Kamerami a kamerovými systémy, resp. zpracováním osobních údajů prostřednictvím kamer, se zabývá Úřad pro ochranu osobních údajů (ÚOOÚ) již poměrně dlouho. První stanovisko k tomu tématu, tedy aplikaci předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, na kamery, Úřad publikoval již v lednu roku 2006[1]. Na tento dokument pak navazovala řada dalších, které řešily především využití kamer v některé specifické oblasti či při určité činnosti, například v bytových domech, osobních automobilech atd.
Zájem veřejnosti na ochraně jejich soukromí při zpracování osobních údajů kamerami dokládají i čísla z výročních zpráv ÚOOÚ. V roce 2022 obdržel celkem 2.192 stížností, z nich 10 % se týkalo právě kamer. V roce 2021 to bylo 13 % ze 2.430 přijatých stížností a v roce 2020 se kamer týkalo 13 % z 1.855 stížností, které ÚOOÚ obdržel.
Kamery a GDPR
Většina stanovisek a metodik, které ÚOOÚ vydal k aplikaci předchozí právní úpravy na kamery, byla po účinnosti GDPR z jeho webu stažena.
Proč?
Obecné nařízení o ochraně osobních údajů (GDPR)[2] sice definice základních pojmů, hlavních pravidel a povinností souvisejících se zpracováním osobních dat a věcné působnosti této právní úpravy změnilo jen minimálně, do hry ale vstoupil Evropský sbor pro ochranu osobních údajů (EDPB). Na počátku roku 2020 EDPB vydal pokyny č. 3/2019 ke zpracování osobních údajů prostřednictvím videotechniky. A český úřad, který se výkladových vodítek a pokynů EDPB drží, pakliže není v národním právu důvod pro odlišný postup, své předchozí dokumenty stáhl.
Návrh nové metodiky ÚOOÚ ke kamerám ve veřejné konzultaci
Aplikace GDPR a uvedených pokynů EDPB ale zřejmě není v praxi zcela snadná. Proto ÚOOÚ v dubnu tohoto roku předložil k veřejné konzultaci návrh vlastní detailní metodiky ke kamerovým systémům. Veřejná konzultace probíhala do 9. června. ÚOOÚ neuvedl, do kdy by mohl obdržené připomínky zapracovat a zveřejnit konečnou verzi metodiky. Věřme tedy, že by se tak mohlo stát již letos na podzim.
Jak ÚOOÚ zdůraznil, metodika není závazným právním aktem, prováděcí vyhláškou či něčím podobným. Jde, resp. půjde o dokument, který má především správcům, provozovatelům kamerových a obdobných systémů, pomoci s aplikací GDPR a pokynů EDPB na kamery. K dosažení souladu s požadavky GDPR tak může každý provozovatel kamerového systému použít i jiné procesy a postupy, pokud je bude schopen v případě sporu či kontroly Úřadu obhájit. ÚOOÚ také při zveřejnění návrhu metodiky uvedl, že má usnadnit pozici malých správců osobních údajů, zejména při provozu běžných kamerových systémů.
Zásadní rozšíření působnosti GDPR na online kamery
Pojďme již k samotnému textu návrhu metodiky. Jaké novinky přináší?
Tou největší a podle mého názoru nejvýznamnější je jednoznačné rozšíření působnosti GDPR i na online kamery. ÚOOÚ již od vydání shora zmíněného stanoviska č. 1/2006 vycházel z toho, že právní úprava zpracování osobních údajů se vztahuje pouze na kamery či kamerové systémy, které pořizují záznam zachycených obrazů. Podíváme-li se však striktně na základní pojmy určující působnost GDPR, a předtím zákona č. 101/2000 Sb., tedy osobní údaj a zpracování údajů, jednoznačnou oporu pro tento závěr v normativních textech nenalezneme. Záběr identifikovatelné fyzické osoby je jistě jejím osobním údajem. A zachycení tohoto záběru a jeho přenos a zpřístupnění často i neomezenému okruhu příjemců, což je typická činnost kamer v režimu online, podle mého soudu může v řadě případů odpovídat pojmu zpracování osobních údajů.
Výše uvedený závěr ÚOOÚ nebyl potvrzen judikaturou ani českých, ani evropských soudů. EDPB se ve svých pokynech č. 3/2019 k této otázce rovněž explicitně nevyjádřil. Z řady bodů těchto pokynů však vyplývá, že EDPB s tímto kritériem vůbec nepracuje a aplikuje GDPR podle toho, zda daná kamera či kamerový systém zpracovává, tedy např. přenáší, osobní údaje, obrazové záběry týkající se určených či určitelných lidí.[3]
V návrhu metodiky tedy již ÚOOÚ jednoznačně řekl, že GDPR se vztahuje i na některé online kamery. Proč některé? ÚOOÚ navrhuje rozdělit kamery podle kvality přenášených či zachycených obrazů do šesti kategorií:
- Monitorování, prostor či objekt je snímaný s rozlišením více než 80 mm na pixel
- Zjištění, rozlišení více než 40 mm na pixel
- Pozorování, rozlišení více než 16 mm na pixel
- Rekognoskace, rozlišení než 8 mm na pixel
- Identifikace, rozlišení více než 4 mm na pixel
- Prozkoumání, rozlišení více než 1 mm na pixel
V působnosti GDPR by pak měly být všechny kamery či kamerové systémy, online i ty pořizující dlouhodobý záznam, kromě kamer v režimu monitorování a zjištění. V tomto případě totiž bez vynaložení nepřiměřeného úsilí nelze ze zachycených obrazů identifikovat konkrétní osoby. Nejedná se tak o osobní údaje ve smyslu GDPR.[4] U ostatních kategorií ale ano a GDPR se v plném rozsahu vztahuje na všechny kamery, kamerové systémy, fotopasti a podobná zařízení zachycující či přenášející záběry fyzických osob bez ohledu na to, jestli pořizují dlouhodobý záznam nebo ne.
Jednotlivé povinnosti
V další části návrhu metodiky se ÚOOÚ zabývá některými povinnostmi a právy vyplývajícími z GDPR a jejich vhodným uplatněním na kamerové a obdobné sledovací systémy. Pro jistotu zopakujme, že bez ohledu na to, jestli pořizují či nepořizují dlouhodobý záznam.
Jedná se zejména o:
- určení legitimního účelu a právního důvodu (titulu) ke zpracování osobních údajů,
- zásadu minimalizace zpracování, zejména ve vztahu k době uchování záznamu,
- plnění informační povinnosti a realizace práv dotčených osob, subjektů údajů,
- využití zpracovatele,
- zabezpečení kamerových systémů, včetně přenosových a záznamových zařízení.
Detailní popis či analýza všech těchto částí by přesáhla možnosti tohoto článku. Proto pojďme stručně projít ty body či závěry, které jsou podle mého názoru pro nasazení a provoz kamerového systému klíčové.
ÚOOÚ uvádí dva základní a poměrně široké účely, které lze obecně pro zpracování osobních údajů kamerami shledat jako legitimní. Jsou jimi ochrana majetku a ochrana bezpečnosti osob. V praxi bude vždy na správci, provozovateli kamer, aby doložil, pro který účel kamery provozuje a zda daný účel odpovídá jeho podmínkám. Jinak řečeno, zda je pro ochranu majetku či bezpečnosti osob toto zpracování skutečně nezbytné.
