Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“), ktorý nadobudol účinnosť 1. júla 2013, priniesol rad zmien. Z úvodných ustanovení vyplýva, že zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie. Aj pri monitorovaní verejne prístupného priestoru dochádza k spracúvaniu osobných údajov (§ 4 ods. 3 písm. a)). Preto zákon o ochrane osobných údajov ustanovil, že priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný. Podľa cit. zákona túto povinnosť má prevádzkovateľ vždy, bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií (§ 15 ods. 7).
V zmysle zákona zreteľné označenie monitorovaného priestoru znamená viditeľné umiestnenie informácie o monitorovaní pri vstupe do monitorovaného priestoru z ktorejkoľvek strany. Je dôležité aby zaberaný priestor prístupný verejnosti bol monitorovaný len v rozsahu nevyhnutnom na dosiahnutie účelu spracúvania. To znamená, že napr. v prípade monitorovania parkovacieho miesta pri dome na tento účel nie je možné monitorovať chodník na druhej strane ulice, príp. celú ulicu ap., a teda sklon kamery /kamier je nevyhnutné v tomto zmysle upraviť.
Zákon ustanovuje, že vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch. Ak takto vyhotovený záznam nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený (§ 17 ods. 7). Zákon teda striktne stanovuje využitie takéhoto záznamu, čo znamená, že akékoľvek iné použitie (napr. prezentácia susedom, príp. na facebooku) je v rozpore so zákonom.
Prevádzkovateľ
Ten kto v rámci svojej činnosti monitoruje priestor prístupný verejnosti sa stáva prevádzkovateľom, pretože v zmysle zákona o ochrane osobných údajov prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.
Aj obyvatelia obytných domov – teda vlastníci bytov a nebytových priestorov – v poslednom období často siahajú po kamerových systémoch ako nástrojoch na ochranu ich majetku, pričom monitorujú napr. vchod do obytného domu vrátane časti chodníka, príp. parkovisko, ktoré k obytnému domu prislúcha, ak takýto priestor pri dome existuje. Povinnosť zreteľne označiť v nevyhnutnom rozsahu monitorovaný priestor prístupný verejnosti a likvidovať takto získaný záznam v pätnásťdňovej lehote platí aj v tomto prípade. Prevádzkovateľom zodpovedajúcim za spracúvanie osobných údajov získaných monitorovaním priestoru prístupného verejnosti však v tomto prípade môže byť:
• spoločenstvo vlastníkov bytov a nebytových priestorov podľa zákona č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov v znení neskorších predpisov (ďalej len „zákon o vlastníctve bytov“), ktoré spravuje obytný dom,
• správcovská spoločnosť ak vlastníci bytov a nebytových priestorov uzavreli zmluvu o výkone správy so správcom, ktorý na tomto základe zabezpečuje správu domu, a teda aj jeho ochranu, nakoľko zo zákona o vlastníctve bytov je možná len jedna z týchto dvoch foriem správy.
V praxi niekedy dochádza k tomu, že vlastníci bytov, ktorí uzavreli zmluvu o správe so správcom v zmysle zákona o vlastníctve bytov, sa sami rozhodnú a kamery kúpia, nainštalujú ich a neriešia vec cez správcu. V takom prípade je podľa zákona o ochrane osobných údajov prevádzkovateľom vlastník bytu v bytovom dome, ktorý spoločne s inými vlastníkmi určil účel a prostriedky spracúvania osobných údajov.
V poslednom prípade, keď prevádzkovateľom sú sami vlastníci (ktorí nie sú združení do spoločenstva, ale majú správcu, ktorého touto činnosťou nepoverili), problém môže niekedy nastať pri aplikácii ďalších ustanovení zákona o ochrane osobných údajov. Medzi tieto povinnosti patrí vedenie evidencie informačného systému (§ 43) poučenie oprávnených osôb (§ 21 ods. 3) a ochrana spracúvaných osobných údajov formou smernice alebo bezpečnostného projektu (§ 19 ods. 2,3).
Nakoľko sa zákon o ochrane osobných údajov vzťahuje na každého, kto spracúva osobné údaje, niektoré povinnosti z neho vyplývajúce sa vzťahujú aj na vlastníkov rodinných domov, ktorí za účelom ochrany majetku nainštalujú na rodinný dom kamerový systém. Pretože pri tejto činnosti dochádza k spracúvaniu osobných údajov z monitorovania verejne prístupného priestoru, povinnosť zreteľne označiť takýto priestor ako monitorovaný (aj keď sa osobné údaje nezaznamenávajú) a povinnosť likvidovať záznam z monitorovania do 15 dní (ak sa záznam vyhotovuje) sa na týchto prevádzkovateľov vzťahuje. Dôležitý je aj rozsah záberu, pretože každý prevádzkovateľ je oprávnený spracúvať len taký rozsah osobných údajov, ktorý je nevyhnutný na dosiahnutie účelu ich spracúvania (§ 6 ods. 2 písm. d).
