Pověřenec pro ochranu osobních údajů (DPO) je nová profese, která vznikla v návaznosti na evropské nařízení o ochraně osobních údajů (GDPR). Na to, kdo má pro práci pověřence vhodné předpoklady, jaké jsou trendy v kamerových systémech a jaké sankce mohou být uděleny za nezákonný videodohled, jsme se zeptali Jaroslava Hory, člena představenstva Asociace pověřenců ČR.
GDPR je tu s námi už od roku 2016, přímo účinné pak od roku 2018. Děje se v této oblasti něco nového?
Novinkou je například Metodika pro návrh a provozování kamerových systémů, kterou v Česku na jaře 2024 zveřejnil Úřad pro ochranu osobních údajů (ÚOOÚ). Je to zajímavý počin, kromě pokynů Evropského sboru pro ochranu osobních údajů (EDPB) takto podrobnou metodiku zatím žádný ze států nevydal.
Znamená tato metodika nějakou změnu pravidel v používání kamerových systémů?
Neznamená, dokonce ani není právně závazná – spíše se jedná o pomůcku, jejíž využití by mělo zaručit soulad s GDPR a zmíněnými pokyny EDPB. Metodika zahrnuje například řazení kamerových systémů do čtyř tříd s návrhem minimálních technických a organizačních opatření a příkladem možného zpracování balančního testu. S uvedenou metodikou úzce souvisí také zahájení veřejné konzultace pro návrh Doporučení ke kamerovým systémům umístěným ve školách a školských zařízeních. Této veřejné konzultace se iniciativně zúčastnila odborná veřejnost a příslušné asociace a spolky zaslaly řadu podnětných připomínek. Dále ÚOOÚ nedávno vydal doporučení, které se zabývá zpracováním osobních údajů prostřednictvím záznamu z kamer umístěných na bezpilotních letadlech, ke kterému však veřejná konzultace nebyla vedena. Toto doporučení však přináší určitou nejistotu, zejména co se týče zpracování technických záběrů z bezpilotních letadel, a může vyvolávat otázky ohledně interpretace a aplikace právních předpisů v této oblasti. Zde vidím další prostor pro doplnění a výklad některých aspektů a způsobů použití.
Asociace pověřenců ČR se chystá vydat vlastní metodický materiál k využívání kamer, který bude pro všechny srozumitelný a přínosný, a hlavně v něm popíšeme možnosti dnešních technologií a jejich správné využití.
A jaký posun se v oblasti GDPR děje na evropské úrovni?
Co se týče celé Evropy, hlavním tématem jsou teď diskuse o aktualizaci a harmonizaci pravidel GDPR kvůli novým technologiím, jako je například umělá inteligence a biometrika. Například v Německu chtějí zákonodárci policii povolit software pro rozpoznávání obličeje. Zatím pouze v režimu off-line, ale začíná se hovořit i o on-line využití. Názory jednotlivých evropských zemí na tuto problematiku se liší. Určitý jednotný rámec, který by sledování pomocí biometrických technologií korigoval, nově přineslo nařízení o umělé inteligenci (AI Act). Jedná se o komplexní právní regulaci umělé inteligence. AI Act pokládá základ pro regulaci vývoje, uvádění na trh a používání umělé inteligence na území EU. Některé způsoby použití AI jsou zakázány nebo je jejich užívání povoleno pouze za splnění přísných podmínek. Jedním ze zakázaných postupů je používání systémů biometrické identifikace na dálku „v reálném čase“ na veřejně přístupných místech, a to společně s AI snímáním jedinečných biologických znaků. Pohled na téma biometriky se však výrazně mění, a tendence k jejímu většímu využívání, zejména bezpečnostními složkami, jsou patrné zejména ve Francii, Belgii, Portugalsku, Itálii, ale také v České republice.
Jak zpětně hodnotíte zavedení GDPR do praxe? Změnilo se něco skutečně?
Myslím, že ačkoli regulace zvýšila administrativní zátěž pro firmy i veřejný sektor, prokazatelně zlepšila povědomí o ochraně dat, upevnila důvěru a transparentnost při zacházení s osobními údaji a posílila práva jednotlivců. Vzniklo i zcela nové povolání pověřence pro ochranu osobních údajů a profesní sdružení, jako je například Asociace pověřenců ČR, jejíž členská základna sice čítá jen vyšší desítky odborníků, ale vliv má na většinu pověřenců v celé ČR, kterých je v současné době již několik tisícovek. Vzájemně sdílíme zkušenosti na národní i celoevropské úrovni a pomáháme podnikům a institucím v edukaci a zajištění souladu s GDPR. Zvlášť menší organizace se totiž potýkají se složitostí některých požadavků, a zároveň se strachem z vysokých pokut. Celkově evropské nařízení donutilo u většiny subjektů zlepšit ochranu osobních údajů, která dříve stála spíše na okraji zájmu. Trochu problém vidím u nadnárodních softwarových firem, které GDPR často obcházejí a už předem ve svém rozpočtu počítají s vysokými pokutami, které jsou ve výsledku nižší než vytěžený zisk.
