Belige: kamerový systém, který zaznamenává SPZ
Belgický úřad pro ochranu údajů zamítl stížnost týkající se kamer pro automatické rozpoznávání registračních značek, protože stížnost nesplňovala kritéria "vysokého rizika dopadu na ochranu osobních údajů" na subjekt údajů ve smyslu článku 35 GDPR.
Správce údajů je poskytovatelem parkovacích míst s kamerami pro automatické rozpoznávání registračních značek (ANPR). Správce údajů použil systém ANPR k usnadnění automatického otevírání a zavírání vjezdových závor do areálu. Poté, co zákazník zaplatil za dobu parkování, registrovanou na vozidlo s určitou registrační značkou, výjezd do areálu se automaticky otevřel pro vozidlo s touto registrační značkou.
Pomocí tohoto systému řídicí jednotka shromažďovala následující informace: (1) automatickou registraci registrační značky vozidla po vjezdu do areálu, (2) přesné časové razítko vjezdu do areálu a dobu parkování a (3) fotografii každého vozidla.
Dne 12. července 2023 se subjekt údajů obrátil na správce údajů s dotazem, zda bylo před zavedením systému provedeno posouzení vlivu na ochranu osobních údajů, a pokud ano, jaký byl jeho výsledek.
Dne 14. července 2023 správce údajů odpověděl, že jeho nový platební mechanismus "zaručuje soukromí všech uživatelů", ale otázku subjektu údajů týkající se posouzení vlivu na ochranu osobních údajů nevzal v úvahu.
Dne 18. července 2023 podal subjekt údajů stížnost belgickému úřadu pro ochranu údajů ohledně toho, že správce údajů na jeho žádost adekvátně neodpověděl.
Stanovisko
Belgický úřad pro ochranu údajů stížnost zamítl z důvodu (1) "nedostatečného osobního dopadu" pro účely článku 35 GDPR a (2) "nedostatečných důkazů", že došlo k "faktickému" porušení GDPR.
Při vyvozování závěru z těchto dvou důvodů úřad pro ochranu údajů uvedl, že "stěžovatel vznáší společensky relevantní otázku, ale neprokazuje, že došlo k faktickému porušení GDPR. Vzhledem k tomu, že stěžovatel neuplatňuje žádná práva subjektu údajů a pouze žádá o více informací ohledně možného posouzení vlivu na ochranu osobních údajů, [úřad pro ochranu osobních údajů] konstatuje, že stížnosti vznesené stěžovatelem nesplňují kritéria vysokého rizika dopadu na ochranu osobních údajů."[1]
Úřad pro ochranu údajů dospěl k závěru, že důkazní břemeno spočívá na subjektu údajů, pokud jde o prokázání porušení GDPR, a poznamenal, že subjekt údajů může stížnost podat znovu, pokud prokáže porušení informační povinnosti podle článku 14 nebo nedostatečné zabezpečení údajů podle čl. 5 odst. 1 písm. f).