Hlídáte areál své firmy a pracoviště kamerami? Pak vás čekají nové povinnosti

11. 8. 2017
Doba čtení: 7 minut

Sdílet

Ilustrační obrázek
Ilustrační obrázek
Nařízení GDPR se dotkne i kamerových systémů. Ty totiž identifikují činnost fyzických osob a tím pádem zpracovávají osobní údaje. Co bude v této oblasti nového?

Kdo při provozování kamerového systému bez problémů dodržuje pravidla daná dnes platným zákonem, neměl by mít s GDPR větší problémy. Přibude mu jen něco málo povinností.

Zákon o ochraně osobních údajů už dnes nařizuje, aby provozovatelé kamerových systémů o monitorování daného prostoru informovali všechny osoby do něj vstupující, stejně jako o právním titulu pro zpracování těchto údajů. Dále je nutné zabezpečit zpracovávané údaje proti jejich možnému zneužití a dbát na ochranu soukromí monitorovaných osob. GDPR vyžaduje to samé, takže výrazné změny oproti stávající právní úpravě ohledně kamerových systémů nezavádí. Stejně jako dnes je i podle tohoto nařízení vždy primárně odpovědný správce, například družstvo, SVJ či zaměstnavatel, který rozhodl o provozování kamerového systému. Správce musí s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením, uvádí Eva Škorničková, právní konzultantka pro IT bezpečnost a ochranu osobních údajů.

Podle základní zásady, která ovšem platí už dnes, musí být osobní údaje ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem. Tento princip GDPR označuje jako „zákonnost, korektnost a transparentnost“. Podle nařízení je zpracování osobních údajů zákonné, pouze pokud je splněna nejméně jedna z podmínek uváděných v článku 6. To znamená:

a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Psali jsme: Na zveřejnění fotky zloděje musíte mít jeho souhlas

Kamery mohou dál fungovat bez souhlasu monitorovaných

Běžně je zákonnost ošetřena udělením souhlasu subjektu se zpracováním osobních údajů. V případě zpracování údajů kamerovými systémy by se ovšem tento titul velmi těžko dodržoval. Proto bude možné zpracovávat údaje bez souhlasu na základě podmínky zpracování, které je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. Souhlas se zpracováním osobních údajů je jen jednou z možností zákonného zpracování osobních údajů, nikoliv jedinou. Ne vždy se souhlas vyžaduje. Naopak se v praxi vyskytují nadbytečné žádosti o udělení souhlasu v situaci, kdy je zpracování zákonné z jiného důvodu. Takové nadbytečně vyžadované souhlasy dokonce Úřad pro ochranu osobních údajů považuje za porušení zákona, říká Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha. Zároveň ale upozorňuje, že při pořizování kamerových záznamů nezbytných pro účely oprávněných zájmů příslušného správce či třetí strany nesmí být zasahováno do základních práv a svobod osob, tedy nesmí být nadměrně zasahováno do soukromí osob a musí jít o monitoring přiměřený účelu, který se jeho použitím sleduje. 

Při použití kamerových systémů ke sledování osob a záznamů těchto osob platí, že musí být nezbytné pro naplnění konkrétního účelu a musí být přiměřené vzhledem k okolnostem a k ochraně soukromí těchto osob. Vždy je třeba maximálně respektovat soukromí a oprávněné zájmy osob, například nakupujících v obchodě. Co se týká kamerových záznamů na pracovišti, ani v tomto případě není třeba žádat zaměstnance o souhlas s umístěním kamer, protože se bude jednat o zpracování osobních údajů na základě oprávněného zájmu zaměstnavatele. Zaměstnanci ale musí být o umístění kamerového systému informováni. V této souvislosti Karin Pomaizlová připomíná zákonné omezení umisťování kamer na pracovišti za účelem sledování zaměstnanců.

Podle § 316 zákoníku práce nesmí zaměstnavatel bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění.

