CCTV vs GDPR = 3:0 (prvo poluvreme)

149
CCTV and GDPR

Video nadzor je fantastičan način da povećate nivo bezbednosti poslovanja. Ne samo da Vam pruža mogućnost da “držite sve na oku“ i da vam daje opciju kontrole poslovanja, već je i sredstvo koje preventivno deluje na sve potencijalne rizike od sitnih krađa do zloupotreba najvišeg ranga.

Za male preduzetnike, provala, može imati znatne finansijske posledice, pa čak usloviti i gašenje poslovne funkcije. Mala i srednja preduzeća, ne samo da moraju biti oprezna kada je u pitanju  tehnička  zaštita poslovnog prostora, već moraju imati i definisane postupke i procedure kojima se tretiraju vanredne i incidentne situacije usmerene protiv bezbednosti Društva. To znači da upravljanje čitavim bezbednosnim procesom  mora biti utemeljeno na važećoj pravnoj regulativi i zahtevima koji uređuju ovu oblast (Zakon o privatnom obezbeđenju i Zakon o zaštiti podataka o ličnosti/  GDPR).

GDPR (General Data Protection Regulation) Opšta uredba o zaštiti podataka o ličnosti, u našem zakonodavstvu uređena kao Zakon o zaštiti podataka o ličnosti, mora biti inkorporirana u sistem funkcionisanja institucija i svih poslovnih procesa u kompanijama.  Nakon četvorogodišnjih pregovora, u maju 2018. godine GDPR je konačno naišao na međunarodno predstavljanje, čime se evropska regulativa o podacima usklađuje sa novim načinima korišćenja podataka, uključujući i pooštravanje kazni za sve one koji krše odredbe pomenutog dokumenta.

Novi zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja prevedenu i adaptiranu  GDPR regulativu usvojen u novembru 2018. godine i u Republici Srbiji  čime su načela GDPR-a uvedena i na domaći teren. Zakonodavac je predvideo odloženu primenu predmetnog zakona od devet meseci, što predstavlja dosta kraći rok od onoga koje su dobile države članice EU i njihova privreda. Niska svest o samom razlogu zaštite privatnosti i činjenica da se kod nas mnoge kompanije još nisu usaglasile ni sa starim pravnim okvirom iz ove oblasti (1995 godina), ukazuje na to da predstoje veliki izazovi kako za privredna društva, javne ustanove,  državne organe i druge organizacije. Obzirom na već ustaljenu praksu nipodaštavanja ličnog podataka kao vrednosti i prilično nisku bezbednosnu kulturu u Srbiji, pravilo nove regulative već predstavlja „čudnu novost“ za veliki broj kompanija, ali i državnih institucija te usklađivanje njihovog poslovanja sa aspekta zaštite podataka  počinje praktično ispočetka.

Postavlja se pitanje: Koliko se zna o primeni i uticaju GDPR-a u bezbednosnoj praksi, kako se prikupljaju i obrađuju  podaci sa nadzornih kamera, sistema  GPS  i kontrole pristupa, kao i drugih tehničkih rešenja  koji u cilju zaštite lica, imovine i poslovanja prikupljaju lične podatke?

Obaveze prema zaposlenima, kroz prizmu GDPR-a

Sistemi video nadzora instalirani su maltene svuda, od običnih uličnih kioska, preko malih preduzeća pa sve do velikih kompanija i javnih insitucija, bilo da je reč bezbednosti, monitoringu, zaštiti zdravlja na radu, ili pak u cilju ostvarivanja drugih bezbednosnih funkcija. O tome  govori i podatak  da je Velika Britanija pokrivena sa preko 7 miliona kamera, u čemu puno ne zaostaju ni druge evropske države.

Iako upotreba kamera u poslovnim prostorijama, po default-u, smanjuje rizik od provala i krađa, svakako je neophodno da zaposleni i vlasnici budu oprezni sa upotrebom CCTV sistema, jer isti ne sme da narušava privatnost zaposlenih, već da služi svrsi, odnosno poveća nivo bezbednosti, omogućavajući zaposlenima i posetiocima da  budu bezbedni i ujedno konforni u pogledu sopstvene privatnosti. Upravo ovakav harmoničan odnos upotrebe tehničkih sredstava  i zaštite podataka o ličnosti predstavlja najbolji primer dobre GDPR prakse.

