Jeden z největších strašáků pro české podnikatele začne platit již od května roku 2018. Zatímco většina firem se chystá kvůli Obecnému nařízení o ochraně osobních údajů (GDPR) zabezpečovat především data ve svých počítačích a firemních sítích, často zapomínají i na další oblasti, kde je ochrana osobních údajů na místě. Jednou z nich jsou i kamerové systémy.
Podle současného zákona o ochraně osobních údajů je nutné, aby lidé, pohybující se v monitorovaném prostoru, byli o snímání informováni. Objevují se ale názory, že podle GDPR by lidé měli udělit písemný souhlas se svým monitoringem.
Další polemika se vede u zaměstnanců firem, kde je podle odborníků třeba vyvážit zájem zaměstnavatele na ostrahu budovy a majetku, a právo zaměstnanců na soukromí. Podle právníků však budou pro firmy pravidla volnější, než naznačují některé velmi přísné výklady.
Jak podle stávajícího zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění, tak podle obecného nařízení o ochraně osobních údajů 2016/679 platí, že osobní údaje lze legálně zpracovávat nejen se souhlasem jednotlivce, ale i bez jeho souhlasu, za vymezených podmínek.
Nadbytečný souhlas je porušením zákona
„Souhlas se zpracováním osobních údajů je jen jednou z možností zákonného zpracování osobních údajů, nikoliv jedinou. Ne vždy se souhlas vyžaduje. Naopak v praxi se vyskytují nadbytečné žádosti o udělení souhlasu v situaci, kdy je zpracování zákonné z jiného důvodu. Takové nadbytečně vyžadované souhlasy považuje Úřad pro ochranu osobních údajů (ÚOOÚ) za porušení zákona,” říká Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha.
„V praxi se také zaměňuje povinnost informovat jednotlivce o zpracování osobních údajů se souhlasem ke zpracování osobních údajů. Tedy je nutno rozlišovat mezi souhlasem a informací. Informaci musí jednotlivec obdržet vždy,“ dodává Karin Pomaizlová.
Záleží především na formě, jakou jsou lidé o kamerovém systému a zpracování shromážděného materiálu informování „U transparentnosti údajů jde především o srozumitelné informování subjektů o zpracování údajů. V tomto případě je důležité, aby informace o monitorování objektu byly uvedeny na přehledných místech, to jest u všech vstupů či vjezdů a následně pro přehlednost na nástěnce. Pro názornost je možné doplnit písemné informace jednoduchými a názornými obrázky. Stejně tak může správce informovat subjekty elektronickou formou,“ konstatuje Eva Škorničková, nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT.
GDPR se podle ní dotkne rozsahu poskytovaných informací. „Bude potřeba uvádět kontakt na provozovatele systému, účely zpracování, kategorie dotčených osobních údajů a jejich příjemce. Pokud to bude nezbytné pro transparentnost zpracování údajů, měla by být uvedena doba uložení osobních údajů, oprávněné zájmy správce nebo třetí strany,“ zmiňuje Eva Škorničková.
Klíčové je reagovat včas
Důležité podle ní je, aby byl správce schopen reagovat na tyto otázky v přiměřené lhůtě po získání osobních údajů. „Stejně jako dnes ponese zodpovědnost správce, který rozhodl o provozování kamerového systému. Vždy bude muset zavést vhodná technická a organizační opatření, aby mohl doložit soulad s GDPR,“ zdůrazňuje Eva Škorničková.
Podle současného zákona o ochraně osobních údajů platí, že vedle souhlasu jednotlivce je možné bez jeho souhlasu zpracovávat osobní údaje (§5 odst. 2) z kamerových systémů i v případě, „pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem jednotlivce na ochranu jeho soukromého a osobního života“.
I v souvislosti se zavedením zásad ochrany osobních údajů podle GDPR a jeho čl. 6 odst. 1 lze osobní údaje zpracovávat zákonně bez souhlasu jednotlivce, v případě kamerových systémů, pokud „ zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“.
Podle advokátky tak na kamerové systémy, pokud jejich prostřednictvím dochází ke zpracování osobních údajů, dopadá § 5 odst. 2 písm. e) zákona o ochraně osobních údajů, který koresponduje s čl. 6 odst. 1 písm. f) GDPR, tj. zpracování osobních údajů (kamerový záznam o pohybu osob) je nezbytné pro účely oprávněných zájmů správce (vlastníka nebo nájemce prostor). Pořizování kamerových záznamů však nesmí zasahovat do základních práv a svobod osob, tedy nesmí nadměrně zasahovat do soukromí osob a musí být přiměřené vzhledem k účelu, který se jeho použitím sleduje.
