Utjecaj GDPR-a na sustave video nadzora
Published 15.05.2018Videonadzor je postao jedna od najčešće korištenih metoda za osiguravanje imovine i čuvanje sigurnosti zaposlenika. Danas je teško zamisliti banke, trgovine i javne institucije bez videonadzora i vjerojatno bi njegov izostanak zaista doveo do manje razine sigurnosti. Međutim, sve se manje pažnje pridaje činjenici da su kamere postavljene na velikom broju javnih prostora i njihovim prekomjernim postavljanjem negativno se utječe na privatnost osoba. Što o tome kaže GDPR?
GDPR ili Opća uredba o zaštiti podataka, novi je zakon o privatnosti i zaštiti podataka koji na snagu stupa 25. svibnja 2018. Sustavi videonadzora, iako nisu direktno specificirani u Uredbi, definicijom osobnih podataka posebno osjetljive prirode dobivaju oznaku sustava za koje su potrebne posebne mjere zaštite. Prema definiciji, osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda su podaci koji otkrivaju rasno ili etničko porijeklo, podaci o mentalnom zdravlju, zdravstvenom stanju, ekonomskom ili socijalnom statusu, a to je samo dio podataka koji se mogu prikupiti upotrebom videonadzora. Prema GDPR-u, videonadzor smatra se aktivnosti visokog rizika koja zahtijeva poseban oprez, osobito ako se provodi na javnim mjestima s puno prolaznika. Kao zakonsku osnovu za provođenje videonadzora uglavnom će se koristiti legitimni interes tvrtke (zaštita imovine, sprječavanje kriminala i sl.)
Videonadzor smije vidjeti samo ono za što je namijenjen
Kada smo već kod namjene, sustav videonadzora mora imati jasnu i dokumentiranu namjenu i o toj namjeni svi koji se nalaze u blizini moraju biti nedvosmisleno informirani:
- Da je prostor na kojem se nalaze po videonadzorom;
- Da se videonadzor upotrebljava za zaštitu imovine;
- Da se snimka čuva XY sati;
- Da je osoba zadužena za osobne podatke netko i dostupan je na adresi e-pošte…;
- Sve bi ove informacije trebale biti višejezične.
Jedna od bitnih značajki smjernica je vremenski period pohrane snimke. Preporuka EDPS-a je da se snimke ne čuvaju duže od sedam dana (168 sati) što je kod nas samo definirano za novčarske ustanove, za ostale korisnike nije. Također, preporuka je da se snimke presnime što ranije i da je u biti 48 sati dovoljno da bi se utvrdilo je li snimku potrebno izdvojiti zbog zakonski potrebnih i opravdanih razloga ili je jednostavno automatski presnimiti. Jedna od bitnih obveza korisnika koji namjeravaju instalirati sustav videonadzora je da bi trebali tražiti suglasnost nacionalne agencije za zaštitu osobnih podataka (AZOP-a) za sljedeće slučajeve:
- Povezivanje sustava videonadzora s biometrijskim podacima (npr. otisci prstiju za kontrolu pristupa), bazom fotografija sumnjivih pojedinaca (primjerice kradljivaca po dućanima), ili registracija vozila za automatsko prepoznavanje pločica na vozilima;
- Indeksiranje podataka u snimkama za automatsko traženje i prepoznavanje osoba na snimkama (primjerice za praćenje kretanja pojedinaca);
- Prepoznavanje lica ili bilo koji drugi način biometrijskog prepoznavanja;
- Bilo koji način dinamičko-preventivnog nadzora (primjerice upotreba aplikacija koje automatski prepoznaju ponašanje osobe i na osnovi njega stvaraju alarm temeljen na unaprijed definiranom sumnjivom ponašanju, pokretu, načinu odijevanja ili nekom drugom govoru tijela pojedinca);
- Mreže kamera instaliranih s aplikacijom za praćenje kretanja osoba kroz veliki prostor;
- Sustave povezane s aplikacijama povezanima za prepoznavanje promjene razine zvuka (primjerice netko počne vikati u prostoru);
- Infracrvene kamere s niskim stupnjem osjetljivosti, termalne kamere ili slične specijalne uređaje koji mogu „vidjeti“ u uvjetima slabog osvjetljenja, mogu vidjeti kroz zidove ili posebne skenere za pregled osoba;
- Specijalne kamere s naprednom optikom i mogućnosti digitalnog zumiranja.
Za sve navedene sustave bilo bi potrebno, prema smjernicama, konzultirati AZOP i svakako napraviti analizu utjecaja na privatnost te analizu mogu li se sustavi zamijeniti nekim drugim oblikom tehničke zaštite.
Bitna stvar koju je potrebno napraviti za postojeće i buduće sustave je politika videonadzora za predmetnu lokaciju s analizom lokacije svake kamere, razlogom njenog postavljanja, vidnim poljem, popisom korisnika s njihovim pravima, dnevnikom pristupa snimljenom sadržaju, odredbom o automatskom presnimavanju za određeni broj sati, adekvatnom zaštitom fizičkom pristupu snimačima i snimljenom sadržaju. Uz to, potrebno je paziti na rok od 72 sata za dojavu u slučaja gubitka, uništenja ili upada u sustav.
Do primjene GDPR-a ostalo je još malo vremena stoga je potrebno učiniti sve pripremne mjere za implementaciju nadolazeće uredbe. Za više informacija ESS tim Vam stoji na raspolaganju.