Práva subjektu údajů podle GDPR – hrozba pro provozovatele kamerových systémů I.
První část: Právo na přístup k osobním údajům
GDPR posiluje a rozšiřuje právo subjektu údajů na přístup ke shromážděným osobním údajům. K tomu účelu očekává, že správce nebo zpracovatel usnadní jeho výkon a zajistí možnost jeho realizace v přiměřených odstupech.
V souvislosti s provozováním kamerových systémů již proběhla (na těchto stránkách) úvaha o realizaci jednoho ze základních práv subjektu údajů, a to práva být informován (dnes § 11 zákona č. 101/2000 Sb.). Obecné nařízení o ochraně osobních údajů (GDPR) v této tradici pokračuje prostřednictvím zásady transparentnosti vymezené v článku 5 odst. 1 písm. a) GDPR. Tato zásada vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Tomu odpovídá tradiční a základní informace o monitorování prostot provedená umístěním informační cedulky s ikonou kamery, často doplněná stručnou informací typu „prostor je monitorován“. Tomuto postupu odpovídá i další očekávání GDPR, když se zde v recitálu 61 uvádí, že „Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů.“.
Tak jako při zpracování osobních údajů, které probíhá podle dnes platných právních předpisů, může subjekt údajů uplatnit svá další práva, GDPR tato práva dále rozvíjí a rozšiřuje a s jeho adaptačním procesem tak musí počítat i všechny odpovědné subjekty, které zpracovávají osobní údaje osob při provozu kamerových systémů v domě.
Jedním z již dnes známých a používaných práv je právo na přístup k osobním údajům (dnes § 12 Zákona č. 101/2000 Sb.; v GDPR článek 15). Obecně platí, že subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.
Zmiňovaný článek uvádí, že subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k taxativně uváděným informacím, jako je účel zpracování; kategorie osobních údajů; označení příjemce nebo jeho kategorie příjemců; doba, po kterou budou osobní údaje uloženy, nebo kritéria použitá ke stanovení této doby; existence dalších práv (oprava nebo výmaz, omezení zpracování, vznést námitku, podat stížnost).
Další skupina informací (informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů a skutečnost, že dochází k automatizovanému rozhodování, včetně profilování) se podle názoru autorky problematiky běžného provozu kamerového systému nedotýká, a proto se dále v tomto článku nekomentuje.
Vraťme se k úvodní úvaze prosazující nároky subjektu údajů cestou zásady transparentnosti, když Obecné nařízení současně prostřednictvím čl. 12 očekává snadné uplatnění tohoto práva. Aby však mohlo být právo na přístup k osobním údajům subjektu údajů realizováno a zákonným způsobem provedeno, musí vždy proběhnout identifikace osoby, která toto právo uplatnila. V této souvislosti GDPR prostřednictvím rec. 64 uvádí, že „Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup…“.
Díky této skutečnosti se může objevit situace, kdy o právo na přístup požádá osoba, která je již správcem identifikována (spoluvlastník nemovitosti, člen SVJ nebo družstva, nájemník, zaměstnanec atd.); co však v případě, kdy právo na přístup uplatní jiná osoba? Zde pak platí zásada výše uvedená a k identifikaci musí dojít, např. předložením OP nebo jiného osobního dokladu). Pokud žadatel o přístup svou identifikaci odmítne, dostává se správce/provozovatel kamerového systému do situace, kdy sice může zpřístupnění informace odmítnout, ale současně by o tom měl učinit alespoň stručný záznam (např. do knihy o provozu tohoto systému), aby mohl lépe čelit případnému dozorovému úkonu ze strany Úřadu pro ochranu osobních údajů, pokud by se odmítnutý žadatel obrátil na tento úřad se svou stížností.
Pokud tedy vše proběhne hladce a žadateli o přístup bude vyhověno, měl o tomto úkonu být opět učiněn stručný záznam do provozní knihy, ale pozor již jen s takovými OU, které nezasahují výrazně do práva subjektu údajů. Zde se tak doporučuje postupovat v souladu s další zásadou GDPR, a to zásadou přesnosti a minimalizace údajů, která stanoví, že osobní údaje by měly být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.
Správce však bude muset řešit ještě jednu související otázku, a to dobu pro uchování těchto informací.
V této souvislosti působí velmi rozpačitě věta, obsažená v recitálu 64 GDPR, podle které by „správce (v souvislosti s identifikací subjektu údajů; pozn. aut.) neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat na případné žádosti“.
Pokud jde o uchování osobních údajů osoby žádající o přístup k informacím, nebo uplatňující jiné obdobné právo, může nastat úvaha, že nejde o tzv. evidenci (viz definice pojmu obsažená v čl. 4 odst. 6 GDPR1), která spadá do působnosti Obecného nařízení. I když se tato úvaha na první pohled může zdát hodně odvážná, její existenci podporuje samo Nařízení cestou rec. 15., kde se uvádí, že: „Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.“
Vraťme se k samotnému obsahu práva na přístup.
Jeho první fázi, tedy podání žádosti a následnou identifikaci žadatele jsme již podrobně probrali. Ale co dál? Posadí provozovatel kamerového systému žadatele k jednotlivým sekvencím a nechá jej volně vyhledávat a prohlížet vše, co záznamy obsahují anebo by to měl být žadatel sám, který upřesní, o co se mu konkrétně jedná. V každém případě jednoznačné řešení a odpověď nelze v současné době naformulovat. Bude jistě třeba, aby oprávněná osoba byla vždy přítomna a ona sama ovládala záznamové zařízení a nikoliv žadatel sám.
Pouhou prohlídkou uchovávaných záznamů a předáním skupiny doprovodných informací však toto právo nekončí.
Podle čl. 15 odst. 3 GDPR má správce žadateli poskytnout kopii zpracovávaných osobních údajů. Podle názoru autorky je tak trochu chybou textu, že se zde neuvádí, že tak činí na žádost subjektu údajů, a ne automaticky, aniž o to subjekt údajů požádal. V případě dalších kopií se toto spojení již v citovaném článku 15 objevuje „Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů.“.
Problém spočívá v tom, že pokud žadateli o přístup nebude kopie poskytnuta, může (podle názoru autorky) podat celkem úspěšně stížnost u dozorového úřadu.
V této souvislosti však platí ještě dvě problémová ustanovení:
- Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob (čl. 15 odst. 3).
- Právem získat kopii zpracovávaných osobních údajů nesmějí být nepříznivě dotčena práva a svobody jiných osob (čl. 15 odst. 4).
Pokud jde o povinnost správce poskytnout informace v elektronické formě, asi se v případě pořízení kopie záznamu z kamerového systému nebude jednat o nějaký zásadní problém. Co ale nastane v případě, že se na záznamu objeví také jiné osoby? Zde je nezbytné postupovat tak, jak nabádá samo Obecné nařízení, tedy zpřístupněním údajů nesmí dojít k nepříznivému zásahu do práv a svobod jiných osob. Poskytovatel informace by měl před předáním informací anonymizovat všechny osobní údaje, které se zpřístupněním osobních údajů žadatele nemají nic společného.
Nejlépe si tento postup vysvětlíme na příkladu:
SVJ se rozhodlo provozovat kamerový systém se záznamem v prostoru garáží bytového domu. Následně došlo k poškození motorového vozidla člena SVJ, který požádal o zpřístupnění záznamů, které se ho týkají. Obecně se záznamy o provozu kamerového systému v těchto prostorách uchovávají řádově několik dnů/týdnů, ale i tak bude poměrně složité pro provozovatele kamerového systému poskytnout veškeré dostupné informace žadateli, aniž by se nedotkl práv a svobod osob, které parkují se svými vozidly v blízkosti poškozeného. Provozovatel musí na základě žádosti o přístup nejprve projít všechny záznamy a anonymizovat všechny osobní údaje (SPZ okolních vozidel, tváře procházejících osob), které s žádostí nesouvisejí, ale mohly by nepříznivě zasáhnout do práv a svobod jiných osob. Teprve poté může zpřístupnit požadované sekvence žadateli o informaci.
Tento postup se na první pohled jeví jako velmi složitý, a proto se nabízí jako možné řešení jistá dohoda s žadatelem o přístup, že se celý záznam zpřístupní Policii, která má jisté zákonné povinnosti při zpracování osobních údajů v rámci řešení případů trestné činnosti a správce tak nemusí pracně řešit otázky související s anonymizací osobních údajů.
Poslední úvaha na závěr se týká očekávání Nařízení, které je obecně vyjádřeno v čl. 12 odst. 3, podle kterého má správce poskytnout informace bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. (lhůtu je možno v souladu s čl. 12 odst. 3 prodloužit s ohledem na složitost případu prodloužit o další dva měsíce, ale je nezbytné žadatele o důvodech informovat).
Čl. 12 odst. 3 GDPR: Správce poskytne subjektu údajů na žádost podle článků 15 až 22 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.
Závěr autorky: Obecné nařízení o ochraně osobních údajů obsahuje celou řadu nových oprávnění subjektů údajů a posiluje i ta již dnes známá oprávnění. Každý odpovědný subjekt v postavení správce nebo zpracovatele by se měl velmi intenzivně připravovat na jejich možný dopad a chránit tak své budoucí postavení.
V následujícím článku se autorka hodlá věnovat dalším oprávněním subjektu údajů ve vazbě na provoz kamerového systému v domě, a to právu na výmaz a právu na přenositelnost.
Foto: Michal Randa
Poznámka
1 Čl. 4 odst. 6) GDPR: „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska; ... Zpět
GDPR strengthens and expands the right of the data subject to access to collected personal data. To this end, it expects the controller or processor to facilitate its performance and ensure that it can be implemented at reasonable intervals.