Videonadzor v vašem podjetju

Pravila za vzpostavitev videonadzora v podjetju in na kaj moramo biti pozorni?

Videonadzor je postal cenovno dostopna in učinkovita varnostna rešitev v vašem podjetju. Vendar morate pri vzpostavitvi videonadzora v vašem podjetju upoštevati zakonske omejitve, ki jih nalagata Zakon o varstvu osebnih podatkov in Splošna uredba o varstvu podatkov (GDPR). V spodnjem članku bomo predstavili ključne elemente na katere mora biti pri vzpostavitvi videonadzora pozorni ter predstavili ključno dokumentacijo, ki jo morate sprejeti, da bo izvajanje videonadzora v vašem podjetju zakonito.

Hiter razvoj tehnologij in njihova cenovna dostopnost je povečala potrebe posameznih podjetij da svoje prostore in premoženje zavarujejo z vzpostavitvijo videonadzornega sistema. Kratek pregled spletnih trgovin, ki ponujajo videonadzorne kamere nam razkrije, da lahko že za nekaj deset evrov kupimo kvalitetne videonadzorne kamere, ki zajemajo posnetke v FullHD ločljivosti. Kljub cenovni dostopnosti tehnologije pa ostaja vprašanje ali lahko videonadzor v podjetju namestimo prosto ali smo pri tem kakorkoli omejeni? Podjetjem se večkrat postavlja vprašanje katero dokumentacijo mora podjetje urediti pred vzpostavitvijo videonadzornih kamer, da je videonadzor vzpostavljen zakonito?

Ureditev videonadzora v zakonodaji

Določbe o videonadzoru najdemo v Zakonu o varstvu osebnih podatkov (ZVOP-2) (Uradni list RS, št. 163/22), ki od 76. do 80. člena določa ključna pravila za izvajanje videonadzora. Pomembna je tudi dolžnost zavarovanja osebnih podatkov s strani upravljavca ali obdelovalca. Prav tako je potrebno pri izvajanju videonadzora upoštevati tudi določbe Splošne uredbe o varstvu podatkov ali bolj znane kot GDPR. Smiselno in v veliko pomoč pri zakoniti uvedbi videonadzora je upoštevanje priročnikov in smernic Informacijskega pooblaščenca in Evropskega odbora za varstvo podatkov.

Ugotovitev zakonitega namena

Videonadzor se lahko izvaja le na podlagi predhodno ugotovljenega zakonitega namena. Vodstvo, ki želi v podjetju vzpostaviti videonadzor mora zato pred samo uvedbo videonadzora resno premisliti kašen je resnični namen vzpostavitve videonadzora. ZVOP-2 v 77. in 78. členu določa, da se videonadzor lahko vzpostavi le za namene varovanja ljudi ali premoženja, zagotavljanja nadzora vstopa ali izstopa v ali iz službenih oziroma poslovnih prostorov, v primeru, ko zaradi narave dela obstaja možnost ogrožanja zaposlenih ali kadar je izvajanje videonadzora v delovnih prostorih nujno potrebno za varnost ljudi ali premoženja podjetja, tajnih podatkov ali poslovne skrivnosti podjetja. Videonadzor podjetje uvede samo kadar je to nujno potrebno in enakega namena ni mogoče doseči z milejšimi sredstvi.

Priprava ocene učinkov v zvezi z varstvom podatkov (DPIA analiza)

Pred uvedbo videonadzora v podjetju na novo je smiselno pripraviti DPIA analizo s pomočjo katere identificiramo, analiziramo in zmanjšujemo tveganja nezakonite obdelave osebnih podatkov ter s sprejetjem ukrepov ugotovljena tveganja ustrezno obvladujemo. Izvedba DPIA analize ni vedno obvezna, vendar pa je vedno smiselna in priporočljiva, saj predstavlja učinkovito orodje za ugotavljanje potencialnih tveganj nezakonite obdelave osebnih podatkov še pred dejansko vzpostavitvijo videonadzora.

Podrobno vsebino o DPIA analizi najdete v smernicah Informacijskega pooblaščenca dostopni na spletni strani https://www.ip-rs.si/?id=49 in mnenjih Informacijskega pooblaščenca kot npr. mnenje z opr. št. 07121-1/2021/1133.

