Vnitřní předpis zaměstnavatele o provozování kamerového systému se záznamem

V Domovu pod hradem Žampach

Domov pod hradem Žampach, Žampach č.p.1, 564 01 Žamberk IČ: 00854271, DIČ: CZ00854271-

Datová schránka: sh3kigb

Zastoupený: PaedDr. Xxxxxx Xxxxxxx, ředitelem organizace

Dále jen zaměstnavatel a správce kamerového systému….

vydává tento vnitřní předpis o provozování kamerového systému se záznamem

1. ZÁKLADNÍ USTANOVENÍ

a) Tento vnitřní předpis se vztahuje na všechny zaměstnance, pokud jsou u zaměstnavatele v pracovním poměru, popř. pracují v Domově pod hradem Žampach jako dočasně přidělení zaměstnanci agentury práce. Rovněž se týká osob, které jsou k zaměstnavateli v jiném pracovně právním vztahu (dohoda o provedení práce, dohoda o pracovní činnosti) nebo mají k zaměstnavateli jiný právní vztah (smlouva o dílo, nájemní smlouva) a dobrovolníků.

b) Zaměstnanec nastupující do pracovního poměru musí být seznámen s tímto vnitřním předpisem před nástupem do práce.

c) Veřejnost je upozorněna na provoz prostřednictvím cedulí umístěných u vstupů sledovaných veřejných prostor.

2. OBECNÉ PODMÍNKY PROVOZOVÁNÍ KAMEROVÉHO SYSTÉMU

a) V souladu s ustanovením § 11 zákona č. 101/2000 Sb., o ochraně osobních údajů ve znění pozdějších předpisů (dále jen „ZOOÚ“) a Nařízením Evropského parlamentu a Rady (EU) 2016/679, obecným nařízením o ochraně osobních údajů (dále jen „nařízení“), informuje touto cestou zaměstnavatel zaměstnance i veřejnost o existenci a provozování kamerového systému v prostorách zaměstnavatele a správce kamerového systému.

b) Zaměstnavatel a správce kamerového systému monitoruje vymezené prostory na pracovišti na základě ustanovení § 5 odst. 2 písm. e) ZOOÚ, z důvodu ochrany majetku zaměstnavatele před protiprávním jednáním zaměstnanců a třetích osob jakož i ochrany majetku a zdraví zaměstnanců a třetích osob.

c) Hlavním účelem provozování kamerového systému a pořizování záznamů je ochrana práv a právem chráněných zájmů zaměstnavatele a správce kamerového systému (všeobecná ochrana majetku zaměstnavatele, ochrana

před krádeží, před zneužitím).

d) V souladu s článkem 13 odst. 1 písm. d) nařízení zaměstnavatel a správce kamerového systému uvádí, že je zpracování nezbytné z důvodu ochrany majetku zaměstnavatele, zaměstnanců a případně i dalších osob, respektive za účelem vyhledání případného pachatele (tj. zpracování nezbytné pro účely oprávněných zájmů zaměstnavatele a dalších osob).

3. ZPŮSOB ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

a) Jednotlivé kamery jsou umístěné v prostorách kaple, vnitřního zámeckého areálu, horního parku, parkoviště pro zaměstnance a veřejnost nad dolním parkem.

b) Záznamy kamerového systému jsou zaměstnavatelem uchovávány po dobu 25 dnů, což je nezbytná doba, která slouží k odhalení konkrétního protiprávního jednání, krádeže apod.

c) Kamerový systém je zaměstnavatelem využíván pouze ve veřejných prostorách zaměstnavatele. V místech, která jsou určena k soukromým účelům zaměstnanců a klientů (toalety, sprchy, prostory k převlékání) se tento kamerový systém nevyužívá. Použití kamerového systému na těchto místech je přísně zakázáno.

d) Všechna monitorovací zařízení včetně záznamu z kamerového systému musí být chráněna před přístupem neoprávněných osob, před zničením či zneužitím celého systému nebo záznamů.

e) K ovládání kamerového systému a přístupu k záznamům je oprávněn pouze ředitel organizace, popř. osoba pověřená ředitelem organizace, s tím, že záznam bude v případě incidentu předložen pouze orgánům činným v trestním řízení (nestanoví-li či neumožní-li příslušné právní předpisy jinak).

f) O přístupu k záznamům kamerového systému jsou pořizovány elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.

g) Prostory, které jsou zaměstnavatelem monitorovány, jsou označeny zřetelnými cedulkami, umístěnými v monitorované místnosti nebo před ní včetně vstupů do venkovních monitorovaných prostor.

