Jak nastavit GDPR při zavedení kamerového systému?

"Tento prostor je monitorován kamerovým systémem". Cedulka, kterou můžeme vidět několikrát denně v různých formách a zobrazeních. S různými známkami opotřebování, stáří, poškození. Visí na zdech bytových domů, před prodejnou elektra, na autobusové zastávce v obci.

Víte ale, že správně by za takovou cedulkou měla stát celá škála procesů, které zajistí, že je takový kamerový systém v souladu s GDPR?

Pojďte s námi nahlédnout za oponu správného nastavení GDPR při využívání kamerového systému. Pozornost by měli zvýšit zejména ti, kteří:

  • v rámci společenství vlastníků jednotek (SVJ) provozují kamerové systémy;
  • v obci chtějí zavést kamery;
  • pro své podnikání chystají kamerový systém;
  • chtějí zavést kamery na pracovišti.

Vše začíná správným rozhodnutím

Celý proces zavedení kamerového systému začíná ještě před tím, než se začne chystat jakákoliv dokumentace. U samotného výběru dodavatele kamer a technického řešení kamer.

K tomu je potřeba odpovědět si na základní otázku: "K čemu má kamerový systém sloužit?"

Budete prostřednictvím kamerového systému předcházet krádežím v bytovém domě? Stal se váš majetek v minulosti cílem vandalů? Chcete hlídat, zda je dodržována BOZP na pracovišti?

Právě odpověd na obdobné otázky by vám měla pomoct rozhodnout se, jaký kamerový systém budete potřebovat a v jakém rozsahu jej budete chtít využívat. V mnoha případech vám totiž bude stačit pouhý záznam, bez zvuku, bez různých AI vylepšení apod.

Při rozhodování nezapomeňte na základní poučku: "Pokud je nějaká část zpracování nadbytečná, neměli byste zpracování provádět."

Pozor, dodavatelé kamerových systému často uvádí, že vám ke kamerám dodají také GDPR ready dokumentaci. Nenechte si však nasazené růžové brýle, protože často je dodána pouze ona výše zmíněna cedulka. A ta samotná bohužel nestačí.

Kamera funguje jen on-line, takže nemusím řešit?

Musíte. Nový návrh metodiky vydaný Úřadem pro ochranu osobních údajů stanovuje, že i kamerový systém využívaný v režimu online představuje zpracování osobních údajů, což vyplývá z pokynů Evropského sboru pro ochranu osobních údajů. Takže i když jen aktivně sledujete na obrazovkách svých mobilů živý záznam, zpracováváte osobní údaje a GDPR řešit musíte.

GDPR, kamery a dokumentace

Představme si celý proces na velmi typickém příkladu. SVJ (společenství vlastníků jednotek) se rozhodne ve svém bytovém domě naistalovat kamery. Vede je k tomu zejména skutečnost, že se v posledních 6 měsících setkali s třemi pokusy o vykradení sklepů a soustavně jim vandalové ničí fasádu na domě.

SVJ se tak rozhodne nakoupit a nainstalovat kamery:

  • Ke vstupním dveřím
  • Do vstupu do sklepních prostor
  • Na fasádu domu

S takto nastavenými kamerami musí SVJ připravit následující dokumentaci:

  • Balanční test a DPIA
  • Informační dokumentaci
  • Interní procesní pravidla pro správu kamerového systému
  • Záznamy o činnostech zpracování
Chcete připravit nezbytnou dokumentaci? Podívejte se na nabídku našich služeb na přípravu dokumentace pro kamerový systém ↗.

Balanční test a DPIA

GDPR je postaveno na principu odpovědnosti správce. Tento princip se promítá do toho, že správce osobních údajů musí zaznačit jakékoliv myšlenkové postupy, které ho vedly k tomu, proč nastavil zpracování osobních údajů tak, jak jej nastavil.

Právě tento princip se zásadně promítá do připravy balančního testu a tzv. DPIA (posouzení vlivu na ochranu osobních údajů).

Z povahy kamerového systému je naprosto zřejmé, že svým provozem zasahuje do soukromí. Obyvatel domů, občanů obce, návštěvníků obchodů, zaměstnanců. Aby bylo zpracování zákonné a v souladu, je potřeba tzv. vybalancovat práva provozovatele kamer a práva subjektů údajů. K tomu právě slouží balanční test. Jedná se o dokument, ve kterém správce (provozovatel kamer) posuzuje, proč jeho práva převažují nad právy subjektů údajů, co jej opravňuje k provozování kamerového systému a jaká opatření přijal a posoudil při zavádění kamerového systému.

Velmi jednoduše v tomto dokumentu provozovatel musí odůvodnit, proč jeho zájem na provozu kamer převažuje zájem na soukromí zaznamenaných osob. Musí v odůvodnění vzít v potaz náklady, alternativy, rizika, limitace uplatnění práv subjektů apod.

