GDPR v souvislosti s kamerovými systémy

Dne 25. května 2019 vešla v účinnost Obecné nařízení pro ochranu osobních údajů, známější pod svou angickou zkratkou GDPR (General Data Protection Regulation). Z tohoto nařízení vyplývají nejen práva, ale i povinnosti. V tomto článku si uvedeme přehled toho, jak se GDPR dotkne kamerových systémů.

Ve zkratce: v klidu může zůstat ten, kdo se řídil podle doposud platných zákonů a nařízení. GDPR totiž ve své podstatě revolucí v ochraně osobních údajů není. Víceméně. Nějaké novinky totiž nařízení zavádí.

Koho se kamerových systémech GDPR týká?

Kamerové systémy podléhají nařízení, když jde o automatizované zpracování, data se ukládají a lze na základě údajů rozpoznat identifikovat osobu. Jedná se tedy o většinu případů v CCTV.

Záznam kamerových systémů nespadá pod GPDR, pokud se jedná o fyzickou osobu / občana, který si monitoruje soukromý pozemek, objekt, byt, parkovací místo, apod. Pokud takové zpracování dat nezasahuje do soukromí jiných osob, spadá pod občansko-trestní zákoník. Je potřeba však posoudit, aby kamerový systém nebyl v rozporu s jinými právními předpisy.

Které objekty spadají pod GDPR?

✘ rodinné domy – nespadají tam z výše uvedených důvodů
✓ bytové jednotky, firemní areál, apod. – zde je potřeba dodržovat nařízení GDPR
✓ * nákupní centra, ulice, náměstí, atd. – GDPR se zde zavádí v plném rozsahu, vize níže

Poslední zmiňovaná kategorie – tedy objekty a prostory, kde dochází k rozsáhlému monitorování osob, má ještě další povinnosti. Jsou :

Posouzení vlivu na ochranu osobních údajů
Jmenování pověřence pro ochranu osobních údajů
Těmi se zabýváme níže v tomto článku.

Osobní údaje – trocha teorie

Údaje uchovávané v záznamovém zařízení jsou osobními údaji, pokud se na základě těchto záznamů (informace z obrazových či zvukových nahrávek) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu.

Fyzická osoba je identifikovatelná, pokud jsou na zaznamenaném materiálu patrné její charakteristické rozpoznávací znaky (např. obličej) a na základě propojení rozpoznávacích znaků s dalšími údaji je možná identifikace osoby. Osobní údaj pak tvoří ty identifikátory umožňující danou osobu spojit s určitým jednáním, které je zaznamenáno na snímcích.

Základní principy GDPR

Na stránkách Úřadu pro ochranu osobních údajů vznikla v nedávné době stránka věnující se problematice GDPR. Jedná se o pěkně, stručně a přehledně postavené stránky, které Vás rychle seznámí s tímto nařízením. Vizte webové stránky https://gdpr.uoou.cz/.

Zmiňme alespoň 3 základní principy nařízení, které je potřeba dodržovat:

zákonnost – správce či zpracovatel je oprávněn zpracovávat a nakládat s těmito údaji
korektnost – zpracování osobních údajů probíhá v přiměřené míře a v souladu s GDPR
transparentnost – předpokladem je seznámení subjektu ohledně záznamu kamerovými systémy a kdo jej pro jaké účely využívá

Další informace o zásadách GDPR naleznete na stránce ÚOOÚ.

Oprávnění k využití kamerových systémů

Oprávnění k možnosti využít CCTV je několik druhů. Protože získávat souhlas od sledovaných osob s použitím kamerového systému by bylo velmi nepraktické, lze se odvolat na jiný právní titul. Jedná se o oprávnění k tomu, že vůbec smíme pořizovat zvukový a kamerový záznam. Asi nejčastěji využity budou tyto dva zákonné tituly:

a) zpracování nezbytné pro splnění úkolu prováděného při výkonu veřejné služby; v těchto případech je třeba dbát ustanovení příslušného zákona nařizujícího, resp. upravujícího zvláštní podmínky kamerové sledování,

b) zpracování nezbytné pro účely oprávněných zájmů příslušného správce

Další právní důvody naleznete na této uvedené stránce pod nadpisem: Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?

