Jazyk webu:

Jak správně označit monitorovaný prostor

Úřad pro ochranu osobních údajů ČR na svém webu informoval o schválení pokynů (Guidelines 3/2019) vydaného Evropským výborem pro ochranu údajů (EDPB) o zpracování osobních údajů prostřednictvím kamerových systémů. Pokyny se věnují také oblasti, jak správně označit monitorovaný prostor.
Obr. č. 1 

Obrázek č. 1 obsahuje všechny potřebné informace, které je správce povinen poskytnout subjektům údajů při vstupu do monitorovaného prostoru v první vrstvě v souladu s čl. 5 odst. 1 písm. a) GDPR nařízení (zásada transparentnosti). Tyto údaje musí poskytnout před jejich získáváním nebo nejpozději v okamžiku jejich získávání. První vrstva obsahuje informace pro subjekty údajů o správci, účelech zpracování, a další informace k zajištění spravedlivého a transparentního zpracování jejích osobních údajů. Současně by měla první vrstva obsahovat informaci, kde subjekt údajů najde všechny další potřebné informace. Tyto doplňující informace mohou být odkazem na zpracování osobních údajů (např.: odkazem na webovou stránku nebo nástěnku), kde existuje větší prostor pro vícevrstvý přístup k podmínkám zpracování osobních údajů a právům subjektů údajů.

Z uvedeného usměrnení vyplývá, že k poskytnutí informací subjektu údajů o zpracování jejích osobních údajů prostřednictvím kamerového systému nemůže dojít až po získání jejích osobních údajů (po vstupu do monitorovaného prostoru). Umístění označení monitorovaného prostoru je současně specifické tím, že subjekty údajů informuje o místě vstupu do monitorovaného prostoru, resp. že v souladu se zásadou transparentnosti ohraničuje prostor, ve kterém jsou získávány osobní údaje subjektů údajů.

Podle čl. 4 odst. 1 GDPR nařízení "osobní údaje" veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen "subjekt údajů"); identifikovatelná fyzická osoba je osoba, kterou lze identifikovat přímo či nepřímo, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor, nebo odkazem na jeden či více prvků, které jsou specifické pro fyzickou, fyziologickou, genetickou, mentální , ekonomickou, kulturní nebo sociální identitu této fyzické osoby.

Podle čl. 4 odst. 2 GDPR nařízení "zpracování" je operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, například získávání, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, poskytování přenosem, šířením nebo poskytování jiným způsobem, přeskupování nebo kombinování, omezení, odstranění nebo likvidace, bez ohledu na to, zda se provádějí automatizovanými nebo neautomatickými prostředky.

Hranice monitorovaného prostoru

Pokud dochází k monitorování prostorů prostřednictvím kamerového systému ve smyslu oprávněného zájmu správce ve smyslu čl. 6 odst. 1 písm. f) GDPR nařízení, tak správce musí dodržovat zásady minimalizace zpracování osobních údajů v souladu s čl. 5 odst. 1 písm. c) GDPR nařízení (osobní údaje musí být pouze takové osobní údaje, které jsou ve vztahu ke sledovanému účelu relevantní a zároveň nezbytné k jeho dosažení). Monitorovat prostory ve vztahu ke sledovanému účelu za určenou hranicí je zakázáno.

Doba uchovávání záznamů

Pokyny se věnují i doporučení doby uchovávání záznamů v případě použití čl. 6 odst. 1 písm. f) GDPR nařízení (zpracovávání je nezbytné pro účely oprávněných zájmů, které sleduje správce), které je 72 hodin. Konkrétní doba uchovávání osobních údajů není stanovena GDPR nařízením a ani jiným obecně závazným předpisem. V případě, že by doba uchovávání záznamů byla více než 72 hodin, tak správce musí vědět kontrolnímu orgánu dostatečně vyargumentovat důvody delšího uchovávání záznamů, tak aby nebyly v rozporu s čl. 5 odst. 1 písm. e) GDPR nařízení (minimalizace uchovávání), tj po dobu delší, než je doba nezbytná k dosažení sledovaného účelu zpracování.

Správce je odpovědný za vymezení doby uchovávání údajů v souladu se zásadami nezbytnosti a proporcionality ve smyslu daných pokynů.

Podle čl. 5 odst. 1 písm. e) GDPR nařízení osobní údaje musí být uchovávány ve formě, která umožňuje identifikaci subjektů údajů nejvíce, dokud je to nutné pro účely, pro které jsou osobní údaje zpracovávány; osobní údaje se uchovávají déle, pokud budou zpracovávány výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu či pro statistické účely v souladu s článkem 89 odst. 1 za předpokladu přijetí vhodných technických a organizačních opatření požadovaných tímto nařízením na ochranu práv a svobod subjektů údajů ("minimalizace uchovávání").

Čo môže ešte ovplyvniť dobu uchovávania záznamov

  • počet prokázaných krádeží nebo incidentů v monitorovaném prostoru, které byly šetřeny policisty a existují o tom důkazy
  • počet svátků, které by mohly prodloužit dobu uchovávání (třeba ale mít na zřeteli, že pokud máte strážní službu, která monitoruje prostory s tím může být problém)