Městské kamerové systémy v prostředí GDPR Petr Stiegler
Legislativní rámec ochrany osobních údajů v MKS Obecné nařízení EU 2016/679 o ochraně osob v souvislosti se zpracováním osobních údajů účinné od 25.5.2018 Nařízení GDPR Směrnice EU 2016/680 o ochraně fyzických osob v souv. se zpracováním osobních údajů za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení - GDPR trestněprávní směrnice. nejde o přímo použitelný právní předpis členské státy ji měly do své legislativy zapracovat do 6. května 2018 Zákon č.101/2000 Sb., ochraně osobních údajů (pokud není v rozporu s nařízením EU) V legislativním procesu návrh zákona o zpracování osobních údajů ( tisk 138 přerušeno 3. čtení) návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů (tisk 139, ukončeno 2 čtení) 2
Co se s GDPR mění? Znamená účinnost nařízení zásadní změny do fungování kamerových systémů? NE Všechny stávající MKS jsou provozovány na základě registrace u ÚOOÚ dle dosavadní dikce zákona Pro nové MKS či zpracování osobních údajů na základě MKS byla registrace dle 16 zák. č.101/2000 Sb. ukončena Je však vytvářet záznam o činnostech zpracování 3
Záznam o činnostech zpracování Označení správce Účel zpracování Popis kategorií subjektů údajů Popis kategorií osobních údajů Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí Lhůta pro výmaz Technická a organizační bezpečnostní opatření Běžná identifikace správce, tj. subjektu, který provádí zpracování. Např. ochrana majetku správce, života a zdraví osob prostřednictvím stálého kamerového systému. Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.) Podoba a obrazové informace o chování a jednání zaznamenaných osob. V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna) Doba uchování záznamu je X dní. Záznam zachyceného incidentu je uchován po dobu nezbytnou pro projednání případu a pro právní ochranu. Bezpečnostní kryt, řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám. 4
Co je zpracování osobních údajů Pojem zpracování použití, zaznamenání, šíření, nahlédnutí, uchovávání, zničení, výmaz, Pojem osobní údaj jakákoliv informace k fyzické osobě, pokud lze podle ní tuto osobu identifikovat GDPR nepodléhá samotný kamerový systém (jako soubor technických prostředků), ale činnosti, které jsou s jeho pomocí prováděny 5
Účel zpracování Pro MKS připadají v úvahu pouze tyto důvody: zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě; zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby 6
Správce a zpracovatel Správce osoba určující účel a způsob zpracování Zpracovatel ten, kdo na základě pokynu správce údaje zpracovává Jedna osoba může být zároveň správcem i zpracovatelem Kdo je kdo u MKS? 7
Obec jako správce MKS Stále ovšem platí stanovisko č.9/2002 ÚOOÚ, kde se mj. uvádí: Z ustanovení 35 odst. 2 zákona č. 128/2000 Sb. proto nelze nijak vyvozovat, že by snad měla sama obec, resp. její orgány či zaměstnanci (s výjimkou strážníků obecní policie, kteří jsou ze zákona zaměstnanci obce), dohlížet na veřejný pořádek, vyšetřovat a odhalovat přestupky nebo trestné činy Je ovšem možné využít právo chránit svůj zájem sledování objektů, které jsou ve vlastnictví obce a nejsou veřejným prostranstvím Obec ovšem může nakládat s takovými údaji, pocházejícími z provozu MKS, které nejsou osobními údaji 8
Informování subjektu údajů Subjekt údajů fyzická osoba, které se údaje týkají V okamžiku získání osobních údajů je nutno poskytnout informace: totožnost a kontaktní údaje správce a jeho případného zástupce; případně kontaktní údaje případného pověřence pro ochranu osobních údajů; účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f) (oprávněné zájmy správce); případné příjemce nebo kategorie příjemců osobních údajů případný úmysl správce předat osobní údaje do třetí země 9
Informování subjektu údajů A dále informace: doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit kritéria použitá pro stanovení této doby existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů existence práva podat stížnost u dozorového úřadu V praxi alespoň jméno správce, kontakt na něj a kde lze získat zbytek údajů 10
Právo na přístup k údajům Subjekt údajů má právo získat od správce bezplatně potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: účely zpracování kategorie dotčených osobních údajů; příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování; právo podat stížnost u dozorového úřadu; veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů; skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému včl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.. 11
DPIA Posouzení vlivu na ochranu osobních údajů Posouzení je nutné v případech, kdy zpracování osobních údajů má za následek vznik vysokého rizika pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu, účelům zpracování a využitím nových technologií Povinnost provádět DPIA se vztahuje na správce Z dokumentů ÚOOÚ se jeví velmi pravděpodobné, že u nových rozsáhlejších kamerových systému bude zpracování DPIA nezbytné. čl.35 odst. 3 písm. Nařízení: c) DPIA je nutno zpracovat, pokud dochází k rozsáhlému systematickému monitorování veřejně přístupných prostor 12
Ohlašovací povinnost zneužití Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Lze provést i veřejným oznámením. Není nutno činit v případě, že riziko bylo eliminováno (např. šifrování) 13
Pokročilé videoanalytické systémy Běžný způsob práce s kamerovým systémem: vidím jednám To všem může být (nejen) z pohledu GDPR problematické Pokročilé videoanalytické systémy mohou poskytnout informaci o události dané osobě bez toho, aby předávaly osobní údaje (anebo jen ty nezbytné) Pokud již nejde o osobní údaje (počet, osob, vozidel apod.), lze je zpracovávat bez omezení 14
Hodně štěstí s dalšími zákony!