Tím se dostáváme k právním důvodům ke zpracování. Podle návrhu metodiky obvykle přicházejí v úvahu tři právní důvody: oprávněný zájem správce, souhlas dotčených osob a provádění úkolu ve veřejném zájmu či při výkonu veřejné moci. Podle mého názoru a zkušeností je v praxi aplikovaný, resp. aplikovatelný, především oprávněný zájem. Souhlas je s ohledem na své charakteristiky, obtížnost získání a snadnost odvolání[5] pro zpracování osobních údajů za uvedené účely použitelný jen ve zcela výjimečných situacích. Právní důvod veřejného zájmu pak v kontextu kamer svědčí především veřejnoprávním institucím, například obecní policii v § 24b odst. 1 zákona č. 553/1991 Sb., o obecní policii.[6] Pro úplnost dodejme, že ani takto formulovaný veřejný zájem, resp. zpracování osobních údajů při provádění úkolů při výkonu veřejné moci, není neomezený. Provozovatel kamer musí plnit veškeré další povinnosti, které vyplývají z GDPR či dalších předpisů, například ze zákona č. 110/2019 Sb., o zpracování osobních údajů.
Poměrně kontroverzní je podle mého názoru ta část návrhu metodiky, která se zabývá dobou uchování pořízených osobních údajů, tedy nahrávek či zachycených snímků. ÚOOÚ k tomu uvádí, že „doba uchování údajů by ve většině případů měla být stanovena v rozmezí jednoho až dvou dní, v zásadě by neměla přesáhnout 72 hodin“. Odůvodňuje to tím, že právě v této lhůtě by měl být správce schopen zjistit, zda došlo či mohlo dojít k protiprávní či jiné relevantní události, pro jejíž dokumentování je nutné prověřit záznam, a případně, pokud je to nezbytné, jeho relevantní část uchovat déle. I když Úřad v odůvodněných případech připouští delší dobu uchování, obecně se kloní právě k maximálně 72 hodinám.
Z řady praktických důvodů může být tato lhůta příliš krátká. Ne každý objekt, který je střežen kamerami, je pod nepřetržitým dohledem, aby byl případný incident odhalen ihned či v řádu hodin. Naopak, často je z ekonomických a provozních důvodů právě neustálý dohled nahrazován kamerami či obdobnými sledovacími systémy. Stejně tak i orgány činné v trestním řízení v praxi požadují záznamy z kamer často za delší období, než je právě těchto 72 hodin. Zajištění fyzické bezpečnosti, například i s využitím kamer, je pak nedílnou součástí plnění povinností řady organizací, typicky v oblasti kybernetické bezpečnosti. Zkrátka takto obecně formulovaná lhůta se mi jeví dosti krátkou a v praxi jen obtížně aplikovatelnou.
Dalším z klíčových principů pro zpracování osobních údajů, jejichž plnění nemusí být v kontextu provozu kamerového systému zcela snadné, je transparentnost zpracování, tedy informování dotčených osob o zpracování jejich osobních údajů. V tomto kontextu považuji za důležité, že ÚOOÚ potvrdil možnost uplatnění tzv. vrstveného přístupu (layers approach), kdy při vstupu do monitorovaných prostor jsou subjektu údajů prostřednictvím informačních tabulek poskytnuty základní informace a detaily může získat jinde, např. u pověřeného zaměstnance, na internetu atd. Uvedení všech informací o zpracování osobních údajů, které požaduje čl. 13 GDPR, by v praxi vedlo k nepřehlednosti informačních tabulí, a tím v důsledku ke snížení transparentnosti zpracování jako takového. Na druhou stranu ÚOOÚ v návrhu metodiky i tak uvádí, že by informační tabule měly obsahovat informace, které by podle mého názoru mohly být součástí až „druhé vrstvy“, např. informace o právech subjektu údajů.
