Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Videonadzor večstanovanjske stavbe

+ -
Datum: 11.01.2023
Številka: 07121-1/2022/1477
Kategorije: Pravne podlage, Stanovanjsko in nepremičninsko pravo, Video in avdio nadzor, Zavarovanje osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede videonadzora stanovanjske stavbe, katere upravnik ste. Zanima vas, ali lahko videonadzor stavbe izvaja stanovalec, ki za to ni usposobljen, in sicer s pomočjo aplikacije na mobilnem telefonu.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju, skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Določbe o videonadzoru za večstanovanjske stavbe po ZVOP-1 veljajo le še do 26. 1. 2023, ko v veljavo stopi nov Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/2022; v nadaljevanju ZVOP-2), ki posebnih določb glede videonadzora večstanovanjskih stavb ne vsebuje.

 

Tako je od 26. 1. 2023 dalje po ZVOP-2 pri izvajanju videonadzora potrebno zadostiti zahtevam iz 76. člena ZVOP-2 in 13. člena Splošne uredbe, glede zavarovanja videonadzornega sistema pa zahtevam iz 24. in 32. člena Splošne uredbe.

 

Ustrezna pravna podlaga za izvajanje videonadzora bi lahko bila točka (f) prvega odstavka 6. člena Splošne uredbe, če in v obsegu, v katerem so za to izpolnjeni pogoji. Torej, če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba in če nad takimi interesi ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, ki bi lahko bil na posnetkih.

Po mnenju IP velja, da je kakršen koli prenos žive slike ali dostop do posnetkov preko mobilnih telefonov, prenosnih računalnikov ipd. osebam, ki niso pooblaščene za izvajanje namenov videonadzora (npr. varovanje) ter izven zakonitih namenov izvajanja videonadzora, nedopusten.

 

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da določbe o videonadzoru za večstanovanjske stavbe po ZVOP-1 veljajo le še do 26. 1. 2023, ko v veljavo stopi nov Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/2022; v nadaljevanju ZVOP-2), ki posebnih določb glede videonadzora večstanovanjskih stavb ne vsebuje.

Do dne uveljavitve ZVOP- 2 tako veljajo osnovne informacije v zvezi z vzpostavitvijo videonadzora v večstanovanjski stavbi po ZVOP-1, ki jih je IP že zapisal v mnenju:

Od 26. 1. 2023 dalje, pa je ZVOP-2 pri izvajanju videonadzora potrebno zadostiti zahtevam iz 76. člena ZVOP-2 in 13. člena Splošne uredbe o varstvu podatkov, glede zavarovanja videonadzornega sistema pa zahtevam iz 24. in 32. člena Splošne uredbe o varstvu podatkov.

Ustrezna pravna podlaga za izvajanje videonadzora bi lahko izhajala iz točke (f) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov, če in v obsegu, v katerem so za to izpolnjeni pogoji. Torej, če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba in če nad takimi interesi ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, ki bi lahko bil na posnetkih.

IP nadalje pojasnjuje, da je skladno s Splošno uredbo videonadzor načeloma dopusten pod pogojem, da za izvajanje takšnega videonadzora obstaja katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe o varstvu podatkov. Slednji določa, da je obdelava osebnih podatkov zakonita, če je podana ena od naslednjih pravnih podlag:

  • privolitev (točka (a)),
  • sklenitev ali izvajanje pogodbe (točka (b)),
  • zakon (točka (c)),
  • zaščita življenjskih interesov posameznika (točka (d)),
  • izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1),
  • zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka (f)).

Upravljavec videonadzora je dolžan ne glede na pravno podlago, na temelju katere obdeluje osebne podatke, v skladu s 13. členom Splošne uredbe o varstvu podatkov posameznikom na jasen in pregleden način zagotoviti osnovne informacije v zvezi z obdelavo osebnih podatkov ter informacije navedene v četrtem odstavku 76. člena ZVOP-2.

Glede zavarovanja videonadzornega sistema je potrebno zadostiti zahtevam iz 24. in 32. člena Splošne uredbe o varstvu podatkov.

Določbe v 24. členu Splošne uredbe o varstvu podatkov se nanašajo na odgovornost upravljavca, ki mora ob upoštevanju narave, obsega, okoliščin in namenov obdelave, tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvesti ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno. Kadar je to sorazmerno glede na dejavnosti obdelave, ti ukrepi vključujejo tudi izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

Splošna uredba o varstvu podatkov v 32. členu določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno: psevdonimizacijo in šifriranje osebnih podatkov, zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo, zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta, postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

Drugi odstavek istega člena opredeljuje, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Kot že navedeno, bo za izvajanje videonadzora po ZVOP-2 potrebno zadostiti tudi naslednjim določbam iz 76. člena tega zakona, ki vsebujejo splošne določbe o videonadzoru in varstvu osebnih podatkov: 

(1) Določbe tega poglavja se uporabljajo za izvajanje videonadzora, če drug zakon ne določa drugače.

(2) Odločitev o uvedbi videonadzora sprejme predstojnik, direktor ali drug pooblaščen posameznik osebe javnega sektorja ali osebe zasebnega sektorja kot upravljavca. V pisni odločitvi morajo biti obrazloženi razlogi za uvedbo videonadzora.

(3) Upravljavec, ki izvaja videonadzor (v nadaljnjem besedilu: upravljavec videonadzornega sistema), o odločitvi iz prejšnjega odstavka objavi obvestilo. Obvestilo se vidno in razločno objavi na način, ki omogoča posamezniku, da se seznani z izvajanjem videonadzora in da se lahko vstopu v nadzorovano območje odpove.

(4) Obvestilo iz prejšnjega odstavka poleg informacij iz prvega odstavka 13. člena Splošne uredbe vsebuje naslednje informacije:

1. pisno ali nedvoumno grafično opisano dejstvo, da se izvaja videonadzor;

2. namene obdelave, navedbo upravljavca videonadzornega sistema, telefonsko številko ali naslov elektronske pošte ali spletni naslov za potrebe uveljavljanja pravic posameznika s področja varstva osebnih podatkov;

3. informacije o posebnih vplivih obdelave, zlasti nadaljnje obdelave;

4. kontaktne podatke pooblaščene osebe (telefonska številka ali naslov e-pošte);

5. neobičajne nadaljnje obdelave, kot so prenosi subjektom v tretje države, spremljanje dogajanja v živo, možnost zvočne intervencije v primeru spremljanja dogajanja v živo.

(5) Namesto objave v obvestilu po tretjem odstavku tega člena se lahko obveščanje posameznika izvede tudi na način, da upravljavec informacije iz prvega odstavka 13. člena Splošne uredbe in informacije iz 3. do 5. točke prejšnjega odstavka objavi na spletnih straneh. V tem primeru mora na obvestilu iz prejšnjega odstavka objaviti spletni naslov, kjer so te informacije dostopne.

(6) Šteje se, da je z obvestilom iz tretjega in petega odstavka tega člena posameznik obveščen o obdelavi osebnih podatkov.

(7) Zbirka posnetkov videonadzornega sistema vsebuje posnetek posameznika (slika), podatek o lokaciji, datum in čas posnetka, izjemoma, če je to posebej nujno potrebno, pa tudi zvok.

(8) Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan, kot to določata 24. in 32. člen Splošne uredbe.

(9) Posnetki videonadzora se lahko ob upoštevanju načel iz 5. člena Splošne uredbe hranijo največ eno leto od trenutka nastanka posnetka.

(10) Videonadzora ni dovoljeno izvajati v dvigalih, sanitarijah, prostorih za preoblačenje, hotelskih sobah in drugih podobnih prostorih, v katerih posameznik utemeljeno pričakuje višjo stopnjo zasebnosti.

(11) Vpogled, uporaba ali posredovanje posnetkov videonadzornega sistema so dopustni samo za namene, ki so zakonito obstajali ali bili navedeni na obvestilu v času zajema posnetka.

(12) Upravljavec videonadzornega sistema za vsak vpogled ali uporabo posnetkov zagotovi možnost naknadnega ugotavljanja, kateri posnetki so bili obdelani, kdaj in kako so bili uporabljeni ali komu so bili posredovani, kdo je izvedel ta dejanja obdelave, kdaj in s kakšnim namenom ali na kateri pravni podlagi. Te podatke hrani v dnevniku obdelave iz 22. člena tega zakona dve leti po koncu leta, ko so nastali.

 

Poleg navedenega IP meni, da je kakršen koli prenos žive slike ali dostop do posnetkov preko mobilnih telefonov, prenosnih računalnikov ipd. osebam, ki niso pooblaščene za izvajanje namenov videonadzora (npr. varovanje) ter izven zakonitih namenov izvajanja videonadzora, nedopusten.

 

IP na koncu še pojasnjuje, da je odgovornost za zakonito vzpostavitev in izvajanje videonadzora vedno na upravljavcu osebnih podatkov, ki mora biti to zmožen tudi dokazati. IP izven postopka inšpekcijskega nadzora ne more podajati konkretnih ocen o tem, ali upravljavec izpolnjuje pogoje za uvedbo in izvajanje videonadzora.

 

Lepo vas pozdravljamo,

 

Pripravila:

mag. Saša Zlatkovski

državna nadzornica

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka