Nabídka kamerových systémů je na trhu velice široká a je velmi jednoduché si takovýto systém za účelem ochrany majetku pořídit. Pojí se však s provozem kamerových systémů i nějaké povinnosti? Bezesporu ano. Jedná se především o povinnosti ve vztahu ke zpracování osobních údajů, které musí být plně v souladu s obecným nařízením na ochranu osobních údajů (dále jen GDPR). Zejména pak, je-li pořizován kamerový záznam.
Jaké jsou nejčastější prohřešky, kterých se podnikatelé jakožto provozovatelé kamerových systémů ve vztahu k GDPR dopouští?
Na úvod připomínáme, že povinnosti stanovené nařízením GDPR se nevztahují na zpracování osobních údajů prováděné výhradně v rámci osobních či domácích činností, tedy ani na přiměřenou ochranu vlastního obydlí kamerou. Předmětem tohoto článku není ani provoz kamerových systémů na pracovišti, který má řadu dalších specifik. Budeme tedy v tomto článku mířit na problematiku všeobecného provozu kamerových systémů v rámci výkonu určité podnikatelské činnosti, tedy např. kamerových systémů umístěných v obchodě, v nahrávacím studiu, na soukromém sportovišti atd. – to vše s ohledem na ochranu osobních údajů (GDPR).
Neplnění elementárních zákonných pravidel na provoz kamerových systémů
Častým prohřeškem provozovatelů kamerových systémů většinou bývá nedodržování základních požadavků GDPR a souvisejících zákonů na provoz těchto zařízení. K tomu, aby instalace kamerového systému určeného ke sledování fyzických osob byla v souladu s právními předpisy, musí být zpracování osobních údajů v prvé řadě opřeno o některý ze zákonných titulů zpracování osobních
údajů, specifikovaných v článku 6 nařízení GDPR. V praxi tímto důvodem nejčastěji bývá oprávněný zájem správce na ochranu jeho majetku a plnění úkolu ve veřejném zájmu.
Sledování kamerami rovněž nesmí nadměrně zasahovat do soukromí jiných. Kamery by vždy měly být, pokud možno, nastaveny tak, aby v co nejmenší míře zasahovaly do veřejných prostranství a do soukromí jiných osob (např. by neměly nepřiměřeným způsobem monitorovat okolí sledovaného majetku, vč. ulic nebo veřejných náměstí, nad rámec nutný pro identifikaci případného škůdce). Je rovněž zakázáno kamerové systémy instalovat do prostor určených k ryze soukromým účelům (např. na toalety, do sprch, do šaten atp.).
Z pohledu GDPR je třeba nezapomenout ani na zásadu tzv. minimalizace údajů, která po správci požaduje vždy předem vyhodnotit, jestli kýženého cíle není možné dosáhnout jinými, méně invazivními způsoby (např. oplocením majetku nebo jeho uzamčením atd.). Pokud by měly být kamerové záznamy zpřístupňovány třetím osobám (např. bezpečnostní službě nebo Policii ČR), bude nutné pro takovéto předání opět nutné disponovat samostatným právním titulem ve smyslu článku 6
nařízení GDPR. Shora uvedená pravidla, která se s provozem bezpečnostních kamerových systémů pojí, musí správce důsledně dodržovat. Není totiž výjimkou, že podnikatelé, jakožto provozovatelé kamerových systémů, o nich nejsou dostatečně informováni, což může představovat nemalé riziko s ohledem na výši pokut a sankcí plynoucích z GDPR.
Nepřiměřená doba uchování záznamů a požadavky na zabezpečení dat
Dalším častým prohřeškem provozovatelů kamerových systémů je chybné nastavení doby uchovávání kamerových záznamů. Nařízení GDPR ani dostupné výklady nestanovují žádnou konkrétní lhůtu, po kterou je možné kamerové záznamy ukládat. Doba uchovávání záznamů by však neměla přesáhnout časový limit nezbytný pro naplnění účelu provozování kamerového systému – v praxi by tak záznamy neměly být uchovávány po dobu delší než několik dnů, která zpravidla postačuje pro případnou identifikaci pachatele a předání potřebných informací policejním orgánům. Jako běžně přijatelnou hranici uchovávání kamerových záznamů odborné výklady k GDPR zmiňují 72 hodin – v případech uchování záznamů po dobu delší než 72 hodin pak bude nutné nalézt hlubší zdůvodnění takovéhoto postupu.
V neposlední řadě má provozovatel kamerového systému dle GDPR povinnost zajistit potřebné zabezpečení zpracovávaných osobních údajů (zejm. přenosových cest a datových nosičů, na kterých jsou kamerové záznamy ukládány), před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. V praxi může být zabezpečení zajištěno např. šifrováním dat, antivirovou ochranou, přístupovými hesly, uzamčením prostor, v nichž se nosiče dat nacházejí atp.
Informační povinnost správce a vedení záznamů o činnostech zpracování
Subjekty údajů, kterými jsou primárně fyzické osoby snímané příslušnými kamerami, by měly být o existenci kamerového systému a o jeho provozovateli také vhodným způsobem informovány. Vhodným způsobem informování v praxi bývá umístění informační tabule v bezprostřední blízkosti sledovaného prostranství (např. v monitorované místnosti). Na takovéto informační tabuli by měly být rovněž uvedeny potřebné informace vyžadované nařízením GDPR a určené subjektům údajů – zejména pak informace o právech subjektů údajů, o účelu sledování prostranství, o totožnosti a kontaktních údajích správce atd.
V souvislosti s pořizováním kamerového záznamu má jeho provozovatel, jakožto správce osobních údajů, dále také povinnost vést tzv. záznamy o činnostech zpracování. Tyto záznamy mají zákonem předepsané náležitosti a správce je pouze uchovává, nikam je tedy nezasílá a má je připravené pro případnou kontrolu ze strany dozorového orgánu, kterým je Úřad pro ochranu osobních údajů.
Záznamy o činnostech zpracování musí obsahovat mj. jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií zpracovávaných osobních údajů, informace o příjemcích osobních údajů, jakož i o případném předávání osobních údajů do zahraničí, informace o době uchovávání záznamů, o přijatých technických a organizačních bezpečnostních opatření apod.
S provozem kamerových systémů se ve vztahu k GDPR pojí řada povinností, které by podnikatelé neměli při využití této formy ochrany majetku podcenit. Nařízení GDPR je totiž známo pro své vysoké sankce, které lze v případě jeho porušení povinným subjektům uložit. Porušení shora uvedených povinností by tak mohlo provozovatele kamerových systémů přijít zbytečně draho, což se rozhodně nevyplatí.
Zaujal vás článek?
Odemkněte si celý text za jednorázových 30 Kč. Stačí zadat váš e-mail a v dalším kroku vše odsouhlasit.
Již jste zaplatili? Vložte, prosím, váš e-mail a my vám zašleme nový odkaz pro odemknutí
ČLÁNKY DO MAILU