Dokumentacija

Vzpostavitev videonadzora mora temeljiti na ustrezni pravni podlagi. Upravljavec mora v svojih internih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki bodo pristojne in odgovorne za vpogled in obdelavo zbirke osebnih podatkov videonadzora. Interni akt je potrebno pripraviti v obliki pravilnika o izvajanju videonadzora v katerem podjetje določi interna pravila o izvajanju videonadzora. Ključno je, da se podjetje napisanih pravil drži, saj samo sprejetje pravilnika ob dejstvu, da se podjetje napisanih pravil ne drži, ne zagotavlja zakonitega izvajanja videonadzora. Samo sprejetje t.i. tipskih pravilnikov ne bo ustrezno.

Videonadzor se uvede s sprejetjem odločitve s strani poslovodstva podjetja v obliki sprejetja sklepa o uvedbi videonadzora. V sklepu mora podjetje natančno obrazložiti razloge za uvedbo videonadzora. Sprejeti sklep mora podjetje ustrezno objaviti na oglasno desko v podjetju ali na drugi običajen način obvestiti zaposlene, da se bo v podjetju začel izvajati videonadzor.

Pri izvajanju videonadzora in v primeru, da se bodo videoposnetki shranjevali za določeno časovno obdobje bo nastala zbirka osebnih podatkov. Podjetje mora zato v elektronski ali fizični obliki pripraviti evidenco dejavnosti obdelave osebnih podatkov v skladu s 30. členom GDPR oziroma pripraviti popis zbirke osebnih podatkov.

V primeru, da bo podjetje vzpostavitev in upravljanje videonadzora preneslo na zunanjega izvajalca (npr. zunanjo varnostno službo) mora pred začetkom izvajanja videonadzora s takim izvajalcem skleniti pogodbo o pogodbeni obdelavi osebnih podatkov v skladu z 28. členom GDPR.

Upravljavec mora poskrbeti, da pri izvajanju videonadzora zagotavlja tudi sledljivost obdelave osebnih podatkov v zbirki podatkov videonadzor. Upravljavec mora v fizični ali elektronski obliki zagotavljati revizijsko sled obdelave iz katere je mogoče naknadno ugotoviti kdo je v videoposnetke vpogledal, kdaj je bil vpogled izveden ter razlog vpogleda.

Objava opozorilnih tabel (obvestila) da se izvaja videonadzor

76. člen ZVOP-2 vsaki osebi javnega ali zasebnega prava nalaga obveznost objave obvestila, da se na lokaciji izvaja videonadzor. Obvestilo mora biti objavljeno na razločen način in na vidnem mestu, tako, da se vsi posamezniki lahko zlahka seznanijo z dejstvom, da se na določenem območju izvaja videonadzor. Obvestilo naj bo svetlih barv in mora vsebovati naslednje elemente:

  1. Podatke iz prvega odstavka 13. člena GDPR, ki jih obsegajo:
          a.  identiteto in kontaktne podatke upravljavca in njegovega
               predstavnika;
          b.  kontaktne podatke pooblaščene osebe za varstvo podatkov,
               kadar ta obstaja;
          c.  namene, za katere se osebni podatki obdelujejo, kakor tudi
               pravno podlago za njihovo obdelavo;
          d.  kadar obdelava temelji na zakoniti podlagi zakonitega
               interesa, opredelitev zakonitega interesa za uveljavljanje
               katerega si prizadeva upravljavec ali tretja oseba;
          e.  uporabnike ali kategorije uporabnikov osebnih podatkov, če
               obstajajo;
          f.  podatki o prenosu podatkov v tretjo državo ali mednarodno
               organizacijo.
  2. Pisno ali grafično obvestilo o videonadzoru.
  3. Namen obdelave, upravljavec videonadzornega sistema, kontaktni podatki za uveljavljanje pravic posameznika. 
  4. Informacije o posebnih vplivih obdelave, vključno z nadaljnjo obdelavo.
  5. Kontaktni podatki pooblaščene osebe.
  6. Nadaljnje obdelave, ki niso običajne, kot so prenosi v tretje države, spremljanje v živo, zvočna intervencija pri spremljanju v živo.

Vseh zgoraj navedenih podatkov pa ni potrebno vključiti v obvestilo ampak lahko upravljavec videonadzornega sistema podatke iz zgornjih točk 1, 4, 5 in 6 v obliki izjave o izvajanju video nadzora objavi na spletno stran in na obvestilo o izvajanju videonadzora objavi le link ali QR kodo, ki posameznika vodi do objavljene izjave o izvajanju videonadzora.

