Povijest izmjena Broj revizije Datum Opis promjene Revidirao/la: 1 1. prosinca 2017. 1.1. 1. travnja 2019. Prvo objavljivanje Pravilnik je ažuriran u skladu s GDPR-om. Odjel za ljudske resurse Odjel za ljudske resurse
1. Uvod Televizijski sustavi zatvorenog kruga (CCTV) instaliraju se na posjedu u vlasništvu poduzeća Dawn Meats (u daljnjem tekstu Poduzeće ) kako bi se omogućila zaštita i sigurnost svih zaposlenika i izvođača Poduzeća i svih posjetitelja teritorija Poduzeća. Slike se tada mogu snimiti na DVR-u (digitalni video snimač), video kaseti ili DVD-u ili nekom drugom digitalnom mehanizmu za snimanje. Poduzeće je upravljač podataka, u odnosu na osobne podatke kojima raspolaže, koje obrađuje i pohranjuje. Osobni podatci definiraju se člankom 4. Opće uredbe o zaštiti podataka EU-a ( GDPR ). 2. Svrha pravilnika Svrha je ovog pravilnika pružiti opći pregled upotrebe televizijskih kamera zatvorenog kruga (CCTV) u postrojenju. Nadzor CCTV smješten je s unutrašnje i vanjske strane postrojenja Poduzeća. Poduzeće zadržava pravo uporabe informacija prikupljenih CCTV-om za disciplinarne svrhe. Organizacija jamči da je uporaba CCTV-a u skladu sa zahtjevima Opće uredbe o zaštiti podataka (GDPR) i Zakona o zaštiti podataka iz 1988. 2018. 3. Djelokrug Svi zaposlenici, uključujući i sigurnosno osoblje, izvođači i posjetitelji postrojenja, moraju se pridržavati ovog pravilnika. Za zaposlenike i izvođače, nepridržavanje može rezultirati disciplinskom mjerom koja može uključivati i otkaz i/ili trajno udaljavanje. 4. Postupak Kamere CCTV instalirane su interno i eksterno u postrojenju Poduzeća kako bi se omogućila zaštita i sigurnost svim zaposlenicima i izvođačima Poduzeća i svim posjetiteljima postrojenja Poduzeća; kao i za osiguravanje sigurnosti postrojenja i povezane imovine, poboljšanja zdravstvenih i sigurnosnih standarda i nadzor radnog učinka i ponašanja zaposlenika. Zaposlenike napominjemo da se u slučaju provođenja disciplinarne ili druge istražne radnje snimke CCTV-a mogu tražiti i upotrijebiti ako su od pomoći u postupku. To znači da Poduzeće i/ili zaposlenici (ili njihovi predstavnici) mogu zatražiti pristup snimkama CCTV-a ako se vjeruje da iste mogu biti od značaja i/ili mogu pomoći u bilo kojoj istrazi ili disciplinarnom postupku. Napominjemo, međutim, da je pravo pristupa snimkama CCTV-a ograničeno zakonima o zaštiti podataka (tj. u slučaju da se radi o slikama trećih strana), te Poduzeće zadržava pravo pružanja snimki zaslona za odgovarajuće slike umjesto slika uživo gdje je to prikladno. Od svih zaposlenika poduzeća Dawn Meats traži se da surađuju sa sigurnosnim radnjama Poduzeća i trebaju razumjeti da je obazrivost za minimaliziranje financijskog gubitka ključni prioritet za poduzeće Dawn Meats. 2
5. Lokacije kamera Lokacija kamera CCTV u postrojenju Poduzeća je ključno pitanje za Poduzeće pri radu s CCTV-om. Nije cilj Poduzeća smjestiti kamere CCTV za nadzor područja postrojenja gdje pojedinci mogu razumljivo očekivati privatnost. 6. Obavijest Znakovi Kopija ovog pravilnika o videonadzoru CCTV dostupna je na zahtjev osoblja Poduzeća, izvođača i posjetitelja postrojenja u skladu s njihovim zakonskim pravima subjekata podataka. Ovim se pravilnikom opisuje svrha nadzora CCTV i omogućuju kontaktni podaci za one koji žele porazgovarati o uporabi nadzora CCTV Poduzeća i smjernice za njegovu uporabu s Poduzećem. Odgovarajući znakovi bit će postavljeni u postrojenju gdje je smještena kamera(e) CCTV kako bi se ukazalo na rad CCTV-a. Znakovi će uključivati ime i kontaktne podatke Upravljača podataka i upute za pristup pravilniku o videonadzoru CCTV, kako bi se ljudima omogućilo razumijevanje specifičnog razloga zbog kojeg je postavljena kamera CCTV. 7. Pohrana i zadržavanje Sve podatke zabilježene putem sustava CCTV Poduzeća, Poduzeće uobičajeno zadržava mjesec dana, osim ako se zbog operativnih ili regulativnih razloga ne zahtijeva drugačije. Međutim, organizacija zadržava pravo čuvanja slika duže od navedenog kad postoje objektivni razlozi za takav postupak, te će se snimke čuvati isključivo onoliko dugo koliko je to potrebno u takvim slučajevima. Poduzeće pohranjuje sve snimljene podatke na sigurno okruženje i bilježi pristup svakog pojedinca takvim snimljenim podatcima. Poduzeće ograničava pristup snimljenim podacima na osoblje kojem je Poduzeće dalo ovlasti za pristup takvim snimljenim podatcima ( Ovlašteno osoblje ). 8. Obrada slika Zaposlenici koji snose odgovornost za obradu slika CCTV-a to moraju činiti isključivo u skladu s ustanovljenim postupcima i moraju osigurati sigurnost podataka u svakom trenutku. Protiv bilo kojeg zaposlenika koji upotrijebi sustav CCTV ili slike CCTV-a na neovlašten način može se pokrenuti disciplinska mjera koja može uključivati i otkaz. Neovlaštena uporaba tijekom bilo kakve obrade koja nije u skladu s izvornom svrhom podataka uključujući, ali ne ograničujući se na: otkrivanje slika koje sadrže osobne podatke neovlaštenim trećim stranama, uključujući i druge zaposlenike; neovlaštenu obradu osobnih podataka u obliku kopiranja slika na disk, internetsku stranicu ili u tiskanom obliku; cirkuliranje slika koje sadrže osobne podatke putem elektroničke pošte ili postavljanje slika koje sadrže osobne podatke na Internet. 9. Pristupanje i otkrivanje slika trećim stranama Pristup i otkrivanje slika snimljenih sustavom CCTV pažljivo se prati i strogo je ograničen na ovlašteno osoblje. Međutim, ako ovlaštena osoba treba pomoć u identificiranju osoblja prilikom pregledavanja 3
snimki, on/ona će zatražiti potporu odgovarajućeg voditelja/nadzornika odjela u ovom pitanju i samo po potrebi. Pristupanje slikama od trećih strana bit će dopušteno/potrebno isključivo u ograničenim okolnostima propisanim i dopuštenim zakonom. 10. Zahtjevi za pristup Na temelju Zakona o zaštiti podataka pojedinci imaju pravo na pristup svojim osobnim podatcima koje zadržava Poduzeće, pod uvjetom da takvi snimljeni podatci postoje u trenutku odgovarajućeg zahtjeva tj. da podatci nisu izbrisati, i pod uvjetom da za objavu takvih snimljenih podataka ne postoji iznimka/zabrana. Ovo se jednako odnosi na osoblje kao i na pripadnike javnosti. Svi zahtjevi podnose se u pisanom obliku. Zahtjevi se prosljeđuju koordinatoru za GDPR kao i na adresu elektroničke pošte gdpr@dawnmeats.com čim se zaprime i izrađuje se zapis zahtjeva. Pojedinci koji zahtijevaju pristup slikama moraju organizaciji dostaviti sljedeće: odgovarajuće informacije za lociranje slika; dovoljno informacija kojima se organizaciji može omogućiti provjeru ima li podnositelj zahtjeva legitimno pravo zahtjeva pristupa; dva oblika fotografske identifikacije, tj. kopiju putovnice, vozačke dozvole ili bilo kojeg drugog oblika identifikacije kao i dokaz o prebivalištu. Ove se informacije upotrebljavaju samo za svrhe identifikacije i ne zadržavaju se duže nego što je to potrebno. Potrebno je pažljivo razmotriti zahtjeve za pristup koji bi uključivali otkrivanje slika trećih strana. Kada se odgovarajućim snimljenim podatcima identificira drugi pojedinac, snimljene podatke Poduzeće smije objaviti samo subjektu podataka kada se odgovarajuća(e) slika(e) u odgovarajućim snimljenim podatcima može(mogu) urediti/anonimizirati/pikselirati tako da se druga(e) osoba(e) ne mogu identificirati ili kada je/su druga(e) osob(a)e dala(e) svoju izričitu privolu za objavu snimljenih podataka subjektu podataka. Ako su odgovarajuća(e) slika(e) koje sadrže snimljene podatke tako loše kvalitete da nije moguće identificirati pojedinca, Poduzeće može odlučiti da se ne radi o osobnom podatku i Poduzeće može obavijestiti subjekta podataka koji je podnio zahtjev o tom zaključku i može na temelju toga odbiti predaju odgovarajućih snimljenih podataka. U okolnostima kada se snimljeni podatci koji su predmet zahtjeva ne mogu kopirati na drugi uređaj, ili u drugim iznimnim okolnostima, Poduzeće će nastojati omogućiti fotografije odgovarajućih snimljenih podataka kao alternativu za videosnimke subjektu podataka. U slučaju da je zahtjev za pristupom odbijen, Poduzeće dokumentira sljedeće: identitet pojedinca koji podnosi zahtjev, datum podnošenja zahtjeva, razlog za odbijanje omogućivanja pristupa traženim slikama. Dokument će zatim biti potpisan i datiran, te će se pružiti pojedincu koji je podnio zahtjev za pristup podacima. 4
