"Tento prostor je monitorován kamerovým systémem" Cedulka, kterou můžeme vidět několikrát denně v různých formách a zobrazeních. S různými známkami opotřebování, stáří, poškození. Visí na zdech bytových domů, před prodejnou elektra, na autobusové zastávce v obci.
Víte ale, že správně by za takovou cedulkou měla stát celá škála procesů, které zajistí, že je takový kamerový systém v souladu s GDPR?
Pojďte s námi nahlédnout za oponu správného nastavení GDPR při využívání kamerového systému. Pozornost by měli zvýšit zejména ti z vás, kteří:
V souvislosti se zavedením kamerového systému a GDPR jsme připravili webinář. Podívat se na něj můžete zde ↗.
Celý proces zavedení kamerového systému začíná ještě před tím, než se začne chystat jakákoliv dokumentace. U samotného výběru dodavatele kamer a technického řešení kamer.
K tomu je potřeba si odpovědět na základní otázku: "K čemu má kamerový systém sloužit?"
Budete prostřednictvím kamerového systému předcházet krádežím v bytovém domě? Docházelo v minulosti k vandalismu? Chcete hlídat, zda je dodržována BOZP na pracovišti?
Právě odpověď na obdobné otázky by vám měla pomoct rozhodnout se, jaký kamerový systém budete potřebovat a v jakém rozsahu jej budete chtít využívat. V mnoha případech vám totiž bude stačit pouhý záznam, bez zvuku, bez různých AI vylepšení apod. Zároveň vám toto pomůže určit, kolik kamer bude potřeba a kde budou umístěny.
A nezapomeňte na základní poučku: "Pokud je nějaká část zpracování nadbytečná, neměli byste zpracování provádět."
Pozor, dodavatelé kamerových systému často uvádí, že vám ke kamerám dodají také GDPR ready dokumentaci. Nenechte si však nasazené růžové brýle, protože často je dodána pouze ona výše zmíněna cedulka. A ta samotná bohužel nestačí.
Musíte. Nový návrh metodiky vydaný Úřadem pro ochranu osobních údajů stanovuje, že i kamerový systém využívaný v režimu online představuje zpracování osobních údajů, což vyplývá z pokynů Evropského sboru pro ochranu osobních údajů. Takže i když jen aktivně sledujete na obrazovkách svých mobilů živý záznam, zpracováváte osobní údaje a GDPR musíte řešit.
Představme si celý proces na velmi typickém příkladu. SVJ (Společenství vlastníků jednotek) se rozhodne ve svém bytovém domě nainstalovat kamery. Vede je k tomu zejména skutečnost, že se v posledních 6 měsících setkali s třemi pokusy o vykradení sklepů a soustavně jim vandalové ničí fasádu na domě.
SVJ se tak rozhodne nakoupit a nainstalovat kamery:
S takto nastavenými kamerami musí SVJ připravit následující dokumentaci:
Chcete připravit nezbytnou dokumentaci? Podívejte se na nabídku našich služeb na přípravu dokumentace pro kamerový systém ↗.
GDPR je postaveno na principu odpovědnosti správce. Tento princip se promítá do toho, že správce osobních údajů musí zaznačit jakékoliv myšlenkové postupy, které ho vedly k tomu, proč nastavil zpracování osobních údajů tak, jak jej nastavil.
Právě tento princip se zásadně promítá do přípravy balančního testu a tzv. DPIA (posouzení vlivu na ochranu osobních údajů).
Z povahy kamerového systému je naprosto zřejmé, že svým provozem zasahuje do soukromí. Soukromí obyvatel domů, občanů obce, návštěvníků obchodů, zaměstnanců. Aby bylo zpracování zákonné a v souladu, je potřeba tzv. vybalancovat práva provozovatele kamer a práva subjektů údajů. K tomu právě slouží balanční test. Jedná se o dokument, ve kterém správce (provozovatel kamer) posuzuje, proč jeho práva převažují nad právy subjektů údajů, co jej opravňuje k provozování kamerového systému a jaká opatření přijal a posoudil při zavádění kamerového systému.
Velmi jednoduše v tomto dokumentu provozovatel musí odůvodnit, proč jeho zájem na provozu kamer převažuje nad právem na soukromí zaznamenaných osob. Musí v odůvodnění vzít v potaz náklady, alternativy, rizika, limitace uplatnění práv subjektů apod.
