Uvođenje videonadzora od strane obveznika (voditelja i/ili izvršitelja obrade) svakako mora biti izvedeno u skladu s važećom UREDBOM (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka).

Zadatak je svakog voditelja obrade da kod obrade osobnih podataka putem videonadzora poštuje sva načela obrade osobnih podataka kako su ista uređena Općom uredbom o zaštiti podataka.

U ovom tekstu osvrnut ćemo se na određene bitne zahtjeve koje je potrebno ispuniti i poštivati kod obrade osobnih podataka putem videonadzora.

Prije svega potrebno je utvrditi mjerodavne propise kojima je regulirano uvođenje videnadzora. Svakako i kod uvođenja i upotrebe videonadzora treba imati u vidu i voditi se osnovnim načelima i pravilima propisanima u Općoj uredbi o zaštiti podataka.

U samoj Općoj uredbi o zaštiti podataka ne nalazimo odredbe koje se ciljano odnose na videonadzor niti nalazimo definiciju sustava videnadzora, ali pronalazimo osnove, obveze i načela od kojih obveznici ne smiju odstupati i koje odgovarajuće trebaju primijeniti i kod korištenja videonadzora u poslovanju. Valja naglasiti da prava ispitanika vrijede i kod videonadzora i obveznik primjene Opće uredbe o zaštiti podataka mora omogućiti ostvarivanje prava ispitanika i u slučaju obrade osobnih podataka putem videonadzora.

Detaljnije odredbe koje se tiču videonadzora nalazimo u Zakonu o provedbi Opće uredbe o zaštiti podataka (Narodne novine broj: 42/2018). Tako u članku 25. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka nalazimo definiciju da se videonadzor u smislu odredbi ovoga zakona odnosi na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane. Članak 25. stavak 2. Zakona o provedbi Opće uredbe o zaštiti podataka propisuje podrednu primjenu ovog zakona, kada kaže da ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem sustava videonadzora primjenjuju se odredbe ovoga Zakona. Ovdje svakako treba spomenuti Zakon o zaštiti na radu koji sadrži odredbe koje se tiču videonadzora.

Članak 26. stavak 1. Zakona o provedbi Opće uredbe o zaštiti podataka propisuje u kojim se situacijama smije upotrebljavati videonadzor odnosno utvrđuje u koju se svrhu smije upotrebljavati videonadzor. Prema odredbi članka 26. stavka 1. Zakona dopuštena je obrada osobnih podataka putem videonadzora samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.

Nakon što je utvrđena svrha u koju se smije koristiti videonadzor, potrebno je utvrditi i temeljem koje pravne osnove će se koristiti videonadzor. Člankom 6. Opće uredbe o zaštiti podataka propisano je da je obrada osobnih podataka zakonita, ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:      

• ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
• obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; 
• obrada je nužna radi poštivanja pravnih obveza voditelja obrade;   
• obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
• obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
• obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete

Najčešće govorimo o legitimnom interesu kao pravnoj osnovi za obradu osobnih podataka putem sustava videonadzora, a posebno ako govorimo o voditelju obrade koji je trgovačko društvo u privatnom vlasništvu.

Međutim, da bi se utvrdilo ima li voditelj obrade legitiman interes, potrebno je provesti test legitimnog interesa koji ima zadaću utvrditi ima li voditelj obrade legitiman interes koji je jači od interesa i temeljnih prava i sloboda ispitanika.

Prema Smjernicama 03/2019 o obradi osobnih podataka putem videouređaja (dalje u tekstu: Smjernice) voditelj obrade treba utvrditi do koje mjere nadzor utječe na prava i slobode pojedinaca te dovodi li taj nadzor do povrede ispitanikovih prava ili negativnih posljedica na njegova prava.

Za spomenuti je da legitiman interes voditelja obrade može biti ekonomski, pravni ili neki drugi interes. 

Prema Smjernicama legitiman interes treba biti stvaran, odnosno interes treba postojati. Traži se da se u prošlosti dogodio incident koji opravdava legitiman interes. Primjerice, da je voditelj obrade već imao slučajeve provale, krađe, razbojništva i/ili drugih neželjenih događaja kojima se nanosi šteta poslovanju, a od kojih se namjerava zaštiti. Naravno, ovakvi neželjeni događaji bi trebali biti dokumentirani i iste bi trebalo moći dokazati.  Također i stalna neposredna opasnost može upućivati na postojanje legitimnog interesa voditelja obrade.  Kao primjer djelatnosti kojima prijeti konstantna opasnost u Smjernicama se navode poslovi banaka, draguljarnica, benzinskih postaja.

