Kamerové systémy
Kamerové systémy v režimu zákona o ochraně osobních údajů
Při provozování kamerového systému dochází ke zpracování osobních údajů, tehdy, když je prováděn záznam (uchovávání osobních údajů). V takové případě je třeba plnit všechny povinnosti správce osobních údajů, které se k takovému zpracování osobních údajů vážou.
Tyto povinnosti lze plnit pomocí Klíče k ochraně osobních údajů. V sousedních státech (např. Německo, Rakousko, Slovensko) mají tyto státy speciální úpravu vztahující se ke kamerovému systému. V ČR bohužel takovou výslovnou úpravu nemáme a snažíme se vše řešit za pomocí výkladu. Ne vždy se to daří s odpovídajícími výsledky.
Předně existují představy, jaké povinnosti by měl provozovatel kamerového sytému plnit, avšak dovodit to jenom z obecných povinností ze zákona na ochranu osobních údajů dost dobře nejde. Navíc v praxi i sám Úřad pro ochranu osobních údajů (dále jen „Úřad“) zastával stanoviska mnohdy velmi protichůdná.
V tomto ohledu je tak klíčové rozhodnutí Nejvyššího správního soudu (dále jen „NSS“) ze dne 25. 2. 2015, sp. zn. 1 As 113/2012-133 ve věci Ryneš x Úřad pro ochranu osobních údajů.
V tomto rozhodnutí je jednak popsaná celá nešťastná právní situace, dále se vyjadřoval NSS k praxi Úřadu při posuzování kamerových systémů a dále se snažil o nějaké zevšeobecnění a shrnutí povinností správce.
Nutno říci, že Úřad nevychází z hodnocení NSS zrovna lichotivě, kdy NSS na jeho adresu uvádí např. takovéto výroky: „Nezbývá než konstatovat, že rozhodování v těchto typových věcech bylo nepředvídatelné a svévolné. Žalovaný dle své libovůle rozhodoval, které konkrétní zpracování osobních údajů za pomoci kamerového systému pro účely ochrany majetku pod § 3 odst. 3 zákona o ochraně osobních údajů podřadí, a které nikoli.“ (bod 67 rozsudku)
„Až do konce roku 2014 totiž nebylo vůbec jasné, zda český zákon dopadá na tak obvyklé situace, jako byla instalace kamerového systému snímajícího veřejné prostranství za účelem ochrany majetku a jiných hodnot majitele domu.“ (bod 69 rozsudku)
„Vysvětlení stěžovatele, proč kamera zabírala ulici i vchod do protějšího domu, je přitom naprosto logické“ pokud by byla kamera „sklopena“ a zabírala jen obvodovou zeď stěžovatelova domu, funkce kamery by se míjela svým účinkem, neboť by potenciálního útočníka nikdy nezaznamenala. Pokud žalovaný „radí“ stěžovateli opak, je to smutný důkaz toho, že je naprosto odtržen od reálií běžného života.“ (bod 84 rozsudku)
V rámci případu Ryneš x Úřad pro ochranu osobních údajů, který mimo jiné řešila úspěšně naše advokátní kancelář, je třeba uvést, že NSS jako klíčové pro možnost někam instalovat kamerový systém podtrhuje zásadu subsidiarity.
NSS to popisuje v bodech 86 a 87 uvedeného rozhodnutí následovně:
Žalovaný (Úřad) musí při posuzování obdobných případů, kde shromažďování osobních údajů zasahuje do soukromí třetích osob, brát vždy do úvahy, zda instalace a provozování kamery je prevencí před útoky, které v tomto místě hrozí, případně zda snad dokonce představuje reakci na opakované útoky na majetek či jiné ústavně chráněné hodnoty, či naopak zda osoba instaluje kamerový systém z obavy před protiprávní činností, která je však hypotetická a s ohledem na všechny okolnosti spíše nepravděpodobná či iluzorní.
Situace v nynější kauze byla zcela extrémní. Stěžovatel (Ryneš) zcela nepřijatelně trpěl po dobu několika let útoky na svou osobu, rodinu a majetek. Přitom během celé této doby využil všech jemu dostupných prostředků nezasahujících do práv a svobod jiných osob za účelem ochrany svých práv, a to zcela bezvýsledně. Teprve záznam z kamerového systému umožnil obvinění konkrétní osoby, proto lze na instalovanou kameru na domě stěžovatele nahlížet jako na potřebnou v porovnání s jinými (stěžovatelem ostatně bezvýsledně využitými) opatřeními.
Žádná jiná, do práv na soukromí třetích osob méně invazivní varianta neexistovala, pomine-li soud varianty neúnosně drahé (např. placení si soukromé bezpečnostní služby, což je u normálních smrtelníků vyloučeno již jen pro nákladnost takové služby).
