GDPR – kamery v bytovém domě v roce 2018
Také máte v bytovém domě instalovaný kamerový systém? Co pro Vás bude znamenat rok 2018, kdy nabývá účinnosti nový evropský právní rámec v oblasti ochrany osobních údajů, který představuje Obecné nařízení 2016/679.
Pokud jste se v minulém období rozhodli pro instalaci kamerového systému v bytovém domě a jste v postavení odpovědné osoby (správce neb zpracovatele), pak by Vás mělo zajímat to, že se podmínky pro provozování kamerového systému budou od května příštího roku řídit zcela novým právním předpisem, a to Obecným nařízením EU1.
Nejdříve krátce shrneme kroky, které musí každý provozovatel kamerového systému v bytovém domě udělat dle současného právního stavu:
- Zaregistrovat zpracování osobních údajů v souladu s § 16 zákona č. 101/2000 Sb.2.
- Informovat všechny osoby vstupující do monitorovaného prostoru prostřednictvím informační cedulky s logem kamery v souladu s § 11 výše uvedeného zákona
- Informovat všechny osoby, které v domě bydlí o právním titulu pro zpracování jejich osobních údajů (souhlas nebo právní titul dle § 5 odst. 2 písm. f) tohoto zákona).
- Zabezpečit zpracovávané údaje v souladu s § 13 zákona č. 101/2000 Sb. proti jejich možnému zneužití.
- Při provozování kamerového systému dbát na ochranu soukromí monitorovaných osob v souladu s § 10 uvedeného zákona.
Pokud dnešní provozovatel kamerového systému dbal na všechny shora uváděné zásady a doporučení, které v této oblasti vydal Úřad pro ochranu osobních údajů, který je dozorovým úřadem v oblasti ochrany osobních údajů, pak by se tento subjekt měl vypořádat i s novým Obecným nařízením EU, které bude účinné od května 2018.
Jaké články Nařízení se budou na provoz kamerového systému vztahovat?
Zásady zpracování osobních údajů (čl. 5)
Podle základní zásady, která ovšem platí již dnes, musí být osobní údaje ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem. Tento princip Nařízení označuje jako „zákonnost, korektnost a transparentnost“.
Jinými slovy řečeno musí každý správce nebo zpracovatel dodržet určitá pravidla pro zpracování osobních údajů, která by měla ochránit subjekt údajů před nezákonným zpracováním jeho osobních dat.
Zákonnost zpracování (čl. 6)
Podle Nařízení je zpracování osobních údajů zákonné, pouze pokud je splněna nejméně jedna z podmínek uváděných zde v taxativním výčtu. Zpracování tak může probíhat zejména za situace, kdy subjekt údajů udělí souhlas se zpracováním.
V případě kamerového systému však stejně jako je tomu dnes se souhlas nezdá být vhodným právním titulem a proto bude nejspíš využívána jiná výjimka, která se týká možnosti zpracovávat osobní údaje bez souhlasu. Za situace, kdy zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě (čl. 6 odst. 1 písm. f) Nařízení), může zpracování probíhat bez souhlasu subjektu údajů.
Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů (čl. 12)
Podle zde uváděných zásad by správce měl přijmout všechna vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace, týkající se zpracování osobních údajů, uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti.
Informace správce poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě.
Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
Informace, které mají být subjektům údajů poskytnuty podle článků 13 a 14, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.
Pro provozovatele kamerového systému plyne z tohoto článku jedna základní povinnost, a to, aby informační tabulka o provozu kamerového systému v domě byla dobře viditelná již při vstupu/vjezdu osob do monitorovaných míst. To znamená, že má-li dům více než jeden vchod/vjezd, musí být tyto cedulky umístěny na všech těchto místech. Současně je dobré umístit doplňující informace (tomuto tématu bude věnován následující příspěvek – „Informace o provozu kamerového systému v obytném domě“) na nástěnku v domě, elektronickou informační desku pro členy družstva/SVJ i pro případné pravidelné nebo náhodné návštěvníky.
Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů (čl. 14)
Pro provozování kamerového systému a poskytování informací se bude aplikovat postupy, související s tím, že osobní údaje nebyly získány přímo od subjektu údajů, tedy komunikací s ním, ale prostřednictvím CCTV.
V této souvislosti poskytne správce subjektu údajů tyto informace:
- totožnost a kontaktní údaje správce a případně jeho zástupce;
- kontaktní údaje případného pověřence pro ochranu osobních údajů;
- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
- kategorie dotčených osobních údajů;
- příjemce nebo kategorie příjemců osobních údajů.
Kromě výše uváděných informací poskytne správce v souladu s tímto článkem subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
- doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
- oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
- existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
- pokud je zpracování založeno na souhlasu, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
- existence práva podat stížnost u dozorového úřadu;
- zdroj, ze kterého osobní údaje pocházejí.
