Nová metodika ÚOOÚ ke kamerám: Jste v souladu?
- Datum: 12.02.2024
- Autor: František Nonnemann
Úřad pro ochranu osobních údajů zveřejnil metodiku ke zpracování osobních údajů v kamerových systémech. Řeší online kamery a kamery se záznamem, dobu uchování, informační povinnost i zabezpečení.
Úřad pro ochranu osobních údajů (ÚOOÚ) vydal 8. února 2024 novou metodiku ke kamerovým systémům. Vydání konečné verze předcházela veřejná konzultace a vypořádání řady připomínek z praxe.
Proč byla detailní metodika potřeba, co se mění na dosavadním přístupu a výkladu ÚOOÚ, jaké povinnosti a požadavky je při provozování kamer nutné plnit a dokumentovat?
Praktický workshop: metodika ÚOOÚ ke kamerám
Kamery kolem nás
Kamery nás obklopují takřka na každém kroku. Zasahují do našeho soukromí a často o nás shromažďují citlivé informace.
Ten, kdo kamery provozuje, to často potřebuje vědět ze zcela legitimních důvodů. Ovšem občas to s kamerami někdo přežene, instaluje je tam, kde je to opravdu nevhodné, nebo získané informace zneužije. A tam už do hry vstupuje právní úprava ochrany osobních údajů, zejména obecné nařízení o ochraně osobních údajů, GDPR.
Rozšíření aplikace GDPR na kamery
Provozováním kamer a kamerových systémů se ÚOOÚ zabývá už dlouho. První stanovisko k tomu, jak při provozování kamerového systému chránit osobní údaje, vydal už v roce 2006. Řešilo správné nastavení kamerového systému podle tehdejšího zákona č. 101/2000 Sb., o ochraně osobních údajů. S postupem času, a rozvojem a větší dostupností kamer, přibývaly další dílčí stanovisky a metodiky, třeba k nasazení kamer v bytových domech, ke kamerám v osobních autech atd. Stabilně vysoký byl i počet stížností, které ÚOOÚ na kamery dostával.
V roce 2018 vstoupilo v účinnost obecné nařízení o ochraně osobních údajů (GDPR), které o rok později doprovodil nový zákon č. 110/2019 Sb., o zpracování osobních údajů. Přestože obsahově, z pohledu hlavních princip zpracování osobních údajů a souvisejících práv a povinností, GDPR nic zásadního nezměnilo, ÚOOÚ postupně svá stanoviska ke kamerám z webu stáhl.
Hlavními důvody podle mě byly:
Nepřiměřený důraz na souhlas
Nutnost zahrnout do režimu GDPR i online kamery, které ÚOOÚ dosud neřešil
Je k provozování kamerového systému nutný souhlas?
ÚOOÚ v předchozích stanoviscích a metodikách poměrně často pracoval se souhlasem jako možným právním základem pro nasazení a provoz kamer. Ne jako s hlavním nebo základním právním titulem, ale jako s jedním z možných a v praxi relativně často aplikovaných, resp. aplikovatelných titulů k provozování kamerového systému. K tomu výkladu částečně sváděl i dřívější zákon č. 101/2000 Sb., který poněkud nešťastně formuloval souhlas jako základní právní titul ke zpracování osobních údajů a ostatní, např. zpracování nezbytné pro plnění právní povinnosti, pro uzavření a realizaci smlouvy, pro ochranu oprávněného zájmu správce atd., formuloval jako výjimky z nutnosti shromažďovat souhlas dotčených osob.
GDPR jasně definuje, že souhlas je pouze jeden z více možných právních titulů ke zpracování osobních údajů. A rozhodně ne ten hlavní či první, který by měl správce osobních údajů zvažovat. To platí obecně, a u kamer a kamerových systémů zvláště. Ostatně i z praktického hlediska je jen obtížně představitelné, jak by takový souhlas, který lze kdykoliv rychle a bez udání důvodů odvolat, fungoval například v bytovém domě se stovkami obyvatel. Nebo na pracovišti.
GDPR se vztahuje i na online kamery
ÚOOÚ až do účinnosti GDPR vycházel z toho, že právní předpisy pro ochranu osobních údajů se vztahují jen na ty kamery, které pořizují záznam. Online kamerové systémy úřad dříve neřešil. Stížnosti na kamery bez záznamu odkládal a takovéto sledovací nástroje nekontroloval.
