Nová metodika ÚOOÚ ke kamerám určuje, které kamery spadají pod GDPR a které nikoliv. Velkou roli hraje, jak velkou část postavy kamera zabírá. GDPR se přitom může týkat i kamer bez záznamu. Jak bude posuzování probíhat v praxi?
Příchod metodiky ÚOOÚ ke kamerovým systémům přinesl určitou úlevu, ale i trochu obav. Výhodou nové metodiky je přinejmenším to, že každý správce teď bezpečně ví, jaké povinnosti pro něj z GDPR vyplývají, respektive jak tyto povinnosti interpretuje ÚOOÚ. Pochopitelně určitou míru zděšení přinesla metodika těm, kteří doteď měli za to, že formálním splněním některých povinností GDPR jejich povinnosti končí. Že to tak není, se projevilo zejména na míře podrobnosti, kterou ÚOOÚ očekává při vytváření balančního testu, respektive obecného posouzení oprávněného zájmu.
Poměrně zásadní debata ale také vznikla nad tématem, které kamerové systémy ÚOOÚ řadí do režimu GDPR a které pod dosah tohoto nařízení nespadnou. V tomto článku se proto zaměříme právě na to, jak ÚOOÚ chápe kamerový systém, jenž podléhá GDPR. V rámci samotné metodiky se kamerovým systémům, respektive jejich popisu, věnuje ÚOOÚ cca na dvou stránkách. Dle ÚOOÚ tak kamerový systém zahrnuje:
provádění operací zpracování v rámci kamerového systému:
generování snímku, tedy vytvoření obrazu skutečného světa v definovaném použitelném formátu;
přenos snímků v rámci systému;
zobrazení, zpracování a ukládání snímků (poslední dva jen u kamer se záznamem);
řízení kamerového systému:
správa činností a některých údajů, která zahrnuje zpracování příkazů pracovníka a provedení činností systémem, jež se netýkají přímo zpracování osobních údajů (generování upozornění a poplachů), a dále například vytvoření a správa metadat, systémových dat a dat z externích zdrojů;
připojení kamerového systému k jiným systémům (může sem patřit kontrola přístupu, požární poplach, správa budov, automatické rozpoznávání registračních značek při vpuštění pro parkování a podobně);
bezpečnost kamerového systému, tedy zajištění dostupnosti, důvěrnosti a integrity údajů, které se realizuje prostřednictvím přijatých technických a organizačních opatření.
Za klíčový prvek pro dopad GDPR považuje ÚOOÚ stupeň identifikace osoby. V tomto bodě si ÚOOÚ vypomáhá technickou normou ČSN EN 62676-4 Dohledové systémy pro použití v bezpečnostních aplikacích, konkrétně částí 4, Pokyny pro aplikace. Dle ÚOOÚ mohou být monitorování, zjištění, pozorování, rekognoskace, identifikaceaprozkoumávání, vesmyslupředmětné technické normy, ukazateli, zda předmětný kamerový systém naplňuje či nenaplňuje definici zpracování osobních údajů dle GDPR, a to bez ohledu na to, zda se jedná o online kameru, či kameru se záznamem. Ostatně, ÚOOÚ odstraňuje dříve zažitou představu, že online kamera nemusí nutně spadat pod působnost GDPR.
Pokud postava zabírá více než 25 procent výšky obrazu, jedná se o zpracování OÚ
ÚOOÚ pak definuje základní pravidlo: pokud jakákoliv postava v záběru zabírá více než 25 procent výšky obrazu, respektive na jeden pixel obrazu připadá méně než 40 mm reálné výšky postavy, bude se jednat o zpracování osobních údajů. Samotné hodnoty mají být odvozeny od systému standardu PAL, tudíž v jiných systémech (s jiným digitálním rozšířením) musejí být údaje dle jednotlivých stupňů přepočteny na srovnatelnou úroveň, přičemž předmětná technická norma má nabízet převodovou tabulku. K tomuto pak ÚOOÚ uvádí následující poznámku: „Uvedený rozsah se rozumí jako mezní a při jeho aplikaci je třeba počítat i s využitím všech technických prostředků kamer, například zoomu (přiblížení postavy). Pokud by při použití zoomu překročil záběr postavy uvedenou mez, jedná se o zpracování osobních údajů, byĺ by zoom byl užívaný jen zřídka.“
V případě, že předmětná mez není dosažena, jedná se o stupně velikosti obrazu, které ÚOOÚ nazývá jako„monitorování a zjištění“, přičemž takové kamery mohou být využívány pro řešení mimořádných událostí v online systémech, které umožňují rychlou reakci pozorovatele v případě takové události mezi neidentifikovanými subjekty, nebo řešení jiného typu mimořádné události, jako jsou havárie, požár či povodeň. Jako příklad na semináři věnovaném metodice ÚOOÚ uváděl městský kamerový systém, jenž zabírá celé náměstí (viz obrázek níže).
Jak však bylo zmíněno výše, pokud kamera nabízí vymoženosti typu zoom (přiblížení obrazu), je situace trochu jiná. V takovém případě vás čeká poměrně zásadní posouzení, zda lze této funkci zabránit, nebo se dostanete do působnosti GDPR.
Pro určité případy uvádí ÚOOÚ i následující doplnění: „V uzavřených prostorách kamerový systém se stupni identifikace monitorování nebo zjištění není většinou realizovatelný, protože kamery musejí mít výrazný odstup od monitorovaných subjektů.“
Co se týče stupně identifikovatelnosti, dle ÚOOÚ do výše zmíněných parametrů zasahují i další faktory, jako jsou světelné podmínky, světelné odrazy, dočasné zakrytí (listí, dočasný mobiliář, osoba), maskování osoby (například rouška nebo respirátor, kapuce, čepice, sluneční brýle), intenzita pohybu v záběru (při intenzivním pohybu může dle ÚOOÚ docházet k nemožnosti identifikace konkrétní osoby, protože je překryta jinými pohybujícími se osobami). Všechny tyto faktory by dle ÚOOÚ měly být zohledněny při návrhu kamerového systému, a to s ohledem na jeho účel.
K tomuto ÚOOÚ doplňuje i další příklad: „Instalace kamer, při jejichž provozu by byl na základě chování (typicky pravidelné obchůzky vrátného) identifikovatelný známý subjekt, ale přitom by nebyly identifikovatelné zdroje mimořádné události (osoby neoprávněně vstupující do vyhrazených prostor apod.), by představovala nevhodné řešení, u kterého si lze jen obtížně představit naplnění účelu a které by zřejmě nemohlo uspět v balančním testu.“
Lze určitě kvitovat to, že ÚOOÚ přiblížil svoje představy o přístupu ke kamerovým systémům v rámci metodiky. Co lze ÚOOÚ skromně vytknout, je to, že svoje parametry odvozuje od technických norem, které nejsou jednak obecně dostupné veřejnosti (technické normy podléhají standardní ceně), a jednak byly již v době své standardizace označovány za snadno zastarávající, neboť ne úplně počítají s ultra vysokým rozlišením kamer, jež lze již dnes snadno pořídit za běžnou cenu a v kvalitě 4K. Předmětná norma se tak sice věnuje poměrně podrobně tématům, jako jsou tzv. video encodery či klasické CRT monitory, moderní (a dnes již naprosto běžné) technologie ale spíše opomíjí. V každém případě však buďme za aktivitu ÚOOÚ v této oblasti rádi a věřme, že všechny možné nejasnosti se vyřeší časem v praxi.
Pořád Vám to není jasné? Využijte naši poradnu. Své dotazy zasílejte na: zpravodaj.poverenec@forum-media.cz |
Comments