Svi smo svesni široke upotrebe video nadzora kada uđemo u banku, hotel, apoteku, javne površine poput parkova ili trgova i na svoje radno mesto. Trenutni broj nadzornih kamera u svetu, aproksimativno iznosi 770 miliona, dok će 2021. godinu obeležiti milijarda nadzornih kamera.
No, često nam nedostaje razumevanje suštine upotrebe video nadzora i važnost usklađenosti sa zakonskom regulativom, mere koje se mogu preduzeti da bi zaštitile privatnost, bezobzira da li se naši video snimci uopšte i kvalifikuju kao lični podaci. Ova tema polako postaje goruća zbog sve agresivnije upotrebe modernog softvera za prepoznavanje lica, posebno kada govorimo o naprednom socijalnom praćenju i kontroli.
Ukoliko razmišljate o instaliranju video nadzora u svojoj firmi, već koristite video nadzor, a pritom ne zante koje su vaše obaveze u ovom kontekstu, onda ste najverovatnije u prekršaju, budući da usaglašavanje sa Zakonom o zaštiti podataka o ličnosti iziskuje i profesionalnu podršku i podrazumeva set procedura i aktivnosti.
Zakonske smernice o video nadzoru
Evropski odbor za zaštitu podataka izdao je smernice za obradu ličnih podataka putem sistema video nadzora, te je doneo stav da prikupljanje podataka putem sistema tehničke zaštite ne može ostati u „zapećku“, imajući u vidu digatlne trendove i transformacije.
Osetljivost teme dodatno je potkrepljena stvarnom pretnjom osnovnih prava i sloboda pojedinaca i narušavanjem privatnosti:
„… pojačan je nadzor i u javnom sektoru (u svrhu sprovođenja zakona i javne bezbednosti …) i u privatnom sektoru. Ove prakse mogu duboko uticati na to kako pojedinci misle i deluju, kao i na druga lična prava (poput slobode izražavanja ili udruživanja). Bilo koji oblik nadzora predstavlja upad u osnovna prava na zaštitu ličnih podataka i pravo na privatnost. To mora biti predviđeno zakonom i mora biti neophodno i proporcionalno “.
Da li se snimci sa video nadzora tretiraju kao lični podaci?
Navikli smo na činjenicu da je ZZPL/GDPR namenjen zaštiti naših ličnih podataka, imena, adrese, e-pošte… Međutim, slike se takođe smatraju ličnim podacima i zaštićene su GDPR-om, koji je kod nas, uslovno rečeno, prenesen u formi Zakona o zaštiti ličnih podataka.
Kad god se snimak ili slika pojedinca “uhvati“ putem CCTV-a, koja se može koristiti za identifikaciju te osobe (direktno ili indirektno), smatra se ličnim podatkom, a u tim slučajevima zahtevi GDPR/ZZPL za obradu ličnih podataka moraju biti uspostavljeni.
Da li su snimci video nadzora biometrijski podaci?
Ne sami po sebi i ne uvek. Da bi se nešto kvalifikovalo kao biometrijski podatak, znači da obrada sirovih podataka, poput fizičkih, fizioloških ili karakteristika ponašanja fizičke osobe mora da podrazumeva merenje ovih karakteristika.
GDPR navodi da mora postojati specifična tehnička obrada te slike koja se odnosi na fizičke, fiziološke ili karakteristike ponašanja kako bi se mogla smatrati biometrijskim podatkom.
Dakle, biometrijski podatak je onaj podatak za koji je potrebna posebna tehnička obrada koja omogućava identifikaciju pojedinca.
Zašto je ovo bitno?
Biometrijski podaci se smatraju osetljivim ličnim podacima i obrada osetljivih podataka je ograničena.
Obrada biometrijskih podataka (i svih ličnih podataka koji otkrivaju rasno ili etničko poreklo, političko mišljenje, verska uverenja ili zdravstvene podatke) je zabranjena ukoliko subjekat podataka nije izričito dao saglasnost ili pak postoje posebne okolnosti koje dozvoljavaju obradu.
Postoji posebne okolnosti pod kojima vam je dozvoljeno da obrađujete posebnu kategoriju ličnih podataka.
Kada je video nadzor legalan shodno zakonu?
Da bi video nadzor bio legalan, mora imati zakonsko utemeljenje, što znači da se zasniva na jednoj od 6 zakonitih osnova za obradu ličnih podataka, a koje podrazumevaju sledeće
- saglasnost
- ugovor
- zakonska obaveza
- zaštita vitalnih interesa
- javni zadatak
- legitimni interesi
Ako kao rukovalac podataka želite da primenite sistem video nadzora u svojim prostorijama, saglasnost se ne preporučuje kao pozivanje na zakonsko utemeljenje. Saglasnost može služiti kao pravni osnov u samo u izuzetnim slučajevima. Mnogo je verovatnije opredeljenje za legitimni interes. Legitimne svrhe video nadzora često su zaštita imovine ili čuvanje dokaza.U tom slučaju, moraćete da dokažete da nadzor ne ugrožava slobodu i prava pojedinca. Legitimni interes mora biti stvaran i mora biti aktuelno pitanje.
