Videonadzor v vašem podjetju

Pravila za vzpostavitev videonadzora v podjetju in na kaj moramo biti pozorni?

Videonadzor je postal cenovno dostopna in učinkovita varnostna rešitev v vašem podjetju. Vendar morate pri vzpostavitvi videonadzora v vašem podjetju upoštevati zakonske omejitve, ki jih nalagata Zakon o varstvu osebnih podatkov in Splošna uredba o varstvu podatkov (GDPR). V spodnjem članku bomo predstavili ključne  elemente na katere mora biti pri vzpostavitvi videonadzora pozorni ter predstavili ključno dokumentacijo, ki jo morate sprejeti, da bo izvajanje videonadzora v vašem podjetju zakonito.

Hiter razvoj tehnologij in njihova cenovna dostopnost je povečala potrebe posameznih podjetij da svoje prostore in premoženje zavarujejo z vzpostavitvijo videonadzornega sistema. Kratek pregled spletnih trgovin, ki ponujajo videonadzorne kamere nam razkrije, da lahko že za nekaj deset evrov kupimo kvalitetne videonadzorne kamere, ki zajemajo posnetke v FullHD ločljivosti. Kljub cenovni dostopnosti tehnologije pa ostaja vprašanje ali lahko videonadzor v podjetju namestimo prosto ali smo pri tem kakorkoli omejeni? Podjetjem se večkrat postavlja vprašanje katero dokumentacijo mora podjetje urediti pred vzpostavitvijo videonadzornih kamer, da je videonadzor vzpostavljen zakonito?

Ureditev videonadzora v zakonodaji

Določbe o videonadzoru najdemo v Zakonu o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20 v nadaljevanju ZVOP-1), ki od 74. do 77. člena določa ključna pravila za izvajanje videonadzora. Zelo pomembne so tudi določbe 24. in 25. člena ZVOP-1 o dolžnosti zavarovanja osebnih podatkov s strani upravljavca. Prav tako je potrebno pri izvajanju videonadzora upoštevati tudi določbe Splošne uredbe o varstvu podatkov ali bolj znane kot GDPR. Smiselno in v veliko pomoč pri zakoniti uvedbi videonadzora je upoštevanje priročnikov in smernic Informacijskega pooblaščenca in Evropskega odbora za varstvo podatkov.

Ugotovitev zakonitega namena

Videonadzor se lahko izvaja le na podlagi predhodno ugotovljenega zakonitega namena. Vodstvo, ki želi v podjetju vzpostaviti videonadzor mora zato pred samo uvedbo videonadzora resno premisliti kašen je resnični namen vzpostavitve videonadzora. ZVOP-1 določa, da se videonadzor lahko vzpostavi le za namene varovanja ljudi ali premoženja, zagotavljanja nadzora vstopa ali izstopa v ali iz službenih oziroma poslovnih prostorov, v primeru, ko zaradi narave dela obstaja možnost ogrožanja zaposlenih ali kadar je izvajanje videonadzora v delovnih prostorih nujno potrebno za varnost ljudi ali premoženja podjetja, tajnih podatkov ali poslovne skrivnosti podjetja. Za zadnji navedeni zakoniti namen lahko podjetje uvede videonadzor samo kadar je to nujno potrebno in enakega namena ni mogoče doseči z milejšimi sredstvi.

Priprava ocene učinkov v zvezi z varstvom podatkov (DPIA analiza)

Pred uvedbo videonadzora v podjetju je smiselno pripraviti DPIA analizo s pomočjo katere identificiramo, analiziramo in zmanjšujemo tveganja nezakonite obdelave osebnih podatkov ter s sprejetjem ukrepov ugotovljena tveganja ustrezno obvladujemo. Izvedba DPIA analize ni vedno obvezna, vendar pa je vedno smiselna in priporočljiva, saj predstavlja učinkovito orodje za ugotavljanje potencialnih tveganj nezakonite obdelave osebnih podatkov še pred dejansko vzpostavitvijo videonadzora.

Podrobno vsebino o DPIA analizi najdete v smernicah Informacijskega pooblaščenca dostopni na spletni strani https://www.ip-rs.si/?id=49 in mnenjih Informacijskega pooblaščenca kot npr. mnenje z opr. št. 07121-1/2021/1133.

Dokumentacija

Vzpostavitev videonadzora mora temeljiti na ustrezni pravni podlagi. V skladu z 25. členom ZVOP-1 mora upravljavec v svojih internih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki bodo pristojne in odgovorne za vpogled in obdelavo zbirke osebnih podatkov videonadzora. Interni akt je potrebno pripraviti v obliki pravilnika o izvajanju videonadzora v katerem podjetje določi interna pravila o izvajanju videonadzora. Ključno je, da se podjetje napisanih pravil drži, saj samo sprejetje pravilnika ob dejstvu, da se podjetje napisanih pravil ne drži, ne zagotavlja zakonitega izvajanja videonadzora. Samo sprejetje t.i. tipskih pravilnikov ne bo ustrezno.

Videonadzor se uvede s sprejetjem odločitve s strani poslovodstva podjetja v obliki sprejetja sklepa o uvedbi videonadzora. V sklepu mora podjetje natančno obrazložiti razloge za uvedbo videonadzora. Sprejeti sklep mora podjetje ustrezno objaviti na oglasno desko v podjetju ali na drugi običajen način obvestiti zaposlene, da se bo v podjetju začel izvajati videonadzor.

