Inteligentné budovy sa stávajú štandardom moderného života. Využívajú senzory, kamerové systémy a digitálne technológie, ktoré prinášajú vyšší komfort, energetickú efektivitu a automatizáciu. Odborníci však upozorňujú, že ich prevádzka je spojená aj s citlivými otázkami – najmä v oblasti ochrany osobných údajov.
Smart budova predstavuje čiastočne autonómne prostredie, ktoré na základe technológií a dátových vstupov optimalizuje svoju prevádzku bez potreby neustálej ľudskej kontroly. Informácie zo senzorov, kamier či digitálnych prístupových systémov však mnohokrát umožňujú identifikáciu konkrétneho človeka.
Podmienky využitia GDPR
Ochrana osobných údajov je na Slovensku upravená Zákonom o ochrane osobných údajov z roku 2018, ktorý implementuje európske nariadenie GDPR. Osobnými údajmi pritom nie sú len kamerové záznamy či biometria. Z právneho hľadiska ide o akékoľvek informácie, ktoré umožňujú identifikovať konkrétnu osobu.
Zákon síce nedefinuje konkrétne účely, na ktoré môžu byť osobné údaje zhromažďované a spracúvané, jasne však stanovuje podmienky, kedy je takéto spracúvanie v súlade s právnymi predpismi. Sú nimi napríklad súhlas, plnenie zmluvy alebo plnenie zákonnej povinnosti.
Aké zásady platia pri nájme bytu? Kto je povinný hradiť nedoplatky a opravy?
„Existujú situácie, kedy je spracovanie osobných údajov prípustné aj na základe oprávneného záujmu, napríklad pre zabezpečenie bezpečnosti a majetku vlastníkov v spoločných priestoroch. Avšak aj takéto spracovanie musí vždy spĺňať zákonné podmienky,“ upozorňuje advokát Marek Beľujský z advokátskej kancelárie Fairsquare.
Na druhej strane, ak je kamera v byte, alebo v okolí súkromného domu a vyslovene nesníma verejný priestor, môže ísť o záznamy pre osobnú alebo domácu potrebu, pričom v takom prípade sa naňho podmienky stanovené v zákone alebo GDPR nebudú vzťahovať.
Prevádzkovatelia smart budov musia pri spracúvaní osobných údajov dodržať základné povinností:
- Spracúvanie údajov musí byť vykonávané na konkrétny, vopred určený účel, napríklad ochranu majetku alebo bezpečnosť osôb.
- Spracúvanie osobných údajov môže byť vykonávané iba v prípade určenia konkrétneho právneho základu.
- Osoby, ktorých údaje sú zaznamenávané, musia byť jasne a včas informované o všetkých podmienkach spracúvania a ich právach.
- Kamery nesmú byť umiestnené v priestoroch, kde by ich používanie mohlo viesť k neprimeranému zásahu do súkromia osôb, napríklad na toaletách alebo v šatniach.
- Kamerový záznam musí byť vyhotovený tak, aby bol primeraný účelu a nesmie zachytávať údaje, ktoré nie sú nevyhnutné na jeho dosiahnutie.
- Záznamy je možné uchovávať len po nevyhnutnú dobu. Ak nenastane žiadny incident, maximálna doba ich uchovávania by mala byť 72 hodín.
- Kamerové systémy a záznamy musia byť chránené pred neoprávneným prístupom. Prístup k nim môžu mať iba oprávnené osoby.
- V prípade podnikateľských subjektov je vhodné určiť osobu, ktorá bude zodpovedať za ochranu osobných údajov a dohliadať na dodržiavanie GDPR.
- Prevádzkovateľ musí mať vypracovaný dokument popisujúci účel, právny základ spracovania, dobu uchovávania záznamov a práva dotknutých osôb.
Letné horúčavy menia požiadavky na bývanie. Záujem o smart riešenia klesá
„Moderné budovy generujú veľké množstvo dát, no spracovanie týchto údajov často prebieha bez dostatočnej pozornosti a informovanosti používateľov,“ upozorňuje advokát z Fairsquare a dodáva, že mnohí užívatelia ani netušia, aké údaje sa o nich zbierajú a na aký účel sa používajú.
Právna zodpovednosť sa pri spracúvaní osobných údajov líši podľa toho, kto je ich prevádzkovateľom a kto sprostredkovateľom. „Je nevyhnutné, aby všetci aktéri – vlastníci, správcovia, IT dodávatelia – poznali svoje úlohy a povinnosti v spracovaní osobných údajov, pretože právne záväzky sa líšia podľa ich právnej pozície,“ dodáva.
Hrozia kybernetické riziká
Aj v prípade inteligentných budov hrozí riziko kybernetických útokov. Zlyhanie ochrany údajov môže viesť k vážnym právnym dôsledkom. Prevádzkovateľ systému je v zmysle GDPR povinný nahlásiť narušenie bezpečnosti do 72 hodín Úradu na ochranu osobných údajov a informovať dotknuté osoby, ak hrozí vysoké riziko voči ich právam.
V prípade, že prevádzkovateľ nezabezpečí primerané opatrenia, môže čeliť sankciám až do výšky 20 miliónov eur, alebo 4 % obratu. Priemerná výška pokút doposiaľ dosahovala okolo 2-tisíc eur, pričom najvyššia udelená pokuta bola vo výške 50-tisíc eur. V prípade závažného útoku môže ísť aj o trestný čin.
„Právne predpisy kladú dôraz na prevenciu – teda na to, aby boli zavedené opatrenia primerané hrozbám a technickým možnostiam. Prevádzkovateľ osobných údajov – a prípadne aj sprostredkovateľ – musia konať proaktívne a preukázať, že pre bezpečnosť údajov urobili maximum,“ dodáva advokát.
