GDPR v súvislosti s kamerovými systémami

 Vážení zákazníci,

 

25. mája vojde do účinnosti Všeobecné nariadenie pre ochranu osobných údajov, známejší pod svojou angickou skratkou GDPR (General Data Protection Regulation). Z tohto nariadenia vyplývajú nielen práva, ale aj povinnosti. V tomto článku si uvedieme prehľad toho, ako sa GDPR dotkne kamerových systémov.

 

V skratke: v pokoji môže zostať ten, kto sa riadil podľa odposud platných zákonov a nariadení. GDPR totiž vo svojej podstate revolúciou v ochrane osobných údajov nie je.

 

Koho sa kamerových systémoch GDPR týka?

Kamerové systémy podliehajú nariadenia, keď ide o automatizované spracovanie, dáta sa ukladajú a je možné na základe údajov rozpoznať identifikovať osobu. Jedná sa teda o väčšinu prípadov v CCTV.

 

Osobné údaje - trocha teórie

Údaje uložené v záznamovom zariadení sú osobnými údajmi, pokiaľ sa na základe týchto záznamov (informácie z obrazových alebo zvukových nahrávok) možno priamo alebo nepriamo identifikovať konkrétnu fyzickú osobu.

Fyzická osoba je identifikovateľná, ak sú na zaznamenanom materiáli viditeľné jej charakteristické rozpoznávacie znaky (napr. Tvár) a na základe prepojenie rozpoznávacích znakov s ďalšími údajmi je možná identifikácia osoby. Osobný údaj potom tvoria tie identifikátory umožňujúci danú osobu spojiť s určitým konaním, ktoré je zaznamenané na snímkach.

 

Základné princípy GDPR

Na stránkach Úradu pre ochranu osobných údajov vznikla v nedávnej dobe stránka venujúci sa problematike GDPR. Jedná sa o pekne, stručne a prehľadne postavené stránky, ktoré Vás rýchlo zoznámi s týmto nariadením. Viďte webové stránky https://gdpr.uoou.cz/.

 

Spomeňme aspoň 3 základné princípy nariadenia, ktoré je potrebné dodržiavať:

 

  • zákonnosť
    • správca či spracovateľ je oprávnený spracovávať a nakladať s týmito údajmi
  • korektnosť
    • spracovanie osobných údajov prebieha v primeranej miere a v súlade s GDPR
  • transparentnosť
    • predpokladom je zoznámenie subjektu ohľadom záznamu kamerovými systémami a kto ho na aké  účely využíva

Ďalšie informácie o zásadách GDPR nájdete na stránke ÚOOÚ.

 

Oprávnenie na využitie kamerových systémov

Oprávnenie na možnosti využiť CCTV je niekoľko druhov. Pretože získavať súhlas od sledovaných osôb s použitím kamerového systému by bolo veľmi nepraktické, možno sa odvolať na iný právny titul. Jedná sa o oprávnenie k tomu, že vôbec smieme vyhotovovať zvukový a kamerový záznam. Asi najčastejšie využité budú tieto dva zákonné tituly:

a) spracovanie nevyhnutné na plnenie úlohy realizovanej pri výkone verejnej služby; v týchto prípadoch je potrebné dbať na ustanovenia príslušného zákona nariaďujúceho, resp. upravujúceho zvláštne podmienky kamerové sledovanie,

b) spracovanie nevyhnutné na účely oprávnených záujmov príslušného správcu

 

Ďalšie právne dôvody nájdete na tejto uvedenej stránke pod nadpisom: Aké sú právne dôvody spracovania osobných údajov subjektu údajov?

 

Zásady prevádzky

Aby bol zber dát z kamerových systémov právne v poriadku, musí spĺňať tieto podmienky:

  • Nezasahuje nadmerne do súkromia osôb
  • Dáta sú chránené - viďte dostavec Zabezpečenie spracovania (čl. 32
    • je teda na mieste, aby aj zariadenie umožnila technické zabezpečenie - ochrana snímacích zariadení, prenosových ciest a dátových nosičov, na ktorých sú záznamy uložené (šifrovaním, zaheslovaným prístupu k zariadeniu, a pod.)
  • Je daný jednoznačný účel vytvárania záznamov
    • ten je potreba zaniesť do dokumentácie a zoznámiť s ním subjektmi osobných údajov
  • Je potrebné stanoviť lehotu pre uchovávanie záznamov - viacmenej v rámci niekoľkých dní
    • dáta by mala byť uchovávaná v rámci časovej slučky napr. 24 hodín, pokiaľ ide o trvalo strážený objekt. Prípadne je možná aj dlhšia doba, v zásade ale nepresahujúcou niekoľko dní. Všeobecnou zásadou je, že dáta majú byť k dispozícii len po dobu nevyhnutnú na účel ich spracovania.
    • Zároveň musí byť zaručené, že dáta budú po uplynutí tejto doby zmazaná
  • Dodržiavanie práv dotknutých osôb
    • správca musí umožniť výkon ďalších práv dotknutej osoby, najmä právo na ďalšie informácie o spracovaní osobných údajov a právo na námietku
  • Uchovávanie dát a prístupov k nim má jasne stanovené pravidlá
    • týka sa uchovanie dát, prístupu k dátam - nastaviť pravidlá (vnútorná smernica)

 

Definovať a zmluvne uchopiť úlohy v rámci nariadenia.

GDPR definuje tieto pojmy:

  • subjekt údajov = človek, o ktorého údaje ide. V prípade CCTV sa jedná o monitorovanej osoby.
  • správca = ten, kto operácie s osobnými údajmi vykonáva, buď z vlastného rozhodnutia, alebo preto, že je to jeho zákonnou povinnosťou
  • spracovateľ = niekto iný, koho správca vykonávaním takejto činnosti pre neho zmluvou poverí.