Dále čtěte: Povinnosti internetových portálů a e-shopů při ochraně osobních údajů zákazníků

Nové povinnosti při monitorování prostor

Novými povinnostmi, které nařízení GDPR provozovatelům kamerových systémů přinese, budou rozsah poskytovaných informací, vedení záznamů o činnosti a povinnost ohlášení porušení zabezpečení či úniku dat.

1. Rozsah poskytovaných informací

V praxi se zaměňuje povinnost informovat subjekt údajů o zpracování osobních údajů se souhlasem ke zpracování osobních údajů. Jak podle zákona o ochraně osobních údajů, tak podle GDPR je třeba při zpracování osobních údajů postupovat transparentně, tedy poskytnout vhodným způsobem subjektu údajů informace zejména o tom, kdo a jaké osobní údaje zpracovává, k jakému účelu a zda je dále předává třetím osobám a kdo má k osobním údajům přístup. Podle článku 12 je správce povinen přijmout vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků potřebné informace. Informace je možno poskytnout písemně, ale i jinými prostředky elektronické formy. Pokud si to subjekt údajů vyžádá, mohou být v určitých situacích informace poskytnuty i ústně, říká Karin Pomaizlová.

Rozsah informační povinnosti upravují články 13 a 14. Mimo jiné je nutné subjektu údajů vhodným způsobem sdělit: 

i) totožnost a kontaktní údaje na správce a jeho případného zástupce,

ii) kontaktní údaje na pověřence pro ochranu osobních údajů (pokud byl zřízen),

iii) účel zpracování (u kamerových systémů například sledování vymezených prostor), 

iv) právní základ pro zpracování (u kamerových systémů sdělení, že zpracování probíhá podle čl. 6 odst. 1 písm. f) GDPR, kdy souhlas subjektu údajů není třeba, jelikož zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, a že se tomu děje tak, aby byly chráněny zájmy a základní práva a svobody subjektu údajů) 

v) přesné vymezení oněch oprávněných zájmů správce či třetích osob, které je nezbytné kamerovým systémem chránit (například ostraha objektu, ochrana majetku), 

vi) informaci o délce uchování kamerového záznamu.

Provozovatelé budou muset zajistit, aby informační tabulky o provozu kamerového systému byly dobře viditelné při každém vstupu nebo vjezdu osob do monitorovaných míst. Vedle toho musí být subjekt údajů poučen o svých právech. V praxi je tedy nutné rozlišovat mezi souhlasem a informací. Informaci musí subjekt údajů obdržet vždy. Správce systému proto musí subjektu údajů poskytnout další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:

1. doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

2. oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);

3. existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

4. pokud je zpracování založeno na souhlasu, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;

5. existence práva podat stížnost u dozorového úřadu;

6. zdroj, ze kterého osobní údaje pocházejí.

Mohlo by se hodit: Kamerové systémy snižují riziko vloupání. Fungují i atrapy

2. Vedení záznamů o činnosti

Vedení záznamů bude jakousi náhradou za zrušení registrační povinnosti podle dnes platného zákona o ochraně osobních údajů. Protože se provoz kamerového systému nedá považovat za příležitostné zpracování, měl by se každý provozovatel takového systému na tuto novou povinnost včas připravit. Nařízení obsahuje celou samostatnou část, která se zabezpečení dat a povinností správce věnuje, komentuje Eva Škorničková další novou povinnost. 

Záznamy obsahují všechny tyto informace:

1. jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;

2. účely zpracování;

3. popis kategorií subjektů údajů a kategorií osobních údajů;

4. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

Ptejte se odborníka v poradně Mzdové účetnictví
PhDr. Dagmar Kučerová
mzdový poradce

5. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;

6. je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

7. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

Záznamy se vyhotovují písemně, a to počítaje i elektronickou formu. Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu.

3. Povinnost ohlášení porušení zabezpečení či úniku dat

Pokud jde o ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu, autoři nařízení očekávají, že jakékoli porušení zabezpečení správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Tato nová povinnost se na provozovatele kamerového systému bude určitě vztahovat, tudíž je nutné, aby dbali v maximální míře na bezpečné zpracování těchto záznamů.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).