Návrh metodiky se také poměrně detailně zabývá uplatněním práv subjektu údajů, zejména práva na přístup ke zpracovávaným osobním údajům. Právě to může být při zpracování prováděném prostřednictvím kamer se záznamem komplikované. Typickým problémem při uplatnění tohoto práva je na prvém místě identifikace žadatele, subjektu údajů, dále pak úprava poskytované části záznamu tak, aby nezachycoval další identifikované či identifikovatelné osoby, a i celé nastavení procesu tak, aby v krátké lhůtě pro uchování záznamu byl správce vůbec schopen takovou žádost zpracovat. Metodika se k některým problematickým bodům uplatnění práv v rámci kamerových systémů vyjadřuje, podle mého názoru ale spíše z technického hlediska.. Například otázka, jak identifikovat žadatele jako osobu zachycenou na záznamu, není v návrhu metodiky řešena prakticky vůbec.
Na provozu či vyhodnocování záběrů z kamerových systémů se často podílejí další osoby, typicky bezpečnostní agentury atd. Z pohledu pravidel pro zpracování osobních údajů se jedná o zpracovatele osobních údajů, kteří se podílejí na zpracování za správce. Metodika v příslušné části pouze opisuje požadavky na smlouvu se zpracovatelem podle čl. 28 odst. 3 GDPR, bohužel ještě ne všechny a ne zcela přesně. Chybí např. povinnost zpracovatele podílet se na provádění posouzení vlivu na ochranu osobních údajů či nad rámec právních povinností je uváděna povinnost zpracovatele navrhnout správci řešení v případě porušení zabezpečení osobních údajů.[7]
Dovolím si uvést, že praxe by jistě rovněž ocenila metodickou podporu, jak reflektovat specifika zpracování osobních údajů pomocí kamer při plnění dalších povinností souvisejících se zapojením dalších osob. Typicky na co zaměřit kontrolu zpracovatele vyžadovanou čl. 28 odst. 1 GDPR či jak řešit kritické body v situaci, kdy kamerový systém provozuje za jedním účelem více subjektů, které jsou v postavení společných správců. Například více společností, které sídlí v jednom areálu a svůj majetek střeží společným kamerovým systémem, více bytových družstev či SVJ, které rovněž provozují společný kamerový systém, atd.
Velkou pozornost návrh metodiky věnuje rovněž otázce zabezpečení kamer, resp. kamerami zpracovávaných osobních údajů. V porovnání s některými dalšími povinnostmi vyplývajícími z GDPR, které jsou řešeny velmi stručně, např. pouhá jedna věta věnovaná posuzování vlivu na ochranu osobních údajů či dvě věty věnované předávání osobních údajů do zahraničí, to může působit až poněkud nepřiměřeně a nevyváženě.
Přejděme však k obsahu této části návrhu metodiky. ÚOOÚ navrhuje rozdělit kamery z hlediska bezpečnosti do čtyř kategorií, a to podle kombinace koeficientů možných dopadů na subjekty údajů (zejména míra újmy způsobená kamerovým systémem), na správce údajů, pravděpodobnosti výskytu (realizace) této újmy a koeficientu míry porušení práv a zájmů subjektů údajů. Pro jednotlivé kategorie pak metodika navrhuje konkrétní bezpečnostní opatření, od fyzických opatření přes řízení přístupu k datům až po školení obsluhy a zpracování dokumentace. Zjevnou nepřesností je, že návrh metodiky některá opatření u více rizikových kategorií formuluje jako povinné, ačkoliv ÚOOÚ v úvodu sám zdůrazňuje, že metodika bude toliko nezávazným, doporučujícím dokumentem. Ostatně k vydání závazného pokynu, prováděcího předpisu, nemá ÚOOÚ zákonné zmocnění. Stejně tak je otázkou, jestli ÚOOÚ bude tuto klasifikaci rizikovosti zpracování osobních údajů a z nich plynoucích doporučení pro jejich zabezpečení používat i u jiných nástrojů pro zpracování dat, jakým způsobem a proč.
Přílohy pro aplikaci metodiky v praxi
Návrh metodiky obsahuje rovněž tři přílohy, vzorové dokumenty pro plnění některých povinností správce osobních údajů. Jedná se o vzor plnění informační povinnosti, vzorový záznam o činnosti zpracování prováděném kamerovým systémem a vzorový balanční test při zpracování osobních údajů prováděném na základě oprávněného zájmu.
Zejména poslední uvedený dokument je skutečně komplexní a posouzením oprávněných zájmů správce a subjektů údajů se věnuje na 13 stranách. A to s velkou mírou detailu a využitím řady externích informací, např. o ceně nátěru fasády bytového domu při úmyslu instalovat kamery právě v okolí bytového domu za účelem ochrany majetku jeho majitele. Tento rozsah a míra detailu podle mého názoru opět zcela nekorespondují se snahou usnadnit správcům, zejména menším, aplikaci GDPR na kamery.
Shrnutí
Aplikace některých pravidel a povinností stanovených GDPR na kamery není v praxi zcela jednoduchá. Proto osobně vítám snahu ÚOOÚ v této oblasti správcům pomoci. Stejně tak je nutno ocenit, že návrh metodiky byl předložen k veřejné konzultaci s poměrně dlouhou dobou na zaslání připomínek, což, doufám, odborná veřejnost využila.
Za další pozitivní body v návrhu metodiky považuji zejména vyjasnění aplikace GDPR na online kamery, větší sladění ÚOOÚ s přístupem a pokyny EDPB, konkrétní doporučení k některým povinnostem správce či šablony v příloze metodiky.
Pokud bychom chtěli shrnout některé výše kritizované aspekty, které by v konečné verzi mohly být ještě upraveny, pak bych na prvém místě uvedl do jisté míry nekonzistentnost celé metodiky. U řady právních a procesních povinností se do značné míry omezuje víceméně na opis GDPR, někdy ne zcela přesný, bez toho, aby upřesnila specifika pro aplikaci konkrétního ustanovení či povinnosti GDPR při používání kamer. Jiné důležité právní či procesní aspekty v návrhu metodiky zcela chybí, například vztah společných správců, požadavky na zpracovatele atd.
Naproti tomu při řešení technických aspektů jde návrh metodiky do velkých detailů, například i s ambicí správcům ukládat konkrétní bezpečnostní opatření, k čemuž, jak je uvedeno výše, ÚOOÚ postrádá jakékoliv zákonné zmocnění či oprávnění. Za dosti problematické považuji obecné stanovení vhodné doby pro uchování záznamu na 72 hodin, protože v praxi jsou záznamy z řady legitimních důvodů uchovávány déle. Kupříkladu u tohoto bodu bych více uvítal, kdyby Úřad formuloval podmínky či kritéria, které je vhodné při stanovení doby uchování záznamu zohlednit, a stanovení konkrétní doby více nechal na jednotlivých správcích. Samozřejmě včetně odpovědnosti. Uvidíme tedy, jaké připomínky Úřad k návrhu metodiky obdrží, jak je zohlední a jaká bude finální verze metodiky. Věřme, že již na podzim tohoto roku.
František Nonnemann
Autor je právník. Je také členem Výboru Spolku pro ochranu osobních údajů.
[1] Jednalo se o stanovisko č. 1/2006, Provozování kamerového systému z hlediska zákona o ochraně osobních
Údajů, které je nyní dostupné už jen v archivu na webu ÚOOÚ.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[3] Především body č. 11, 22, 99 a 116 pokynů EDPB č. 3/2019.
[4] Srov. čl. 4 bod 1) a recitál č. 26 GDPR.
[5] Blíže viz bod 3.1.1 návrhu metodiky.
[6] „Obecní policie je oprávněna, je-li to potřebné pro plnění jejích úkolů podle tohoto nebo jiného zákona, pořizovat zvukové, obrazové nebo jiné záznamy z míst veřejně přístupných, popřípadě též zvukové, obrazové nebo jiné záznamy o průběhu zákroku nebo úkonu.“
[7] Čl. 28 odst. 3 písm. f) GDPR.