Informacijski pooblaščenec (IP) glede videonadzora na delovnem mestu kot ključno izpostavlja, da se videonadzor izvaja le v tistih delovnih prostorih, kjer je to nujno potrebno za varovanje določene pravne dobrine, in da se izvaja videonadzor delovnih prostorov kot takih, ne pa posameznih zaposlenih, ki v teh delovnih prostorih opravljajo svoje delo. |
Na podlagi posredovanih informacij IP skladno z 58. členom Uredbe (EU) 2016/679 (Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (UZInfP) posreduje neobvezujoče mnenje v zvezi z omenjenim vprašanjem.
Pravna ali fizična oseba, ki izvaja videonadzor, mora skladno z določbami 25. člena ZVOP-1 v notranjih aktih določiti tudi osebo, ki je odgovorna za evidenco videonadzornega sistema, ter osebe, ki lahko zaradi narave njihovega dela obdelujejo podatke v evidenci videonadzornega sistema.
Posnetke videonadzornega sistema lahko obdeluje le v skladu z osnovnimi nameni njihovega zbiranja oziroma eventualno v primeru nekega izrednega dogodka, ko bi videoposnetek služil kot dodaten dokaz v pravnem postopku.
Obrazložitev:
IP uvodoma splošno pojasnjuje, da je odgovornost za zakonito vzpostavitev in izvajanje videonadzora vedno na upravljavcu osebnih podatkov, ki mora biti to zmožen tudi dokazati. Videonadzor je sam po sebi ena hujših oblik posegov v zasebnost posameznika, zato je prav, da je ustrezno zakonsko reguliran in omejen na tisto, kar je nujno in sorazmerno za doseganje ciljev in namenov, ki naj bi jim videonadzor služil.
V Sloveniji to ureja ZVOP-1, ki se v tem delu do morebitne drugačne ureditve še uporablja tudi po začetku veljave Splošne uredbe o varstvu podatkov. Videonadzora v delovnih prostorih ZVOP-1 sicer ne prepoveduje, določa pa v 77. členu zelo stroga pravila glede njegove vzpostavitve in izvajanja. Izvajanje videonadzora znotraj delovnih prostorov (za delovne prostore gre šteti vse prostore in površine, kjer zaposleni opravljajo svoje delovne naloge) se tako lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi.
To pomeni, da mora izvajalec videonadzora v vsakem primeru izrecno ugotoviti, ali obstaja milejši ukrep, ki bi omogočal, da zaposleni ne bi bili podvrženi snemanju, saj gre za invazivni poseg v zasebnost zaposlenega. Odločanje o nujnosti in potrebnosti uvedbe videonadzora mora torej slediti zgoraj navedenim namenom, upravičenost pa se mora vedno presojati od primera do primera, kar pomeni, da mora biti osnovno vodilo pri uvedbi videonadzora načelo, da se ta uvede takrat, kadar ni na razpolago drugega milejšega ukrepa za dosego teh namenov.
Delodajalec sme torej izvajati videonadzor nad zaposlenimi le v primerih in pod pogoji oziroma za namene, ki jih določa ZVOP-1. Pred uvedbo videonadzora se je treba posvetovati tudi z reprezentativnim sindikatom o nujnosti uvedbe takšnega videonadzora, če tak sindikat obstaja. Prav tako je treba zaposlene še pred začetkom izvajanja videonadzora pisno obvestiti o tem, da se bo začel izvajati videonadzor.
Nadalje ZVOP-1 v 2. odstavku 77. člena določa, da se lahko videonadzor izvaja zgolj v tistih delih prostorov, kjer je potrebno varovati interese iz 1. odstavka 77. člena. Absolutno prepovedano pa je izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih. Zaradi varstva zasebnosti zaposlenih se mora videonadzor delovnih prostorov tudi s prostorskega vidika omejiti na najmanjši možni prostor, ki še zagotavlja zaščito določenih objektov varstva.
Ključno je torej, da se videonadzor izvaja le v tistih delovnih prostorih, kjer je to nujno potrebno za varovanje določene pravne dobrine, in da se izvaja videonadzor delovnih prostorov kot takih, ne pa posameznih zaposlenih, ki v teh delovnih prostorih opravljajo svoje delo.
Ob tem IP opominja, da mora v skladu s 74. členom ZVOP-1 oseba javnega ali zasebnega sektorja, ki izvaja videonadzor, o tem objaviti obvestilo. Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor. Obvestilo mora vsebovati točno določene informacije (da se izvaja videonadzor; naziv osebe javnega ali zasebnega sektorja, ki ga izvaja; telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema ter vse informacije iz prvega in drugega odstavka 13. člena Splošne uredbe o varstvu podatkov).
IP opozarja tudi na obveznosti, ki jih ima upravljavec osebnih podatkov v zvezi z varnostjo obdelave iz 32. člena Splošne uredbe o varstvu podatkov oziroma zavarovanjem osebnih podatkov iz 24. in 25. člena ZVOP-1. Upravljavec mora namreč sprejeti in izvajati ustrezne postopke in ukrepe varnosti oziroma zavarovanja osebnih podatkov, ki jih predvidevajo določbe navedenih členov. Skladno z določbami 24. in 25. člena ZVOP-1 mora v svojih aktih predpisati organizacijske, tehnične in logično tehnične ukrepe za zavarovanje osebnih podatkov, ter zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1.
Pravna ali fizična oseba, ki izvaja videonadzor, mora tako skladno z določbami 25. člena ZVOP-1 v notranjih aktih določiti tudi osebo, ki je odgovorna za evidenco videonadzornega sistema, ter osebe, ki lahko zaradi narave njihovega dela obdelujejo podatke v evidenci videonadzornega sistema. V skladu z določbo 24. člena ZVOP-1 mora pravna ali fizična oseba, ki izvaja videonadzor, zagotoviti tudi evidenco, iz katere je mogoče pozneje ugotoviti, kdaj so bili posamezni osebni podatki iz evidence videonadzornega sistema uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je možno zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Omenjena evidenca je namenjena temu, da se da naknadno ugotoviti, kateri posnetki so bili pregledovani, s kakšnim namenom ter kdo in kdaj je posnetke pregledoval ali drugače uporabljal.
IP nadalje pojasnjuje, da je videonadzor treba izvajati v skladu s splošnimi načeli iz 5. člena Splošne uredbe o varstvu podatkov. Zlasti je treba spoštovati načelo najmanjšega obsega podatkov ter poskrbeti, da bi bili osebni podatki, ki bi se pri tem obdelovali, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. V skladu u načelom omejitve shranjevanja mora upravljavec poskrbeti tudi za to, da so osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.
Ob tem IP poudarja, da je upravljavec videonadzornega sistema dolžan skrbeti za zakonito obdelavo posnetkov sistema. Obdeluje jih lahko le v skladu z osnovnimi nameni njihovega zbiranja oziroma eventualno v primeru nekega izrednega dogodka, ko bi videoposnetek služil kot dodaten dokaz v pravnem postopku. Upravljavec videonadzornega sistema (v konkretnem primeru delodajalec) tako ne sme vpogledovati v posnetke sistema brez ustrezne pravne podlage oziroma ne sme posnetkov posredovati naprej oziroma omogočati vpogleda v posnetke, saj gre brez dvoma za obdelavo osebnih podatkov. Prav tako mora poskrbeti, da je videonadzorni sistem zavarovan pred dostopom nepooblaščenih oseb.
IP dodaja še, da so podrobnejše informacije o obveznostih upravljavcev v zvezi z vzpostavitvijo videonadzora dosegljive tudi na spletni strani IP. Prav tako je IP glede videonadzora izdal številna mnenja, ki so objavljena na spletni strani IP.
IP sklepno poudarja, da je navedeno mnenje neobvezno, oblikovano glede na razpoložljive informacije, o ustreznosti in zakonitosti obdelave osebnih podatkov z vpogledom v videoposnetke v konkretnem primeru pa lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera.
Vir: Informacijski pooblaščenec (IP), 28. april 2022