Elektronické prístupové systémy sa v praxi využívajú na zabezpečenie vstupu do budovy na účely ochrany majetku alebo na zamedzenie vstupu nepovolaných osôb do objektu. Využívajú sa aj na účel manažmentu prístupov, pretože umožňujú nastaviť prístupy osôb do jednotlivých miestností. Pri evidencii vstupu do budovy sú spracúvané osobné údaje. Pozrime sa na to, aké povinnosti má prevádzkovateľ elektronického prístupového systému z pohľadu GDPR.
Prístupový systém identifikuje osobu prostredníctvom:
- čipovej karty,
- biometrie (odtlačku prsta, rozoznávania tváre),
- zadaním kódu.
Aké osobné údaje môžeme spracúvať prostredníctvom prístupového systému?
Prostredníctvom elektronického prístupového systému môžeme spracúvať tieto osobné údaje:
- bežné osobné údaje – meno, priezvisko, osobné číslo, dátum vydania karty, podpis,
- osobitné kategórie osobných údajov (tvz. citlivé osobné údaje) – biometrické údaje (napr. odtlačok prsta, biometria tváre).
Aký je účel spracúvania osobných údajov pri použití prístupového systému?
Pri použití prístupového systému účelom spracúvania osobných údajov je najčastejšie ochrana majetku prevádzkovateľa a kontrola vstupov do objektu a jednotlivých miestností.
Aký je právny základ na spracúvanie osobných údajov s použitím prístupového systému?
Právnym základom spracúvania osobných údajov na účely ochrany majetku s použitím elektronického prístupového systému je oprávnený záujem prevádzkovateľa podľa čl. 6 ods. 1 písm. f) GDPR.
Oprávneným záujmom prevádzkovateľa je ochrana majetku prevádzkovateľa a zamedzenie pohybu neautorizovaných osôb v areáli alebo objekte prevádzkovateľa, ako aj kontrola vstupov do areálu či objektu.
Kto sú príjemcovia osobných údajov a aká je doba ich uchovávania?
Príjemcami osobných údajov pri použití prístupového systému môžu byť bezpečnostný technik alebo polícia, súdy, prokuratúra či advokáti v prípade zistenia trestného činu alebo priestupku.
Dobu uchovávania osobných údajov si prevádzkovateľ stanovuje sám, pričom v prípade kontroly zo strany Úradu na ochranu osobných údajov musí vedieť logicky zdôvodniť, prečo bola stanovená v takej dĺžke. V odôvodnených prípadoch sú osobné údaje uchovávané po dobu potrebnú na prešetrenie zaznamenaného konania dotknutej osoby alebo na preukázanie a obhajovanie právnych nárokov prevádzkovateľa alebo tretích osôb, vzniknutých v súvislosti s konaním dotknutej osoby.
Aké povinnosti má prevádzkovateľ, ak používa prístupový systém?
Ak prevádzkovateľ použije právny základ oprávnený záujem, musí ho vedieť preukázať ako nevyhnutný, zákonný a musí byť posúdený z hľadiska vplyvu na práva dotknutých osôb. Je povinný vykonať tzv. test proporcionality, z ktorého vyplynie, či oprávnený záujem prevádzkovateľa prevyšuje nad základnými právami a slobodami dotknutých osôb.
Aké sú povinnosti prevádzkovateľa, ak používa prístupový systém so získavaním biometrických údajov?
Biometrické údaje sa zaraďujú do osobitnej kategórie osobných údajov a GDPR zakazuje ich spracúvanie. Podľa Čl. 9 ods. 2 GDPR sa zákaz neuplatňuje, ak platí niektorá z týchto podmienok:
- dotknutá osoba vyjadrila výslovný súhlas so spracúvaním jej osobných údajov na daný účel,
- spracúvanie je nevyhnuté na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnuté na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas,
- spracúvanie vykonáva v rámci svojej zákonnej činnosti nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu,
- spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
- spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc,
- spracúvanie je nevyhnuté z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnuté na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v Čl. 9 ods. 3 GDPR,
- spracúvanie je nevyhnuté z dôvodov verejného záujmu v oblasti verejného zdravia,
- spracúvanie je nevyhnuté na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely.
Z uvedených výnimiek je zrejmé, že biometrické údaje sa môžu spracúvať len vo výnimočných prípadoch, napr. na účely kontroly vstupu do priestorov, v ktorých sa vykonáva nejaká špeciálna činnosť, ktorá by mohla byť rizikom pre nepovolané osoby (napr. uchovávanie rádioaktívneho materiálu, práca so vzorkami vírusov, atď). V tom prípade musí prevádzkovateľ vypracovať posúdenie vplyvu.
Autorka: Ing. Marcela Ilavská