Videonadzor je sveprisutan u našem društvu i ima mnoge prednosti za zaštitu osoba i imovine. Međutim, videonadzor također predstavlja rizik za privatnost i zaštitu podataka pojedinaca koji se snimaju kamerama. Zato je važno poštivati odredbe Opće uredbe o zaštiti podataka (gdpr) koja se primjenjuje na obradu osobnih podataka putem uređaja za video snimanje.

Što je videonadzor i gdpr?

Videonadzor po gdpr-u je svaka obrada osobnih podataka putem video naprava, bilo da se radi o fiksnim ili pokretnim kamerama, zatvorenim ili otvorenim sustavima, analognim ili digitalnim tehnologijama, jednostavnim ili složenim algoritmima. Obrada osobnih podataka znači bilo koja radnja ili skup radnji kojima se podaci prikupljaju, pohranjuju, prenose, analiziraju, brišu ili na drugi način koriste.

Osobni podaci su svi podaci koji se odnose na identificiranu ili identificirajuću fizičku osobu. To uključuje slike ili video zapise osoba koje se mogu prepoznati neposredno ili posredno, na primjer po licu, glasu, odjeći, tetovaži, registarskoj oznaci vozila ili lokaciji. Posebnu kategoriju osobnih podataka čine biometrični podaci koji se odnose na fizičke ili fiziološke karakteristike osobe koje omogućuju jedinstvenu identifikaciju te osobe, kao što su otisci prstiju, prepoznavanje lica ili glasa.

Koji su uvjeti za zakonit videonadzor po gdpr-u?

Da bi videonadzor bio zakonit po gdpr-u, potrebno je ispuniti sljedeće uvjete:

• - Postojanje zakonite svrhe obrade: videonadzor se može provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, sprječavanje kriminala, otkrivanje prekršaja ili drugih legitimnih interesa voditelja obrade ili trećih strana. Svrha mora biti jasno određena i dokumentirana prije početka obrade.
• - Postojanje zakonske osnove obrade: videonadzor se može provoditi samo ako postoji jedna od šest zakonskih osnova propisanih gdpr: pristanak ispitanika, ugovorna obveza, zakonska obveza, zaštita životnih interesa, javni interes ili legitimni interes. U većini slučajeva videonadzora primjenjivat će se legitimni interes voditelja obrade ili treće strane koji mora biti uravnotežen s interesima i pravima ispitanika. Da bi se utvrdio legitimni interes, potrebno je provesti test razmjernosti koji će pokazati da li je videonadzor nužan i proporcionalan u odnosu na svrhu obrade.
• - Poštivanje načela obrade: videonadzor se mora provoditi u skladu s načelima gdpr-a koja uključuju: zakonitost, poštenost i transparentnost; ograničenje svrhe; minimizaciju podataka; točnost; ograničenje pohrane; cjelovitost i povjerljivost; odgovornost. To znači da se moraju poduzeti sve potrebne mjere da se osigura da se podaci obrađuju samo u skladu s utvrđenom svrhom, da se prikupljaju samo podaci koji su nužni za tu svrhu, da se podaci redovito ažuriraju i brišu kada više nisu potrebni, da se podaci štite od neovlaštenog ili nezakonitog pristupa, korištenja ili gubitka i da voditelj obrade može dokazati da poštuje gdpr. 
• - Poštivanje prava ispitanika: videonadzor se mora provoditi uz poštivanje prava ispitanika koji su predmet obrade. To uključuje: pravo na informiranje, pravo na pristup, pravo na ispravak, pravo na brisanje, pravo na ograničenje obrade, pravo na prenosivost podataka, pravo na prigovor i pravo na zaštitu od automatiziranog donošenja odluka. To znači da se moraju osigurati mehanizmi kojima se ispitanicima omogućuje da saznaju tko obrađuje njihove podatke i u koju svrhu, da zatraže kopiju svojih podataka, da isprave netočne ili nepotpune podatke, da zatraže brisanje svojih podataka ako više nisu potrebni ili ako povuku svoj pristanak, da zatraže ograničenje obrade ako osporavaju točnost ili zakonitost podataka ili ako se protive njihovoj obradi, da zatraže prebacivanje svojih podataka u drugi format ili drugom voditelju obrade, da ulože prigovor na obradu svojih podataka ako smatraju da je ona nezakonita ili neopravdana i da ne budu predmet odluke koja se temelji isključivo na automatiziranoj obradi koja ima pravne učinke ili značajno utječe na njih.

Kako uskladiti videonadzor s gdpr-om?

Da bi se uskladio videonadzor s gdpr, potrebno je poduzeti sljedeće korake:

- Provesti procjenu učinka na zaštitu podataka (DPIA) ako je videonadzor vjerojatno da će imati visok rizik za prava i slobode ispitanika. DPIA je alat koji pomaže identificirati i ublažiti rizike povezane s obradom osobnih podataka. DPIA treba sadržavati opis obrade i svrhe, procjenu nužnosti i proporcionalnosti obrade, procjenu rizika za ispitanike i mjere za ublažavanje rizika.
- Odrediti voditelja obrade i izvršitelja obrade ako je primjenjivo. Voditelj obrade je osoba ili organizacija koja određuje svrhe i sredstva obrade osobnih podataka. Izvršitelj obrade je osoba ili organizacija koja obrađuje osobne podatke u ime voditelja obrade. Ako se koriste usluge trećih strana za provođenje videonadzora, potrebno je sklopiti ugovor o obradi osobnih podataka koji će regulirati odnose i obveze između voditelja i izvršitelja obrade.
- Osigurati transparentnost i informiranje ispitanika o videonadzoru. To znači da se moraju postaviti vidljive oznake ili obavijesti koje upozoravaju na postojanje videonadzora i daju osnovne informacije o voditelju obrade, svrsi obrade, zakonskoj osnovi obrade, rokovima čuvanja podataka, pravima ispitanika i kontaktima za ostvarivanje tih prava. Ako je moguće, treba omogućiti i dodatne informacije putem web stranice, letaka ili drugih kanala komunikacije.
- Poštivati rokove čuvanja videozapisa.