Kamerový systém je účinný nástroj ochrany majetku a bezpečnosti. Zároveň ide o spracúvanie osobných údajov — každý záber osoby, ktorú možno identifikovať, podlieha Nariadeniu GDPR (EÚ) 2016/679 a zákonu č. 18/2018 Z. z. o ochrane osobných údajov. Dôsledky nedodržania? Pokuta až do výšky 20 miliónov eur alebo 4 % celosvetového ročného obratu spoločnosti — podľa toho, čo je vyššie.
Tento článok vysvetľuje, čo konkrétne musíte splniť, ak prevádzkujete kamerový systém na Slovensku.
Kedy sa GDPR vzťahuje na vaše kamery?
GDPR sa vzťahuje vždy, keď kamerou snímate priestor, kde sa môžu pohybovať identifikovateľné fyzické osoby. Platí to pre:
- kancelárske a administratívne priestory
- výrobné haly, sklady a logistické centrá
- parkoviská, vstupy do budov a komunikačné priestory
- maloobchodné prevádzky a reštaurácie
- bytové domy a spoločné priestory (výťahy, schody, predsiene)
Výnimka platí iba pre kamery snímajúce výlučne súkromný pozemok fyzickej osoby bez presahu do verejného priestoru.
Zákonný základ spracovania
Každý prevádzkovateľ kamerového systému musí vedieť určiť zákonný základ spracúvania osobných údajov. V praxi prichádza do úvahy:
1. Oprávnený záujem (čl. 6 ods. 1 písm. f GDPR)
Najčastejší základ pre firmy. Musíte preukázať, že váš záujem (ochrana majetku, bezpečnosť zamestnancov) prevažuje nad záujmom dotknutých osôb. Tento test sa dokumentuje v zázname o spracovateľských činnostiach.
2. Plnenie zmluvy alebo zákonnej povinnosti
Napríklad povinnosť zamestnávateľa zabezpečiť BOZP alebo požiadavky poisťovne na kamerový dohľad.
3. Súhlas
Súhlas ako zákonný základ pre kamerový systém je v praxi takmer nepoužiteľný — musí byť dobrovoľný, čo pri bežnom kamerovom dohľade na pracovisku fakticky nie je možné.
Povinnosti prevádzkovateľa krok za krokom
Informačná povinnosť — kamerové tably
Každý monitorovaný priestor musí byť viditeľne označený informačnou tabuľou. Podľa Usmernenia Úradu na ochranu osobných údajov SR (ÚOOÚ SR) musí tabla obsahovať:
- Piktogram kamery na prvom pláne
- Účel monitorovania (napr. ochrana majetku a bezpečnosť)
- Totožnosť prevádzkovateľa (obchodné meno, kontakt)
- Odkaz na podrobné informácie (webová stránka alebo QR kód)
- Lehota uchovávania záznamu
Tabla musí byť umiestnená pred vstupom do monitorovaného priestoru, nie až vnútri.
Záznam o spracovateľských činnostiach (čl. 30 GDPR)
Každý prevádzkovateľ so viac ako 250 zamestnancami — alebo ak spracúvanie predstavuje riziko pre práva dotknutých osôb — musí viesť záznam o spracovateľských činnostiach. Pre kamerový systém tento záznam obsahuje:
- účel a zákonný základ
- kategórie dotknutých osôb
- príjemcov záznamu (interní zamestnanci, bezpečnostná agentúra, polícia)
- lehoty vymazania
- technické a organizačné bezpečnostné opatrenia
Posúdenie vplyvu na ochranu údajov (DPIA)
Ak kamerový systém pokrýva verejne prístupné priestory vo veľkom rozsahu alebo využíva biometrickú analýzu (rozpoznávanie tváre), je povinné vykonať DPIA (Data Protection Impact Assessment) podľa čl. 35 GDPR. DPIA dokumentuje riziká a opatrenia prijaté na ich zmiernenie.
ÚOOÚ SR vydal zoznam spracovateľských operácií, pre ktoré je DPIA povinné — kamerové systémy v citlivých priestoroch (nemocnice, školy, verejné budovy) sú na tomto zozname výslovne uvedené.
Lehoty uchovávania záznamu
Zákon neustanovuje konkrétnu lehotu — musíte ju určiť sami na základe účelu. V praxi platia tieto odporúčania:
| Typ priestoru | Odporúčaná lehota |
|---|---|
| Vstup do budovy, recepcia | 72 hodín – 7 dní |
| Parkovisko, vonkajší perimeter | 7 – 14 dní |
| Pokladne, sklady s cennými tovarmi | 14 – 30 dní |
| Banky, kasína, kritická infraštruktúra | 30 – 90 dní (s osobitným odôvodnením) |
Záznamy sa musia automaticky premazávať po uplynutí lehoty. Ručná správa záznamu je pri väčších systémoch neprijateľná.
Prístupové práva a bezpečnosť záznamu
Záznamy z kamier smú sledovať iba oprávnené osoby s dokumentovaným oprávnením. Systém musí zaznamenávať logy prístupu — kto, kedy a aký záznam prezeral. Pri prenesení záznamu tretej strane (polícia, poisťovňa) sa musí vyhotoviť protokol.
Najčastejšie chyby a ich dôsledky
Chyba 1: Chýbajúce alebo neúplné tably
Pokuta od ÚOOÚ SR za chýbajúcu informačnú tabla sa pohybuje od niekoľkých stoviek do desaťtisícov eur v závislosti od rozsahu.
Chyba 2: Príliš dlhá lehota uchovávania
Uchovávanie záznamu dlhšie, ako je nevyhnutné, je porušením princípu minimalizácie dát. ÚOOÚ SR ukladá pokuty aj za 90-dňové lehoty bez odôvodnenia.
Chyba 3: Monitorovanie súkromných priestorov
Kamera namierená do šatní, toaliet alebo na pracovisko tak, že sníma primárne pracovnú aktivitu zamestnancov, je závažným porušením GDPR.
Chyba 4: Biometria bez DPIA a zákonného základu
Nasadenie rozpoznávania tváre bez vykonanej DPIA a bez zákonného základu pre biometrické údaje je jedným z najrizikovejších porušení.
Bezpečnostný projekt kamier ako základ compliance
Bezpečnostný projekt je dokument, ktorý komplexne popisuje kamerový systém — rozmiestnenie kamier, záberové uhly, technické parametre, organizačné opatrenia aj GDPR dokumentáciu. Je to základný nástroj pre preukázanie súladu pri inšpekcii ÚOOÚ SR.
ELEMONT s.r.o. vypracúva bezpečnostné projekty pre kamerové systémy vrátane kompletnej GDPR dokumentácie — záznamu o spracovateľských činnostiach, informačných tabúľ a posúdenia vplyvu. Každá naša inštalácia je odovzdaná so súborom dokumentov, ktoré okamžite splnia požiadavky regulátora.