Mezinárodní den ochrany osobních údajů: máte své kamery v pořádku?

Článek
28 leden, 2019
Na 28. leden připadá mezinárodní den ochrany osobních údajů. Pokud chcete tuto příležitost využít ke kontrole, zda vaše kamerové systémy dostatečně chrání osobní údaje monitorovaných osob, uvádíme zde text bezpečnostního experta Radima Matěji, který se vrací k požadavkům vyplývajícím z nařízení GDPR. Článek vyšel v podzimním tištěném magazínu IN ZOOM společnosti Axis pod názvem Videodohled a GDPR: 7 pravidel pro opozdilce.

Nařízení GDPR vstoupilo v platnost ve všech státech Evropské unie 25. května 2018.  Výše pokut, nové nároky a nejasné interpretace vzbuzují obavy, na nichž si dobře vydělalo již mnoho konzultantů a právníků. Pojďme se ale zamyslet nad podstatou. Pokud jste vlastníkem kamerového systému se záznamem nebo takový systém instalujete či provozujete jiným subjektům, možná pro vás bude užitečné toto shrnutí sedmi základních kroků, které je třeba pro splnění GDPR udělat.

  1. Stanovení odpovědných osob

Asi nejvýraznější změna, kterou GDPR přináší, spočívá v tom, že zodpovědnost za osobní data se přenáší zcela na správce – tedy toho, kdo stanovuje účel videodohledu. Úřad pro ochranu osobních údajů již nebude váš kamerový systém nikde registrovat, ale stačí jediná stížnost a budete muset prokázat, že s osobními údaji nakládáte správně. Správce samozřejmě může najmout další zpracovatele, kteří s kamerovým systémem pracují. Mnohdy jde o celý řetězec subjektů s přístupem k datům, jejichž odpovědnosti by měl správce vyjasnit a smluvně zajistit. Následně určí zodpovědnou kontaktní osobu. Za určitých okolností bude muset jmenovat i tzv. pověřence pro ochranu osobních údajů.

  1. Revize kamer a vyjasnění jejich účelu

Kamery ve starším systému mohou fungovat různě, možná i jinak, než jak byly původně instalovány. Každá kamera má určitý úhel záběru a určité rozlišení. Odpovídá to stanovenému účelu. Můžete u všech kamer prokázat oprávněný zájem pro shromažďování osobních dat, kterým je například nutná ochrana majetku či osob? Odpovědnost obhájit důvod instalace kamer, volbu záběru a nutnost pořizování záznamu je plně na vás. V některých případech budete muset vypracovat důkladnější dokument, písemné Posouzení vlivu na ochranu osobních údajů (DPIA).

  1. Informační povinnost a transparentnost

GDPR klade důraz na to, aby subjekt údajů (osoba snímaná kamerovým systémem se záznamem) mohl snadno získat informace o zpracování svých osobních dat. Informační cedulky na místě by tedy měly obsahovat nejen piktogram, ale i kontakt na zodpovědnou osobu a účel videodohledu. Ideální je uveřejnit detaily o provozu kamerového systému například na webové stránce a odkázat případné tazatele na ni.

  1. Evidence zpracování osobních údajů

Informační povinnost platí také vůči dozorovému úřadu, v našem případě ÚOOÚ. Kamerový systém nemusíte nikam hlásit, ale přesná dokumentace by měla být kdykoli připravena k případné kontrole (viz vzorový příklad). V evidenci činností pokračujte i nadále. V tzv. záznamech o činnostech zpracování dat byste měli průběžně evidovat všechny aktivity (například nahlížení do kamerového záznamu, export, servis) a také případné žádosti o poskytnutí kopie nebo o výmaz záznamu. Souhlas se zpracováním osobních údajů je v případě videodohledu většinou nerealizovatelný a zodpovědnost za případný únik vodeozáznamu přechází na správce. Pro tyto účely je dobré připravit obsluze kamerového systému jasnou interní směrnici.

  1. Zabezpečení proti úniku dat

Existuje mnoho slabých míst, kde mohou osobní údaje v záznamu zůstat nechráněná. Mezi obvyklé nástroje zabezpečení patří anonymizace nebo pseudonymizace, šifrování záznamů a další. Protože je však nejslabším článkem vždy člověk, mnohé z nutných kroků jsou spíše organizačního charakteru. Správné nastavení přístupů na fyzické i datové úrovni a vyjasnění zodpovědností by mělo být na prvním místě.

  1. Postup při žádosti o výmaz nebo o poskytnutí záznamu

Správce má povinnost na požádání vydat kopii zpracovávaných osobních údajů týkajících se žadatele. Za určitých okolností může sledovaná osoba i žádat o výmaz, pokud tento záznam už splnil účel, pro který byl pořízen, nebo pokud byl pořízen v rozporu s nařízením o ochraně osobních údajů. Každý, kdo zná principy kamerových systémů, si umí představit, že s takovými požadavky mohou být spojeny technické komplikace. Například při pořízení kopie je zároveň třeba anonymizovat další osoby v záznamu. Proto opět předem stanovte postup při vyřizování těchto žádostí – možná v podobě vysvětlení, že všechny záznamy se automaticky mažou dříve, než se požadavek stihne vyřídit. Výmaz či poskytnutí kopie může být také spojeno s rozumnými náklady, které musí žadatel uhradit.

  1. Postup hlášení úniku dat

Dle GDPR má správce povinnost nahlásit dozorovému úřadu (ÚOOÚ) nejpozději do 72 hodin incident úniku, narušení nebo ztráty osobních údajů. Správce při tom musí uvést popis incidentu, kontaktní osobu správce, popis pravděpodobných důsledků i přijatých opatření. I na tuto situaci je dobré se připravit stanovením interního postupu.

Pro více informací navštivte
Jaké změny přineslo GDPR? Axis časopis Inzoom
Pro další informace prosím kontaktujte: Marek Pavlica, Regional Communications Specialist Eastern Europe, Russia and CIS, Axis Communications
Telefon +42 073 431 9237