článek

Používání kamerového systému může být účinným nástrojem pro ochranu majetku nebo zajištění bezpečnosti osob. Z pohledu práva se ale jedná o zpracování osobních údajů, a jako takové podléhá pravidlům nařízení GDPR. V tomto článku se podíváme na to, co musí správce kamerového systému splnit, aby byl jeho provoz zákonný.

Každé zpracování osobních údajů musí mít zákonný důvod. U kamerových systémů se nejčastěji používají:

• oprávněný zájem správce (např. ochrana majetku, bezpečnost zaměstnanců) – proveďte Balanční test

• právní povinnost (např. pokud povinnost záznamu ukládá zákon)

• výjimečně souhlas subjektů údajů (například v bytových domech – ale ten je právně nejméně vhodný)

Záznam nelze provádět „pro jistotu“. Musíte být schopni doložit, proč kameru používáte a že je to přiměřené.

Podle článku 13 GDPR musí být osoby informovány o tom, že jsou snímány. To znamená:

• umístit dobře viditelné informační cedule, ideálně ještě před vstupem do monitorovaného prostoru

• uvést na nich alespoň: účel záznamu, právní základ, kontaktní údaje správce, dobu uchovávání, odkaz na úplné informace (např. na webu nebo na vyžádání)

Doporučení: Informační tabule by měla obsahovat i piktogram kamery a být snadno srozumitelná i pro běžného člověka.

Je nezbytné zajištění bezpečnosti záznamu. Záznamy by měly být:

• uloženy v systému s omezeným přístupem (např. heslo, přístupová práva)

• šifrovány nebo jinak technicky chráněny

• pravidelně mazány po uplynutí doby uchování (běžně 48–72 hodin, delší jen s odůvodněním)

Pokud kamerový systém výrazně zasahuje do soukromí (např. zaznamenává veřejné prostory, zvuk, nebo biometrické údaje), měli byste provést posouzení vlivu na ochranu osobních údajů (DPIA). To se týká zejména:

• kamer ve veřejně přístupných prostorech

• kamer s automatickým rozpoznáváním SPZ nebo obličeje

• kombinace kamer s dalšími daty (např. přístupovými systémy)

Záznam z kamer nesmíte použít libovolně – například nelze použít záznamy pro sledování výkonnosti zaměstnanců, pokud to není dopředu jasně stanoveno a odůvodněno.

GDPR vyžaduje minimalizaci doby uchování. Pokud například potřebujete záznamy pouze kvůli možným škodám nebo incidentům, postačí typicky uchování 2–3 dny. Delší uchování (např. 30 dní) musí být zdůvodněno konkrétními riziky

Správce je povinen vést tzv. záznamy o činnostech zpracování (dle článku 30 GDPR), kde bude mimo jiné uvedeno:

• kdo je správcem dat

• za jakým účelem se záznam pořizuje

• právní základ

• doba uchování

• popis zabezpečení

Pokud provozujete kamerový systém, musíte mít:

• Jasný účel a právní základ

• Viditelnou a srozumitelnou informační ceduli

• Opatření k zabezpečení záznamu

•  Stanovenou dobu uchování

• Záznam o zpracování a případně provedené DPIA

Pokud si nejste jistí, zda je váš kamerový systém v souladu s GDPR, nabízím konzultaci nebo revizi nastavení včetně pomoci s informačními cedulemi, posouzením vlivu na soukromí (DPIA) a přípravou nezbytné dokumentace.

Upozornění: Prostory jsou monitorovány kamerovým systémem

Správce záznamu:
Název firmy / instituce
Adresa sídla
E-mail: info@firma.cz | Tel: +420 xxx xxx xxx

Účel záznamu:
Ochrana majetku a bezpečnosti osob

Právní základ:
Oprávněný zájem správce dle čl. 6 odst. 1 písm. f) GDPR

Doba uchování záznamu:
Max. 72 hodin, pokud nedojde k bezpečnostnímu incidentu

Další informace o zpracování osobních údajů naleznete na:
www.firma.cz/gdpr nebo na vyžádání u správce

Tento prostor je monitorován pouze obrazem, bez záznamu zvuku.
Piktogram kamery

Autor: PhDr. Jiřina Nováková, Ph.D.