Vyjádření Asociace k metodice kamerových systémů
Naším hlavním posláním je, mimo dalšího, společně tvořit základní pravidla, kodexy chování a postupy ochrany osobních údajů pro uplatňování obecného nařízení v praktickém životě státních orgánů, institucí a organizací, ve kterých pověřenci působí.
Cílem našeho přípisu je přispět k odstranění nejasností při interpretaci tohoto dokumentu a ke zvýšení použitelnosti v rámci praktické implementace do oblasti ochrany osobních údajů, zejména ve veřejné správě.
Úvodem bychom chtěli ocenit skutečnost, že máme možnost spolupracovat na tvorbě tohoto dokumentu.
Asociace konstatuje, že vydávání metodik považuje za smysluplné a přijatelné, navíc, pokud existuje dostatečná praxe či rozhodovací činnost Úřadu, která může být zobecněna. Naše vyjádření k metodice se tak nesou v duchu snahy o sjednocení praxe a zajištění srozumitelné a jednoznačné interpretace legislativy k ochraně osobních údajů. Cílem je, aby se subjekty údajů mohly spolehnout na jednotný a nerozporný výklad problematiky zpracování osobních údajů, zvláště při používání kamerových systémů.
Připomínáme, že metodika má komplexní, autonomní a nezávislý charakter, ale pro soulad s rozhodnutím NSS ve věci Ryneš by měla vycházet z dosavadní praxe a kazuistiky, zejména v souvislosti s právními stanovisky týkajícími se použití kamer.
Domníváme se, že v některých částech metodika nepracuje systematicky s pojmy a zásadami ochrany osobních údajů a dostatečně nevychází z obecného nařízení a pokynů, ani z judikatury SDEU. Místo toho pracuje volnějším způsobem, aniž by výslovně odkazovala na relevantní zdroje, například EDPB. Tento výběrový a nekonsekventní přístup se projevuje v některých bodech, například v tzv. balančním testu, který řeší zájem a náklady správce, ale nevyvažuje jej právem subjektu údajů. Metodika se také dostatečně neodkazuje na relevantní zdroje, což může vést k nejednoznačným interpretacím.
Asociace také poukazuje na nesrovnalosti v metodice, konkrétně na stanovení hranice vzdálenosti pro účely monitorování. Co se týče sledování veřejného prostoru, metodika nebere dostatečně v potaz individuální okolnosti konkrétního případu. Navrhované hranice vzdálenosti pro monitorování mohou vést k mylné interpretaci, že je akceptovatelné sledovat veřejný prostor do vzdálenosti 1,5 – 2 metrů od objektu nebo plotu. Tento výklad je však v rozporu s pokyny EDPB 3/2019, podle kterých je sledování veřejného prostoru soukromými kamerami obecně nepřípustné a hranice prostoru je vymezena samotnou hranicí nemovitosti. Každá výjimka by měla být konkrétně a ověřitelně odůvodněna v posouzení vlivu na ochranu osobních údajů.
V otázce uchovávání dat metodika představuje potenciální problém tím, že navrhuje 72 hodin jako obvyklou dobu uchovávání. Tato doba však není zcela v souladu s pokyny EDPB 3/2019, které vyzývají jednak k minimalizaci údajů a jednak k jejich automatickému vymazání podobě, která je nezbytná pro splnění účelu. Příkladem je společnost, která exportuje výrobky do zámoří a musí pro pojišťovnu dokladovat řádné naložení nepoškozeného zboží do přepravního kontejneru, ale cesta na místo určení může trvat i v řádu několika týdnů. Společnost tedy musí záznam držet minimálně po celou dobu přepravy. Dle našeho názoru by měla být doba uchování dat stanovena a omezena správcem s ohledem nejen na potenciální dopad na práva subjektů údajů, ale i skutečné potřeby správce.
Asociace má obavy ohledně nekonzistence metodiky při použití pojmu "balanční test". Metodika tento pojem využívá pro několik odlišných situací posuzování, jako je posouzení nezbytnosti zpracování pro ochranu oprávněných zájmů správce, posouzení minimalizace zpracovávaných údajů, vyvažování doby uchovávání osobních údajů a další. To může vést k zmatení a nejednoznačným interpretacím.
Je na zváženou, zda postup dle metodiky v případě aplikace balančního testu nepovede k situacím, kdy bude zájem správce nadhodnocen nad právy subjektu údajů, což by znamenalo narušení principu proporcionality, na který je kladen důraz jak v judikatuře SDEU, tak v obecném nařízení. Balanční test má zvažovat práva jednotlivých stran, nikoliv se zabývat finanční efektivností jednotlivých řešení.
Domníváme se dále, že by metodika měla více zohledňovat současný stav vývoje technologií a zabývat se i propojením biometrických či automatizovaných systémů s existujícími kamerovými systémy, s přihlédnutím k současnému trendu používání umělé inteligence. Jedná se například o čím dál častěji používané autonomní systémy v dopravních prostředcích, hodnotící a profilovací systémy v obchodních řetězcích, apod.).