I kod videonadzora voditelj obrade mora voditi računa o osnovnom načelu smanjenja količine podataka. Članak 5. stavak 1. točka c. Opće uredbe o zaštiti podataka propisuje da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (smanjenje količine podataka). Odnosno, prema Smjernicama, smisao poštivanja ovog načela jest da bi voditelj obrade uvijek trebao provjeriti je li uvođenje videonadzora prikladno za postizanje željenog cilja i je li ta mjera primjerena i nužna u odnosu na njezine svrhe. Primjerice, Smjernice navode da ukoliko je cilj voditelja obrade spriječiti kaznena djela povezana s imovinom umjesto uvođenja sustava videonadzora, voditelj obrade može poduzeti i neke druge zaštitne mjere, kao što je postavljanje ograde oko posjeda, organizacija redovite ophodnje zaštitarskog osoblja, angažiranje vratara, postavljanje bolje rasvjete, postavljanje sigurnosnih brava, ugradnja protuprovalnih prozora i vrata i/ili slično. Ovakve mjere mogu biti jednako učinkovite kao i sustav videonadzora, a na voditelju obrade je zadatak da isto i utvrdi.

Zahtjev iz Smjernica jest da voditelj obrade ove odluke donosi na pojedinačnoj osnovi. Smjernice dodatno objašnjavaju da se voditelj obrade ne može pozivati na hipotetske situacije već je dužan procijeniti zadiranje u prava ispitanika, a u tom slučaju odlučujući kriterij je intenzivnost zadiranja u prava i slobode pojedinca.  Intenzivnost se prema Smjernicama određuje prema vrsti informacija koje se prikupljaju (sadržaj informacija), opsegu informacija (gustoća informacija te prostorni i zemljopisni opseg), broj uključenih ispitanika, prema predmetnoj situaciji, stvarne skupine ispitanika, alternativna sredstva te s obzirom na prirodu i opseg ocjene podataka.

Voditelj obrade mora voditi računa i o prostoru i vremenu koje će biti pokriveno sustavom videonadzora.  Tako Smjernice navode da se uporaba videonadzora u svrhu zaštite objekata voditelja obrade smatra nužnom samo unutar granica njegova posjeda, a u slučaju da nadzor posjeda nije dovoljan za učinkovitu zaštitu posjeda da bi voditelj obrade trebao razmotriti mogućnost upotrebe fizičkih i tehničkih sredstava poput prikrivanja ili pikselizacije područja izvan posjeda voditelja obrade. Ovdje valja spomenuti i ograničenje propisano člankom 32. stavkom 1. Zakona o provedbi Opće uredbe o zaštiti podataka, a koji propisuje da je praćenje javnih površina putem videonadzora dozvoljeno  samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo ako je propisano zakonom, ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine.

Također, kod utvrđivanja legitimnog interesa potrebno je imati u vidu razumna očekivanja ispitanika odnosno što ispitanik očekuje u konkretnoj situaciji. Smjernice su navele da se odlučujući kriterij treba temeljiti na pitanju može li se očekivati od objektivne treće strane da će biti predmet nadzora u određenoj situaciji i može li to treća strana zaključiti. Važno je isto spomenuti da prema Smjernicama, znakovi kojima se ispitanici obavještavaju o primjeni videonadzora nisu relevantni pri utvrđivanju onoga što ispitanik može objektivno očekivati.

Zaključno, ukoliko je legitimni interes pravna osnova obrade osobnih podataka ispitanika, sustav videonadzora se može postaviti i upotrijebiti samo ako su legitimni interesi voditelja obrade ispred temeljnih prava i sloboda pojedinaca i ako je to rezultat testa legitimnog interesa kojeg je proveo voditelj obrade. Svakako je dobro kod testa legitimnog interesa voditi se uputama i pojašnjenjima iz Smjernica i utvrditi koji je legitimni interes voditelja u pitanju kod obrade podataka videonadzorom, je li  upotreba videonadzora nužna za ostvarenje svrhe i testom ravnoteže utvrditi je li legitimni interes voditelja obrade preteže nad pravima i slobodama pojedinaca.

