Dekorativní pozadí stránky

Nová doporučení k provozování kamerových systémů jsou tady. Řídíte se jimi?

Nová doporučení k provozování kamerových systémů jsou tady. Řídíte se jimi?

Po dlouhém čekání vydal Úřad pro ochranu osobních údajů novou metodiku k provozování kamerových systémů. Tato obsahuje kromě praktických doporučení rovnou i vzory nejčastěji vyhotovovaných dokumentů souvisejících s kamerovými systémy a jejich provozem z hlediska zpracování a ochrany osobních údajůJak tedy posouvá nová metodika praxi v rámci provozování kamerových systémů v České republice? Řídíte se všemi doporučeními, abyste se vyhnuli případným problémům? Pojďme to zjistit.

Do února tohoto roku správci kamerových systémů při jejich provozování hledali východisko zejména ve vodítkách obsažených v pokynech Evropského sboru pro ochranu osobních údajů z roku 2019 (resp. jejich aktualizované verzi z roku 2020). Doporučení, jak se vhodně vypořádat s povinnostmi stanovenými GDPR, aktualizuje v českém prostředí Úřad pro ochranu osobních údajů („ÚOOÚ“) po celých 12 letech. Nová metodika, která navazuje na evropská doporučení, poskytuje také vzorový balanční test kamerového systému, předlohu pro záznamy o činnostech zpracování či zjednodušenou podobu informačního dokumentu pro subjekty údajů.

Ačkoliv dodržování metodiky není povinné, významně pomáhá v navigaci legislativním prostředím a snižuje tak riziko porušení ochrany dat a uložení případné pokuty. Správci, kteří se rozhodnou nesledovat tuto metodiku nebo její části (například doporučení uchovávat záznam ideálně do 72 hodin), by se měli připravit na obhajobu alternativních postupů, kterými dosahují souladu s GDPR. Zvláště ve složitějších případech tak rozhodně doporučujeme konzultaci s odborníky.

Aktualizace definic

Významnou pomoc přináší nastavení obecného principu ÚOOÚ, který nově říká, že pokud postava člověka v záběru zabírá více než 25 % výšky obrazu, tak dochází ke zpracování osobních údajů. Důvodem je předpoklad, že za takové situace bude možné identifikovat a rozeznat osoby. Další faktory, například obvyklé světelné podmínky, chování osob a jejich rozlišitelnost atd., mohou vést k tomu, že identifikace osob může být ztížena, k čemuž by se mělo při posuzování návrhu kamerového systému také přihlédnout.

Kamerový systém může být tvořen různými druhy kamer, ať již kamerami se záznamem, online kamerami či fotopastmi. U všech musí správce zavést prostředky naplňující adekvátní ochranu pro zpracování osobních údajů. Touto novou metodikou je překonán dřívější názor ÚOOÚ, že u online kamer obecně nedochází ke zpracování osobních údajů.

Z technického pohledu totiž i u online kamer dochází k ukládání a přenosu záznamu, byť na velmi krátkou dobu. Ovšem i po tuto krátkou dobu může k záběrům získat přístup nepovolaná osoba, záběry mohou uniknout na internet nebo být jinak zneužity. Pokud tyto kamerové záznamy obsahují záběry identifikovatelných fyzických osob, jinými slovy osobní údaje, převažuje důvod, aby i online kamery byly v režimu GDPR.

Jednou z možných výjimek jsou pak webkamery zobrazující místní povětrnostní podmínky, pokud není možné přiblížením získat dostatečně detailní podobu osoby.

Vyžadovaná dokumentace

ÚOOÚ ve své metodice poskytuje tři vzorové dokumenty ke kamerovým systémů (i) informační dokument pro subjekty údajů, (ii) záznam o činnosti zpracování osobních údajů a (iii) balanční test. Správce tak získává návodnou podobu těch nejdůležitějších dokumentů, ale nejedná se o úplnou dokumentaci. Úplná dokumentace může mít v určitých případech klidně až deset dokumentů.

Informační dokumenty pro subjekty údajů by podle ÚOOÚ měly být poskytovány postupně / měl by být aplikován vícevrstvý přístup upřesňování obecnější informace (tzv. layered approach). 

První vrstva by měla obsahovat základní informaci o tom, že prostor je monitorován. V takovém případě postačí piktogram či jiný obrázek kamery. Bezprostředně na to by však osoba měla být poučena o tom, kdo je správcem údajů a jaké jsou jeho kontaktní osoby, shrnutí účeluprávního důvodu zpracování kamerového záznamu obsahujícího osobní údaje a základní informace o právech subjektu údajů

Ve druhé vrstvě by měla zaznít instrukce o tom, kde se subjekt údajů dozví veškeré informace vyžadované podle čl. 13 GDPR. Je možné odkázat na webové stránky správce poskytující komplexní informace o zpracování osobních údajů či poskytnout k nahlédnutí tištěnou variantu. Diskutabilní je, zda poskytnutí některých detailů může ohrozit účel systému, například ochranu majetku. Například informace o celkovém počtu kamer může být potencionálním zlodějem/útočníkem lehce zneužitelná, ale pro běžný subjekt údajů obvykle velkou vypovídací hodnotu mít nebude.

