25. listopad 2019.

GDPR i videonadzor: Istine i zablude - 1. dio

 foto Getty Images/istockphoto

PIŠE: Natalija Parlov Una

Kod pojma 'osobni podatak' najčešće se smatra da je to podatak o imenu i prezimenu, adresi, datumu rođenja ili OIB-u. No, sama definicija osobnog podatka navedena u Općoj uredbi o zaštiti podataka – GDPR jest 'svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi'.

Prije nastavka čitanja, važno je imati na umu da se GDPR ne odnosi na obradu osobnih podataka koju provode fizičke osobe tijekom isključivo osobnih ili kućnih aktivnosti.

Videonadzor je jedan od učestalih načina prikupljanja, obrade i arhiviranja osobnih podataka. Definiranjem nadzornog rješenja, odabirom nadzorne opreme i definiranjem svrhe instaliranja videonadzora koju je moguće zakonski opravdati, kao voditelj obrade dužni ste držati se i svih zahtjeva propisanih GDPR-om te pojedincu osigurati sva prava koja mu po toj osnovi pripadaju. Nije sporno da je svrha zaštite sigurnosti ljudi i imovine opravdana, ali istovremeno u toj zaštiti ne smije biti narušena privatnost samog pojedinca.

Europski odbor za zaštitu podataka (European Data Protection Bord - EDPB) u svojim Smjernicama o obradi osobnih podataka putem videouređaja objavljenim u srpnju ove godine jasno ističe da videonadzor nije nužno neophodan ukoliko se zaštita ljudi i imovine može osigurati na neki drugi način. Svrha donošenja spomenutih Smjernica je pojasniti na koji način primijeniti GDPR u odnosu na samu obradu osobnih podataka putem videouređaja. Uzevši u obzir upite građana i pojedinaca o opravdanosti svrhe videonadzora, EDPB je izdvojio neke od primjera od kojih će vam se pojedini navodi naizgled činiti nelogičnima ili teško izvedivima, no uzmite u obzir da se radi o službenim smjernicama te da će se i nadzorna tijela na njih referirati u izdavanju svojih mišljenja. 

Ovdje su prenešeni EDPB-ovi pojedini primjeri za česte situacije vezane uz regulaciju videonadzora i snimaka općenito:

  • GDPR se ne primjenjuje na fiktivno postavljene kamere (uređaji koji nisu u funkciji) iako u nekim državama članicama EU to može biti predmetom druge regulative 
  • u slučaju snimanja putem drona ili s visine, GDPR je primjenjiv samo ukoliko se na snimkama može identificirati pojedinac 
  • kamere u automobilima čija je svrha pomoć pri parkiranju nisu predmetom GDPR-a ukoliko ne pohranjuju snimke s registracijama vozila ili prolaznicima
  • kamere za snimanje vožnje ne smiju snimati neprekidno i ne smiju snimati osobe uz cestu
  • pravni temelji obrade putem videonadzora su legitimni interes i eventualno javni interes, dok je privola moguća samo u iznimnim slučajevima (npr. za praćenje napretka pojedinog sportaša u treningu) 
  • legitimni interes mora biti jasno obrazložen 
  • ulazak u prostor snimanja NE predstavlja uvijek i valjanu privolu za snimanje
  • snimke osoba koje nose naočale ili su u invalidskim kolicima ne spadaju u kategoriju posebno osjetljivih podataka
  • videonadzor koji uključuje biometrijske funkcionalnosti (prepoznavanje lica i sl.), instaliran od strane privatnih tvrtki za njihove vlastite svrhe (npr. marketing, statistika ili čak sigurnost) će, u najvećem broju slučajeva, zahtijevati eksplicitnu privolu svih pojedinaca čiji se podaci obrađuju iako je za rijetke slučajeve moguća i iznimka vezana uz Čl. 9. Uredbe 
  • obavijest o ulasku u prostor ili područje snimanja mora sadržavati sve informacije propisane GDPR-om
  • rok čuvanja videosnimki mora biti striktno definiran

Kraj prvog dijela.

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti (ISO 27001), sustava upravljanja kvalitetom (ISO 9001) te sustava upravljanja za suzbijanje podmićivanja (ISO 37001) najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn