S technickými vymožnosťami sa rozšírilo monitorovanie objektov kamerovým systémom, ktoré je dnes už pomerne bežnou činnosťou. Je však potrebné myslieť na to, že každý kamerový systém na monitorovanie priestoru bez ohľadu na to, či slúži na monitorovanie okolia domu, firmy či súkromných priestorov, kde je umožnený vstup verejnosti, musí spĺňať kritéria dané Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Zákon prešiel modernizáciou 25. mája 2018. Od tohto dňa má každá spoločnosť alebo organizácia povinnosť dodržiavať pravidlá a požiadavky ochrany osobných údajov podľa GDPR.

Nie každé monitorovanie priestorov kamerovým systémom spadá do pôsobnosti nariadenia GDPR. V prípade, ak fyzické osoby nie je možné prostredníctvom kamerového systému identifikovať, nejde o spracovateľskú operáciu s osobnými údajmi, a v takom prípade monitorovanie priestorov nepodlieha právnej úprave nariadenia GDPR.  Pod úpravu nariadenia GDPR nepatria ani „atrapy“ kamier alebo nefunkčné kamery, ktoré slúžia na odstrašenie potenciálneho páchateľa, pretože prostredníctvom takýchto nefunkčných kamier fakticky nedochádza k spracúvaniu osobných údajov dotknutých osôb.

Typickým príkladom spadajúcim do „domácej výnimky“ je monitorovanie okolia rodinného domu a priľahlého pozemku vo vlastníctve súkromnej osoby. Jedná sa o monitorovanie neverejných priestorov. Neverejné priestory sú také, do ktorých nie je možné vstupovať bez pozvania vlastníka. V prípade, ak kamerový systém systematicky monitoruje susedný pozemok, prípadne verejné priestranstvo (chodník, ulicu) mimo súkromného pozemku, domáca výnimka sa neuplatní a prevádzkovateľ kamerového systému je povinný plniť povinnosti podľa nariadenia GDPR.

Zákonnosť spracúvania pri monitorovaní kamerovým systémom

Kedy môžeme hovoriť o skutočnej potrebe prevádzkovateľa monitorovať priestory kamerovým systémom? Každý, kto používa kamerový systém, by mal spĺňať zásady minimalizácie údajov podľa č. 5 ods. 1 písm. c) všeobecného nariadenia o  ochrane údajov, ktorý  vyjadruje povinnosť prevádzkovateľa spracúvať iba osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Účelov spracúvania môže byť viacero, napríklad ochrana majetku prevádzkovateľa, ochrana zdravia osôb v monitorovaných priestoroch alebo predchádzanie páchaniu protiprávnych konaní. Pred inštaláciou kamerového systému treba zvážiť, či neexistujú iné, menej rušivé metódy spracúvania, na základe ktorých by bolo možné dosiahnuť sledovaný účel spracúvania. Napríklad, inštalácia iných bezpečnostných prvkov alebo zariadení, ako oplotenie priestorov, alarm, bezpečnostné dvere, či fyzická bezpečnostná služba. Osobné údaje KIS musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov. Za dodržiavanie základných zásad spracúvania osobných údajov a ich súlad je zodpovedný prevádzkovateľ, a je povinný tento súlad na požiadanie úradu preukázať.

Uchovávanie, považované za spracúvanie, závisí predovšetkým od priestoru, ktorý sa monitoruje a účelu spracúvania osobných údajov. Osobné údaje nesmú byť uchovávané dlhšie, ako je na daný účel spracúvania potrebné.  Po splnení účelu je potrebné osobné údaje vymazať. Ideálnym riešením je automatické vymazávanie záznamov po uplynutí stanovenej doby. Vo väčšine prípadov postačí uchovávanie v rozsahu niekoľkých dní. V zmysle odporúčania Európskeho výboru pre ochranu osobných údajov je to v závislosti od konkrétnej situácie 1 až 5 dní.  V prípade, žeby doba uchovávania záznamov bola viac ako 72 hodín, tak prevádzkovateľ musí vedieť dozornému orgánu dostatočne vyargumentovať dôvody dlhšieho uchovávania záznamov,  tak aby neboli v rozpore s čl. 5 ods. 1 písm. e) GDPR nariadenia (minimalizácia uchovávania ).

Nesprávne označenie

Dopady pri nesúlade s GDPR

V súvislosti s GDPR sú často skloňované sankcie a  pokuty, ktoré môžu dosiahnuť závratnú výšku až do 20 mil. eur, a často sú pre prevádzky likvidačné. Podľa GDPR a nového zákona o ochrane osobných údajov musí úrad  pri rozhodovaní o uložení pokuty a určení jej výšky zohľadniť najmä:

• povahu, závažnosť a trvanie porušenia, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla
• prípadné zavinenie porušenia ochrany osobných údajov – t. j. úmyselný alebo nedbanlivostný charakter porušenia
• mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa
• mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov
• spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu

Kontrola dodržiavania ustanovení GDPR  zákona o ochrane osobných údajov  môže nastať z podania osoby alebo z vlastnej vôle úradu. Úrad môže vykonať kontrolu na základe plánu kontrol, na základe podozrenia z  porušenia povinností ( preveruje sa aj anonymné udanie ) alebo v  rámci konania o  ochrane osobných údajov.