Za jakých podmínek lze kamery provozovat? Jak správně postupovat v souladu s předpisy na ochranu osobních údajů a je nutné mít pokaždé souhlas monitorovaných subjektů? Právě na to se zaměříme v tomto článku.
Právní úprava
Regulaci této problematiky primárně obsahuje nařízení Evropského parlamentu a Rady (EU) 2016/679, známé pod zkratkou GDPR. Kamerový záznam, ze kterého je možné přímo či nepřímo identifikovat fyzickou osobu, je nepochybně osobním údajem, a provozovatel kamerového systému tak vystupuje jako tzv. správce osobních údajů. Zabezpečení osobních údajů monitorovaných subjektů tak je klíčovým aspektem tohoto procesu. S plněním povinností má pomoci i nově vydaná metodika Úřadu pro ochranu osobních údajů, která má správcům a zpracovatelům osobních údajů ulehčit jejich orientaci v předpisech (odkaz na metodiku zde).
Souhlas s monitorováním – je nutný nebo ne?
Zásadní otázkou je, zda musí provozovatel kamerového systému zajistit souhlas od monitorovaných subjektů s jejich zaznamenáváním na bezpečnostní kamery.
Ne vždy vyžaduje monitorování subjektů jejich souhlas, ale vždy by měly být subjekty informovány, že k němu dochází, a to např. pomocí cedule s nápisem „tento prostor je monitorován”. Jenom umístěním takovéto či podobné cedule správce nicméně svou informační povinnost nesplní. Je nutné, aby byl potenciální subjekt údajů seznámen s tím, kdo a jakým způsobem kamerové záznamy zpracovává. Zejména by měl být informován kdo je správce, jaké jsou jeho kontaktní údaje, popřípadě kdo ho zastupuje. V situaci, kdy jsou údaje zpracovávány prostřednictvím třetích osob, je potřeba informovat také o tom, kdo a za jakým účelem údaje zpracovává, o lhůtě pro výmaz záznamu či popis kategorií osobních údajů.
Souhlas se nevyžaduje v případě, kdy kamera pouze přenáší obraz a zvuk v reálném čase a záznam není ukládaný (např. bezpečnostní kamery v nákupním centru). I tyto však nemůžou být umístěny na toaletách, či v šatnách nebo na dalších místech, kde by mohlo dojít k nepřiměřenému zásahu do soukromí.
Souhlasu není třeba i v některých případech, kdy je záznam automatizovaně uchováván a zároveň slouží za účelem identifikace fyzických osob. Typicky se bude jednat o případy, kdy se monitorováním chrání přiměřeně oprávněné zájmy (např. prevence krádeží v bytovém domě). Označení „přiměřeně“ v tomto případě odkazuje na určitou hranici mezi tím, kdy už monitorování neslouží k vyžadovanému účelu a zasahovalo by do práv subjektů více, než je potřeba a co je nutné pro dosažení konkrétního účelu dělat.
Jednoduchý příklad, na kterém lze vysvětlit spojení „chránit přiměřeně“, je nainstalování kamery na dům za účelem prevence krádeží. Kamera by v tomto případě měla zabírat z významnější části prostor nemovitosti a ke snímání prostorů veřejných (např. chodníku), by mělo dojít jen v minimální míře, která bude stačit k zajištění účelu monitorování.
Při rozhodování, zda zájem na provozování kamer převažuje právo na soukromí potenciálně monitorovaných subjektů, má povinnost správce provést tzv. balanční test, kde „obhájí”, proč jeho zájem a práva převažují zejména nad právy subjektů na ochranu jejich soukromí.
Jaké povinností jsou správci povinni plnit?
Je důležité zmínit, že provozovatel kamerových systémů je dle GDPR považován za správce osobních údajů, vztahují se na něj tedy standardní povinnosti správce. V kontextu problematiky kamerových systému je důležitou povinností zajistit, že zpracovávané kamerové záznamy budou bezpečně uchovávány. V případě, že dojde ke zcizení nebo by vznikla důvodná obava, že dojde ke zneužití těchto údajů, pak musí správce prokázat, že přijal veškerá vhodná technická a organizační opatření k jejich zabezpečení. Pokud do procesu vstupuje i zpracovatel osobních údajů (tedy osoba, která pro správce zpracovává osobní údaje dle jeho pokynů) a to např. v situaci, kdy je záznam uchováván na cloudovém úložišti, pak musí náležitě zvolit i tohoto zpracovatele a odpovídá za jeho volbu.
Dohled nad plněním povinností
Na celý proces zpracování dat dohlíží zejména Úřad pro ochranu osobních údajů, také by se na něj v případě bezpečnostního incidentu, při kterém dojde k ohrožení zabezpečení údajů, měl správce obrátit.
V případě porušení povinností hrozí uložení správní pokuty až do výše 20 000 000 EUR, problematice ochrany osobních údajů je tedy potřeba věnovat náležitou pozornost.
Diskuze k článku ()