Zahtjevi policije (An Garda Síochána): Ako policija zatraži slike CCTV-a za određenu istragu, Poduzeće mora biti zadovoljno da uistinu postoji takva istraga. Informacije koje uključuju snimljene podatke koje jepoduzeće dobilo putem CCTV-a, Poduzeće smije objaviti policiji samo kada to odobri Grupa/Voditelj poslova postrojenja nakon konzultiranja s osobom zaduženom za GDPR. Ako tijelo zaduženo za izvršavanje zakona, kao što je policija, potražuje snimljene podatke radi određene istrage, Poduzeće će nastojati da takav zahtjev bude u pismenom obliku s navodom da policija provodi kriminalnu istragu. Poduzeće smije, prema vlastitom nahođenju, potražiti pravni savjet vezano uz takve zahtjeve policije. U smjernicama povjerenika za zaštitu podataka za uporabu CCTV-a postoji razlika između zahtjeva policije za pregledavanjem snimljenih podataka u postrojenju i zahtjeva za odnošenjem ili preuzimanjem kopije snimljenih podataka. Poduzeće uvijek traži pismenu potvrdu od policije vezano uz zahtjev za odnošenje ili preuzimanje snimljenih podataka i traži da je pismeni zahtjev na službenom papiru policije i da sadrži detalje traženih snimljenih podataka i zakonsku osnovu za takav zahtjev. U hitnim slučajevima, verbalne zahtjeve policije za pregledavanjem ili pristupanjem snimljenim podatcima može riješiti Poduzeće, a naknadno može uslijediti pismeni zahtjev policije. 11. Odgovornosti Ukupnu odgovornost za sustav CCTV organizacije snosi voditelj poslova divizije. Pristup sustavu CCTV i snimljenom materijalu strogo je ograničen na ovlašteno osoblje. Voditelj poslova divizije/postrojenja Poduzeća će: Osigurati da je uporaba sustava CCTV Poduzeća provedena u skladu s pravilnikom koji je odredilo Poduzeće (koje stupa na snagu s vremena na vrijeme); Nadgledati i koordinirati uporabu nadzora CCTV Poduzeća pri i u postrojenju; Osigurati da se svi postojeći nadzorni sustavi CCTV Poduzeća procijene radi usklađenosti s ovim pravilnikom; Osigurati da je uporaba nadzora CCTV Poduzeća u postrojenju u skladu sa smjernicama Ureda povjerenika za zaštitu podataka i da je u skladu s pravnim obvezama Poduzeća; Pregledati lokacije kamera u postrojenju i snositi odgovornost za objavu svih snimljenih podataka koji su nastali i pohranjeni u skladu s ovim pravilnikom; Osigurati da se kasete koje sadrže snimljene podatke ne umnožavaju radi objave, osim ako to nije u skladu s ovim pravilnikom; Osigurati da opseg pogleda od fiksnih lokacija kamera CCTV instalira i njime upravlja Poduzeće u skladu s ovim pravilnikom interno i eksterno; Uzeti u obzir povratne informacije/žalbe osoblja, izvođača i posjetitelja vezano uz nepoštivanje privatnosti ili povjerljivosti zbog lokacije određene kamere CCTV ili povezane opreme u postrojenju; 5
Osigurati da se prikladni znakovi nalaze na odgovarajućim i istaknutim lokacijama u skladu s ovim pravilnikom; Osigurati da, kada je to primjenjivo, vanjske kamere koje su dio sustava CCTV nisu invazivne u smislu svog položaja i pregleda susjednih stambenih objekata i da su u skladu s razumnim očekivanjima privatnosti pojedinca; Jamčiti da se snimljeni podatci koji su pohranjeni na DVR-u, memorijskim ključevima USB/ DVD-ovima/ digitalnim zapisima/cd-ovima pohranjuju na ograničeno vremensko razdoblje i da se potom brišu, osim ako drugačije ne zahtijeva kaznena istraga ili sudski postupak (kazneni ili građanski) ili druga uporaba u dobroj vjeri koju je odobrila Grupa/Voditelj poslova postrojenja; Osigurati da se upravljanjem kamerom Poduzeća ne krši razumno očekivanje privatnosti pojedinca na javnim prostorima; 12. Pregledavanje Ovaj pravilnik redovito se provjerava kako bi se uzele u obzir izmjene zakona i praktično iskustvo vezano uz ovaj pravilnik. 6