Jedným z obľúbených prostriedkov ochrany majetku zamestnávateľa je monitorovanie priestorov kamerovým systémom. Záznamy z kamier zachytávajú zamestnancov, ale aj ďalšie osoby pohybujúce sa v monitorovaných priestorov, čím dochádza k spracúvaniu osobných údajov týchto monitorovaných osôb.
Z prevádzkovateľa kamerového systému sa tak stáva aj prevádzkovateľ na účely nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „GDPR“).
O tom, že prevádzkovatelia kamerových systémov pri svojej činnosti nie vždy pamätajú na pravidlá GDPR, svedčí niekoľko rozhodnutí Úradu na ochranu osobných údajov SR, ktorý od účinnosti GDPR udelil za porušenie pravidiel spracúvania osobných údajov týmto spôsobom už niekoľko pokút. Príspevok sumarizuje päť mýtov v oblasti ochrany osobných údajov pri monitorovaní priestoru kamerovým systémom a snaží sa ozrejmiť, prečo nie sú tieto tvrdenia stopercentne pravdivé.
- Vzor
Mýty v oblasti ochrany osobných údajov pri monitorovaní priestoru kamerovým systémom
1. Súkromné osoby, ktoré monitorujú priestory vo svojom vlastníctve (napr. kamera na rodinnom dome), nepodliehajú režimu GDPR.
Podmienkou neuplatnenia právneho režimu GDPR je tzv. výnimka domáckej činnosti. Podľa čl. 2 ods. 2 písm. c) GDPR nariadenie sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti. Je nepodstatné, či osoba je podnikateľom/nepodnikateľom, pretože status fyzickej osoby vôbec nie je rozhodujúci. Podstatné je, ako bude monitorovanie využité. Podľa judikatúry Súdneho dvora Európskej únie je výnimka domáckej činnosti vykladaná veľmi úzko.
Ak je okrem súkromného priestoru, hoci len čiastočne, snímaný aj verejný priestor (napr. chodník pri dome, príjazdová cesta a pod.) alebo napr. aj záhrady susedov alebo iné susediace nehnuteľnosti, výnimka domáckej činnosti neplatí a na súkromnú osobu sa vzťahuje právny režim GDPR.
2. Nie som majiteľom kamier, nie som prevádzkovateľom na účely GDPR.
Pozícia prevádzkovateľa na účely GDPR nezávisí od toho, kto je vlastníkom nainštalovaných kamier. Prevádzkovateľ je ten, kto sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Ak vlastník priestorov, v ktorých je inštalovaný monitorovací systém, prenajme tieto priestory, nie je automaticky prevádzkovateľom na účely GDPR. Ak napríklad tieto priestory prenajme zamestnávateľovi, ktorý kamery využíva, je to práve zamestnávateľ, ktorý bude prevádzkovateľom na účely GDPR. V prípade, že prístup k záznamom z kamier bude mať aj vlastník, aj nájomca (v našom prípade zamestnávateľ) a budú sledovať spoločný účel spracúvania takýchto osobných údajov, budú z hľadiska GDPR považovaní za tzv. spoločných prevádzkovateľov.
3. Na monitorovanie zamestnanca potrebujem vždy jeho súhlas.
Pri monitorovaní priestoru kamerovým systémom, obdobne ako pri inom spôsobe spracúvania osobných údajov, je dôležité určiť, na akom právnom základe sú osobné údaje spracúvané. Je potrebné zvoliť správny právny základ, pretože aj voľba nesprávneho právneho základu môže byť sankcionovaná. Ak zamestnávateľ monitoruje svoje priestory za účelom ochrany svojho majetku, ochrany života a zdravia zamestnancov, či na účely kontroly dodržiavania pracovnej disciplíny, nepotrebuje a nežiada zamestnancov o súhlas.
Právnym základom v týchto prípadoch je oprávnený záujem prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR, ktorý vyplýva aj z § 13 ods. 4 zákona č. 311/2001 Z. z. Zákonník práce v z. n. p. (ďalej len „Zákonník práce“). Zamestnávateľ je povinný zamestnancov o monitorovaní informovať jednak v rozsahu, ako mu diktuje § 13 ods. 4 Zákonníka práce, t. j. o rozsahu kontroly, spôsobe jej uskutočnenia, ako aj o dobe jej trvania, a jednak v rozsahu informačnej povinnosti podľa čl. 13 GDPR.
4. Pri každej kamere musí byť umiestnený piktogram.
Piktogram (označenie monitorovaného priestoru) je formou informačnej povinnosti v zmysle čl. 13 GPDR. Informácie, ktoré je povinný prevádzkovateľ dotknutej osobe poskytnúť podľa čl. 13 GPDR, sa jej majú poskytnúť pri získavaní jej osobných údajov a v takom rozsahu, ako jej ešte neboli poskytnuté. Piktogram upozorňujúci na to, že priestor je monitorovaný kamerami, tak nie je potrebné umiestňovať ku každej kamere, ale umiestňuje sa v mieste vstupu do monitorovaného priestoru približne vo výške očí. Podstatné je, aby dotknutá osoba ešte pred vstupom do monitorovaného priestoru bola informovaná, že vstupuje do monitorovaného priestoru a že jej osobné údaje budú spracúvané práve týmto spôsobom.
5. Záznam z kamery možno uchovávať po dobu 15 dní.
Pätnásťdňovú lehotu uchovávania záznamov upravoval zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov. GDPR fixnú lehotu uchovávania záznamov z kamerových systémov neupravilo, a preto sa v praxi naďalej používala pätnásťdňová lehota. Usmernenie EDPB č. 3/2019 o spracúvaní osobných údajov prostredníctvom kamerových zariadení (ďalej len „usmernenie“) však sprísnilo pravidlá pre prevádzkovateľov kamerových informačných systémov a zdôraznilo potrebu rešpektovania zásady minimalizácie uchovávania osobných údajov. To, či je potrebné osobné údaje uchovať alebo nie, sa má kontrolovať v úzkom časovom rámci.
Doba uchovávania záznamov z kamerových systémov by tak mala byť čo najkratšia. V zmysle rozhodnutí Úradu na ochranu osobných údajov SR a aj usmernenia platí, že akékoľvek uchovávanie osobných údajov trvajúce dlhšie ako 72 hodín je potrebné riadne odôvodniť. Čím dlhšie je stanovené obdobie uchovávania (najmä ak presahuje 72 hodín), tým viac musí byť predložená argumentácia o legitimite účelu a nevyhnutnosti uchovávania.