Správce poskytne informace:
- v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
- nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
- nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
Jak již uvedeno výše, se shora uváděnou povinností informovat subjekt údajů se bude muset správce nebo zpracovatel vypořádat vždy a proto je důležité využít všech možností a informovat osoby, které v domě bydlí, způsobem, který je již dnes běžně využíván pro komunikaci. Nařízení totiž vychází z předpokladu, že správce nebo zpracovatel nemusí všechny své povinnosti opakovaně plnit za situace, kdy subjekt údajů již uvedené informace má (čl. 14 odst. 5 písm. a).
Poněkud náročnější oproti současnému stavu je rozsah zpřístupňovaných informací. V praxi to znamená, že povinný subjekt musí v rámci informačních cedulek umístit kontakt na provozovatele systému, který poskytne na žádost všechny informace, které čl. 14 Nařízení stanoví, nebo zvolit praxi, že tyto informace jsou viditelně dostupné např. na nástěnce v domě nebo elektronicky.
Odpovědnost správce (čl. 24)
Stejně jako dnes je i podle Nařízení vždy primárně odpovědný správce – družstvo, nebo SVJ, který rozhodl o provozování kamerového systému.
Podle výše uváděného článku musí správce s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.
Tato opatření musí být podle potřeby revidována a aktualizována.
Tato povinnost v zásadě nemění dosavadní způsob realizace zabezpečení zpracovávaných osobních údajů. Již dnes by mělo být běžné, že provoz kamerového systému a jeho datové úložiště je zabezpečen proti neoprávněnému přístupu.
Záměrná a standardní ochrana osobních údajů (čl. 25)
V souladu s odst. 2 tohoto článku se předpokládá, že každý odpovědný subjekt v postavení správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné.
Tato povinnost se týká:
- množství shromážděných osobních údajů,
- rozsahu jejich zpracování,
- doby jejich uložení
- jejich dostupnosti.
Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.
Záznamy o činnostech zpracování (čl. 30)
Vedení záznamů je jakousi náhradou za zrušení registrační povinnosti podle dnes platného zákona č. 101/2000. Protože se provoz kamerového systému nedá považovat za příležitostné zpracování v kontextu výjimky uvedené v odst. 5 tohoto článku, měl by se každý provozovatel CCTV včas připravit na tuto novou povinnost.
Podle tohoto článku každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá.
Tyto záznamy obsahují všechny tyto informace:
- jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
- účely zpracování;
- popis kategorií subjektů údajů a kategorií osobních údajů;
- kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
- informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
- je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
- je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu.
Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu.
Zabezpečení zpracování (čl. 32)
Stejně jako dnešní § 13 zákona č. 101/2000 Sb. I v Nařízení lze nalézt samostatnou část, která se věnuje zabezpečení dat, a která se týká povinností správce.
Ten musí s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:
- pseudonymizace a šifrování osobních údajů;
- schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
- schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
- procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Ve svém důsledku tato zásada jistě přináší zvýšený tlak jak na provozovatele systému, tak na dodavatele a servisní společnosti, které se údržbou CCTV zabývají.
Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (čl. 33)
Jde o novou povinnost, která očekává, že jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
V této souvislosti půjde nepochybně o možný únik dat ze systému nebo nějaké jiné vážné porušení zásady zabezpečení dat. V každém případě musí odpovědný subjekt situaci vyhodnotit a učinit všechny kroky, aby se důsledky bezpečnostního incidentu minimalizovaly.
Tato zásada tak neznamená, že vše se musí okamžitě hlásit dozorovému úřadu, ale znamená, že správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.
Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
Tato nová povinnost se na provozovatele kamerového systému bude vztahovat. (pozn. aut. textu)
Posouzení vlivu na ochranu osobních údajů (čl. 35)
Jde o dopad nové povinnosti, o kterém sice může být vedena následně ještě diskuse, ale pro pořádek je autorčin záměr, uvádět všechny zásadní články Nařízení, které mají vliv na současné plnění povinností odpovědného subjektu při zpracování osobních údajů.
Podle zde uváděných předpokladů znamená, že posouzení vlivu bude třeba provádět vždy za situace, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Posouzení vlivu na ochranu osobních údajů bude v souladu s čl. 35 odst. 3 písm. c) nutné v případě, kdy je prováděno rozsáhlé systematické monitorování veřejně přístupných prostorů.
Posouzení vlivu provede správce vždy před zahájením zpracování.
Tato nová povinnost se na provozovatele kamerového systému nejspíše nebude vztahovat, a to proto, že vnitřní prostory v domě nejsou považovány za prostory veřejně přístupné. Je však nezbytné sledovat průběh adaptačního procesu. (pozn. aut. textu)
Závěr
Z výše uváděného textu vyplývá celá řada dopadů nového evropského právního rámce v oblasti ochrany osobních údajů, která se týkají provozování kamerového systému v bytovém domě. Bude proto nezbytné, včas posoudit každou prováděnou operaci s daty, zvážit úroveň zabezpečení systému a všechna další kritéria. Nové Nařízení nabývá účinnosti dnem 25. května 2018.
Foto: Michal Randa, redakce TZB-info
Poznámky
1 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ... Zpět
2 Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. ... Zpět
Do you have a CCTV installed in your apartment building? What will happen to you in 2018, when the new European legal framework for the protection of personal data, which is the General Regulation 2016/679, comes into force.