Kamery jsou všude kolem nás. Na domech, podél silnic, v kancelářských budovách, bytových domech, autech. A většina z nás si jednu či dvě kamery nosí stále s sebou, obvykle v kombinaci mobil a přenosný počítač.
V jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují?
Technologie pro alespoň základní zachycení, přenos a uložení pořízených videozáznamů je technicky i finančně dostupná již řadu let. Proto není divu, že se ochranou osobních údajů při využívání kamerových systémů již dlouho zabývá i Úřad pro ochranu osobních údajů (ÚOOÚ). Ačkoliv obecné nařízení o ochraně osobních údajů[1] (GDPR) nepřineslo v hmotněprávní rovině pro posuzování kamer a souvisejícího zpracování údajů nic nového, s ohledem na posun výkladové praxe i rozvoj nových technologií, resp. nové způsoby využití kamer, je na místě si stručně shrnout, v jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují. V následujícím článku se budeme rovněž zabývat několika v praxi stále častějšími způsoby využití kamer, které mohou přinášet řadu nových otázek souvisejících s ochranou soukromí a ochranou osobních údajů monitorovaných lidí.
Základní právní úprava
V České republice neexistuje a nikdy neexistovala obecná právní úprava využití kamer, byť se v minulosti o několika takových legislativních pokusech diskutovalo.[2] V některých oblastech či pro některé subjekty je používání kamer upraveno zvláštními zákony. Jedná se typicky o specifická pravidla pro monitoring zaměstnanců na pracovišti,[3] povinnost kamerami střežit některá riziková pracoviště[4] nebo o oprávnění bezpečnostních složek monitorovat veřejné prostory.[5] Ve zbytku se však uplatní obecná právní úprava pro ochranu soukromí a pro ochranu, resp. zpracování osobních údajů.
Kdy kamery zpracovávají osobní údaje?
Dostáváme se k základní otázce: Kdy je nutno na kameru či kamerový systém uplatnit pravidla pro zpracování osobních údajů?
ÚOOÚ historicky odpovídal, že pouze tehdy, pokud je z kamery či kamerového systému pořizován záznam, jehož účelem je identifikace konkrétních osob. Tento výklad ÚOOÚ poprvé zformoval ve stanovisku z roku 2006[6] a následně se jím dalších více než 10 let[7] řídil i při výkonu dozoru.
Je však tento výklad udržitelný?
Lze konstatovat, že online kamery či kamerové systémy, které mohou monitorovat i rozsáhlé prostory a řadu osob (výrobní provozy, vybrané úseky měst či obcí, silnice, sportovní či kulturní události atd.), nezpracovávají osobní údaje ve smyslu GDPR?
Podíváme-li se na definici osobního údaje jako jakékoliv, jakkoliv zachycené, informace, která se týká určené nebo přímo či nepřímo určitelné fyzické osoby,[8] a definici pojmu zpracování osobních údajů jako operace nebo soustavy operací prováděné za určitým účelem s osobními údaji, např. jejich shromáždění, přenos, zpřístupnění atd.,[9] je plošné vyloučení online kamer z režimu GDPR podle mého názoru nesprávné. Online kamery či kamerové systémy mohou zachycovat podobizny fyzických osob a tyto přenášet dále, zpřístupnit je dalším osobám, ať už v rámci provozovatele online kamerového systému, nebo i dalším subjektům. Přenášené záběry jsou, byť i po krátkou dobu, uchovávány, mohou uniknout, mohou být zpřístupněny neoprávněným osobám, archivovány po delší dobu.