Obaveze rukovaoca podataka
Ako ste rukovalac podataka, imajte na umu da ste prvenstveno odgovorni za to da li je obrada ličnih podataka u skladu sa ZZPL.
Velika je verovatnoća da ćete morati da izvršite procenu uticaja na zaštitu podataka DPIA pre nego što se izvrši instalacija i samo korišćenje video nadzora.
Da podsetimo: Procena uticaja na zaštitu podataka je postupak koji identifikuje i minimizira rizike povezane sa obradom ličnih podataka. Organizacije obično sprovode DPIA kada se uključe u novu aktivnost obrade podataka ili kada izmene postojeću aktivnost obrade (npr. Kada se primeni nova tehnologija).
Rukovalac je dužan da sprovodi organizacione, kadrovske i tehničke mere za zaštitu svih komponenti sistema video nadzora i podataka, tokom:
- skladištenja (podaci u mirovanju)
- prenosa (podaci u tranzitu)
- obrade (podaci u upotrebi)
Obaveštenje o video nadzoru
Vi kao rukovalac podataka takođe ćete morati da se pridržavate načela transparentnosti, a to znači da ste u obavezi da pružite informacije da je vaš objekat pod video nadzorom.
Na primer, ako pokrivate veliki objekat i površinu, poput hotelskog predvorja, u ovom konkretnom slučaju treba razmotriti obaveštenje na vratima predvorja sa odgovarajućim informacijama.
Obaveštenje bi trebalo da bude lako vidljivo, sa odgovarajućim simbolom kamere koji obaveštava sve ljude koji ulaze u prostoriju da je porostor pokriven sistemom video nadzora, ko vrši datu uslugu, informacije o rukovaocu i razlogu nadzora.
Ostale informacije mogu se staviti na raspolaganje nosiocu podataka na njegov zahtev.
Prava subjekata (nosioca) podataka
Subjekt podataka ima pravo da od rukovaoca dobije sve neophodne informacije, o tome da li se njegovi podaci obrađuju, pristup ličnim podacima i druge informacije koje se na tiču podataka koje se na to lice odnose:
✅ koja je svrha obrade njegovih podataka
✅ koje su kategorije obrađenih ličnih podataka (uključujući primaoce ili kategorije primalaca u trećim zemljama ili međunarodnim organizacijama)
✅ ko su primaoci kojima su lični podaci otkriveni ili će im biti otkriveni,
✅ zkoji je period čuvanja njegovih podataka
Kada se pružaju informacije nosiocu podataka odnosno licu na koje se podaci odnose, rukovalac treba da preduzme sve neophodne mere da zaštiti identitet drugih ljudi na snimku, ako ih ima (učineći njihov identitet anoniman – zamagljivanje “blur the face“).
Imajte na umu da se snimci čuvaju ograničeno vreme, što subjektu podataka ostavlja mogućnost da uvek pristupi svom snimku.
Organizacione i tehničke mere
Sa organizacione i tehničke tačke gledišta, postoje određene mere koje je neophodno treba preduzeti u cilju usaglašavanja.
Organizacione mere:
- utvrditi odgovornost za upravljanje i rad na sistemu video nadzora
- koja je svrha i obim nadzora
- koje su vaše obaveze u pogledu transparentnosti i informisanja
- period zadržavanja podataka za video zapise
- ko ima pristup video zapisima i u koje svrhe
- postupak u slučaju povrede podataka
- upravljanje incidentima i postupci oporavka …
Tehničke mere:
- obezbediti adekvatnu fizičku zaštitu svih komponenti sistema
- enkripcija (šfrovanje) podataka
- upotreba zaštitnih zidova, antivirusnih sistema ili sistema za otkrivanje upada protiv sajber napada
- mere kontrole pristupa…
Skladištenje snimaka video nadzora
Verovatno se pitate koliko dugo možete da čuvate snimke nasnimljene video nadzorom i kako ih treba čuvati?
Video snimci se ne smeju čuvati duže nego što je neophodno za svrhu koja se želi postići. U praksi se materijal za snimanje obično zadržava kratko vreme.
Uzmimo za primer sledeći slučaj
Ako u svom maloprodajnom objektu sprovodite video nadzor kako biste sprečili vandalizam i otuđenje imovine, dovoljan je redovan period skladištenja od 24 sata. Vikendi, neradni dani, ili praznici mogu biti razlozi za duži period skladištenja. Ako se utvrdi oštećenje, možda ćete morati i duže da čuvate video zapise kako biste preduzeli pravne radnje.
Uzimajući u obzir principe minimiziranja podataka i ograničenja skladištenja, lični podaci bi u većini slučajeva trebali biti automatski izbrisani, nakon nekoliko dana.
Ako je snimak potrebno čuvati duže, preporučuje se sprovođenje procene rizika kako bi se dokumentovali razlozi za duže zadržavanje podataka.
Kao rukovalac podataka, trebalo bi da definišete period čuvanja podataka za svaku pojedinačnu namenu. Period čuvanja treba definisati u skladu sa principima neophodnosti i proporcionalnosti, a rukovalac podataka treba da bude u stanju da dokaže zakosnu usklađenost.