Jučer smo prenijeli javnu objavu AZOP-a o novoj kazni u Hrvatskoj
 
https://azop.hr/izdana-nova-upravna-novcana-kazna-2/
 
u slučaju u kojem je neoprezni zaposlenik zaštitarske tvrtke mobitelom snimio video materijal s monitora video nadzora i podijelio ga izvan tvrtke i posredno na društvenim mrežama.
 
To se ne smije raditi. Ali, nažalost, radi se.
 
Pisali smo o sličnom slučaju početkom prosinca 2020. temeljem objave u jednom od čitanijih medija:
 
https://www.telegram.hr/zivot/video-dva-starija-gospodina-potukla-se-na-blagajni-konzuma-dugo-nismo-vidjeli-nesto-tako-bedasto/
 
Društvenim mrežama i medijima raširila se snimka dvojice kupaca tijekom njihovog verbalnog i fizičkog sukoba na blagajni jednog trgovačkog lanca i zasigurno im nije drago ovakvo javno ismijavanje. Objektivno, tko bi očekivao da će itko iskoristiti video nadzor za javne objave na društvenim mrežama.
 
Glavni problem je postupanje trgovačkog lanca ili angažirane zaštitarske tvrtke s ovom snimkom i omogućavanje njene javne objave.
 
Evo i zašto:
 
1. Člankom 26. Zakona o provedbi Opće uredbe o zaštiti podataka jasno je utvrđeno da se video nadzor može provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine. Dijeljenje te snimke izvan organizacije i javna objava definitivno nisu zakoniti.
 
2. Člankom 28. Zakona o provedbi Opće uredbe o zaštiti podataka jasno je utvrđeno da snimkama može pristupiti samo odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti te da sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba. Samo trgovački lanac određuje tko sve ima pristup snimkama video nadzora, ne samo na papiru već i u stvarnosti, i jesu li osigurali takve mjere ograničenja pristupa.
 
3. Zaštita osoba i imovine putem video nadzora zakonita je temeljem članka 6. stavka 1. točke (f) GDPR-a kada je nužna za potrebe legitimnih interesa trgovačkog lanca. No, njeno dijeljenje izvan trgovačkog lanca i javna objava nisu zakoniti.
 
4. Samim time se trgovački lanac ogrješio i o članak 5. stavak 1. točke (a), (b) i (f), odnosno, nezakonitim postupanjem video snimkama, na način da postupanje nije u skladu sa svrhom zaštite osoba i imovine, te izostankom osiguranja odgovarajućih mjera sigurnosti prikupljenih video snimki uključujući zaštitu od neovlaštene ili nezakonite obrade.
 
5. Odlukom AZOP-a iz prosinca 2018. o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli točnije točkom 6) kojom se obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu utvrđuje obradom za koju se mora provesti Procjena učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment), trgovački je lanac morao takvu obvezu davno ispuniti i pri tom provjeriti sve rizike i osigurati mjere kojima se rizici za snimljene osobe dovode na umjerenu ili prihvatljivu razinu. Ako i jesu to proveli i dokumentirali, očigledno u praksi nije implementirano.
 
6. Ako je snimku iz sustava video nadzora nezakonito iznio, kopirao, podijelo s trećima ili javno objavio zaposlenik trgovačkog lanca, tada imamo dvije opcije: ili trgovački lanac nije osigurao da samo educirani zaposlenici svjesni svojih obveza imaju pristup tim snimkama ili se radi o povredi radne obveze od strane zaposlenika.
 
7. Ako je snimku iz sustava video nadzora nezakonito iznio, kopirao, podijelo s trećima ili javno objavio zaposlenik vanjske tvrtke koja održava sustav video nadzora ili zaposlenik zaštitarske tvrtke, tada je takva vanjska tvrtka odgovorna zbog izostanka edukacije svojih zaposlenika i mjera prevencije da se "krađa" snimki ne dogodi.
 
Ali je i trgovački lanac odgovoran prema jer nije angažirao izvršitelja obrade koji u dovoljnoj mjeri jamči provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz GDPR-a i da se njome osigurava zaštita prava ispitanika te da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti.
 
Ovo je poziv svim organizacijama, ustanovama, institucijama, gradovima, općinama, državnim i privatnim tvrtkama, tijelima javne vlasti i javnim tijelima, udrugama, privatnim kućanstvima i svima koji imaju video nadzor, da revidiraju svoje procedure zaštite snimki i prava pristupa snimkama, da redovito i učestalo educiraju svoje zaposlenike.