Kako osigurati zaštitu podataka CCTV-a: vodič za 2026. godinu
Zaštita podataka CCTV sustava postala je jedna od najvažnijih obveza svake organizacije koja koristi video nadzor — bilo da se radi o poslovnim prostorima, stambenoj zajednici ili javnim površinama. Propisi poput GDPR-a nameću stroge zahtjeve o tome tko smije pristupiti snimkama, koliko dugo se mogu čuvati i kako moraju biti zaštićene od neovlaštenog pristupa. Razumijevanje tih zahtjeva vrijedi jednako za mala poduzeća s jednom kamerom i za organizacije s kompleksnim NVR sustavima i stotinama uređaja.
1. Zašto je zaštita CCTV podataka važnija nego ikad
Videozapisi sa sigurnosnih kamera spadaju u osobne podatke prema GDPR-u jer na njima mogu biti prepoznatljive fizičke osobe. To znači da svaka organizacija koja snima ljude na njima postaje voditelj obrade podataka i preuzima punu odgovornost za sigurnost tih snimki. Kršenje tih pravila može rezultirati visokim novčanim kaznama — do 4% godišnjeg globalnog prihoda ili 20 milijuna eura, ovisno što je više.
Uz zakonsku obvezu, raste i prijetnja kibernetičkim napadima usmjerenim upravo na CCTV sustave. Nezaštićeni mrežni snimači (NVR) i IP kamere često postaju ulazna točka za napadače koji žele pristup internoj mreži organizacije. Podatak iz prakse: većina kompromitiranih CCTV sustava koristila je tvornički postavljenu lozinku koja nikada nije promijenjena.
2. Kontrola pristupa snimkama: tko smije gledati što
Neovlašteni pristup snimkama jedan je od najčešćih propusta koji organizacije čine, a upravo taj propust najteže se opravdava pred nadzornim tijelima. Pristup video arhivi treba biti ograničen samo na osobe kojima je to neophodno za obavljanje posla — zaštitare, voditelje sigurnosti ili ovlaštene IT administratore.
Praktični koraci za kontrolu pristupa:
Dodijelite različite razine pristupa za pregled snimaka uživo i za pregled arhive. Netko tko prati nadzorni monitor ne treba nužno moći pregledavati snimke od prošlog tjedna.
Svaki pristup arhivi treba biti zabilježen — tko je pristupio, kada i iz kojeg razloga. Revizijski trag (audit log) nije samo dobra praksa, već i zakonska obveza u slučaju istrage.
Omogućite dvofaktorsku autentifikaciju za pristup NVR sučelju, posebno ako mu se pristupa putem interneta ili VPN-a.
3. Enkripcija videozapisa: zaštita podataka u mirovanju i prijenosu
Videozapisi bez enkripcije mogu biti presretnuti ili kopirani bez ikakvih tragova. Enkripcija podataka u mirovanju (at-rest encryption) štiti snimke na NVR uređaju ili u oblaku čak i u slučaju fizičke krađe uređaja. Enkripcija podataka u prijenosu (in-transit encryption) osigurava da se video tok između kamere i snimača ne može presresti na mreži.
Profesionalni savjet: Provjerite podržava li vaš NVR ili DVR sustav HTTPS protokol za pristup sučelju. Sustavi koji koriste nešifrirani HTTP protokol šalju korisničke podatke u otvorenom obliku i trebaju hitnu nadogradnju ili zamjenu.
Moderne IP kamere i NVR uređaji poslovne klase podržavaju AES-256 enkripciju pohrane i TLS 1.2 ili novije za prijenos signala. Ako vaš sustav ne podržava ove standarde, vrijedi razmotriti nadogradnju, jer stariji protokoli više ne ispunjavaju zahtjeve sigurnosnih revizija.
4. Rokovi čuvanja snimki i automatsko brisanje
GDPR zahtijeva da se videozapisi ne čuvaju dulje nego što je to nužno za svrhu zbog koje se snimanje provodi. U praksi to znači da je potrebno definirati jasan pravilnik o čuvanju podataka i tehnički ga provesti u sustavu.
Preporučeni rokovi čuvanja razlikuju se prema namjeni:
Snimke s ulaza i vanjskih prostora u načelu se čuvaju 7 do 14 dana ako nema posebnih zakonskih razloga za dulje čuvanje.
