Na koji način postaviti videonadzor, a da se udovolji zahtjevima GDPR-a?

Videonadzor je jedan od onih segmenata u poslovnim procesima koji su svakako pod povećalom kada je riječ o GDPR-u. Naime, GDPR vrlo široko definira osobne podatke i to su svi oni podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Dakle, ukoliko se pojedinac može izravno ili neizravno identificirati, takav podatak predstavlja osobni podatak. Snimka i fotografija svakako su jedan od takvih podataka. Često pitanje s kojim smo se susretali otkad je GDPR stupio na snagu je na koji način odredbe GDPR-a mogu utjecati na videonadzor na području tehničke zaštite i kontrole pristupa u kontekstu zaštite imovine i ljudi. Osim Opće uredbe o zaštiti podataka (GDPR), ovaj dio posebno uređuje i Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18) te Zakon o zaštiti na radu (71/14, 118/14, 154/14 , 94/18, 96/18).

Na što sve treba paziti kada je riječ o videonadzoru i prikupljanju podataka putem videonadzora?

Podaci prikupljeni putem videonadzora mogu se čuvati najviše 6 mjeseci, a ukoliko se vodi sudski proces i potrebne su radi dokaznog postupka, mogu se čuvati u dulje. U ovom kontekstu, poslodavci moraju paziti na to da samo osobe koje su ovlaštene od strane poslodavca mogu imati pristup podacima. Dobar primjer za objašnjenje ove odredbe su trgovački centri. Često se, na ulazu u trgovačke centre, mogu vidjeti kamere na kojima osobe koje ulaze mogu vidjeti sve pozicije koje kamere snimaju i na taj način mogu vidjeti i osobe snimljene na drugoj strani trgovačkog centra. Ovakvo pozicioniranje kamera bio bi tipičan primjer kršenja GDPR-a. Potrebno je spriječiti mogućnost da druge osobe mogu vidjeti sadržaj snimke. 

Primjer obavijesti o upotrebi videonadzora u poduzećima

Svakako bi trebalo obratiti pozornost na to da su i voditelj obrade i izvršitelj obrade obvezni uspostaviti, u skladu s načelom transparentnosti, automatizirani zapis za evidentiranje pristupa snimkama videonadzora. Ovaj zapis treba imati oznaku osobe koja je podacima pristupila te vrijeme i mjesto pristupa podacima. Kao i što je to bio i ranije slučaj, potrebno je prostor označiti i slikom koja označava da je prostor pod videonadzorom, navesti podatke o Voditelju obrade te navesti kontakt podatke kako bi svatko mogao zatražiti dodatne informacije o obradi podataka. Valja navesti da su upravne novčane kazne, u slučaju nepoštivanja ovakvih odredbi vrlo visoke i iznose do 50.000 kuna, a Agencija za zaštitu osobnih podataka je tijelo koje je ovlašteno izreći ovakve kazne.

GDPR i nadzor zaposlenika

Kakvo je stajalište GDPR-a u pogledu nadzora zaposlenika? Videonadzor se može implementirati na ulaze i izlaze iz poslovnih prostorija. Međutim, ono što nikako nije dozvoljeno je implementacija videonadzora u radnim prostorijama radnika. Dakle, takav nadzor nad radnicima značio bi kršenje GDPR-a. Ipak, ovdje valja istaknuti da bi poslodavci mogli imati legitiman interes kao uporište za obradu podataka u slučaju da se radi o proizvodnim pogonima ili pogonima koji mogu predstavljati opasnost za život i zdravlje radnika. Dobar primjer za to su skladišta ili dijelovi skladišta koja rade na vrlo niskim temperaturama i moguće je da dođe do neželjenih posljedica za radnike. Kada je riječ o uredskim prostorijama, trebalo bi paziti na to da ne dođe do prekomjerne obrade podataka te je potrebno paziti na test ravnoteže koji se savjeruje provesti prilikom odlučivanja u ovom segmentu uvođenja vidoenadzora. 

Videonadzor u kontekstu GDPR-a

Zaključno, može se reći da GDPR svakako stavlja pred poslodavce izazov da se prilagode svim promjenama i zahtjevima vezanim za obradu osobnih podataka. Međutim, valja naglasiti da u značajnom broju slučajeva poslodavcima kao pravna osnova za obradu podataka može poslužiti legitimni interes. U tom slučaju, potrebno je provesti test ravnoteže kako bi se utvrdilo jesu li uistinu u konkretnom slučaju interesi poslodavca ispred interesa zaposlenika. Isto tako, u tom slučaju treba paziti da ne dođe do prekomjerne obrade podataka, odnosno da se ne prikupljaju podaci koji nisu važni za definiranu svrhu.

U Špici vodimo računa o tome da našim kupcima olakšamo usklađivanje procesa s odredama GDPR-a, posebno kada je riječ o kontroli pristupa i videonadzoru. Više o tome možete pročitati ovdje.

Za sva dodatna pitanja svakako nas kontaktirajte na slobodan.mihajlovic@spica.com