Co mají společného kamery, GDPR a kybernetická bezpečnost?

GDPR vs. kamerové systémy
Nařízení GDPR platí od května 2018. Ale ani dnes, o 6 let později, si ne každý uvědomuje některé záludnosti této legislativy, zejména pokud jde o kamerové systémy. Kamerové systémy shromažďují obrazové, případně hlasové záznamy a často i další údaje pomocí technologií využívajících umělou inteligenci. Tyto data jsou osobními údaji. V případě fyzické osoby, která kameru používá, se však nařízení GDPR nemusí nutně použít, skrývá v sobě totiž tzv. „domácí výjimku“. Ta říká, že se GDPR nevztahuje na zpracování osobních údajů fyzickou osobou vsouvislosti sčistě osobním nebo domácím zpracováním. Kdy taková situace může nastat? 
Monitorování vlastního bytu a soukromého ohraničeného pozemku

V případě monitorování interiéru, či exteriéru a zahrady se může domácí výjimka uplatnit, ale pouze v případě, že není monitorována také některá přilehlá oblast třetích osob, sousedský prostor, veřejné prostranství nebo společné části nemovitostí. Například společná chodba, vstupní prostor atd. (v takovém případě se na CCTV monitorování GDPR vztahuje)

Patří sem například:

Videa zachytávající záliby, domácí oslavy a setkání, na kterých jsou přátelé a rodina

Zde je důležité říct, že pokud mají být videa zveřejněna například na sociálních sítích, příspěvky by měly spíše směřovat k omezenému okruhu přátel a rodinným příslušníkům či známým, aby se skutečně jednalo o domácí výjimku. Rozsah a frekvence zpracování osobních údajů nemají naznačovat profesionální charakter, například obchodní činnost.

Patří sem například:

Nová metodika ÚOOÚ

Jak už bylo naznačeno, je důležité si uvědomit, že domácí výjimka se vykládá restriktivně, sledovat má výlučně osobní nebo domácí sféru jednotlivce a vztahuje se pouze na fyzické osoby. Tudíž nelze ji použít na zpracování prováděno právnickými osobami nebo fyzickými osobami podnikajícími – podnikateli. Rovněž se nevztahuje na profesní nebo obchodní činnosti.

Pokud se tedy v případě monitorování jedná například o společenství vlastníků jednotek (SVJ) nebo pokud má podnikatel ve svých obchodních prostorách kamerový systém pro účely ochrany majetku, rizika podle GDPR musí být posouzenaÚřad pro ochranu osobních údajů vydal začátkem roku 2024 novou metodiku ke kamerám. Kromě praktických doporučení obsahuje také vzory nejčastěji vypracovávaných dokumentů souvisejících s kamerovými systémy a jejich provozem z hlediska zpracování osobních údajů a jejich ochrany.

Metodiku Úřadu naleznete zde.

Co mají společné kamery, GDPR a kybernetická bezpečnost?

V nedávno vydané metodice Úřadu pro ochranu osobních údajů k problematice kamer si nešlo nevšimnout snahy o propojení ochrany soukromí a osobních údajů s kybernetickou bezpečností. Nařízení GDPR, jak je dobře známo, klade na správce a zpracovatelé jen generické požadavky na přijetí přiměřených bezpečnostních opatření. Konkrétní požadavky zde však nenaleznete úplně snadno.

Metodika zdůrazňuje, že bezpečnost je klíčovým aspektem provozu kamerových systémů. Zajištění bezpečnosti přitom zahrnovat technická a organizační opatření k ochraně dostupnosti, důvěrnosti a integrity osobních údajů a Úřad je i přehledným způsobem v metodice vyjmenovává. Ale jak jinak se k těmto bezpečnostním opatřením dopracovat než za pomoci analýzy rizik?

Zde uvádíme i praktické kroky:

Je zde důležité si uvědomit, že analýza rizik podle GDPR má oproti risk analýze vypracované podle standardů kybernetické bezpečnosti určitá specifika, zejména pokud jde o posuzování dopadů činností zpracování na osobní údaje a práva a svobody subjektů údajů.

Metodika se ale o kybernetické bezpečnosti zmiňuje ještě na jednom místě, a to v souvislosti se stanovením účelu zpracování nebo-li důvodu či cíle, který sleduje správce (provozovatel kamerového systému) samotným zpracováním. Správné formulování účelu ke spokojenosti všech zúčastněných stran, bývá postrachem zejména u kamer. Každý dozorový úřad se snaží minimalizovat rizika a rozsah samotného zpracování (ideálně pokud by žádné ani nebylo) právě skrze prokázání nelegitimního určení účelu zpracování ze strany správce.

V metodice je ale přímo v této souvislosti uvedeno, že v kontextu zpracování údajů v informačních systémech, které podléhají zákonu o kybernetické bezpečnosti, může být použití kamer součástí technických a organizačních opatření na ochranu takového systému. Jako účel zpracování osobních údajů přichází v úvahu zpracování osobních údajů pro zajištění bezpečnosti ICT, ochrana majetku, byť v tomto případě může jít i jen o preventivní opatření vůči potencionálním cíleným útokům na systémy patřící pod regulaci zákona o kybernetické bezpečnosti.

Buďte v souladu s GDPR

Pomůžeme Vám osobní údaje zpracovávat bezpečně a transparentně i zlepšit kulturu ochrany dat ve Vaší společnosti.

Další články

Plány jako jsou BCP, DRP nebo plán zvládání rizik zajišťují kybernetickou bezpečnost a pomáhají udržet kontinuitu činností. Co by měly obsahovat?
Pusťte si podcast s Katkou Hůtovou, která vás provede připravovanými změnami podle nového zákona o kybernetické bezpečnosti.
Krizová komunikace během kybernetického útoku by měla být rychlá, transparentní a konzistentní, aby minimalizovala škody a udržela důvěru všech zainteresovaných stran. Jak na to?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.