Metodika dále rozebírá úpravy vztahů se zpracovateli osobních údajů, realizace práv subjektů údajů, jako je přístup k datům, jejich vymazání či oprava, a způsobů řízení a hlášení bezpečnostních incidentů. Pro tyto oblasti však ÚOOÚ pro správce kamerových systémů neposkytuje vzorové dokumenty ani v obecné podobě. 

Co je třeba zvážit při zavádění kamerového systému?

Jak jsme uvedli výše, návrh kamerového systému musí být podle ÚOOÚ posouzen v rámci balančního testu. Proces se skládá ze několika kroků, přičemž na úplném začátku probíhá posuzování existence reálného ohrožení, jemuž by mělo být zabráněno právě instalováním kamerového systému. Je nutné doložit, že nejde o subjektivní obavy, ale o riziko, které je možné objektivně vyhodnotit. Následně se kamerové systémy hodnotí podle následujících kritérií (tzv. test proporcionality):

  1. kritérium vhodnosti: zdali institut omezující určité základní právo umožňuje dosáhnout stanovený cíl;
  2. kritérium potřebnosti (nutnosti): zdali by stanoveného cíle nemohlo být dosaženo jinými opatřeními umožňujícími dosáhnout stejného cíle, avšak nedotýkajícími se základních práv a svobod;
  3. kritérium poměřování: porovnání závažnosti obou v kolizi stojících základních práv, což spočívá ve zvažování empirických, systémových, kontextových i hodnotových argumentů.

ÚOOÚ zdůrazňuje, že správce je povinen během návrhu kamerového systému posoudit konkrétní situaci a existenci legitimního účelu. ÚOOÚ na řadě příkladů demonstruje, že klíčové je promyšlené rozmístění (vhodného počtu) kamer a jejich integrace s dalšími ochrannými prvky. Pokud bude chtít správce bytového domu bránit fasádu domu před vandalismem, tak zavedení kamerového systému třeba s deseti kamerami by ÚOOÚ posoudil jako nepřiměřené. Ve vzorovém balančním testu, jenž je součástí metodiky, ÚOOÚ zmiňuje, že vhodné by byly dvě kamery a nátěr proti sprejerům. Z uvedeného tak lze dovodit, že i samotné definování účelu, pro který je kamerový systém zaváděn, může do značné míry ovlivnit výsledný balanční test.

Právě dostatečně kvalifikované a přesvědčivé provedení balančního testu je z našeho pohledu něco, s čím si provozovatelé kamerových systémů, zvlášť ve složitějších případech, nemusí vždy vědět rady.

Bezpečnostní opatření

V nové metodice ÚOOÚ rozděluje kamerové systémy do čtyř kategorií, podle hrozící míry porušení práv a zájmů subjektu údajů (typicky soukromí). K jednotlivým kategoriím uvádí dva druhy opatření – povinná a dobrovolná.

Správce může být povinen zavést bezpečnostní opatření od technických, např. detekce selhání kamerového systému, ochrana samotných kamer a datového připojení či ochrana před škodlivými kódy, přes organizační opatření, jako je řízení přístupu ke kamerám a záznamu, až po opatření administrativní, typicky zpracování dokumentace a školení obsluhy kamer. ÚOOÚ se pochopitelně zabývá i zabezpečením kamer, kamerových systémů, přenosových soustav a datových úložišť. Neoprávněný přístup ke kamerovým přenosům či záznamům totiž pro dotčené osoby představuje značné riziko.

Závěr

ÚOOÚ v mnoha směrech vyjasňuje přístup, který by očekával (a lze předpokládat že i vyžadoval) od správců zavádějících kamerové systémy. Přestože v nové metodice ÚOOÚ nabízí vzorovou podobu nedůležitějších dokumentů, které správcům a provozovatelům kamerových systémů usnadní základní nastavení, je třeba posuzovat každý případ individuálně a brát v potaz zejména komplexnější situace, kdy nemusí být pouhé přizpůsobení těchto šablon dostatečné.

Správci se tak mohou v náročnějších případech setkat s obtížemi dostatečně a přesvědčivě naplnit všechny regulatorní požadavky. Kamerové systémy, zejména pokud se neuchopí správně, mohou představovat výrazný zásah do práv a soukromí jednotlivců, a lze tak očekávat, že jejich správné nastavení bude čím dál častěji v hledáčku ÚOOÚ a jeho kontrolních aktivit.

Přístup ke kamerovým zařízením tedy doporučujeme nepodcenit a zejména v citlivějších situacích využít konzultace s odborníky pro zajištění souladu s právními předpisy a aktuální osvědčenou praxí. S týmem našich datových expertů jsme připraveni Vám pomoci vše správně nastavit a zodpovědět Vaše otázky.

Zdroje článku

Související články