Jak se připravit při užívání kamerových systémů na GDPR

5208

Na začátek platnosti GDPR (General Data Protection Regulation), tedy obecného nařízení o ochraně osobních údajů, se v současné době připravuje už téměř každý. Mnoho z organizací, firem i dalších právních entit využívá k ochraně majetku nebo osob kamerový sytém a snaží se přijít na to, co musí změnit, aby byly tzv. v souladu s GDPR. Právě o tom je následující článek.

Za poslední rok bylo na problematiku a ustanovení obecného nařízení o ochraně osobních údajů uskutečněno nespočet školení, prezentací, seminářů i webinářů, napsáno mnoho knih, příruček, vodítek i doporučení, na internetu najdete mnoho webových stránek zabývajících se touto problematikou, existují kurzy, vydávají se certifikáty pro pověřence ochrany osobních údajů a zároveň nenajdete jediného experta, který by vám nebyl schopen poradit ohledně ochrany osobních údajů a souladu s GDPR. Ano správně, dnes se vše točí kolem „magické“ zkratky GDPR. Proč tomu tak je a opravdu nás čeká s 25. květnem 2018, dnem kdy GDPR bude oficiálně platné, revoluce a kdo nebude na tento den připraven, bude beze slitování „popraven“?

Blíží se revoluce?

To, že se GDPR týká zpracování osobních údajů, není nutné více zdůrazňovat. Pojmy jako Správce, Zpracovatel, osobní údaj i zpracování tu byly již dříve a zůstávají i dnes. Každý z nás, kdo osobní údaje zpracovává, se na platnost obecného nařízení připravuje. V jaké fázi příprav se kdo nachází, záleží na tom, kdy se začal připravovat na GDPR, ale zejména na tom, jak byl schopen naplňovat současnou právní úpravu ochrany osobních údajů a být s ní v souladu.

Stávající právní úprava, tedy zejména zákon 101/2000 Sb., stanovuje určité principy zpracování osobních údajů pro správce, zpracovatele i subjekty údajů. Dává nám práva i povinnosti a stanovuje sankce, pokud nebudou dodržovány. Pro ty, kteří tento zákon naplňují (Ano, říkáte si správně, je to zákon, takže by měl být dodržován každým), se nebude s platností GDPR jednat o žádnou revoluci.

Posílení práv subjektů údajů

GDPR přináší pro subjekty údajů posílení svých práv. Určitě jste již slyšeli o pojmech jako právo na opravu, výmaz, omezení zpracování, na přenositelnost a právo vznést námitku. Přestože tato práva mohou znít relativně nově, z velké části platí i dnes se zákonem č. 101/2000 Sb., jen nejsou takto pojmenována. Některá, jako např. právo na přenositelnost, jsou zcela nová. Pro subjekty údajů, tedy fyzické osoby, jejichž osobní údaje jsou zpracovávány, získá s platností GDPR  posílení svých práv. Naproti tomu stojí správci a zpracovatelé. Těm GDPR přináší mnohem větší administrativní zátěž.

Hrozba správních pokut a sankcí

Jakým způsobem a v jaké četnosti bude dozorový úřad, tedy Úřad pro ochranu osobních údajů (dále jen „Úřad“), provádět kontrolní činnost a dodržování obecného nařízení, lze do jisté míry jen předpokládat. Co je jisté, jsou možnosti, jaké bude mít pro udílení správních pokut. Podle současného zákona může Úřad udělit pokutu až do výše 10 miliónů korun. Obecné nařízení definuje dvě skupiny výše pokut, které může Úřad udělit. Jsou rozděleny podle závažnosti a povahy porušení stanovených povinností. První skupina definuje pokuty do výše 10 miliónů euro nebo až do 2% celkového ročního celosvětového obratu podniku. Ve druhé skupině je poté definována výše pokut 20 miliónů euro nebo až 4% celkového ročního celosvětového obratu podniku. Při určování výše pokuty bude Úřad posuzovat povahu, rozsah a závažnost porušení, intenzitu zásahu do práva na ochranu osobních údajů, zda se jednalo o úmyslné či nedbalostní porušení a další. Nicméně z uvedených rozsahů pokut je zřejmé, že se jedná o podstatné navýšení horní hranice pro udílení pokut.

Před vznikem GDPR byly hlavními důvody pro zajištění bezpečnosti osobních údajů pro jednotlivé společnosti zejména identifikovaná rizika, požadavky na inovaci, negativní zkušenosti s incidenty či nedostatečné povědomí. Dnes a to zejména díky hrozbě enormních pokut, budou právě ony tím hlavním důvodem pro zajištění bezpečnosti požadavky na soulad s nařízením.

Provoz kamerových systémů

Pokud při provozování kamerových systému dochází kromě prostého monitorování také k pořizování obrazových záznamů, dochází ke zpracování osobních údajů. Tak ve zkratce zní současné stanovisko Úřadu ohledně kamerových systémů. Co při takovém zpracování je nutné zohlednit?

Každé zpracování osobních údajů by z pohledu obecného nařízení mělo předcházet posouzení, zda je toto zpracování nezbytné pro dosažení daného účelu a měla by být identifikována případná rizika spojená se zpracováním. Ta je dále nutné posoudit, přijmout na ně vhodná opatření, nebo se rozhodnout dané zpracování neprovádět. Účel, pro který je zpracování prováděno, musí být podložen legitimním právním důvodem (tzv. zákonné zpracování). Dále je samozřejmě nutné přijmout vhodná technická a organizační opatření.

V případě kamerových systémů se bude jednat o opatření k zabezpečení samotných kamer, kabelových tras, datového úložiště i datových nosičů. Principy jako vhodná výška instalace, kryty, zakrytí kabelových spojů, vhodné mechanické zábranné prostředky i elektronické střežení, stanovení rolí a oprávnění jednotlivých uživatelů, řízení přístupu k datům, školení, logování, antivirová ochrana, šifrování dat, pravidelné kontroly a audity. To vše jsou opatření, pomocí kterých je možné zajistit zabezpečené zpracování. Kromě těchto technických a organizačních opatření je nezbytné informovat subjekty o zpracování. To může být zajištěno několika způsoby.

Informační cedulky o kamerovém systému by měly obsahovat alespoň piktogram kamery, identifikaci správce, kontakt na pověřenou osobu / úsek správce, účel zpracování a to zda dochází k ukládání záznamů z kamerového systému, nebo k prostému sledování. Cedulky musí být dostatečně viditelné i čitelné a musí být umístěny před vstupem do monitorovaných prostor.

Dalším způsobem je vnitřní směrnice / předpis. Ten by měl subjekty údajů informovat o všech jejich právech a informacích, na které mají nárok. Důležité je subjekty údajů obeznámit s tím, kam se mají obrátit pro naplnění jejich práv daných GDPR. Zároveň by měl stanovovat interní postupy pro naplňování těchto práv, postupy pro případ bezpečnostního incidentu, tzv. porušení zabezpečení zpracování, jeho oznámení a dokumentování. Součástí vnitřního předpisu by měl být také popis způsobu zabezpečení zpracování osobních údajů.

GDPR pro některé organizace také stanovuje povinnost vést záznamy o činnostech zpracování, což je obdoba dnešní registrační povinnosti. Tyto záznamy musí organizace udržovat aktuální a na požádání je předložit Úřadu.

Závěrem

Jak bylo řečeno na začátku, GDPR nepřináší žádnou revoluci do ochrany osobních údajů. Nicméně hrozba vysokých správních pokut by měla každou organizaci dostatečně motivovat, aby zajišťovaly soulad jejich zpracování s obecným nařízením.

Autor článku: Lukáš Crha

ZANECHAT ODPOVĚĎ

Please enter your comment!
Please enter your name here