Výpočet přípustnosti použití kamer pomocí koeficientu míry porušení práv a zájmů subjektů údajů jako nástroje představuje odlišnou metodu, než je aplikace zásad obecného nařízení na konkrétní zpracování, jak to navrhují pokyny EDPB 3/2019. Nelze tedy garantovat, že obě metody povedou ke stejným závěrům. Navíc neexistuje jednoznačný způsob, jak ověřit vhodnost nebo správnost zvoleného koeficientu.
Metodika neposkytuje stejné příklady jako pokyny EDPB, v některých případech může dojít k odlišným a třeba i méně striktním závěrům ohledně přípustnosti použití kamer. To je zvláště patrné v prostorách, kde dochází k převlékání nebo hygienickým úkonům, kde by kamery neměly být dle EDPB vůbec instalovány. Aplikováním navrhované metodiky by jejich použití přicházet v úvahu mohlo.
Otázkou zůstává, zda použitá metoda využívající stanovení koeficientu bude akceptována i ze strany soudů. Správce by mohla vést k mylným závěrům ohledně přípustného použití.
Asociace doporučuje v případě metodiky k provozování kamerových systémů pokračovat ve směru EDPB a přicházet s konkrétními příklady, jak lze vidět v posledních pokynech EDPB pro oblast naplnění práv subjektů údajů.
Dále si dovolujeme konstatovat, že:
• Absentují obecná pravidla, která by byla explicitně uvedena.
• Chybí konkrétní příklady ilustrující různé situace (viz pokyny EDPB).
• Sporné otázky nejsou řádně adresovány a řešeny.
• Metodika nezobecňuje soudní praxi.
• Není jasné, na základě čeho byl zvolen princip založený na výpočtu koeficientu.
• Chybí jasná vazba na pokyny a příklady EDPB 03/2019.
• Metodika nepoužívá ve svých formulacích a interpretacích existující judikaturu dozorových úřadů a soudů EU.
• Zcela chybí konkrétní příklady dobré a špatné praxe.
Detailní připomínky:
K uvedenému dokumentu doporučujeme úpravy eventuálně doplnění v následujících odstavcích:
odst. 2.2 Stupeň identifikace (osoby)
Doporučujeme doporučení výrazně zjednodušit. Kamerové systémy jsou v dnešní době v mnoha formátech a rozlišení, svou roli může hrát i komprimace při uložení záznamu nebo optimalizace při přenosu dat. Nepovažujeme za šťastné na jedné straně podrobně definovat procenta plochy obrazu a rozlišení a na straně druhé modifikovat parametry různých systémů dle ČSN normy, která není snadno dostupná a pro běžnou veřejnost těžko pochopitelná.
odst. 2.3 Popis operací zpracování
Doporučujeme vypustit zmínku o fotopastech v tomto odstavci. Fotopasti navrhujeme zmínit v úvodu metodiky při podrobnějším a příkladném výčtu druhů kamerových systémů.
odst. 3.1.1 Korektní, zákonné a transparentní zpracování osobních údajů
Doporučujeme doplnit mezi zákony, podle kterých je zákonnost zpracování plněním právní povinnosti nebo úkoly prováděné ve veřejném zájmu při výkonu veřejné moci, doplnit zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů a § 17 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti. Jedná se o zdůvodnění účelů jak prokazování technických opatření, tak předcházení vzniku porušení zabezpečení různých stupňů. Obdobný účel, tj. předcházení incidentům, je analogicky odvoditelný v sociální a zdravotní oblasti.
Taktéž si dovolujeme upozornit, že v některých případech bude výběr dodavatel v budoucnu ovlivněn směrnicí 2022/2555 NIS2 (a jmenovaný zákon tím bude změněn) a doporučujeme, aby na toto byl brán ohled.
odst. 3.1.1 Korektní, zákonné a transparentní zpracování osobních údajů
bod Zpracování se provádí na základě souhlasu subjektů údajů.
Doporučujeme tento bod vypustit. V rámci metodiky a posuzovaného zpracování je jeho využitelnost minimální a dlouhý text zbytečně odvádí pozornost od podstatných náležitostí.
odst. 3.1.5 Nezbytně nutná doba uložení záznamů (jen u kamer se záznamem)
Doporučujeme upozornit na to, že uložení záznamů nad 72 hodin je nutno doložit jak v balančním testu, tak v DPIA specifikou správce (prázdniny, dovolená…).
odst. 3.2 Zajištění práv subjektů údajů
Domníváme se, že, podobně jako v jiných částech metodiky, může velká míra detailu doporučení vést k aplikačním komplikacím vzhledem k velmi rozdílným podmínkám jednotlivých správců a velmi rozmanitým situacím při používání kamerových systém.
odst. 3.2.2.1 Předávání kamerových záznamů oprávněným subjektům
Doporučujeme doplnit postupy tak, aby bylo jasné, jak postupovat v případě, když se žadatel nedostaví osobně pro potvrzení identity subjektu údajů s konkrétním záznamem osoby na vyžadovaném záznamu.