Odredbama  Zakona o privatnom obezbeđenju (“Sl. glasnik RS”, br. 104/2013, 42/2015 i 87/2018) i Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018) / GDPR  jasno su definisane obaveze  kompanija da se sami kroz realizovanu  Procenu rizika u zaštiti lica imovine i poslovanja  definiše svrha i cilj obrade podataka o ličnosti tehničkim sistemima zaštite. Oba navedena zakona ukazuju da nije dozvoljna upotreba tehničkih sistema zaštite, ukoliko isti nisu predviđeni aktom procene rizika kao sredstva za tretman i minimizaciju detektovanih opasnosti po samo Društvo koje je predmet zaštite.

Takođe, u slučaju da CCTV i gore navedeni sistemi zaštite nisu izvedeni u skladu sa zakonom, oni ne mogu imati funkcionalnu primenu, što predstavlja dodatni rizik po samog korisnika jer na taj način putem vrši neovlašćeno snimanje, praćenje, profilisanje i prikupljanje podataka o ličnosti zaposlenih, posetilaca, trećih lica…

procena rizika

Striktno su porpisane i obaveze korisnika usluga obezbeđenja i drugih rukovalaca, da transparentno i nedvosmisleno obaveste kako zaposlene tako i svako drugo lice koje dolazi u kompaniju,  da je objekat  pod video nadzorom i o tome mora biti istaknuto grafičko obaveštenje na vidnom mestu pre ulaska u štićenu zonu. I ne samo to, za instaliranje sistema video nadzora mora postojati jasan plan obezbeđenja koji operativno razrađuje potrebe kompanije za zaštitom svojih vitalnih interesa, zbog kojih se prostor pokriva kamerama i drugim tehničkim sredstvima.

Svrha instalacija video nadozora u najvećem broju slučajeva je bezbednosne prirode – radi zaštite imovine, lica i poslovanja od potencijalnih pretnji, pri čemu video nadzor beleži tok dešavanja incidentnog događaja, arhivira snimak i daje mogućnost da se isti iskoristi u sudskim procesima.  Upotreba sistema video nadzora mora biti prikladna i pravno utemeljena sa jasno opisanom svrhom, a  njegovu instalaciju i pozicioniranje obavlja isključivo licencirano Društvo za privatno obezbeđenje shodno zaključcima procene rizika, čime se ne sme prekoračiti propisana mera dovoljna za minimizaciju identifikovanih  opasnosti.

Obaveze prema javnosti

ZZPL / GDPR omogućava zaposlenim i trećim licima da od kompanije zatraže na uvid snimke sa sistema video nadzora  na kojima se nalaze oni ili neki događaj u kome su oni lično bili akteri. S toga je  kompanija u obavezi da na zahtev dostavi tražene snimke u primerenom roku, pri čemu se strogo mora voditi računa, da shodno politici privatnosti, identitet drugih lica na datom snimku bude zaštićen (zamagljen- skremblovan), čime bi druga lica potraživaču bila anonimna.

 

Čuvanje arhiviranog video materijala

Čuvanje video zapisa ne može  biti beskonačano, već mora imati propisan rok koji obično glasi na 30 dana, kao što je i u domaćem zakonodavtsvu. Ukoliko se za određene potrebe snimci moraju čuvati duže, GDPR i ZZPL dozvoljavaju i tu mogućnost, s tim što je u tom slučaju obavezna izrada procene uticaja /DPIA da bi se dokumentovali razlozi produženog čuvanja u cilju ostvarivanja legitimnog interesa rukovaoca.

Nije retko da se u firmama video nadzor postavlja bez prethodne procene rizika i plana obezbeđenja što je zakonska obaveza po privatnom obezbeđenju i bez procene uticaja što je obaveza po ZZPL/GDPR. Vrlo često kada odete na sastanak u neku domaću ali i multinacionalnu kompaniju vidite da su određene kancelarije i prostorije pod sistemom video nadzora čija svrha treba da bude u osnovi zaštite lica, imovine i poslovanja. Nije retko da  kompanije bez procene rizika samoinicijativno po sopstvenom nahođenju nekog menadžera ili vlasnika postavljaju CCTV sistem čime čine ozbiljan prestup i narušavaju privatnost zaposlenih. Treba naglasiti da pored rizika po privatnost takav video nadzor suštinski nije upotrebljiv jer bi arhivirani materijal  lako bio osporen u svakom postupku.  Na pitanje zašto se snimaju kancelarije ili neki javni prostor, zaposleni daju odgovor koji se često glasi: „tako je rekao direktor/vlasnik/ gazda“, čime faktički potvrđuju prekršaj sopstvene kompanije.

