Nemecký správny súd riešil zaujímavý prípad týkajúci sa používania auto-kamery a zverejňovania nahrávok z jázd na YouTube. Reagoval pritom na rozhodnutie dozorného orgánu, ktorý prikázal pixelovať ŠPZ na zverejnených nahrávkach alebo dané videá odstrániť. Súd zrušil len malú časť rozhodnutia, pričom jeho väčšinu potvrdil a rozoberá pritom aj viaceré praktické otázky aplikácie GDPR. Ak prevádzkujete auto-kameru, tento prípad by Vás mohol zaujímať.
Podľa dozorného orgánu "v zásade" áno, pričom je však potrebné vysvetliť úvahy, ktoré ho k tomu záveru viedli. Je jasné, že v tomto kontexte evidenčné čísla nie sú informáciami, ktoré sa týkajú už identifikovaných fyzických osôb. Musíme preto aplikovať test primeranej pravdepodobnosti podľa recitálu 26 GDPR a zodpovedať, či ide o informácie o identifikovateľných osobách (viď Breyer, SDEÚ).
Dozorný orgán prvom rade tvrdí, že evidenčné čísla môžu byť ľahko rozpoznateľné ľuďmi. Zdá sa však, že hlavný dôvod, prečo v tomto prípade dozorný orgán považuje evidenčné čísla za osobné údaje je ustanovenie § 39 ods. 1 nemeckého zákona o cestnej premávke. Na základe tohto ustanovenia môže ktokoľvek požiadať register vozidiel o sprístupnenie osobných údajov majiteľa vozidla s daným evidenčným číslom ak vyhlási, že:
"...ide o údaje na účely vymáhania alebo na účely uspokojenia alebo popretia právnych nárokov v súvislosti s účasťou na cestnej doprave alebo na účely vymáhania súkromnoprávnej žaloby za priestupky spáchané v oblasti cestnej dopravy."
Toto ustanovenie je kľúčové, pretože znamená, že v Nemecku je pomerne jednoduché dostať sa legálne k identite vlastníka vozidla cez vyhlásenie. Nemecký správny súd v tejto časti dal dozornému orgánu za pravdu.
Na Slovensku je situácia úplne odlišná a obdobné ustanovenie v zákone nemáme. Dopravné inšpektoráty osobné údaje vlastníkov vozidiel priamo neposkytujú. Identifikácia vlastníkov vozidiel podľa ŠPZ je stále možná, ale prakticky podstatne náročnejšia ako v Nemecku. Deje sa tak cez priestupkové, trestné alebo súdne konanie prípadne nepriamo cez poisťovňu len v prípade, ak došlo k poistnej udalosti, spôsobeniu škody, podozreniu zo spáchania trestného činu alebo inému závažnému dôsledku. V ostatných prípadoch je možné identifikáciu vykonať len porušením zákona alebo náhodne. Avšak prakticky, náš Úrad na ochranu osobných údajov by mal v obdobnom prípade zrejme rovnaký názor, aj keď pravdepodobnosť identifikácie osôb môže byť na Slovensku o niečo náročnejšia ako v Nemecku.
Aj tak môže ísť podľa nemeckého dozorného orgánu o osobné údaje, pretože aj tieto evidenčné čísla umožňujú vyvodiť závery o vlastníkovi alebo vodičovi ako fyzickej osobe. Predpokladáme, že tým dozorný orgán odkazoval na polohu vozidla, jeho trasu, správanie v premávke a možné porušovanie predpisov zo strany zamestnanca. Ďalej dozorný orgán pokračoval:
"Okrem toho jasné rozlišovanie medzi vozidlami právnických osôb a vozidlami fyzických osôb nie je praktické. Keďže takéto rozlíšenie nie je možné, je potrebné, aby boli poznávacie značky všetkých vozidiel posudzované nerozdielne."
