Kazna od 38.800 EUR sustigla je voditelja trgovine u Norveškoj koji je svojim privatnim mobilnim uređajem snimio snimku s ekrana službenog sustava video nadzora, sumnjavši na krađe u trgovini i sa željom da pronađe kradljivce.

I na vrlo je nesmotren način podijelio "ukradenu" snimku s trećom osobom koja je tu snimku dala svom sinu, a on, naravno podijelio dalje mnogim poznanicima.

"Ukradena" snimka došla je i do djeteta koje se stvarno nalazi na snimci.

Cijela priča je otišla u potpuno krivom smjeru, umjesto traženja kradljivaca, ovdje je ozbiljno narušena privatnost osoba, konkretno djeteta, što je i voditelj trgovine prekasno shvatio.

Trgovina je oštro kažnjena zbog propusta u upravljanju snimkama video nadzora, vjerujemo i zbog nedovoljne edukacije zaposlenika i samog voditelja trgovine, kao i zbog propusta u ograničavanju pristupa snimkama video nadzora, a poseban propust učinjen je time da je snimka video nadzora predana i objavljena neovlaštenim osobama izvan trgovine.

https://gdprhub.eu/index.php?title=Datatilsynet_-_20/01790&mtc=today

No, na kraju je izrečena kazna praktički poništena od strane žalbenog tijela u području zaštite osobnih podataka jer je podijeljena snimka trajala samo 3 sekunde, nije otkrivala lica niti kazneno dijelo i nije sadržavala osobne podatke te je bila izbrisana par dana kasnije.

https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_DT-20/01790_PVN-2021-09_%26_PVN-2021-15&mtc=today


************

Imali smo početkom 2021. godine i izrečenu kaznu u Hrvatskoj od strane AZOP-a od 500.000 kuna jednoj zaštitarskoj tvrtki

https://azop.hr/izdana-nova-upravna-novcana-kazna/

jer je njezin zaposlenik svojim mobitelom snimio snimku s ekrana video nadzora trgovačkog lanca i podijelio je s poznanicima.

U oba navedena slučaja glavni problem je postupanje trgovačkog lanca ili angažirane zaštitarske tvrtke s ovom snimkom i omogućavanje njene javne objave.

 

Evo i zašto:

  1. Člankom 26. Zakona o provedbi Opće uredbe o zaštiti podataka jasno je utvrđeno da se video nadzor može provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine. Dijeljenje te snimke izvan organizacije i javna objava definitivno nisu zakoniti.
  1. Člankom 28. Zakona o provedbi Opće uredbe o zaštiti podataka jasno je utvrđeno da snimkama može pristupiti samo odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti te da sustav video nadzora mora biti zaštićen od pristupa neovlaštenih osoba. Samo voditelj obrade, odnosno, trgovački lanac određuje tko sve ima pristup snimkama video nadzora, ne samo na papiru već i u stvarnosti, i jesu li osigurali takve mjere ograničenja pristupa.
  1. Zaštita osoba i imovine putem video nadzora zakonita je temeljem članka 6. stavka 1. točke (f) GDPR-a kada je nužna za potrebe legitimnih interesa trgovačkog lanca. No, njeno dijeljenje izvan trgovačkog lanca i javna objava nisu zakoniti.
  1. Samim time se trgovački lanac ogrješio i o članak 5. stavak 1. točke (a), (b) i (f), odnosno, nezakonitim postupanjem video snimkama, na način da postupanje nije u skladu sa svrhom zaštite osoba i imovine, te izostankom osiguranja odgovarajućih mjera sigurnosti prikupljenih video snimki uključujući zaštitu od neovlaštene ili nezakonite obrade.
  1. Odlukom AZOP-a iz prosinca 2018. o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli točnije točkom 6) kojom se obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu utvrđuje obradom za koju se mora provesti Procjena učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment), trgovački je lanac morao takvu obvezu davno ispuniti i pri tom provjeriti sve rizike i osigurati mjere kojima se rizici za snimljene osobe dovode na umjerenu ili prihvatljivu razinu. Ako i jesu to proveli i dokumentirali, očigledno u praksi nije implementirano.
  1. Ako je snimku iz sustava video nadzora nezakonito iznio, kopirao, podijelio s trećima ili javno objavio zaposlenik trgovačkog lanca, tada imamo dvije opcije: ili trgovački lanac nije osigurao da samo educirani zaposlenici svjesni svojih obveza imaju pristup tim snimkama ili se radi o povredi radne obveze od strane zaposlenika.
  1. Ako je snimku iz sustava video nadzora nezakonito iznio, kopirao, podijelio s trećima ili javno objavio zaposlenik vanjske tvrtke koja održava sustav video nadzora ili zaposlenik zaštitarske tvrtke, tada je takva vanjska tvrtka odgovorna zbog izostanka edukacije svojih zaposlenika i mjera prevencije da se "krađa" snimki ne dogodi.

 

Ovo je poziv svim organizacijama, ustanovama, institucijama, gradovima, općinama, državnim i privatnim tvrtkama, tijelima javne vlasti i javnim tijelima, udrugama, privatnim kućanstvima i svima koji imaju video nadzor, da revidiraju svoje procedure zaštite snimki i prava pristupa snimkama, da redovito i učestalo educiraju svoje zaposlenike.