Video nadzor je fantastičan način da povećate nivo bezbednosti poslovanja. Ne samo da Vam pruža mogućnost da “držite sve na oku“ i da vam daje opciju kontrole poslovanja, već je i sredstvo koje preventivno deluje na sve potencijalne rizike od sitnih krađa do zloupotreba najvišeg ranga.
Za male preduzetnike, provala, može imati znatne finansijske posledice, pa čak usloviti i gašenje poslovne funkcije. Mala i srednja preduzeća, ne samo da moraju biti oprezna kada je u pitanju tehnička zaštita poslovnog prostora, već moraju imati i definisane postupke i procedure kojima se tretiraju vanredne i incidentne situacije usmerene protiv bezbednosti Društva. To znači da upravljanje čitavim bezbednosnim procesom mora biti utemeljeno na važećoj pravnoj regulativi i zahtevima koji uređuju ovu oblast (Zakon o privatnom obezbeđenju i Zakon o zaštiti podataka o ličnosti/ GDPR).
GDPR (General Data Protection Regulation) Opšta uredba o zaštiti podataka o ličnosti, u našem zakonodavstvu uređena kao Zakon o zaštiti podataka o ličnosti, mora biti inkorporirana u sistem funkcionisanja institucija i svih poslovnih procesa u kompanijama. Nakon četvorogodišnjih pregovora, u maju 2018. godine GDPR je konačno naišao na međunarodno predstavljanje, čime se evropska regulativa o podacima usklađuje sa novim načinima korišćenja podataka, uključujući i pooštravanje kazni za sve one koji krše odredbe pomenutog dokumenta.
Novi zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja prevedenu i adaptiranu GDPR regulativu usvojen u novembru 2018. godine i u Republici Srbiji čime su načela GDPR-a uvedena i na domaći teren. Zakonodavac je predvideo odloženu primenu predmetnog zakona od devet meseci, što predstavlja dosta kraći rok od onoga koje su dobile države članice EU i njihova privreda. Niska svest o samom razlogu zaštite privatnosti i činjenica da se kod nas mnoge kompanije još nisu usaglasile ni sa starim pravnim okvirom iz ove oblasti (1995 godina), ukazuje na to da predstoje veliki izazovi kako za privredna društva, javne ustanove, državne organe i druge organizacije. Obzirom na već ustaljenu praksu nipodaštavanja ličnog podataka kao vrednosti i prilično nisku bezbednosnu kulturu u Srbiji, pravilo nove regulative već predstavlja „čudnu novost“ za veliki broj kompanija, ali i državnih institucija te usklađivanje njihovog poslovanja sa aspekta zaštite podataka počinje praktično ispočetka.
Postavlja se pitanje: Koliko se zna o primeni i uticaju GDPR-a u bezbednosnoj praksi, kako se prikupljaju i obrađuju podaci sa nadzornih kamera, sistema GPS i kontrole pristupa, kao i drugih tehničkih rešenja koji u cilju zaštite lica, imovine i poslovanja prikupljaju lične podatke?
Obaveze prema zaposlenima, kroz prizmu GDPR-a
Sistemi video nadzora instalirani su maltene svuda, od običnih uličnih kioska, preko malih preduzeća pa sve do velikih kompanija i javnih insitucija, bilo da je reč bezbednosti, monitoringu, zaštiti zdravlja na radu, ili pak u cilju ostvarivanja drugih bezbednosnih funkcija. O tome govori i podatak da je Velika Britanija pokrivena sa preko 7 miliona kamera, u čemu puno ne zaostaju ni druge evropske države.
Iako upotreba kamera u poslovnim prostorijama, po default-u, smanjuje rizik od provala i krađa, svakako je neophodno da zaposleni i vlasnici budu oprezni sa upotrebom CCTV sistema, jer isti ne sme da narušava privatnost zaposlenih, već da služi svrsi, odnosno poveća nivo bezbednosti, omogućavajući zaposlenima i posetiocima da budu bezbedni i ujedno konforni u pogledu sopstvene privatnosti. Upravo ovakav harmoničan odnos upotrebe tehničkih sredstava i zaštite podataka o ličnosti predstavlja najbolji primer dobre GDPR prakse.