Druhým bodem je poté provedení DPIA. Velmi zjednodušeným způsobem se jedná o analýzu rizik a jejich minimalizaci. Svou podstatou se jedná o podobnou věc, jako balanční test, jen s tím rozdílem, že v rámci DPIA je potřeba přesně popsat, jak je zpracování rizikové a co správce přijal, aby tato rizika minimalizoval na maximum (skvělé slovní spojení!).
DPIA má dvě části. Prvotní posouzení, zda je vůbec potřeba (spoiler alert - často potřeba není) a druhotné samotné posouzení dopadů.
Další veledůležitou částí je informování subjektů údajů. Informace pro lidi ale musí být srozumitelné, snadno dostupné a transparentní. V čl. 13 GDPR je výčet informací, které by subjekt údajů měl dostat. Představa, že se všechny informace subjektům poskytnout na první dobrou je nereálná. Z tohoto důvodu je nejvhodnější informační dokumentaci navrstvit - ideálně do dvou vrstev.
První vrstva by měla být přístupná viditelně v monitorovaném prostoru a měla by obsahovat:
Druhá vrstva poté musí podrobně popsat zpracování, včetně příjemců, doby zpracování, všech práv a specifik jejich uplatnění. V kontextu SVJ může být tento dokument poskytnut například na vyžádání subjektem, kde žádost subjekt zašle na e-mail SVJ.
Nachystáme vám informační dokumenty, včetně informační cedulky. Podívejte se na naše služby ↗.
Dalším dokumentem, který je potřeba připravit, je příprava procesního dokumentu, ve kterém se nastaví pravidla pro ukládání záznamů, přístupu k těmto záznamům, mlčenlivost, vyřizování práv (například jak postupovat, pokud bude chtít někdo získat kopii nahrávky z kamerového systému), komunikaci s orgány veřejné moci (při spácání trestného činu apod.).
Procesní dokument je možné přijmout formou směrnice a seznámit s ním celé SVJ. Zároveň by v dokumentu měla existovat pravidla pro jmenovanou odpovědnou osobu, která bude mít kamerový systém na starost.
Nezapomeňte, že ke kamerovým záznamům by měl mít přístup pouze velmi omezený počet osob, záznamy ideálně ukládány pouze lokálně na záznamovém zařízení a jakýkoliv přístup by měl být evidován. To vše můžete popsat právě v procesní dokumentaci. Pokud záznamové zařízení neumožňuje mazat záznamy automaticky (což mnohy umožňuje), je potřeba nastavit také pravidla pro mazání záznamů. Teď se určitě ptáte:
V případě SVJ by to nemělo být déle než 7 dnů. Ale je to na vás. Zákon to nikde neříká. Přesnou dobu uložení je potřeba obhájit. Proč je právě takto dlouhá. Standardem je právě 7 dnů, kdy je pravděpodobné, že v této době bude SVJ schopno zjistit, že došlo třeba ke krádeži a záznam si pro účely řešení trestného činu stáhnout.
Pokud ale bude existovat například externí ostraha, která má přístup k záznamům 24/7, neměla by doba uložení přesahovat 24 hodin.
Univerzální pravidlo nikde nenajdete a je vždy na vás, jak obhájit právě vámi nastavenou dobu uložení.
Posledním nezbytným dokumentem jsou záznamy o činnostech zpracování. Jedná se o evidenci dané činnosti zpracování a základní přehled, co, jak, proč a kde se děje. Představte si to jako jednoduchou tabulku v excelu, kde vyplníte základní náležitosti vyžadované čl. 30 GDPR.
Výše uvedené slouží jako základní přehled toho, na co byste neměli zapomenout. Samozřejmě mohou nastat specifika.
Na provoz kamerového systému můžete mít externí firmu. Pak nezapomeňte na zpracovatelskou smlouvu.
Můžete mít jmenovaného pověřence pro ochranu osobních údajů. Pak ho nezapomeňte zapojit do procesu nastavování kamer.
Myslete také na to, že byste nikdy neměli zabírat více prostoru, než kolik je pro daný účel potřeba. Jinými slovy, prostě kamery nesměřujte na jednotlivé vchody v bytovém domě. Nedávejte je na toalety, převlékárny a podobně.
Zavedení kamerového systému není složité, pokud jsou dopředu zvažovány dopady, které snímání může mít na subjekty údajů. Pak mohou sloužit jako skvělý nástroj například pro odhalování trestné činnosti.
Chcete nastavit dokumentaci? Pojďte do toho s námi a kontaktujte nás.
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.