Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil v únoru 2024 Metodiku ke zpracování osobních údajů v kamerových systémech. Metodika řeší online kamery a kamery se záznamem, dobu uchování záznamu, informační povinnost i zabezpečení.
Do působnosti GDPR jsou zařazeny ty kamery či kamerové systémy, které zachycují fyzické osoby způsobem, který je obvykle umožňuje identifikovat, rozeznat. Pokud jakákoliv postava v záběru zabírá nebo může zabírat, například po využití funkce zoom, 25 % a více obrazu, resp. pokud na jeden pixel obrazu připadá méně než 40 mm reálné výšky postavy, jde o zpracování osobních údajů v režimu GDPR. Zohlednit je nutné i další faktory, například obvyklé světelné podmínky, chování osob a jejich rozlišitelnost atd., ale základní rozlišovací hranicí je právě ale uvedená hranice 25 % obrazu.
Pokud zachycené fyzické osoby zabírají na přenášených záznamech menší prostor, o zpracování osobních údajů v režimu GDPR se nejedná. Jestliže kamery či jiná monitorovací zařízení mohou zabírat fyzické osoby s tímto či vyšším rozlišením, pak se na ně GDPR uplatní, bez ohledu na konkrétní technické řešení, tzn. ať už se jedná o kamery se záznamem, online kamery či fotopasti.
Metodika ÚOOÚ se dále zabývá hlavními GDPR principy pro zpracování dat a jejich uplatnění na kamery a další sledovací zařízení. ÚOOÚ v metodice uvádí typické legitimní účely pro zpracování osobních údajů kamerami, jimiž jsou zvýšení ochrany majetku, zvýšení bezpečnosti osob, shromažďování a uchovávání informací pro řešení pojistných událostí a prevence mimořádných událostí (spíše jako podpůrný účel).
Právními tituly ke zpracování osobních údajů prostřednictvím kamer jsou oprávněný zájem správce či zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu. Zejména pro aplikaci oprávněného zájmu metodika formuluje detailní postup pro sestavení tzv. balančního testu, tedy jak vyhodnotit, zda zájmy provozovatele kamerového systému skutečně převáží zájmy a práva dotčených osob.
Z praktického hlediska je důležité i uplatnění principu minimalizace údajů podle čl. 5 odst. 1 písm. c) GDPR. Kamerový systém by proto měl být nastaven tak, aby do soukromí monitorovaných osob zasahoval pouze jen v nezbytné míře. Kamery proto nesmí zabírat prostory či činnosti, které nejsou, s ohledem na výše uvedené účely, nezbytné.
Metodika k tomu konkrétně uvádí, že princip minimalizace je u kamerového systému nutno reflektovat mj. při rozhodování o počtu a umístění kamer, nastavení záběru kamer, režimu kamerového systému, de/aktivování některých funkcí (otáčení kamer, pořizování zvukového záznamu, zachycování biometrických charakteristik atd.) či době uložení kamerového záznamu.
Podle Metodiky je nutné dobu uchování záznamu z kamer, jsou-li pořizovány, nastavit tak, aby odpovídala i dalším podmínkám organizace, např. režimem, ve kterém je k záznamům přistupováno, v případě možné delší nepřítomnosti osob oprávněných přistupovat k záznamu nebo i například délkou reklamační lhůty, pokud kamera zabírá například přípravu a expedici zboží. V každém případě však provozovatel kamerového systému musí důvody pro nastavení konkrétní lhůty dokumentovat a být schopen je obhájit.
Co se týče plnění informační povinnosti, ÚOOÚ v Metodice potvrzuje přípustnost, resp. vhodnost postupného (vrstveného) poskytování informací o zpracování osobních údajů osob zachycených na kamerových záznamech. Prvním krokem je informační štítek/tabule u vstupu do monitorovaných prostor. Ve druhé fázi, na vyžádání konkrétní osoby, je správce povinen k prováděnému zpracování osobních údajů poskytnout i podrobnější informace.
Podle Metodiky měla informační tabule u vstupu do monitorovaných prostor obsahovat piktogram či obrázek kamery, informaci, že prostor je monitorován kamerou, identifikaci správce údajů a kontaktní osoby, odkaz na detailní informace o zpracování, hrnutí účelu a právního důvodu ke zpracování údajů a stručnou informaci o právech dotčené osoby (např. odkaz na podrobnější poučení či QR kód, kde je podrobnější poučení k dispozici).
V detailní informaci poskytnuté na vyžádání dotčené osoby pak metodika doporučuje, aby správce poskytl kromě informací požadovaných čl. 13 GDPR i další dodatečné informace o kamerovém systému.
Metodika se zabývá i zabezpečením kamer, kamerových systémů, přenosových soustav a datových úložišť. Metodika rozděluje kamery do 4 kategorií, podle hrozící míry narušení práv dotčených osob, k jednotlivým kategoriím pak Metodika doporučuje vhodná bezpečnostní opatření, od technických, např. detekce selhání kamerového systému, ochrana kamer a datového připojení či ochrana před škodlivými kódy, přes organizační opatření, jako je řízení přístupu ke kamerám a záznamu, až po opatření administrativní, typicky zpracování.
V metodice jsou rovněž analyzovány další povinnosti, které provozovatelům kamer z GDPR vyplývají. Například jak upravit vztah se zpracovatelem osobních údajů, v kontextu kamerových systémů typicky externí společností, která bude kamerový systém provozovat, jak realizovat práva dotčených osob (právo na přístup k osobním údajům – záznamu z kamer, právo na výmaz či právo na opravu osobních údajů atd.) nebo jak řídit a oznamovat bezpečnostní incidenty s dopadem na osobní data zpracovávaná pomocí kamer.
Důležitou součástí metodiky jsou také vzory dokumentů nutných ke správnému nastavení a doložení souladu kamer s GDPR. Jedná se konkrétně o:
- Šablonu informace o zpracování osobních údajů prostřednictvím kamer;
- Vzor záznamu o činnosti zpracování osobních údajů kamerovým systémem;
- Příklad balančního testu pro nasazení kamerového systému v bytovém domě.
Metodika sice není závazná, ale je to vhodný nástroj pro nastavení kamer v souladu s GDPR a pro doložení plnění povinností správce v oblasti používání kamerových záznamů, např. při kontrole ÚOOÚ či při interním auditu. Pokud se provozovatel kamerového systému rozhodne, že se Metodikou nebo některou její části nebude řídit, měl by toto své rozhodnutí zdůvodnit a být schopen obhájit, že své GDPR povinnosti dostatečně plní i jiným způsobem.
Pokud budete mít zájem o bližší informace o Metodice ke zpracování osobních údajů v kamerových systémech, případně jakýkoliv další dotaz z oblasti ochrany a zpracování osobních údajů, kontaktujte prosím autorku článku Mgr. Barboru Prokůpkovou na b.prokupkova@advokatvam.cz.
Advokátní kancelář Vítek Mrázek Kramný s.r.o.
Mgr. Barbora Prokůpková, advokátka