Strach z pokuty je ale jinak často hlavním důvodem, proč firmy GDPR vůbec řeší. Co v tomto ohledu ukázala šestiletá historie?
Obecně platí, že podle článku 83 GDPR mohou být pokuty za závažná porušení až do výše 20 milionů eur nebo 4 % z celosvětového obratu podniku za předchozí finanční rok, podle toho, co je vyšší. Navíc termín „podnik" se může vztahovat na celou skupinu společností jako na jednu firmu, tedy může jít o astronomické částky. Na druhou stranu v ČR máme výraznou anomálii, neboť český zákonodárce adaptačním zákonem absolutně vyloučil možnost za porušení GDPR sankcionovat veřejné subjekty. Tím vznikla poměrně velká nerovnováha mezi soukromím a veřejným sektorem.
Zajímavý je případ z roku 2021, kdy Státní komisař pro ochranu dat (LfD) Dolního Saska uložil společnosti notebooksbilliger.de za nezákonné kamerové sledování zaměstnanců a zákazníků pokutu ve výši 10,4 milionu eur, což byla nejvyšší pokuta za porušení GDPR v tomto regionu. Důvodem bylo to, že firma sledovala své zaměstnance bez konkrétního důvodu a uchovávala záznamy po dobu až 60 dní, což překračovalo nezbytné hranice.
To je celkem průšvih. Jsou i nějaké podobné kauzy v Česku?
Český dozorový úřad samozřejmě také nezahálí. Například v jednom bytovém domě v Praze byly instalovány kamery bez souhlasu všech vlastníků jednotek a bez řádného právního základu. Kamery monitorovaly nejen společné prostory, ale i vstupy do jednotlivých bytů, což vedlo k zásadnímu porušení práv na ochranu soukromí obyvatel. ÚOOÚ zjistil několik závažných porušení – nedostatečné informování subjektů údajů, chybějící právní základ a nedostatečná bezpečnostní opatření. ÚOOÚ uložil správci bytového domu pokutu a nařídil okamžité odstranění kamer. Dále bylo nařízeno zavedení opatření k zajištění souladu s GDPR. ÚOOÚ se však bohužel dlouhodobě potýká s nedostatečnými personálními a finančními kapacitami, což se odráží i na množství provedených kontrol.
Co z toho všeho vyplývá pro provozovatele kamerových systémů?
Ukazuje se, že i za zdánlivě méně významné porušení GDPR lze dostat velkou pokutu. Doporučujeme proto firmám, aby prováděly pravidelné audity kamerových systémů, analýzy rizik, posouzení vlivu a pečlivě revidovaly použití každé jednotlivé kamery. Na soulad se zákonem mají totiž vliv i takové detaily, jako je orientace příslušné kamery, její rozlišení nebo doba uchovávání záznamů. Evropské dozorové úřady doporučují vymazávat záznamy zpravidla po 72 hodinách – tuto dobu sice lze upravit podle konkrétních podmínek, ale je třeba to vždy zdůvodnit.
Kam se do budoucna můžeme v ochraně osobních údajů posunout?
Myslím, že vývoj v oblasti kamerových systémů bude směřovat k ještě větší transparentnosti a odpovědnosti správců dat a k lepší informovanosti uživatelů o zpracování jejich údajů. K ochraně přispějí pokročilejší metody šifrování, pseudonymizace a anonymizace, zároveň by mohly inteligentní kamerové systémy lépe rozpoznávat potenciální hrozby bez nutnosti identifikace jednotlivců, čímž se sníží riziko zneužití osobních údajů. Dalším možným směrem je zavedení univerzálních standardů pro kamerové systémy, které by zajistily soulad s GDPR napříč různými platformami a zařízeními. Zvýšit důvěru veřejnosti by pomohly i právní nástroje proti neoprávněnému sledování a lepší mechanismy pro hlášení incidentů. Ochrana osobních údajů se bude muset ruku v ruce dynamicky vyvíjet a korespondovat s technologickým vývojem kamerových systémů.
Vzhledem k tomu, že lidé o sobě na internetu sdílí čím dál víc dat, změnila se nějak definice, co je považované za osobní údaj?
