Úřad pro ochranu osobních údajů (ÚOOÚ) vydal novou metodiku pro používání kamerových systémů, která má pomoci správcům a zpracovatelům osobních údajů lépe se orientovat v povinnostech vyplývajících z GDPR a dalších relevantních předpisů. Metodika navazuje na Pokyny Evropského sboru pro ochranu osobních údajů č. 3/2019 ke zpracování osobních údajů prostřednictvím videotechniky.
Patrně nejdůležitější změnou oproti dosavadní praxi je skutečnost, že metodika se vztahuje nejen na kamerové systémy se záznamem, ale i na kamerové systémy v režimu online, tedy bez záznamu, které však zpracovávají osobní údaje. V tomto smyslu se tedy kamerové systémy nerozlišují podle toho, zda je či není kamerovým systémem pořizován záznam, důležitější je, zda lze kamerovým systémem identifikovat subjekty údajů. Pokud identifikace subjektů údajů není možná, nejedná se o zpracování osobních údajů, protože nejde o osobní údaje, jinak se zpravidla o zpracování osobních údajů bude jednat (např. samotný přenos obrazových záznamů identifikovatelných subjektů osobních údajů podle metodiky je zpracováním osobních údajů). Podle metodiky jsou kamerovým systémem i tzv. fotopasti.
Podle metodiky ÚOOÚ lze kamerové systémy rozdělit do šesti kategorií podle stupně velikosti obrazu, jak je definuje příslušná technická norma (ČSN), tj. monitorování, zjištění, pozorování, rekognoskace, identifikace a prozkoumání. Stupeň velikosti obrazu může být použit pro určení, zda se jedná o zpracování osobních údajů nebo nikoliv, a to jak v on-line kamerových systémech, tak i v kamerových systémech se záznamem. Zjednodušeně řečeno, pokud podle metodiky jakákoliv postava v záběru zabírá více než 25 % výšky obrazu, jde o zpracování osobních údajů, a pokud tato mez není dosažena, o zpracování se nejedná. Vyjdeme-li z výše uvedené technické normy, pak v případě prvních dvou uvedených stupňů velikosti obrazu: monitorování a zjištění (tedy s nejnižším rozlišením) se o zpracování nejedná, ve všech ostatních případech stupňů velikostí obrazu: pozorování, rekognoskace, identifikace a prozkoumání (tedy s vyšším rozlišením) se o zpracování jedná, a to bez ohledu na to, zda je či není pořizován záznam (opakování, matka moudrosti!).
Metodika klade důraz na dodržování dalších požadavků GDPR v souvislosti s používáním kamerových systémů, jako např. určení legitimního účelu a právního důvodu pro zpracování osobních údajů, zásadu minimalizace zpracování, tedy nejen dobu uchování záznamů (v zásadě 72 hodin, ale nejsou vyloučeny ani delší doby uchování záznamů, musí však být řádně zdůvodněné), ale třeba i nastavení kamerového systému (počet a umístění kamer nebo nastavení záběru kamer), plnění informačních povinnosti vůči subjektům údajů o jejich právech (informační tabulky v první vrstvě a podrobnější informace ve vrstvě druhé), včetně plnění těchto práv na základě žádostí dotčených subjektů údajů, a také na zabezpečení kamerových systémů.
Co se týká požadavků na zabezpečení kamerových systémů, jsou podle metodiky kamerové systémy rozděleny do čtyř tříd podle míry rizika porušení práv a zájmů subjektů údajů (malá, střední, vysoká a velmi vysoká míra porušení) a v závislosti na tom jsou stanoveny požadavky na odpovídající technická a organizační opatření k zabezpečení osobních údajů, resp. kamerových systémů, které osobní údaje zpracovávají.
Z praktického hlediska jsou velkým přínosem vzory obsažené ve třech přílohách metodiky, jedná se o:
- Příklad informace o zpracování osobních údajů prostřednictvím kamerového záznamu nebo prostřednictvím sledování obrazu kamer,
- Příklad záznamu o činnostech zpracování, a
- Příklad balančního testu kamerového systému.
Posledně zmíněná příloha je poměrně obsáhlá a je otázkou, zda bude v praxi v tomto rozsahu využívána. Nicméně jako příklad nepochybně dobře poslouží a jak je zmíněno níže, metodika není závazná.
Z praktického hlediska je zajímavá i část metodiky popisující úplnou dokumentaci ke kamerovým systémům, tedy dokumenty ke kamerovému systému, které by měl mít k dispozici každý správce, který provozuje kamerový systém. Je to jedno z vodítek, které by mělo signalizovat, zda správce své povinnosti plní či nikoliv. Při případné kontrole je jisté, že ÚOOÚ bude obdobnou dokumentaci požadovat a pokud ji správce k dispozici nemá, znamená to, že své povinnosti zřejmě neplní.
Nicméně je třeba zdůraznit to, co říká i sám ÚOOÚ na svých stránkách k metodice i v samotné metodice (viz odkazy níže), tedy že uvedená metodika není právně závazným dokumentem a správci osobních údajů mohou k zajištění plnění povinností stanovených Obecným nařízením o ochraně osobních údajů využít i jiné metody nebo postupy, přičemž mohou využít jen některé části metodiky a zbytek požadavků řešit odlišně. V zásadě je tedy na správcích, jakým způsobem zajistí, aby plnili své povinnosti stanovené Obecným nařízením o ochraně osobních údajů (GDPR) a Pokynů EDPB č. 3/2019. Podle ÚOOÚ by správná aplikace metodiky měla zaručit soulad jak s Obecným nařízením (GDPR), tak i s uvedenými Pokyny Evropského sboru pro ochranu osobních údajů (EDPB).
Každý správce, který provozuje kamerový systém a zpracovává osobní údaje ve smyslu GDPR, by si měl metodiku alespoň přečíst, zkontrolovat svou dokumentaci ke kamerovému systému a porovnat ji s doporučeními a seznamem úplné dokumentace v metodice ÚOOÚ. Pokud zjistíte nedostatky, řešte je hned, při případné kontrole už by mohlo být pozdě, zejména pokud vám některé dokumenty úplně chybí. Dokumentaci byste měli mít k dispozici ještě před zahájením zpracování, tedy před uvedením kamerového systému do provozu. Pro přípravu dokumentace potřebné k provozování kamerového systému a pro další konzultace jsme Vám k dispozici.
Stručná informace ÚOOÚ k metodice je dostupná zde: https://uoou.gov.cz/novinky/vse/nova-metodika-uradu-ke-kamerovym-systemum
Metodika je dostupná zde: Metodika ÚOOÚ ke kamerovým systémům
