Osoba odpovědná za instalaci a provoz kamerového systému
Určení odpovědné osoby z pohledu obecného nařízení ochraně osobních údajů (EU) 2016/679 („GDPR“) a zákoníku práce nemusí dozorové úřady vyhodnotit jednotně. Ve většině případů bude za kamerový systém odpovídat vlastník systému, avšak ne vždy. Mohou nastat situace, například v obchodních centrech, kdy pronajímatel prostor rozhodne o instalaci kamer a přístup k CCTV[1] zřídí také nájemcům. Potom bude třeba nastavit smluvní vztahy tak, aby nedocházelo k „dobrovolnému“ převzetí odpovědnosti v případech, kdy to není namístě. Stojí za to zvážit, zda by nájemcům nepostačoval pouhý přístup k záznamům na základě žádosti, čímž by se odpovědnosti za provoz kamerového systému mohli zprostit, neboť by je ÚOOÚ nemohl považovat za správce osobních údajů, s výjimkou konkrétního kamerového záznamu předaného pronajímatelem.
Úplně jinak by však obdobnou situaci mohl vyhodnotit inspektorát práce, neboť i takový nájemce – jakožto zaměstnavatel – může být postihován za narušení soukromí zaměstnance tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování. Podmínkou odpovědnosti není vlastnictví či vyhodnocení postavení nájemce jako správce osobních údajů. Postačuje, že si nájemce může od pronajímatele záznamy kdykoliv vyžádat a využívat je pro své potřeby vůči zaměstnancům. Právě tuto stránku by měl inspektorát práce zkoumat při vyhodnocení závažnosti jednání.
Obecně však platí, že nastavení vzájemných vztahů, zejména pokud má být kamerový systém využíván dalšími osobami, je klíčové pro posouzení odpovědnosti. V této souvislosti lze proto doporučit, aby vztahy osob využívajících CCTV, potažmo kamerové záznamy byly upraveny již v hlavních obchodních (nájemních) smlouvách a podrobněji v tzv. zpracovatelských či správcovských smlouvách, jak je předpokládá GDPR.
Dokumentace ke kamerovému systému
Právní předpisy nestanoví kategorický výčet dokumentů, které je provozovatel kamerového systému povinen zpracovat. Z doporučení ÚOOÚ a zavedené praxe je zřejmé, že správci kamerových systémů by měli pamatovat především na (i) zpracování balančního testu, (ii) vyhotovení interního předpisu a (iii) uzavření zpracovatelské smlouvy.
- Balanční test
Jedná se o specifický dokument, který vyhodnocuje oprávněnost instalace a provozu kamerového systému bez souhlasu osob, které budou snímány. Dokument lze zpracovat i v průběhu provozu, byť správně by měl být vyhotoven ještě před instalací CCTV a ta by měla být provedena, nastavení různých aspektů systému upraveno, dle jeho závěrů. Zejména pokud jde o instalaci jednotlivých kamer, které je třeba posuzovat jednu po druhé.
Balanční test je důležitý pro případ kontroly dozorových úřadů, a to jak ÚOOÚ, tak inspektorátů práce, neboť je jím prokazována oprávněnost instalace CCTV a umístění konkrétních kamer.
- Interní předpis
Interním předpisem se prokazuje zavedení organizačních opatření, jak je vyžaduje GDPR. Předpis by proto měl obsahovat:
- popis prostor, které podléhají snímání;
- vzor piktogramu a informačního textu pro osoby, které jsou snímány, resp. mohou být snímány;
- určení osob oprávněných k záznamům přistupovat a situace, kdy se tak může dít;
- dobu uchování záznamu;
- pravidla bezpečnosti při předání kamerových záznamů třetím osobám, jako je policie, soudy či pojišťovny;
- způsob uchování technické dokumentace.
Zpravidla je součástí interního předpisu také technická dokumentace, která však nemusí být přístupná komukoliv na vyžádání. Naopak, správce by měl určit relativně úzký okruh osob, které k technické části a zabezpečení budou mít přístup. Správce tímto zvyšuje bezpečnost systému před neoprávněným užitím.
- Zpracovatelská smlouva
V případech, kdy správu kamerového systému zajišťuje jiná osoba, nežli pověřený zaměstnanec provozovatele systému a nejedná-li se o technickou stránku provozu, tj. osoba má přístup k záznamům nebo provádí operace, které jsou s provozem CCTV spjaty – jako je přemazávání záznamu, kopírování, výmaz – je potřebné stanovit pravidla a zapracovat je do tzv. zpracovatelské smlouvy. Pouhé stanovení vázanosti interním předpisem by mohlo být vyhodnocena jako nedostačující; GDPR vyžaduje uvaření specifické písemné smlouvy.
Jednotlivým dokumentům se budeme věnovat v navazujících článcích. Podrobněji popíšeme náležitosti balančního testu, dáme doporučení ohledně interního předpisu či zpracovatelské smlouvy. Pokud byste však chtěli vyhotovit některý z dokumentů, či jinak pomoci s privacy compliance, kontaktujte náš tým specializující se na ochranu osobních údajů.
[1] Z anglického termínu closed-circuit television – uzavřený televizní okruh.