Úřad pro ochranu osobních údajů vydal doporučení k využívání kamerových systémů na bezpilotních letadlech. Ve kterých případech představuje záznam dronu zpracování osobních údajů? Jak informovat subjekty údajů? A kde končí pravomoc ÚOOÚ?
Dne 8. 7. 2024 přijal ÚOOÚ metodiku ve formě Doporučení ÚOOÚ č. 01/2024 ke zpracování osobních údajů prostřednictvím záznamu z kamer, kterými jsou vybavena bezpilotní letadla. Pojďme se podrobněji podívat na obsah tohoto doporučení.
Bezpilotní letadla
Bezpilotní letadla, nebo také drony, patří mezi velmi oblíbenou technologii využívanou právě k pořizování kamerového záznamu. Tak jako ostatní technologie, i drony jsou dnes čím dál výkonnější a dostupnější, proto mnohdy tvoří výbavu různých cestovatelů, kteří rádi pořizují záznam z hezkého prostředí nedotčené krajiny z pohledu letícího ptáka. Ostatně kdo měl možnost navštívit oblíbené turistické atrakce v Rakousku či Itálii, setkal se dokonce se zákazem (dlužno dodat hojně porušovaným) drony v určitých lokalitách používat.
Jakýkoliv kamerový systém však s sebou nese riziko zásahu do práva na soukromí. Jak totiž uvádí ÚOOÚ, předmětná technologie přirozeně umožňuje systematické zpracování osobních údajů, a to nejen na veřejném prostranství, ale i v rámci soukromého prostředí, jako jsou například zahrady.
ÚOOÚ v rámci svého doporučení shrnuje některé ze základních právních předpisů, které musí mít každý na paměti:
prvním je pochopitelně GDPR;
druhým je nařízení Evropského parlamentu a Rady (EU) 2018/1139 o společných pravidlech v oblasti civilního letectví a o zřízení Agentury Evropské unie pro bezpečnost letectví (dále jen nařízení 2018/1139);
zákon o zpracování osobních údajů, který v sobě transponuje směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV a také se jím konkretizují některá obecná ustanovení obecného nařízení;
zákon o Policii ČR;
občanský zákoník.
Pokud lze osoby na záznamu identifikovat, jedná se o zpracování osobních údajů
Na jaké užití dronů se GDPR nevztahuje
Ne každý kamerový systém automaticky znamená zpracování osobních údajů a dopadá na něj GDPR. ÚOOÚ k tomuto uvádí následující případy:
využití kamerového systému na bezpilotních letadlech takovým způsobem (sledování krajiny, monitoring zvěře, monitoring zemědělských plodin, protipožární sledování apod.), kdy nejsou pořizovány záběry umožňující identifikaci (přímou nebo nepřímou) fyzických osob, případně jsou nahodilé a nechtěné záběry toto pravidlo porušující (například z důvodu nerovnosti/ nepřístupnosti krajiny, při vzletu či přistání) ze zpracování ihned vyloučeny;
využití kamerového systému na bezpilotních letadlech pro osobní potřebu, tzn. pro monitorování prostor vlastněných nebo užívaných výlučně fyzickou osobou nebo jejími rodinnými příslušníky, které zachycuje pouze tyto osoby (po dohodě s nimi); uvedené ovšem nezahrnuje neomezené zpřístupnění takových záběrů (obsahujících osobní údaje) například na webu;
využití kamerového systému na bezpilotních letadlech Policií ČR, případně jinými příslušnými orgány, za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů; tato zpracování se řídí zvláštními zákony, například v případě Policie ČR příslušnými ustanoveními výše zmíněného zákona o zpracování osobních údajů a zákona o Policii ČR, avšak v principu jsou základní pravidla zpracování prakticky totožná s obecným nařízením;
využití kamerového systému na bezpilotních letadlech pro novinářské účely se řídí § 89 a § 90 zákona č. 89/2012 Sb., občanský zákoník, a § 17 zákona č. 110/2019 Sb., o zpracování osobních údajů; právním základem by v těchto případech měl být oprávněný zájem správce či třetí osoby, přičemž důležitou zásadou při využití bezpilotních letadel k tomuto účelu je dodržení zásady přiměřenosti zásahu do soukromí.
Přestože názory ÚOOÚ lze v některých bodech rozporovat, je potřeba být v rámci klasifikace velmi opatrný, neboť doporučení má pouze informační charakter a nemá právní závaznost.
Základní pravidla dle ÚOOÚ
V souvislosti s používáním bezpilotních letadel lze rozlišit dvě klíčové oblasti, které ovlivňují zpracování osobních údajů: jejich návrh a výrobu a následně jejich provoz.
Návrh a výroba bezpilotních letadel by měly zahrnovat prvky a funkce, které zohledňují zásady ochrany soukromí a osobních údajů. Tím je umožněno provozovatelům vybírat z řady bezpilotních letadel tak, aby minimalizovali zásahy do soukromí. Provoz bezpilotních letadel by měl být také nastaven tak, aby co nejméně zasahoval do soukromí. Provozovatelé by měli být dobře obeznámeni s evropskými a národními předpisy o ochraně soukromí a osobních údajů.
Správcům a zpracovatelům osobních údajů se doporučuje postupovat podle metodiky k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, kterému jsme se podrobně věnovali v předchozích číslech.
Co se týče postavení provozovatele, ÚOOÚ připouští, že taková osoba se může nacházet jak v postavení správce (pokud určuje účel a prostředky zpracování), ale také v pozici zpracovatele. V souvislosti s tím se pak bude rozšiřovat okruh povinností, které z takového zpracování mohou plynout.