„K detailům ke kamerovým systémům existuje již mnoho komentářů, stanovisek a rozhodnutí ÚOOÚ. Tyto výše uvedené základní zásady by měly platit i po vstupu GDPR v platnost, to jest ochrana soukromí osob před bezdůvodným, nepřiměřeným zásahem do soukromí sledováním kamerovými systémy. To však neznamená, že pokud je použití kamerových systémů přiměřené a účelné, že je lze používat pouze se souhlasem jednotlivce – to platí dnes a bude platit i po vstupu v platnost GDPR,“ podotýká Karin Pomaizlová.
Sledování kamerou musí mít důvod
Podle ní přitom pro použití kamerových systémů ke sledování osob a záznamům těchto osob platí, že musí být nezbytné pro naplnění konkrétního účelu a musí být přiměřené vzhledem k okolnostem a k ochraně soukromí těchto osob. „Vždy je třeba maximálně respektovat soukromí a oprávněné zájmy osob, např. kupujících v obchodním centru, řidičů v podzemních garážích a podobně,“ zmiňuje Karin Pomaizlová. Například menší zásah do soukromí představuje monitorování chráněného prostoru bez záznamu než zaznamenávání pohybu osob na paměťový nosič.
Zároveň upozorňuje na zákonné omezení umisťování kamer na pracovišti za účelem sledování zaměstnanců podle Zákoníku práce. „Zaměstnavatelé nesmí, až na odůvodněné výjimky a zvláštní případy popsané v Zákoníku práce, sledovat své zaměstnance, a např. umísťovat kamery nad jejich pracoviště,” podotýká Karin Pomaizlová.
Povinností správce bude také vedení záznamů o činnostech zpracování údajů. „Neměly by chybět jméno a kontaktní údaje správce, účely zpracování údajů, popis kategorie údajů, příjemce, jimž jsou údaje zpřístupněny, lhůty pro výmaz, ale také technická a organizační bezpečnostní opatření. Záznamy musí být vyhotovovány písemně a správce bude povinen je na požádání poskytnout dozorovému úřadu,“ vypočítává Eva Škorničková.
Role správce je důležitá i v dalších oblastech. „Pokud zpracovává osobní údaje se souhlasem jednotlivce, sice musí být schopen doložit, že jednotlivec udělil svůj souhlas, ale to neznamená, že souhlas musí být vždy písemný,” zdůrazňuje Karin Pomaizlová.
Článek 4 GDPR podle ní definuje souhlas jako „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým jednotlivec dává prohlášením či jiným zjevným potvrzením svolení ke zpracování svých osobních údajů. Aby byl souhlas skutečně svobodný, znamená to, že jej může jednotlivec kdykoliv odvolat, a navíc poskytnutím souhlasu nelze podmiňovat plnění ze smlouvy. To ale nevylučuje, aby nad rámec plnění smluvních povinností, například při dodání objednaného zboží z e-shopu, správce osobních údajů nabídl jednotlivci, že mu např. za souhlas se zpracováním jeho osobních údajů k marketingovým účelům poskytne slevu na zboží.”
Politici zaspali
České firmy se přitom cítí nástupem komplikované normy ohroženy. Za její porušení totiž hrozí drastické pokuty. Stát podle nich při přípravě zásadní změny selhává. Svoje znepokojení z této situace nedávno vyjádřila Konfederace zaměstnavatelských a podnikatelských svazů ČR (KZPS ČR).
„KZPS ČR je znepokojena nečinností vlády a ministerstev ČR, chybějícími autorizovanými školícími aktivitami, nízkou informovaností o GDPR a necháváním všech potřebných aktivit na poslední chvíli. GDPR vstoupí v platnost již 25. května 2018. Velká část firem a podnikatelů ale o GDPR zatím ještě ani jednou neslyšela,“ uvádí Jan Wiesner, prezident KZPS ČR.
Upozornil, že na kvalitní přípravu zbývá jen velmi málo času. „Dosavadní snaha státu o adekvátní informovanost je žalostná. Při tom platnost GDPR se velmi rychle blíží. GDPR změní způsob zpracování osobních údajů skoro ve všech podnikatelských sektorech i ve státní správě. V případě závažných pochybení pak hrozí mnohamilionové pokuty,“ uzavírá Jan Wiesner.
Dalibor Dostál