Kamerové systémy
Kamerové systémy v režimu zákona o ochraně osobních údajů
Při provozování kamerového systému dochází ke zpracování osobních údajů, pokud je pořizován a uchováván záznam. V takovém případě musí provozovatel splnit všechny povinnosti správce osobních údajů dle platných právních předpisů.
Tyto povinnosti lze snadno splnit pomocí Klíče k ochraně osobních údajů. Na rozdíl od některých sousedních zemí (např. Německo, Rakousko, Slovensko), kde platí speciální úprava pro provoz kamerových systémů, Česká republika nemá jednoznačně definovaná pravidla. Proto se často pracuje s výklady zákona, což může vést k nejednotným rozhodnutím.
Nejasnosti v právním výkladu
Existují různé představy o tom, jaké povinnosti by měl provozovatel kamerového systému splnit. Jelikož nelze jednoznačně odvodit veškeré povinnosti pouze z obecných ustanovení zákona o ochraně osobních údajů, dochází v praxi k rozporům i mezi rozhodnutími Úřadu pro ochranu osobních údajů (ÚOOÚ).
Rozhodnutí Nejvyššího správního soudu (NSS)
V tomto kontextu je klíčové rozhodnutí NSS ze dne 25. 2. 2015 ve věci Ryneš vs. ÚOOÚ (sp. zn. 1 As 113/2012-133). Toto rozhodnutí se podrobně zabývá právním postavením kamerových systémů a shrnuje klíčové povinnosti správce.
Zásada subsidiarity
V rámci tohoto rozhodnutí NSS podtrhuje zásadu subsidiarity, podle které musí být instalace kamerového systému odůvodněna reálnou hrozbou nebo opakovanými útoky na majetek či jiné ústavně chráněné hodnoty. Instalace kamerového systému by tedy měla být posledním opatřením, pokud jiná méně invazivní opatření selhala.
Informační povinnost správce
Podle § 11 odst. 1 zákona o ochraně osobních údajů musí být subjekty údajů informovány o rozsahu a účelu zpracování jejich údajů, o správci, způsobu zpracování a právech subjektu údajů. Jelikož tyto informace nelze efektivně sdělit pouze tabulkou s nápisem „Tento prostor je monitorován“, doporučuje se uvést na viditelném místě:
- Piktogram kamery
- Název správce osobních údajů
- Kontakt na správce nebo odkaz na web s podrobnostmi
Informace lze snadno generovat prostřednictvím Klíče k ochraně osobních údajů a zveřejnit je také v Databázi informací o zpracování osobních údajů.
Kamerové systémy v režimu GDPR
Na rozdíl od staršího zákona GDPR stanovuje spíše obecné zásady než konkrétní povinnosti. Mezi základní principy patří zejména zásada korektnosti a transparentnosti, která vyžaduje, aby informace o kamerovém systému byly snadno dostupné.
Klíčové povinnosti správce dle GDPR
- Zveřejnění informací o zpracování osobních údajů – Nejjednodušším způsobem je zveřejnění na webu správce nebo v Databázi informací o zpracování osobních údajů.
- Plnění informační povinnosti dle čl. 14 GDPR – Pokud osobní údaje nejsou získány přímo od subjektu údajů, musí správce zajistit, že subjekt údajů je s nimi seznámen.
- Přijetí technických a organizačních opatření – Správce musí zajistit, že osobní údaje jsou chráněny před neoprávněným přístupem, např. zabezpečením kamerových záznamů heslem či omezeným přístupem.
- Vedení záznamů o činnostech zpracování – Povinné pro podniky s více než 250 zaměstnanci nebo v případech, kdy zpracování osobních údajů představuje zvýšené riziko.
- Posouzení vlivu na ochranu osobních údajů – Povinné při rozsáhlém systematickém monitorování veřejně přístupných prostorů.
- Konzultace s ÚOOÚ – Pokud z posouzení vlivu vyplývá vysoké riziko zpracování údajů, správce musí kontaktovat ÚOOÚ.
- Jmenování pověřence pro ochranu osobních údajů – Povinné pro subjekty provádějící rozsáhlé monitorování veřejného prostoru, např. bezpečnostní agentury.
Závěr
Provozování kamerového systému v souladu s GDPR a zákonem o ochraně osobních údajů vyžaduje nejen technická opatření, ale také odpovídající administrativní dokumentaci. Nejlepší cestou k naplnění těchto povinností je využití nástroje Klíč k ochraně osobních údajů, který vám pomůže generovat všechny potřebné dokumenty a zajistit soulad s právními požadavky.
Pokud si nejste jisti, zda váš kamerový systém splňuje všechny náležitosti, doporučujeme odbornou konzultaci nebo využití dostupných nástrojů pro GDPR compliance.