"Tento prostor je monitorován kamerovým systémem" Cedulka, kterou můžeme vidět několikrát denně v různých formách a zobrazeních. S různými známkami opotřebení, stáří, poškození. Visí na zdech bytových domů, před prodejnou elektra, na autobusové zastávce v obci.
Víte ale, že správně by za takovou cedulkou měla stát celá škála procesů, které zajistí, že je takový kamerový systém v souladu s GDPR?
Pojďte s námi nahlédnout za oponu správného nastavení GDPR při využívání kamerového systému. Zpozornět by měli hlavně ti, kteří:
O kamerách a GDPR jsme mluvili na webináři. Podívejte se na něj zde.
Celý proces zavedení kamerového systému začíná ještě před tím, než se začne chystat jakákoliv dokumentace. U samotného výběru dodavatele kamer a technického řešení.
K tomu je potřeba odpovědět si na základní otázku: "K čemu má můj kamerový systém sloužit?"
Budete prostřednictvím kamerového systému předcházet krádežím v bytovém domě? Docházelo v minulosti k vandalismu? Chcete hlídat, zda je dodržována BOZP na pracovišti?
Právě odpověď na obdobné otázky by vám měla pomoct rozhodnout se, jaký kamerový systém budete potřebovat a v jakém rozsahu jej budete chtít využívat. V mnoha případech vám totiž bude stačit pouhý záznam, bez zvuku a bez různých AI vylepšení. Zároveň vám toto pomůže určit, kolik kamer bude potřeba a kde budou umístěny.
A nezapomeňte na základní GDPR poučku: "Pokud je nějaká část zpracování nadbytečná, neměli byste zpracování provádět."
💡Pozor! Dodavatelé kamer často uvádí, že dodají i GDPR ready dokumentaci. Nenechte se zmást, protože často je dodána pouze zmíněná cedulka. A ta nestačí.
Musíte. Nový návrh metodiky vydaný Úřadem pro ochranu osobních údajů stanovuje, že i kamerový systém využívaný v režimu online představuje zpracování osobních údajů, což vyplývá z pokynů Evropského sboru pro ochranu osobních údajů. Takže i když jen aktivně sledujete na obrazovkách svých mobilů živý záznam, zpracováváte osobní údaje a GDPR musíte řešit.
Představme si celý proces na velmi typickém příkladu. SVJ (Společenství vlastníků jednotek) se rozhodne ve svém bytovém domě nainstalovat kamery. Vede jej k tomu skutečnost, že se v posledních 6 měsících setkali se třemi pokusy o vykradení sklepů a soustavně jim vandalové ničí fasádu na domě.
SVJ se proto rozhodne nakoupit a nainstalovat kamery:
S takto nastavenými kamerami musí SVJ připravit i následující dokumentaci:
Chcete potřebnou dokumentaci? Podívejte se, jak připravujeme dokumentaci pro kamerový systém.
GDPR je postaveno na principu odpovědnosti správce. Tento princip říká, že správce osobních údajů musí zaznačit jakékoliv myšlenkové postupy, které ho vedly k tomu, proč nastavil zpracování osobních údajů tak, jak jej nastavil.
Právě tento princip se zásadně promítá do přípravy balančního testu a tzv. DPIA (posouzení vlivu na ochranu osobních údajů).
Z povahy kamerového systému je zřejmé, že svým provozem zasahuje do soukromí. Soukromí obyvatel domů, občanů obce, návštěvníků obchodů, zaměstnanců. Aby bylo zpracování zákonné a v souladu, je potřeba tzv. vybalancovat práva provozovatele kamer a práva subjektů údajů. A k tomu slouží balanční test. Jedná se o dokument, ve kterém správce (provozovatel kamer) posuzuje, proč jeho práva převažují nad právy subjektů údajů, co jej opravňuje k provozování kamerového systému a jaká opatření přijal a posoudil při zavádění kamerového systému.
Velmi jednoduše v tomto dokumentu provozovatel musí odůvodnit, proč jeho zájem na provozu kamer převažuje nad právem na soukromí zaznamenaných osob. Musí v odůvodnění vzít v potaz náklady, alternativy, rizika, limitace uplatnění práv subjektů apod.