Za sve poslodavce koji koriste klaud (cloud) usluge snimanja i skladištenja, obavezno je  da znaju tačnu lokaciju gde se snimci njihovog video nadzora obrađuju i skladište. Podaci se retko čuvaju tamo gde se nalazi klaud provajder, što znači da podaci mogu biti premeštani u različite data centre, što ukazuje  na  potrebu dodatne provere bezbednosti i usklađenosti  jer su podaci o ličnosti izmešteni van matične zemlje.

Zaštita poslovanja

Kako bi poslovanje bilo u skladu sa ZZPL / GDPR regulativom, poslodavci treba da prikupljaju i čuvaju samo one podatke koji su relevantni za ostvarivanje svrhe obrade, kao i da saopšte kakvu vrstu obrade podataka vrše. Takođe, moraju se postarati da informacije ostaju u njihovom vlasništvu i da se ne dele trećim stranama. Imajući u vidu navedeno,  za svakog poslodavca je od značaja da video nadzor bude instaliran kroz prethodno realizovanu procenu rizika od strane licenciranih upravo od strane licenciranih eksperata, odnosno kompanija koje se bave planiranjem i instalacijom tehničke zaštite nakon izrade prethodnog dokumenta.

Uputstva i preporuke  od strane firmi za privatno obezbeđenje su dobrodošla  i veoma korisna, ali  ona ostaju samo na nivou instrukcije. Mora se imati u vidu da je kompanija, odnosno poslodavac subjekt koji mora obezbediti legalnost kompletnog procesa i sprovesti sve organizacione i tehničke mere zaštite podataka, a ne kako pojedini misle dobavljač CCTV sistema.

U dosadašnjoj praksi, pojedini rukovaoci,  kao što su kompanije  Google i Facebook, kažnjene rekordnim kaznama za kršenje GDPR-a, čime je dat jasan primer i „opomena“ svim ostalim. Manje kompanije nikako ne smeju da pomisle da su promakle odredbama ZZPL / GDPR, jer se zakon sakako odnosi i na njih i svaki prekršj   adekvatno sankcioniše.

 

Usklađivanje poslovanja 

Obaveze koje GDPR propisuje za poslodavce, često se mogu učiniti obeshrabrujućim i konfuznim. No,  ukoliko vlasnici i članovi rukovodstva firme poznaju zakon, onda ne moraju da brinu. Postoji obuka koja omogućava bržu i lakšu integraciju i usklađivanje sa GDPR-om, koju je neophodno uvažiti i proći kako bi oblast zaštite podataka bila jasnija, a samim tim i odgovori na sledeća pitanja koja bi vrlo često trebala da se razmatraju u svrhu poboljšanja poslovanja:

  • Da li moj sistem video nadzora krši privatnost mojih zaposlenih?
  • Da li sam istakao upozorenje da se oni snimaju?
  • Da li imam validan razlog za instaliranje video nadzora i snimanje zaposlenih?
  • Koliko dugo čuvam snimke i zašto?
  • Da li sam sproveo procenu rizika da opravdam i dokumentujem razloge za njihovo čuvanje?
  • Gde se moji podaci skladište?
  • Da li sam siguran da se ne dele sa trećim licima?
  • Ako postoji kršenje, koji je moj plan?

Ova pitanja će poslužiti kao polazna osnova, ali dugoročno, najbolje je da svaki član rukovodećeg tima prođe obuku. U ovoj digitalnoj eri, postoje različiti faktori koje treba razmotriti pre instaliranja video nadzora, ali to je nešto bez čega preduzeća nesumnjivo ne mogu u smislu fizičke bezbednosti. Zaštita poslovanja od provale je ključna, ali je isto tako ključno poznavanje obaveza firme prema javnosti i njenim zaposlenima i to je nešto, što ćete, kao poslodavac, morati da naučite što pre.

