Rýchlo sa rozvíjajúce inteligentné budovy menia spôsob, akým fungujú domácnosti, firmy i celý realitný trh. Smart technológie prenikajú najmä do moderných kancelárskych a administratívnych objektov, ako aj do priemyselno-logistických hál. Pre firmy sú smart budovy kľúčové kvôli úsporám energií, znižovaniu prevádzkových nákladov a plneniu environmentálnych cieľov. Zároveň otvárajú nové právne a etické otázky v súvislosti s ochranou osobných údajov a kybernetickou bezpečnosťou.
Autonómne smart systémy
Inteligentné budovy sú navrhované ako komplexné digitálne ekosystémy, ktoré využívajú senzory, internet vecí (IoT), umele inteligencie a prepojené dátové platformy. Ide o bežné prostredie najmä v novostavbách komerčných a priemyselných nehnuteľností, kde sa kladie dôraz na efektívne riadenie spotreby, optimalizáciu osvetlenia, vykurovania a chladenia, ako aj zabezpečenie objektov.
Tieto technológie umožňujú budovám reagovať v reálnom čase na zmeny v obsadenosti, teplote či spotrebe energií, čo vedie k výraznej energetickej úspore. Podľa európskych odhadov môžu inteligentné systémy znížiť spotrebu elektrickej energie až o 30 percent a emisie CO₂ o viac než 20 percent, najmä v prípade veľkých kancelárskych komplexov alebo výrobných hál.
Smart budovy predstavujú nielen technologickú inováciu, ale aj dôležitý nástroj v rámci dekarbonizačných stratégií. Zvlášť v prípade podnikov, ktoré sa zaväzujú k environmentálne zodpovednému prístupu a reportovaniu podľa ESG metodiky, zohráva digitalizácia a energetická efektivita kľúčovú úlohu. Spracúvanie dát ale musí byť v súlade s legislatívou – a tu prichádza na rad ochrana osobných údajov.
Spracúvanie osobných údajov
Na prvý pohľad sa môžu informácie získané zo senzorov a systémov v inteligentnej budove javiť ako technické, no často ide o údaje, ktoré možno priradiť ku konkrétnej osobe. Ide o záznamy z bezpečnostných kamier, prístupových kariet, biometrických skenerov alebo lokalizačných senzorov, ktoré identifikujú osoby v rôznych častiach budovy.
Z právneho hľadiska sú takéto informácie osobnými údajmi, a ich spracovanie podlieha režimu GDPR. Slovenský zákon o ochrane osobných údajov stanovuje rámec pre ich legálne spracovanie a definuje základné pojmy – osobným údajom je akákoľvek informácia umožňujúca identifikovať osobu priamo alebo nepriamo. Zákon zároveň neurčuje účely spracúvania údajov, no stanovuje právne základy, ktoré musia byť splnené. Okrem súhlasu sem patrí plnenie zmluvy, zákonná povinnosť alebo oprávnený záujem.
„Existujú situácie, kedy je spracovanie osobných údajov prípustné aj na základe oprávneného záujmu, napríklad pre zabezpečenie bezpečnosti a majetku vlastníkov v spoločných priestoroch. Avšak aj takéto spracovanie musí vždy spĺňať zákonné podmienky,“ upozorňuje advokát Marek Beľujský z advokátskej kancelárie FAIRSQUARE.
Kľúčové právne zásady
Prevádzkovatelia smart budov – vlastníci, správcovia či technologickí partneri – musia zabezpečiť dodržiavanie základných pravidiel pri spracúvaní osobných údajov. Údaje musia byť zbierané na konkrétny a zákonný účel, akým je zabezpečenie bezpečnosti osôb a ochrana majetku. Každé spracovanie musí byť opreté o relevantný právny základ, pričom zákon povoľuje niekoľko možností: súhlas dotknutej osoby, plnenie zákonnej povinnosti, plnenie zmluvy alebo oprávnený záujem prevádzkovateľa.