Definice osobních údajů se v zásadě nezměnila a zahrnuje širokou škálu dat, od základních identifikačních informací, jako jsou jméno a adresa, až po digitální identifikátory, jako jsou IP adresy nebo cookies. Nicméně interpretace této definice se neustále vyvíjí s tím, jak se mění technologie a společenské normy. V případě kamerových systémů to znamená, že jakékoli záznamy, které umožňují identifikaci osoby, jsou považovány za osobní údaje. To zahrnuje nejen záběry obličeje, ale i další rozpoznávací znaky, jako je postava nebo chůze. Zároveň je důležité si uvědomit, že kromě GDPR jsou tu i další právní předpisy k lepší ochraně dat, jako je třeba evropské nařízení o digitálních trzích, o digitálních službách, o datech, nebo nedávno přijatý akt o umělé inteligenci.
Proto je klíčové, aby se vymezení osobních údajů a přístupy k jejich ochraně neustále vyvíjely, a to včetně etických aspektů a potenciálních dopadů na ochranu soukromí. Chrání to nejen jednotlivce, ale také to podporuje inovace a rozvoj digitální ekonomiky.
Jak si vybrat z pohledu koncového uživatele správného pověřence?
Myslím, že základem je jasná podpora ze strany vedení společnosti, které by mělo informační bezpečnost považovat za prioritní oblast a poskytovat dostatečné zdroje pro její rozvoj a udržení. To zahrnuje nejen finanční investice do bezpečnostních technologií a školení, ale také vytvoření kultury, kde je bezpečnost považovaná za společnou zodpovědnost všech zaměstnanců. To zahrnuje často zejména změnu myšlení uživatelů, což může být na celém procesu tím nejtěžším. Pokud jde o výběr samotného pověřence, často se děje, že se té práce chopí ve zlomku pracovní doby nějaký „kolega, co se v tom trochu vyzná“. Zvlášť ve větších organizacích by ale rozhodně měl tuto roli vykonávat specialista. K tomuto tématu shodou okolností nedávno dozorový úřad vydal doporučení k postavení pověřenců pro ochranu osobních údajů. V poslední době zaznamenal z více stran narůstající trend omezování úvazků, případně dokonce rušení pozic pověřenců pro ochranu osobních údajů, a to zejména v institucích samosprávy a státní správy, včetně škol, kulturních institucí a úřadů, a jejich nahrazování externí službou, často nevalných kvalit, byť velmi levnou. Kromě možného porušení zákona může taková praxe v důsledku znamenat i konkrétní dopady na subjekty údajů a třeba i soudní řízení.
Jaké by měl pověřenec mít vzdělání?
GDPR je pořád relativně nové nařízení a v Česku zatím existuje jen pár speciálních vzdělávacích programů v oblasti ochrany osobních údajů, respektive ochrany informací jako takových (Univerzita Karlova a Vysoká škola CEVRO). V současné době tuto práci dělají buď lidé s právnickým, nebo technickým vzděláním a zkušenostmi. V zásadě je ale nezbytná kombinace těchto zaměření. Pokud jde o větší instituce, pověřenec zároveň musí mít určité diplomatické a mediační schopnosti, aby dokázal sladit zájmy vedení i jednotlivých oddělení navzájem se zákonnými požadavky.
Vraťme se ke kamerovým systémům. Jaké technologie jsou z pohledu GDPR podle vás důležité?
V souvislosti s GDPR jsou klíčové techniky anonymizace a pseudonymizace, které pomáhají zajistit, že identita jednotlivců z pořízených záznamů není snadno rozpoznatelná. Anonymizace osobní údaje úplně odstraňuje, zatímco pseudonymizace je nahrazuje jinými identifikátory, které neumožňují přímou identifikaci bez dalších informací. Důležité je, aby kamery zaznamenávaly pouze nezbytné oblasti a byly vybaveny technologiemi maskování pro ochranu soukromí. Kromě toho by organizace měly provádět pravidelné hodnocení dopadu na ochranu údajů (DPIA) a průběžně aktualizovat své bezpečnostní protokoly a postupy.
A co kyberbezpečnost?
To je samozřejmě související kapitola, která je nedílnou součástí každé ochrany informací. Výrobci bezpečnostních zařízení by měli implementovat robustní šifrovací technologie, pravidelně aktualizovat a testovat systémy na zranitelnosti, a zavést procesy pro rychlou detekci, hlášení a reakci na bezpečnostní incidenty v souladu s GDPR nebo s kyberbezpečnostní směrnicí NIS2 a související vnitrostátní legislativou – v tom je koneckonců Axis dobrým příkladem. Dále by si firmy měly vytvořit systém pro upozorňování na bezpečnostní hrozby a transparentní procesy pro správu zranitelností. Mezi organizační opatření pak patří školení zaměstnanců v oblasti kybernetické bezpečnosti a spolupráce s regulačními orgány a bezpečnostními komunitami, aby se zajistil soulad s nejnovějšími standardy a se zákony.
