Jedná se o regulaci na ochranu fyzických osob v souvislosti se zpracováním osobních údajů (General Data Protection Regulation) v Evropské unii. Tento předpis dle nařízení evropského parlamentu a rady (EU) 2016/679, platný od 25. května 2018, se dotýká i oblasti CCTV (odkaz na plné znění českého přepisu).
Provozování kamerového systému je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je automatizovaně prováděn záznam monitorovaného veřejného prostoru a zároveň je účelem pořizovaných informací a záznamů využití k identifikaci fyzických osob v souvislosti s určitým jednáním.
Tato problematika je u nás aplikována prostřednictvím ÚOOÚ (Úřadu pro ochranu osobních údajů). Registrace kamerového systému podle § 16 zákona č. 101/2000 Sb., o ochraně osobních údajů byla ukončena. Dnem 25. května 2018 nabývá účinnosti obecné nařízení, které registrační povinnost neukládá.
Správce osobních údajů má od května 2018 povinnost vést záznamy o činnostech zpracování osobních údajů kamerovým systémem ve své evidenci (např. provozní knihu CCTV).
Záznam o činnostech zpracování pro kamerový systém musí obsahovat tyto údaje:
-
Označení správce.
-
Běžná identifikace správce, tj. subjektu, který provádí zpracování.
-
Účel zpracování (např. ochrana majetku správce, života a zdraví osob prostřednictvím stálého kamerového systému).
-
Popis kategorií subjektů údajů.
-
Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.).
-
Popis kategorií osobních údajů.
-
Podoba a obrazové informace o chování a jednání zaznamenaných osob.
-
Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí.
-
V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna).
-
Lhůta pro výmaz (doba uchování záznamu je X dní).
-
Záznam zachyceného incident je uchován po dobu nezbytnou pro projednání případu.
-
Technická a organizační bezpečnostní opatření.
-
Bezpečnostní kryt (řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám).
V případě, že správce hodlá zpracovávat osobní údaje s vysokým rizikem na práva a svobody fyzických osob, je povinen vykonat posouzení vlivu na ochranu osobních údajů (PIA tj. Privacy Impact Assessment) před zprovozněním kamerového systému ve veřejně přístupných prostorech. Toto posouzení vlivu musí obsahovat alespoň systematický popis operací zpracování, účely zpracování oprávněných zájmů správce, posouzení nezbytnosti, přiměřenosti zpracování s ohledem na účel, posouzení rizik a svobod subjektů, plán opatření k řešení rizik.
Úřad pro ochranu osobních údajů - stanoviska k provozování kamerových systémů
Podpora výrobce kamerových systémů Dahua pro odpovídající užívání dle GDPR je následující:
-
autorizace přístupu
-
logování operací
-
překrytí citlivých oblastí
-
autorizovaný přenos dat
Jednotlivá zařízení je možné po aktualizací na nejnovější verzi firmwaru uzpůsobit, aby vyhověla požadavkům na GDPR.