Snimke s unutrašnjih prostora visoke sigurnosti, poput serverskih soba ili blagajni, mogu se čuvati do 30 dana uz odgovarajuće opravdanje.
Snimke koje su dio aktivne istrage mogu se čuvati neograničeno dok istraga traje, uz dokumentiranu odluku o tome.
Ključno je da NVR sustav bude konfiguriran za automatsko brisanje starijih snimki kada se dostigne definiran rok, bez potrebe za ručnim brisanjem. Ručni procesi su podložni greškama i propustima.
5. Fizička sigurnost NVR i DVR uređaja
Digitalni snimač koji nije fizički zaštićen postaje najslabija karika u cijelom sustavu. Napadač koji ima fizički pristup NVR uređaju može izvaditi tvrdi disk i preuzeti sve snimke, čak i bez poznavanja lozinke sustava. Zaključani rack ormar ili zasebna soba s kontroliranim pristupom nisu luksuz, već osnova sigurnog CCTV sustava.
Provjerite i sljedeće detalje koji se često previđaju: USB priključci na NVR-u trebaju biti onemogućeni ili blokirani fizički, jer se mogu koristiti za kopiranje podataka. Firmver uređaja treba biti redovito ažuriran jer proizvođači objavljuju sigurnosne zakrpe za ranjivosti koje su otkrivene nakon isporuke proizvoda.
6. Mrežna segmentacija: CCTV mreža odvojena od poslovne mreže
Jedna od najozbiljnijih grešaka u postavljanju CCTV sustava je spajanje kamera i NVR-a na istu mrežu na kojoj se nalaze računala, poslužitelji i podaci o zaposlenicima ili klijentima. Kompromitirana kamera tada postaje ulaz u cijelu infrastrukturu.
Segmentacija mreže podrazumijeva postavljanje CCTV uređaja na zasebnu VLAN mrežu koja je odvojena od ostatka infrastrukture. Komunikacija između CCTV mreže i ostatka sustava treba biti strogo kontrolirana i ograničena isključivo na nužne tokove podataka.
Dodatna mjera zaštite je postavljanje NVR pristupa isključivo putem VPN-a, čime se eliminira mogućnost direktnog pristupa sučelju putem interneta. Svaki CCTV sustav koji je izravno dostupan s interneta bez VPN zaštite izložen je automatiziranim napadima koji svakodnevno pretražuju uređaje sa zadanim lozinkama.
7. Obveze prema ispitanicima: pravo na pristup i brisanje
Svaka osoba koja je snimana ima pravo zatražiti uvid u snimke na kojima se pojavljuje, kao i zahtijevati brisanje tih snimki u određenim slučajevima. Organizacija mora biti u stanju odgovoriti na takav zahtjev u roku od 30 dana, što pretpostavlja da postoji jasna procedura i da se zna gdje i kako pronaći tražene snimke.
Tablica obveza prema ispitanicima:
| Zahtjev ispitanika | Rok odgovora | Napomena |
|---|---|---|
| Pravo na pristup snimkama | 30 dana | Moguće produljenje za 60 dana uz obavijest |
| Zahtjev za brisanje | 30 dana | Ne primjenjuje se ako postoji zakonski temelj za čuvanje |
| Prigovor na obradu | Bez odgode | Potrebna procjena opravdanosti |
Profesionalni savjet: Pripremite standardizirani obrazac za zaprimanje zahtjeva ispitanika i dodijelite odgovornu osobu (DPO ili zamjenika) koja će voditi evidenciju svih zahtjeva i odgovora.
8. Redovite sigurnosne revizije CCTV sustava
CCTV sustav koji je jednom dobro postavljen ne ostaje siguran zauvijek. Sigurnosne revizije trebaju se provoditi najmanje jednom godišnje, a uz svaku značajniju promjenu u infrastrukturi ili organizaciji.
Tri ključna elementa svake sigurnosne revizije CCTV sustava:
Provjera korisničkih računa i lozinki obuhvaća pregled svih aktivnih računa na NVR sustavu, uklanjanje zastarjelih korisnika i promjenu lozinki koje nisu mijenjane dulje od 90 dana.
Pregled log datoteka uključuje analizu zapisa pristupa kako bi se otkrili neobični uzorci — pristup u nestandardnim satima, ponovljeni neuspješni pokušaji prijave ili pristup s neprepoznatih IP adresa.
Testiranje sigurnosnih kopija podrazumijeva provjeru da se sigurnosne kopije konfiguracije NVR-a redovito izrađuju i da je iz njih moguće obnoviti sustav u slučaju kvara.
Ključne spoznaje
Zaštita CCTV podataka zahtijeva kombinaciju tehničkih mjera i jasnih procedura, jer ni jedan ni drugi element sami po sebi nisu dovoljni.
| Točka | Detalji |
|---|---|
| Kontrola pristupa | Pristup arhivi snimki mora biti ograničen i svaki pristup evidentiran u revizijskom tragu. |
| Enkripcija | Videozapisi trebaju biti šifrirani i u pohrani i u prijenosu — provjera NVR podrške za AES-256 i TLS. |
| Rokovi čuvanja | Definirati i tehnički provesti automatsko brisanje snimki prema GDPR pravilniku. |
| Mrežna segmentacija | CCTV mreža mora biti odvojena od poslovne mreže putem VLAN-a i zaštićena VPN-om za daljinski pristup. |
| Redovite revizije | Godišnja sigurnosna revizija korisničkih računa, loga i firmvera sprječava akumulaciju sigurnosnih propusta. |
Što učiniti kada prepoznate propuste u zaštiti CCTV podataka
Ako ste pregledom svog CCTV sustava prepoznali jedan ili više opisanih propusta, ne odgađajte rješavanje jer svaki dan odgode povećava izloženost riziku. Stručna revizija CCTV infrastrukture obuhvaća analizu mrežne konfiguracije, provjeru usklađenosti s GDPR-om i konkretne preporuke za poboljšanje sigurnosti prilagođene vašem sustavu.
Kontaktirajte nas za besplatnu početnu procjenu vašeg CCTV sustava i saznajte koje mjere zaštite podataka trebate uvesti kako biste ispunili zakonske zahtjeve i zaštitili svoju organizaciju od potencijalnih incidenata.
Izgubili ste podatke s CCTV sustava?
Ako je došlo do gubitka snimki zbog kvara NVR uređaja, oštećenog tvrdog diska ili drugog hardverskog problema, ne pokušavajte samostalno oporaviti podatke jer svaki neoprezni korak može trajno uništiti preostale snimke. Obratite se stručnom laboratoriju za spašavanje podataka na datarecovery.hr/infolab.hr — jedinom ISO 9001:2015 certificiranom laboratoriju za spašavanje podataka u regiji, s iskustvom od 1993. godine. Stručni tim može dijagnosticirati i oporaviti podatke s HDD i SSD diskova iz NVR i DVR sustava u kontroliranim uvjetima čiste sobe, bez rizika od dodatnog oštećenja.
FAQ
Koliko dugo smijemo čuvati CCTV snimke prema GDPR-u?
Ne postoji jedinstveni propisani rok, ali snimke se smiju čuvati samo onoliko koliko je nužno za svrhu snimanja. U praksi, za standardni poslovni nadzor to je obično 7 do 14 dana, a svako dulje čuvanje treba biti opravdano i dokumentirano.
Trebamo li obavijestiti zaposlene da ih snimamo?
Da, GDPR zahtijeva transparentnost. Zaposlenike je potrebno informirati o video nadzoru putem internog pravilnika, a prostori pod nadzorom moraju biti označeni vidljivim natpisima koji uključuju podatke o voditelju obrade.
Što učiniti ako dođe do povrede podataka s CCTV snimkama?
Svaku povredu osobnih podataka koja bi mogla ugroziti prava ispitanika treba prijaviti Agenciji za zaštitu osobnih podataka (AZOP) u roku od 72 sata od saznanja o incidentu.
Je li legalno koristiti CCTV u uredima?
Da, uz uvjet da postoji legitiman interes ili drugi pravni temelj, da su zaposlenike informirani, da nadzor nije prekomjeran i da se snimke čuvaju sukladno pravilniku. Snimanje prostorija poput toaleta ili svlačionica nije dozvoljeno.
Kako zaštititi NVR od hakerskih napada?
Promijenite sve tvorničke lozinke, onemogućite direktan pristup s interneta, koristite VPN za daljinski pristup, redovito ažurirajte firmver i smjestite NVR na zasebnu mrežnu segmentu odvojenu od poslovne mreže.