Celokupan proces usklađivanja racionalno je posmatrati kroz jedan projekat, jer privatna bezbednost i zaštita podataka o ličnosti podrazumevaju u velikom broju slučajeva  identične i sinhronizovane radnje kojima se mapiraju procesi, procenjuje rizik i daju konkretna rešenja. Imajući u vidu skup potrebnih aktivnosti, efikasno usaglašavanje može sprovesti security konsultant koji bi odgirao ulogu menadžera bezbednosti i službenika za zaštitu podataka o ličnosti- DPO

Striktno su porpisane i obaveze korisnika usluga obezbeđenja i drugih rukovalaca, da transparentno i nedvosmisleno obaveste kako zaposlene tako i svako drugo lice koje dolazi u kompaniju,  da je objekat  pod video nadzorom i o tome mora biti istaknuto grafičko obaveštenje na vidnom mestu pre ulaska u štićenu zonu. I ne samo to, za instaliranje sistema video nadzora mora postojati jasan plan obezbeđenja koji operativno razrađuje potrebe kompanije za zaštitom svojih vitalnih interesa, zbog kojih se prostor pokriva kamerama i drugim tehničkim sredstvima.

Svrha instalacija video nadozora u najvećem broju slučajeva je bezbednosne prirode – radi zaštite imovine, lica i poslovanja od potencijalnih pretnji, pri čemu video nadzor beleži tok dešavanja incidentnog događaja, arhivira snimak i daje mogućnost da se isti iskoristi u sudskim procesima.  Upotreba sistema video nadzora mora biti prikladna i pravno utemeljena sa jasno opisanom svrhom, a  njegovu instalaciju i pozicioniranje obavlja isključivo licencirano Društvo za privatno obezbeđenje shodno zaključcima procene rizika, čime se ne sme prekoračiti propisana mera dovoljna za minimizaciju identifikovanih  opasnosti.

Obaveze prema javnosti

ZZPL / GDPR omogućava zaposlenim i trećim licima da od kompanije zatraže na uvid snimke sa sistema video nadzora  na kojima se nalaze oni ili neki događaj u kome su oni lično bili akteri. S toga je  kompanija u obavezi da na zahtev dostavi tražene snimke u primerenom roku, pri čemu se strogo mora voditi računa, da shodno politici privatnosti, identitet drugih lica na datom snimku bude zaštićen (zamagljen- skremblovan), čime bi druga lica potraživaču bila anonimna.

 

Čuvanje arhiviranog video materijala

Čuvanje video zapisa ne može  biti beskonačano, već mora imati propisan rok koji obično glasi na 30 dana, kao što je i u domaćem zakonodavtsvu. Ukoliko se za određene potrebe snimci moraju čuvati duže, GDPR i ZZPL dozvoljavaju i tu mogućnost, s tim što je u tom slučaju obavezna izrada procene uticaja /DPIA da bi se dokumentovali razlozi produženog čuvanja u cilju ostvarivanja legitimnog interesa rukovaoca.

Nije retko da se u firmama video nadzor postavlja bez prethodne procene rizika i plana obezbeđenja što je zakonska obaveza po privatnom obezbeđenju i bez procene uticaja što je obaveza po ZZPL/GDPR. Vrlo često kada odete na sastanak u neku domaću ali i multinacionalnu kompaniju vidite da su određene kancelarije i prostorije pod sistemom video nadzora čija svrha treba da bude u osnovi zaštite lica, imovine i poslovanja. Nije retko da  kompanije bez procene rizika samoinicijativno po sopstvenom nahođenju nekog menadžera ili vlasnika postavljaju CCTV sistem čime čine ozbiljan prestup i narušavaju privatnost zaposlenih. Treba naglasiti da pored rizika po privatnost takav video nadzor suštinski nije upotrebljiv jer bi arhivirani materijal  lako bio osporen u svakom postupku.  Na pitanje zašto se snimaju kancelarije ili neki javni prostor, zaposleni daju odgovor koji se često glasi: „tako je rekao direktor/vlasnik/ gazda“, čime faktički potvrđuju prekršaj sopstvene kompanije.

