Autori: Štěpán Štarha, Róbert Gašparovič, Martina Rievajová
Dnes si pripomíname tretí rok účinnosti nariadenia na ochranu osobných údajov (GDPR), ktoré okrem ochrany samotných údajov vytýčilo limity ochrany ďalších oblastí nášho života, napríklad ochrany majetku. Jedným z obľúbených prostriedkov ochrany majetku je pritom monitorovanie priestorov kamerových systémom. Okrem neodškriepiteľných prínosov, hrozia prevádzkovateľom kamerových systémov viaceré riziká. O rizikách svedčia aj rozhodnutia Úradu na ochranu osobných údajov SR (ÚOOÚ), ktorý od účinnosti GDPR udelil za porušenie pravidiel spracúvania osobných údajov týmto spôsobom desiatky pokút. V dnešnom výročnom vydaní Privacy Flash Vám prinášame zoznam najčastejších pochybení v oblasti ochrany údajov pri monitorovaní priestoru kamerovým systémom.
Presne pred tromi rokmi, 25. 5. 2018, sa stalo účinným všeobecné nariadenie na ochranu osobných údajov alebo GDPR. Týmto nariadením sa stanovili pravidla spracovania, informovania, prenosnosti či inej činnosti s osobnými údajmi. GDPR prinieslo presnejšie pravidlá narábania a najmä ochrany našich údajov, a to aj v prípade monitorovania priestorov kamerovými systémami. Vzhľadom na frekvenciu tohto spôsobu spracovania osobných údajov, prijal Európsky výbor pre ochranu osobných údajov Usmernenie3/2019 k spracúvaniu osobných údajov prostredníctvom kamerových systémov (Usmernenie). GDPR, slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov, ako aj zmienené Usmernenie sú hlavnými podkladmi pre rozhodovaciu prax ÚOOÚ. Ten od účinnosti GDPR identifikoval v činnosti slovenských prevádzkovateľov kamerových systémov najmä nasledujúce vybrané pochybenia.
Pri monitorovaní priestoru kamerovým systémom, obdobne ako pri inom spôsobe spracúvania osobných údajov je dôležité určiť, na akom právnom základe sú údaje spracúvanie. V prípade opomenutia určenia právneho základu hrozí podnikateľovi ako prevádzkovateľovi osobných údajov pokuta. ÚOOÚ v prípade neuvedenia právneho základu monitorovania príjazdovej cesty kamerovým systémom udelil okresnému mestu pokutu vo výške 9.000 EUR.[1]
Jestvuje pritom hneď niekoľko právnych základov spracúvania osobných údajov v zmysle čl. 6 GDPR, ktoré môže podnikateľ v prípade monitorovania priestoru využiť. Najčastejším právnym základom je práve spracúvanie údajov na základe oprávneného záujmu prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR. Pri oprávnenom záujme, ako právnom základe, je potrebné preukázať, že prevádzkovateľ kamerového systému má napríklad právne, hospodárske alebo nemajetkové záujmy na takomto spracúvaní údajov a tieto záujmy prevažujú nad záujmami monitorovaných osôb. Uvedeným záujmom môže byť aj, najčastejšie používaný, záujem na ochrane majetku pred krádežou, vandalizmom či zničením.
Nestačí pritom, že oprávnený záujem existuje, je potrebné, aby bol aj naliehavý, a teda napr. štatisticky, že v uvedenej lokalite dochádza ku krádežiam, že sa odohral na pracovisku prípad odcudzenia majetku prevádzkovateľa a pod. V tejto súvislosti uložil ÚOOÚ za zavádzajúce uvádzanie právneho základu – oprávnený záujem a ďalšie porušenia rekordnú pokutu vo výške 20.000 EUR známemu dopravcovi. Za problematické ÚOOÚ považoval to, že kamery umiestnené na autobusových zástavkách snímali aj značnú časť ich okolia, pričom za právny základ dopravca uvádzal oprávnený záujem na ochrane majetku a verejnom poriadku, aj keď sa v okolí zastávok, na snímanej ploche majetok dopravcu nenachádzal.[2]
Okrem zodpovedajúceho právneho základu je potrebné dodržať aj zásadu minimalizácie spracúvania osobných údajov podľa čl. 5 ods. 1 písm. c) GDPR. To okrem iného znamená, že k samotnému monitorovaniu by malo dôjsť len v prípade, ak nemožno použiť menej invazívne prostriedky ochrany záujmu prevádzkovateľa. Tými môže byť v prípade ochrany majetku napr. oplotenie pozemku či zabezpečenie strážneho psa. Monitorovať je na základe tejto zásady možné len takú časť priestoru, ktorá je nevyhnutná na ochranu oprávneného záujmu prevádzkovateľa. V prípade oprávneného záujmu na ochrane majetku je časté monitorovanie priestoru dvora či príjazdovej cesty. V tejto súvislosti ÚOOÚ udelil hneď niekoľko sankcií. Napríklad v prípade kamery umiestnenej na budove, ktorá snímala dvor, prístupovú cestu, ale aj okolité nehnuteľnosti, ÚOOÚ vyhodnotil snímanie okolitých nehnuteľností ako neprimerané. V tomto prípade ÚOOÚ revádzkovateľovi nariadil tieto časti snímania začierniť, rozpixelizovať alebo rozmazať[3].
