Videonadzor je postal cenovno dostopna in učinkovita varnostna rešitev v vašem podjetju. Vendar morate pri vzpostavitvi videonadzora v vašem podjetju upoštevati zakonske omejitve, ki jih nalagata Zakon o varstvu osebnih podatkov in Splošna uredba o varstvu podatkov (GDPR). V spodnjem članku bomo predstavili ključne elemente na katere mora biti pri vzpostavitvi videonadzora pozorni ter predstavili ključno dokumentacijo, ki jo morate sprejeti, da bo izvajanje videonadzora v vašem podjetju zakonito.
Hiter razvoj tehnologij in njihova cenovna dostopnost je povečala potrebe posameznih podjetij da svoje prostore in premoženje zavarujejo z vzpostavitvijo videonadzornega sistema. Kratek pregled spletnih trgovin, ki ponujajo videonadzorne kamere nam razkrije, da lahko že za nekaj deset evrov kupimo kvalitetne videonadzorne kamere, ki zajemajo posnetke v FullHD ločljivosti. Kljub cenovni dostopnosti tehnologije pa ostaja vprašanje ali lahko videonadzor v podjetju namestimo prosto ali smo pri tem kakorkoli omejeni? Podjetjem se večkrat postavlja vprašanje katero dokumentacijo mora podjetje urediti pred vzpostavitvijo videonadzornih kamer, da je videonadzor vzpostavljen zakonito?
Določbe o videonadzoru najdemo v Zakonu o varstvu osebnih podatkov (ZVOP-2) (Uradni list RS, št. 163/22), ki od 76. do 80. člena določa ključna pravila za izvajanje videonadzora. Pomembna je tudi dolžnost zavarovanja osebnih podatkov s strani upravljavca ali obdelovalca. Prav tako je potrebno pri izvajanju videonadzora upoštevati tudi določbe Splošne uredbe o varstvu podatkov ali bolj znane kot uredba GDPR. Smiselno in v veliko pomoč pri zakoniti uvedbi videonadzora je upoštevanje priročnikov in smernic Informacijskega pooblaščenca in Evropskega odbora za varstvo podatkov.
Videonadzor se lahko izvaja le na podlagi predhodno ugotovljenega zakonitega namena. Vodstvo, ki želi v podjetju vzpostaviti videonadzor, mora zato pred samo uvedbo videonadzora resno premisliti kakšen je resnični namen vzpostavitve videonadzora. ZVOP-2 v 77. in 78. členu določa, da se videonadzor lahko vzpostavi le:
Videonadzor podjetje uvede samo kadar je to nujno potrebno in enakega namena ni mogoče doseči z milejšimi sredstvi.
Pred uvedbo videonadzora v podjetju na novo je smiselno pripraviti DPIA analizo s pomočjo katere identificiramo, analiziramo in zmanjšujemo tveganja nezakonite obdelave osebnih podatkov ter s sprejetjem ukrepov ugotovljena tveganja ustrezno obvladujemo. Izvedba DPIA analize ni vedno obvezna, vendar pa je vedno smiselna in priporočljiva, saj predstavlja učinkovito orodje za ugotavljanje potencialnih tveganj nezakonite obdelave osebnih podatkov še pred dejansko vzpostavitvijo videonadzora.
Podrobno vsebino o DPIA analizi najdete v smernicah Informacijskega pooblaščenca in mnenjih Informacijskega pooblaščenca kot npr. mnenje z opr. št. 07121-1/2021/1133.
Vzpostavitev videonadzora mora temeljiti na ustrezni pravni podlagi.
Upravljavec mora v svojih internih aktih:
Interni akt je potrebno pripraviti v obliki pravilnika o izvajanju videonadzora, v katerem podjetje določi interna pravila o izvajanju videonadzora. Ključno je, da se podjetje napisanih pravil drži, saj samo sprejetje pravilnika ob dejstvu, da se podjetje napisanih pravil ne drži, ne zagotavlja zakonitega izvajanja videonadzora. Samo sprejetje t.i. tipskih pravilnikov ne bo ustrezno.
Videonadzor se uvede s sprejetjem odločitve s strani poslovodstva podjetja v obliki sprejetja sklepa o uvedbi videonadzora. V sklepu mora podjetje natančno obrazložiti razloge za uvedbo videonadzora. Sprejeti sklep mora podjetje ustrezno objaviti na oglasno desko v podjetju ali na drugi običajen način obvestiti zaposlene, da se bo v podjetju začel izvajati videonadzor.