Nie, žiadne informácie nie sú vždy osobnými údajmi ako také, a to ani evidenčné čísla. Možnosť identifikovateľnosti fyzickej osoby aj s použitím ŠPZ sa vždy posudzuje v konkrétnom prípade a to aj v kontexte ďalšieho použitia a účelu spracúvania osobných údajov. V tomto prípade evidenčné čísla boli osobnými údajmi. Pri zverejňovaní kamerových záznamov z premávky na YouTube treba vychádzať z toho, že pôjde o spracúvanie osobných údajov.
Dozorný orgán považoval za nevyhnutné, aby prevádzkovateľ auto-kamery použil vrstvený spôsob splnenia tejto povinnosti, pričom niektoré základné informácie mal prevádzkovateľ umiestniť priamo na vozidlo (prvá vrstva) a zvyšné na webstránku (druhá vrstva). Obdobne ako pri bezpečnostných kamerách na budovách. Konkrétne mali byť na vozidle umiestnené tieto informácie:
identita prevádzkovateľa a jeho kontaktné údaje (vrátane webstránky);
skutočnosť, že záznamy sa publikujú na YouTube; a
sledované oprávnené záujmy v zmysle čl. 6 ods. 1 písm. f) GDPR.
Ostatné informácie podľa čl. 13 GDPR mali byť dostupné v privacy policy na webe. Správny súd zrušil tú časť rozhodnutia dozorného orgánu, ktorá sa týkala umiestnenia oprávnených záujmov na vozidle. V ostatných častiach rozhodnutie bolo potvrdené. Zo zdôvodnenia súdu:
"V tejto súvislosti treba zohľadniť aj skutočnosť, že keď okolo prechádza motorové vozidlo, informácie zobrazené na vozidle môžu dotknuté osoby vnímať len v obmedzenom rozsahu, a preto sa musia obmedziť na základné informácie. To nezahŕňa oprávnené záujmy v zmysle článku 6 ods. 1 písm. f) nariadenia GDPR. V tomto prípade stačí, ak majú dotknuté osoby prístup k informáciám na sekundárnej úrovni prostredníctvom webovej stránky."
V tomto prípade prevádzkovateľ mal za to, že sa naňho GDPR nevzťahuje. V žalobe preto zvolil takticky oprávnený záujem jeho vlastnej umeleckej a tvorivej činnosti. O žiadnom takom oprávnenom záujme však zrejme nijako neinformoval. Neprekvapí preto, že súd neuznal jeho oprávnený záujem ako prevažujúci. Situácia by určite bola iná, ak by prevádzkovateľ sledoval oprávnený záujem na ochranu svojho majetku a zdravia, ako pri bezpečnostných kamerách. Legalita spracúvania osobných údajov, vymedzenia účelu spracúvania, nastavenia oprávneného záujmu, celkového informovania a následného zamýšľaného použitia kamerových záznamov potom úzko súvisí aj s tým, či je potrebné z kamerových záznamov pixelovať ŠPZ.
Nie. Hlavný dôvod, prečo dozorný orgán prikázal evidenčné čísla pixelovať bol ten, že záznamy boli zverejňované na YouTube a sledovaný oprávnený záujem bol "pofidérny". Pokiaľ by si prevádzkovateľ v tomto prípade:
splnil aspoň základné informačné povinnosti podľa GDPR;
sledoval by zákonom uznaný oprávnený záujem; a hlavne
nezverejňoval by videá na YouTube;
dozorný orgán by mu zrejme neprikazoval nič zo záznamov pixelovať. Ak by išlo o použitie auto-kamery v rovine ochrany majetku a zdravia, zabezpečenia dôkazov o priestupkoch, vymáhania nárokov z cestnej premávky a pod., pixelovanie by potrebné nebolo, dokonca by bránilo dosiahnutiu týchto oprávnených záujmov.
V prvom rade verejnosť neustále zabúda na to, že prevádzkovateľom s povinnosťami podľa GDPR môže byť kľudne aj fyzická osoba (radový občan) so svojim súkromným kamerovým zariadením. Household výnimka nikdy nebude zahŕňať zverejňovanie osobných údajov o iných osobách na internete.
