Video dohľad a GDPR: Čo sa zmení? #
V čase, keď technológie vrátane inteligentných kamier umožňujú firmám zbierať oveľa citlivejšie informácie o jednotlivcoch, je prísnejší dohľad nad ochranou osobných údajov životne dôležitý. Videozáznam identifikovateľnej osoby je prirodzene súčasťou osobných údajov jednotlivca. Všeobecné nariadenia EÚ o ochrane údajov (GDPR), ktoré nadobudli účinnosť v celej Európskej únii v máji 2018, sa teda dotýkajú všetkých prevádzkovateľov kamerových systémov.
Mgr. Eva Škorničková, tvorkyňa českého vzdelávacieho, školiaceho a poradenského webu GDPR, GDPR.cz – Spýtala sa spoločnosť Axis Communications: Aké zmeny prinieslo GDPR, najmä pokiaľ ide o kamerový dohľad.
Čo sa týka kamerových systémov, podľa GDPR už odpadá oznamovacia povinnosť Úradu na ochranu osobných údajov. Na druhej strane, aké administratívne úlohy pribudli? #
GDPR zaviedlo niektoré nové povinnosti, napríklad vedenie evidencie činností. Vedenie evidencie je akousi náhradou za zrušenú registračnú povinnosť podľa zrušeného zákona č. 101/2000 Zz. Keďže prevádzkovanie kamerového systému nemožno považovať za príležitostné spracovanie, každý prevádzkovateľ CCTV musí s touto povinnosťou počítať. Rovnako ako § 13 zrušeného zákona č. 101/2000 Z. z., aj GDPR obsahuje samostatnú časť zaoberajúcu sa bezpečnosťou údajov, ktorá sa týka povinností správcu.
Ľudia, ktorí sú snímaní kamerou, majú teda právo na presnejšie informácie o spracovaní údajov? #
Presne tak. Podľa GDPR by mal správca prijať všetky primerané opatrenia, aby monitorovaným osobám stručne, transparentne, zrozumiteľne a ľahko dostupným spôsobom poskytol informácie o spracúvaní ich údajov kamerovým systémom, najmä ak ide o údaje o deťoch. To znamená, že keď vstúpim do predajne, kde ma sledujú kamery, mám okrem nápisu s informáciami o kamerách právo poznať detaily záznamu a správca by mal tieto informácie sprístupniť písomne alebo iným spôsobom v tlačenej podobe / elektronickej forme.
Ďalšou povinnosťou podľa GDPR je povinné nahlasovanie úniku údajov Úradu na ochranu osobných údajov. Akú formu by mal mať? #
Oznamovanie porušení ochrany osobných údajov dozornému úradu (článok 33) je novou povinnosťou, podľa ktorej je správca povinný bez zbytočného odkladu, a ak je to možné, do 72 hodín oznámiť príslušnému dozornému orgánu podľa článku 55 každé porušenie zabezpečenia osobných údajov. dozvedieť sa o porušení, pokiaľ nie je pravdepodobné, že by porušenie malo za následok riziko pre práva a slobody fyzických osôb. Táto povinnosť sa vzťahuje na prevádzkovateľa kamerového systému, preto je nevyhnutné, aby plne zohľadňoval bezpečné spracovanie týchto záznamov.
Sťažuje GDPR monitorovanie zamestnancov? #
Nie, budú platiť tie isté pravidlá, aké už predtým vo svojom stanovisku definoval Úrad na ochranu osobných údajov. Zamestnanci teda musia byť informovaní o umiestnení kamerového systému, nie je však potrebné žiadať zamestnancov o súhlas, keďže ide o spracúvanie osobných údajov na základe oprávneného záujmu zamestnávateľa. Pracovná skupina vydala v júni 2017 aj ďalšie usmernenie k monitorovaniu zamestnancov na pracovisku podľa článku 29.
Ako GDPR ovplyvňuje kamerové systémy? #
Čo vstúpilo do platnosti s GDPR? #
- Žiadna oznamovacia povinnosť Úradu na ochranu osobných údajov inštaláciou kamerového systému (KS)
- Povinnosť správcu poskytnúť bližšie informácie o spôsobe spracovania údajov pomocou KS
- Povinnosť správcu viesť písomný záznam o prevádzke KS
- Povinnosť správcu hlásiť únik osobných údajov (alebo porušenie bezpečnosti) Úradu na ochranu osobných údajov
- Povinnosť vypracovať hodnotenie vplyvu na ochranu údajov (DPIA) s ohľadom na „rozsiahle systematické monitorovanie verejne prístupných priestorov“
- Povinnosť vymenovať takzvaného poverenca pre ochranu osobných údajov (platí pre verejné subjekty alebo špecialistov na spracovanie osobných údajov)
Čo zostalo rovnaké? #
- Ak je kamerový dohľad primeraný, súhlas sa nevyžaduje, a to ani od zamestnancov
- Prevádzka KS a uchovávané nahrávky alebo osobné údaje musia byť primerane zabezpečené proti neoprávnenému prístupu
Posledná úvaha, ak ponúkate video ako službu. Zvážte vymenovanie zodpovednej osoby.
GDPR špecifikuje rolu správcu, ktorý má primárnu zodpovednosť za nakladanie s osobnými údajmi a rolu spracovateľa. Súčasným trendom video sledovania je model, kedy celé riešenie vrátane kamier a ďalšieho hardvéru, softvéru a dátových úložísk je majetkom spracovateľa (outsourcingovej spoločnosti), pričom správca si službu len prenajíma. Dodávateľská spoločnosť bude pravdepodobne špecialistom na spracovanie osobných údajov a navyše podľa GDPR musí vymenovať takzvaného poverenca pre ochranu osobných údajov, teda osobu, ktorá pôsobí ako konzultant a sprostredkovateľ vo všetkých otázkach bezpečnosti údajov.
Všetky otázky zodpovedala: Eva Škorničková #
Eva je členkou Pracovnej skupiny pre legislatívu ochrany osobných údajov na Úrade vlády ČR. Vyštudovala právo na University of Ottawa v Kanade a Karlovej univerzite v Prahe a pôsobila ako diplomatická konzulka na českom veľvyslanectve v Kanade. 15 rokov pôsobila ako konateľka a hlavná právna poradkyňa stredoeurópskych právnych divízií v nadnárodných spoločnostiach Kimberly-Clark a Mondelēz (bývalá Kraft Foods). Prevádzkuje informačný web GDPR.cz a odbornú českú GDPR skupinu na LinkedIn.