Kod prijenosa osobnih podataka dobivenih upotrebom videonadzora trećim osobama, treba istaknuti da se radi o posebnoj obradi osobnih podataka i da takav prijenos mora imati svoju posebnu pravnu osnovu.  Smjernice navode primjer da voditelj obrade koji želi objaviti snimku na internetu mora od ispitanika imati privolu. U konkretnom primjeru recimo da je voditelj obrade snimku pribavio temeljem pravne osnove legitimnog interesa, a da za objavu iste na internetu mora imati drugu pravnu osnovu, odnosno privolu ispitanika.  

Postoje situacije u kojima će voditelj obrade morati predati snimke nastale upotrebom videonadzora. Radi se o situacijama u kojima će voditelj obrade morati postupiti po nalogu državnih tijela. U većini slučajeva radit će se o nalogu tijela nadležnih za progon počinitelja kaznenih tijela i/ili drugim državnim tijelima koja su ovlaštena pozitivnim propisima tražiti predaju snimke. U tim slučajevima pravna osnova otkrivanja videozapisa jest poštivanje pravnih obveza voditelja obrade. U Smjernicama nalazimo primjer: Vlasnik trgovine snima ulaz u trgovinu. Na snimci se vidi kako jedna osoba drugoj krade novčanik. Policija traži od voditelja obrade da preda videomaterijale jer mogu pomoći u istrazi. U tom se slučaju vlasnik trgovine može pozvati na pravnu osnovu propisanu člankom 6. stavkom 1. točkom (c) Opće uredba o zaštiti podataka (pravna obveza), koja se tumači u vezi s relevantnim nacionalnim pravom u pogledu obrade prijenosom. Drugi zanimljiv primjer u Smjernicama odnosi se da je u trgovini postavljena kamera zbog sigurnosnih razloga. Vlasniku trgovine se čini da je kamerom zabilježeno sumnjivo ponašanje te odluči poslati materijal policiji (a da nije dobio obavijest da je u tijeku ikakva istraga). U tom slučaju vlasnik trgovine najčešće mora ocijeniti jesu li ispunjeni uvjeti propisani člankom 6. stavkom 1. točkom (f) Opće uredbe o zaštiti podataka. Ta situacija obično nastaje kad vlasnik trgovine opravdano sumnja na počinjenje kaznenog djela. Znači, u drugom primjeru, kada vlasnik trgovine nema službenu informaciju da je istraga u tijeku niti zahtjev policije za predajom videozapisa traži se od voditelja obrade tj. vlasnika trgovine da utvrdi legitiman interes za predajom videozapisa policiji.

Upotrebom videonadzora voditelj obrade može obuhvatiti i posebne kategorije osobnih podataka ispitanika kako su određeni člankom 9. Opće uredbe o zaštiti podataka.  Prema Smjernicama treba navesti da se podaci prikupljeni videonadzorom ne smatraju uvijek posebnom kategorijom osobnih podataka, tako se navodi i primjer prema kojem se videozapisi s ispitanicima koji nose naočale ili se koriste invalidskim kolicima same po sebi ne smatraju odmah posebnom kategorijom osobnih podataka.  Dok s druge strane videozapis koji pokazuje ispitanike čiji se identitet može utvrditi kako sudjeluju u štrajku mogao bi upućivati na obradu osobnih podataka koji otkrivaju političko mišljenje ispitanika, pa bismo u tom slučaju mogli govoriti o obradi koja obuhvaća posebne kategorije osobnih podataka.  Svakako, ukoliko voditelj obrade koristi videonadzor radi obrade posebnih kategorija osobnih podataka dužnost je voditelja obrade utvrditi iznimke od zabrane obrade posebnih kategorija osobnih podataka, a koje su iznimke taksativno određene člankom 9. stavkom 2. Opće uredbe o zaštiti podataka i naravno pravnu osnovu obrade osobnih podataka propisane člankom 6. Opće uredbe o zaštiti podataka. Također, prema Smjernicama kod obrade posebnih kategorija osobnih podataka voditelj obrade treba posebno pažnju posvetiti većoj razini sigurnosti kao i procjeni učinka na zaštitu podataka.

