GDPR: Na co si dát pozor, když máte kamerový systém?

GDPR neboli Obecné nařízení o ochraně osobních údajů vstoupilo v platnost v květnu 2018 za velkého mediálního rozruchu. Pojďme si shrnout, co tento hojně diskutovaný právní rámec znamená pro provozovatele kamerových systémů se záznamem.

Systematické automatizované monitorování konkrétního prostoru audiovizuálními prostředky, zpravidla pro ochranu majetku nebo života či zdraví osob, se stalo fenoménem dnešní moderní doby.

Kamera Securitas v exteriéru

Provozování kamerového systému je považováno za zpracování osobních údajů, na které se vztahují povinnosti z obecného nařízení, pokud je:

  • Automatizovaně prováděn záznam monitorovaného veřejného prostoru, 
  • Zároveň účelem pořizovaných informací a záznamů využití k identifikaci fyzických osob v souvislosti s určitým jednáním.

Údaje uchovávané v záznamovém zařízení (obrazové nebo zvukové) jsou osobními údaji za předpokladu, že na základě těchto záznamů (informací ze záznamu) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Fyzická osoba je identifikovatelná, pokud jsou ze snímku patrné její charakteristické rozpoznávací znaky – nejčastěji tvář. Na základě propojení rozpoznávacích znaků s dalšími údaji je možná plná identifikace osoby. Osobní údaj pak tvoří ty identifikátory, které umožňují příslušnou osobu spojit s určitým, na snímku/záznamu zachyceným, jednáním.

Kamerový systém musí mít svůj účel

Zpracování osobních údajů provozováním kamerového systému je zákonné, pouze pokud je prováděno v odpovídajícím rozsahu v rámci některého z přípustných právních titulů zpracování osobních údajů uvedených v obecném nařízení. V praxi se jedná obvykle o:

  • Zpracování nezbytné pro splnění úkolu prováděného při výkonu veřejné služby; v těchto případech je třeba dbát ustanovení příslušného zákona nařizujícího, resp. upravujícího zvláštní podmínky kamerové sledování, 
  • Zpracování nezbytné pro účely oprávněných zájmů příslušného správce,
  • Ve zcela výjimečném případě lze využít souhlasu subjektu údajů, avšak pokud se správce chce spolehnout na souhlas, je povinen zajistit, aby každý subjekt údajů vstupující do monitorovaného prostoru předem udělil souhlas což může být problematické. Provozovat kamerový systém se záznamem na základě tohoto právního titulu však nedoporučujeme.

Z výše uvedeného vyplývá, že je nutné stanovit jednoznačný účel pořizování záznamů, který musí korespondovat s důležitými, právem chráněnými zájmy správce, např. ochranou majetku před poškozením nebo krádeží. Záznamy pak mohou být využity pouze v souvislosti se zjištěním incidentů, které poškozují chráněné zájmy správce. Přípustnost využití záznamů pro jiný účel musí být omezena na významný veřejný zájem, např. boj s pouliční kriminalitou, vandalismem apod.

Sledovat lze, ale jen v nezbytné míře

Za předpokladu, že provoz kamerového systému je nezbytný k ochraně oprávněných zájmů správce, může být kamerový systém uveden do provozu pouze tehdy, pokud oprávněné zájmy správce nebo třetí strany (např. ochrana majetku) nejsou převáženy zájmy nebo základními právy a svobodami subjektu údajů. Je třeba dodržet několik základních pravidel:

  • Kamerové sledování nesmí nadměrně zasahovat do soukromí,
  • Kamerový systém je možno použít zásadně v případě, kdy sledovaného účelu nelze účinně dosáhnout jinou cestou (např. jiným zabezpečením majetku),
  • Je vyloučeno použití kamerového systému v prostorách, které jsou určeny k soukromým úkonům (sprchy, toalety). Lze monitorovat prostor šatny (skřínky) za předpokladu, že je k dispozici jiný nemonitorovaný prostor pro převlékání,
  • Pokud je kamerový systém instalován na pracovišti, je nutné, aby byl jeho provoz a využití záznamů v souladu s pracovněprávními předpisy. Příkladem může být zákoník práce, kde je uvedeno, že zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování,
  • Prvky kamerového systému musí být nastaveny přiměřeně a adekvátně. To lze vyložit tak, že jsou nastaveny na sledování chráněného zájmu a nesmí nepřiměřeně zasahovat do soukromí druhých, zejména tím, že by byly nastaveny do prostor jiných nemovitostí/objektů,
  • Záběr kamery nesmí nepřiměřeně zasahovat veřejné prostranství v okolí monitorovaného objektu (ulice, náměstí) nad rozsah nezbytný pro identifikaci případného narušitele pláště budovy nebo oplocení objektu. Monitorování veřejného prostranství se záznamem ve větším rozsahu, je přípustné pouze výjimečně, např. při opakovaných útocích proti objektu provozovatele kamery z veřejného prostranství.