Oprávnená osoba
Podľa zákona o ochrane osobných údajov oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa cit. zákona (§ 4 ods. 2 písm. e).
Ak prevádzkovateľom kamerového informačného systému je správcovská spoločnosť, jej zamestnanec, ktorý bude manipulovať so záznamom je oprávnenou osobou, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru. Oprávnenou osobou prevádzkovateľa je aj zástupca vlastníkov (viď zákon o vlastníctve bytov a nebytových priestorov), ktorý prichádza do styku s osobnými údajmi na základe zvolenia vlastníkmi bytov. Oprávnenými osobami sú aj členovia spoločenstva vlastníkov bytov, príp. „vchodoví dôverníci“, teda fyzické osoby, ktoré prichádzajú do styku s osobnými údajmi na základe zvolenia.
V prípade ak kamerový systém využíva vlastník rodinného domu vymedziť oprávnenú osobu v zmysle zákona o ochrane osobných údajov je problém. Z pohľadu definície zákona o ochrane osobných údajov člena rodiny, ktorý manipuluje s kamerovým záznamom nie je možné označiť za fyzickú osobu podľa uvedenej definície.
Zákon o ochrane osobných údajov presne ustanovuje náležitosti poučenia. Podľa cit. zákona poučenie musí byť písomné a prevádzkovateľ o ňom vyhotovuje písomný záznam. Nakoľko fyzická osoba sa stáva oprávnenou až dňom jej poučenia, tento proces sa musí vykonať pred uskutočnením prvej operácie s osobnými údajmi.
Záznam o poučení obsahuje:
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,
c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,
d) rozsah oprávnení, ktoré oprávnená osoba má, povinnosti ustanovené týmto zákonom, ktoré je oprávnená osoba povinná dodržiavať, popis povolených činností, zodpovednosť za ich porušenie,
e) deň poučenia a
f) deň, odkedy osoba prestala byť oprávnenou osobou (tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby).
Prevádzkovateľ, ktorým je spoločenstvo vlastníkov bytov resp. správcovská spoločnosť, je kapacitne schopný zabezpečiť poučenie oprávnených osôb, ktoré pracujú s kamerovým záznamom. Poučenie môže zabezpečiť napr. predseda predstavenstva, člen predstavenstva alebo konateľ spoločnosti, príp. zodpovedná osoba (týka sa správcovskej spoločnosti, ktorá spracúva osobné údaje prostredníctvom 20 oprávnených osôb). V prípade ak sa vlastníci bytov sami rozhodli zakúpiť a inštalovať kamerový systém, ostáva na ich zvážení, kto z nich bude oprávnenou osobou manipulujúcou so záznamami a kto ju poučí. Poučenie má reflektovať ustanovenia zákona o ochrane osobných údajov týkajúce sa monitorovania verejne prístupného priestoru.
Bezpečnosť spracúvaných osobných údajov
Pretože za bezpečnosť spracúvaných osobných údajov zodpovedá prevádzkovateľ, zákon o ochrane osobných údajov ukladá každému prevádzkovateľovi povinnosť chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania prijatím primeraných bezpečnostných opatrení (§ 19 ods. 1).
Zákon ustanovuje formu akou je prevádzkovateľ povinný tieto opatrenia zdokumentovať. V prípade monitorovania verejne prístupného priestoru kamerovým systémom so záznamom existujú dve možnosti prevádzky takéhoto informačného systému osobných údajov (§ 4 ods. 3 písm. b), a to:
1. záznamy sú zaznamenávané a uchovávané na záznamovej jednotke (rekordér), ktorá nie je prepojená s personálnym počítačom (záznamy prehliadame na zobrazovacej jednotke (napr. na televíznej obrazovke)),
2. záznamy sú uchovávané na záznamovej jednotke (rekordér), ktorá je prepojená na personálny počítač s prístupom na internet (záznamy prehliadame na PC s prístupom na verejnú počítačovú sieť) .
Dnes záznamové zariadenia majú výstup umožňujúci pripojenie k počítaču, nie vždy však musíme túto možnosť využiť.
Nakoľko pri monitorovaní priestoru prístupného verejnosti kamerovým systémom so záznamom dochádza k spracúvaniu osobných údajov a to aj takých, ktoré patria do osobitnej kategórie osobných údajov (osobné údaje odhaľujúce rasový a etnický pôvod a osobné údaje týkajúce sa zdravia – § 13) z pohľadu zákona o ochrane osobných údajov ide o prevádzku informačného systému osobných údajov:
1. neprepojenom na verejne prístupnú počítačovú sieť, v ktorom sú spracúvané osobitné kategórie osobných údajov a prijaté opatrenia je potrebné preukázať formou bezpečnostnej smernice (§ 19 ods. 2 písm. b)),
alebo
1. prepojenom na verejne prístupnú počítačovú sieť, v ktorom sú spracúvané osobitné kategórie osobných údajov a prijaté opatrenia je potrebné preukázať formou bezpečnostného projektu (§ 19 ods. 3 písm. a)).
Náležitosti bezpečnostného projektu, ako aj bezpečnostných smerníc ustanovuje vykonávacia vyhláška Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení, ktorá je vykonávacou vyhláškou k zákonu o ochrane osobných údajov (ďalej len „vyhláška“).
V zmysle vyhlášky bezpečnostný projekt obsahuje (§5)
a) názov informačného systému, na ktorý sa vzťahuje,
b) bezpečnostný zámer,
c) analýzu bezpečnosti informačného systému,
d) bezpečnostnú smernicu.
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu osobných údajov pred ohrozením ich bezpečnosti.
Bezpečnostný zámer obsahuje:
• formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
• špecifikáciu technických opatrení, organizačných opatrení a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
• vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti informačného systému,
• vymedzenie hraníc určujúcich množinu zostatkových rizík; zostatkovým rizikom sa rozumie bezpečnostné riziko, ktoré zostane úplne alebo čiastočne nepokryté bezpečnostnými opatreniami z dôvodu, že jeho miera je pre prevádzkovateľa akceptovateľná alebo ju nie je možné eliminovať vhodnými a efektívnymi bezpečnostnými opatreniami.
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému s vymedzením rozsahu jeho odolnosti a zraniteľnosti.
Analýza bezpečnosti obsahuje najmä kvalitatívnu analýzu rizík tvorenú:
• identifikáciou rizík založenou na identifikácii aktív a ich vlastníkov, identifikácii hrozieb pre tieto aktíva, identifikácii zraniteľností zneužiteľných hrozbami a na identifikácii dopadov na aktíva v dôsledku straty dôvernosti, integrity a dostupnosti,
• analýzou a ohodnotením rizík založených na určení dopadov, ktoré môžu vyplynúť zo zlyhania bezpečnosti,
• určením reálnej pravdepodobnosti výskytu zlyhania bezpečnosti a odhadom úrovne rizík vymedzujúcim, či je riziko akceptovateľné alebo vyžaduje prijatie ďalších opatrení za využitia vopred určených kritérií na akceptáciu rizika a identifikovaných prijateľných úrovní rizika,
• identifikáciou a ohodnotením možností minimalizácie rizík, napríklad aplikovaním vhodných bezpečnostných opatrení, vedomým a objektívnym akceptovaním rizík, vyhnutím sa rizikám alebo prenesením súvisiacich rizík na tretie strany,
• výberom cieľov a opatrení na ošetrenie rizík a vymedzením súpisu nepokrytých rizík, použitím technických noriem a určením iných metód a prostriedkov ochrany osobných údajov.
Bezpečnostné smernice tvorí:
• popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,
• rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,
• rozsah zodpovednosti oprávnených osôb a zodpovednej osoby,
• spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,
• postup pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.
Bezpečnostné smernice musia zodpovedať hore uvedeným podmienkam, či sú vypracované ako súčasť bezpečnostného projektu, alebo samostatne pre informačný systém osobných údajov, ktorý nie je prepojený s verejne prístupnou počítačovou sieťou. V prípade ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt len z titulu ochrany osobných údajov získaných monitorovaním verejne prístupného priestoru kamerovým systémom je jednoduchšie zabezpečiť, aby záznamové zariadenie nebolo prepojené s verejne prístupnou počítačovou sieťou.
Registrácia alebo evidencia
O informačnom systéme osobných údajov, v ktorom prevádzkovateľ spracúva osobné údaje získané z monitorovania verejne prístupného priestoru je povinný viesť evidenciu. Tento informačný systém patrí medzi výnimky z registrácie, pretože osobné údaje sa v ňom spracúvajú na základe zákona o ochrane osobných údajov.
Pre viac informácií nás neváhajte kontaktovať :
canex@canex.sk / +421 918 450 870
O spoločnosti CANEX, spol. s r.o.
Obchodná spoločnosť CANEX, spol. s r.o. vznikla v roku 1994 v Bratislave. Od prvých rokov pôsobenia sa zamieravala na počítačové siete a distribúciu IP technológií. V roku 1996 po získaní distribučnej zmluvy s firmou AXIS communications AB sa rozhodla špecializovať na IP video monitorovacie systémy a vlastný vývoj programového vybavenia pre IP video monitoring pod značkou WatchSystem.
Od začiatku sme na Slovensku formovali a vytvárali mladý, ale dynamicky rozvíjajúci sa trh s IP kamerami a IP security riešeniami. Dnes je tento trh jeden z najrýchlejšie rastúcich trhov na svete. V súčasnosti našim partnerom ponúkame najširšie služby na Slovenskom trhu v oblasti IP security videa, od návrhu projektov, cez zákazkový vývoj softvéru až po školenia a poradenstvo.
Sme hrdí na to že sme boli od počiatku pri zrode nového segmentu na svetovom trhu – trhu IP kamier. Na Slovensku sme ho z pozície distributéra aj aktívne vytvárali. Dnes je tento trh stále jeden z najrýchlejšie rastúcich na svete.
