Úřad pro ochranu osobních údajů (ÚOOÚ) vydal 8. února 2024 po předchozí veřejné konzultaci novou metodiku k návrhu a provozování kamerových systémů. V pondělí 19. února 2024 navíc ÚOOÚ zahájil registraci na odborný seminář k tomuto tématu. Podrobnosti k chystanému semináři včetně odkazu na registrační formulář naleznete na webových stránkách ÚOOÚ (zde).
Protože mnoho z našich klientů kamerové systémy provozuje anebo je využívá v rámci prostor, v nichž je obvykle provozována podnikatelská činnost, zveřejňujeme tuto aktualitu, neboť je potřeba dle uvedené metodiky přinejmenším aktualizovat související dokumentaci a právní texty týkající se kamerových systémů.
Cílem této snahy ze strany ÚOOÚ je sjednocení českého výkladu příslušných ustanovení GDPR s těmi evropskými a také srozumitelné vymezení povinností při využití kamerových systémů. I přesto, že uvedená metodika není právně závazná, což i sám orgán dozoru deklaruje, tak je zřejmé, že povinnosti v metodice uvedené budou tímto orgánem v praxi vymáhány.
Přehled povinností dle nové metodiky:
- popis kamerového systému v záznamech o činnostech zpracování;
- zpracování balančního testu (interního dokumentu, který popíše celý systém včetně uvedení náležitostí dle požadavku ÚOOÚ);
- doba uchování záznamu v maximální délce 72 hodin (byť ÚOOÚ připouští, že je možná i delší doba, která však bude muset být velmi pečlivě zvolena a odůvodněna);
- plnění informační povinnosti (toto zahrnuje informační tabulku s obsahem dle doporučení ÚOOÚ a také doplňující podrobné informace například na webových stránkách správce);
- zpracovatelská smlouva (v případě, že systém či jeho část provozuje dodavatel/třetí osoba), který zpracovává osobní údaje dotčených osob jménem správce;
- interní dokumentace (zahrnující interní předpisy zohledňující plnění právních povinností správce včetně zabezpečení, postupů pro případ bezpečnostního incidentu, projektovou dokumentaci ke kamerovému systému a také posouzení, zda je anebo není nutné zpracovat posouzení vlivu na ochranu osobních údajů, tzv. DPIA, dle článku 35 GDPR).
Každý provozovatel kamerového systému, při jehož provozu dochází ke zpracování osobních údajů, by měl být schopen v případě kontroly ÚOOÚ prokázat v souladu se zásadou odpovědnosti dle GDPR splnění výše uvedených povinností, které jsou skutečně minimálním základem.
ÚOOÚ v rámci metodiky potvrzuje, že je nutné se zabývat také fotopastmi či kamerovým systémem bez záznamu s pouhým „online“ sledováním.
S ohledem na aktualizaci metodiky doporučujeme provést kontrolu Vámi provozovaného kamerového systému včetně veškeré související dokumentace tak, aby jeho nastavení bylo v souladu s GDPR a doporučeními ÚOOÚ dle nové metodiky.
V případě jakýchkoliv dotazů či pomoci s právními texty týkající se kamerového systému jsme k dispozici.