Videonadzor po GDPR

Videonadzor po GDPR
14. 04. 2021 objavil/a Administrator

Videonadzor je eno od področij varstva podatkov, ki sproža kar nekaj vprašanj, ker vključuje resna tveganja za zasebnost.

Članek je bil objavljen 24.3.2021 

OPOZORILO: Videonadzor je reguliran v slovenskem ZVOP-1, ki v tem delu še vedno velja. Tudi ZVOP-2 bo zagotovo imel podobne določbe.

Te smernice v celoti veljajo za tiste države, ki v nacionalnih predpisih videonadzora nimajo podrobno reguliranega. V Sloveniji bi skladno s sodno prakso lahko prišli v poštev le napotki o zakonitem interesu kot pravnem temelju, torej za vidonadzor na področjih, ki ga ZVOP-1 ne ureja.


Po ocenah nas letos po vsem svetu opazuje milijarda nadzornih kamer. Vsi se zavedamo široke uporabe videonadzora, ko vstopimo v banko, hotel, lekarno, na javne površine, kot so parki ali trgi, in na svoje delovno mesto. Vendar pogosto ne razumemo zakonitosti videonadzora, ukrepov, ki jih je mogoče sprejeti za zaščito naše zasebnosti, in ne glede na to, ali se celo naši video posnetki celo štejejo za osebne podatke po GDPR.

Ta tema prinaša več pomislekov glede sodobne programske opreme za prepoznavanje obrazov, ki se uporablja, zlasti če govorimo o naprednem družbenem spremljanju in nadzoru. Torej, če razmišljate o namestitvi videonadzora v svoji organizaciji, že izvajate videonadzor ali želite izvedeti več o svojih pravicah v zvezi s to temo, bodo te  informacije koristne za vas.

Smernice EU o videonadzoru 

Evropski odbor za varstvo podatkov (EDPB) je izdal smernice za obdelavo osebnih podatkov prek video naprav in se na nadzorne tehnologije skliceval kot na splošno, ki omejuje možnost, da ostanemo neopaženi. O tej temi je objavljenih veliko smernic, na primer neodvisnega organa EU za varstvo podatkov (EDPS), ki skuša ustvariti okvir za to tehnološko nenehno razvijajoče se območje v zadnjem desetletju in več.

Občutljivost teme še poudarja resnična grožnja za zaščito temeljnih pravic in svoboščin posameznikov ter vdor v zasebnost: »Kakršna koli oblika nadzora je poseg v temeljne pravice do varstva osebnih podatkov in pravice do zasebnosti. To mora predvideti zakon in mora biti nujen in sorazmeren. ", je dejal Giovanni Buttarelli (bivši predsednik EDPS). Smernice EDPS o video nadzoru

So posnetki videonadzora osebni podatki? 

Navadili smo se, da je GDPR nastavljen tako, da ščiti naše osebne podatke, naše ime, naslov in elektronsko pošto. Slike pa lahko štejemo tudi za osebne podatke. Kadarkoli je posnetek ali slika posameznika zajeta prek CCTV-ja, ki se lahko uporabi za identifikacijo te osebe (neposredno ali posredno), se šteje za osebne podatke. V teh primerih je treba uvesti zahteve GDPR za obdelavo osebnih podatkov.

Ali so posnetki videonadzora biometrični podatki?

Da bi z GDPR opredelili biometrične podatke bo obdelava surovih podatkov, kot so fizične, fiziološke ali vedenjske značilnosti fizične osebe, pomenila merjenje teh značilnosti. GDPR navaja, da mora biti ta slika posebej tehnično obdelana v povezavi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi, da se lahko šteje za biometrične podatke. Slika ali posnetek sama po sebi ne velja za biometrične podatke v skladu s členom 9, če nista posebej tehnično obdelana, da bi prispevala k identifikaciji posameznika.

Zakaj je to pomembno? 

Biometrični podatki veljajo za občutljive osebne podatke, obdelava občutljivih podatkov pa je omejena. Obdelava biometričnih podatkov (in vseh osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, verska prepričanja ali zdravstvene podatke), je prepovedana, razen če posameznik, na katerega se nanašajo osebni podatki, izrecno soglaša ali obstajajo posebne okoliščine, ki dovoljujejo obdelavo. Obstaja 10 posebnih okoliščin, v katerih lahko obdelujete posebno kategorijo osebnih podatkov. Obdelava občutljivih podatkov je v celoti pojasnjena v 9. členu GDPR.

Kdaj je videonadzor zakonit v skladu z GDPR? 

Da bi bil videonadzor zakonit, mora temeljiti na eni od 6 zakonitih podlag za obdelavo osebnih podatkov (privolitev, pogodba, zakonska obveznost, življenjski interes, javni interes ali zakoniti  interes). Če želite kot upravljavec podatkov v svojih prostorih uvesti sistem videonadzora, soglasje ni priporočljiva zakonita osnova. Soglasje je lahko le pravna podlaga v skladu s 7. členom le izjemoma. Če se odločite za zakoniti interes bo verjetno to bolj prava odločitev. V tem primeru boste morali dokazati, da nadzor ne prevlada nad svobodo in pravicami posameznika. Zakoniti interes mora dejansko obstajati in mora biti trenutna rešitev težave. Zakoniti namen videonadzora je pogosto zaščita lastnine ali hramba dokazov.

Obveznosti upravljavcev podatkov 

Če ste upravljavec podatkov, upoštevajte, da ste odgovorni predvsem za to, da je kakršna koli obdelava osebnih podatkov skladna z GDPR. Obstaja verjetnost, da boste morali pred začetkom videonadzora opraviti oceno učinka na varstvo podatkov ali DPIA.

Ocena učinka na zaščito podatkov je postopek, ki ugotavlja in zmanjšuje tveganja, povezana z obdelavo osebnih podatkov. Organizacije običajno izvedejo DPIA, ko se vključijo v novo dejavnost obdelave podatkov ali kadar spremenijo obstoječo dejavnost obdelave (npr. Ko je uvedena nova tehnologija). V primeru videonadzora jo bo treba izvesti, če nadzor predstavlja visoko tveganje, če je DPIA naložena za dejavnost obdelave podatkov, opisane v členu 35 (3) GDPR, ali če je območje pod nadzorom javno območje.

Upravljavec je dolžan izvajati organizacijske in tehnične ukrepe za zaščito vseh komponent videonadzornega sistema in podatkov med shranjevanjem (podatki v mirovanju), prenosom (podatki v tranzitu) in obdelavi (podatki v uporabi).

Obvestilo o videonadzoru 

Kot upravljavec podatkov boste morali upoštevati tudi načelo preglednosti in zagotoviti informacije o nadzoru. Če na primer pokrivate velik javni prostor, kot je hotelska avla, je treba namestiti obvestilo na vratih avle z ustreznimi informacijami.

Obvestilo mora biti vidno, z ustreznim simbolom kamere da vse, ki vstopajo v prostore, obvestijo o videonadzoru. Navedite tudi kontaktne podatke o upravljavcu podatkov in razlogu za nadzor. Posamezniku, na katerega se nanašajo osebni podatki, so na zahtevo na voljo tudi druge informacije, saj bo znak verjetno premajhen, da bi lahko obravnaval vse informacije iz 13. in 14. člena.

Pravice posameznikov, na katere se nanašajo osebni podatki 

Posameznik, na katerega se nanašajo osebni podatki, bo imel pravico od upravljavca podatkov pridobiti informacije o tem, ali se njegovi podatki obdelujejo, dostop do osebnih podatkov in informacije, opisane v 15. členu GDPR.

Ko posreduje te podatke posamezniku, na katerega se nanašajo osebni podatki, bi moral upravljavec sprejeti vse potrebne ukrepe za zaščito identitete drugih ljudi na posnetku, če obstajajo (zameglitev njihove identitete). Ker se posnetki shranjujejo omejen čas, bo to vplivalo na zmožnost posameznika, na katerega se nanašajo osebni podatki, da dostopa do svojih posnetkov.

Organizacijski in tehnični ukrepi za videonadzor

Z organizacijskega in tehničnega vidika je treba sprejeti nekatere ukrepe, ki so razloženi v smernicah EDPB.

Organizacijski ukrepi:

-        Ugotovite, kdo je odgovoren za upravljanje in delovanje videonadzornega sistema.

-        Kakšen je namen in obseg nadzora.

-        Kakšne so vaše obveznosti glede preglednosti in obveščanja.

-        Obdobje hrambe video posnetkov.

-        Kdo ima dostop do video posnetkov in za kakšne namene.

-        Postopek kršitve podatkov.

-        Postopki obvladovanja incidentov in izterjave ...

Tehnični ukrepi:

-        Zagotavljanje fizične varnosti vseh sistemskih komponent.

-        Šifriranje podatkov.

-        Uporaba požarnih zidov, protivirusnih sistemov ali sistemov za odkrivanje vdorov proti kibernetskim napadom.

-        Nadzor dostopa…

Shranjevanje video nadzornih posnetkov 

Morda se sprašujete, kako dolgo naj ostanejo posnetki videonadzora in kako jih shranite? Video posnetkov ne smete hraniti dlje, kot je nujno potrebno za namen, ki ga želite doseči. Posnetki se običajno hranijo kratek čas. V nekaterih državah članicah lahko obstajajo dodatne določbe, ki urejajo obdobja shranjevanja.

Primer, ki je naveden v smernicah EDPB: Če v svoji trgovini izvajate videonadzor, da preprečite vandalizem, zadostuje redno shranjevanje 24 ur. Če imate zaprto čez vikend ali med prazniki je to lahko razlog za daljše obdobje shranjevanja. Če boste na primer odkrili materialno škodo, boste morda morali video posnetke shraniti dlje časa, da boste lahko sprožili pravne postopke. Ob upoštevanju načel zmanjševanja in omejevanja hrambe podatkov bi bilo treba osebne podatke v večini primerov samodejno izbrisati po nekaj dneh.

Če je treba posnetke hraniti dlje, je priporočljivo opraviti oceno tveganja, da bi dokumentirali razloge za daljše hrambo podatkov. Kot upravljavec podatkov bi morali določiti obdobje shranjevanja podatkov za vsak posamezen namen. Obdobje hrambe mora biti določeno v skladu z načeli nujnosti in sorazmernosti, upravljavec podatkov pa mora biti sposoben dokazati skladnost z GDPR.

Vir: Data Privacy Manager

Slika: RawPixel