Pět konkrétních pochybení, za která Úřad pro ochranu osobních údajů pokuty opravdu uděluje. A většina z nich má jednoduché řešení, pokud o nich víte dopředu. Obecný přehled pravidel GDPR u kamerových systémů najdete v našem článku GDPR a kamerový systém.
Navazujeme na ten přehled. Tady jsou věci, které vidíme opakovaně při bezpečnostních auditech a které bývají přítomné i v objektech, kde si správci myslí, že mají vše v pořádku.
1. Kamery snímají prostor, který snímat nemají
Tohle je nejčastější problém. Kamera na vstupu do objektu zachycuje v záběru i část veřejného chodníku nebo sousední pozemek. Kamera v kanceláři pokrývá monitor počítače zaměstnance. Kamera v jídelně sleduje celý prostor včetně osobních rozhovorů u stolu.
GDPR vyžaduje, aby kamerový systém snímal výhradně prostor nezbytný pro deklarovaný účel. Záběr, který přesahuje tento prostor (i neúmyslně) je porušením zásady minimalizace dat. Při auditu ÚOOÚ je tohle jedna z prvních věcí, na které se kontroloři zaměřují, protože je viditelná přímo na monitoru.
Řešením je fyzická revize záběrů všech kamer a úprava úhlu nebo maskování částí obrazu, které nejsou pro sledovaný účel nezbytné. U moderních systémů jde o softwarové nastavení, u starších analogových kamer o fyzické přestavení.
2. Chybí nebo je neaktuální záznam o zpracování
Každý provozovatel kamerového systému, který zpracovává záznamy déle než 72 hodin nebo provozuje kamery na veřejně přístupných místech, musí vést záznam o činnostech zpracování. Tento dokument popisuje účel zpracování, kategorie snímaných osob, dobu uchování záznamu a způsob zabezpečení.
V praxi tento záznam buď chybí úplně, nebo existuje v podobě dokumentu z roku 2018, který nikdo od té doby neaktualizoval a který neodpovídá aktuálnímu stavu systému (přidané kamery, změna doby uchování, nový správce). ÚOOÚ při kontrole tento dokument vyžaduje a jeho absence nebo zastaralost je přímým důvodem pro zahájení řízení.
3. Příliš dlouhá doba uchování záznamu
Úřad pro ochranu osobních údajů považuje 72 hodin za standardní dobu uchování. Delší doba uchování je přípustná, ale musí být odůvodněna konkrétním legitimním zájmem, například u objektů s vysokou hodnotou majetku nebo u kritické infrastruktury. Toto odůvodnění musí být zdokumentováno a musí obstát při přezkumu.
Firmy, které uchovávají záznamy 30 nebo 60 dní "pro jistotu" bez konkrétního zdůvodnění, jsou v přímém rozporu s principem omezení uložení. Tohle je chyba, která se objevuje překvapivě často i ve větších korporacích, kde IT nebo facilities oddělení prostě nastavilo maximální kapacitu úložiště a nikdo se dál nezabýval tím, co to z pohledu GDPR znamená.
4. Zaměstnanci nejsou informováni nebo informace nestačí
Povinnost informovat osoby vstupující do monitorovaného prostoru existuje ve dvou rovinách. Za prvé: viditelné označení prostoru (cedule s ikonou kamery a základními informacemi o správci). Za druhé: u zaměstnanců hlubší informování v rámci pracovní dokumentace nebo interní směrnice.
Cedule sama o sobě nestačí, pokud neobsahuje odkaz na místo, kde mohou dotčené osoby získat úplné informace o zpracování (typicky interní směrnice nebo webová stránka). A interní směrnice nestačí, pokud s ní zaměstnanci při nástupu nebo při změně systému nebyli prokazatelně seznámeni.
Tady je důležité slovo "prokazatelně". Při kontrole ÚOOÚ nestačí říct, že zaměstnanci informováni byli. Musíte to doložit buď podpisem, e-mailovým potvrzením nebo zápisem z porady.
5. Přístup k záznamům není řízen a logován
Kdo má ve vaší firmě přístup k živému obrazu z kamer? Kdo může přehrávat záznamy? Kdo může záznamy stahovat nebo mazat? Pokud na tyto otázky nemáte písemnou odpověď s konkrétními jmény nebo rolemi, máte problém.
GDPR vyžaduje, aby přístup k osobním údajům byl omezen na osoby, které ho nezbytně potřebují pro výkon své funkce. U kamerových systémů to v praxi znamená: definované role s konkrétními oprávněními, technické omezení přístupu (heslo, dvoufaktorová autentizace u vzdáleného přístupu) a log přístupů, který umožňuje zpětně zjistit, kdo a kdy se k záznamům dostal.
Systémy bez těchto opatření jsou zranitelné i z pohledu interních incidentů. Pokud dojde k úniku záznamu z kamerového systému, ať už záměrnému, nebo nedbalostnímu, a firma nedokáže doložit, kdo měl přístup a kdy, je právní odpovědnost výrazně vyšší.
Těchto pět popsaných chyb má jedno společné: dají se totiž opravit systematicky, bez velké investice, pokud víte, kde hledat. Největší riziko není v tom, že by firmy záměrně ignorovaly pravidla. Je v tom, že kamerový systém byl jednou nainstalován, zaevidován a od té doby ho nikdo komplexně nepřezkoumal.
GDPR audit kamerového systému je proces, který se musí opakovat při každé změně systému, při změně správce nebo při úpravě doby uchování. A ideálně také jednou ročně jako součást širšího bezpečnostního auditu objektu.

Čeština
English
Deutsch
Slovenčina
Magyar