Bezpečnostné hrozby a riziká kamerových systémov v čase GDPR
- Datum: 14.06.2018
- Autor: Vít Lidinský
Prevádzkovanie kamerových systémov, ktorých účelom je identifikácia konkrétnych fyzických osôb, je podľa ustáleného výkladu považované za spracovanie osobných údajov.
Možno považovať kamerový systém za spracovanie osobných údajov?
Ktorých účelom je identifikácia konkrétnych fyzických osôb, je podľa ustáleného výkladu úradov aj súdov považované za spracovanie osobných údajov.
To isté s ohľadom na širokú definíciu pojmu osobný údaj platí aj vtedy, ak správca sám nie je schopný bezprostredne identitu dotknutých osôb určiť, alebo ich kontaktovať.
Kamerovým systémom je potom nutné rozumieť nielen skutočne sofistikovanú sústavu viac kamier, prípadne spojenú aj s ďalšími sledovacími alebo vyhodnocovacími prvkami, ale aj jednotlivú kameru, ktorá sníma verejné priestory (ulicu, obchod, okolie domu, okolie áut atď.).
Aký je platný výklad
Do režimu regulácie spracovania osobných údajov spadajú len také kamery či kamerové systémy, ktoré nielen prenášajú obraz, prípadne i zvuk, ale predovšetkým zaobstarávajú záznam takto zachytených informácií.
Tento výklad vyníma kamery zaisťujúce online prenos, najčastejšie prostredníctvom Internetu z pôsobnosti GDPR.
Povinnosti, ktoré padajú na prevádzkovateľa kamier
Dá sa však očakávať, že tento prístup bude prehodnocovaný, a to predovšetkým s ohľadom na technický charakter online kamier, kedy fakticky na ukladanie dát počas ich prenosu dochádza, hoci na veľmi krátku dobu.
Aj počas tejto doby je prevádzkovateľ kamery povinný prenášané informácie vrátane osobných údajov chrániť proti neoprávnenému či náhodnému prístupu alebo zneužitiu, prípadné úniky dát je potom povinný oznámiť Úradu pre ochranu osobných údajov a v niektorých prípadoch aj priamo zachyteným osobám, ak by pre nich daný bezpečnostný incident predstavoval vysoké riziko.
S ohľadom na to, že prevádzkovateľ kamier snímajúcich verejne prístupné priestory zvyčajne nebude disponovať identifikačnými a kontaktnými údajmi zachytených osôb, musel by im informáciu o porušení zabezpečení ich osobných údajov oznámiť iným spôsobom, verejným oznámením v médiách, na internete atď., čo by s sebou pochopiteľne nieslo aj reputačné riziko pre danú organizáciu.
Základné pravidlá pre spracovanie osobných údajov prostredníctvom kamier GDPR príliš nemení
Aj v režime GDPR bude musieť prevádzkovateľ kamier určiť účel spracovania dát, ktorým zvyčajne bude ochrana života a zdravia, ochrana majetku či plnenie zákonnej povinnosti tam, kde sledovanie určitého priestoru kamerou ukladá osobitný zákon.
Ďalšia z povinností je určenie právneho titulu, ktorý zvyčajne bude ochrana oprávnených záujmov správcu údajov či ďalších osôb. Súhlas so spracovaním osobných údajov je z podstaty veci u kamier, najmä u kamier snímajúcich verejné priestory, prakticky vylúčený.
Nemenej dôležitým aspektom potom bude posúdenie primeranosti zásahu do súkromia a s tým súvisiace technické nastavenie (sledovaný perimeter, kvalita obrazu, doba uchovania dát) a zabezpečenie kamier, prenosu dát a prípadného záznamu.
Primeranosť konkrétneho kamerového systému je nutné posudzovať vždy individuálne, s ohľadom na ďalšie aspekty a okolnosti prípadu. V neposlednom rade je potom nutné plniť informačnú povinnosť, najmenej prostredníctvom tzv. Informačných tabúľ obsahujúcich aspoň základné informácie o spracovaní: účel spracovania, identitu správcu, prevádzkovateľa kamerového systému, a odkaz na miesto či osobu, kde možno získať detailné informácie (webové stránky, telefónne linka, konkrétny zamestnanec).
Čo naopak GDPR pre prevádzkovateľa kamerového systému prináša nové?
Kamerové sledovanie verejne prístupných priestorov, najmä vo väčšom rozsahu, môže s ohľadom na mieru jeho rizikovosti prevádzkovateľovi priniesť niektoré nové povinnosti.
Prvým z nich je povinnosť prevádzkovateľa alebo sprostredkovateľa údajov vymenovať zodpovednú osobu na ochranu osobných údajov, ktorá oi. dopadá na tie organizácie, ktorých hlavná činnosť spočíva v operáciách spracovania, ktoré kvôli svojej povahe, svojmu rozsahu alebo svojim účelom vyžadujú rozsiahle pravidelné a systematické monitorovanie fyzických osôb.
Druhou novou povinnosťou, ktorú pri prevádzkovaní kamier GDPR prináša, je povinnosť vykonať dopadovú analýzu, teda posúdenie vplyvu na ochranu osobných údajov.
To je prevádzkovateľ kamerového systému povinný zabezpečiť, ak chce zaviesť nové spracovanie osobných údajov, napr. inštalovať nový kamerový systém zaberajúci verejne prístupné priestory, alebo významne zmeniť parametre už funkčného systému, typicky pridať okrem sledovania obrazu aj zachytenie zvuku, začať robiť záznam, inštalovať systémy pre vyhodnocovanie biometrických údajov (podľa rysov tváre, podľa chôdze).
Aj na prevádzkovateľa kamerových systémov dopadajú všetky ďalšie nové povinnosti, ktoré GDPR prináša
Tými je napr. povinnosť viesť záznamy o spracovaní, povinnosť nastaviť pravidlá pre internú eskaláciu, posudzovanie a reportovanie prípadov porušenia bezpečnosti osobných údajov, povinnosť nastaviť kamerové systémy v súlade so zásadou zámernej ochrany osobných údajov, data protection by design, a ďalšie. Všetky tieto povinnosti rozpracované do interných smerníc, metodík, formulárov a predvyplnených šablón možno získať v GDPR Dokumentácii.