Pri izvajanju videonadzora in v primeru, da se bodo videoposnetki shranjevali za določeno časovno obdobje bo nastala zbirka osebnih podatkov. Podjetje mora zato v elektronski ali fizični obliki pripraviti evidenco dejavnosti obdelave osebnih podatkov v skladu s 30. členom GDPR oziroma pripraviti popis zbirke osebnih podatkov.
V primeru, da bo podjetje vzpostavitev in upravljanje videonadzora preneslo na zunanjega izvajalca (npr. zunanjo varnostno službo) mora pred začetkom izvajanja videonadzora s takim izvajalcem skleniti pogodbo o pogodbeni obdelavi osebnih podatkov v skladu z 28. členom GDPR.
Upravljavec mora poskrbeti, da pri izvajanju videonadzora zagotavlja tudi sledljivost obdelave osebnih podatkov v zbirki podatkov videonadzor. Upravljavec mora v fizični ali elektronski obliki zagotavljati revizijsko sled obdelave iz katere je mogoče naknadno ugotoviti kdo je v videoposnetke vpogledal, kdaj je bil vpogled izveden ter razlog vpogleda.
76. člen ZVOP-2 vsaki osebi javnega ali zasebnega prava nalaga obveznost objave obvestila, da se na lokaciji izvaja videonadzor. Obvestilo mora biti objavljeno na razločen način in na vidnem mestu, tako, da se vsi posamezniki lahko zlahka seznanijo z dejstvom, da se na določenem območju izvaja videonadzor.
Obvestilo naj bo svetlih barv in mora vsebovati naslednje elemente:
Vseh zgoraj navedenih podatkov pa ni potrebno vključiti v obvestilo, ampak lahko upravljavec videonadzornega sistema podatke iz zgornjih točk 1, 4, 5 in 6 v obliki izjave o izvajanju video nadzora objavi na spletno stran in na obvestilo o izvajanju videonadzora objavi le link ali QR kodo, ki posameznika vodi do objavljene izjave o izvajanju videonadzora.
UPRAVLJAVEC VIDEONADZORNEGA SISTEMA:
________________________
KONTAKT ZA UVELJAVLJANJE PRAVIC POSAMEZNIKA:
Elektronski naslov: ______________________
Telefonska številka: ______________________
NAMEN IZVAJANJA VIDEONADZORA: ____________________________.
DODATNE INFORMACIJE: Vse dodatne informacije v zvezi z izvajanjem videonadzora in uveljavljanjem pravic posameznika najdete na spletni strani: www.primerspletnestrani.si/izvajanjevideonadzora ali skenirajte QR kodo.
Podjetje mora zagotoviti ustrezno zavarovanje osebnih podatkov z zagotovitvijo naslednjih postopkov:
Upravljavec ali obdelovalec ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka ali zahtev posameznika, ne glede na roke hrambe, dokler o zadevi ni pravnomočno odločeno. Po pravnomočni odločitvi se mora upravljavec ali obdelovalec ravnati v skladu s to odločitvijo.
Za zakonito izvajanje videonadzora je pomembna tudi določitev obdobja hrambe videoposnetkov v zbirki. Podjetje mora določiti obdobje hrambe videoposnetkov, ki je najkrajše obdobje hrambe, da se nameni obdelave osebnih podatkov še lahko izpolnijo. Praviloma podjetja videoposnetke hranijo za obdobje do 6 mesecev, saj v navedenem obdobju ugotovijo vsi nastali varnostni dogodki, ki bi zaradi začetka ali razrešitve določenega varnostnega dogodka opravičujejo vpogled v videoposnetke. Po navedenem obdobju je potrebno hranjene videoposnetke izbrisati. V skladu z veljavnim ZVOP-2 se lahko videoposnetki shranjujejo največ eno leto od trenutka nastanka posnetka.
V primeru pojava potrebe po uvedbi videonadzora mora podjetje poleg izbire ustrezne naprave za izvajanje videonadzora določiti zakaj bi videonadzor sploh želelo izvajati (namen izvajanja videonadzora), določiti in sprejeti ustrezno pravno podlago ter zagotoviti varnost obdelave videoposnetkov, ki jih z videonadzorom zajame. Podjetje naj ob odločitvi, da se v podjetju uvede videonadzor postopa na spodaj opredeljeni način:
Kontaktirajte nas in si rezervirajte 10 minutni uvodni razgovor preko videokonference (Skype, Zoom, MS Teams).
Povezane teme: Varstvo osebnih podatkov
»Zavezani k iskanju rešitev«