Informativni primer opozorilne table:

 

UPRAVLJAVEC VIDEONADZORNEGA SISTEMA:  

________________________ 

KONTAKT ZA UVELJAVLJANJE PRAVIC POSAMEZNIKA: 

Elektronski naslov: ______________________

Telefonska številka: ______________________

NAMEN IZVAJANJA VIDEONADZORA: ____________________________. 

DODATNE INFORMACIJE: Vse dodatne informacije v zvezi z izvajanjem videonadzora in uveljavljanjem pravic posameznika najdete na spletni strani: www.primerspletnestrani.si/izvajanjevideonadzora ali skenirajte QR kodo.

Obdobje hrambe in obveznost ustreznega varovanja videoposnetkov

Podjetje mora zagotoviti ustrezno zavarovanje osebnih podatkov s sprejetjem ustreznih organizacijskih, tehničnih in logično-tehničnih ukrepov, ki jih predstavljajo zavarovanje prostorov kjer se videonadzorni sistem nahaja, zavarovanje dostopa do videoposnetkov, tako, da do videoposnetkov dostopajo izključno pooblaščene osebe, zavarovanje aplikativne programske opreme, omejitev vpogleda v videoposnetke… Upravljavec ali obdelovalec ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka ali zahtev posameznika, ne glede na roke hrambe, dokler o zadevi ni pravnomočno odločeno. Po pravnomočni odločitvi se mora upravljavec ali obdelovalec ravnati v skladu s to odločitvijo.
Za zakonito izvajanje videonadzora je pomembna tudi določitev obdobja hrambe videoposnetkov v zbirki. Podjetje mora določiti obdobje hrambe videoposnetkov, ki je najkrajše obdobje hrambe, da se nameni obdelave osebnih podatkov še lahko izpolnijo. Praviloma podjetja videoposnetke hranijo za obdobje do 6 mesecev saj v navedenem obdobju ugotovijo vse nastale varnostne dogodke, ki bi zaradi začetka ali razrešitve določenega varnostnega dogodka opravičujejo vpogled v videoposnetke. Po navedenem obdobju je potrebno hranjene videoposnetke izbrisati. V skladu z veljavnim ZVOP-2 se lahko videoposnetki shranjujejo največ eno leto od trenutka nastanka posnetka.

Povzetek

V primeru pojava potrebe po uvedbi videonadzora mora podjetje poleg izbire ustrezne naprave za izvajanje videonadzora določiti zakaj bi videonadzor sploh želelo izvajati (namen izvajanja videonadzora), določiti in sprejeti ustrezno pravno podlago ter zagotoviti varnost obdelave videoposnetkov, ki jih z videonadzorom zajame. Podjetje naj ob odločitvi, da se v podjetju uvede videonadzor postopa na spodaj opredeljeni način:

  1. Ugotovitev zakonitega namena zakaj želimo v podjetju vzpostaviti videonadzor
  2. Priprava ocene učinkov v zvezi z varstvom podatkov (DPIA analize)
  3. Priprava pravilnika o izvajanju videonadzora
  4. Sprejetje sklepa o uvedbi videonadzora
  5. Priprava evidence dejavnosti obdelave, zagotavljanje revizijske sledi, priprava sheme postavitve kamer z označbo kamer in navedbo smeri snemanja
  6. Določitev upravičenega obdobja hrambe videoposnetkov
  7. Izvedba organizacijskih, tehničnih in logično-tehničnih postopkov za zavarovanje zbirke osebnih podatkov videoposnetkov
  8. V primeru, da bo izvajalec videonadzora zunanja pooblaščena oseba, sklenitev pogodbe o pogodbeni obdelavi osebnih podatkov zunanjim izvajalcem
  9. Objava opozorilnih tabel, da se izvaja videonadzor.
  10. Obvestilo vseh zaposlenih da se bo videonadzor v prostorih podjetja izvajal
  11. Začetek izvajanja videonadzora

Potrebujete pomoč pri uvedbi videonadzora v podjetju? Z veseljem vam pri tem z našimi znanji in izkušnjami pomagamo. Kontaktirajte nas in si rezervirajte brezplačen 15 minutni uvodni razgovor preko videokonference v katerem bomo razjasnili vsa morebitna vprašanja, ki se vam porajajo v zvezi s vzpostavitvijo videonadzora.

Lahko pa pišete tudi na elektronski naslov info@eudace.eu ali jaka@eudace.eu