- Smart budovy zbierajú údaje, ktoré môžu byť považované za osobné údaje.
- Prevádzkovatelia smart budov musia dodržiavať GDPR pri spracovaní osobných údajov.
- Nezabezpečenie osobných údajov môže viesť k pokutám až do výšky 20 miliónov eur.
Žijeme v ére rýchleho rozvoja inteligentných budov. Od bytových komplexov až po moderné kancelárie – čoraz viac nehnuteľností je vybavených smart technológiami, ktoré prinášajú najmä automatizáciu, úsporu energií a vyšší komfort bývania aj práce.
Pohybové senzory, digitálne prístupové systémy, inteligentné kamerové siete či systémy na optimalizáciu spotreby energií neprinášajú len vyšší komfort, efektívnu prevádzku a úspory energií, ale aj nové právne a etické otázky, predovšetkým v oblasti ochrany osobných údajov.
Smart budova predstavuje čiastočne autonómne prostredie, ktoré na základe prepojených technológií a dátových vstupov optimalizuje svoju prevádzku bez potreby neustáleho ľudského riadenia.
Informácie zo senzorov, kamier či digitálnych prístupových systémov sa síce javia ako technické dáta, no v mnohých prípadoch umožňujú identifikáciu konkrétneho človeka – a tým sa stávajú osobnými údajmi. Musia byť preto spracovávané v súlade s GDPR, ktoré pomerne prísne určuje podmienky, za ktorých je možné takéto údaje legálne používať.
Ochrana osobných údajov je na Slovensku upravená Zákonom o ochrane osobných údajov z roku 2018, ktorý implementuje európske nariadenie GDPR. Osobnými údajmi nie sú len kamerové záznamy či biometria. Z právneho hľadiska ide o akékoľvek informácie, ktoré umožňujú identifikovať konkrétnu osobu – priamo, alebo nepriamo, napríklad kombináciou rôznych technických alebo lokalizačných dát.
Dôležité podmienky
Zákon síce neurčuje účely, na ktoré môžu byť osobné údaje zhromažďované a spracúvané, avšak jasne stanovuje podmienky, kedy je takéto spracúvanie v súlade so zákonom. Sú nimi napríklad súhlas, plnenie zmluvy alebo plnenie zákonnej povinnosti.
„Existujú situácie, kedy je spracovanie osobných údajov prípustné aj na základe oprávneného záujmu, napríklad pre zabezpečenie bezpečnosti a majetku vlastníkov v spoločných priestoroch. Avšak aj takéto spracovanie musí vždy spĺňať zákonné podmienky,” upozorňuje advokát Marek Beľujský z advokátskej kancelárie FAIRSQUARE.
Na druhej strane, ak je kamera v byte, alebo v okolí domu a vyslovene nesníma verejný priestor, môže ísť o záznamy pre osobnú, alebo domácu potrebu, pričom v takom prípade sa naňho podmienky stanovené v Zákone alebo GDPR nebudú vzťahovať.
Už sa viac neboj o svoje peniaze.
Investuj a premeň svoje obavy na príležitosť.
Kľúčové pravidlá
Prevádzkovatelia smart budov, či už sú to vlastníci, správcovia alebo operátori smart systémov, musia pri spracúvaní osobných údajov dodržiavať niekoľko kľúčových povinností:
- Účel: spracúvanie údajov musí byť vykonávané na konkrétny, vopred určený účel, napríklad ochranu majetku či bezpečnosť osôb. Tento účel musí byť vyvážený voči právam a slobodám dotknutých osôb.
- Právny základ: Spracúvanie osobných údajov môže byť vykonávané iba v prípade určenia konkrétneho právneho základu.
- Informovanie: Osoby, ktorých údaje sú zaznamenávané, musia byť jasne a včas informované o všetkých podmienkach spracúvania a ich právach. Pri kamerových záznamoch je to najčastejšie formou piktogramu kamery, ktorá však musí byť doplnená o ďalšie podstatné informácie, napríklad formou informačnej tabule s uvedením prevádzkovateľa, účelu snímania, doby uchovávania záznamov a prípadne kontaktu na zodpovednú osobu.
- Obmedzenie záznamov: Kamery nesmú byť umiestnené v priestoroch, kde by ich používanie mohlo viesť k neprimeranému zásahu do súkromia dotknutých osôb, ako toalety alebo šatne, aby nebolo neprimerane narušené súkromie osôb.
- Primeranosť sledovania: Kamerový záznam musí byť vyhotovený tak, aby bol primeraný účelu a nesmie zachytávať údaje, ktoré nie sú nevyhnutné na jeho dosiahnutie.
- Doba uchovávania: Záznamy je možné uchovávať len po nevyhnutnú dobu, pričom ak nenastane žiadny incident, maximálna doba uchovávania záznamov by mala byť 72 hodín.
- Bezpečnosť dát: Kamerové systémy a záznamy musia byť chránené pred neoprávneným prístupom. Prístup k nim môžu mať iba osoby s oprávnením.
- Poverená/zodpovedná osoba: Je vhodné určiť osobu, a to najmä v prípade právnických osôb alebo fyzických osôb – podnikateľov, ktorá bude zodpovedať za ochranu osobných údajov aktorá bude dohliadať na dodržiavanie GDPR a iných právnych požiadaviek. Zároveň musí prevádzkovateľ týchto osobných údajov posúdiť, či nemusí pri takomto spracúvaní určiť zodpovednú osobu.
- Dokumentácia: Prevádzkovateľ musí mať vypracovaný dokument popisujúci účel, právny základ spracovania, dobu uchovávania záznamov a práva dotknutých osôb.
