GDPR a kamery

20. mája 2019, Ľubomír Polčic, Nezaradené

Dňa 25. mája 2018 vstúpilo v celej Európskej únii do platnosti Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR (General Data Protection Regulation). Cieľom bolo zjednotiť pohľad na spracúvanie a ochranu osobných údajov. V zmysle čl. 4 GDPR, kamerový systém, je informačný systém, ktorý spracúva osobné údaje dotknutých osôb a preto spadá do pôsobnosti GDPR. Nespadá len v prípade, ak monitorujete svoj vlastný pozemok a  nemonitorujete pozemok, ktorý je prístupný verejnosti. Hlavné zmeny, ktoré priniesol nový zákon pre KMIS (kamerový monitorovací informačný systém):

Zákonnosť prevádzkovania KMIS definuje GDPR. Neplatí už §15 Zákona č. 122/2013 Z. z. o ochrane osobných údajov (celý zákon bol zrušený a nahradený Zákonom č. 18/2018 Z.z. o ochrane osobných údajov). Oprávnenosť prevádzkovania KMIS sa posudzuje v zmysle čl. 6 ods.1, písm f) GDPR. Zaznamenávanie obrazu sa chápe ako spracúvanie osobných údajov, takže neobstojí argument prevádzkovateľa KMIS, že s obrazom on nič nerobí. GDPR v čl. 9 ods. 1 definuje osobné údaje osobitnej kategórie. Podľa môjho názoru KMIS spracúva osobné údaje osobitnej kategórie, pretože zo záznamu bez problémov určíte napr. rasu alebo zdravotný stav (napr. invaliditu) dotknutej osoby. Myslím si, že keď sa tvorilo GDPR, bežne boli dostupné kamery s rozlíšením 1 MPx a zo záznamu bol problém identifikovať dotknutú osobu.  Súčasné kamery a aj záznamové zariadenia sú veľmi kvalitné. Rozlíšenie lacných kamier je do 12 Mpx a preto nie je problém jednoznačne identifikovať dotknutú osobu. Netreba špeciálnu kameru, netreba snímač dúhovky. V kamerách alebo záznamových zariadeniach je už bežne dostupná technológia rozoznávania tváre. Táto technológia sa už niekoľko rokov využíva napr. pri futbalových zápasoch.
Ako prevádzkovateľ, v čl. 13 GDPR sa píše, aké informácie ste povinný poskytnúť dotknutej osobe a v  čl. 15 22 GDPR sú definované práva dotknutej osoby. V Zákone č. 122/2013 Z. z. o ochrane osobných údajov, práva dotknutej osoby neboli definované.
V čl. 24 GDPR sa definuje zodpovednosť prevádzkovateľa, čo má prevádzkovateľ urobiť pre ochranu osobných údajov, pred spustením KMIS. Argument, “treba len napísať nejaký papier a to stačí“ je veľmi mylný. Ak ste prevádzkovateľ, musíte prijať a pri kontrole preukázať, že  ste prijali bezpečnostné opatrenia na ochranu osobných údajov, čiže opatrenia na ochranu záznamu z KMIS.  Ako prevádzkovateľ musíte prijať aj technické opatrenia, na ktoré sa často zabúda. Len vypísané tlačivo, Váš KMIS neochráni pred útokmi, či krádežou zariadenia alebo dát. Pri kontrole alebo úniku záznamu z KMIS hrozia veľké pokuty. Je jedno, či zákon porušili občan, pár obyvateľov bytového domu alebo veľká firma. Pokuta môže byť až do 10 000 000 EUR. Neznalosť zákona neospravedlňuje.