Monitorovanie kamerou na pracovisku



Írsky dozorný orgán Data Protection Commission (DPC), ktorý dohliada na uplatňovanie GDPR v Írsku na svojej webovej stránke zverejnil niektoré prípadové štúdie týkajúce sa prípadov, ktorými sa často zaoberá. Nasledovný prípad sa týka používania kamerového systému na pracovisku.


DPC prijala podnet sťažovateľa, ktorý sa týkal použitia tzv. CCTV (Closed-Circuit Television) kamier na pracovisku prevádzkovateľa, ktoré boli používané na účel monitorovania pracovnej výkonnosti dotknutej osoby - zamestnanca.


V čase podania podnetu mal prevádzkovateľ prijatú CCTV politiku, v ktorej bolo uvedené, že kamerový systém sa používa za účelom bezpečnosti. Táto informácia sa nachádzala aj v informačnej povinnosti umiestnenej na miestach, ktoré boli monitorované kamerami. Navonok sa teda prevádzkovateľ tváril, že kamery používa na bezpečnostný účel. Avšak počas stretnutia s dotknutou osobou sa manažér prevádzkovateľa vyjadril, že kamerové záznamy dotknutej osoby boli vyhotovené len na účel monitorovania pracovnej výkonnosti dotknutej osoby. Tento účel nebol vôbec v internej politike vymedzený. Prevádzkovateľ aj sám uznal, že tento účel bol v rozpore s jeho internou politikou.


Podľa GDPR v prípade, ak dochádza k spracúvaniu osobných údajov na účel, ktorý je iný ako účel, na ktorý boli osobné údaje pôvodne získané, účel ďalšieho spracúvania nemôže byť nezlučiteľný s pôvodným účelom (zásada obmedzenia účelu). V prípade spracúvania údajov týkajúcich sa dotknutej osoby, účel monitorovania jej výkonnosti bol odlišný od pôvodného účelu bezpečnosti. Z tohto dôvodu spracúvanie osobných údajov sťažovateľa obsiahnutých v záznamoch z kamerového systému predstavovalo ďalšie spracúvanie na účel, ktorý bol nezlučiteľný z pôvodným účelom získavania (zbierania) údajov.


V danom prípade sa tiež objavila otázka bezpečnosti spôsobu akým dochádzalo k prístupu k CCTV systému a logom z CCTV systému. Prevádzkovateľ sa počas vyšetrovania vyjadril, že v čase podania podnetu bol prístup k záznamom z CCTV k dispozícii na samostatnom počítači, ktorý nevyžadoval zadanie prihlasovacích údajov. Absencia požiadavky na zadanie prihlasovacích údajov na prístup k CCTV bola vyhodnotená ako bezpečnostný nedostatok. Podľa čl. 32 GDPR musia prevádzkovatelia implementovať adekvátne bezpečnostné a organizačné opatrenia aj vo vzťahu k možnostiam získania prístupu k osobným údajom.


Prevádzkovateľ následne zrevidoval svoju vnútornú politiku ochrany osobných údajov. Záznamy z kamerového systému sú prístupné už len jednej osobe na konkrétnom mieste a sú prehliadané len v prípade nejakého bezpečnostného incidentu alebo škodovej udalosti.

Zdroj: Case studies: Case Study 3: Use of CCTV in the workplace