Na začátku letošního února vydal Úřad pro ochranu osobních údajů novou metodiku k provozování kamerových systémů. Jak správně kamerový systém provozovat?
GDPR: Metodika a vzorové dokumenty
Původní metodika vydaná Úřadem pro ochranu osobních údajů byla z roku 2012, nezohledňovala tedy evropské nařízení GDPR ani stanovisko Evropského sboru pro ochranu osobních údajů z roku 2019 ke kamerovým systémům.
„Veřejná konzultace k metodice proběhla již v průběhu dubna, května a června 2023,“ uvádí advokátka Gabriela Donati z advokátní kanceláře Donati Legal. „V metodice naleznete jednak pokyny k tomu, co vše pod kamerový systém spadá (tj. zpracování obrazu, řízení systému kamer, bezpečnost, technická a organizační opatření aj.), ale také definici jednotlivých stupňů identifikace osoby (monitorování, zjištění, pozorování, rekognoskace, identifikace a prozkoumání), kdy se ke každému stupni váže určitý způsob vymezení a zajištění ochrany osobních údajů,“ dodává advokátka.
GDPR a nová metodika se vztahuje i na online kamery, tedy ty, z nichž není pořizován záznam. Toto pravidlo vyplývá již ze stanoviska Evropského sboru pro ochranu osobních údajů z roku 2019, čímž došlo k překonání dřívějšího názoru českého úřadu.
Cedule v bytovém domu nestačí
Podle metodiky je třeba postupovat při zpracování osobních údajů v souladu se základními zásadami GDPR. Jednou z těchto zásad je transparentnost zpracování – subjekt údajů musí být informován o tom, že ke zpracování jeho osobních údajů dochází.
K porušení pravidel dochází často například v bytových domech. „Sice se vyvěsí cedulka kamery, ale už nejsou poskytnuty žádné doplňující informace, ani kontakt, kde se obyvatelé domu mohou dozvědět podrobnější informace. Velice často to končí u vyvěšené cedulky,“ říká advokát Jiří Hradský z advokátní kanceláře Sedláková Legal.
Podle Úřadu pro ochranu osobních údajů je nutno zajistit informační povinnost na dvou úrovních – základní informace obsahuje informační tabulka, ta však musí říci, kde se lze seznámit s podrobnou informací.
Tabulkou musí být člověk upozorněn na kamerový systém ještě před vstupem do záběru kamery. Tabulka by měla být ve výšce očí a dobře čitelná, obsahovat alespoň piktogram či obrázek kamery, dále informaci, že prostor je monitorován kamerovým systémem, identifikaci správce a odkaz na kontaktní osobu a místo, kde je možné (v písemné či digitální podobě) získat další informace o kamerovém systému.
„Vzhled informační tabulky není předepsán, je však nezbytné, aby písmo bylo dobře čitelné, takže volba fontu, typu a velikosti písma hraje významnou roli. Piktogram a text o tom, že prostor je monitorován kamerovým systémem musí být čitelný i z větší vzdálenosti (cca 2-5 metrů),“ uvádí Úřad pro ochranu osobních údajů v metodice.
Osobní údaje, přístup k záznamům a délka uchovávání
Další zásadou GDPR je minimalizace zpracování osobních údajů. Posouzení, v jakém rozsahu je pro zajištění daného účelu osobní údaje prostřednictvím kamer zpracovávat, se provádí v rámci balančního testu. Zde se vyhodnocuje například počet a umístění kamer, nastavení jejich záběru, režim záznamu, možnost deaktivace některých funkcí kamer (např. vypnutí zvuku) nebo doba uložení.
U bytových domů je podle Jiřího Hradského třeba pohlídat především počet a rozmístění kamer včetně odůvodnění, proč jsou nainstalovány právě tam. „Setkáváme se s tím, že bytové domy mnohdy nejsou schopny odůvodnit nezbytnost kamerového systému. Mnohdy se instaluje tam, kde nedochází k žádné trestné činnosti, kamery jsou namířeny na vstupy do bytů, a podobně,“ říká advokát. K tomu všemu je třeba nachystat interní dokumentaci a určit, kdo bude mít přístup k pořízeným záznamům.
„Pakliže pracujete s kamerovými systémy se záznamem, je nutné udržovat zpracované údaje přesné a aktualizované. Taktéž by uschování údajů ve většině případů nemělo přesáhnout 72 hodin. Přístup k záznamům musí mít pouze oprávněné subjekty,“ připomíná Gabriela Donati. „Nezapomeňte, že méně je zde více, a tak pokud je určité zpracování nadbytečné, nemělo by k němu docházet. Naplnění těchto zásad dosáhnete mimo jiné balančním testem. Druhým testem, který správce údajů provádí, je analýza rizik a přijatá opatření k jejich minimalizaci (DPIA),“ uzavírá Donati.