Smart budova predstavuje čiastočne autonómne prostredie, ktoré na základe prepojených technológií a dátových vstupov optimalizuje svoju prevádzku bez potreby neustáleho ľudského riadenia. Informácie zo senzorov, kamier či digitálnych prístupových systémov sa síce javia ako technické dáta, no v mnohých prípadoch umožňujú identifikáciu konkrétneho človeka – a tým sa stávajú osobnými údajmi. Musia byť preto spracovávané v súlade s GDPR, ktoré pomerne prísne určuje podmienky, za ktorých je možné takéto údaje legálne používať.
Ochrana osobných údajov je na Slovensku upravená Zákonom o ochrane osobných údajov z roku 2018, ktorý implementuje európske nariadenie GDPR. Osobnými údajmi nie sú len kamerové záznamy či biometria. Z právneho hľadiska ide o akékoľvek informácie, ktoré umožňujú identifikovať konkrétnu osobu – priamo, alebo nepriamo, napríklad kombináciou rôznych technických alebo lokalizačných dát.
Zákon síce neurčuje účely, na ktoré môžu byť osobné údaje zhromažďované a spracúvané, avšak jasne stanovuje podmienky, kedy je takéto spracúvanie v súlade so zákonom. Sú nimi napríklad súhlas, plnenie zmluvy alebo plnenie zákonnej povinnosti. „Existujú situácie, kedy je spracovanie osobných údajov prípustné aj na základe oprávneného záujmu, napríklad pre zabezpečenie bezpečnosti a majetku vlastníkov v spoločných priestoroch. Avšak aj takéto spracovanie musí vždy spĺňať zákonné podmienky,“ upozorňuje advokát Marek Beľujský z advokátskej kancelárie FAIRSQUARE. Na druhej strane, ak je kamera v byte, alebo v okolí domu a vyslovene nesníma verejný priestor, môže ísť o záznamy pre osobnú, alebo domácu potrebu, pričom v takom prípade sa naňho podmienky stanovené v Zákone alebo GDPR nebudú vzťahovať.
Ilustračné foto: LYCS Architecture / Unsplash.com
Kľúčové pravidlá
Prevádzkovatelia smart budov, či už sú to vlastníci, správcovia alebo operátori smart systémov, musia pri spracúvaní osobných údajov dodržiavať niekoľko kľúčových povinností:
- Účel: spracúvanie údajov musí byť vykonávané na konkrétny, vopred určený účel, napríklad ochranu majetku či bezpečnosť osôb. Tento účel musí byť vyvážený voči právam a slobodám dotknutých osôb.
- Právny základ: Spracúvanie osobných údajov môže byť vykonávané iba v prípade určenia konkrétneho právneho základu.
- Informovanie: Osoby, ktorých údaje sú zaznamenávané, musia byť jasne a včas informované o všetkých podmienkach spracúvania a ich právach. Pri kamerových záznamoch je to najčastejšie formou piktogramu kamery, ktorá však musí byť doplnená o ďalšie podstatné informácie, napríklad formou informačnej tabule s uvedením prevádzkovateľa, účelu snímania, doby uchovávania záznamov a prípadne kontaktu na zodpovednú osobu.
- Obmedzenie záznamov: Kamery nesmú byť umiestnené v priestoroch, kde by ich používanie mohlo viesť k neprimeranému zásahu do súkromia dotknutých osôb, ako toalety alebo šatne, aby nebolo neprimerane narušené súkromie osôb.
- Primeranosť sledovania: Kamerový záznam musí byť vyhotovený tak, aby bol primeraný účelu a nesmie zachytávať údaje, ktoré nie sú nevyhnutné na jeho dosiahnutie.
- Doba uchovávania: Záznamy je možné uchovávať len po nevyhnutnú dobu, pričom ak nenastane žiadny incident, maximálna doba uchovávania záznamov by mala byť 72 hodín.
- Bezpečnosť dát: Kamerové systémy a záznamy musia byť chránené pred neoprávneným prístupom. Prístup k nim môžu mať iba osoby s oprávnením.
- Poverená/zodpovedná osoba: Je vhodné určiť osobu, a to najmä v prípade právnických osôb alebo fyzických osôb – podnikateľov, ktorá bude zodpovedať za ochranu osobných údajov aktorá bude dohliadať na dodržiavanie GDPR a iných právnych požiadaviek. Zároveň musí prevádzkovateľ týchto osobných údajov posúdiť, či nemusí pri takomto spracúvaní určiť zodpovednú osobu.
- Dokumentácia: Prevádzkovateľ musí mať vypracovaný dokument popisujúci účel, právny základ spracovania, dobu uchovávania záznamov a práva dotknutých osôb.
Smart budovy vyžadujú aj smart komunikáciu
„Moderné budovy generujú veľké množstvo dát, no spracovanie týchto údajov často prebieha bez dostatočnej pozornosti a informovanosti používateľov,“ upozorňuje Marek Beľujský z FAIRSQUARE a dodáva: „Mnohí užívatelia ani netušia, aké údaje sa zbierajú, kto k nim má prístup a na aký účel sa používajú.“
Právna zodpovednosť sa pri spracúvaní osobných údajov líši podľa toho, kto v konkrétnom prípade zodpovedá za ich spracúvanie a teda kto určuje účely a prostriedky spracúvania. Zjednodušene povedané, kto je prevádzkovateľom osobných údajov a prípadne kto je sprostredkovateľom. Vlastník/vlastníci budovy spravidla zodpovedajú za systémy nainštalované v spoločných priestoroch, vlastníci/nájomca za zariadenia v užívaných priestoroch a poskytovateľ technológie podľa toho, či vystupuje len ako dodávateľ samotnej technológie (v takom prípade za spracúvanie osobných údajov nezodpovedá), ako sprostredkovateľ alebo aj ako samostatný prevádzkovateľ.
„Je nevyhnutné, aby všetci aktéri – vlastníci, správcovia, IT dodávatelia – poznali svoje úlohy a povinnosti v spracovaní osobných údajov, pretože právne záväzky sa líšia podľa ich právnej pozície,“ dodáva advokát. Transparentná komunikácia s obyvateľmi a užívateľmi budov je kľúčová. Jasné podmienky spracúvania údajov zvyšujú dôveru a umožňujú bezpečné využívanie inteligentných technológií.
Kybernetické riziká
Riziko kybernetických útokov neobchádza ani inteligentné budovy. Zlyhanie kybernetickej ochrany v takýchto budovách môže viesť k vážnym právnym dôsledkom, najmä ak dôjde k úniku osobných údajov. Prevádzkovateľ systému je v zmysle GDPR povinný nahlásiť narušenie bezpečnosti do 72 hodín Úradu na ochranu osobných údajov a informovať dotknuté osoby, ak hrozí vysoké riziko pre ich práva (napríklad krádež identity).
Ak prevádzkovateľ nezabezpečí primerané technické a organizačné opatrenia, môže čeliť sankciám až do výšky 20 miliónov EUR, alebo 4 % obratu. Úrad pre ochranu osobných údajov SR však doteraz tak prísny nebol. Priemerná výška pokút dosahuje okolo 2 000 EUR, najvyššia doteraz udelená pokuta dosiahla 50,000,- Eur. V prípade závažného útoku môže ísť aj o trestný čin, pričom páchateľom je síce hacker – ale právna zodpovednosť za nezabezpečenie systému zostáva na správcovi alebo vlastníkovi.
Ako uzatvára Marek Beľujský: „Je dôležité zdôrazniť, že úplne eliminovať riziko kybernetického útoku nie je možné. Právne predpisy však kladú dôraz na prevenciu – teda na to, aby boli zavedené opatrenia primerané hrozbám a technickým možnostiam. Prevádzkovateľ osobných údajov - a prípadne aj sprostredkovateľ - musia konať proaktívne a preukázať, že pre bezpečnosť údajov urobili maximum.“
Zdroj: FAIRSQUARE