- Smart budovy zbierajú údaje, ktoré môžu byť považované za osobné údaje.
- Prevádzkovatelia smart budov musia dodržiavať GDPR pri spracovaní osobných údajov.
- Nezabezpečenie osobných údajov môže viesť k pokutám až do výšky 20 miliónov eur.
Smart budovy vyžadujú aj smart komunikáciu
„Moderné budovy generujú veľké množstvo dát, no spracovanie týchto údajov často prebieha bez dostatočnej pozornosti a informovanosti používateľov,” upozorňuje Marek Beľujský z FAIRSQUARE a dodáva: „Mnohí užívatelia ani netušia, aké údaje sa zbierajú, kto k nim má prístup a na aký účel sa používajú.”
Právna zodpovednosť sa pri spracúvaní osobných údajov líši podľa toho, kto v konkrétnom prípade zodpovedá za ich spracúvanie a teda kto určuje účely a prostriedky spracúvania. Zjednodušene povedané, kto je prevádzkovateľom osobných údajov a prípadne kto je sprostredkovateľom.
Vlastník/vlastníci budovy spravidla zodpovedajú za systémy nainštalované v spoločných priestoroch, vlastníci/nájomca za zariadenia v užívaných priestoroch a poskytovateľ technológie podľa toho, či vystupuje len ako dodávateľ samotnej technológie (v takom prípade za spracúvanie osobných údajov nezodpovedá), ako sprostredkovateľ alebo aj ako samostatný prevádzkovateľ.
„Je nevyhnutné, aby všetci aktéri – vlastníci, správcovia, IT dodávatelia – poznali svoje úlohy a povinnosti v spracovaní osobných údajov. Orávne záväzky sa totiž líšia podľa ich právnej pozície,” dodáva advokát. Transparentná komunikácia s obyvateľmi a užívateľmi budov je kľúčová. Jasné podmienky spracúvania údajov zvyšujú dôveru a umožňujú bezpečné využívanie inteligentných technológií.
Kybernetické riziká
Riziko kybernetických útokov neobchádza ani inteligentné budovy. Zlyhanie kybernetickej ochrany v takýchto budovách môže viesť k vážnym právnym dôsledkom, najmä ak dôjde k úniku osobných údajov. Prevádzkovateľ systému má v zmysle GDPR povinnosť nahlásiť narušenie bezpečnosti do 72 hodín Úradu na ochranu osobných údajov. Tiež musí informovať dotknuté osoby, ak hrozí vysoké riziko pre ich práva (napríklad krádež identity).
Ak prevádzkovateľ nezabezpečí primerané technické a organizačné opatrenia, môže čeliť sankciám až do výšky 20 miliónov eur, alebo 4 % obratu. Úrad pre ochranu osobných údajov SR však doteraz tak prísny nebol. Priemerná výška pokút dosahuje okolo 2 000 eur, najvyššia doteraz udelená pokuta dosiahla 50 000,- eur. V prípade závažného útoku môže ísť aj o trestný čin, pričom páchateľom je síce hacker – ale právna zodpovednosť za nezabezpečenie systému zostáva na správcovi alebo vlastníkovi.
Ako uzatvára Marek Beľujský:
Je dôležité zdôrazniť, že úplne eliminovať riziko kybernetického útoku nie je možné. Právne predpisy však kladú dôraz na prevenciu – teda na to, aby boli zavedené opatrenia primerané hrozbám a technickým možnostiam. Prevádzkovateľ osobných údajov – a prípadne aj sprostredkovateľ – musia konať proaktívne a preukázať, že pre bezpečnosť údajov urobili maximum.
