Intenzivna upotreba videouređaja utječe na ponašanje pojedinaca. De facto ove tehnologije mogu itekako utjecati na mogućnost anonimnog kretanja i anonimnog korištenja usluga, kao i općenito napore u očuvanju privatnosti.
Količina podataka generiranih videozapisom, u kombinaciji s raznim alatima i tehnikama videonadzora, povećava rizik od sekundarne uporabe, bilo da je ona vezana ili ne za svrhu koja je izvorno dodijeljena sustavu, ili ponekad čak i rizik od zlouporabe.
Odbor stoga u Smjernicama naglašava da (i) se moraju osigurati jamstva kako bi se izbjegla zlouporaba nadzora za potpuno drugačije i neočekivane svrhe (npr. marketing, nadzor uspješnosti zaposlenika); (ii) voditelji obrade trebaju pažljivo razmotriti načela zaštite podataka (članak 5. Uredbe) u vezi s videonadzorom; (iii) voditelji obrade trebaju biti svjesni i poduzimati mjere predostrožnosti protiv rizika od neispravnosti uređaja i pristranosti koje mogu izazvati; i (iv) videonadzor neće biti „potreban“ (u svrhu uspostavljanja zakonite osnove obrade) ako postoje drugi načini za postizanje temeljne svrhe.
U Smjernicama se daju odgovori na niz pitanja koja se mogu pojaviti prilikom obrade osobnih podataka putem video uređaja.
1. Polje primjene Uredbe
Smjernice jasno pojašnjavaju kada se Uredba ne primjenjuje:
• ako se pojedinac ne može identificirati izravno ili neizravno, npr. kod upotrebe lažnih kamera;
• ako se radi o obradi osobnih podataka od strane nadležnih tijela u svrhu sprečavanja, istrage, otkrivanja ili kaznenog progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu i sprečavanje prijetnji javnoj sigurnosti, jer su one u domeni Direktive 2016/680 Europskog parlamenta i vijeća od 27. travnja 2016., koja regulira materiju obrade osobnih podataka u okviru provođenja kaznenih postupaka;
• kada osobne podatke obrađuje fizička osoba u tijeku obavljanja isključivo osobnih ili kućanskih aktivnosti (uvodna izjava 18; čl. 2. st. 2. toč. c) Uredbe). Takvo izuzeće mora se „tumačiti kao povezano samo sa aktivnostima koje se provode u privatnom ili obiteljskom životu pojedinaca, što očito nije slučaj kod obrada osobnih podataka koja se sastoji od objavljivanja na internetu, tako da su ti podaci dostupni neograničenom broju ljudi “. Nadalje, ako sustav video nadzora, u mjeri u kojoj uključuje stalno bilježenje i pohranu osobnih podataka, obuhvaća čak djelomično, javni prostor i prema tome se usmjerava prema van iz privatnog okruženja osobe koja obrađuje podatke na taj način ona se ne može smatrati djelatnošću kojoj su svrha isključivo „osobne ili kućne“ aktivnosti.
Primjer: Netko nadgleda i snima svoj vrt. Vlasništvo je ograđeno i samo voditelj obrade i njegova obitelj redovito ulaze u vrt. Takva situacija bi spadala u gore navedeno izuzeće, pod uvjetom da se videonadzor ne proširi (niti djelomično) na javni prostor ili susjedni posjed.
U principu, svaka od pravnih osnova prema članku 6. stavku 1. Uredbe može pružiti valjani temelj za obradu osobnih podataka putem videouređaja. Međutim, u praksi se primjenjuju odredbe koje najvjerojatnije koriste sljedeće osnove za obradu:
• Legitimni interes (članak 6. stavak 1. točka (f))
• Nužnost izvršavanja zadatka u javnom interesu ili u izvršavanju službenih ovlasti (članak 6. stavak 1. točka (e))
U prilično izuzetnim slučajevima voditelj obrade može koristiti privolu kao pravnu osnovu (članak 6. stavak 1. točka (a)).