I provoz online kamer, které pořizují záznamy fyzických osob takovým způsobem, že lze záznamy s využitím přiměřeného úsilí spojit s konkrétními lidmi, představuje podle mého soudu zpracování osobních údajů ve smyslu GDPR. Obdobným způsobem ke kamerám přistupuje i Evropský sbor pro ochranu osobních údajů. Ten ve svých výkladových vodítkách č. 3/2019[10] řeší aplikaci GDPR na kamery bez rozlišení toho, zda je či není pořizován záznam nad rámec technicky nezbytného uložení pro přenos obrazu.[11]
Výkladový posun ÚOOÚ
Na základě veřejně dostupných informací lze podle mého soudu konstatovat, že v tomto směru došlo k výkladovému posunu i na půdě ÚOOÚ. Původní stanovisko z roku 2006, které jako základní předpoklad pro aplikaci právních předpisů pro ochranu a zpracování osobních údajů na kamery formulovalo mj. pořizování záznamu, bylo přesunuto do archivu a mezi aktuálními stanovisky úřadu již není dostupné.[12]
ÚOOÚ pak na svých stránkách zveřejnil nový výklad. V sekci Často kladené otázky ke kamerovým systémům mj. uvádí:[13]
„Provozování kamerového systému je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je
- automatizovaně prováděn záznam monitorovaného veřejného prostoru, nebo
- dochází k šíření obrazového nebo audiovizuálního signálu monitorovaného veřejného prostoru obsahujícího údaje využitelné k identifikaci fyzických osob, nebo
- jsou v kamerovém systému prováděny jakékoliv jiné operace s osobními údaji.
Skutečnost, že v rámci kamerového systému nedochází k ukládání záznamů například na harddisk či jiné záznamové médium, tedy neznamená, že je takové zpracování osobních údajů skrze kamerové systémy mimo působnosti GDPR.“
Co to znamená v praxi?
Jaký má tento výkladový posun dopad v praxi, zejména na ty subjekty, které provozují online kamerové systémy monitorující fyzické osoby?
Stručně řečeno, i takovéto sledovací systémy se musí podřídit GDPR. To znamená zejména definovat účel zpracování, určit k němu právní titul, nastavit základní parametry kamerových systémů (v kontextu online kamer především rozsah monitorovaných prostor), splnit informační povinnost a online kamerový systém také zabezpečit proti neoprávněnému nebo nahodilému přístupu k přenášeným záběrům či proti jejich zneužití.
I na online kamery se vztahují nové, řekněme administrativní povinnosti, které GDPR přineslo. Zpracování osobních údajů online kamery tak musí být popsáno v záznamech o činnostech zpracování[14] a instalaci takového systému by mělo předcházet rozhodnutí, zda je nutné provést posouzení vlivu na ochranu osobních údajů,[15] případně záměr provozovat online kamerový systém konzultovat s ÚOOÚ.[16] Systematické monitorování fyzických osob, včetně monitorování veřejně přístupných prostor, je pak jedním z hledisek, které musí být při rozhodnutí o provedení detailního posouzení vlivu zohledněno.[17]
Případný únik či jiný bezpečnostní incident s dopadem na přenášené záběry zachycující fyzické osoby je pak nutno hodnotit jako porušení zabezpečení osobních údajů a podle míry jeho rizikovosti jej případně oznámit ÚOOÚ nebo dotčeným osobám.[18] Provozování online kamerového systému, jehož prostřednictvím dochází k rozsáhlému monitorování fyzických osob, může být také důvodem pro jmenování pověřence pro ochranu osobních údajů.[19]
Konkrétní poznatky z dozorové praxe ÚOOÚ týkající se online kamer zatím nejsou dostupné. Na upřesnění některých dílčích otázek si proto budeme muset ještě počkat.
Další výzvy na obzoru: Facial recognition a profilování zákazníků v obchodech
V případě online kamer tak můžeme zřejmě konstatovat, že víme, jak v praxi postupovat. Pokud takové kamery nebo kamerové systémy zabírají fyzické osoby způsobem, který je umožní identifikovat, o zpracování osobních údajů se i podle názoru ÚOOÚ jedná. Provozovatel takového kamerového systému se tak musí řídit příslušnými právními předpisy, především GDPR.
Rozvoj technologií však přináší nové možnosti využití kamer, ať už v komerční nebo bezpečnostní oblasti. A nové možnosti představují i nové otázky a rizika pro ochranu soukromí dotčených osob.
Představme si dva způsoby využití nebo rozšíření standardních kamerových systémů, se kterými se budeme v praxi potkávat stále častěji. A stále častěji budeme také řešit nejen otázku aplikace konkrétních ustanovení GDPR, ale i otázky etické či politické, od jaké míry je takový nástroj vůbec slučitelný se základními právy a svobodami lidí.
Opravdový velký bratr
Prvním z nich je technologie facial recognition. Jedná se, stručně řečeno, o algoritmus či program, který na základě pořízených záběrů či záznamů automaticky identifikuje konkrétní osoby. Ze záběru či záznamu vyčte jedinečné identifikátory obličeje, které porovná s databázemi, jež má k dispozici.
Z podstaty věci se jedná o velmi invazivní nástroj. S jeho pomocí dokáže kdokoliv s poměrně vysokou mírou přesnosti automaticky identifikovat konkrétní lidi, sledovat jejich pohyb a chování, sociální kontakty, obchodní zvyklosti a další součásti jejich každodenního života. Žádný program není bezchybný, v případě technologie facial recognition a jejího využití bezpečnostními složkami však může být dopad chybné identifikace pro dotčenou osobu skutečně kritický a může jí, jemně řečeno, výrazně zkomplikovat život.
O plošném nasazení technologie facial recognition se vedou diskuse prakticky po celém světě. V letech 2019–2021 zakázalo zhruba 25 měst či oblastí v USA, včetně například San Francisca, využití facial recognition policií. Dlužno dodat, že někde už od tohoto striktního zákazu ustupují. Evropský parlament v roce 2021 vyzval k dočasnému pozastavení využití této technologie bezpečnostními složkami a důkladné diskusi o sociálních a právních dopadech, včetně diskuse o samostatné, detailní regulaci.[20] Diskuse probíhají i na půdě českého parlamentu a pro zákaz nebo striktní omezení této technologie se vyslovuje například nevládní organizace Iuridicum Remedium.[21] Jednotlivé členské státy EU a jejich dozorové úřady pro ochranu osobních údajů pak řeší spíše jednotlivé případy nasazení této technologie.[22]
Nejsem zastáncem vytváření stále dalších a dalších regulací. U „běžných“ kamerových systémů podle mě vystačíme s GDPR a dalšími již existujícími předpisy. V případě facial recognition a podobných technologií pro automatickou identifikaci lidí by však podle mého soudu byla na místě důkladná diskuse, která by vyústila v detailní pravidla. A to i s ohledem na míru zásahu do soukromí, do osobního a rodinného života, kterou nasazení takové technologie může znamenat, a na související rizika pro práva a svobody dotčených osob.
Je to jen obchod
Jiný, z mnoha úhlů pohledu zajímavý způsob využití kamer se rozvíjí v ryze komerčním sektoru. Některé obchody či obchodní centra využívají kamery nejen k ochraně svého zboží a zaměstnanců, ale také ke sledování svých zákazníků pro marketingové účely. Může se jednat jak o získávání a vyhodnocování nákupních zvyklostí, tak o sledování reakce na různé druhy prezentace zboží nebo na zobrazení reklamy, sledování a analyzování emocí zákazníků atd.
I kdyby takovýto monitoring neměl za cíl sledovat konkrétní lidi, pořizování a analyzování jejich záběrů, navíc ve spojitosti s dalšími informacemi (datum a čas nákupu na konkrétním místě, reakce na určitý podnět atd.), bude takřka vždy odpovídat pojmu zpracování osobních údajů. Ten, kdo by takový sledovací systém provozoval, by totiž měl či mohl mít reálně možnost konkrétní zachycené osoby přímo či nepřímo identifikovat, například tím, že je dokáže odlišit od všech ostatních zachycených osob v daném čase na určeném místě.[23]
Obchodní potenciál takto získaných informací je, zejména v kombinaci se systémy a postupy na jejich automatické vyhodnocování a rozhodování o dalších krocích obchodníka, skutečně významný. Veřejná diskuze na toto téma v České republice však příliš neprobíhá.
Veřejná diskuze: Kdyby probíhala, jaké otázky by měla řešit?
Vycházejme pro tuto chvíli z toho, že takový systém monitoruje a reaguje na konkrétní lidi, jinými slovy zpracovává jejich osobní údaje.
Mezi základní otázky patří na prvním místě právní titul k takovémuto zpracování osobních údajů. Oprávněný zájem převáží spíše v menším počtu příkladů, takže nám teoreticky zbývá už jen souhlas zákazníků. Jak ho ale získat, aby byl platný, vědomý a informovaný? To určitě nebude snadné.
Stejně tak nebude zcela triviální zákazníky o takovémto zpracování jejich osobních údajů informovat. Pokud totiž dochází k profilování či automatizovanému rozhodování s dopadem do práv dotčených osob, musí je správce srozumitelnou formou informovat i o základních parametrech takových operací.[24]
Samostatnou otázkou je, jak toto nastavení, i kdybychom k němu dokázali najít dostatečný právní titul, nastavit tak, aby bylo přiměřené. To znamená, aby osobní údaje byly zpracovávány jen v nezbytném rozsahu, uchovávány po nezbytnou dobu atd. K identifikaci rizik pro dotčené osoby, která z takovéhoto zpracování osobních údajů plynou, by správci mělo pomoci posouzení vlivu na ochranu osobních údajů,[25] jež by při nasazování takovéhoto systému měl provádět zřejmě ve všech případech.[26]
Základní pravidla musí platit vždy
Kamery jako takové jsou poměrně prozkoumanou technologií, a to i z pohledu uplatnění pravidel pro zpracování osobních údajů. Praxe však přináší řadu nových kreativních způsobů využití kamer. A ty s sebou nesou nové a zajímavé právní otázky. Základní pravidla a principy GDPR však musí platit pro každé zpracování údajů, ať už je sebevíce moderní či kreativní.
František Nonnemann
Autor je konzultantem v oblasti ochrany osobních údajů a compliance, členem Výboru Spolku pro ochranu osobních údajů
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Viz např. výroční zpráva ÚOOÚ za rok 2010, dostupná na: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=48832.
[3] Srov. § 316 odst. 2 a 3 zákona č. 262/2006 Sb., zákoník práce.
[4] Například místo značení lihu nebo daňový sklad, který musí být v souladu s § 22 odst. 1 zákona č. 307/2013 Sb., o povinném značení lihu, vybaveny kamerovým systémem.
[5] Viz § 62 zákona č. 273/2008 Sb., o Policii České republiky.
[6] Stanovisko č. 1/2006, Provozování kamerového systému z hlediska zákona o ochraně osobních
Údajů, dostupné na: https://www.uoou.cz/files/stanovisko_2006_1.pdf.
[7] Například stanovisko č. 1/2016, Umístění kamerových systémů v bytových domech, naposledy aktualizované v červnu roku 2018.
[8] Čl. 4 bod 1. GDPR.
[9] Čl. 4 bod 2. GDPR.
[10] Pokyny 3/2019 ke zpracování osobních údajů prostřednictvím videotechniky, dostupné na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_cs.
[11] Blíže viz Nonnemann, F. Vztahuje se GDPR i na online kamery? Publikováno na epravo.cz dne 2. března 2020, dostupné na: https://www.epravo.cz/top/clanky/vztahuje-se-gdpr-i-na-online-kamery-110746.html.
[12] https://www.uoou.cz/jina%2Dvyjadreni%2Duradu/ds-1020/archiv=0&p1=1099.
[13] https://www.uoou.cz/k%2Dprovozovani%2Dkamer%2Da%2Dkamerovych%2Dsystemu/ds-5041/archiv=0&p1=2619.
[14] Čl. 30 GDPR.
[15] Čl. 35 GDPR.
[16] Čl. 36 GDPR.
[17] Srov. metodický dokument ÚOOÚ Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů, dostupný na: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=38940.
[18] Viz čl. 33 a 34 GDPR.
[19] Viz čl. 37 bod 1. písm. b) GDPR.
[20] https://www.europarl.europa.eu/doceo/document/A-9-2021-0232_EN.html?#_section2.
[21] Srov. petici #ReclaimYourFace a související informace na: https://digitalnisvobody.cz/mujoblicej/.
[22] Viz Hájková, K. Sledovací kamery všude? Jak evropské státy přistupují k využívání biometrických technologií. Dostupné na: https://www.lupa.cz/clanky/chytre-kamery-vsude-jak-evropske-staty-pristupuji-k-vyuzivani-biometrickych-technologii/.
[23] Tzv. výběr vyčleněním, viz recitál č. 26 GDPR.
[24] Srov. čl. 13 bod 2 písm. f) GDPR.
[25] Čl. 35 GDPR.
[26] Srov. metodiku ÚOOÚ s názvem Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů, dostupnou na: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=38940.