Dôležitou podmienkou zákonného spracovania údajov je aj informovanie dotknutých osôb. Tí, ktorých údaje sa zaznamenávajú, musia byť jasne a včas informovaní o účele spracovania, identite prevádzkovateľa či dobe uchovávania údajov. V prípade kamerových systémov to znamená nielen viditeľné označenie priestoru piktogramom kamery, ale tiež doplnenie o informačnú tabuľu s kontaktnými údajmi prevádzkovateľa a podrobným opisom účelu a rozsahu monitorovania.
Zákon výslovne stanovuje určité obmedzenia. Kamery nesmú byť umiestnené v súkromných priestoroch, ako sú toalety alebo šatne, aby nedochádzalo k neprimeranému zásahu do súkromia osôb. Rovnako je presne vymedzená maximálna doba uchovávania záznamov. Ak počas danej doby nedôjde k incidentu, záznamy by mali byť vymazané najneskôr do 72 hodín.
Dôležitou súčasťou plnenia zákonných povinností je určenie zodpovednej osoby, a to najmä v prípade právnických osôb alebo fyzických osôb – podnikateľov. Zodpovedná osoba zabezpečuje interný dohľad nad spracovaním údajov a plnením požiadaviek GDPR.
Zodpovednosť a komunikácia
Právna zodpovednosť pri spracúvaní osobných údajov sa odvíja od postavenia subjektu – teda od toho, či ide o prevádzkovateľa alebo sprostredkovateľa. Prevádzkovateľ je subjekt, ktorý určuje účel a prostriedky spracovania, sprostredkovateľ naopak koná v jeho mene.
V praxi môžu byť prevádzkovateľmi rôzne subjekty: vlastníci budovy, správcovia, nájomcovia alebo IT dodávatelia. Všetko závisí od zmluvných vzťahov a rozdelenia právomocí. Ak dodávateľ len inštaluje technológiu, spravidla nie je prevádzkovateľom údajov. Ak však zároveň poskytuje služby správy systému a uchovávania dát, jeho právna zodpovednosť sa zásadne mení.
„Je nevyhnutné, aby všetci aktéri – vlastníci, správcovia, IT dodávatelia – poznali svoje úlohy a povinnosti v spracovaní osobných údajov, pretože právne záväzky sa líšia podľa ich právnej pozície,“ dodáva M. Beľujský. Transparentná komunikácia smerom k užívateľom budovy je kľúčová – zvyšuje dôveru, znižuje riziká a podporuje prijatie smart technológií.
Riziká kyberútokov
Inteligentné budovy sú zraniteľné voči kybernetickým útokom. Tieto útoky môžu ochromiť prevádzku systémov, preniknúť do databáz a odhaliť citlivé údaje. Práve preto GDPR kladie dôraz na prevenciu – technické a organizačné opatrenia musia byť primerané rizikám.
Prevádzkovateľ systému je povinný v prípade úniku údajov informovať Úrad na ochranu osobných údajov do 72 hodín a ak je riziko veľmi vysoké, aj priamo dotknuté osoby. Zodpovednosť nesie správca systému, nie hacker. Ak prevádzkovateľ nezabezpečí ochranu primeranú hrozbám, riskuje sankcie.
Pokuty za porušenie GDPR môžu dosiahnuť až 20 miliónov eur alebo štyri percentá z ročného obratu. V praxi slovenský úrad zatiaľ ukladá miernejšie sankcie – priemerná výška pokút je približne dvetisíc eur, najvyššia dosiahla 50-tisíc eur. Pri závažných prípadoch však môže dôjsť aj k trestnému konaniu.
„Úplne eliminovať riziko kybernetického útoku nie je možné. Právne predpisy však kladú dôraz na prevenciu – teda na to, aby boli zavedené opatrenia primerané hrozbám a technickým možnostiam. Prevádzkovateľ osobných údajov, a prípadne aj sprostredkovateľ, musia konať proaktívne a preukázať, že pre bezpečnosť údajov urobili maximum,“ uzatvára odborník.
Ďalšie dôležité správy