Medzi správcom a spracovateľom sa musí zmluvne dohodnutý rozsah a podmienky spolupráce.

 

Povinnosti pre správcov

Správca je povinný dokumentovať všetky prípady porušenia bezpečnosti osobných údajov a riešiť bezpečnostné incidenty. Evidencia týchto "prehreškov" na ochrane osobných údajov potom slúži ako nástroj pre nasadenie preventnivních opatrenia, aby sa podobné udalosti neopakovali.

Kamerové systémy transparentne

Dotknuté osoby je potrebné o použití kamerového systému informovaný. Súčasťou informácie má byť aj to, kto ho prevádzkuje. K tomu poslúži napr. Nápis umiestnený v monitorovanej miestnosti. Správca musí umožniť výkon ďalších práv dotknutej osoby, najmä právo na ďalšie informácie o spracovaní osobných údajov a právo na námietku. Ak má dom viac ako jeden vchod / vjazd, musia byť tieto ceduľky umiestnené na všetkých týchto miestach.

Súčasne je dobré umiestniť doplňujúce informácie na domovú nástenku či elektronickú informačnú dosku pre členov družstva / SVJ aj pre prípadné pravidelné alebo náhodných návštevníkov. (Viac informácií nájdete v zdroji)

Bude nutné uvádzať kontakt na prevádzkovateľa systému a tiež účely, na aké sú záznamy zhotovované.

 

 

Novinky vyplývajúce zo zavedenia GDPR

Treba kamerový systém registrovať u ÚOOÚ?

  • Nie, táto povinnosť od 25. mája 2018 odpadá.

 

Povinnosť viesť si záznamy o činnostiach spracovania

Záznamy sa vyhotovujú písomne, v to počítajúc aj elektronickú formu. Správca, spracovateľ alebo prípadný zástupca prevádzkovateľa alebo sprostredkovateľa poskytne záznamy na požiadanie dozorného úradu. Záznam o činnostiach spracovania pre kamerový systém musí obsahovať tieto údaje:

  • Označenie správcu.
  • Bežná identifikácia správcu, tj. Subjektu, ktorý vykonáva spracovanie.
  • Účel spracovania (napr. Ochrana majetku správcu, života a zdravia osôb, prostredníctvom stálej kamerového systému).
  • Popis kategórií dotknutých osôb.
  • Zamestnanci a príležitostne vstupujúce osoby do monitorovaného priestoru (dodávatelia, návštevy a pod.).
  • Popis kategórií osobných údajov.
  • Podoba a obrazové informácie o správaní a rokovaní zaznamenaných osôb.
  • Príjemcovia osobných údajov a informácie o prípadnom odovzdaní osobných údajov do tretích krajín.
  • V odôvodnených prípadoch orgány činné v trestnom konaní, prípadne iné zainteresované strany pre naplnenie účelu spracovania (napr. Poisťovňa).
  • Lehota pre výmaz (čas uchovania záznamu je X dní).
  • Záznam zachyteného incident je uložený po dobu nevyhnutnú pre prerokovanie prípadu.
  • Technické a organizačné bezpečnostné opatrenia.
  • Bezpečnostný kryt (riadený prístup k dátam, školenia oprávnených osôb, vedenie záznamov o odovzdaní nahrávok oprávneným orgánom a osobám).

 

Povinnosť hlásenia bezpečnostných incidentov

Pokiaľ ide o ohlasovaní prípadov porušení zabezpečenia osobných údajov dozornému úradu, autori nariadenia očakávajú, že akékoľvek porušenie zabezpečenia správca bez zbytočného odkladu a pokiaľ možno do 72 hodín od okamihu, keď sa o ňom dozvedel, ohlási dozornému úradu. Hlásenie však nemusí na příslšný orgán podávať, ak je nepravdepodobné, že by toto porušenie malo za následok riziko pre práva a slobody fyzických osôb.

Oznamovacia povinnosť sa podľa § 16 zákona vzťahuje len na správcu.

 

Princíp zodpovednosti

Táto zásada znamená, že súlad s nariadením dokladá priamo správcu na vyžiadanie dozorného úradu. Záznam o činnostechzpracování teda předkládápřímo Úradu pre ochranu osobných údajov. Ten je preto potrebné viesť písomne ​​či elektronicky (zdroj).

 

Posúdenie vplyvu na ochranu osobných údajov

Táto povinnosť sa nevzťahuje na všetkých prevádzkovateľov kamerových systémov. Ak však správca chce spracovávať osobné údaje, ktorých spracovanie môže mať za následok vysoké riziko do práv a slobôd fyzických osôb, je správca povinný pred začatím takéhoto spracovania vykonať posúdenie vplyvu na ochranu osobných údajov (PIA - Privacy Impact Assessment).

Do tejto skupiny spracovanie osobných údajov bude zaradené aj prevádzkovanie CCTV, ktoré bude vykonávať rozsiahle systematické monitorovanie verejne prístupných priestorov. Viac informácií nájdete na tejto stránke.

 

Použité zdroje:

https://www.tzb-info.cz/kamerove-systemy/15861-gdpr-kamery-v-bytovem-dome-v-roce-2018
https://www.uoou.cz/k-nbsp-provozovani-kamerovych-systemu/d-29535/p1=1099
https://gdpr.uoou.cz/
https://www.maceklegal.cz/pravni-uprava-kamerovych-systemu-podle-gdpr.html
https://www.podnikatel.cz/clanky/hlidate-areal-sve-firmy-a-pracoviste-kamerami-pak-vas-cekaji-nove-povinnosti/
https://faei.cz/gdpr-a-kamerove-systemy-musime-se-bat/

 

 

 
 
Oddělovač