Metodika provozování kamerových systémů

Úvodní strana » Služby » Technická oblast » Metodika provozování kamerových systémů

Metodika ÚOOÚ (Úřad pro ochranu osobních údajů) k umístění kamerových systémů v bytových domech

K provozování kamerových systémů – zdroj: www.uoou.cz

Nejčastější otázky a odpovědi:

Jakým základním pravidlům podléhá pořizování záběrů, ať již fotoaparátem či kamerou?
Na kamerové sledování i pořizování záběrů osob se v každém případě primárně vztahují ustanovení občanského zákoníku upravujícího podmínky ochrany soukromí, osobnosti a podoby člověka. V případě pořizování záznamu obydlí člověka jde o zásah do soukromí upravený v občanského zákoníku, který stanoví, že nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka:
◾narušit jeho soukromé prostory,
◾sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam,
◾využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou,
◾takové záznamy o jeho soukromém životě šířit.

Samotné sledování fyzických osob je mimo působnost pravidel zpracování osobních údajů. V případě jednání v rozporu s výše uvedeným ustanovením občanského zákoníku se lze obrátit na soud s žalobou na ochranu osobnosti a domáhat se toho, aby bylo od neoprávněného zásahu upuštěno nebo aby byl odstraněn jeho následek. Vždy je však nejdříve potřebné, pokusit se věc vyřešit jednáním s druhou stranou či alespoň pokusem.
V případě tzv. „sousedských“ sporů může být problematické jednání posouzeno jako přestupek úmyslného narušení občanského soužití schválností, jehož projednání je v působnosti příslušného obecního úřadu.

Kdy podléhá provoz kamerového systému pravidlům pro zpracování osobních údajů?
Provozování kamerového systému je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je:
◾automatizovaně prováděn záznam monitorovaného veřejného prostoru,
◾zároveň je účelem pořizovaných informací a záznamů využití k identifikaci fyzických osob v souvislosti s určitým jednáním.
Údaje uchovávané v záznamovém zařízení, ať obrazové či zvukové, jsou osobními údaji za předpokladu, že na základě těchto záznamů (informace z obrazových či zvukových nahrávek) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Fyzická osoba je identifikovatelná, pokud ze snímku, na němž je zachycena, jsou patrné její charakteristické rozpoznávací znaky (zejména obličej) a na základě propojení rozpoznávacích znaků s dalšími disponibilními údaji je možná plná identifikace osoby. Osobní údaj pak tvoří ty identifikátory, které umožňují příslušnou osobu spojit s určitým, na snímku zachyceným, jednáním.

Ve kterých situacích je dovoleno provozování kamerového systému (se záznamem)?
Zpracování osobních údajů provozováním kamerového systému je zákonné, pouze pokud je prováděno v odpovídajícím rozsahu v rámci některého z přípustných právních titulů zpracování osobních údajů uvedených v článku 6 GDPR. V praxi se jedná obvykle o:
◾zpracování nezbytné pro splnění úkolu prováděného při výkonu veřejné služby; v těchto případech je třeba dbát ustanovení příslušného zákona nařizujícího, resp. upravujícího zvláštní podmínky kamerové sledování,
◾zpracování nezbytné pro účely oprávněných zájmů příslušného správce.