Tento přístup se ale ukázal jako překonaný. Z technického pohledu i u online kamer dochází k ukládání a přenosu záznamu, byť na velmi krátkou dobu. Ovšem i po tuto krátkou dobu může k přenášeným záběrům získat přístup nepovolaná osoba, záběry mohou uniknout na internet nebo být zneužity. Pokud tyto záběry obsahují záběry identifikovatelných fyzických osob, jinými slovy osobní údaje, není důvod, aby nebyly v režimu GDPR.
Stejný přístup, tedy že GDPR se vztahuje i na online kamery a kamerové systémy zachycující identifikované fyzické osoby, je ostatně standardem mezi dalšími dozorovými úřady v Evropské unii. Je to zjevné i z vodítek Evropského sboru pro ochranu osobních údajů ke kamerovým systémům, které byly vydány na počátku roku 2020.
Které kamery metodika ÚOOÚ řeší?
Otázku, které kamery jsou v režimu GDPR a které už ne, ÚOOÚ v konečné verzi metodiky vyřešil chytře. Nezabývá se různými typy a druhy kamerových systémů (záznam, bez záznamu, doba uchování pořízených záběrů atd.), ale do působnosti GDPR zařazuje ty kamery či kamerové systémy, které zachycují fyzické osoby způsobem, který je obvykle umožňuje identifikovat, rozeznat.
Pokud jakákoliv postava v záběru zabírá nebo může zabírat, například po využití funkce zoom, 25 % a více obrazu, jde o zpracování osobních údajů v režimu GDPR. Zohlednit je nutné i další faktory, například obvyklé světelné podmínky, chování osob a jejich rozlišitelnost atd., ale uvedená hranice, 25 % obrazu, je základní rozlišovací hranicí.
Když monitorované fyzické osoby zabírají na přenášených záznamech menší prostor, o zpracování osobních údajů v režimu GDPR se nejedná. Jestliže kamery či jiná monitorovací zařízení mohou zabírat fyzické osoby s tímto či vyšším rozlišením, pak se na ně GDPR uplatní, bez ohledu na konkrétní technické řešení, tzn. ať už se jedná o kamery se záznamem, online kamery či fotopasti.
Účel a právní titul kamerového systému
Metodika ÚOOÚ se dále zabývá hlavními GDPR principy pro zpracování dat a jejich uplatnění na kamery a další sledovací zařízení.
ÚOOÚ v metodice uvádí typické legitimní účely pro zpracování osobních údajů kamerami, jimiž jsou:
Zvýšení ochrany majetku
Zvýšení bezpečnosti osob
Prevence mimořádných událostí jako spíše podpůrný účel
Shromažďování a uchovávání informací pro řešení pojistných událostí
Se souhlasem jako předpokladem pro provoz kamerového systému metodika, na rozdíl od předchozích dokumentů ÚOOÚ, skutečně příliš nepracuje. ÚOOÚ přímo uvádí, že u kamer lze souhlas se zpracováním osobních údajů aplikovat jen ryze výjimečně, ve specifických situacích.
Výrazně častějšími a obvyklejšími právními tituly ke zpracování osobních údajů prostřednictvím kamer bude oprávněný zájem správce či zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu.
Zejména pro aplikaci oprávněného zájmu metodika formuluje detailní postup, jak vyhodnotit, zda zájmy provozovatele kamerového systému skutečně převáží zájmy a práva dotčených osob (tzv. balanční test).
Metodika se bohužel nezabývá dalším a v praxi poměrně častým právním titulem k provozování kamer, kterým je plnění právní povinnosti. V některých sektorech totiž zvláštní předpisy přímo ukládají, aby určité prostory či činnosti byly střeženy pomocí kamery. Jedná se například o povinnost pro provozovatele heren a kasín podle zákona o hazardních hrách, provozovatele odpadových zařízení nebo realizaci různých zkoušek odborné způsobilosti. V takovýchto situacích platí, že provozovatel kamery nemusí hodnotit oprávněný zájem ani hledat jiný právní titul, protože mu dané zpracování osobních údajů v nezbytném rozsahu přímo ukládá zákon.