Videonadzor i GDPR: pravila za tvrtke u Hrvatskoj (2026.)

Kamere su danas gotovo svuda — u trgovinama, uredima, skladištima, na ulazima i parkiralištima. No malo koja tvrtka zna da je videonadzor jedna od najčešće osporavanih obrada osobnih podataka i redovit predmet pritužbi i nadzora AZOP-a. Ovaj vodič objašnjava što hrvatske tvrtke moraju znati da bi videonadzor bio zakonit u 2026. godini.

Zašto je videonadzor pitanje zaštite podataka

Snimke na kojima se mogu prepoznati osobe su osobni podaci, pa svaki videonadzor predstavlja obradu osobnih podataka u smislu GDPR-a. To znači da se na njega primjenjuju sva načela Uredbe — zakonitost, transparentnost, ograničenje svrhe i ograničenje pohrane — kao i nacionalna pravila iz Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), koji videonadzoru posvećuje posebne odredbe.

Upravo zato je videonadzor osjetljiv: pogreške su lako uočljive (neoznačene kamere, snimanje javnih površina, predugo čuvanje), a posljedice idu od pritužbi zaposlenika i susjeda do nadzora i kazni.

Zakonita osnova za videonadzor

Kao i svaka obrada, videonadzor mora imati zakonitu osnovu. U poslovnom kontekstu najčešća je osnova legitimni interes — primjerice zaštita imovine, sigurnost osoba ili sprječavanje i dokazivanje protupravnih radnji.

Oslanjanje na legitimni interes nije automatsko. Tvrtka mora provesti i dokumentirati procjenu legitimnog interesa, u kojoj odvaguje svoj interes naspram prava i privatnosti snimanih osoba. Ako manje nametljiva mjera (npr. bolja rasvjeta, kontrola pristupa) postiže isti cilj, videonadzor teško prolazi taj test. Privola u pravilu nije prikladna osnova za videonadzor jer se osobe koje ulaze u prostor ne mogu smisleno "složiti" sa snimanjem.

Obavijest o videonadzoru

Transparentnost je obavezna. Prije ulaska u nadzirani prostor osobe moraju biti jasno obaviještene da se provodi videonadzor. U praksi to znači vidljivu oznaku (naljepnicu ili ploču) koja sadrži barem:

• informaciju da je prostor pod videonadzorom (uobičajeno uz simbol kamere),
• naziv i kontakt voditelja obrade,
• kontakt službenika za zaštitu podataka ako je imenovan,
• upućivanje na to gdje se mogu dobiti potpune informacije o obradi (svrha, rok čuvanja, prava).

Sama naljepnica nije dovoljna za potpunu transparentnost — ona je "prva razina" informacije, a detaljne informacije moraju biti dostupne onima koji ih zatraže.

Koliko dugo smiju trajati snimke

Načelo ograničenja pohrane zahtijeva da se snimke ne čuvaju dulje nego što je potrebno za svrhu. Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) snimke videonadzora ograničava na najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok ili ako su snimke dokaz u sudskom, upravnom ili drugom istovrijednom postupku. Trajno ili "za svaki slučaj" neograničeno čuvanje snimki jedna je od najčešćih i najlakše uočljivih povreda.

Praktično pravilo: definirajte rok čuvanja unaprijed, automatizirajte brisanje (prepisivanje) starih snimki i vodite evidenciju o eventualnom izuzimanju snimki za potrebe postupka.

Gdje se NE smije snimati

Zakon izričito ograničava prostore koji se mogu nadzirati. Zabranjeno je snimati prostorije za odmor, svlačionice, garderobe, sanitarne prostore i slične prostore u kojima osobe opravdano očekuju visok stupanj privatnosti. Jednako tako, tvrtka u pravilu ne smije nadzirati javne površine izvan vlastite imovine (npr. cijelu ulicu ili susjedni ulaz) — nadzor se mora ograničiti na vlastiti prostor i ono što je nužno za svrhu.