V obdobnom rozhodnutí ÚOOÚ určil, že dochádzalo aj k neprimeranému monitorovaniu verejnej cestnej komunikácie, a teda dotknuté osoby nemohli primerane očakávať, že tento priestor bude monitorovaný. Aj v tomto prípade rozhodnutie smerovalo k nariadeniu začiernenia častí záznamu.[4] Osobitným prípadom bolo umiestnenie kamery v bytovom dome nad dverami do bytu tak, že snímala chodbu, ako aj priestor pred susediacimi bytmi. Aj keď nešlo o verejný priestor a prístup mali len vlastníci bytov, ÚOOÚ nariadil prevádzkovateľovi kamery sklopiť, aby zaznamenávali len priestor pred bytom prevádzkovateľa.[5]
So zásadou minimalizácie súvisí aj doba, po ktorú je prevádzkovateľ oprávnený uchovávať získané osobné údaje. Opäť platí, že táto doba by mala byť čo najkratšia. V zmysle rozhodnutí ÚOOÚ a aj Usmernenia platí, že akékoľvek uchovávanie osobných údajov trvajúce dlhšie ako 72 hodín je potrebné riadne odôvodniť. V prípade prevádzkovateľa, ktorý kamerovým systémom monitoroval vstup na svoj pozemok a záznam uchovával po dobu 20 dní ÚOOÚ rozhodol, že ide o neprimerané uchovávanie osobných údajov. Prevádzkovateľovi ÚOOÚ nariadil dobu uchovávania záznamov skrátiť.[6]
V ďalšom prípade prevádzkovateľ monitoroval priestor v okolí svojej a priľahlej nehnuteľnosti a záznam z monitorovania uchovával po dobu 14 dní, kedy došlo k automatickému výmazu. ÚOOÚ v tomto prípade označil dobu uchovávania za neprimerane dlhú. Za toto a ďalšie porušenia uložil prevádzkovateľovi pokutu vo výške 300 EUR a nariadil skrátiť uchovávania záznamov. Skrátenie by pritom v prípade okolia vlastnej nehnuteľnosti prevádzkovateľa malo predstavovať max. 72 hodín a v prípade monitorovania susedných nehnuteľností 24 hodín, pokiaľ na to neexistuje riadne preukázateľný a podložený dôvod.[7]
Opomenutie informovania dotknutých osôb V prípade, že sa rozhodnete monitorovať kamerovým systémom vyhradený priestor, ste povinní o takomto monitoringu dotknuté informácie riadne informovať, a teda splniť si informačnú povinnosť. Podľa Usmernenia na riadne informovanie slúži jednak označenie samotného priestoru napr. formou nálepky, ktorá bude obsahovať zákonné informácie (napr. účel monitorovania, totožnosť prevádzkovateľa a ďalšie), ako aj príslušný informačný list alebo celkové informácie o spracúvaní osobných údajov. Informačný list by pritom mal byť k dispozícii na centrálnom mieste, napr. na recepcii. Práve porušenie informačnej povinnosti bolo dôvodom na udelenie viacerých pokút ÚOOÚ.
Na začiatku tohto roka bola prevádzkovateľovi udelená pokuta 300 EUR za to, že okrem okolia svojej nehnuteľnosti snímal aj prístupovú cestu k nej a dotknuté osoby o tejto skutočnosti nijak neinformoval. Navyše bol prevádzkovateľ povinný tento priestor dodatočne označiť.[8] Vyššie spomínaný dopravca sa aj v tomto prípade dopustil sankcionovaného konania. Napriek tomu, že vo verejnom dopravnom prostriedku bol nainštalovaný kamerový systém, vo vozidle sa nachádzalo len označenie piktogramu kamery s textom „Priestor je monitorovaný,“ celý informačný list bol pritom umiestnený na predajných miestach a webovej stránke prevádzkovateľa.
Takéto informovanie dotknutých osôb ÚOOÚ označil ako nedostatočné. Jednak samotná nálepka s piktogramom neobsahovala informácie ako účel spracovania osobných údajov, údaje prevádzkovateľa, práva dotknutých osôb a ďalšie, aj informačný list nebol k dispozícii dotknutým osobám v čase, keď sa osobné údaje zbierali. Situácia by sa podľa ÚOOÚ mohla líšiť, keby piktogram obsahoval QR-kód alebo iný odkaz na webovú stránku prevádzkovateľa s povinnými informáciami. Za uvedené porušenie ÚOOÚ udelil prevádzkovateľovi pokutu vo výške 20.000 EUR.[9]
Vzhľadom na to, že porušenia ochrany osobných údajov v prípade monitorovania kamerovými systémami sú častou náplňou konaní pred ÚOOÚ, je dôležité poznať pravidlá spracúvania osobných údajov, a to nielen vo forme príslušných zákonov, ale aj rozhodovaciu prax ÚOOÚ.
[1] Rozhodnutie ÚOOÚ č. 00099/2021-Os-2
[2] Rozhodnutie ÚOOÚ č. 00069/2020-Op-10
[3] Rozhodnutie ÚOOÚ č. 00169/2019-Os-10
[4] Rozhodnutie ÚOOÚ č. 00060/2019-Os-26
[5] Rozhodnutie ÚOOÚ č. 00099/2021-Os-2
[6] Rozhodnutie ÚOOÚ č. 00069/2020-Op-10
[7] Rozhodnutie ÚOOÚ č. 00099/2021-Os-2
[8] Rozhodnutie ÚOOÚ č. 00368/2019-Os-9
[9] Rozhodnutie ÚOOÚ č. 00390/2019-Op-5