Dosavadní výklad v České republice

Kamerové systémy používané zejména pro ochranu zdraví, života a majetku, jsou v České republice dlouhodobým tématem i z pohledu ochrany osobních údajů. Příslušný dozorový orgán, Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“), k aplikaci pravidel pro zpracování dat při provozu kamerových systémů vydal první výkladové stanovisko již v roce 2006, tedy 10 let před platností obecného nařízení o ochraně osobních údajů[1] (General Data Protection Regulation, GDPR). Jednalo se o stanovisko č. 1/2006 Provozování kamerového systému z hlediska zákona o ochraně osobních údajů[2]. ÚOOÚ v tomto stanovisko formuloval názor, že právní rámec pro zpracování osobních údajů se uplatní jen na takové kamery či kamerové systémy, u kterých je „vedle kamerového sledování prováděn záznam pořizovaných záběrů, nebo jsou v záznamovém zařízení uchovávány informace a zároveň účelem pořizovaných záznamů, případně vybraných informací, je jejich využití k identifikaci fyzických osob souvislosti s určitým jednáním.“ Tento závěr pak ÚOOÚ uplatňoval v dozorové praxi, rozváděl jej v dalších stanoviscích[3] či obecných dokumentech a přejímala je i česká judikatura[4].

ÚOOÚ při výše popsané aplikaci pravidel ochrany osobních údajů na kamerové systémy vycházel z předchozí právní úpravy, tedy zákona č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, který prováděl příslušnou unijní směrnici[5]. S ohledem na to, že základní definice pojmů osobní údaj a zpracování však zůstaly i po přijetí GDPR obsahově prakticky totožné, byť s dílčími upřesněními[6], nebyl uvedený závěr, tedy že regulovány jsou toliko kamery pořizující záznam, ve veřejné diskusi zpochybněn. ÚOOÚ sice již v roce 2016 uspořádal veřejnou diskusi k otázce, zda se výkladově neposunout a posuzovat stejně kamery se záznamem i bez záznamu[7], jednoznačné vyjádření v tomto směru však nevydal.

Stanovisko Evropského sboru pro ochranu osobních údajů

Reklama

DPP/DPČ ve víru legislativních změn (online - živé vysílání) - 25.11.2024

25.11.2024 09:303 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Evropský sbor pro ochranu osobních údajů (dále jen „Sbor“), což je unijní instituce zřízená GDPR, která sdružuje zástupce dozorových úřadů z jednotlivých členských států Evropské unie a rovněž Evropského inspektora ochrany osobních údajů a má mj. přispívat k jednotnému uplatňování GDPR, vydal dne 30. ledna tohoto roku výkladová vodítka k ochraně osobních údajů v kamerových systémech. Tato vodítka, která jsou dosud dostupná pouze v angličtině[8], v České republice zatím příliš pozornosti nevyvolala. ÚOOÚ k vodítkům připravil shrnutí nejdůležitějších částí, ve kterém se zabývá především otázkou zákonnosti zpracování, minimalizací zpracovávaných údajů či právy dotčených osob[9]. Komentovaná vodítka však podle mého názoru obsahují důležitou koncepční změnu, kterou ÚOOÚ ve svém shrnutí neuvedl: Vodítka vycházejí z předpokladu, že GDPR se uplatní nejen na kamery pořizující záznam, ale i na kamery provádějící monitoring v reálném čase.

Ačkoliv takto výslovně to ve vodítkách formulováno není, možná proto, že pro dozorové úřady z jiných členských států to není nic nového, lze tento závěr jednoznačně dovodit na řadě míst uvedeného dokumentu. Zejména se jedná o následující části:

• bod 11, ve kterém vodítka uvádějí, že tzv. domácí výjimka z působnosti GDPR dle čl. 2 odst. 2 bodu c) se uplatní i u online aktivit (tedy kamer); pokud tedy online aktivity (kamery) neprovozuje fyzická osoba výlučně pro svoji osobní či domácí potřebu, GDPR se dle názoru Sboru uplatní
• bod 22, v němž se vodítka vyjadřují k otázce nezbytnosti zpracování osobních údajů a mj. uvádějí, že v některých případech může být nezbytné kromě kamerového sledování pořizovat rovněž záznam, v jiných však nikoliv; v obou těchto případech se však dle názoru Sboru zjevně jedná o zpracování osobních údajů v režimu GDPR
• bod 99, který uvozuje celou část o právech dotčených osob, vodítka uvádějí, že pokud správce zpracovává osobní údaje i nad rámec monitorování osob v reálném čase, musí se vypořádat i s jejich právy upravenými GDPR, např. právem na přístup k osobním údajům.
• bod 116, kde vodítka obsahují vzor informační tabule či nálepky, která by měla být umístěna u vstupu do monitorovaných prostor; vzor obsahuje i informace o tom, zda se pořizuje záznam nebo zda se jedná o monitorování v reálném čase. Oba případy však jsou považovány za zpracování osobních údajů v režimu GDPR.[10]

Z těchto částí nových vodítek podle mého soudu jednoznačně vyplývá, že vodítka jako celek vycházejí z předpokladu, že o zpracování osobních údajů se jedná jak u kamer či kamerových systémů pořizujících záznam, tak i u těch, které jsou využívány pouze k online monitoringu bez pořizování záznamu zachycených informací.