Zásady provozu

Aby byl sběr dat z kamerových systémů právně v pořádku, musí splňovat tyto podmínky:

Nezasahuje nadměrně do soukromí osob
Data jsou chráněna – vizte odstavec Zabezpečení zpracování (čl. 32)
- je tedy na místě, aby i zařízení umožnila technické zabezpečení – ochrana snímacích zařízení, přenosových cest a datových nosičů, na kterých jsou záznamy uloženy (šifrováním, zaheslovaným přístupu k zařízení, apod.)
Je daný jednoznačný účel pořizování záznamů
- ten je potřeba zanést do dokumentace a seznámit s ním subjekty osobních údajů
Je třeba stanovit lhůtu pro uchovávání záznamů – víceméně v rámci několika dní
- data by měla být uchovávána v rámci časové smyčky např. 24 hodin, pokud jde o trvale střežený objekt. Případně je možná i delší doba, v zásadě ale nepřesahující několik dnů. Obecnou zásadou je, že data mají být k dispozici pouze po dobu nezbytnou k účelu jejich zpracování.Zároveň musí být zaručeno, že data budou po uplynutí této doby smazána
Dodržování práv subjektů údajů
- správce musí umožnit výkon dalších práv subjektu údajů, zejména právo na další informace o zpracování osobních údajů a právo na námitku
Uchovávání dat a přístupů k nim má jasně stanovena pravidla
- týká se uchování dat, přístupu k datům – nastavit pravidla (vnitřní směrnice)

Definovat a smluvně uchopit role v rámci nařízení

GDPR definuje tyto pojmy:

subjekt údajů = člověk, o jehož údaje jde. V případě CCTV se jedná o monitorované osoby
správce = ten, kdo operace s osobními údaji provádí, buď z vlastního rozhodnutí, nebo proto, že je to jeho zákonnou povinností
zpracovatel = někdo jiný, koho správce prováděním takové činnosti pro něj smlouvou pověří.

Mezi správcem a zpracovatelem musí být smluvně dohodnutý rozsah a podmínky spolupráce.

Povinnosti pro správce

Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty. Evidence těchto „prohřešků“ na ochraně osobních údajů pak slouží jako nástroj pro nasazení preventivních opatření, aby se podobné události neopakovaly.

Kamerové systémy transparentně aneb povinnost informovat subjekty údajů

Subjekt údajů musí být o užití kamerového systému informován. Součástí informace má být i to, kdo jej provozuje. K tomu poslouží např. nápis umístěný v monitorované místnosti. Správce musí umožnit výkon dalších práv subjektu údajů, zejména právo na další informace o zpracování osobních údajů a právo na námitku. Má-li dům více než jeden vchod/vjezd, musí být tyto cedulky umístěny na všech těchto místech.

Současně je dobré umístit doplňující informace na domovní nástěnku či elektronickou informační desku pro členy družstva/SVJ i pro případné pravidelné nebo náhodné návštěvníky. (Více informací naleznete ve zdroji).

Bude nutné uvádět kontakt na provozovatele systému a také účely, za jakými jsou záznamy pořizovány.

V této souvislosti poskytne správce subjektu údajů tyto informace:

totožnost a kontaktní údaje správce a případně jeho zástupce nebo kontaktní údaje případného pověřence pro ochranu osobních údajů;
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
kategorie dotčených osobních údajů;
příjemce nebo kategorie příjemců osobních údajů;
doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby; standardem v CCTV bývá max cca 30 dní;
oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
pokud je zpracování založeno na souhlasu, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
existence práva podat stížnost u dozorového úřadu;
zdroj, ze kterého osobní údaje pocházejí.