Odredbama Zakona o privatnom obezbeđenju („Sl. glasnik RS“, br. 104/2013, 42/2015 i 87/2018) i Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018) / GDPR jasno su definisane obaveze kompanija da se sami kroz realizovanu Procenu rizika u zaštiti lica imovine i poslovanja definiše svrha i cilj obrade podataka o ličnosti tehničkim sistemima zaštite. Oba navedena zakona ukazuju da nije dozvoljna upotreba tehničkih sistema zaštite, ukoliko isti nisu predviđeni aktom procene rizika kao sredstva za tretman i minimizaciju detektovanih opasnosti po samo Društvo koje je predmet zaštite.
Takođe, u slučaju da CCTV i gore navedeni sistemi zaštite nisu izvedeni u skladu sa zakonom, oni ne mogu imati funkcionalnu primenu, što predstavlja dodatni rizik po samog korisnika jer na taj način putem vrši neovlašćeno snimanje, praćenje, profilisanje i prikupljanje podataka o ličnosti zaposlenih, posetilaca, trećih lica…
Striktno su porpisane i obaveze korisnika usluga obezbeđenja i drugih rukovalaca, da transparentno i nedvosmisleno obaveste kako zaposlene tako i svako drugo lice koje dolazi u kompaniju, da je objekat pod video nadzorom i o tome mora biti istaknuto grafičko obaveštenje na vidnom mestu pre ulaska u štićenu zonu. I ne samo to, za instaliranje sistema video nadzora mora postojati jasan plan obezbeđenja koji operativno razrađuje potrebe kompanije za zaštitom svojih vitalnih interesa, zbog kojih se prostor pokriva kamerama i drugim tehničkim sredstvima.
Svrha instalacija video nadozora u najvećem broju slučajeva je bezbednosne prirode – radi zaštite imovine, lica i poslovanja od potencijalnih pretnji, pri čemu video nadzor beleži tok dešavanja incidentnog događaja, arhivira snimak i daje mogućnost da se isti iskoristi u sudskim procesima. Upotreba sistema video nadzora mora biti prikladna i pravno utemeljena sa jasno opisanom svrhom, a njegovu instalaciju i pozicioniranje obavlja isključivo licencirano Društvo za privatno obezbeđenje shodno zaključcima procene rizika, čime se ne sme prekoračiti propisana mera dovoljna za minimizaciju identifikovanih opasnosti.
Obaveze prema javnosti
ZZPL / GDPR omogućava zaposlenim i trećim licima da od kompanije zatraže na uvid snimke sa sistema video nadzora na kojima se nalaze oni ili neki događaj u kome su oni lično bili akteri. S toga je kompanija u obavezi da na zahtev dostavi tražene snimke u primerenom roku, pri čemu se strogo mora voditi računa, da shodno politici privatnosti, identitet drugih lica na datom snimku bude zaštićen (zamagljen- skremblovan), čime bi druga lica potraživaču bila anonimna.
Čuvanje arhiviranog video materijala
Čuvanje video zapisa ne može biti beskonačano, već mora imati propisan rok koji obično glasi na 30 dana, kao što je i u domaćem zakonodavtsvu. Ukoliko se za određene potrebe snimci moraju čuvati duže, GDPR i ZZPL dozvoljavaju i tu mogućnost, s tim što je u tom slučaju obavezna izrada procene uticaja /DPIA da bi se dokumentovali razlozi produženog čuvanja u cilju ostvarivanja legitimnog interesa rukovaoca.
Nije retko da se u firmama video nadzor postavlja bez prethodne procene rizika i plana obezbeđenja što je zakonska obaveza po privatnom obezbeđenju i bez procene uticaja što je obaveza po ZZPL/GDPR. Vrlo često kada odete na sastanak u neku domaću ali i multinacionalnu kompaniju vidite da su određene kancelarije i prostorije pod sistemom video nadzora čija svrha treba da bude u osnovi zaštite lica, imovine i poslovanja. Nije retko da kompanije bez procene rizika samoinicijativno po sopstvenom nahođenju nekog menadžera ili vlasnika postavljaju CCTV sistem čime čine ozbiljan prestup i narušavaju privatnost zaposlenih. Treba naglasiti da pored rizika po privatnost takav video nadzor suštinski nije upotrebljiv jer bi arhivirani materijal lako bio osporen u svakom postupku. Na pitanje zašto se snimaju kancelarije ili neki javni prostor, zaposleni daju odgovor koji se često glasi: „tako je rekao direktor/vlasnik/ gazda“, čime faktički potvrđuju prekršaj sopstvene kompanije.
Za sve poslodavce koji koriste klaud (cloud) usluge snimanja i skladištenja, obavezno je da znaju tačnu lokaciju gde se snimci njihovog video nadzora obrađuju i skladište. Podaci se retko čuvaju tamo gde se nalazi klaud provajder, što znači da podaci mogu biti premeštani u različite data centre, što ukazuje na potrebu dodatne provere bezbednosti i usklađenosti jer su podaci o ličnosti izmešteni van matične zemlje.
Zaštita poslovanja
Kako bi poslovanje bilo u skladu sa ZZPL / GDPR regulativom, poslodavci treba da prikupljaju i čuvaju samo one podatke koji su relevantni za ostvarivanje svrhe obrade, kao i da saopšte kakvu vrstu obrade podataka vrše. Takođe, moraju se postarati da informacije ostaju u njihovom vlasništvu i da se ne dele trećim stranama. Imajući u vidu navedeno, za svakog poslodavca je od značaja da video nadzor bude instaliran kroz prethodno realizovanu procenu rizika od strane licenciranih upravo od strane licenciranih eksperata, odnosno kompanija koje se bave planiranjem i instalacijom tehničke zaštite nakon izrade prethodnog dokumenta.
Uputstva i preporuke od strane firmi za privatno obezbeđenje su dobrodošla i veoma korisna, ali ona ostaju samo na nivou instrukcije. Mora se imati u vidu da je kompanija, odnosno poslodavac subjekt koji mora obezbediti legalnost kompletnog procesa i sprovesti sve organizacione i tehničke mere zaštite podataka, a ne kako pojedini misle dobavljač CCTV sistema.
U dosadašnjoj praksi, pojedini rukovaoci, kao što su kompanije Google i Facebook, kažnjene rekordnim kaznama za kršenje GDPR-a, čime je dat jasan primer i „opomena“ svim ostalim. Manje kompanije nikako ne smeju da pomisle da su promakle odredbama ZZPL / GDPR, jer se zakon sakako odnosi i na njih i svaki prekršj adekvatno sankcioniše.
Usklađivanje poslovanja
Obaveze koje GDPR propisuje za poslodavce, često se mogu učiniti obeshrabrujućim i konfuznim. No, ukoliko vlasnici i članovi rukovodstva firme poznaju zakon, onda ne moraju da brinu. Postoji obuka koja omogućava bržu i lakšu integraciju i usklađivanje sa GDPR-om, koju je neophodno uvažiti i proći kako bi oblast zaštite podataka bila jasnija, a samim tim i odgovori na sledeća pitanja koja bi vrlo često trebala da se razmatraju u svrhu poboljšanja poslovanja:
- Da li moj sistem video nadzora krši privatnost mojih zaposlenih?
- Da li sam istakao upozorenje da se oni snimaju?
- Da li imam validan razlog za instaliranje video nadzora i snimanje zaposlenih?
- Koliko dugo čuvam snimke i zašto?
- Da li sam sproveo procenu rizika da opravdam i dokumentujem razloge za njihovo čuvanje?
- Gde se moji podaci skladište?
- Da li sam siguran da se ne dele sa trećim licima?
- Ako postoji kršenje, koji je moj plan?
Ova pitanja će poslužiti kao polazna osnova, ali dugoročno, najbolje je da svaki član rukovodećeg tima prođe obuku. U ovoj digitalnoj eri, postoje različiti faktori koje treba razmotriti pre instaliranja video nadzora, ali to je nešto bez čega preduzeća nesumnjivo ne mogu u smislu fizičke bezbednosti. Zaštita poslovanja od provale je ključna, ali je isto tako ključno poznavanje obaveza firme prema javnosti i njenim zaposlenima i to je nešto, što ćete, kao poslodavac, morati da naučite što pre.
