Bezpečnostní hrozby a rizika kamerových systémů v době GDPR

Lze považovat kamerový systém za zpracování osobních údajů?

Jejichž účelem je identifikace konkrétních fyzických osob, je podle ustáleného výkladu Úřadu pro ochranu osobních údajů i soudů považováno za zpracování osobních údajů.

To samé s ohledem na širokou definici pojmu osobní údaj platí i tehdy, pokud správce sám není schopen bezprostředně identitu dotčených osob určit, nebo je kontaktovat.

Kamerovým systémem je pak nutno rozumět nejen skutečně sofistikovanou soustavu více kamer, případně spojenou i s dalšími sledovacími nebo vyhodnocovacími prvky, ale i jednotlivou kameru, která zabírá veřejné prostory (ulici, obchod, okolí domu, okolí auta atd.). 

Jaký je platný výklad ÚOOÚ

Podle stále platného obecného výkladového stanoviska Úřadu pro ochranu osobních údajů z roku 2006 pak do režimu regulace zpracování osobních údajů spadají jen takové kamery či kamerové systémy, které nejen přenášejí obraz, případně i zvuk, ale především pořizují záznam takto zachycených informací.

Český úřad tak z působnosti zákona č. 101/2000 Sb., o ochraně osobních údajů, a od května tohoto roku i z působnosti obecného nařízení o ochraně osobních údajů (GDPR), vyjímá kamery zajišťující pouhý online přenos, nejčastěji prostřednictvím Internetu. 

Povinnosti, které padají na provozovatele kamer

Lze však očekávat, že český úřad bude tento přístup přehodnocovat, a to především s ohledem na technický charakter online kamer, kdy fakticky k ukládání dat během jejich přenosu dochází, byť na velmi krátkou dobu.

I během této doby je provozovatel kamery povinen přenášené informace včetně osobních údajů chránit proti neoprávněnému či nahodilému přístupu nebo zneužití, případné úniky dat je pak povinen oznámit Úřadu pro ochranu osobních údajů a v některých případech i přímo zachyceným osobám, pokud by pro ně daný bezpečnostní incident představoval vysoké riziko.

S ohledem na to, že provozovatel kamer snímajících veřejně přístupné prostory obvykle nebude disponovat identifikačními a kontaktními údaji zachycených osob, musel by jim informaci o porušení zabezpečení jejich osobních údajů sdělit jiným způsobem, veřejným oznámením ve sdělovacích prostředcích, na internetu atd., což by s sebou pochopitelně neslo i reputační riziko pro danou organizaci. 

Základní pravidla pro zpracování osobních údajů prostřednictvím kamer GDPR příliš nemění

I v režimu GDPR bude muset provozovatel kamer určit účel zpracování dat, kterým obvykle bude ochrana života a zdraví, ochrana majetku či plnění zákonné povinnosti tam, kde sledování určitého prostoru kamerou ukládá zvláštní zákon.

Další z povinností je určení právního titulu, který obvykle bude ochrana oprávněných zájmů správce údajů či dalších osob. Souhlas se zpracováním osobních údajů je z podstaty věci u kamer, zejména u kamer zabírajících veřejné prostory, prakticky vyloučen.

Neméně důležitým aspektem pak bude posouzení přiměřenosti zásahu do soukromí a s tím související technické nastavení (sledovaný perimetr, kvalita obrazu, doba uchování dat) a zabezpečení kamer, přenosu dat a případného záznamu.

Přiměřenost konkrétního kamerového systému je nutno posuzovat vždy individuálně, s ohledem na další aspekty a okolnosti případu. V neposlední řadě je pak nutno plnit informační povinnost, nejméně prostřednictvím tzv. informačních tabulí obsahujících alespoň základní informace o zpracování: účel zpracování, identitu správce, provozovatele kamerového systému, a odkaz na místo či osobu, kde lze získat detailní informace (webové stránky, telefonní linka, konkrétní zaměstnanec).

Co naopak GDPR pro provozovatele kamerového systému přináší nového?

Kamerové sledování veřejně přístupných prostor, zejména ve větším rozsahu, může s ohledem na míru jeho rizikovosti provozovateli přinést některé nové povinnosti. 

Prvním z nich je povinnost správce či zpracovatele údajů jmenovat pověřence pro ochranu osobních údajů, která mj. dopadá na ty organizace, jejichž hlavní činnost spočívá v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování fyzických osob. 

Druhou novou povinností, kterou při provozování kamer GDPR přináší, je povinnost provést dopadovou analýzu, tedy posouzení vlivu na ochranu osobních údajů.

To je provozovatel kamerového systému povinen zajistit, pokud hodlá zavést nové zpracování osobních údajů, např. instalovat nový kamerový systém zabírající veřejně přístupné prostory, nebo významně změnit parametry již funkční systému, typicky přidat kromě sledování obrazu i zachycení zvuku, začít pořizovat záznam, instalovat systémy pro vyhodnocování biometrických údajů (podle rysů obličeje, podle chůze).

I na provozovatele kamerových systémů dopadají veškeré další nové povinnosti, jež GDPR přináší

Těmi je např. povinnost vést záznamy o zpracování, povinnost nastavit pravidla pro interní eskalaci, posuzování a reportování případů porušení zabezpečení osobních údajů, povinnost nastavit kamerové systému v souladu se zásadou záměrné ochrany osobních údajů, data protection by design, a další. Všechny tyto povinnosti rozpracované do interních směrnic, metodik, formulářů a předvyplněných šablon lze získat v GDPR Dokumentaci