Videonadzor radnika: posebno osjetljivo

Nadzor radnih prostorija dodatno je reguliran jer je odnos poslodavca i radnika neravnopravan. Videonadzor radnika dopušten je samo ako:

• postoji ozbiljan i opravdan razlog (npr. zaštita imovine ili sigurnosti koji se ne može postići blažom mjerom),
• su radnici unaprijed obaviješteni o uvođenju, opsegu i razlozima nadzora,
• nadzor ne obuhvaća prostore za odmor i osobnu higijenu,
• se ne provodi tajno, osim u zakonom strogo propisanim iznimkama.

Poslodavci često griješe uvođenjem kamera bez prethodnog informiranja radnika i bez procjene je li nadzor doista nužan. To su tipični predmeti radnih sporova i pritužbi.

Videonadzor i procjena učinka (DPIA)

Sustavan nadzor javno dostupnog prostora u velikom opsegu može predstavljati obradu visokog rizika, što povlači obvezu provođenja procjene učinka na zaštitu podataka (DPIA) prije uvođenja. DPIA pomaže dokumentirati nužnost, razmjernost i mjere zaštite — i sama je dokaz pouzdanosti pred nadzornim tijelom.

Tko ima pristup snimkama

Snimke su osjetljiv podatak i pristup im mora biti ograničen na ovlaštene osobe, uz evidenciju pristupa. Ako nadzor održava vanjska tvrtka (npr. zaštitarska služba ili pružatelj usluge pohrane), s njom je obavezno sklopiti ugovor o obradi (DPA) prema čl. 28. GDPR-a. Bez tog ugovora, dijeljenje snimki s vanjskim izvršiteljem je protupravno.

Prava snimanih osoba

Snimane osobe zadržavaju svoja prava prema GDPR-u, uključujući pravo na pristup — mogu zatražiti potvrdu snima li ih se i pristup snimkama koje se na njih odnose. Pri udovoljavanju takvom zahtjevu treba zaštititi privatnost trećih osoba koje se eventualno nalaze na istoj snimci (npr. zamućivanjem).

Najčešće pogreške hrvatskih tvrtki

• Neoznačene kamere ili oznake bez podataka o voditelju obrade.
• Predugo čuvanje snimki ili nepostojanje definiranog roka.
• Snimanje javnih površina i susjednih prostora izvan vlastite imovine.
• Nadzor radnika bez prethodnog informiranja i bez procjene nužnosti.
• Izostanak procjene legitimnog interesa i, kad je potrebno, DPIA-e.
• Nepostojanje ugovora o obradi sa zaštitarskom ili IT tvrtkom koja upravlja sustavom.

Kontrolni popis za usklađen videonadzor

1. Odredite i dokumentirajte svrhu nadzora.
2. Provedite procjenu legitimnog interesa (i DPIA ako je rizik visok).
3. Ograničite područje snimanja na vlastiti prostor i nužno.
4. Postavite vidljive obavijesti s propisanim podacima.
5. Definirajte i automatizirajte rok čuvanja snimki.
6. Ograničite pristup snimkama i vodite evidenciju.
7. Sklopite ugovor o obradi s vanjskim pružateljima.
8. Posebno uredite nadzor radnika uz prethodno informiranje.
9. Educirajte osoblje o postupanju sa snimkama i zahtjevima.

Videonadzor u praksi: tipične situacije

Pravila su jasnija kad ih primijenimo na konkretne situacije s kojima se hrvatske tvrtke najčešće susreću.

Trgovina i ugostiteljstvo. Nadzor prodajnog prostora radi zaštite imovine i sigurnosti u pravilu se opravdava legitimnim interesom. Kamere se usmjeravaju na ulaze, blagajne i robu, a ne na stolove gdje gosti dulje borave više nego što je nužno. Naljepnica s obavijesti mora stajati prije ulaska, a ne tek unutar prostora.

Uredi. Nadzor zajedničkih ulaza, hodnika i prostora sa server-opremom obično je opravdan. Nadzor radnih stolova i pojedinačnih ureda puno je teže opravdati jer izravno zadire u privatnost radnika i rijetko prolazi test nužnosti — gotovo uvijek postoji blaža mjera.

Stambene i poslovne zgrade. Kod zajedničkih prostora (ulazi, garaže, dvorišta) nadzor uvodi suvlasnik ili upravitelj uz suglasnost propisanu posebnim pravilima, a kamere ne smiju snimati ulaze u pojedine stanove ni unutrašnjost privatnih prostora.