Za sve poslodavce koji koriste klaud (cloud) usluge snimanja i skladištenja, obavezno je  da znaju tačnu lokaciju gde se snimci njihovog video nadzora obrađuju i skladište. Podaci se retko čuvaju tamo gde se nalazi klaud provajder, što znači da podaci mogu biti premeštani u različite data centre, što ukazuje  na  potrebu dodatne provere bezbednosti i usklađenosti  jer su podaci o ličnosti izmešteni van matične zemlje.

Zaštita poslovanja

Kako bi poslovanje bilo u skladu sa ZZPL / GDPR regulativom, poslodavci treba da prikupljaju i čuvaju samo one podatke koji su relevantni za ostvarivanje svrhe obrade, kao i da saopšte kakvu vrstu obrade podataka vrše. Takođe, moraju se postarati da informacije ostaju u njihovom vlasništvu i da se ne dele trećim stranama. Imajući u vidu navedeno,  za svakog poslodavca je od značaja da video nadzor bude instaliran kroz prethodno realizovanu procenu rizika od strane licenciranih upravo od strane licenciranih eksperata, odnosno kompanija koje se bave planiranjem i instalacijom tehničke zaštite nakon izrade prethodnog dokumenta.

Uputstva i preporuke  od strane firmi za privatno obezbeđenje su dobrodošla  i veoma korisna, ali  ona ostaju samo na nivou instrukcije. Mora se imati u vidu da je kompanija, odnosno poslodavac subjekt koji mora obezbediti legalnost kompletnog procesa i sprovesti sve organizacione i tehničke mere zaštite podataka, a ne kako pojedini misle dobavljač CCTV sistema.

U dosadašnjoj praksi, pojedini rukovaoci,  kao što su kompanije  Google i Facebook, kažnjene rekordnim kaznama za kršenje GDPR-a, čime je dat jasan primer i „opomena“ svim ostalim. Manje kompanije nikako ne smeju da pomisle da su promakle odredbama ZZPL / GDPR, jer se zakon sakako odnosi i na njih i svaki prekršj   adekvatno sankcioniše.

 

Usklađivanje poslovanja 

Obaveze koje GDPR propisuje za poslodavce, često se mogu učiniti obeshrabrujućim i konfuznim. No,  ukoliko vlasnici i članovi rukovodstva firme poznaju zakon, onda ne moraju da brinu. Postoji obuka koja omogućava bržu i lakšu integraciju i usklađivanje sa GDPR-om, koju je neophodno uvažiti i proći kako bi oblast zaštite podataka bila jasnija, a samim tim i odgovori na sledeća pitanja koja bi vrlo često trebala da se razmatraju u svrhu poboljšanja poslovanja:

  • Da li moj sistem video nadzora krši privatnost mojih zaposlenih?
  • Da li sam istakao upozorenje da se oni snimaju?
  • Da li imam validan razlog za instaliranje video nadzora i snimanje zaposlenih?
  • Koliko dugo čuvam snimke i zašto?
  • Da li sam sproveo procenu rizika da opravdam i dokumentujem razloge za njihovo čuvanje?
  • Gde se moji podaci skladište?
  • Da li sam siguran da se ne dele sa trećim licima?
  • Ako postoji kršenje, koji je moj plan?

Ova pitanja će poslužiti kao polazna osnova, ali dugoročno, najbolje je da svaki član rukovodećeg tima prođe obuku. U ovoj digitalnoj eri, postoje različiti faktori koje treba razmotriti pre instaliranja video nadzora, ali to je nešto bez čega preduzeća nesumnjivo ne mogu u smislu fizičke bezbednosti. Zaštita poslovanja od provale je ključna, ali je isto tako ključno poznavanje obaveza firme prema javnosti i njenim zaposlenima i to je nešto, što ćete, kao poslodavac, morati da naučite što pre.

Celokupan proces usklađivanja racionalno je posmatrati kroz jedan projekat, jer privatna bezbednost i zaštita podataka o ličnosti podrazumevaju u velikom broju slučajeva  identične i sinhronizovane radnje kojima se mapiraju procesi, procenjuje rizik i daju konkretna rešenja. Imajući u vidu skup potrebnih aktivnosti, efikasno usaglašavanje može sprovesti security konsultant koji bi odgirao ulogu menadžera bezbednosti i službenika za zaštitu podataka o ličnosti- DPO