Jedna od specifičnosti kod videonadzora jesu i prava ispitanika odnosno ostvarivanje prava ispitanika jer i kod obrade podataka putem sustava videonadzora, ispitanici imaju sva prava prema Općoj uredbi o zaštiti podataka.  Postavlja se pitanje na koji način treba postupiti voditelj obrade ukoliko ispitanik želi ostvariti pravo na pristup osobnim podacima koji se obrađuju putem videonadzora. Radi se o pravu ispitanika propisanom člankom 15. Opće uredbe o zaštiti podataka.  Smjernice razlikuju dva slučaja u odnosu na ostvarivanje ovoga prava, prvi, u kojem se podaci ne pohranjuju niti prenose na bilo koji način nakon što je proveden nadzor u stvarnom vremenu i drugi slučaj, ako se podaci pohranjuju ili kontinuirano obrađuju na drugi način. U prvom slučaju voditelj obrade obavještava ispitanika da se osobni podaci više ne obrađuju dok u drugom slučaju voditelj obrade treba postupiti u skladu s člankom 15. Opće uredbe o zaštiti podataka.  Kod ostvarivanja prava ispitanika na pristup osobnim podacima treba spomenuti i određena ograničenja. Tako Smjernice navode da je moguće da pravo ispitanika na pristup osobnim podacima ima negativan učinak na prava trećih. Recimo da ukoliko ispitanik želi uvid i/ili kopiju videozapisa kojima su obuhvaćene i druge , takav uvid bi mogao imati negativan utjecaj na prava i slobode drugih. Smjernice navode da se zaštita prava trećih strana ne bi smjela upotrebljavati kao izgovor za odbijanje zakonitog zahtjeva pojedinca za pristup osobnim podacima. Smjernice idu u smjeru da bi voditelj obrade u takvim slučajevima morao poduzeti određene mjere radi ispunjavanja zahtjeva za pristup osobnim podacima, kao što su maskiranje ili premetanje dijelova slika.  Također, kod ostvarivanja ovoga prava ispitanik treba pomoći voditelju obrade kod identifikacije ispitanika, primjerice, da navede što točniji vremenski okvir kada smatra da je snimljen. 

Kod ostvarivanja prava ispitanika na pristup osobnim podacima treba spomenuti slučaj u kojem je Agencija za zaštitu osobnih podataka izrekla upravnu novčanu kaznu voditelju obrade u iznosu od 940.000,00 kuna zbog nedostavljanja snimki videonadzornih kamera na zahtjev ispitanika, čime je povrijeđen članak 15. stavak 3. Opće uredbe o zaštiti podataka (https://azop.hr/izrecene-upravne-novcane-kazne-u-ukupnom-iznosu-od-1-6-milijuna-kuna/)

Naravno, ispitanik ima pravo tražiti i brisanje svojih osobnih podataka od strane voditelja obrade. Radi se o pravu iz članka 17. Opće uredbe o zaštiti podataka prema kojem ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja, te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog , ako je ispunjen koji od propisanih uvjeta. Kako smo u tekstu većim dijelom pisali o legitimnom interesu kao pravnoj podlozi obrade osobnih podataka, na ovom mjestu ćemo navesti jedan od razloga za brisanje osobnih podataka i to onaj propisan člankom 17. stavkom 1. točkom c. Opće uredbe o zaštiti podataka, kada ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu. Također, ovdje valja spomenuti da je prema Smjernicama dovoljno zamagliti sliku/snimku bez mogućnosti ponovnog obnavljanja osobnih podataka da bi se podaci dobiveni videonadzorom smatrali izbrisanima. 

Daljnji zahtjevi kod videonadzora tiču se pravilne obavijesti ispitanika o postavljenom videonadzoru. Prema članku 27. stavku 1. Zakona o provedbi opće uredbe o zaštiti podataka voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja. Dalje, u stavku 2. članku 27. Zakona o provedbi opće uredbe o zaštiti podataka, propisano je da obavijest treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:

• da je prostor pod videonadzorom
• podatke o voditelju obrade
• podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.