Aj v našich podmienkach prevádzkovanie auto-kamery predstavuje spracúvanie osobných údajov. Hlavnou povinnosťou prevádzkovateľov auto-kamier v tomto smere bude zreteľne označiť vozidlo vhodným spôsobom ohľadne toho, že dochádza ku kamerovému záznamu a spracúvaniu osobných údajov. Túto povinnosť bežný občan splniť nevie, a je ťažké si predstaviť, že každé vozidlo s auto-kamerou bude mať svoju vlastnú webstránku s privacy policy. Je preto na mieste otázka, či nevznikne unifikovaný prístup k plneniu informačných povinností na úrovni výrobcov automobilov alebo výrobcov auto-kamier, čo sa zdá byť jediný vhodný spôsob splnenia si týchto povinností.
Prakticky by mohlo postačovať použitie unifikovanej nálepky s piktogramom a jednej informačnej webstránky pre celú krajinu.
Uvádzať na vozidlách meno, priezvisko a bydlisko vlastníka vozidla ako prevádzkovateľa sa nám nejaví ako vhodné ani možné. Aj správny súd v tomto prípade vysvetľuje:
"Niektoré situácie pri spracovaní jednoducho neumožňujú priame sprístupnenie všetkých informácií o transparentnosti."
GDPR pozná mechanizmus certifikácie pečatí a značiek ochrany osobných údajov, kedy by celý informačný mechanizmus mohol schváliť Úrad na ochranu osobných údajov. To by predstavovalo aj záruku pre vlastníkov vozidiel, že pokiaľ nevybočia z vymedzených účelov a oprávnených záujmov, ich použitie bude legálne.
Až do zjednotenia prístupu k auto-kamerám budú jednotliví majitelia čeliť praktickým problémom s dostatočným splnením informačných povinností.
Bratislava, 10. októbra 2024
Možno sa Vám táto otázka môže zdať úplne banálna a dávno vyriešená. To isté sme si mysleli aj my posledných pár rokov. Vedzte však, že ak túto otázku položíte našim dvom regulátorom, zrejme nedostanete rovnaké odpovede. Naša nedávna skúsenosť potvrdzuje, že Úrad pre reguláciu tento pojem vykladá výrazne širšie ako Úrad na ochranu osobných údajov, čo môže v praxi spôsobovať vážne problémy.
Dňa 14. mája 2024 zverejnil Úrad na ochranu osobných údajov SR (ďalej len "Úrad") svoju výročnú správu za rok 2023. V tomto príspevku porovnáme túto výročnú správu s našou Správou o ochrane osobných údajov za rok 2023, ktorú sme publikovali dňa 22. februára 2024. Naša kancelária od roku 2020 vydáva svoje vlastné správy, pretože Úrad nezverejňuje svoje právoplatné rozhodnutia na svojom webom sídle. Od roku 2020 tiež sledujeme, ako Úrad v každej výročnej správe opakuje, že má málo zamestnancov, je v katastrofálnej personálnej situácii, je pred kolapsom a že mu pribúda agendy. V tomto duchu je opäť písaná aj posledná výročná správa. K tomu pribudla nová informácia, že Úrad sa má do konca roka 2024 vysťahovať z aktuálnych priestorov na Hraničnej ulici a objednal si v máji 2024 personálny audit. Ak teda samotný regulátor tvrdí, že má problémy a už tretia vláda mu nedokázala pomôcť, možno len nepoznáme riešenia. Tie však existujú a pokúsim sa ich v tomto príspevku navrhnúť.
Súdny dvor EÚ 7. marca 2024 rozhodol, že organizácia IAB Europe je pri prevádzkovaní známej "cookies lišty" v postavení prevádzkovateľa, ako aj spoločného prevádzkovateľa. Tento rozsudok potvrdzuje predchádzajúce rozhodnutie belgického dozorného orgánu, ktorý v minulosti uložil IAB pokutu vo výške 250 tisíc eur za viaceré porušenia GDPR.