Ker so ravno te spremembe tudi prve, kjer je naš Informacijski pooblaščenec pričel z izvajanjem nadzora in tudi izrekanjem inšpekcijskih glob, si bomo v tem prispevku pogledali kateri so ključni koraki, ki jih je potrebno izvesti, da bo vaš videonadzorni sistem skladen z zakonodajo.
Še preden pa se spustimo v sam proces je smiselno določiti kaj sploh šteje za videonadzor. Naš Informacijski pooblaščenec videonadzor opisuje kot: »uporabo video kamer za sistematično snemanje, prenos in shranjevanje žive slike iz ene lokacije na drugo«. Na tej točki je smiselno poudariti tudi dejstvo, da se kot videonadzor šteje tudi samo t.i. podaljšano oko, ki omogoča prenos žive slike brez videoposnetka.
Poleg zgornje, bolj »tehnične« definicije videonadzora pa je potrebno razmisliti tudi o vsebinskem aspektu; tj. podatkih, ki pri izvajanju nadzora nastanejo. Slika (posnetek) posameznika, datum in ura so najpogostejši sklop podatkov, ki se obdelujejo v primeru videonadzora.
Ker gre pri tem za obdelavo osebnih podatkov, je potrebno spoštovati določila GDPR, pa tudi posebne določbe ZVOP-2, ki se jim bomo posvetili v tem prispevku. Poleg ZVOP-2 pa v ureditev videonadzora posega še nekatera specialna zakonodaja in sicer Zakon o zasebnem varovanju, Zakon o detektivski dejavnosti idr., ki pa veljajo v določenih pogojih in niso namenjene širši rabi.
Prav tako ZVOP-2 opredeljuje prekrške v zvezi s kršitvami določb o videonadzoru, ki se za pravne osebe gibljejo v razponu od 4.000 pa do 10.000 EUR. Višje kazni (do 20.000 EUR) pa se lahko izreče srednjim ali velikim gospodarskim družbam.
Tako kot pri vsaki drugi obdelavi osebnih podatkov, je tudi pri vzpostavitvi videonadzora ključna izbira pravne podlage za obdelavo osebnih podatkov, ki jo bomo izvajali s pomočjo videonadzora. V tem primeru se ponujata predvsem dve pravni podlagi in sicer zakon ter zakoniti interesi upravljavca. Izbrano pravno podlagi je vsekakor potrebno dokumentirati; dodatno pa je v primeru, ko smo za pravno podlago izbrali zakonite interese, potrebno izvesti tudi t.i. test zakonitega interesa. Gre za pisni dokument v katerem se izvede tehtanje med zakonitimi interesi upravljavca in upravičenim pričakovanjem zasebnosti posameznikov na posnetkih.
Po izbiri pravne podlage je potrebno sprejeti odločitev o uvedbi videonadzora, ki mora biti obrazložena in mora vsebovati razloge, zakaj se videonadzor uvaja.
Sledi priprava obvestila posameznikom. Obvestilo mora biti javno objavljeno ter vidno in razločno. Obvestilo o videonadzoru sicer poznamo še iz časa pretekle zakonodaje, vendar pa ZVOP-2 uvaja bolj poglobljeno obvestilo, ki mora vsebovati vse informacije o obdelavi osebnih podatkov. Tako mora obvestilo vsebovati podatke o identiteti upravljavca s kontakti, namen in pravno podlago za obdelavo, informacije o hrambi in prenosih osebnih podatkov pa tudi pravice, ki jih imajo posamezniki na voljo v zvezi s takšno obdelavo. Ker je nabor informacij širok, je priporočljivo, da na naše obvestilo o videonadzoru dodamo link ali QR kodo, preko katere lahko posamezniki dostopajo do vseh zgoraj navedenih informacij.
Za interne potrebe pa mora upravljavec pripraviti in voditi evidenco dejavnosti obdelave za zbirko videoposnetkov, ki nastane. Prav tako je potrebno sprejeti ustrezne varnostne ukrepe, s katerimi bomo preprečili nepooblaščen dostop ali uporabo videoposnetkov.
V zgornjem prispevku smo si pogledali temeljne obveznosti, ki jih prinaša vzpostavitev in uporaba videonadzornega sistema v vaši organizaciji. Za bolj poglobljeno vsebino pa vas vabimo na našo spletno stran, kjer si bomo ogledali tudi specifike vzpostavitve videonadzora kadar videonadzor vzpostavljamo v poslovnih prostorih oz. kadar je videonadzor omejen na službeni vhod. Prav tako so vam na voljo informacije o tem kakšne obveznosti vas čakajo, kadar z izvedbo videonadzora izberete zunanjega izvajalca. Informacije so vam na voljo tukaj.