Smjernice detaljnije opisuju zahtjeve u vezi s transparentnosti i informacijama koje se pružaju ispitanicima. Tako u Smjernicama nalazimo da bi se informacije mogle prikazivati u dva sloja. Najvažnije informacije se prikazuju na samom znaku upozorenja (prvi sloj) dok se druge informacije mogu pružiti na druge načine (drugi sloj). Informacije prvog sloja moraju biti prikazane na takav način, da ih ispitanik može lako prepoznati prije ulaska u nadzirano područje (otprilike u razini očiju).  Prema Smjernicama informacije prvog sloja trebaju prikazati najvažnije informacije kao što su svrha obrade, prava ispitanika, identitet voditelja obrade, postojanje prava ispitanika, a osim toga i informacije o prijenosu osobnih podataka trećim stranama, razdoblju pohrane itd.. Informacije prvog sloja bi trebale uputiti na informacije drugog sloja, odnosno na dodatne informacije, a ove informacije bi se trebale nalaziti na mjestu koje je lako dostupno ispitaniku, kao što su informativni letak, recepcija, plakat. Prema smjernicama najbolja praksa je da informacije prvog sloja upute na digitalni izvor drugog sloja (primjerice QR kod ili internetske stranice), a neovisno o tome kako se daju, svakako moraju sadržavati informacije iz članka 13. Opće uredbe o zaštiti podataka. O važnosti poštivanja pravilnog informiranja ispitanika o videonadzoru možemo saznati i iz postupanja Agencije za zaštitu osobnih podataka, koja je izrekla novčanu kaznu od 30 tisuća kuna zbog neoznačavanja objekta pod videonadzorom.  ˝Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako voditelj obrade – prodajno-servisni centar automobila sa sjedištem u Zagrebu nije označio da su pojedine prostorije u njemu, kao i vanjske površine predmetnog objekta, pod videonadzorom, a što je protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka. Za navedenu povredu Agencija je, u skladu s člankom 51. stavkom 1. alinejom 1. Zakona o provedbi Opće uredbe o zaštiti podataka, izrekla upravnu novčanu kaznu u iznosu od 30 tisuća kuna.˝(https://azop.hr/izrecene-dvije-upravne-novcane-kazne-u-ukupnom-iznosu-218-milijuna-kuna/).

Bitna stavka kod videonadzora jest vrijeme pohrane dobivenih snimki.  Članak 29. Zakona o provedbi opće uredbe o zaštiti podataka propisuje da se snimke dobivene putem videonadzora mogu  čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. Svakako je obveza voditelja obrade da utvrdi legitimnost svrhe i nužnosti pohrane, odnosno na voditelju obrade je da utvrdi razdoblje zadržavanja podataka u skladu s načelima nužnosti i proporcionalnosti te dokaže usklađenost s odredbama Opće uredbe o zaštiti podataka kako je i navedeno u Smjernicama. Ipak, smatramo da bi ovaj najduži propisani rok od 6 mjeseci trebalo gledati kao iznimku, te da je bolja praksa kada bi voditelji obrade čuvali osobne podatke na kraći vremenski rok.

Sustav videonadzora svakako treba biti zaštićen odgovarajućim tehničkim i organizacijskim mjerama uspostavljenim od voditelja obrade. Članak 28. Zakona o provedbi opće uredbe o zaštiti podataka sadrži sljedeće odredbe:

Stavak 1. propisuje da  pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.

U stavku 2. je propisana obveza da osobe iz stavka 1. ovoga članka ne smiju koristiti snimke iz sustava videonadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. ovoga Zakona

Stavak 3. kaže da sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba.

Stavak 4. propisuje da su Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.

Treba spomenuti da je i prema odredbama Opće uredbe o zaštiti podataka obveza voditelja obrade provoditi odgovarajuće tehničke i organizacijske mjere radi zaštite podataka odnosno poštivanja svih načela kod obrade osobnih podataka.

Smjernice navode da voditelji obrade moraju uspostaviti odgovarajuće tehničke i organizacijske mjere prije nego što je sustav videonadzora postao funkcionalan, odnosno prije nego što se počnu prikupljati i obrađivati videosnimke.  Također, u Smjernicama nalazimo primjere relevantnih tehničkih i organizacijskih mjera koje mogu poduzeti voditelji obrade.  Tako kod organizacijskih mjera voditelji obrade bi trebali izraditi politike i postupke povezane s videonadzorom te u iste uključiti tko je odgovoran za upravljanje i rukovođenje sustavom videonadzora, tko ima pristup videosnimkama, što je primjerena i zabranjena upotreba sustava, način snimanja videosnimke i vrijeme njezina trajanja, arhivsko pohranjivanje videosnimki, postupci u slučaju povrede osobnih podataka i druge relevantne mjere. 

