Naša spoločnosť Vám pravidelne prináša najnovšie informácie v oblasti ochrany osobných údajov, a to prostredníctvom Stanovísk, Usmernení a pravidelného informovania. Týmto by sme Vás radi informovali o Usmernení Európskeho výboru pre ochranu údajov č. 3/2019 o spracúvaní osobných údajov prostredníctvom kamerových zariadení, ktoré bolo schválené 29. januára 2020.
V SKRATKE:
Európsky výbor pre ochranu údajov (EDPB) je nezávislý európsky orgán s právnou subjektivitou, ktorý prispieva k jednotnému uplatňovaniu pravidiel ochrany osobných údajov na území celej Európskej únie a presadzuje spoluprácu medzi dozornými orgánmi, čím je do jeho činnosti zapojený aj Úrad na ochranu osobných údajov SR. Cieľom EDPB je zabezpečiť konzistentné uplatňovanie všeobecného nariadenia o ochrane údajov a európskej smernice o presadzovaní práva v Európskej únii.
Prečo vzniklo nové usmernenie?
Dôvodom je intenzívne využívanie video zariadení v mnohých sférach života a snaha zabrániť identifikácii niečoho, čo by mohlo mať za následok negatívne vnímanie z pohľadu jednotlivca.
Myšlienkou je prijať určité záruky, aby sa predišlo akémukoľvek zneužitiu pre úplne odlišné účely, na ktoré bol samotný záznam určený (napríklad marketingový účel, monitorovanie zamestnancov a ich výkonnosti práce,…).
Cieľom usmernenia je poskytnúť návod, ako uplatniť GDPR pri spracovaní osobných údajov prostredníctvom kamerových zariadení.
Čo upravuje nové usmernenie?
Samotné Usmernenie EDPB č. 3/2019 o spracúvaní osobných údajov prostredníctvom kamerových zariadení hovorí o sprísňovaní pravidiel pre prevádzkovateľov kamerových informačných systémov.
V Usmernení EDPB č. 3/2019 sa upravujú samotné práva dotknutej osoby, povinnosti týkajúce sa transparentnosti a informovania o vytváraní kamerového záznamu, obdobie uchovávania a povinosť vymazania záznamov či taktiež zverejňovanie videozáznamov tretím stranám.
Naša reakcia na nové usmernenie
V súvislosti s prijatým Usmernením EDPB č. 3/2019 sa konalo intenzívne školenie, ktorého sa zúčastnili všetci zástupcovia spoločnosti osobnyudaj.sk, s.r.o., vrátane všetkých zodpovedných osôb, ktorí sú pripravení byť Vám oporou pri implementácii Usmernenia EDPB č. 3/2019.
CELÉ ZNENIE:
Prikladáme vám dokument, v ktorom nájdete samotné Usmernenie EDPB č. 3/2019
►►► Usmernenie 3/2019 o spracúvaní osobných údajov prostredníctvom kamerových zariadení.
Alebo si môžete prečítať celé znenie Usmernenia EDPB č. 3/2019 nižšie:
Obsah
1 | Úvod ………………………………………………………………………………………………………………………………. | 5 | ||
2 | Pôsobnosť ………………………………………………………………………………………………………………………. | 7 | ||
| 2.1 | Osobné údaje …………………………………………………………………………………………………………… | 7 | |
| 2.2 | Uplatňovanie Smernice o presadzovaní práva, LED (EU2016/680) ………………………………….. | 7 | |
| 2.3 | Výnimka pre domácnosti …………………………………………………………………………………………… | 7 | |
3 | Zákonnosť spracovania …………………………………………………………………………………………………….. | 9 | ||
| 3.1 | Oprávnený záujem, článok 6 (1) (f) …………………………………………………………………………….. | 9 | |
| 3.1.1 | Existencia oprávnených záujmov …………………………………………………………………………. | 9 | |
| 3.1.2 | Potreba spracovania ………………………………………………………………………………………… | 10 | |
| 3.1.3 | Vyvažovanie záujmov ……………………………………………………………………………………….. | 11 | |
| 3.2 Nevyhnutnosť plniť úlohu vykonávanú vo verejnom záujme alebo pri výkone verejnej moci zverenej kontrolórovi, Článok 6 (1) (e) …………………………………………………………………………………. |
| ||
| 13 | |||
| 3.3 | Súhlas, Článok 6 (1) (a) …………………………………………………………………………………………….. | 14 | |
4 | Zverejňovanie videozáznamov tretím stranám …………………………………………………………………… | 15 | ||
| 4.1 | Zverejňovanie videozáznamov tretím stranám vo všeobecnosti ……………………………………. | 15 | |
| 4.2 | Zverejnenie videozáznamov orgánom činným v trestnom konaní …………………………………. | 15 | |
5 | Spracúvanie osobitných kategórií údajov ………………………………………………………………………….. | 17 | ||
| 5.1 | Všeobecné úvahy pri spracovávaní biometrických údajov ……………………………………………. | 18 | |
| 5.2 | Navrhované opatrenia na minimalizáciu rizík pri spracovaní biometrických údajov ………… | 21 | |
6 | Práva dotknutej osoby ……………………………………………………………………………………………………. | 22 | ||
| 6.1 | Právo na prístup ……………………………………………………………………………………………………… | 22 | |
| 6.2 | Právo na výmaz a právo namietať ……………………………………………………………………………… | 23 | |
| 6.2.1 | Právo na vymazanie (Právo byť zabudnutý) …………………………………………………………. | 23 | |
| 6.2.2 | Právo namietať ………………………………………………………………………………………………… | 24 | |
7 | Povinnosti týkajúce sa transparentnosti a informovania ……………………………………………………… | 26 | ||
| 7.1 | Informácie prvej vrstvy (výstražné označenie) …………………………………………………………….. | 26 | |
| 7.1.1 | Umiestnenie výstražného označenia ………………………………………………………………….. | 26 | |
| 7.1.2 | Obsah prvej vrstvy …………………………………………………………………………………………… | 26 | |
| 7.2 | Informácie druhej vrstvy ………………………………………………………………………………………….. | 27 | |
8 | Obdobia uchovávania a povinnosť vymazania ……………………………………………………………………. | 28 | ||
9 | Technické a organizačné opatrenia …………………………………………………………………………………… | 28 | ||
| 9.1 | Prehľad systému video monitorovania ………………………………………………………………………. | 29 | |
| 9.2 | Ochrana údajov podľa návrhu a podľa štandardu ………………………………………………………… | 30 | |
| 9.3 | Konkrétne príklady príslušných opatrení ……………………………………………………………………. | 30 | |
| 9.3.1 | Organizačné opatrenia ……………………………………………………………………………………….. | 31 |
| 9.3.2 | Technické opatrenia …………………………………………………………………………………………. | 31 |
10 | Posúdenie vplyvu na ochranu údajov ……………………………………………………………………………… | 33 | |
Európsky výbor pre ochranu údajov
S ohľadom na článok 70 ods. 1 písm. e) nariadenia Európskeho parlamentu a Rady 2016/679/EÚ z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a ktorou sa zrušuje Smernica 95/46/ES (ďalej len „GDPR“),
S ohľadom na Dohodu o EHP, a najmä na jej prílohu XI a protokol 37, zmenenou a doplnenou rozhodnutím Spoločného výboru EHP č. 154/2018 zo 6. júla 2018,
S ohľadom na článok 12 a článok 22 rokovacieho poriadku,
Bolo schválené nasledujúce usmernenie
ÚVOD
1. Intenzívne používanie video zariadení má vplyv na správanie občanov. Rozsiahle využívanie takýchto nástrojov v mnohých sférach života jednotlivca bude vyvíjať na jednotlivca ďalší tlak, aby sa zabránilo identifikovaniu niečoho, čo by sa mohlo vnímať ako anomália. Tieto technológie môžu v skutočnosti obmedziť možnosti anonymného pohybu a anonymného využívania služieb a vo všeobecnosti obmedziť možnosť zostať bez povšimnutia. Dôsledky na ochranu údajov sú tak obrovské.
2. Hoci jednotlivcom nemusí prekážať používanie video záznamov zriadených na určitý bezpečnostný účel, je potrebné prijať určité záruky, aby sa predišlo akémukoľvek zneužitiu na úplne odlišné a – pre dotknutú osobu – neočakávané účely (napr. marketingový účel, monitorovanie výkonnosti zamestnancov atď.). Okrem toho sa v súčasnosti používa mnoho nástrojov na využívanie zachytených snímok a premenu tradičných kamier na inteligentné (smart) kamery. Množstvo údajov generovaných videom v kombinácii s týmito nástrojmi a technikami zvyšuje riziká sekundárneho použitia (či už súvisí alebo nesúvisí s účelom pôvodne prideleným systému) alebo dokonca riziko zneužitia. V súvislosti s video monitorovaním by sa mali preto vždy starostlivo zvážiť všeobecné zásady stanovené v GDPR (článok 5).
3. Systémy video v mnohých ohľadoch menia spôsob, akým odborníci zo súkromného a verejného sektora interagujú na súkromných alebo verejných miestach za účelom zvýšenia bezpečnosti, získania analýzy publika, poskytovania personalizovanej reklamy atď. Video monitorovanie sa stalo vysoko výkonným vďaka intenzívnejšej implementácii inteligentnej analýzy videa. Tieto techniky môžu byť intruzívne (napríklad komplexné biometrické technológie) alebo menej intruzívne (napr. jednoduché výpočtové algoritmy).
Zostať v anonymite a zachovať si súkromie je vo všeobecnosti čoraz ťažšie. Otázky ochrany údajov, ktoré vznikajú v každej situácii sa môžu líšiť, rovnako ako právna analýza pri použití jednej alebo druhej z týchto technológií.
4. Okrem problémov s ochranou súkromia existujú aj riziká spojené s možnými poruchami týchto zariadení a zaujatosť, ktorú môžu spôsobovať. Vedci uvádzajú, že softvér používaný na identifikáciu, rozpoznávanie alebo analýzu tváre funguje odlišne v závislosti od veku, pohlavia a etnicity osoby, ktorú identifikuje.
Odkazy na „členské štáty“ uvedené v tomto stanovisku by sa mali chápať ako odkazy na „členské štáty EHP“.
Algoritmy by tak mali fungovať na základe rôznych demografických údajov, a preto zaujatosť pri rozpoznávaní tváre môže predstavovať hrozbu tvorenia predsudkov v spoločnosti. Z tohto dôvodu musia správcovia údajov zabezpečiť, aby biometrické spracovanie údajov pochádzajúce z video monitorovania podliehalo pravidelnému hodnoteniu jeho relevantnosti a dostatočnosti poskytnutých záruk.
5. Video monitorovanie nie je zo zásady nevyhnutnosťou, ak existujú iné prostriedky na dosiahnutie jeho základného účelu. V opačnom prípade riskujeme zmenu v kultúrnych normách, ktorá povedie k akceptovaniu nedostatku súkromia ako všeobecnej normy.
6. Cieľom týchto usmernení je poskytnúť usmernenie o tom, ako uplatňovať GDPR vo vzťahu k spracovaniu osobných údajov prostredníctvom kamerových zariadení. Príklady tu uvedené nie sú vyčerpávajúce, všeobecné odôvodnenie sa môže uplatniť na všetky potenciálne oblasti použitia.
2 PÔSOBNOSŤ2
2.1 Osobné údaje
7. Systematické automatizované monitorovanie konkrétneho priestoru optickými alebo audiovizuálnymi prostriedkami, väčšinou na účely ochrany majetku alebo na ochranu života a zdravia jednotlivca, sa stalo významným fenoménom našej doby. Táto činnosť vedie k zhromažďovaniu a uchovávaniu obrazových alebo audiovizuálnych informácií o všetkých osobách vstupujúcich do monitorovaného priestoru, ktoré sú identifikovateľné na základe ich vzhľadu alebo iných špecifických prvkov. Na základe týchto údajov sa môže zistiť totožnosť týchto osôb. To umožňuje aj ďalšie spracovanie osobných údajov v súvislosti s prítomnosťou a správaním osôb v danom priestore. Potenciálne riziko zneužitia týchto údajov sa zvyšuje vo vzťahu k rozmeru monitorovaného priestoru, ako aj k počtu osôb, ktoré tento priestor navštevujú. Táto skutočnosť sa odráža vo Všeobecnom nariadení o ochrane údajov v článku 35 ods. 3 písm. c), v ktorom sa vyžaduje vykonanie kontrolu a posúdenia vplyvu na ochranu údajov aj v prípade systematického monitorovania verejne prístupnej oblasti vo veľkom meradle, ako aj v článku 37 ods. 1 písm. b), v ktorom sa od spracovateľov vyžaduje, aby menovali zodpovednú osobu (DPO), ak operácia spracúvania z dôvodu svojej povahy vyžaduje pravidelné a systematické monitorovanie dotknutých osôb.
8. Toto nariadenie sa však nevzťahuje na spracovanie údajov, ktoré nemá žiadny odkaz na osobu, napr. ak jednotlivca nemožno priamo alebo nepriamo identifikovať.
Príklad: GDPR nie je použiteľné pre falošné kamery (t. j. všetky kamery, ktoré sú v skutočnosti nefunkčnými kamerami, a teda nespracúvajú žiadne osobné údaje). V niektorých členských štátoch by však mohli podliehať iným právnym predpisom.
Príklad: Záznamy z vysokých výšok spadajú do rozsahu pôsobnosti GDPR, iba ak sa za daných okolností môžu spracované údaje týkať konkrétnej osoby.
Príklad: Videokamera je integrovaná v aute na poskytovanie pomoci pri parkovaní. Ak je kamera skonštruovaná alebo nastavená takým spôsobom, že nezhromažďuje žiadne informácie týkajúce sa fyzickej osoby (ako sú ŠPZ alebo informácie, ktoré by mohli identifikovať okoloidúcich), GDPR sa neuplatňuje.
9.
2.2 Uplatňovanie Smernice o presadzovaní práva, LED (EU2016/680)
10. Smernica EU2016/680 sa vzťahuje najmä na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestov vrátane ochrany a predchádzania ohrozeniam verejnej bezpečnosti.
2.3 Výnimka pre domácnosti
11. Podľa článku 2 ods. 2 písm. s) je spracúvanie osobných údajov fyzickou osobou v rámci čisto osobnej činnosti alebo činnosti v domácnosti, ktoré môže zahŕňať aj činnosť online, mimo rozsahu pôsobnosti GDPR.3
12. Toto ustanovenie – tzv. výnimka pre domácnosti – sa v súvislosti s kamerovým monitorovaním musí vykladať v úzkom význame. Podľa názoru Európskeho súdneho dvora sa takzvaná „výnimka pre domácnosť“ musí vykladať v tom zmysle, že sa týka:
2EDPB poznamenáva, že ak to GDPR umožňuje, môžu sa vo vnútroštátnych právnych predpisoch uplatňovať osobitné požiadavky.
3 Pozri tiež Odôvodnenie 18.
