GDPR je Opća uredba o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja 2018. godine.
Zaštita osobnih podataka jedan je od osnovnih zadataka koje GDPR stavlja pred sve tvrtke koje pohranjuju i obrađuju podatke nositelja podataka sa sjedištem unutar EU.
Osobni podaci su svi podaci koji se odnose na pojedinca čiji se identitet može utvrditi izravno ili neizravno uz pomoć identifikatora kao što su:
- Ime, identifikacijski broj, podaci o lokaciji, mrežni identifikatori
Posebna kategorija osobnih podataka
- zdravstveni podatak, obrada genetskih podataka, obrada biometrijskih podataka, obrada osobnih podataka putem videonadzora
Obrada podataka znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su: prikupljanje, bilježenje, pohrana, prilagodba ili izmjena, brisanje ili uništavanje itd.
Stupanjem GDPR-a na snagu, tvrtke imaju obavezu imenovanja Voditelja obrade i Izvršitelja obrade, odnosno službenika za zaštitu osobnih podataka. Uz to, osnovno razumijevanje procesa i klasifikacije podataka se podrazumijeva. Potrebno je izraditi i voditi projektni plan ili plan aktivnosti odnosno dokumentirati provedene aktivnosti usklađivanja.
Tvrtke u planovima aktivnosti odnosno u svojim poslovnim procesima bi trebale imati podatak gdje su osobni podaci koje prikupljaju, te u koju svrhu se smiju koristiti. Isto tako, u slučaju da netko odluči povući privolu za korištenje njegovih osobnih podataka, tvrtke odgovaraju na zahtjev ispitanika bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana.
Obrada biometrijskih podataka
Obrada biometrijskih podataka u privatnom sektoru može se provoditi samo ako je propisana zakonom ili ako je nužna za zaštitu osoba, imovine, klasificiranih podataka, poslovnih tajni ili za pojedinačno i sigurno identificiranje korisnika usluga, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka.
Pravni temelj za obradu biometrijskih podataka ispitanika radi sigurnog identificiranja korisnika usluga izričita je privola takvog ispitanika dana u skladu s odredbama Opće uredbe o zaštiti podataka.
Kontrola pristupa/kontrola radnog vremena
Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka.
Dakle, budući se radi o dobrovoljnom prikupljanju osobnih podataka, u slučaju izostanka privole svih radnika potrebno je omogućiti alternativni način evidencije radnog vremena (manje invazivan) za sve one radnike koji nisu dali privolu za prikupljanje njihovih biometrijskih osobnih podataka (primjerice: evidentiranje radnog vremena magnetskom karticom).
Obrada osobnih podataka putem videonadzora
Videonadzor u smislu odredbi Zakona odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.
Obrada osobnih podataka putem videonadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.
Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja svrhe zaštite osoba i imovine.
Videonadzor radnih prostorija
Obrada osobnih podataka zaposlenika putem sustava videonadzora može se provoditi samo ako su uz uvjete utvrđene ovim Zakonom ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu i ako su zaposlenici bili na primjeren način unaprijed obaviješteni o takvoj mjeri te ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava videonadzora.
Videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.
S tim u vezi, poslodavac je Pravilnikom o radu dužan urediti sva pitanja koja se odnose na prikupljanje, korištenje, čuvanje i zaštitu osobnih podataka svojih radnika, pa tako i osobnih podataka prikupljenih videonadzornom kamerom, kako bi radnici bili informirani o obradi njihovih podataka na navedeni način, prvenstveno o svrsi obrade osobnih podataka, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, o primateljima ili kategorijama primatelja osobnih podataka te da li se radi o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama uskrate davanja podataka (članak 9. Zakona o zaštiti osobnih podataka).
Nadalje, istim tim aktom, potrebno je odrediti i osobe ovlaštene za pristup podacima, mjere zaštite podataka u tehničkom, organizacijskom i kadrovskom smislu kako bi se osigurala njihova povjerljivost (odredbe članka 18. Zakona o zaštiti osobnih podataka) i vremensko razdoblje njihovog čuvanja odnosno ne duže od 6 mjeseci (odredbe članka 29. Zakona o provedbi opće uredbe o zaštiti podataka).
Kod uvođenja (postavljanja) video nadzora potrebno je uočljivo i nedvosmisleno označiti (slikom i tekstom) da se poslovni prostor, odnosno ulaz/izlaz radnika i ostalih osoba (posjetitelja poslovnog prostora) snima video nadzornom kamerom.
Oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja. Podaci na oznaci trebaju biti jednostavni da je prostor pod videonadzorom, te podatke o voditelju obrade i podatke za kontakt kao i lako razumljivu sliku prikaza kamere.
Videonadzor stambenih zgrada
Za uspostavu videonadzora u stambenim odnosno poslovno-stambenim zgradama potrebna je suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova.
Videonadzorom se može obuhvatiti samo pristup ulascima i izlascima iz stambenih zgrada te zajedničke prostorije u stambenim zgradama.
Zabranjeno je korištenje videonadzora za praćenje radne učinkovitosti domara, spremačica i drugih osoba koje rade u stambenoj zgradi.
Videonadzor javnih površina
Praćenje javnih površina putem videonadzora dozvoljeno je samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo ako je propisano zakonom, ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine.
Videonadzor u školi
Prema odredbama ZZOP-a razvidno je da i video snimka dobivena video nadzornom kamerom predstavlja osobni podatak fizičke osobe – ispitanika (članak 2. stavak 1. točka 1. ZZOP-a) u slučajevima kada ista sadrži snimljen njegov lik i/ili njegove biometrijske značajke (način hoda i dr.), to je slijedom činjenice da i video snimke mogu predstavljati osobni podatak potrebno naglasiti da se na sve takve video snimke koje su po svom sadržaju i osobni podaci fizičkih osoba – ispitanika, u potpunosti primjenjuju sve odredbe ZZOP-a (prikupljanje, obrada i daljnje korištenje) i drugih odnosnih propisa.
S tim u vezi uputno je ukazati i na obvezu informiranja ispitanika (prije prikupljanja bilo kojih osobnih podataka) propisanu člankom 9. ZZOP-a. Konkretno, u slučaju video nadzora u školi uputno je adekvatnim internim aktom regulirati uporabu istog (kojim će biti definirana svrha, opseg tj. zahvat podataka koji se prikupljaju, način i vrijeme čuvanja te uporaba snimljenih podataka kao i zaštita prava ispitanika) a s činjenicom kojeg postavljanja (stavljanja u funkciju) bi na odgovarajući način pravovremeno trebalo upoznati učenike (roditelje) i zaposlenike.
Nadalje, potrebno je ukazati da predmetni video nadzor (postavljen u svrhu sigurnosti) treba pokrivati samo zajedničke prostore škole (hodnike, ulazni prostor i sl.) kao i moguće dvorište škole (bez zahvaćanja u okolni javni prostor), dok nije prihvatljivo da video nadzorom budu pokrivene učionice, svlačionice i toaletni prostori. Također, kod uvođenja (postavljanja) video nadzora potrebno je uočljivo i nedvosmisleno označiti (slikom i tekstom) da je odnosni prostor pod video nadzorom, koja informacija mora biti pružena svim trećim osobama koje dolaze u školu, za ostvarivanje spoznaje da ih se snima i na taj način prikupljaju njihovi osobni podaci.
Izvor: stranice AZOP-a i Zakon o provedbi Opće uredbe o zaštiti podataka