videonadzoru na javnih površinah (98. člen), ki bo dovoljen le v izjemnih primerih in ga bo lahko izvajala pravna oseba, ki upravlja z javno površino, ali na njej zakonito izvaja dejavnost. V praksi to pomeni, da razen pod navedenimi pogoji z videonadzorom ne smemo spremljati javnih površin v okolici objektov, temveč jih moramo na slikah kamer npr. zatemniti.
V obeh zakonih je kot zbirka osebnih podatkov opredeljen »posnetek posameznika (slika oziroma glas), datum in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številka in podatki o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema« (95. člen).
To pomeni, da za posnetke videonadzora kot zbirke osebnih podatkov veljajo vsa ustrezna določila GDPR in – po nastopu veljavnosti – ZVOP-2.
Za lažjo predstavo problematike navajamo kar ugotovitve, ki so opisane v dokumentu z naslovom »Zavarovanje osebnih podatkov – Smernice Informacijskega pooblaščenca«, ki ima datum septembra leta 2015.
»Pri inšpekcijskih postopkih v zvezi z videonadzorom Informacijski pooblaščenec pogosto odkriva pomanjkljivo zavarovane videonadzorne sisteme. Snemalne naprave so bodisi nameščene v neprimernih prostorih, nezaklenjenih, nenadzorovanih, dostopnih številnim osebam, bodisi snemalniki niso zavarovani z dostopnim geslom ali je le-to podeljeno (pre)velikemu številu oseb.
Pogosto se ne vodi evidenca izvajanja videonadzora, kar onemogoča notranjo sledljivost (vpoglede in posege v posnetke) ali zunanjo sledljivost (posredovanje posnetkov). Priporočljivo je, to pa je hkrati tudi zakonska obveznost, da so za upravljanje z videonadzornim sistemom izrecno pooblaščene točno določene osebe, in sicer čim manjši krog le-teh, pri čemer mora biti jasno določeno, kdo upravlja z videonadzorom v tehničnem pogledu ter katere osebe smejo dostopati in obdelovati osebne podatke v videonadzornih posnetkih.
Priporočamo, da upravljavci osebnih podatkov in izvajalci videonadzora o tem izdelajo natančna pravila, ki so lahko zapisana bodisi v posebnem aktu o izvajanju videonadzora ali v splošnem aktu o zavarovanju osebnih podatkov.«
Vsemu temu, kar je bilo znano že pred skoraj tremi leti, so se pridružila še določila GDPR in bodočega ZVOP-2. Ker sta oba dokumenta dokaj obsežna in z njunim izvajanjem še ni praktičnih izkušenj, naj tokrat opozorimo samo na nekaj ključnih vprašanj.
Pooblaščene osebe. Kot je razvidno, lahko do posnetkov dostopajo samo točno določene in pooblaščene osebe. Kar ne more biti neimenovano (npr. varnostno) osebje, ki ima dostop do nezavarovanega snemalnika ali ki si izmenjuje geslo za dostop do posnetkov.
Sledljivost. Pomembno načelo varstva osebnih podatkov je sledljivost obdelave, kar pri posnetkih videonadzora pomeni dokazljive podatke o dostopu, vpogledu, spreminjanju in posredovanju. Številni uporabniki teh podatkov nimajo, ali pa se zanašajo na pisne evidence, kar je precej vprašljivo glede na strožje zahteve po sledljivosti obdelave osebnih podatkov.
Pogodbena obdelava. Pogosta praksa je tudi, da lastnik oziroma upravljavec video nadzornega sistema za dostop do posnetkov pooblasti varnostno službo ali drugo podjetje. V takšnem primeru gre za odnos med upravljavcem in obdelovalcem osebnih podatkov, ki ga določata 28. člen GDPR in 31. člen ZVOP-2 ter mora biti opredeljen z ustrezno pogodbo.
In kako bi kršitve navedenih določil izgledale v praksi?
Recimo, da z varnostno kamero, ki je namenjena nadzoru dvorišča ali službenega parkirišča, (nedovoljeno) snemamo tudi dogajanje na javni površini zunaj ograje, na kateri pride do incidenta, nekdo od oseb, ki imajo dostop do (nezavarovanega) snemalnika pa posnetek z udeleženci (nepooblaščeno) presname in (nedovoljeno) objavi na internetu.
Čeprav gre pri opisanem dogodku za skrajnosti, lahko med takšnimi skrajnimi mejami v vsakdanji praksi najdemo nešteto manjših ali večjih kršitev.
Na podlagi omenjenih predpisov in njihovih tolmačenj smo zabeležili približno dvajset kontrolnih točk za osnovno preverjanje skladnosti videonadzora. Priporočljivo je, da si jih izdelate sami, saj boste tako najbolje spoznali vse formalne in praktične vidike obdelave osebnih podatkov z videonadzorom.
Če vas o tej temi zanima več informacij, ali imate vprašanje, nam po želji pišite na naslov trzenje@akoda.si ali nas pokličite na številko 01 292 79 05.