2. Zakonitost obrade
Ako se voditelj obrade oslanja na legitimni interes kao zakonitu osnovu za obradu osobnih podataka putem videouređaja:
• legitimni interes treba biti utemeljen u stvarnosti, odnosno on ne smije biti izmišljen ili hipotetski. Dokazi o statistikama počinjenja kaznenih djela na nekom području ili u vezi s određenim proizvodom ili iskustvima voditelja obrade bili bi prikladan dokaz. Voditelji trebaju dokumentirati relevantnu statistiku ili incidente kao uvjerljive dokaze o postojanju legitimnog interesa za obradu putem videouređaja.
• Voditelji obrade podataka trebaju procijeniti gdje su i kada su nužne mjere videonadzora. Na primjer, kad je potrebno snimiti više od neposrednog okruženja prostorija, voditelj obrade treba razmotriti fizička i tehnička sredstva, npr. blokiranje ili pikseliranje nevažnih područja.
• Ako je nadzor potreban, obvezno je provesti uravnoteženje interesa (poznato i kao test legitimnog interesa), i da se za svaki slučaj, razmotri (i) u kojoj mjeri nadzor utječe na legitimne interese, temeljna prava i slobode pojedinaca i (ii) uzrokuje li provođenje videonadzora negativne posljedice sa obzirom na prava osoba čiji se osobni podaci na taj način obrađuju.
• Razumno očekivanje (tj. što bi objektivna treća strana očekivala) od ispitanika u vrijeme i u kontekstu obrade mora se uzeti u obzir prilikom provođenja uravnoteženja interesa voditelja obrade i osobe čiji se osobni podaci obrađuju, u smislu Uvodne izjave 47. Ispitanici po prirodi stvari logično češće očekuju videonadzor u nekim kontekstima u odnosu na druge.
Na primjer, nadzor se ne može očekivati primjerice u privatnom vrtu, u dnevnim boravcima ili u sobama za ispitivanje i liječenje. Isto tako, nije razumno očekivati nadgledanje u sanitarnim prostorijama - praćenje takvih područja predstavlja pretjeranu “invaziju” u prava ispitanika. S druge strane, klijent banke može očekivati da će unutar banke ili u bankomatu postojati videonadzor.
Bitno je za naglasiti da znakovi koji obavještavaju osobu da je prostorija pod videonadzorom nisu od značaja prilikom utvrđivanja što bi ispitanik mogao razumno očekivati.
• U ograničenoj mjeri mogu se primijeniti i druge pravne osnove, poput privole i potrebe za izvršavanjem zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (članak 6. stavak 1. točka (a) i (f). U samoj prirodi nadzora je da se ovom tehnologijom prati odjednom veći broj nepoznatih ljudi. U slučaju da voditelj obrade želi tu obradu temeljiti na pristanku ispitanika, mora osigurati da svaki pojedini ispitanik koji uđe u područje pod videonadzorom dâ svoju privolu. Odbor smatra kako se samo ulazak u obilježeno nadzirano područje ne može smatrati izjavom ili jasno potvrdnom radnjom koja bi predstavljala privolu u smislu članka 6. st. 1. toč. a).
Isto tako, uputa je poslodavcima da se za obradu osobnih podataka radnika putem videonadzora ne oslanjaju na privolu radnika, s obzirom na prirodu radnog odnosa (odnos subordiniranosti), jer se smatra da je malo vjerojatno da bi ona u takvom slučaju bila slobodno dana.
3. Otkrivanje i prijenos videozapisa
U Smjernicama se naglašava da se svako otkrivanje (tj. objavljivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način) smatra zasebnom vrstom obrade i voditelj obrade mora imati pravnu osnovu za takvu obradu. Pored toga, ako se objavljuje trećim zemljama ili međunarodnim organizacijama, primjenjuju se odredbe članka 44. (i stoga Poglavlje 5) Uredbe. Voditelji obrade bi zato trebali osigurati odgovarajuće zaštitne mjere na mjestu gdje se takva otkrivanja događaju.
4. Obrada posebnih kategorija podataka, uključujući biometrijske podatke
Smjernice pojašnjavaju da se videonadzor ne smatra uvijek obradom posebnih kategorija osobnih podataka. Članak 9. Uredbe će se primjenjivati samo ako se videoisječci obrade kako bi se iz njih izvuklo posebne kategorije podataka, npr. politička mišljenja se mogu izvući iz slika na kojima se vide identificirani ispitanici koji sudjeluju u nekom događaju.
Primjer: Poslodavac ne smije koristiti snimke videonadzora koje pokazuju štrajk kako bi se identificirali radnici koji sudjeluju u štrajku.
Videosnimke pojedinca ne mogu se smatrati biometrijskim podacima ako nisu posebno tehnički obrađeni kako bi se na temelju njih moglo pristupiti identifikaciji pojedinca. Da bi se mogli smatrati posebnom kategorijom, podaci se moraju koristiti u svrhu jedinstvene identifikacije fizičke osobe.
Također, kad je na temelju članka 9. Uredbe potrebna privola, voditelj obrade ne smije uvjetovati pristup svojim uslugama prihvaćanjem biometrijske obrade. Drugim riječima, osobito kada se biometrijska obrada koristi u svrhu autentifikacije, voditelj obrade mora ponuditi alternativno rješenje koje ne uključuje biometrijsku obradu - bez ograničenja ili dodatnih troškova za ispitanika.
Osim toga, voditelji obrade podataka moraju izvršiti brisanje prikupljenih, a neobrađenih podataka i osigurati učinkovitost tog brisanja.
5. Prava ispitanika čiji se podaci obrađuju pomoću videouređaja
Smjernice napominju da će se sva prava ispitanika predviđena Uredbom primjenjivati na obradu osobnih podataka putem videouređaja, odnosno videonadzora i pružaju pojašnjenja u vezi s nekim od ovih prava:
• Pravo na pristup: poštivanje prava pristupa u odnosu na videonadzor može negativno utjecati na prava drugih ispitanika čiji se identitet također može utvrditi iz snimke. Za zaštitu tih trećih osoba treba koristiti uređivanje slika i kodiranje.
• Pravo na brisanje („pravo na zaborav“): Odbor u Smjernicama iznosi stajalište kako primjerice zamagljivanje slike bez retroaktivne mogućnosti da se slika pretvori u prepoznatljivu sliku predstavlja brisanje u skladu sa odredbama Uredbe.
• Pravo na prigovor: u slučaju videonadzora ovo se pravo može iskoristiti prije ulaska, za vrijeme ili nakon napuštanja promatranog područja. To znači da, osim ako voditelj obrade ima valjane legitimne razloge, nadgledanje područja u kojima bi se osobe mogle identificirati je zakonito samo ako je: (1) voditelj obrade u stanju na zahtjev odmah zaustaviti kameru od obrađivanja osobnih podataka, ili (2) nadgledano područje ograničeno tako da voditelj obrade može prije unosa osigurati privolu ispitanika. Ako se videonadzor koristi u svrhu izravnog marketinga (što je zapravo malo vjerojatno u praksi), pravo na prigovor je apsolutno.
• Pravo na informiranje: Kod prava na informiranje, preporuka je Odbora primijeniti tzv. slojeviti pristup s obzirom na opseg podataka koji zahtjeva članak 13. Uredbe. Najvažnije informacije trebaju biti prikazane na znaku upozorenja koji predstavlja prvi sloj, a daljnje obvezne informacije na drugom sloju.
a) Prvi sloj upozorenja: znak upozorenja može se isporučiti u kombinaciji s ikonom (poput slike nadzorne kamere). Podaci bi trebali biti postavljeni na takav način da ispitanik može lako prepoznati okolnosti nadzora prije ulaska u promatrano područje. Ovaj sloj treba prenijeti najvažnije podatke, npr. detalje o svrhama obrade, identitetu izvršitelja obrade i postojanju ispitanika, zajedno s podacima o najvećim utjecajima obrade. Također se mora odnositi i na detaljniji drugi sloj informacija, kao i podatke o tome gdje i kako ga pronaći. Potrebno je da znak sadrži i podatke koji bi mogli iznenaditi ispitanika, kao što su na primjer prijenosi podataka trećim stranama, a osobito ako se nalaze izvan Unije. Ako ovakve informacije nisu naznačene, ispitanik može pretpostaviti da postoji samo praćenje uživo, a bez ikakvog snimanja podataka ili prijenosa trećim stranama.
b) Drugi sloj upozorenja: ovaj sloj (koji sadrži sve informacije u skladu s člankom 13. Uredbe) mora biti dostupan na lako dostupnom mjestu poput informativnog stola ili prikazan na lako dostupnom plakatu. Najbolje je ako se prvi sloj odnosi na digitalni izvor (npr. QR kôd ili adresu web mjesta) drugog sloja, ali se u Smjernicama navodi kako bi te informacije također trebale biti dostupne i u nedigitalnom obliku, što bi vjerojatno u praksi mogao predstavljati izazov za mnoge organizacije. Ono što je ovdje bitno za istaknuti je da ispitanik mora moći pristupiti informacijama drugog sloja bez ulaženja u područje koje se nalazi pod videonadzorom.
6. Obveze pohrane i brisanja
Preporučuje se da se osobni podaci u većini slučajeva izbrišu, u idealnom slučaju automatski nakon nekoliko dana. Što je duže razdoblje pohranjivanja podataka (posebno ako je potrebno duže od 72 sata), to će biti teže dokazati zakonitost svrhe i potrebu pohrane. Periodi pohrane prikupljenih podataka moraju biti jasno definirani i moraju biti uistinu potrebni kako bi se postigla svrha.
7. Tehničke i organizacijske mjere
Smjernice se dotiču načela „privatnosti po dizajnu“ (privacy by design) preporučujući da se zaštitne mjere privatnosti ugrade u dizajnerske specifikacije tehnologije (kao što su sustavi koji omogućuju maskiranje ili brisanje područja koja nisu relevantna za nadzor ili uređivanje slika trećih osoba) kao i organizacijsku praksu, a zadane postavke minimaliziraju obradu podataka. U slučaju da organizacija planira nabaviti komercijalni sustav videonadzora, te zahtjeve treba uključiti u specifikaciju kupnje.
Smjernice isto tako uključuju i korisna razmatranja o tome što bi sve voditelji obrade trebali uzeti u obzir prilikom stvaranja svojih politika i postupaka videonadzora, kao što su: tko je odgovoran za upravljanje sustavom, svrhu i opseg projekta nadzora, prikladne i zabranjene uporabe, mjere transparentnosti, način snimanja videozapisa i njihovo trajanje, uključujući arhivsku pohranu u vezi sa sigurnosnim incidentima; tko mora proći odgovarajuću obuku i kada, tko ima pristup videosnimanju i u koje svrhe, operativne svrhe (npr. tko nadzire nadzor i što se događa u slučaju incidenta kada dolazi do povrede podataka), što trebaju učiniti osobe izvan organizacije kako bi zatražile snimke i utvrđivanje postupaka za uskraćivanje ili odobrenje takvih zahtjeva, te postupci upravljanja incidentima i oporavka.
8. Procjena učinka na zaštitu osobnih podataka
Konačno, s obzirom na zahtjeve članka 35. Uredbe, razumno je pretpostaviti da će za mnoge slučajeve videonadzora biti potrebno provesti procjenu učinka. Naime, prema članku 35. stavku 1. Uredbe voditelji obrade obvezni su provesti procjenu učinka na zaštitu podataka (eng. data protection impact assessment) kada je vjerojatno da će neka vrsta obrade rezultirati visokim rizikom za prava i slobode fizičkih osoba, osobito kada se radi o obradi putem novih tehnologija.
Ishod provedene procjene trebao bi odrediti izbor primijenjenih mjera zaštite podataka.
Važno je također napomenuti da ako rezultati provedene procjene pokazuju da bi obrada rezultirala visokim rizikom za prava i obveze pojedinaca, usprkos sigurnosnim mjerama koje planira voditelj obrade, tada će biti potrebno konzultirati odgovarajuće nadzorno tijelo prije same obrade (članak 36. Uredbe).