Druhým bodem je poté provedení DPIA. Velmi zjednodušeným způsobem se jedná o analýzu rizik a jejich minimalizaci. Svou podstatou se jedná o podobnou věc, jako balanční test, jen s tím rozdílem, že v rámci DPIA je potřeba přesně popsat, jak je zpracování rizikové a co správce přijal, aby tato rizika minimalizoval na maximum (skvělé slovní spojení!).

Informační dokumentace je jako cibule - má vrstvy

GDPR a informace o zpracování osobních údajů

Další veledůležitou částí je informování subjektů údajů. Informace pro lidi ale musí být srozumitelné, snadno dostupné a transparentní. V čl. 13 GDPR je výčet informací, které by subjekt údajů měl dostat. Představa, že se všechny informace subjektům poskytnou na první dobrou je nereálná. Z tohoto důvodu je nejvhodnější informační dokumentaci navrstvit.

První vrstva by měla být přístupná viditelně v monitorovaném prostoru a měla by obsahovat:

  • grafické znázornění (piktogram), že je prostor monitorován;
  • kdo je správce osobních údajů;
  • odkaz na kontaktní osobu;
  • informaci, kde subjekt najde podrobné informace;
  • účel zpracování;
  • informace o právech subjektů, alespoň obecně.

Druhá vrstva poté musí podrobně popsat zpracování, včetně příjemců, doby zpracování, všech práv a specifik jejich uplatnění. V kontextu SVJ může být tento dokument poskytnut například na vyžádání subjektem, kde žádost subjekt zašle na e-mail SVJ.

Nachystáme vám informační dokumenty, včetně informační cedulky. Podívejte se na naše služby ↗.

Procesní pravidla - jak vyřizovat práva a mazat záznamy

Dalším dokumentem, který je potřeba připravit, je příprava procesního dokumentu, ve kterém se nastaví pravidla pro ukládání záznamů, přístupu k těmto záznamům, mlčenlivost, vyřizování práv (například jak postupovat, pokud bude chtít někdo získat kopii nahrávky z kamerového systému), komunikaci s orgány veřejné moci (při spáchání trestného činu apod.).

Procesní dokument je možné přijmout formou směrnice a seznámit s ním celé SVJ. Zároveň by v dokumentu měla existovat pravidla pro jmenovanou odpovědnou osobu, která bude mít kamerový systém na starost.

Nezapomeňte, že ke kamerovým záznamům by měl mít přístup pouze velmi omezený počet osob, záznamy by ideálně měly být ukládány pouze lokálně na záznamovém zařízení a jakýkoliv přístup by měl být evidován. To vše můžete popsat právě v procesní dokumentaci. Pokud záznamové zařízení neumožňuje mazat záznamy automaticky (což mnohy umožňuje), je potřeba nastavit také pravidla pro mazání záznamů. Teď se určitě ptáte:

Jak dlouho uchovávat záznamy?

V případě SVJ by to nemělo být déle než 7 dnů. Ale je to na vás. Zákon to nikde neříká. Přesnou dobu uložení je ale potřeba obhájit. Proč je právě takto dlouhá. Standardem je právě 7 dnů, kdy je pravděpodobné, že v této době bude SVJ schopno zjistit, že došlo třeba ke krádeži a záznam si pro účely řešení trestného činu stáhnout.

Pokud ale bude existovat například externí ostraha, která má přístup k záznamům 24/7, neměla by doba uložení přesahovat 24 hodin.

Univerzální pravidlo nikde nenajdete a je vždy na vás, jak obhájit právě vámi nastavenou dobu uložení.

Záznamy o činnostech zpracování

Posledním nezbytným dokumentem jsou záznamy o činnostech zpracování. Jedná se o evidenci dané činnosti zpracování a základní přehled, co, jak, proč a kde se děje. Představte si to jako jednoduchou tabulku v excelu, kde vyplníte základní náležitosti vyžadované čl. 30 GDPR.

Ještě něco dalšího?

Výše uvedené slouží jako základní přehled toho, na co byste neměli zapomenout. Samozřejmě mohou nastat specifika.

Na provoz kamerového systému můžete mít externí firmu. Pak nezapomeňte na zpracovatelskou smlouvu.

Můžete mít jmenovaného pověřence pro ochranu osobních údajů. Pak ho nezapomeňte zapojit do procesu nastavování kamer.

Myslete také na to, že byste nikdy neměli kamerou zabírat více prostoru, než kolik je pro daný účel potřeba. Jinými slovy, prostě kamery nesměřujte na jednotlivé vchody v bytovém domě. Nedávejte je na toalety, převlékárny a podobně.

Zavedení kamerového systému není složité, pokud jsou dopředu zvažovány dopady, které snímání může mít na subjekty údajů. Pak mohou sloužit jako skvělý nástroj například pro odhalování trestné činnosti.

Chcete nastavit dokumentaci? Pojďte do toho s námi a neváhejte nás kontaktovat.

Jiří Hradský ↗

Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.

undefined

Napište nám