Pri izvajanju videonadzora in v primeru, da se bodo videoposnetki shranjevali za določeno časovno obdobje bo nastala zbirka osebnih podatkov. Podjetje mora zato v elektronski ali fizični obliki pripraviti evidenco dejavnosti obdelave osebnih podatkov v skladu s 30. členom GDPR oziroma pripraviti popis zbirke osebnih podatkov.

V primeru, da bo podjetje vzpostavitev in upravljanje videonadzora preneslo na zunanjega izvajalca (npr. zunanjo varnostno službo) mora pred začetkom izvajanja videonadzora s takim izvajalcem skleniti pogodbo o pogodbeni obdelavi osebnih podatkov v skladu z 28. členom GDPR.

Upravljavec mora poskrbeti, da pri izvajanju videonadzora zagotavlja tudi sledljivost obdelave osebnih podatkov v zbirki podatkov videonadzor. Upravljavec mora v fizični ali elektronski obliki zagotavljati revizijsko sled obdelave iz katere je mogoče naknadno ugotoviti kdo je v videoposnetke vpogledal, kdaj je bil vpogled izveden ter razlog vpogleda.

Objava opozorilnih tabel da se izvaja videonadzor

74.člen ZVOP-1 vsaki osebi javnega ali zasebnega prava nalaga obveznost objave obvestila, da se na lokaciji izvaja videonadzor. Obvestilo mora biti objavljeno na razločen način in na vidnem mestu, tako, da se vsi posamezniki lahko zlahka seznanijo z dejstvom, da se na določenem območju izvaja videonadzor. Obvestilo naj bo svetlih barv in mora vsebovati naslednje elemente:

  1. Opozorilo da se izvaja videonadzor
  2. Polni naziv podjetja, ki videonadzor izvaja
  3. telefonsko številko za pridobitev informacij o lokaciji in obdobju hrambe posnetkov iz video-nadzornega sistema.

Obdobje hrambe in obveznost ustreznega varovanja videoposnetkov

Podjetje mora v skladu z 25. členom ZVOP-1 zagotoviti ustrezno zavarovanje osebnih podatkov videonadzora s sprejetjem ustreznih organizacijskih, tehničnih in logično-tehničnih ukrepov, ki jih predstavljajo zavarovanje prostorov kjer se videonadzorni sistem nahaja, zavarovanje dostopa do videoposnetkov, tako, da do videoposnetkov dostopajo izključno pooblaščene osebe, zavarovanje aplikativne programske opreme, omejitev vpogleda v videoposnetke…

Za zakonito izvajanje videonadzora je pomembna tudi določitev obdobja hrambe videoposnetkov v zbirki. Podjetje mora določiti obdobje hrambe videoposnetkov, ki je najkrajše obdobje hrambe, da se nameni obdelave osebnih podatkov še lahko izpolnijo. Praviloma podjetja videoposnetke hranijo za obdobje do 6 mesecev saj v navedenem obdobju ugotovijo vse nastale varnostne dogodke, ki bi zaradi začetka ali razrešitve določenega varnostnega dogodka opravičujejo vpogled v videoposnetke. Po navedenem obdobju je potrebno hranjene videoposnetke izbrisati.

Povzetek

V primeru pojava potrebe po uvedbi videonadzora mora podjetje poleg izbire ustrezne naprave za izvajanje videonadzora pripraviti in sprejeti tudi ustrezno pravno podlago ter zagotoviti varnost obdelave videoposnetkov, ki jih z videonadzorom zajame. Podjetje naj ob odločitvi, da se v podjetju uvede videonadzor postopa na spodaj opredeljeni način:

  1. Ugotovitev zakonitega namena zakaj želimo v podjetju vzpostaviti videonadzor
  2. Priprava ocene učinkov v zvezi z varstvom podatkov (DPIA analize)
  3. Priprava pravilnika o izvajanju videonadzora
  4. Sprejetje sklepa o uvedbi videonadzora
  5. Priprava evidence dejavnosti obdelave, zagotavljanje revizijske sledi, priprava sheme postavitve kamer z označbo kamer in navedbo smeri snemanja
  6. Določitev upravičenega obdobja hrambe videoposnetkov
  7. Izvedba organizacijskih, tehničnih in logično-tehničnih postopkov za zavarovanje zbirke osebnih podatkov
  8. V primeru, da bo izvajalec videonadzora zunanja pooblaščena oseba, sklenitev pogodbe o pogodbeni obdelavi osebnih podatkov zunanjim izvajalcem
  9. Objava opozorilnih tabel, da se izvaja videonadzor.

Potrebujete pomoč pri uvedbi videonadzora v podjetju? Z veseljem vam pri tem z našimi znanji in izkušnjami pomagamo. Kontaktirajte nas in si rezervirajte brezplačen 15 minutni uvodni razgovor preko videokonference v katerem bomo razjasnili vsa morebitna vprašanja, ki se vam porajajo v zvezi s vzpostavitvijo videonadzora.

Lahko pa pišete tudi na elektronski naslov info@eudace.eu ali jaka@eudace.eu

Eudace d.o.o.

Jaka Uršič Mag. prava,

ISO 27001 Lead auditor

 

Več podatkov s področja informacijske varnosti je na voljo na spletni strani www.varnost-podatkov.si