4. ÚČINNOST

Tento vnitřní předpis nabývá účinnosti dnem 1.5. 2019

Vnitřní předpis zaměstnavatele o provozování kamerového systému se záznamem zpracovala: Xxx. Xxxxxx Xxxxxxxxxxx

Schválil: Xxxxx Xxxxx, ředitel organizace

V Žampachu dne 19.4. 2019

Přílohy:

PaedDr. Xxxxx Xxxxx

Digitálně podepsal PaedDr. Xxxxx Xxxxx

DN: c=CZ, 2.5.4.97=NTRCZ-00854271,

o=Domov pod hradem Žampach [IČ 00854271], ou=2704, cn=PaedDr.

Xxxxx Xxxxx, sn=Xxxxx, givenName=Xxxxx, serialNumber=P206113

Datum: 2019.04.19 18:22:40 +02'00'

Záznam o činnostech zpracování pro kamerový systém

Označení správce	Domov pod hradem Žampach, Žampach č.p.1, 564 01 Žamberk IČ: 00854271, DIČ: CZ00854271- Xxxxxx xxxxxxxx: sh3kigb Zastoupený: PaedDr. Xxxxxx Xxxxxxx, ředitelem organizace
Účel zpracování	Kamerový systém se záznamem je využíván za účelem ochrany majetku zaměstnavatele a správce, života a zdraví osob prostřednictvím stálého kamerového systému.
Popis kategorií subjektů údajů	Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.)
Popis kategorií osobních údajů	Podoba a obrazové informace o chování a jednání zaznamenaných osob.
Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí	V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna)
Lhůta pro výmaz	Doba uchování záznamu je 7 dní. Záznam zachyceného incidentu je uchován po dobu nezbytnou pro projednání případu a pro právní ochranu.
Technická a organizační bezpečnostní opatření	Bezpečnostní kryt, řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám.

Upozornění pro zaměstnavatele:

1. Provozování kamerového systému je považováno za zpracování osobních údajů, pokud:

- je vedle kamerového sledování prováděn záznam pořizovaných záběrů (tomu tak bývá vždy, pokud kamerový systém je vybaven záznamovým zařízením, které má za účel monitorovat činnost fyzických osob);

- v záznamovém zařízení kamerového systému jsou uchovávány informace za účelem identifikace fyzických osob v souvislosti s určitým jednáním (například k prokázání porušení právních předpisů zaměstnancem).

2. Provozování kamerového systému není považováno za zpracování osobních údajů, pokud tento kamerovým systém pracuje pouze v on-line režimu, aniž by z tohoto sledování byl pořizován záznam.

Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) od 25. 5. 2018 (Nařízení (EU) 2016/679). Od stanoveného data je veškerá úprava problematiky zpracování osobních údajů regulována pouze tímto evropským nařízením. K datu uzávěrky prochází zákon o zpracování osobních údajů, implementující toto nařízení v České republice, legislativním procesem.

V případě, že při provozu kamerového systému dochází ke zpracování osobních údajů, musí zaměstnavatel plnit následující zásady:

Zásady provozování kamerového systému

Kamerové sledování nesmí nadměrně zasahovat do soukromí zaměstnance Kamerový systém je možno použít pouze za předpokladu, že sledovaného účelu nelze účinně dosáhnout jinak (např. uzamčením místnosti). Dále je vyloučeno užití kamerového systému v prostorách určených k soukromým úkonům (např. toalety, sprchy).

Specifikace sledovaného účelu

Je třeba předem stanovit účel pořizování záznamů, který musí korespondovat s důležitými právem chráněnými zájmy správce, tedy zaměstnavatele (např. ochrana majetku zaměstnavatele před krádeží).

Jelikož v drtivé většině případů zaměstnavatelé pořizují záznam z kamerového systému tak, aby bylo možné později prokázat určitou krádež majetku zaměstnavatele, a zároveň provozují kamerový systém bez souhlasu zaměstnanců, lze provoz kamerového systému v tomto případě odůvodnit ustanovením § 5 odst. 2 písm. e) ZOOÚ. I dle současného výkladu Nařízení může být kamerový systém jehož účelem je ochrana práv a oprávněných zájmů zaměstnavatele a zaměstnanců provozován bez souhlasu zaměstnanců.

Stanovení lhůty pro uchovávání záznamů

Doba uchovávání záznamů (tedy osobních dat) by neměla přesáhnout časový limit přípustný pro naplnění účelu provozování kamerového systému (záznam by neměl být uchováván delší dobu, než která postačuje např. pro odhalení krádeže).

Ochrana snímacích zařízení, přenosových cest a datových nosičů

Zařízení by měla být chráněna před neoprávněným přístupem, zničením apod.

