Strašák GDPR? SERIÁL O GDPR KROK ZA KROKEM – díl VII. KAMEROVÉ ZÁZNAMY

Mezi případy, kdy je povinnost provést tzv. posouzení dopadu činností na ochranu osobních údajů dle čl. 35 odst. 3 písm. c) nařízení GDPR, patří rozsáhlé systematické monitorování veřejně přístupných prostorů. V takovém případě povinného provedení posouzení dopadu činností na ochranu osobních údajů je nařízením také zakotvena povinnost konzultace s dozorovým orgánem na území ČR, tj. Úřadem pro ochranu osobních údajů (dále též ÚOOÚ).

Aby správci údajů věděli, co patří mezi naplnění definice „rozsáhlé systematické monitorování“, zakotvil čl. 35 odst. 4 a 5 nařízení GDPR povinnost pro ÚOOÚ sestavit a zveřejnit  seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů a sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné.

Ke dni 7.2.2018 ÚOOÚ však zveřejnil, že nemůže vytvořit seznam operací zpracování, která podléhají posouzení vlivu na ochranu osobních údajů, protože by byl v čase proměnlivý. „Proto se Úřad rozhodl jít cestou určení rizikovosti zpracování (operací zpracování) osobních údajů, kdy lze jednotlivé zpracování popsat pomocí parametrů a podle hodnot, jichž v rámci parametrů zpracování dosahuje a také určit, zda jde o zpracování vysoce rizikové, rizikové nebo ostatní“ – zdroj
https://www.uoou.cz/k%2Dnbsp%2Dpovinnosti%2Dprovadet%2Dposouzeni%2Dvlivu%2Dna%2Dochranu%2Dosobnich%2Dudaju%2Ddpia/d-28385.

Dle pracovní skupiny W29 se „rozsáhlost“ posoudí zejména podle kritérií počtu dotčených osob subjektů údajů, četnosti dat/rozsahu zpracovávaných položek, četnosti zpracování dat. „Systematické monitorování“ je dle pracovní skupiny W29 zejména zpracování údajů za účelem sledování a kontroly subjektů údajů. Za „veřejně přístupný prostor“ lze považovat prostor, kam má volně přístup veřejnost.

V příloze č. 2 stanovuje ÚOOÚ případy, kdy zpracování posouzení vlivu není nutné provádět a tedy lze eliminovat administrativní náklady, což ale (druhým dechem dodává) nezbavuje správce povinnosti takové osobní údaje chránit. U kamerových systémů a fotopastí je to za situace, kdy nedochází k nadměrnému monitorovaní veřejných prostranství (nad rozsah 1-1,5m), nedochází k monitorování zaměstnanců na pracovištích nebo zabírání citlivých prostor v době přítomnosti subjektů údajů (šatny, čekárny) a zároveň použité technologie nemají takové parametry, které umožní nadměrné zásahy do soukromí (například použití vysoké rozlišovací schopnosti – čtení dokumentů v rukou subjektů údajů, zobrazení otisků prstů nebo zpracování některých biometrických charakteristik (použití biometrických kamer) subjektů údajů – charakteristiky obličeje, chůze apod.). Z tohoto lze vydedukovat, že při monitorování veřejně přístupných prostor nad vyjmutý rozsah za předpokladu splnění podmínky „rozsáhlosti“ bude nutné posuzovat vliv činností na ochranu osobních údajů.

ÚOOÚ myslel také mj. na nový fenomén, a to na kamery na vozidlech monitorující prostor před a za vozidlem za účelem dokumentace dopravní nehody a k jejímu objasnění, kdy pokud „použité technologie nemají takové parametry, které umožní nadměrné zásahy do soukromí (například zpracování biometrických charakteristik (použití biometrických kamer) subjektů údajů – charakteristiky obličeje nebo zobrazení některých biometrických charakteristik subjektů údajů“, jsou vyňaty z povinnosti posouzení činnosti na ochranu osobních údajů.

Mgr. Bc. Kamila Klvačová, advokát