Jaká základní pravidla musí splňovat zpracování osobních údajů v rámci kamerového systému?
◾Kamerové sledování nesmí nadměrně zasahovat do soukromí.
◾Kamerový systém je možno použít zásadně v případě, kdy sledovaného účelu nelze účinně dosáhnout jinou cestou (např. lepším zabezpečením majetku).
◾Je vyloučeno užití kamerového systému v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy). Je ovšem možné řešení, kdy subjekt údajů má na výběr z alternativ (např. lze monitorovat prostory šatny (skříněk) plaveckého stadionu za předpokladu, že je vymezen prostor pro převlékání, který není kamerami sledován).
◾Je-li kamerový systém využíván na pracovišti, musí provoz kamer a využití záznamu být v souladu s pracovněprávními předpisy, zejména § 316 zákoníku práce.
◾Je třeba předem jednoznačně stanovit účel pořizování záznamů, který musí korespondovat s důležitými, právem chráněnými zájmy správce (např. ochranou majetku před krádeží). Záznamy tak mohou být využity pouze v souvislosti se zjištěním události, která poškozuje tyto důležité, právem chráněné zájmy správce. Přípustnost využití záznamů pro jiný účel musí být omezena na významný veřejný zájem, např. boj proti pouliční kriminalitě.
◾Je třeba stanovit lhůtu pro uchovávání záznamů. Doba uchovávání dat by neměla přesáhnout časový limit maximálně přípustný pro naplnění účelu provozování kamerového systému. Uchovávaná data by měla být uchovávána v rámci časové smyčky např. 24 hodin, pokud jde o trvale střežený objekt, nebo případně i dobu delší, v zásadě však nepřesahující několik dnů, nejde-li o pořizování záznamů policejním orgánem podle zvláštního zákona, a po uplynutí této doby vymazána. Pouze v případě existujícího bezpečnostního incidentu by měla být data zpřístupněna orgánům činným v trestním řízení, soudu nebo jinému oprávněnému subjektu.
◾Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit např. v provozním řádu objektu či bezpečnostní směrnici. Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty.
◾Subjekt údajů musí být o užití kamerového systému a o tom kdo jej provozuje v převážné většině případů vhodným způsobem informován (např. nápisem umístěným v monitorované místnosti). Správce musí umožnit výkon dalších práv subjektu údajů, zejména právo na další informace o zpracování osobních údajů a právo na námitku.

Mohu si kamerou chránit rodinný domek se zahradou nebo před domem parkující vozidlo?
Právní předpisy nebrání nároku každého občana chránit si nemovitost (včetně pozemku) kamerou. Musí však být splněny některé podmínky:
◾Kamera musí být nastavena přiměřeně a adekvátně, tj. nastavena na sledování chráněné nemovitosti a nesmí nepřiměřeně zasahovat do soukromí druhých, zejména tím, že by byla nastavena do prostoru nemovitosti (včetně pozemku) souseda.
◾Záběr kamery nesmí nepřiměřeně zasahovat ani veřejné prostranství v okolí nemovitosti (ulice, náměstí) nad rámec nezbytný pro identifikaci případného útočníka proti plášti budovy nebo oplocení soukromého pozemku.
◾Monitorování veřejného prostranství se záznamem ve větším rozsahu, které by již podléhalo povinnostem podle obecného nařízení o ochraně osobních údajů, by bylo přípustné pouze výjimečně (např. opakované závažné útoky proti obydlí provozovatele kamery z veřejného prostranství).

Vhodně nastavenou kameru lze využít i k ochraně u nemovitosti zaparkovaného vozidla. V době, kdy zde vozidlo neparkuje, není důvod záznam tohoto prostoru pořizovat.

Je třeba kamerový systém registrovat u ÚOOÚ?
NE. Registrace zpracování podle zákona o ochraně osobních údajů byla ukončena. Dnem 25. května 2018 nabývá účinnosti obecné nařízení, které již podobnou registrační povinnost neukládá.
Vyplývá z obecného nařízení (GDPR) pro provoz kamerového systému kromě oznámení bezpečnostního incidentu nějaká nová povinnost?
V souvislosti s pořizováním kamerového záznamu má správce povinnost vést záznamy o činnostech zpracování. Tato povinnost ovšem není úplně nová, záznamy fakticky nahrazují dosavadní registrační formuláře, na rozdíl od dosavadní registrace však tyto záznamy již správce pouze uchovává, tj. nezasílá Úřadu.
Stejně jako jiné povinnosti stanovené obecným nařízením se ani tato povinnost nevztahuje na zpracování osobních údajů prováděné v průběhu výlučně osobních či domácích činností, tedy ani na přiměřenou ochranu vlastního obydlí kamerou. Vztahovala by až na výše popsaný záznam veřejného prostranství, pokud by byl nezbytný pro ochranu práv provozovatele kamerového systému.