Vizte zdroj výše uvedeného seznamu: https://www.tzb-info.cz/kamerove-systemy/15861-gdpr-kamery-v-bytovem-dome-v-roce-2018

Novinky vyplývající ze zavedení GDPR

Je třeba kamerový systém registrovat u ÚOOÚ?

Ne, tato povinnost od 25. května 2018 odpadá.

Povinnost vést si záznamy o činnostech zpracování

Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu. Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu. Záznam o činnostech zpracování pro kamerový systém musí obsahovat tyto údaje:

Označení správce.
Běžná identifikace správce, tj. subjektu, který provádí zpracování.
Účel zpracování (např. ochrana majetku správce, života a zdraví osob prostřednictvím stálého kamerového systému).
Popis kategorií subjektů údajů.
Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.).
Popis kategorií osobních údajů.
Podoba a obrazové informace o chování a jednání zaznamenaných osob.
Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí.
V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna).
Lhůta pro výmaz (doba uchování záznamu je X dní).
Záznam zachyceného incident je uchován po dobu nezbytnou pro projednání případu.
Technická a organizační bezpečnostní opatření.
Bezpečnostní kryt (řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám).

Vzorový dokument najdete na tomto odkaze.

Povinnost hlášení bezpečnostních incidentů

Pokud jde o ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu, autoři nařízení očekávají, že jakékoli porušení zabezpečení správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu. Hlášení však nemusí na příslušný orgán podávat, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

Oznamovací povinnost se podle § 16 zákona vztahuje pouze na správce.

Princip odpovědnosti

Tato zásada znamená, že soulad s nařízením dokládá přímo správce na vyžádání dozorového úřadu. Záznam o činnostech zpracování tedy předkládá přímo Úřadu pro ochranu osobních údajů. Ten je proto potřeba vést písemně či elektronicky (zdroj).

Posouzení vlivu na ochranu osobních údajů

Tato povinnost se nevztahuje na všechny provozovatele kamerových systémů. Pokud však správce hodlá zpracovávat osobní údaje, jejichž zpracování může mít za následek vysoké riziko do práv a svobod fyzických osob, je správce povinen před zahájením takovéhoto zpracování vykonat posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment).

Do této skupiny zpracování osobních údajů bude zařazeno i provozování CCTV, které bude provádět rozsáhlé systematické monitorování veřejně přístupných prostorů. Více informací naleznete na této stránce.

Jedná se tedy např. o obchodní centra, kamery v ulicích a veřejných prostorách.

Vzorový dokument najdete na této stránce.

Pověřenec pro ochranu osobních údajů

Hlavním úkolem pověřence pro ochranu osobních údajů (DPO – Data Protection Officer) bude kontrola, zda zpracování údajů probíhá v souladu s nařízením, provádění auditů, školení pracovníků a správa interní ochrany dat.

Pověřence se musí jmenovat, pokud:

zpracování dat provádí orgán veřejné moci či veřejný subjekt (vyjma soudů)
zpracování dat se provádí v rozsáhlém a systematickém rozsahu
zpracovávaná data se týkají rozsudků v trestních věcech a trestních činnostech

Z výše uvedeného vyplývá, že pověřence budou muset jmenovat ti, kteří ve velkém rozsahu monitorují pomocí kamerových systémů – opět se tedy jedná o kamerový dohled v obchodních centrech, na ulicích, apod.

Na koho se obrátit v případě dotazů?

ÚOOÚ (Úřad pro ochranu osobních údajů) má pro speciálně pro konzultaci ohledně kamerových systémů vlastní telefonní linku. Neváhejte se tedy obrátit na odborníky na slovo vzaté v ochraně osobních údajů.

Tel.: +420 234 665 202

Konzultace speciálně ke kamerovým systémům

Použité zdroje: