Čo sa zmení s príchodom GDPR pre CCTV?
V čase, keď technológie vrátane inteligentných kamier umožňujú spoločnostiam zhromažďovať oveľa citlivejšie informácie o jednotlivcoch, je určite potrebný prísnejší dohľad nad ochranou osobných údajov. Videozáznam, ktorý obsahuje identifikovateľnú osobu prirodzene tvorí súčasť osobných údajov jednotlivca. Všeobecné pravidlá ochrany údajov GDPR ( General Data Protection Regulation), ktoré sa budú uplatňovať v celej Európskej únii od mája 2018, budú mať vplyv na prevádzkovateľov kamerových systémov.
Sú spoločnosti pripravené na GDPR?
Bohužiaľ, nie. Napriek intenzívnej mediálnej a vzdelávacej kampani o GDPR mnohé spoločnosti neurobili dostatok na jej aplikovanie. Okrem toho sa začalo rozširovať množstvo spoločností, ktoré ponúkajú „zázračné“ služby na implementovanie GDPR, ktoré rýchlo vyriešia toto nariadenie. Dodržiavanie pravidiel GDPR je dlhodobý projekt zahŕňajúci prerozdelenie interných procesov a informačných systémov, čo môže trvať niekoľko mesiacov až rokov pre rôzne subjekty. Bohužiaľ, väčšina spoločností neustále nedodržiava súčasný zákon o ochrane osobných údajov, a preto bude mať oveľa väčší problém s dodržiavaním pravidiel GDPR.
Pokiaľ ide o kamerové systémy, s príchodom GDPR už nie je povinnosť oznamovať Úradu pre ochranu osobných údajov. Na druhej strane, aké administratívne úlohy boli pridané?
GDPR zavádza niektoré nové povinnosti, napríklad vedenie záznamov o činnostiach.Evidencia je druhom náhrady za zrušenú registráciu podľa súčasného zákona. Pretože prevádzku kamerového systému nemožno považovať za príležitostné spracovanie,každý prevádzkovateľ kamerového systému by sa mal pripraviť na túto novú povinnosť včas. GDPR obsahuje samostatnú časť venovanú bezpečnosti údajov, ktorá sa týka povinností správcu.
Takže ľudia, ktorí sa ocitli natáčaní kamerou, majú nové právo na presnejšie informácie o ich spracovaní údajov?
Presne tak. Podľa GDPR by správca mal prijať všetky potrebné opatrenia, aby poskytol monitorovaným osobám informácie o spracovaní ich údajov kamerovým systémom v stručnom, transparentnom, zrozumiteľnom a ľahko dostupnom spôsobe, najmä pokiaľ ide o údaje o deťoch. Znamená to, že keď vstúpim do obchodu, kde ma sledujú kamery, okrem označenia s informáciami o kamerách mám právo poznať podrobnosti o nahrávaní a administrátor by mal sprístupniť tieto informácie písomne alebo iným spôsobom v tlačenej alebo elektronickej podobe.
Ďalšou novou povinnosťou podľa GDPR je povinné hlásenie úniku údajov Úradu pre ochranu osobných údajov. Akú formu by mala mať?
Oznamovanie porušení osobných údajov dozornému orgánu (článok 33) je novou povinnosťou, podľa ktorej správca musí príslušnému orgánu dohľadu podľa článku 55 oznámiť akékoľvek porušenie bezpečnosti osobných údajov bez zbytočného odkladu a podľa možnosti do 72 hodín, aby sa dozvedeli o porušení, pokiaľ nie je nepravdepodobné, že by porušenie mohlo viesť k ohrozeniu práv a slobôd fyzických osôb. Táto nová povinnosť sa určite vzťahuje na prevádzkovateľa kamerovej sústavy, takže je nevyhnutné, aby plne zohľadnili bezpečné spracovanie týchto záznamov.
Zhoršuje GDPR monitorovanie zamestnancov?
Nie, uplatnia sa rovnaké pravidlá, ktoré už stanovil Úrad pre ochranu osobných údajov vo svojom stanovisku. Zamestnanci musia byť preto informovaní o umiestnení kamerového systému, nie je však potrebné požiadať zamestnancov o ich súhlas, pretože ide o spracovanie osobných údajov na základe legitímneho záujmu zamestnávateľa. Pracovná skupina tiež vydala v júni 2017 ďalšie usmernenia týkajúce sa monitorovania zamestnancov na pracovisku podľa článku 29.
Ako GDPR ovplyvňuje kamerové systémy?
- Žiadna povinnosť oznámiť Úradu na ochranu osobných údajov inštaláciu kamerového systému
- Povinnosť správcu poskytnúť informácie o spôsobe spracovania údajov s pomocou kamerového systému
- Povinnosť správcu uchovávať písomný záznam o operáciách kamerového systému
- Povinnosť správcu oznámiť úniku osobných údajov (alebo porušenie bezpečnosti) Úradu pre ochranu osobných údajov
- Povinnosť vypracovať hodnotenie vplyvu ochrany údajov (DPIA – Data Protection Impact Assessment), pokiaľ ide o „rozsiahle systematické monitorovanie verejne prístupných priestorov“
- Povinnosť vymenovať tzv. Zodpovednú osobu na ochranu údajov (vzťahuje sa na verejné subjekty alebo špecialistov na spracovanie osobných údajov)
- Ak je monitorovanie videa primerané, súhlas sa nevyžaduje ani pre zamestnancov
- Prevádzka kamerového systému a uložené záznamy alebo osobné údaje musia byť primerane zabezpečené proti neoprávnenému prístupu
Konečná úvaha, ak ponúkate video monitorovacie systémy ako službu. Zvážte menovanie zodpovednej osoby. GDPR špecifikuje úlohu správcu, ktorý má primárnu zodpovednosť za spracovanie osobných údajov a úlohu spracovateľa. Súčasný trend v oblasti video monitorovania je model, v ktorom je celé riešenie, vrátane kamier a iného hardvéru, softvéru a ukladania dát, majetkom prevádzkovateľa (outsourcingová spoločnosť), zatiaľ čo administrátor prenajíma iba službu. Dodávateľská spoločnosť pravdepodobne bude špecialistom na spracovanie osobných údajov a navyše podľa GDPR musí určiť tzv. Úradníka na ochranu údajov, ktorý bude konať ako konzultant a sprostredkovateľ pre všetky otázky bezpečnosti údajov.