Záznam o činnostech zpracování pro kamerový systém musí obsahovat tyto údaje:
◾Označení správce.
◾Běžná identifikace správce, tj. subjektu, který provádí zpracování.
◾Účel zpracování (např. ochrana majetku správce, života a zdraví osob prostřednictvím stálého kamerového systému).
◾Popis kategorií subjektů údajů.
◾ Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.).
◾Popis kategorií osobních údajů.
◾Podoba a obrazové informace o chování a jednání zaznamenaných osob.
◾Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí.
◾V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna).
◾Lhůta pro výmaz (doba uchování záznamu je X dní).
◾Záznam zachyceného incident je uchován po dobu nezbytnou pro projednání případu.
◾Technická a organizační bezpečnostní opatření.
◾Bezpečnostní kryt (řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám)

V jakých situacích je dodavatel kamerového systému zpracovatelem?
Povinnosti zpracovatele:
Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven
◾předmět a doba trvání zpracování,
◾povaha a účel zpracování,
◾typ osobních údajů a kategorie subjektů údajů,
◾povinnosti a práva správce.

Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?
Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?
Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat.

Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

K rozesílání objednaného zboží využívám poštovní a přepravní společnosti. Musím s nimi mít uzavřenou smlouvu o zpracování osobních údajů?
V případě výkonu základních (poštovních) služeb, spočívající pouze ve vlastním doručování zásilek, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Tím, že obdrží od původního správce (např. od eshopu) doručovací adresy (osobní údaje adresátů pro účely doručení) a zajistí doručení zásilek, neprovádí zpracování údajů jako zpracovatel.
Doručovatel zásilek tedy jedná na vlastní odpovědnost a není nutno s ním uzavírat zvláštní zpracovatelskou smlouvu.
Pokud však správce sjedná s dodavatelem poštovních služeb další činnosti, např. kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek, jedná se již o činnost zpracovatele. V takovém případě je nutné na tento rozsah činnosti uzavřít smlouvu o zpracování osobních údajů dle čl. 28 GDPR, případně může být její ujednání součástí podmínek poskytované služby.

V jakých případech může zpracovatel v souladu s GDPR užívat služeb dalších subdodavatelů při zpracování osobních údajů?
Subdodavatelé jsou vázáni čl. 29 GDPR. Ten stanovuje, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce. Výjimkou jsou pouze situace, kdy jí jejich zpracování ukládá například právo Unie nebo členského státu.
Pokud tyto osoby jednají z pověření správce a na jeho pokyn, mohou mít přístup k osobním údajům. Správce tedy musí o všech těchto „subzpracovatelích“ vědět a stanovit či schválit pravidla o tom, jak budou s osobními údaji zacházet.

V jakých situacích je dodavatel kamerového systému zpracovatelem?
1) Dodavatel poskytuje pouze řešení kamerového systému a jeho instalaci – v jeho provozu se však dále neangažuje. V tomto případě není dodavatel systému zpracovatelem.
2) Zákazník se s dodavatelem dohodne i na průběžné kontrole a údržbě kamerového systému, kdy zaměstnanci servisní společnosti v rámci výkonu těchto služeb nahlíží do pořízených záznamů a tyto spravují na pokyn a pro potřebu správce. V takovém případě je servisní společnost v postavení zpracovatele osobních údajů a jí a jejím zaměstnancům pověřeným nahlížet do záznamů vyplývají obdobné povinnosti podle GDPR jako správci – objednateli služeb a jeho zaměstnancům. V takovém případě je nezbytné splnit následující náležitosti:
◾Správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
◾Správce uzavře smlouvu o zpracování osobních údajů, ve které je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva o zpracování osobních údajů nemusí být samostatná smlouva, ale podstatné je, aby zmíněné náležitosti byly obsahem smluvního ujednání mezi správcem a zpracovatelem. K podrobnostem smlouvy viz čl. 28 GDPR.