Smjernice daju i primjere tehničkih mjera koje voditelji obrade mogu poduzeti, a koje se odnose na fizičku sigurnost, sigurnost sustava i podataka te kontrolu pristupa. Na fizičku sigurnost treba gledati kao na prvu liniju obrane koji sustav videonadzora štiti od vandalskih ispada, krađe, prirodnih katastrofa. Kod sigurnosti sustava i podataka korisno je primijeniti enkripciju podataka, sredstva za ponovnu uspostavu dostupnosti sustava i pristupa sustavu u slučaju fizičkog ili tehničkog incidenta, hardverskih i softverskih rješenja kao što su vatrozidovi, antivirusni sustavi ili sustavi za otkrivanje neovlaštenog upada i druge mjere iz Smjernice. Kontrolom pristupa potrebno je osigurati da podacima pristupaju samo za to ovlaštene osobe. Neke od mjere u Smjernicama kojima se podržava kontrola fizičkog i logičkog pristupa jesu utvrditi postupke za dodjelu, promjenu i ukidanje fizičkog i logičkog pristupa, primjena metoda i sredstava za autentifikaciju i ovlašćivanje korisnika, bilježenje i redovito preispitivanje aktivnosti koje obavlja korisnik, kontinuirano praćenje i otkrivanje neispravnosti u pogledu pristupa.

Zadatak ovih mjera je da osiguraju usklađenost voditelja obrade sa zahtjevima iz članka 5. Opće uredbe o zaštiti podataka.

Za spomenuti je i članak 35. Opće uredbe o zaštiti podataka kojim je propisana obveza voditelja obrade  da ako je vjerojatno, da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca. Voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.  U slučaju videonadzora prema Smjernicama, a uzimajući u obzir uobičajene svrhe videonadzora razumno je pretpostaviti da će u mnogim slučajevima videonadzora biti potrebno provesti procjenu učinka na zaštitu podataka. Smisao ove procjene jest da se na temelju rezultata provedene procjene učinka na zaštitu podataka temelji odabir voditelja obrade u pogledu mjera za zaštitu podataka koje će poduzeti kako se i navodi u Smjernicama.

Na ovom mjestu navodimo i odredbe jednog posebnog zakona koji sadrži odredbe vezane uz videonadzor, odnosno korištenje nadzornih uređaja, a koje odredbe je u propisanim situacijama potrebno poštivati. Naime, Zakon o zaštiti na radu (Narodne novine broj : 71/14, 118/14, 154/14, 94/18, 96/18) u članku 43. normira nadzorne uređaje kao sredstvo zaštite na radu. Tako ovaj članak propisuje da poslodavac smije koristiti nadzorne uređaje kao sredstvo zaštite na radu pod uvjetima propisanim ovim Zakonom i da je dopušteno korištenje nadzornih uređaja radi kontrole ulazaka i izlazaka iz radnih prostorija i prostora te radi smanjenja izloženosti radnika riziku od razbojstva, provala, nasilja, krađa i sličnih događaja na radu ili u vezi s radom. Dalje, u ovom članku nalazimo odredbe koji se tiču mjesta gdje je zabranjeno postavljanje nadzornih uređaja, potrebe ishođenja suglasnosti od strane radničkog vijeća odnosno sindikalnog povjerenika, potrebne obavijesti radniku i druge. 

Zaključno, s obzirom na vrstu i količinu osobnih podataka koja se obrađuje upotrebom sustava videnadzora, od iznimnog je značaja da voditelji obrade postupaju u skladu s odredbama kojim je propisana obrada osobnih podataka putem videonadzora. Ovo je potrebno, ne samo radi straha od novčanih sankcija, već i radi dobrog ugleda i reputacije voditelja obrade koji obrađuje osobne podatke ispitanika u skladu s važećom regulativom.

IZVORI:

UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ

Zakon o provedbi Opće uredbe o zaštiti podataka (Narodne novine broj 42/2018)

Smjernice 03/2019 o obradi osobnih podataka putem videouređaja donesene 29. siječna 2020. od strane europskog odbora za zaštitu podataka

https://azop.hr/izrecene-dvije-upravne-novcane-kazne-u-ukupnom-iznosu-218-milijuna-kuna/

https://azop.hr/izrecene-upravne-novcane-kazne-u-ukupnom-iznosu-od-1-6-milijuna-kuna/

Zakon o zaštiti na radu (Narodne novine broj: 71/14, 118/14, 154/14, 94/18, 96/18)

Ivan Jakić, dipl. iur.