- Rebeka Šťastná
Nařízení GDPR platí od května 2018. Ale ani dnes, o 6 let později, si ne každý uvědomuje některé záludnosti této legislativy, zejména pokud jde o kamerové systémy. Kamerové systémy shromažďují obrazové, případně hlasové záznamy a často i další údaje pomocí technologií využívajících umělou inteligenci. Tyto data jsou osobními údaji. V případě fyzické osoby, která kameru používá, se však nařízení GDPR nemusí nutně použít, skrývá v sobě totiž tzv. „domácí výjimku“. Ta říká, že se GDPR nevztahuje na zpracování osobních údajů fyzickou osobou v souvislosti s čistě osobním nebo domácím zpracováním. Kdy taková situace může nastat?
Monitorování vlastního bytu a soukromého ohraničeného pozemku
V případě monitorování interiéru, či exteriéru a zahrady se může domácí výjimka uplatnit, ale pouze v případě, že není monitorována také některá přilehlá oblast třetích osob, sousedský prostor, veřejné prostranství nebo společné části nemovitostí. Například společná chodba, vstupní prostor atd. (v takovém případě se na CCTV monitorování GDPR vztahuje).
Patří sem například:
- Zachycení psa při krádeži ponožek ze skříně.
- Kontrola nočních výletů do lednice.
- Špehování záhadného škůdce na zahradě (možná je to ten samý pes, který krade ponožky).
Videa zachytávající záliby, domácí oslavy a setkání, na kterých jsou přátelé a rodina
Zde je důležité říct, že pokud mají být videa zveřejněna například na sociálních sítích, příspěvky by měly spíše směřovat k omezenému okruhu přátel a rodinným příslušníkům či známým, aby se skutečně jednalo o domácí výjimku. Rozsah a frekvence zpracování osobních údajů nemají naznačovat profesionální charakter, například obchodní činnost.
Patří sem například:
- Party karaoke session „All the single ladies“.
- Rodinný kuchařský deník: „Patří ananas na pizzu?“.
- Usvědčující kamerový záznam, že strejda Karel podvádí u karet.
Nová metodika ÚOOÚ
Jak už bylo naznačeno, je důležité si uvědomit, že domácí výjimka se vykládá restriktivně, sledovat má výlučně osobní nebo domácí sféru jednotlivce a vztahuje se pouze na fyzické osoby. Tudíž nelze ji použít na zpracování prováděno právnickými osobami nebo fyzickými osobami podnikajícími – podnikateli. Rovněž se nevztahuje na profesní nebo obchodní činnosti.
Pokud se tedy v případě monitorování jedná například o společenství vlastníků jednotek (SVJ) nebo pokud má podnikatel ve svých obchodních prostorách kamerový systém pro účely ochrany majetku, rizika podle GDPR musí být posouzena. Úřad pro ochranu osobních údajů vydal začátkem roku 2024 novou metodiku ke kamerám. Kromě praktických doporučení obsahuje také vzory nejčastěji vypracovávaných dokumentů souvisejících s kamerovými systémy a jejich provozem z hlediska zpracování osobních údajů a jejich ochrany.
Metodiku Úřadu naleznete zde.
Co mají společné kamery, GDPR a kybernetická bezpečnost?
V nedávno vydané metodice Úřadu pro ochranu osobních údajů k problematice kamer si nešlo nevšimnout snahy o propojení ochrany soukromí a osobních údajů s kybernetickou bezpečností. Nařízení GDPR, jak je dobře známo, klade na správce a zpracovatelé jen generické požadavky na přijetí přiměřených bezpečnostních opatření. Konkrétní požadavky zde však nenaleznete úplně snadno.
Metodika zdůrazňuje, že bezpečnost je klíčovým aspektem provozu kamerových systémů. Zajištění bezpečnosti má přitom zahrnovat technická a organizační opatření k ochraně dostupnosti, důvěrnosti a integrity osobních údajů a Úřad je i přehledným způsobem v metodice vyjmenovává. Ale jak jinak se k těmto bezpečnostním opatřením dopracovat než za pomoci analýzy rizik?
- Analýza rizik podle GDPR (čl. 32 GDPR), jejíž výstupem má být přijetí vhodných bezpečnostních opatření, se má synchronizovat s „obecnou analýzou rizik“ (např. dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti).
Zde uvádíme i praktické kroky:
- 1. krok: Identifikace a evidence primárních a podpůrných aktiv vztažených ke zpracování osobních údajů kamerovým systémem a identifikace a hodnocení vazeb mezi nimi.
- 2. krok: Určení zranitelností.
- 3. krok: Určení hrozeb, které mohou využít zranitelností.
- 4. krok: Prvotní určení míry rizika.
- 5. krok: Ošetření rizik (přijetí bezpečnostních opatření).
- 6. krok: Opětovné určení míry rizika po přijetí opatření.
Je zde důležité si uvědomit, že analýza rizik podle GDPR má oproti risk analýze vypracované podle standardů kybernetické bezpečnosti určitá specifika, zejména pokud jde o posuzování dopadů činností zpracování na osobní údaje a práva a svobody subjektů údajů.
Metodika se ale o kybernetické bezpečnosti zmiňuje ještě na jednom místě, a to v souvislosti se stanovením účelu zpracování nebo-li důvodu či cíle, který sleduje správce (provozovatel kamerového systému) samotným zpracováním. Správné formulování účelu ke spokojenosti všech zúčastněných stran, bývá postrachem zejména u kamer. Každý dozorový úřad se snaží minimalizovat rizika a rozsah samotného zpracování (ideálně pokud by žádné ani nebylo) právě skrze prokázání nelegitimního určení účelu zpracování ze strany správce.
V metodice je ale přímo v této souvislosti uvedeno, že v kontextu zpracování údajů v informačních systémech, které podléhají zákonu o kybernetické bezpečnosti, může být použití kamer součástí technických a organizačních opatření na ochranu takového systému. Jako účel zpracování osobních údajů přichází v úvahu zpracování osobních údajů pro zajištění bezpečnosti ICT, ochrana majetku, byť v tomto případě může jít i jen o preventivní opatření vůči potencionálním cíleným útokům na systémy patřící pod regulaci zákona o kybernetické bezpečnosti.