Povinnosti správce

Správci kamerového systému vyplývají s provozem kamerového systému povinnosti. Níže uveden výčet těch nejzásadnějších:

  • Zajištění ochrany kamerových prvků, přenosových cest (kabeláže či bezdrátového připojení) a úložiště záznamů. Všechny prvky musí být chráněny před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním,
  • Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty, případně je ohlašovat ve stanovené lhůtě Úřadu pro ochranu osobních údajů,
  • Správce má možnost využít služeb zpracovatele osobních údajů, který zpracovává osobní údaje na základě pokynu správce. V prostředí kamerových systémů se může jednat o soukromou bezpečnostní agenturu, která pracuje s kamerovým systémem a záznamy na vymezených stanovištích. V takovém případě je nutné se zpracovatelem uzavřít písemnou smlouvu o zpracování osobních údajů. Náležitosti, které musí být ve smlouvě zohledněny:
    • předmět a doba zpracování,
    • povaha a účel zpracování,
    • typ osobních údajů a kategorie subjektu údajů,
    • povinnosti a práva správce.
  • Zpracovatel musí zajistit také zabezpečení osobních údajů ve stejné míře jako správce. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce,
  • Správce (i zpracovatel) je povinen vést záznamy o činnostech zpracování, které nahradily dokumentaci činností zpracování osobních údajů u Úřadu pro ochranu osobních údajů. Jaké informace musí být uvedeny v záznamech je uvedeno v článku 30 GDPR.

Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit např. v interní směrnici pro provoz kamerového systému.

Nezapomeňte informovat

Správce osobních údajů je povinen vhodně informovat subjekty údajů o provozování kamerového systému a jejich právech.

Jako správce musíte subjekt údajů vhodně informovat o provozu kamerového systému o jeho právech. V praxi nejčastěji tímto způsobem:

  • Osoby vstupující pravidelně do monitorovaných prostor (například zaměstnanci) musí být informovány předem a v plném rozsahu například interním předpisem, směrnicí pro provozování kamerového systému, školením či jiným vhodným způsobem,
  • Osoby vstupující nahodile do monitorovaných prostor jsou nejčastěji informovány cedulkami u všech vstupů do monitorovaných prostor, kde musí být uveden kontakt, kde mohou získat více informací.

Pozor na dobu uchování dat

Pokud z kamerového systému uchováváte záznamy, je nutné stanovit maximální lhůtu pro uchovávání záznamů, která by měla odpovídat naplnění účelu provozování kamerového systému. Uchovávaná data by měla být uchovávána v rámci časové smyčky, která nepřesahuje několik dnů a po uplynutí této doby vymazána. Pouze v případě existujícího bezpečnostního incidentu by měla být data zpřístupněna orgánům činným v trestním řízení, soudu nebo jinému oprávněnému subjektu.

Nepodceňte zabezpečení

Jako správce nebo zpracovatel zodpovídáte za případný únik dat. Je proto vaší povinností předejít:

  • Neoprávněnému nebo nahodilému přístupu k osobním údajům,
  • Jejich změně, zničení či ztrátě, neoprávněným přenosům,
  • Jejich jinému neoprávněnému zpracování,
  • Jinému zneužití osobních údajů.

Rozhodně se nevyplatí tuto oblast podceňovat, ať už z hlediska kyberbezpečnosti (užitečné je šifrování záznamů, režimová ochrana a ochrana přenosových cest) nebo organizace. Bohužel často platí, že nejslabším článkem bývá člověk. Správné nastavení přístupu na fyzické i datové úrovni, včetně vyjasnění odpovědnosti, je proto zcela zásadní.

Ačkoliv se může zdát právní stránka provozování kamerových systémů plná složitostí, v zásadě se jedná o soubor logických opatření, která směřují k jediné podstatě: ochraně soukromí nás všech.

Opatrně se zvláštní kategorií osobních údajů

Kamerové systémy shromažďují velké množství osobních údajů prostřednictvím záznamu. Záznamy mohou obsahovat informace vysoce osobní povahy, tedy zvláštní kategorie osobních údajů. Někdy zcela nedůležité údaje sesbírané prostřednictvím obrazového snímání mohou být použity k odvození dalších informací pro dosažení jiného účelu (např. zdravotního stavu, zmapování zvyků jednotlivce apod.).

Ačkoliv GDPR obecně zakazuje zpracování zvláštních kategorií osobních údajů, např. biometrických údajů za účelem jednoznačné identifikace fyzické osoby a údaje o zdravotním stavu, uvádí také výjimky, za kterých je možné tyto údaje zpracovávat. V bezpečnostní praxi lze tedy uplatnit zpravidla tyto výjimky:

  • Subjekt údajů udělil výslovný souhlas se zpracováním,
  • Zpracování je nezbytné pro účely plnění povinností a práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany,
  • Zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
  • Zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků,
  • Zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance.

Zpracování zvláštních kategorií osobních údajů vyžaduje zvýšenou opatrnost a neustálou pozornost vůči určitým povinnostem. Nutná je vysoká úroveň zabezpečení osobních údajů a provedení posouzení vlivu na ochranu osobních údajů, které je nutno provést před zamýšleným zpracováním osobních údajů.

Je pro vás tato problematika příliš obsáhlá? Rádi vám pomůžeme se zorientovat. Neváhejte a kontaktujte nás.