Dekorativní pozadí stránky

Instalace a provoz kamerového systému z pohledu GDPR a zákoníku práce – část II.

Instalace a provoz kamerového systému z pohledu GDPR a zákoníku práce – část II.

Před časem jsme se věnovali podkladům, které by měl mít každý provozovatel kamerového systému zpracované, aby dostál požadavkům na prokazatelnost dodržování předpisů v oblasti ochrany osobních údajů a zákoníku práce. Slíbili jsme pokračování, které mělo reagovat na avizovanou metodiku ze strany Úřadu pro ochranu osobních údajů, jejíž vydání se ale poněkud protáhlo – až do dneška. Základní shrnutí, kdy je potřeba mít zpracovanou DPIA anebo bude postačovat vyhotovení [1]LIA, přinášíme níže. 

Velmi stručně k pojmům DPIA a LIA

DPIA aneb posouzení vlivu na ochranu osobních údajů je postup, jehož záměrem je popis zpracování osobních údajů, posouzení nezbytnosti a přiměřenosti, a posouzení rizik pro práva a svobody fyzických osob plynoucích z předmětného zpracování. Jinými slovy se jedná o dokument, ve kterém správce osobních údajů posuzuje vliv zamýšlených operací s daty, a to ve vztahu k ochraně osobních údajů. Manuál k vyhotovení DPIA je dostupný na [2]stránkách Úřadu pro ochranu osobních údajů (ÚOOÚ) včetně vzorové tabulky pro posouzení rizik.

LIA aneb tzv. balanční test, či test proporcionality, spočívá v posouzení kritéria vhodnosti – zdali zavedený proces omezující určité základní právo umožňuje dosáhnout stanovený cíl, posouzení kritéria potřebnosti– zdali by stanoveného cíle nemohlo být dosaženo jinými opatřeními umožňujícími dosáhnout stejného cíle, avšak s omezenějším dopadem na základní práva a svobody, a poměřování – porovnání závažnosti obou v kolizi stojících základních práv, tj. ochrana majetku vs. ochrana soukromí, což spočívá ve zvažování empirických, systémových, kontextových i hodnotových argumentů. 

Obecně lze shrnout, že každý provozovatel je povinen vyhotovit LIA, neboť provoz kamerového systému je založený na oprávněném zájmu spočívajícím v ochraně majetku. Provozovatel by se měl v balančním testu zejména utvrdit v tom, že provoz kamerového systému neslouží k odvrácení hypotetické a nepravděpodobné hrozby, jak ostatně zdůrazňuje i Nejvyšší správní soud v kauze, kterou se zabýval také [3]Soudní dvůr. Posouzení oprávněnosti – LIA, může být zpracováno v podobě samostatného dokumentu popisujícího výše zmíněná kritéria anebo součástí DPIA v případě, že povinnost zpracovat DPIA provozovateli kamerového systému vznikla. [4]

Postup k správnému určení, který z dokumentů zpracovat – DPIA vs. LIA

GDPR předpokládá, že každý dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na DPIA, přičemž může rovněž sestavit seznam druhů operací, u nichž není DPIA nutné. Oba seznamy český ÚOOÚ na svých stránkách zveřejnil.[5]

Vycházíme-li ze seznamu operací, které nepodléhají povinnosti vyhotovit DPIA, pak provoz kamerového systému v seznamu nenalezneme. Platí proto, že provozovatel kamerového systému musí přihlédnout k obecněji formulovaným kritériím a tyto aplikovat na situaci zohledňující jím instalované kamery, včetně jejich počtu a umístění, způsob uchování záznamů i účel zpracování. Těmito kritérii je například snímání veřejně přístupných prostor, zpracování kritických údajů, zpracování údajů velkého rozsahu atd.[6]

Správce má celkem vyhodnotit 10 kritérií (včetně dílčích charakteristik jednotlivých kritérií), kterým přiřadí míru rizika. Dle míry rizika – kritická, významná, nízká se propracuje k výsledku, přičemž platí, že pro vznik povinnosti vyhotovit DPIA „postačuje“, aby 2 kritéria nabyla kritické hodnoty, anebo 1 kritérium bylo kritické a aspoň 5 dalších bylo významných.

Ač se to může zdát vcelku jednoduché (metodicky si vystačíte s přehlednou tabulkou), tak chyba ve vyhodnocení rizikovosti jediného kritéria může vést k tomu, že se správce rozhodne vyhotovit pouze jednodušší balanční test – LIA, zatímco měl zpracovat řádnou DPIA. Nesprávné závěry nebo dokonce neprovedení této základní analýzy by ÚOOÚ nejspíše neprominul, když ostatně její zpracování zmiňuje ve své čerstvě vydané kamerové metodice jako nutnost.[7]

Pokud si nebudete vědět rady s vyhodnocením DPIA kritérií, či jakýmkoli jiným právním aspektem kamerového systému, neváhejte se obrátit na náš HP tým specializující se na problematiku ochrany údajů.  

Zdroje článku

Související články