Varnost videonadzornega sistema v večstanovanjskem bloku

Datum

26.05.2025

Številka

07121-1/2025/653

Kategorije

Stanovanjsko in nepremičninsko pravo, Varnost osebnih podatkov, Video in avdio nadzor

Informacijski pooblaščenec (v nadaljevanju: IP) je po elektronski pošti prejel dopis, v katerem vas kot upravnika večstanovanjske stavbe zanima, ali je skladno s predpisi s področja varstva osebnih podatkov, da videonadzorna kamera shranjuje posnetke na vgrajeno SD-kartico, ki jo je mogoče razmeroma preprosto fizično odstraniti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1.

Upravljavec osebnih podatkov mora zagotoviti, da se videonadzor izvaja na način, ki zagotavlja varnost osebnih podatkov. To pomeni, da morajo biti sprejeti tehnični in organizacijski ukrepi, s katerimi se osebni podatki učinkovito zavarujejo pred nenamernim ali nezakonitim uničenjem, izgubo, spremembo, nepooblaščenim razkritjem ali dostopom.

2.

Uporaba SD-kartice kot nosilca za shranjevanje videoposnetkov sama po sebi ni v nasprotju s predpisi s področja varstva osebnih podatkov. Vseeno pa mora upravljavec ob izbiri takšne tehnične rešitve presoditi, ali lahko z razpoložljivimi ukrepi zagotovi dovolj visoko raven varnosti, ki ustrezno naslavlja vsa povezana tveganja (npr. nepooblaščen dostop do SD-kartice in s tem posnetkov). Če te ravni ni mogoče doseči, takšna oblika hrambe oziroma izvajanja videonadzora ni dopustna

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti izvajanja videonadzora v okviru mnenja ne more podati, saj lahko zakonitost posameznih obdelav osebnih podatkov presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka, kjer bi nam bile znane vse okoliščine konkretnega primera.

V zvezi z vašim vprašanjem IP pojasnjuje, da morajo biti videonadzorni sistemi skladno z določbami Splošne uredbe in Zakona o varstvu osebnih podatkov (v nadaljevanju: ZVOP-2) vzpostavljeni na način, ki zagotavlja ustrezno raven varnosti osebnih podatkov. Upravljavec mora v skladu z 32. členom Splošne uredbe namreč zagotoviti takšne tehnične in organizacijske ukrepe, ki ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov zagotavljajo ustrezno raven varnosti glede na tveganje zlasti za tveganje nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov nepooblaščenim osebam.

V primeru, ko se posnetki shranjujejo neposredno na SD-kartico, ki je del same videonadzorne naprave, je treba posebno pozornost nameniti vprašanju varnosti takšne oblike hrambe. Če je do kartice mogoče razmeroma preprosto fizično dostopati in jo odstraniti, to praviloma pomeni povečano tveganje za nepooblaščen dostop, izgubo ali zlorabo osebnih podatkov. Takšna rešitev je z vidika varstva osebnih podatkov dopustna le, če so vzpostavljeni ustrezni zaščitni ukrepi, ki učinkovito obvladujejo izpostavljena tveganja.

Ukrepi za učinkovito obvladovanje izpostavljenih tveganj bi lahko primeroma vključevali fizično zaščito naprave oziroma samega nosilca (npr. zaklenjeno proti vandalsko ohišje), tehnično zaščito podatkov (npr. šifriranje posnetkov), določitev pooblaščenih oseb za dostop do videoposnetkov ter vodenje ustreznega dnevnika vpogledov v videoposnetke. Treba je zagotoviti, da je dostop do videoposnetkov omogočen izključno v primerih, ko je to nujno potrebno glede na zasledovan namen videonadzora, in da se neprekinjeno vodi revizijska sled, iz katere izhaja - kdo, kdaj in zakaj je dostopal do katerih videoposnetkov.

Upravljavec mora namreč glede na načelo odgovornosti iz 5. člena Splošne uredbe zagotoviti, da so vsi postopki v zvezi z obdelavo osebnih podatkov ustrezno dokumentirani in da je mogoče kadar koli izkazati skladnost s pravili varstva osebnih podatkov.

Ob tem IP še poudarja, da uporaba SD-kartice kot nosilca za shranjevanje posnetkov sama po sebi ni neskladna s pravili varstva osebnih podatkov, vendar pa mora upravljavec pri izbiri takšne tehnične rešitve za hrambo osebnih podatkov sam presoditi, ali je mogoče z razpoložljivimi ukrepi zagotoviti takšno raven varnosti, da bo ta učinkovito naslovila izpostavljena tveganja, in s tem zahteve iz 24. in 32. člena Splošne uredbe ter osmega odstavka 76. člena ZVOP-2. Če ustrezne ravni varnosti ni mogoče doseči, takšna oblika hrambe oz. izvajanja videonadzora ni dopustna.

Kot že pojasnjeno, bi IP presojo ustreznosti sprejetih ukrepov za zagotovitev varnosti obdelave osebnih podatkov v konkretnem primeru, izvedel lahko zgolj v okviru inšpekcijskega ali drugega upravnega postopka, kjer bi se celovito ocenilo dejansko stanje in relevantne okoliščine posamezne obdelave. Odgovornost za zakonito in varno obdelavo osebnih podatkov pa je vedno na upravljavcu.

Sklepno poudarjamo, da mora upravljavec poleg zagotovitve ustrezne varnosti videonadzornega sistema poskrbeti tudi za vse druge obveznosti, ki jih predpisujeta Splošna uredba in ZVOP-2, zlasti zahteve glede objave obvestila o videonadzoru (76. člen ZVOP-2); obveščanja posameznikov o obdelavi osebnih podatkov (12. in 13. člen Splošne uredbe), vodenja evidenc dejavnosti obdelave (30. člen Splošne uredbe) in dnevnika obdelave (22. člen ZVOP-2 v povezavi z dvanajstim odstavkom 76. člena ZVOP-2); zagotavljanja ustreznega roka hrambe videoposnetkov (največ eno leto od trenutka nastanka po devetem odstavku 76. člena ZVOP-2); pravil glede pogodbene obdelave osebnih podatkov (28. člen Splošne uredbe) itd., upoštevajoč vsa načela varstva osebnih podatkov iz 5. člena Splošne uredbe.

Za več informacij v zvezi z videonadzorom vas napotujemo še na smernice IP o videonadzoru: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-izvajanja-videonadzora ter na smernice Evropskega odbora za varstvo osebnih podatkov (EDPB) glede obdelave osebnih podatkov z video napravami, ki so vam lahko v pomoč pri vzpostavitvi videonadzora ter potrebnih varovalk pri izvajanju: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_sl_0.pdf

V upanju, da ste dobili odgovor na vaše vprašanje, vas lepo pozdravljamo.

Pripravil:

Grega Rudolf, mag.

svetovalec pooblaščenca za mednarodne odnose

Dr. Jelena Virant Burnik

informacijska pooblaščenka