Pro úplnost můžeme dodat, že i další předpisy, které upravují ochranu soukromí, se zabývají rovněž sledováním v reálném čase. Z tohoto pohledu se tak nejedná v kontextu českého právního řádu nejedná o nic převratného. Zmínit můžeme jak občanský zákoník, které v § 86 mezi zakázané zásahy do soukromí řadí jak sledování soukromého života člověka, tak pořizování jeho obrazových či zvukových záznamů, nebo zákoník práce, který v § 316 odst. 2 mezi regulované zásahy do soukromí řadí mj. obecně otevřené či skryté sledování zaměstnance na pracovišti.

Dopady pro praxi

Je otázkou, kdy se výše uvedený posun projeví v dozorové praxi ÚOOÚ. Může se tak stát jak v jeho vlastním řízení, tak v případě společných postupů s dozorovými orgány z jiných členských států[11], pro které je podřazení online kamer pod regulaci zpracování osobních údajů již delší dobu běžné. Jedná se však o takový směr výkladu, který je zřejmě nevyhnutelný, ať už kvůli praxi v dalších členských státech či i z ryze technologického pohledu, kdy i při online kamerovém sledování fakticky dochází k přenášení dat mezi jednotlivými zařízeními a je důvodné je chránit i po tuto, byť velmi krátkou, dobu, po kterou jsou přenášeny či uchovávány.

Pro praktické posouzení toho, zda jsou online kamerové systémy či kamery provozovány v souladu s požadavky GDPR, resp. i pro identifikaci případných nedostatků, je podle mého názoru vhodné se zaměřit na prvním místě na následující otázky:

Jedná se o zpracování osobních údajů?

Ač vodítka obecně online kamery chápou jako nástroj pro zpracování osobních údajů, uvádějí i několik příkladů, kdy se GDPR na kamery obecně nevztahuje, např. pokud je snímání nastaveno tak, že nejde identifikovat konkrétní fyzické osoby.

Jaký je právní titul ke zpracování osobních údajů?

Při provozu kamer soukromoprávní subjekty bude z právních titulů ke zpracování osobních údajů nejčastěji využíván oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR. Je tedy nutné posoudit, zda i online kamery a související zpracování osobních údajů je skutečně nezbytné, resp. zda zájem správce, toho, kdo kamery provozuje, převáží zásah do práv dotčených osob. V tomto kontextu je vhodné posoudit i rozsah monitorovaných osob a prostor a zohlednit, zdali je toto nastavení skutečně přiměřené, resp. nezbytné k dosažení sledovaného cíle, jak o tom hovoří příslušná vodítka Sboru, především v bodech 24 a dále.

Je zpracování osobních údajů transparentní?

Prostory, které jsou monitorovány pouze online kamerami, by měly být označeny informačními tabulemi či samolepkami. Organizace, která tyto kamery provozuje, by pak měla být připravena poskytnout i detailnější informaci o souvisejícím zpracování osobních údajů.

Jsou osobní údaje dostatečně zabezpečeny?

Datové toky související s provozem online kamer musí být v souladu s čl. 32 GDPR zabezpečeny proti neoprávněnému přístupu ke zpracovávaným osobním údajů či k jejich neoprávněné či protiprávní změně. Jinak řečeno, i v případě online kamery musí být přijata přiměřená opatření pro zajištění důvěrnosti, integrity, dostupnosti a odolnost systémů a služeb zpracování osobních údajů.

Podílí se na zpracování osobních údajů další subjekty?

Pokud se na provozu online kamer zpracovávajících osobní údaje podílejí další osoby, dodavatelé, pak se bude obvykle jednat o zpracovatele ve smyslu definice dle čl. 4 odst. 8 GDPR. V takovém případě je zejména nutné posoudit, zda příslušná smlouva o poskytování služeb obsahuje veškeré nezbytné náležitosti požadované čl. 28 odst. 3 GDPR.

Zakládá provoz online kamer povinnost jmenovat pověřence pro ochranu osobních údajů?

Čl. 37 odst. 1 GDPR vypočítává druhy zpracování osobních údajů, při kterých je správce či zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů. Jedním z těchto druhů zpracování je i rozsáhlé pravidelné a systematické monitorování subjektů údajů. Pokud tedy organizace provádí rozsáhlé monitorování fyzických osob, byť v reálném čase a online kamery, může to být důvodem, proč jmenovat pověřence pro ochranu osobních údajů.[12]

Závěr

Jak je výše uvedeno, vodítka Evropského sboru pro ochranu osobních údajů vycházejí z předpokladu, že GDPR se uplatní i u online kamer, což je představuje výraznou změnu v porovnání s dosavadní praxí ÚOOÚ. Podle mého názoru lze důvodně očekávat, že ÚOOÚ v blízké době svůj přístup pozmění a začne povinnosti plynoucí z GDPR vymáhat i v případě online kamer.

V předchozí části článku jsou uvedeny základní principy, které považuji za vhodné posoudit na prvém místě v případě, kdy konkrétní správce online kamerový systém provozuje. Pokud však správce dojde k závěru, že daný kamerový systém skutečně osobní údaje zpracovává, je nutno myslet i na další povinnosti, které mu v takovém případě GDPR ukládá.[13] V opačném případě se vystavuje riziku, že jeho postup bude posouzen jako rozporný s požadavky GDPR se všemi důsledky, které mu z toho mohou vyplynout.

Mgr. František Nonnemann

Autor je zaměstnancem společnosti MALLPay, s.r.o., a členem výboru Spolku pro ochranu osobních údajů. V článku je prezentován osobní názor autora.