Mario Milner, AZOP
Izvor: ZGRADOnačelnik.hr
ZGRADOnačelnik.hr
GDPR U ZGRADAMA

Zašto (ne)možete imati "špijunku" s kamerom, objaviti nečije podatke u ulazu ili snimati parkiralište

U emisiji ZGRADOnačelnik na PoslovniFM-u gostovao je Mario Milner, načelnik Sektora za nadzor, istrage i zaštitu prava ispitanika u Agenciji za zaštitu osobnih podataka. Naime, Opća uredba o zaštiti osobni podataka, poznata kao GDPR, na snazi je već šest i pol godina. Ta je uredba, iako unijela brojne promjene u načinu ophođenja s osobnim podacima, nešto na što smo se privikli. Međutim, i dalje postoje broje nedoumice i pitanja o tome kako primijeniti GDPR u stvarnome životu i na što se treba paziti. Videonadzor u zgradama je jedna od takvih tema. 

Koje su najčešće prijave koje dobivate, a tiču se kršenja GDPR-a u zgradama? 

Možemo, na sreću, reći da se, što se tiče količine prijava, problematika u zgradama smanjila. Na početku primjene Opće uredbe o zaštiti podataka (GDPR) dosta često smo zaprimali prijave stanara, odnosno ispitanika vezano uz javnu objavu podataka na oglasnim pločama, kao što su, primjerice objave, o dugovanju. Te oglasne ploče su često u nekim prometnim dijelovima zgrada koje dijele i ugostiteljski objekti. Dakako, tu imamo i problematiku vezanu uz videonadzor koja je posebno propisana Zakonom o provedbi opće uredbe. 

Koji su, slijedom toga, najčešći prekršaji koje AZOP ustanovljuje? 

Problematika videonadzora, primjerice, jedna je od problematika koja nije samo karakteristična za stambene zgrade. Tu imamo i videonadzor javnih površina, radnih prostora, obiteljskih kuća i ta problematika je dosta česta. Možda nije važna za stambene zgrade, ali važno je napomenuti i primjenu odgovarajućih organizacijsko tehničkih mjera. Svaki voditelj obrate podataka, koji obrađuje osobne podatke, mora voditi brigu o rizicima koje ta obrada nosi i poduzimati adekvatne organizacijsko-tehničke mjere. Najčešći voditelji obrade podataka su poslovni subjekti koji često misle da se njima neki rizik neće dogoditi, pa ne primjenjuju te mjere jer smatraju da financijski možda nije isplativo uvesti nekakvo tehničko rješenje koje je sigurnije. 

I još dodatno možemo svakako napomenuti, mislim da je bitno istaknuti za sve vaše slušatelje, je postupanje po zahtjevima ispitanika vezano uz ostvarenje njihovih prava. Opća uredba obvezuje svakog voditelja, odnosno izvršitelja obrade, da omogući određena prava ispitaniku, odnosno osobi čije osobne podatke i obrađuje, bilo da je to pravo na pristup, izmjenu ili prigovor vezano uz obradu osobnih podataka. To je možda ostalo nekako u sjeni ove neke fame oko GDPR-a i svih obaveza, tako da vidimo da se voditelji obrade nisu u potpunosti uskladili.  

Možemo li to sve što ste rekli jednostavnije objasniti? Možete li dati neki primjer? 

S obzirom na to da nam je tema vezana za stambene zgrade pokušat ću dati takve primjere. Voditelj obrade podataka nije predstavnik suvlasnika. Voditelj obrade podataka su svi suvlasnici stambene zgrade, oni koji su svojim sredstvima platili videonadzor. Ako ste vi vlasnik stana i snimate svoj stan, onda ste vi kao fizička osoba voditelj obrade podataka 

Tijekom postupanja AZOP-a mi komuniciramo s predstavnikom suvlasnika s obzirom na to da je temeljem posebnog zakona on određen da predstavlja suvlasničku zajednicu. 

Hoće li AZOP, kada dobije prijavu, odmah kažnjavati ili ide postupak kojim se prvo naloži uklanjanje nedostataka. Ako se to ne napravi, onda se kažnjava?

U šest godina primjene Opće uredbe i Zakona o provedbi opće uredbe, predstavnicima suvlasnika, suvlasnicima nismo izdali niti jednu novčanu kaznu. Uvijek idemo s nekakvom blažom mjerom. S obzirom na to da su propisane visoke kazne, predstavnici suvlasnika, odnosno suvlasnici koji su određeni da vode brigu sustava videonadzora, uvijek surađuju i možemo reći da se u većini slučajeva radi se o nekakvom možda nerazumijevanju, neznanju, da nema nekakvog kršenja propisa koje je bilo obilježje namjere ili zlouporabe, to su rijetki slučajevi. 

#GDPR

Često dobivamo pitanja što se smije, što se ne smije? Znamo da, i sami ste rekli, ne smije se objavljivati, primjerice, popis čišćenja snijega ili dugova na oglasnoj ploči u ulazu, jer to zapravo sadrži imena, prezimena suvlasnika, ti se podaci mogu slati suvlasnicima mailom ako ih zatraže. Ili isprintati te staviti u kaslić. Zapravo je vrlo jasno da se nikada ne smije objaviti ime i prezime osobe u ulazima. No smije se objaviti prezime ili ime i prezime na poštanskim sandučićima i portafornma. Možemo li objasniti zašto ovo prvo ne smijemo, a ovo drugo smijemo? 

Moramo razlikovati dvije stvari. Jedna je da vjerojatno predstavnik suvlasnika ili upravitelj zgrade objavljuje nečije podatke, a druga je stvar da stan označavate vi sami kao vlasnik. Dakle, vi kao vlasnik možete svoje podatke objaviti javno i GDPR vas ne sprječava da to radite. 

A da biste vi objavili podatke druge osobe, morate imati neku zakonitu svrhu i neku pravnu osnovu. Postoje više vrsta pravnih osnova - recimo, to može biti legitimni interes ili privola. Privola mora biti dokaziva, znači mora postojati nečiji potpis. Primjerice, na nekome sastanku suvlasnici su potpisali da „ja kao suvlasnik u tom dijelu sam suglasan da se moje ime nađe na oglasnoj ploči“. Dakle, to je jedna pravna osnova.

Ali samo oni koji su dali privolu, ne oni koji je nisu dali. A što je s objavom na poštanskim sandučićima i kaslićima? 

Dakle, Zakon o poštanskim uslugama jasno propisuje što je potrebno da se dostava ostvari. Zaštita osobnih podataka u potpunosti, dakle 100 posto, nije moguća. Ali naravno, da bismo platili cijenu neke sigurnosti i komocije, neka prava su nam ograničena nekakvim propisom. Tako je jedno od tih prava ograničeno Zakonom o poštanskim uslugama koje nalaže da svaki stambeni objekt mora biti označen. 

Videonadzor - znamo da se odluka o tome donosi dvotrećinskom većinom, da moraju biti zadovoljeni propisi i procedure. Često nam predstavnici kažu da imaju videonadzor i da ih suvlasnici traže da gledaju te snimke jer se nešto dogodilo. Mi kažemo da to oni ne smiju jer nisu za to ovlašteni. Možete li objasniti što to znači?

Pojasnit ćemo smisao ove odredbe, pa će biti puno jasnije. Smisao GDPR-a je da se spriječe zlouporabe. Recimo da imamo zgradu i da troje četvero suvlasnika imaju pristup snimkama, ali svi suvlasnici su odgovorni za tu obradu podataka. Dakle, suvlasnička zajednica je voditelj obrade podataka. Nije to samo predstavnik suvlasnika, on je samo osoba ovlaštena za uvid. 

Postoji praksa kada se uvodi videonadzor, suvlasnici na sastanku donose odluku dvotrećinskom većinom. To je zakonski uvjet. Te ovlašćuju predstavnika suvlasnika ili nekoga drugoga, osoba koja im je možda bliska, ima tehnička znanja, da ima uvid u snimke. 

Smisao zakonske odredbe nije da se ograniči nečije pravo, nego da se zaštiti građane. 

U teoriji - imamo zgradu od 10 stanova, 10 suvlasnika i oni kažu uvode videonadzor s dvije trećine potpisa. Imaju videonadzor u zajedničkim prostorima, znači sve što zajedničko se smije snimati. No sada svaki od njih želi vidjeti snimku. Oni to po sadašnjim propisima ne smiju, osim ako to nije jasno naznačeno u odluci koju se donijeli.

Tako je. 

Dakle, može se napraviti to da svaki suvlasnik ima pravo vidjeti snimku. Vrijedi li, slijedom toga, da se snimku može gledati bilo koji suvlasnik u bilo kojemu trenutku ili mora postojati neki konkretni događaj za to? Primjerice provala ili neka šteta. 

Svrha je zaštita osoba i imovine. Jedna od obaveza prilikom uz uspostave videonadzora je automatizirani sustav zapisa tzv. logovi. Da biste pregledavali snimke na kojima se svatko nalazi, netko se šeće, zadirete u nečiju privatnost, mora biti opravdani razlog za to. Agencija lako može utvrditi kada je netko pristupio snimkama (logovi), zašto je pristupio i je li bio štetan događaj.

Budimo, iskreni i realni - u nekim situacijama policija neće ni doći. Primjerice, imamo videonadzor u višestambenoj zgradi. Djeca se igraju po ulazu i buče, možda trže po ulazu, lupaju ljudima po vratima od stana, kucaju, zvone. Imamo odluku da svi suvlasnici smiju pogledati video snimku, ne samo oni koji su potpisali odluku o ugradnji videonadzora. I dođe gospođa Marica ili  gospodin Toni i kažu da klinci svaki dan lupaju po vratima. Je li to opravdan razloga za gledanje snimke? 

Svrha je zaštita osoba i imovine. Kada govorimo o zaštiti osoba, to je zaštita njihovih prava i sloboda. Nije to samo zaštita od neposredne opasnosti. Ako se neki događaj događaju protupravno, ako imamo odluku o kućnom redu, ako je neko jedanput pozvoni na vrata, bismo li to definirali kao kršenje? Da bismo to definirali kao kršenje, mora biti kršenje nekakvog propisa.

Ne govorimo o, primjerice, glasnom razgovoru u hodniku zgrade jer glasno pričanje nije zabranjeno. Mora biti nekakva protupravnost određenih radnji. Ako neko lupa po vratima, vi možete opravdano sumnjati da vas netko napada jer živite sami. Mora biti nekakav opravdani razlog. Teško je propisati sve situacije jer one zavise o subjektivnom doživljaju osobe. Ali ako netko kaže - neki klinci lupaju loptom po ulazu, udarili su pet ili deset puta loptom, to nije nekakav opravdani razlog za gledanje snimke. 

Ali, ako nema potrebe za videonadzorom, AZOP ga može toj zgradi i zabraniti? 

Uvijek se ide nekim redom. Uvijek se kreće s najmanje invazivnom metodom. Agencija ne procjenjuje nečiju sigurnost odnosno osjeća li se netko sigurnim ili ne. Imamo smjernice koje je izdala stručna podskupina Europskog odbora za zaštitu podataka u kojima se jasno navodi da bi videonadzor od segmentu zaštitnih mjera pri samome kraju liste, a ne na početku. Sada je druga stvar što je videonadzor jako dostupan, jako jeftin i jako efikasan 

Može li suvlasnik u svoja vrata od stana ugraditi „špijunku“ koja je zapravo kamera? Snima li ta kamera negdje ili samo pokazuje u realnom vremenu situaciju ispred stana? Kada se aktivira? Puno je tu pitanja koja nam jako puno ljudi postavljaju. 

Odgovor je i mogu i ne mogu, a sada ću vam detaljnije objasniti. Naš Zakon o provedbi opće uredbe koji jasnije definira pojedina poglavlja obrade osobnih podataka, a jedan od njih je vezan za obradu osobnih podataka putem videonadzora, definira što je videonadzor i tu se „vrtimo“ oko snimke. Dakle, videonadzor je sustav prikupljanja određenih podataka.

Bitno je naglasiti da može činiti sustav pohrane, odnosno bilježenje koje se može pretraživati. Dakle, ako bi se radilo o špijunki koja s druge strane ima samo ekran, nije povezana ni s čim i ne pohranjuje i nema nikakvu mogućnost pohranjivati podatke, to nije videonadzor u smislu naših zakona. 

A recimo osoba je na poslu, dijete mu je kod kuće, netko zvoni i toj osobi se aktivira slika na mobitelu i vidi osobu koja zvoni?

I po zakonskoj definiciji videonadzora, to je videonadzor. Ne morate pohranjivati snimke, bitno je da imate tu mogućnost. Tu praksu potvrdio je i sud, tako da i u sudskim odlukama je to potvrđena praksa. Tehnologija je postala toliko dostupna da nam se čini da je to nešto normalno, ali u biti je dvojbeno koliko su oni usklađeni sa zakonskim okvirom zaštite osobnih podataka. 

Možemo zaključiti da suvlasnik ima pravo staviti kameru na strop u ulazu (naravno uz adekvatnu dozvolu ostalih suvlasnika, op.ur.), koja će isključivo snimati njegova vrata stana i može te snimke gledati s radnog mjesta i pohranjivati? 

Moramo voditi računa što ona može snimati. Ako vi u nekome trenutku stavite neku kameru, u jednome trenutku se ona usmjeri u vrata, a u sljedećem negdje drugdje, to je druga situacija. 

Kod obiteljskih kuća je, primjerice, problem takav da na tržištu imate rotirajuće kamere, detektore pokreta, i mi kada dođemo u nadzor, provjeravat ćemo snimku i dogodit će se situacija da se kamera okrenula i snimila javnu površinu. I već ste u prekršaju. 

Ovo nisu jednostavne stvari. U našoj se praski događalo da takve kombinacije najčešće zabranjujemo jer jako je teško postići da budu u skladu s regulativom. 

#GDPR

Imamo i situacije gdje su ljudi stavili kamere na prozorske daske svojih stanova ili kuća i snimaju javnu površinu. Možemo li objasniti zašto se to ne može i nije u skladu sa zakonom. Mnogi smatraju da imaju na to pravo jer snimaju svoj automobil koji je parkiran tamo. 

Pravo obrade osobnih podataka putem videonadzora ograničeno je na zaštitu osoba i imovine u smislu ovog zakona. Naravno, postoje drugi zakoni, poput Zakona o zaštiti novčarskih institucija koji obvezuje neke institucije da imaju videonadzor. No govorimo o sferi višestambenih zgrada, fizičkih osoba. Vi imate pravo štititi se u zoni vaše imovine, vaše nekretnine. Zona štićenja može biti granica vaših posjeda. 

Zakonom je zabranjeno snimanje javne površine, tu nema opravdanog razloga. To je isto kao kada biste u prometu prošli kroz crveno svjetlo i kažite da imate opravdani razlog. Nema ga. To je zabranjeno, to ne možete opravdati niti jednim razlogom. Kao i kod vožnje pod utjecajem alkohola, to je zabranjeno. 

Zakonodavac je rekao da ni fizičke osobe nisu ovlaštene snimati javnu površinu, to je zakonom zabranjeno, ne možete naći opravdani razlog da to radite i nemojte snimati.  

Poslušajte sve dosadašnje emisije ZGRADonačelnik na PoslovniFM-u.

*U komentarima i mišljenjima izneseni su osobni stavovi autora i ne mogu se ni pod kojim uvjetima smatrati službenim stavovima Zgradonačelnik.hr-a. Zgradonačelnik.hr ne preuzima odgovornost za sadržaj ovog teksta.