ÚOOÚ připomíná, že je klíčové dodržovat zásady dle čl. 5 GDPR, včetně zásady korektního, zákonného a transparentního způsobu zpracovávání osobních údajů a zásady určitého, výslovně vyjádřeného a legitimního účelu – zde ÚOOÚ dodává, že takovým budou obvykle ochrana majetku, zvýšení bezpečnosti osob a doplňkově též prevence a řešení mimořádné události. Naopak ÚOOÚ uvádí, že správce nesmí pořizovat záběry ryze soukromých aktivit jiných subjektů údajů (zejména v rámci obydlí a přilehlých prostor) a záběry, jimiž by primárně byla snižována lidská důstojnost.
V souladu se zásadou minimalizace by měl správce zvážit to, aby zásah do případných práv subjektů údajů byl co nejmenší, a to včetně zvážení funkcionalit, jako je správné nastavení záběru kamery (vertikálně i horizontálně), zablokování některých funkcí (například zoom, zvuk, detekce pohybu, otáčení kamer, režim kamery či doba uchování) a taktéž přídavných funkcí, jako jsou například rozpoznávání na základě biometrických charakteristik, snímání souřadnic polohy, adres IP zařízení, RFID, wi-fi a podobně. Co se týče samotného zvukového záznamu, ÚOOÚ navazuje na svoje pojetí v rámci metodiky ke kamerovým systémům, kdy pořizování zvukového záznamu dle jeho názoru významně zvyšuje míru zásahu do soukromí subjektů údajů, což dle jeho slov „činí takové zpracování ve většině případů nepřípustným“.
Zásada přesnosti by se měla projevit v pořizování záznamu v dostatečné kvalitě pro zajištění stanoveného účelu, jenž by měl zajistit neautorizované změny takového záznamu.
Co se týče omezení doby uchování, v rámci zásady nezbytnosti ÚOOÚ uvádí, že v obecných případech by měla platit doba 72 hodin, přičemž každá delší lhůta si zaslouží velmi pečlivé zdůvodnění.
Pokud jde o zabezpečení a související zásady zajištění důvěrnosti a integrity, v tomto případě by měl správce přijmout vhodná technická a organizační opatření tak, aby byl zajištěn nenarušený přenos obrazu, přístup k nahrávacímu zařízení, včetně zajištění přístupu k monitoru či kamerovým záznamům.
Ve vztahu k informování subjektů údajů se ÚOOÚ kromě obecných náležitostí a požadavků čl. 13 GDPR vyjadřuje i k tomu nejdůležitějšímu – formě poskytnutí informací. ÚOOÚ se v tomto bodě nedrží zpátky, když v rámci svého doporučení uvádí následující: „Forma poskytnutí může být například prostřednictvím veřejných sdělovacích prostředků, obecním rozhlasem, na webových stránkách správce, a to v závislosti na prováděném monitorování (jiná může být u monitorování vlastního majetku právnické osoby, například v případě velkoplošného lomu, jiná při monitorování veřejně přístupných prostor).“
Před samotným závěrem pak ÚOOÚ připomíná výkon práv subjektů údajů, ale také možnou povinnost zpracování DPIA (posouzení vlivu na ochranu osobních údajů), jakož i implementaci ostatních povinností.
Omezené pravomoci ÚOOÚ
V samotném závěru ÚOOÚ opakuje již zmíněné, včetně upozornění na možné postihy v případě nedodržení povinností dle GDPR. Co se ale týče působnosti, ÚOOÚ k tomu uvádí následující: „Je však zapotřebí zdůraznit, že kontrolní pravomoc Úřadu v rámci českého právního řádu je v situacích, kdy je kamerový systém nebo jeho část (typicky záznamové zařízení) umístěn v prostorách sloužících výhradně jako obydlí, výrazně limitována. Podle § 7 zákona o kontrole je kontrolující v souvislosti s výkonem kontroly oprávněn vstupovat do staveb, dopravních prostředků, na pozemky a do dalších prostor, avšak s výjimkou obydlí, jež vlastní nebo užívá kontrolovaná osoba. Z výše uvedeného vyplývá, že pouze v případě existujících důkazů o jednání správce v rozporu s obecným nařízením (například uveřejněním online přenosu nebo kamerového záznamu na webu) může Úřad v rámci svých kompetencí zasáhnout. Pokud ovšem Úřad nemá možnost ověřit, zdali dron skutečně obsahuje kameru, jak je kamerový systém nastaven a co snímá (tj. v případě, kdy je kamera umístěna na dronu, zatímco záznamové zařízení je umístěno v obydlí), nelze uplatnit plnohodnotně dozorová opatření podle čl. 58 odst. 1 písm. f) obecného nařízení. Jednání spočívající v provozování kamerového systému bez souhlasu dotčené osoby (např. souseda) by však mohlo naplňovat znaky přestupku proti občanskému soužití, tj. schválnosti, podle § 7 zákona č. 251/2016 Sb., o některých přestupcích, k jehož projednání je příslušný obecní úřad obce s rozšířenou působností.“
Doporučení lze tak vytknout pouze to, že ÚOOÚ šetřil názornějšími příklady vysvětlujícími, kdy považuje užití dronu za konkrétním účelem za zpracování osobních údajů a kdy je takové zpracování skutečně mimo jeho dosah, a to jak s přihlédnutím k povaze provozovatele dronu, tak i k rozsahu jeho činností. Nezbývá tak než před každým použitím dronu pečlivě posoudit, zda se skutečně o zpracování osobních údajů nejedná – v tom by vám doporučení mohlo pomoci.
Comments