Druhým bodem je poté provedení DPIA. Velmi zjednodušeným způsobem se jedná o analýzu rizik a jejich minimalizaci. Svou podstatou se jedná o podobnou věc, jako balanční test, jen s tím rozdílem, že v rámci DPIA je potřeba přesně popsat, jak je zpracování rizikové a co správce přijal, aby tato rizika minimalizoval na maximum (skvělé slovní spojení, že?).
DPIA má dvě části. Prvotní posouzení, zda je vůbec potřeba (spoiler alert – často potřeba není) a druhotné samotné posouzení dopadů.
Další důležitou částí je informování subjektů údajů. Informace pro lidi ale musí být srozumitelné, snadno dostupné a transparentní. V čl. 13 GDPR je výčet informací, které by subjekt údajů měl dostat. Představa, že se všechny informace subjektům poskytnout na první dobrou je nereálná. Z tohoto důvodu je nejvhodnější informační dokumentaci navrstvit – ideálně do dvou vrstev.
První vrstva by měla být viditelná v monitorovaném prostoru a měla by obsahovat:
Druhá vrstva poté musí podrobně popsat zpracování, včetně příjemců, doby zpracování, všech práv a specifik jejich uplatnění. V kontextu SVJ může být tento dokument poskytnut například na vyžádání subjektem, kde žádost subjekt zašle na e-mail SVJ.
Nachystáme vám informační dokumenty, včetně informační cedulky. Podívejte se na naše služby ↗.
Dalším dokumentem, který je potřeba připravit, je příprava procesního dokumentu, ve kterém se nastaví pravidla pro ukládání záznamů, přístupu k těmto záznamům, mlčenlivost, vyřizování práv (například jak postupovat, pokud bude chtít někdo získat kopii nahrávky z kamerového systému), komunikaci s orgány veřejné moci (při spácání trestného činu apod.).
Procesní dokument je možné přijmout formou směrnice a seznámit s ním celé SVJ. Zároveň by v dokumentu měla existovat pravidla pro jmenovanou odpovědnou osobu, která bude mít kamerový systém na starost.
Nezapomeňte, že ke kamerovým záznamům by měl mít přístup pouze velmi omezený počet osob, záznamy ideálně ukládány pouze lokálně na záznamovém zařízení a jakýkoliv přístup by měl být evidován. To vše můžete popsat právě v procesní dokumentaci. Pokud záznamové zařízení neumožňuje mazat záznamy automaticky (což mnohy umožňuje), je potřeba nastavit také pravidla pro mazání záznamů. Teď se určitě ptáte:
V případě SVJ by to nemělo být déle než 7 dnů. Ale je to na vás. Zákon to nikde neříká. Přesnou dobu uložení je potřeba obhájit. Proč je právě takto dlouhá. Standardem je právě 7 dnů, kdy je pravděpodobné, že v této době bude SVJ schopno zjistit, že došlo třeba ke krádeži a záznam si pro účely řešení trestného činu stáhnout.
Pokud ale bude existovat například externí ostraha, která má přístup k záznamům 24/7, neměla by doba uložení přesahovat 24 hodin.
Univerzální pravidlo nikde nenajdete a je vždy na vás, jak si obhájit právě vámi nastavenou dobu uložení.
Posledním nezbytným dokumentem jsou záznamy o činnostech zpracování. Jedná se o evidenci dané činnosti zpracování a základní přehled, co, jak, proč a kde se děje. Představte si to jako jednoduchou tabulku v excelu, kde vyplníte základní náležitosti vyžadované čl. 30 GDPR.
Výše uvedené slouží jako základní přehled toho, na co byste neměli zapomenout.
Na provoz kamerového systému můžete mít externí firmu. Pak nezapomeňte na zpracovatelskou smlouvu.
Můžete mít také jmenovaného pověřence pro ochranu osobních údajů. Pak ho nezapomeňte zapojit do procesu nastavování kamer.
Myslete také na to, že byste nikdy neměli zabírat více prostoru, než kolik je pro daný účel potřeba. Jinými slovy, kamery nesměřujte na jednotlivé vchody v bytovém domě. Nedávejte je nikdy na toalety, převlékárny a podobná citlivá místa.
Zavedení kamerového systému není složité, pokud jsou dopředu zvažovány dopady, které snímání může mít na subjekty údajů. Pak mohou sloužit jako skvělý nástroj například pro odhalování trestné činnosti.
Chcete také nastavit dokumentaci ke kamerám? Pojďte do toho s námi a ozvěte se.
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.
