c S
U središtu

Azop Gradu Zagrebu naložio mjere vezane uz videonadzor javnih površina

13.07.2023

Agencija za zaštitu osobnih podataka (u daljnjem tekstu: AZOP), kao samostalno i neovisno državno tijelo, nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od  27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (Opće uredbe o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18). Po zaprimljenoj pritužbi građana te nakon objava u medijima o mogućem korištenju videonadzornog sustava prvotno namijenjenog za provedbu poslova nadzora iz domene prometnog redarstva koji je postavljen na javnim površinama u Gradu Zagrebu, a u svrhu utvrđivanja prekršaja protiv osoba koje nepropisno odbacuju otpad na površine javne namjene, AZOP je proveo nadzorno postupanje nad Gradom Zagrebom kako bi ispitao navode iz pritužbi te slijedom utvrđenih nepravilnosti, naložio Gradu Zagrebu određene, u nastavku teksta, izložene mjere.

Sporna obrada osobnih podataka koja je bila predmetom nadzora

Grad Zagreb je postavio videonadzorni sustav na javnoj površini za potrebe provedbe poslova nadzora nepropisno zaustavljenih i parkiranih vozila, upravljanja prometom, izdavanja naredbi za premještanje nepropisno zaustavljenih i parkiranih vozila te poduzimanja mjera sukladno ovlastima propisanih Zakonom o sigurnosti prometa na cestama i Prekršajnim zakonom. Upravljanje predmetnim videonadzornim sustavom u nadležnosti je ovlaštenih  prometnih redara unutar Odjela prometnog redarstva.

Međutim, građani su osnovano posumnjali kako je Grad Zagreb predmetni videonadzorni sustav koristio ne samo za provedbu nadzora iz sfere prometa, već i u svrhu provedbe nadzora iz sfere komunalnih poslova, konkretno, za potrebe utvrđivanja i sankcioniranja prekršaja protiv osoba koje protivno propisima odlažu otpad na javne površine. Takvo postupanje Grada Zagreba građani su prijavili AZOP-u, a AZOP je po zaprimljenoj prijavi proveo nadzorno postupanje kako bi utvrdio eventualno postojanje nepravilnosti od strane Grada Zagreba kao voditelja obrade osobnih podataka.

Što je AZOP utvrdio tijekom provedenog nadzora

Tijekom nadzornog postupanja, AZOP je utvrdio kako Grad Zagreb, Gradski ured za obnovu, izgradnju, prostorno uređenje, graditeljstvo, komunalne poslove i promet:

  • nije proveo odgovarajuće organizacijske mjere kako bi osigurao odgovarajuću razinu sigurnosti obrade osobnih podataka putem videonadzora kojim je obuhvaćena javna površina na području Grada Zagreba, a suprotno odredbama članka 32. stavka 1. i 2. Opće uredbe o zaštiti podataka te članka 28. stavka 1., 3. i 4. Zakona o provedbi Opće uredbe o zaštiti podataka2. Naime, premda prema iskazima odgovornih osoba postoji opća mogućnost ulaska komunalnih redara u tzv. Operativno komunikacijski centar, prvenstveno prema potrebama i samostalnoj procjeni komunalnih redara te tako i mogućnost uvida, ali i eventualnog podnošenja zahtjeva za izuzimanjem nastalih snimki videonadzornog sustava u postupcima iz njihove nadležnosti, utvrđeno je kako voditelj obrade nije predvidio, a s tim u vezi, nije dokumentirao interni pravno provedbeni okvir upravljanja videonadzornim sustavom, uključivo postupke, procedure i protokole odnosne na eventualno moguće otkrivanje i/ili izuzimanje, uključujući podnošenje i zaprimanje zahtjeva djelatnika Odjela komunalnog redarstva za otkrivanjem snimki nastalim korištenjem videonadzornog sustava na javnim površinama

Naložene mjere

Slijedom gore izloženih utvrđenja po provedenom nadzornom postupanju u odnosu na Grad Zagreb, AZOP je donio odluku kojom zabranjuje Gradskom uredu za obnovu, izgradnju, prostorno uređenje, graditeljstvo, komunalne poslove i promet Grada Zagreba, kao voditelju obrade osobnih podataka, omogućavanje uvida i/ili izuzimanje snimki nastalih videonadzorom javnih površina Odjelu komunalnog redarstva, posebice u svrhu postupanja u vezi utvrđivanja prekršaja protiv osoba koje nepropisno odbacuju otpad na površine javne namjene.

Također, AZOP je navedenom gradskom Grada Zagreba naložio i da u roku od 90 dana donese odgovarajući unutarnji pravno provedbeni okvir upravljanja videonadzornim sustavom kojim će se utvrditi i provoditi politike i postupke povezane s videonadzorom javnih površina.

Nadalje, AZOP je Gradu Zagrebu, Gradskom uredu za obnovu, izgradnju, prostorno uređenje, graditeljstvo, komunalne poslove i promet, kao voditelju obrade, osim gore navedenih mjera, naložio da postavi oznake da je javna površina pod videonadzorom. Predmetne oznake  trebaju biti vidljive najkasnije prilikom ulaska u perimetar snimanja svake od lokacija na koje su postavljene kamere, a koje čine sustav videonadzora javnih površina Grada Zagreb, a sukladno članku 27. stavak 1. Zakona o provedbi Opće uredbe o zaštiti podataka.

Konačno, AZOP je naložio voditelju obrade uskladi sadržaj svih obavijesti o postojanju videonadzornog sustava javnih površina, sukladno odredbama članka 27. stavka 2. Zakona o provedbi Opće uredbe o zaštiti podataka.

Maja Bilić Paulić, mag. iur.

IZVOR: Priopćenje Agencije za zaštitu osobnih podataka objavljeno dana 05. srpnja 2023., dostupno na sljedećoj poveznici: https://azop.hr/gradu-zagrebu-nalozene-mjere-vezane-uz-videonadzor-javnih-povrsina/
_________________________________________

^ 1Prema čl. 30. st. 1. Opće uredbe o zaštiti podataka: Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

(a) ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

(b) svrhe obrade;

(c) opis kategorija ispitanika i kategorija osobnih podataka;

L 119/50 HR Službeni list Europske unije 4.5.2016.

(d) kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim

zemljama ili međunarodne organizacije;

(e) ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka,

dokumentaciju o odgovarajućim zaštitnim mjerama;

(f) ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1

^ 2 Citirane odredbe Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe propisuju sljedeće: Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a) pseudonimizaciju i enkripciju osobnih podataka;

4.5.2016. HR Službeni list Europske unije L 119/51

(b) sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c) sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili

tehničkog incidenta;

(d) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za

osiguravanje sigurnosti obrade.

2. Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada,

posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili

neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

3. Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može

se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.

4. Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod

odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.

^ 3 Prema navedenim odredbama Opće uredbe o zaštiti podataka, odnosno Zakona o provedbi Opće uredbe, ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:

(a) identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;

(b) kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

L 119/40 HR Službeni list Europske unije 4.5.2016.

(d) ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(e) primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i

(f) ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.