Obecné nařízení pro ochranu osobních údajů – známé jako GDPR – se týká i videodohledu a stále vyvolává debaty. Máte své kamery v pořádku?

Autor: Radim Matěja, Datis s.r.o. – specialista na biometrii a bezpečnost informací zpracovávaných CCTV systémy

Obecné nařízení pro ochranu osobních údajů – známé jako GDPR – se týká i videodohledu a stále vyvolává debaty. Máte své kamery v pořádku?

Nařízení GDPR vstoupilo v platnost ve všech státech Evropské unie 25. května 2018.  Výše pokut, nové nároky a nejasné interpretace vzbuzují obavy, na nichž si dobře vydělalo již mnoho konzultantů a právníků. Pojďme se ale zamyslet nad podstatou. Pokud jste vlastníkem kamerového systému se záznamem nebo takový systém instalujete či provozujete jiným subjektům, možná pro vás bude užitečné toto shrnutí sedmi základních kroků, které je třeba pro splnění GDPR udělat.

1. Stanovení odpovědných osob

Asi nejvýraznější změna, kterou GDPR přináší, spočívá v tom, že zodpovědnost za osobní data se přenáší zcela na správce – tedy toho, kdo stanovuje účel videodohledu. Úřad pro ochranu osobních údajů již nebude váš kamerový systém nikde registrovat, ale stačí jediná stížnost a budete muset prokázat, že s osobními údaji nakládáte správně. Správce samozřejmě může najmout další zpracovatele, kteří s kamerovým systémem pracují. Mnohdy jde o celý řetězec subjektů s přístupem k datům, jejichž odpovědnosti by měl správce vyjasnit a smluvně zajistit. Následně určí zodpovědnou kontaktní osobu. Za určitých okolností bude muset jmenovat i tzv. pověřence pro ochranu osobních údajů.

2. Revize kamer a vyjasnění jejich účelu

Kamery ve starším systému mohou fungovat různě, možná i jinak, než jak byly původně instalovány. Každá kamera má určitý úhel záběru a určité rozlišení. Odpovídá to stanovenému účelu. Můžete u všech kamer prokázat oprávněný zájem pro shromažďování osobních dat, kterým je například nutná ochrana majetku či osob? Odpovědnost obhájit důvod instalace kamer, volbu záběru a nutnost pořizování záznamu je plně na vás. V některých případech budete muset vypracovat důkladnější dokument, písemné Posouzení vlivu na ochranu osobních údajů (DPIA)

3. Informační povinnost a transparentnost

GDPR klade důraz na to, aby subjekt údajů (osoba snímaná kamerovým systémem se záznamem) mohl snadno získat informace o zpracování svých osobních dat. Informační cedulky na místě by tedy měly obsahovat nejen piktogram, ale i kontakt na zodpovědnou osobu a účel videodohledu. Ideální je uveřejnit detaily o provozu kamerového systému například na webové stránce a odkázat případné tazatele na ni.

4. Evidence zpracování osobních údajů

Informační povinnost platí také vůči dozorovému úřadu, v našem případě ÚOOÚ. Kamerový systém nemusíte nikam hlásit, ale přesná dokumentace by měla být kdykoli připravena k případné kontrole (viz vzorový příklad). V evidenci činností pokračujte i nadále. V tzv. záznamech o činnostech zpracování dat byste měli průběžně evidovat všechny aktivity (například nahlížení do kamerového záznamu, export, servis) a také případné žádosti o poskytnutí kopie nebo o výmaz záznamu. Souhlas se zpracováním osobních údajů je v případě videodohledu většinou nerealizovatelný a zodpovědnost za případný únik videozáznamu přechází na správce. Pro tyto účely je dobré připravit obsluze kamerového systému jasnou interní směrnici.

5. Zabezpečení proti úniku dat

Existuje mnoho slabých míst, kde mohou osobní údaje v záznamu zůstat nechráněná. Mezi obvyklé nástroje zabezpečení patří anonymizace nebo pseudonymizace, šifrování záznamů a další. Protože je však nejslabším článkem vždy člověk, mnohé z nutných kroků jsou spíše organizačního charakteru. Správné nastavení přístupů na fyzické i datové úrovni a vyjasnění zodpovědností by mělo být na prvním místě.

6. Postup při žádosti o výmaz nebo o poskytnutí záznamu

Správce má povinnost na požádání vydat kopii zpracovávaných osobních údajů týkajících se žadatele. Za určitých okolností může sledovaná osoba i žádat o výmaz, pokud tento záznam už splnil účel, pro který byl pořízen, nebo pokud byl pořízen v rozporu s nařízením o ochraně osobních údajů. Každý, kdo zná principy kamerových systémů, si umí představit, že s takovými požadavky mohou být spojeny technické komplikace. Například při pořízení kopie je zároveň třeba anonymizovat další osoby v záznamu. Proto opět předem stanovte postup při vyřizování těchto žádostí – možná v podobě vysvětlení, že všechny záznamy se automaticky mažou dříve, než se požadavek stihne vyřídit. Výmaz či poskytnutí kopie může být také spojeno s rozumnými náklady, které musí žadatel uhradit.

7. Postup hlášení úniku dat

Dle GDPR má správce povinnost nahlásit dozorovému úřadu (ÚOOÚ) nejpozději do 72 hodin incident úniku, narušení nebo ztráty osobních údajů. Správce při tom musí uvést popis incidentu, kontaktní osobu správce, popis pravděpodobných důsledků i přijatých opatření. I na tuto situaci je dobré se připravit stanovením interního postupu.

Příklad dokumentace kamerového systému

Správce	Firma s.r.o., adresa, IČO, kontakt správce nebo pověřence
Účel zpracování	Ochrana majetku správce, života a zdraví osob prostřednictvím stálého kamerového systému
Popis kategorií subjektů údajů	Zaměstnanci a osoby příležitostně vstupující do monitorovaného prostoru (dodavatelé, návštěvy atd.)
Popis kategorií osobních údajů	Identifikační údaje ve formě kamerového záznamu
Právní důvod	Oprávněné zájmy správce a třetích stran (čl. 6 odst. 1 písm. F).
Informace poskytované subjektům údajů	Umístěním informačních štítků na vstupech do prostoru záznamu, včetně identifikace správce a kontaktu
Příjemci osobních údajů	V odůvodněných případech orgány činné v trestním řízení, Jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna), neplánují se příjemci v třetích zemích.
Lhůta pro výmaz	Doba uchování záznamu je 5 dní. Kopie řešených incidentů se uchová po nezbytnou dobu.
Technická a organizační opatření	Bezpečnostní kryt, řízení přístupu k datům, školení oprávněných osob, vedení předávacích protokolů třetím osobám. Podrobněji řešeno ve směrnici k provozu kamerového systému, která je přiložena k tomuto záznamu.
Počet nahrávaných	15 kamer fixních, 3 kamery otočné
Umístění kamer v objektu	Výrobní a skladové prostory na adrese sídla. Viz náčrt, který je přiložen k tomuto záznamu.
Režim kamer	Nepřetržitý, bez videoanalýz a biometrické detekce.
Zpracovatel	Správce je zároveň Zpracovatel

 

Vzor informační cedulky