Vozila i GPS praćenje. Praćenje službenih vozila (GPS) također je obrada osobnih podataka kad se može povezati s vozačem. Mora imati jasnu svrhu (npr. logistika, sigurnost), uz informiranje radnika i mogućnost isključenja izvan radnog vremena ako se vozilo koristi i privatno.

Prepoznavanje lica i biometrija: poseban oprez

Sve dostupnije tehnologije prepoznavanja lica i druge biometrijske analize (npr. prepoznavanje registarskih oznaka uz identifikaciju vozača, analiza ponašanja) podižu videonadzor na potpuno novu razinu rizika. Biometrijski podaci kojima se osoba jedinstveno identificira spadaju u posebne kategorije podataka iz čl. 9. GDPR-a, čija je obrada u načelu zabranjena, osim u usko propisanim slučajevima.

To u praksi znači da tvrtka ne smije "samo uključiti" prepoznavanje lica na postojećim kamerama. Takva obrada gotovo uvijek zahtijeva procjenu učinka (DPIA), vrlo snažno opravdanje nužnosti i, najčešće, izostanak prikladne osnove za rutinsku poslovnu upotrebu. Europska nadzorna tijela izrazito su restriktivna prema prepoznavanju lica u javnim i polujavnim prostorima.

Praktično pravilo: klasičan videonadzor radi zaštite imovine i sigurnosti je jedno; dodavanje biometrijske identifikacije posve je drugo i zahtijeva pravnu i stručnu procjenu prije uvođenja. Ako razmišljate o takvoj tehnologiji, krenite od DPIA-e i savjeta stručnjaka, a ne od nabave opreme.

Što kad netko zatraži pristup snimci

Snimane osobe imaju pravo na pristup snimkama koje se na njih odnose. Kad stigne takav zahtjev, postupite ovako:

1. Provjerite identitet podnositelja kako snimke ne biste otkrili pogrešnoj osobi.
2. Pronađite relevantnu snimku unutar roka čuvanja (zato je važno da rok nije predug — starije snimke više ne postoje).
3. Zaštitite treće osobe na snimci — ostale osobe treba zamutiti ili na drugi način učiniti neprepoznatljivima.
4. Postupite u roku od mjesec dana, kao i za svaki drugi zahtjev ispitanika.

Zahtjevi za pristup snimkama česti su u radnim sporovima i nakon incidenata, pa je dobro unaprijed imati definiran postupak.

Kazne i nadzor AZOP-a

Videonadzor je jedan od najčešćih predmeta nadzora i pritužbi AZOP-u. Tipični nalazi — neoznačene kamere, predugo čuvanje, snimanje javnih površina i nadzor radnika bez informiranja — mogu rezultirati upravnim mjerama i novčanim kaznama prema GDPR čl. 83. (do 20 milijuna eura ili 4% prometa za teže povrede). U praksi, i prije kazne, nadzor donosi obvezu usklađivanja u zadanom roku i reputacijsku štetu. Dobra vijest jest da je većina nalaza posljedica osnovnih propusta koji se lako i jeftino ispravljaju — ako se na njih misli unaprijed.

Često postavljana pitanja

Trebamo li privolu osoba za videonadzor?
U pravilu ne. Privola nije prikladna osnova za videonadzor jer osobe koje ulaze u prostor ne mogu dati slobodnu i smislenu privolu. Najčešća osnova je legitimni interes, uz dokumentiranu procjenu.

Smijemo li snimati ulaz i parkiralište?
Smijete snimati vlastiti ulaz i parkiralište radi zaštite imovine i sigurnosti, uz oznake i razuman opseg. Ne smijete usmjeravati kamere na javnu površinu ili susjedne objekte više nego što je nužno.

Koliko dugo smijemo čuvati snimke?
Najviše šest mjeseci, kako propisuje Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), osim ako je drugim zakonom propisan duži rok ili je snimka dokaz u postupku. Definirajte rok unaprijed i automatizirajte brisanje.

Moramo li imati službenika za zaštitu podataka zbog videonadzora?
Ne nužno samo zbog videonadzora, ali opsežan i sustavan nadzor može doprinijeti obvezi imenovanja DPO-a ili provođenju DPIA-e. Procijenite opseg i rizik svoje obrade.