Celokupan proces usklađivanja racionalno je posmatrati kroz jedan projekat, jer privatna bezbednost i zaštita podataka o ličnosti podrazumevaju u velikom broju slučajeva identične i sinhronizovane radnje kojima se mapiraju procesi, procenjuje rizik i daju konkretna rešenja. Imajući u vidu skup potrebnih aktivnosti, efikasno usaglašavanje može sprovesti security konsultant koji bi odgirao ulogu menadžera bezbednosti i službenika za zaštitu podataka o ličnosti- DPO
Striktno su porpisane i obaveze korisnika usluga obezbeđenja i drugih rukovalaca, da transparentno i nedvosmisleno obaveste kako zaposlene tako i svako drugo lice koje dolazi u kompaniju, da je objekat pod video nadzorom i o tome mora biti istaknuto grafičko obaveštenje na vidnom mestu pre ulaska u štićenu zonu. I ne samo to, za instaliranje sistema video nadzora mora postojati jasan plan obezbeđenja koji operativno razrađuje potrebe kompanije za zaštitom svojih vitalnih interesa, zbog kojih se prostor pokriva kamerama i drugim tehničkim sredstvima.
Svrha instalacija video nadozora u najvećem broju slučajeva je bezbednosne prirode – radi zaštite imovine, lica i poslovanja od potencijalnih pretnji, pri čemu video nadzor beleži tok dešavanja incidentnog događaja, arhivira snimak i daje mogućnost da se isti iskoristi u sudskim procesima. Upotreba sistema video nadzora mora biti prikladna i pravno utemeljena sa jasno opisanom svrhom, a njegovu instalaciju i pozicioniranje obavlja isključivo licencirano Društvo za privatno obezbeđenje shodno zaključcima procene rizika, čime se ne sme prekoračiti propisana mera dovoljna za minimizaciju identifikovanih opasnosti.
Obaveze prema javnosti
ZZPL / GDPR omogućava zaposlenim i trećim licima da od kompanije zatraže na uvid snimke sa sistema video nadzora na kojima se nalaze oni ili neki događaj u kome su oni lično bili akteri. S toga je kompanija u obavezi da na zahtev dostavi tražene snimke u primerenom roku, pri čemu se strogo mora voditi računa, da shodno politici privatnosti, identitet drugih lica na datom snimku bude zaštićen (zamagljen- skremblovan), čime bi druga lica potraživaču bila anonimna.
Čuvanje arhiviranog video materijala
Čuvanje video zapisa ne može biti beskonačano, već mora imati propisan rok koji obično glasi na 30 dana, kao što je i u domaćem zakonodavtsvu. Ukoliko se za određene potrebe snimci moraju čuvati duže, GDPR i ZZPL dozvoljavaju i tu mogućnost, s tim što je u tom slučaju obavezna izrada procene uticaja /DPIA da bi se dokumentovali razlozi produženog čuvanja u cilju ostvarivanja legitimnog interesa rukovaoca.
Nije retko da se u firmama video nadzor postavlja bez prethodne procene rizika i plana obezbeđenja što je zakonska obaveza po privatnom obezbeđenju i bez procene uticaja što je obaveza po ZZPL/GDPR. Vrlo često kada odete na sastanak u neku domaću ali i multinacionalnu kompaniju vidite da su određene kancelarije i prostorije pod sistemom video nadzora čija svrha treba da bude u osnovi zaštite lica, imovine i poslovanja. Nije retko da kompanije bez procene rizika samoinicijativno po sopstvenom nahođenju nekog menadžera ili vlasnika postavljaju CCTV sistem čime čine ozbiljan prestup i narušavaju privatnost zaposlenih. Treba naglasiti da pored rizika po privatnost takav video nadzor suštinski nije upotrebljiv jer bi arhivirani materijal lako bio osporen u svakom postupku. Na pitanje zašto se snimaju kancelarije ili neki javni prostor, zaposleni daju odgovor koji se često glasi: „tako je rekao direktor/vlasnik/ gazda“, čime faktički potvrđuju prekršaj sopstvene kompanije.
Za sve poslodavce koji koriste klaud (cloud) usluge snimanja i skladištenja, obavezno je da znaju tačnu lokaciju gde se snimci njihovog video nadzora obrađuju i skladište. Podaci se retko čuvaju tamo gde se nalazi klaud provajder, što znači da podaci mogu biti premeštani u različite data centre, što ukazuje na potrebu dodatne provere bezbednosti i usklađenosti jer su podaci o ličnosti izmešteni van matične zemlje.
Zaštita poslovanja
Kako bi poslovanje bilo u skladu sa ZZPL / GDPR regulativom, poslodavci treba da prikupljaju i čuvaju samo one podatke koji su relevantni za ostvarivanje svrhe obrade, kao i da saopšte kakvu vrstu obrade podataka vrše. Takođe, moraju se postarati da informacije ostaju u njihovom vlasništvu i da se ne dele trećim stranama. Imajući u vidu navedeno, za svakog poslodavca je od značaja da video nadzor bude instaliran kroz prethodno realizovanu procenu rizika od strane licenciranih upravo od strane licenciranih eksperata, odnosno kompanija koje se bave planiranjem i instalacijom tehničke zaštite nakon izrade prethodnog dokumenta.
Uputstva i preporuke od strane firmi za privatno obezbeđenje su dobrodošla i veoma korisna, ali ona ostaju samo na nivou instrukcije. Mora se imati u vidu da je kompanija, odnosno poslodavac subjekt koji mora obezbediti legalnost kompletnog procesa i sprovesti sve organizacione i tehničke mere zaštite podataka, a ne kako pojedini misle dobavljač CCTV sistema.
U dosadašnjoj praksi, pojedini rukovaoci, kao što su kompanije Google i Facebook, kažnjene rekordnim kaznama za kršenje GDPR-a, čime je dat jasan primer i „opomena“ svim ostalim. Manje kompanije nikako ne smeju da pomisle da su promakle odredbama ZZPL / GDPR, jer se zakon sakako odnosi i na njih i svaki prekršj adekvatno sankcioniše.
Usklađivanje poslovanja
Obaveze koje GDPR propisuje za poslodavce, često se mogu učiniti obeshrabrujućim i konfuznim. No, ukoliko vlasnici i članovi rukovodstva firme poznaju zakon, onda ne moraju da brinu. Postoji obuka koja omogućava bržu i lakšu integraciju i usklađivanje sa GDPR-om, koju je neophodno uvažiti i proći kako bi oblast zaštite podataka bila jasnija, a samim tim i odgovori na sledeća pitanja koja bi vrlo često trebala da se razmatraju u svrhu poboljšanja poslovanja:
- Da li moj sistem video nadzora krši privatnost mojih zaposlenih?
- Da li sam istakao upozorenje da se oni snimaju?
- Da li imam validan razlog za instaliranje video nadzora i snimanje zaposlenih?
- Koliko dugo čuvam snimke i zašto?
- Da li sam sproveo procenu rizika da opravdam i dokumentujem razloge za njihovo čuvanje?
- Gde se moji podaci skladište?
- Da li sam siguran da se ne dele sa trećim licima?
- Ako postoji kršenje, koji je moj plan?
Ova pitanja će poslužiti kao polazna osnova, ali dugoročno, najbolje je da svaki član rukovodećeg tima prođe obuku. U ovoj digitalnoj eri, postoje različiti faktori koje treba razmotriti pre instaliranja video nadzora, ali to je nešto bez čega preduzeća nesumnjivo ne mogu u smislu fizičke bezbednosti. Zaštita poslovanja od provale je ključna, ali je isto tako ključno poznavanje obaveza firme prema javnosti i njenim zaposlenima i to je nešto, što ćete, kao poslodavac, morati da naučite što pre.
Celokupan proces usklađivanja racionalno je posmatrati kroz jedan projekat, jer privatna bezbednost i zaštita podataka o ličnosti podrazumevaju u velikom broju slučajeva identične i sinhronizovane radnje kojima se mapiraju procesi, procenjuje rizik i daju konkretna rešenja. Imajući u vidu skup potrebnih aktivnosti, efikasno usaglašavanje može sprovesti security konsultant koji bi odgirao ulogu menadžera bezbednosti i službenika za zaštitu podataka o ličnosti- DPO