NSS se rovněž vyjadřoval k povinnosti informovat o zpracování osobních údajů (§ 11 odst. 1 ZOOU), kdy se musí subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21 ZOOU.
Je evidetní, že tohle vše se na nějakou tabulku s informací „tento prostor je střežen kamerovým systémem“ nevejde. NSS proto uvádí, že je možno tuto povinnost plnit tak, že se na viditelném místě u monitorovaného prostoru umístí tabulka s informací o provozování kamery se záznamem (postačí třebas i piktogram kamery), uvedením správce osobních údajů a kontaktu, kde budou poskytnuty veškeré informace vyžadované dle § 11 odst. 1 zákona (webová stránka správce, e-mailový či telefonický kontakt na pověřenou osobu atd.) ( bod 103 rozsudku NSS)
Je zřejmé, že drtivá většina správců osobních údajů tuto povinnost řádně neplní. Tuto povinnost je možno splnit velmi elegantně prostřednictvím Klíče k ochraně osobních údajů, který Vám patřičný dokument, který bude obsahovat veškeré povinné údaje, vygeneruje. Rovněž je možno automaticky tento dokument zveřejnit prostřednictvím Databáze informací o zpracování osobních údajů .
Kamerové systémy v režimu GDPR
GDPR na rozdíl od zákona na ochranu osobních údajů stanovuje spíše obecné mantinely, než konkrétní povinnosti. Postup správce při zpracování osobních údajů spíše naznačuje, než striktně přikazuje. Je však třeba plnit základní zásady, které jsou v čl. 5 GDPR.
Mezi tyto zásady patří mimo jiné korektnost a transparentnost. V rámci zásady transparentnosti by tak bylo vhodné informace o zpracování osobních údajů zahrnující účel zpracování, prostředky, způsob zpracování, dobu uchovávání, rozsah zpracovávaných osobních údajů, důvod zákonnosti, kategorii příjemců, informací, zda je poskytnutí údajů zákonným či smluvním požadavkem a jaké jsou následky neposkytnutí těchto údajů, zveřejňovat někde na webových stránkách. Nejjednodušším nástrojem v tomto smyslu je využít Klíč k ochraně osobních údajů, dostupný na www.oou.cloud.
Další povinností je poskytnutí informací v případě, že osobní údaje nejsou získány od subjektu údajů dle čl. 14 GDPR. Tuto povinnost nemusí správce plnit, pokud jsou informace subjektu údajů již známy. Zde se proto ukazuje, že bude vhodné (rovněž za účelem naplnění zásady transparentnosti) tyto informace zveřejňovat na webových stránkách, protože pak může správce tvrdit (v případě problémů), že byly požadované informace subjektu údajů již známé, protože byly zveřejněny na webové stránce.
Správce má rovněž přijmout taková technická a organizační opatření, která zajistí to, že jsou osobní údaje zpracovávané v souladu s GDPR. GDPR však v určitých případech zavádí speciální, předepsaná technická a organizační opatření, které se v určitých případech mohou týkat i provozování kamerového systému.
Správce má povinnost vést záznamy o činnostech zpracování (čl. 30 GDPR), tehdy, když jde o podnik zaměstnávající více než 250 zaměstnanců, nebo pokud zpracování pravděpodobně představuje riziko pro práva a svobody subjektů údajů. To může být v každém konkrétním případě jiné, nicméně bude vhodnější záznamy o činnostech zpracování vést.
Posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (čl. 35 GDPR) správce zavádět musí tehdy, pokud půjde o rozsáhlé systematické monitorování veřejně přístupných prostorů (čl. 35 odst. 3 písm. c) GDPR). U kamerových systémů, které provozují města a obce to tedy bude nezbytné.
Předchozí konzultace s ÚOOÚ (čl. 36 GDPR) správce musí provádět, tehdy, když z posouzení vlivu na ochranu osobních údajů podle článku 35 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. V případě kamerových systémů, pokud bude dodržován princip subsidiarity a zásada minimalizace rozsahu, se na správce tato povinnost spíše vztahovat nebude.
Využití pověřence pro ochranu osobních údajů (čl. 37 – 39 GDPR) je povinné, pokud je správce orgán veřejné moci či veřejný subjekt, nebo pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů. Pokud tedy půjde o správce např. Bezpečnostní agenturu, jejíž hlavní činností bude provádět určité monitorování, pak půjde o hlavní činnost a pověřence mají jmenovat. V případě správce, který je např. drobný živnostník, který si kamerovým systém střeží areál, tak pro něho to není hlavní činnost ale činnost vedlejší, tak v takovém případě by pověřence jmenovat nemusel.