Smijemo li postaviti lažne (atrapa) kamere?
Atrapa kamera ne snima, pa nije obrada osobnih podataka, ali stvara dojam nadzora i može zavarati. Bolje je riješiti stvarni sigurnosni rizik primjerenom mjerom nego se oslanjati na privid. Ako uvodite prave kamere, primijenite sva pravila iz ovog vodiča.

Možemo li snimati zvuk uz video?
Snimanje zvuka znatno je nametljivije od slike i u pravilu se teško opravdava. U većini situacija nadzor zvuka nije razmjeran svrsi zaštite imovine i treba ga izbjegavati osim u izrazito opravdanim, dokumentiranim slučajevima.

Tko smije gledati snimke uživo i pohranjene snimke?
Samo ovlaštene osobe, prema načelu nužnog pristupa, uz evidenciju tko je i kada pristupao snimkama. Ako nadzor održava vanjska zaštitarska ili IT tvrtka, s njom mora biti sklopljen ugovor o obradi.

Smijemo li snimke koristiti protiv zaposlenika u disciplinskom postupku?
Snimke prikupljene u jasno definiranu i zakonitu svrhu (npr. zaštita imovine) mogu se u određenim okolnostima koristiti kao dokaz, ali ne smiju se prikupljati radi sustavnog ocjenjivanja rada niti se svrha smije naknadno mijenjati izvan onoga o čemu su radnici obaviješteni. Tajno snimanje radnika dopušteno je samo u zakonom strogo propisanim iznimkama.

Moramo li imati pisanu odluku ili politiku o videonadzoru?
Da, preporučuje se interni dokument koji uređuje svrhu, opseg, rokove čuvanja, pristup i postupanje sa zahtjevima. Time ujedno dokazujete načelo pouzdanosti i olakšavate postupanje u slučaju nadzora ili incidenta.

Vrijede li ista pravila za male obrte i velike tvrtke?
Da, temeljna pravila (osnova, obavijest, ograničeno područje i rok čuvanja) vrijede neovisno o veličini. Razlika je u opsegu — veći i sustavniji nadzor lakše prelazi prag koji traži DPIA-u ili imenovanje DPO-a.

Možemo li snimke dijeliti s policijom ili na zahtjev suda?
Možete i morate postupiti po zakonitom zahtjevu nadležnih tijela (npr. policije ili suda) u okviru njihovih ovlasti. To nije kršenje GDPR-a, nego postupanje po pravnoj obvezi. Bitno je provjeriti da je zahtjev zakonit, dokumentirati predaju snimke i predati samo ono što je traženo.

Što ako primimo pritužbu zbog videonadzora?
Ozbiljno je razmotrite i provjerite usklađenost (oznake, područje snimanja, rok čuvanja, osnova). Bolje je nepravilnost ispraviti odmah nego čekati nadzor. Ako pritužba dođe do AZOP-a, dokumentacija o usklađenosti i brza reakcija znatno olakšavaju postupak.

Zašto je edukacija osoblja presudna

Najbolja politika videonadzora ne vrijedi ništa ako je zaposlenici ne provode. Osoblje koje rukuje snimkama mora znati tko smije pristupiti snimkama, kako postupiti sa zahtjevom za pristup, koliko dugo se snimke čuvaju i kome prijaviti incident. Zaštitari, recepcija, IT i ljudski resursi najčešće su u doticaju sa snimkama — i upravo oni trebaju jasne, kratke upute i edukaciju. Educiran tim sprječava tipične propuste koji vode pritužbama i nadzoru.

Zaključak

Videonadzor je legitiman i koristan alat, ali samo ako je postavljen po pravilima: jasna svrha, dokumentirana osnova, vidljive obavijesti, ograničeno područje i čuvanje u zakonskom roku. Ono što usklađen videonadzor razlikuje od onoga koji završi pritužbom obično nisu velike pravne dileme, nego sitni propusti: kamera bez oznake, snimka koja se čuva dulje od šest mjeseci ili radnik koji nije unaprijed obaviješten.

Ako želite da vaš tim — osobito zaštitari, IT i ljudski resursi — pravilno postupa s videonadzorom i snimkama, pogledajte naš tečaj Videonadzor i GDPR ili kompletnu GDPR edukaciju za tvrtke.