odst. 3.2.2.2 Pravidla pro předávání oprávněným subjektům
Doporučujeme doplnit postupy tak, aby bylo jasné, jak postupovat v případě, že žádost o vydání kopie údajů přijde později, než je doporučená retenční doba, tedy po vymazání záznamů z kamer (výše byla uvedena doporučená retenční doba záznamů v délce 72 hodin).
odst. 3.6 Posouzení vlivu na ochranu osobních údajů (DPIA)
Doporučujeme zvážit skutečnou nezbytnost zpracování analýzy, kterou bude zjištěno, zda se posouzení vlivu u zpracování kamerových záznamů/provozování kamerových systémů musí nebo nemusí provádět. V praxi provozování "běžných" kamerových systémů tato analýza prováděna není a takový povinný požadavek by znamenal pro správce nadměrnou zátěž.
Navrhujeme zaměnit slovo "nutno" za slova "doporučeno".
Další doporučení:
- Návrh na doplnění metodiky o doporučení ohledně proškolení obsluhy kamerových systémů a relevantních odpovědných osob.
- Návrh na doplnění ukázkové vzorové dokumentace obsahující:
o Provozní záznamy
o Záznamy o uplatnění práv subjektů (nahlížení, poskytnutí, smazání…)
o Záznamy o incidentech
o Přehledy údržby kamerového systému
- Návrh vzorové zpracovatelské smlouvy s provozovatelem kamerového systému
Návrh k doplnění metodiky
V předložené metodice doporučujeme doplnit výčet nutných dokumentů a podkladů při budování a zajištění provozu kamerového systému, např.:
Záznamy o činnostech zpracování: Správce i zpracovatel musí vést záznamy o všech činnostech zpracování, které provádí a to včetně popisu aplikace a systému, který ke zpracování používá. Doplnit o návod, technickou dokumentaci atd.
Právní základ: Důsledně definovat právní základ pro provozování kamerového systému. V zásadě se jedná o oprávněný zájem. Ve výjimečných případech lze zpracování postavit na plnění smlouvy, právní povinnosti správce nebo souhlasu.
Balanční test: Balanční test, také známý jako test oprávněného zájmu, je mechanismus, který umožňuje organizacím zpracovávat osobní údaje na základě oprávněného zájmu, pokud toto zpracování není převáženo právy a svobodami subjektů údajů.
Posouzení dopadu na ochranu dat (DPIA): DPIA je povinné pro všechny činnosti zpracování, které představují vysoké riziko pro práva a svobody jednotlivců, což zahrnuje i použití kamerového systému, zejména s biometrií. DPIA by mělo podrobně popsat způsob, jakým systém funguje, jaké údaje zpracovává, pro jaký účel a jak organizace plánuje minimalizovat rizika.
Politika ochrany osobních údajů a oznámení o zpracování dat: Správce musí informovat subjekty údajů o tom, jaké údaje zpracovává, pro jaký účel, na jakém právním základě, jak dlouho údaje uchovává a jaká práva mají subjekty údajů v souvislosti se svými údaji a kdo je případným zpracovatelem.
Zabezpečení dat: Správce musí disponovat dokumenty, které prokazují, že přijal vhodná technická a organizační opatření k zajištění ochrany osobních údajů, včetně biometrických údajů. Například prokázat, že se data Face ID uchovávají v podobě hashtagu a nikoliv jako obrázek.
Plán pro případy porušení ochrany dat: Správce i zpracovatel musí mít plán, jak postupovat v případě porušení ochrany dat. Tento plán by měl zahrnovat procesy pro identifikaci, vyhodnocení a hlášení porušení, stejně jako kroky k nápravě a minimalizaci škod.
Smlouvy se zpracovateli dat: Správce musí mít uzavřenu zpracovatelskou smlouvu se všemi třetími stranami, které data zpracovávají. Tato smlouva musí obsahovat dané klauzule stanovené GDPR, například povinnosti zpracovatele chránit údaje, poskytnout asistenci při splnění povinností správce a smazat nebo vrátit údaje po ukončení vztahu.
Posouzení rizika třetích stran: Správce musí provést posouzení rizika pro každou třetí stranu, která data správce zpracovává a ujistit se, že jsou schopni splnit požadavky GDPR.
Přeshraniční přenosy: Pokud třetí strana přenáší data mimo Evropský hospodářský prostor, musí dodržovat specifické požadavky GDPR pro tyto přenosy. To může zahrnovat zajištění, že země, do které se údaje přenášejí, poskytuje dostatečnou úroveň ochrany dat, nebo použití určitých mechanismů, jako jsou standardní smluvní doložky. Předložit případně TIA (Transfer Impact Assessment).
Revize a audit: Je třeba, aby správce měl smluvně zajištěny postupy pro revizi a audit třetích stran ke kontrole dodržování povinností dle smlouvy a GDPR. Neplnění kontrolní povinnosti může být ze strany ÚOOÚ sankcionováno.