Informování zaměstnanců o užití kamerového systému

Zaměstnanci musí být informováni o užití kamerového systému na pracovišti (např. zřetelným nápisem umístěným v monitorované místnosti, seznámením s předpisem zaměstnavatele o provozování kamerového systému aj).

Zaměstnancům je třeba garantovat jejich další práva dle ZOOÚ a nařízení.

Zaměstnancům je třeba poskytnout další informace v souladu s § 11 ZOOÚ článkem 13 nařízení.

Registrace u Úřadu na ochranu osobních údajů

Provozování kamerového systému, které je považováno za zpracovávání osobních údajů podléhá povinné registraci u Úřadu na ochranu osobních údajů. Upozorňujeme, že od 25. 5. 2018 by registrace s ohledem na účinnost nařízení již neměla být vyžadována.

Závěrem je třeba upozornit na nové přestupky, které od 28. 7. 2017 zavedl zákon o inspekci práce (č. 251/2005 Sb.). Konkrétně se jedná o nový § 24a ZIP, dle kterého se zaměstnavatel dopustí přestupku zejména pokud:

a) naruší soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele některým ze způsobů uvedených v § 316 odst. 2 ZP, nebo

b) neinformuje zaměstnance o rozsahu kontroly a o způsobech jejího provádění podle § 316 odst. 3 ZP.

Za porušení těchto povinností hrozí zaměstnavateli pokuta až do výše 1.000.000 Kč v případě porušení povinnosti dle písm. a) a až do výše 100.000 Kč v případě porušení povinností dle písm. b).

V praxi to tedy znamená, že inspektoráty práce dostávají novou pravomoc kontrolovat monitoring a ochranu soukromí zaměstnance na pracovišti. Jelikož se jedná o novou pravomoc, není rozhodovací praxe stále ustálena, nicméně upozorňujeme na rozdílný přístup inspektorátů práce a Úřadu pro ochranu osobních údajů (nelze vyloučit situaci, ve které Úřad pro ochranu osobních údajů neshledá porušení právních předpisů, ale inspektorát práce ano).

Právní úprava:

Zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů

• § 316 ZP

Zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů Nařízení (EU) 2016/679, Obecné nařízení na ochranu osobních údajů

Zákon č. 251/2005 Sb., zákon o inspekci práce, ve znění pozdějších předpisů.

• § 24a ZIP

•

SOUHRN:

Kamerové systémy se záznamem

Provozování kamerového systému se záznamem je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je automatizovaně prováděn záznam monitorovaného veřejného prostoru a zároveň je účelem pořizovaných informací a záznamů využití k identifikaci fyzických osob v souvislosti s určitým jednáním.

Údaje uchovávané v záznamovém zařízení, ať obrazové či zvukové, jsou osobními údaji za předpokladu, že na základě těchto záznamů (informace z obrazových či zvukových nahrávek) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Fyzická osoba je identifikovatelná, pokud ze snímku, na němž je zachycena, jsou patrné její charakteristické rozpoznávací znaky (zejména obličej) a na základě propojení rozpoznávacích znaků s dalšími disponibilními údaji je možná plná identifikace osoby. Osobní údaj pak tvoří ty identifikátory, které umožňují příslušnou osobu spojit s určitým, na snímku zachyceným, jednáním.

Zpracování osobních údajů provozováním kamerového systému je zákonné, pouze pokud je prováděno v odpovídajícím rozsahu v rámci některého z přípustných právních titulů zpracování osobních údajů uvedených v článku 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů - GDPR). V praxi se jedná obvykle o

zpracování nezbytné pro splnění úkolu prováděného při výkonu veřejné služby; v těchto případech je třeba dbát ustanovení příslušného zákona nařizujícího, resp. upravujícího zvláštní podmínky kamerové sledování, zpracování nezbytné pro účely oprávněných zájmů příslušného správce.

Kamerový systém není třeba registrovat

Registrace zpracování podle § 16 zákona č. 101/2000 Sb., o ochraně osobních

údajů byla ukončena. Dnem 25. května 2018 nabývá účinnosti obecné nařízení (GDPR), které již podobnou registrační povinnost neukládá.

Vyplývá z obecného nařízení (GDPR) pro provoz kamerového systému kromě oznámení bezpečnostního incidentu nějaká nová povinnost?

V souvislosti s pořizováním kamerového záznamu má správce povinnost vést záznamy o činnostech zpracování. Tato povinnost ovšem není úplně nová, záznamy fakticky nahrazují dosavadní registrační formuláře, na rozdíl od dosavadní registrace však tyto záznamy již správce pouze uchovává, tj. nezasílá Úřadu. Stejně jako jiné povinnosti stanovené obecným nařízením se ani tato povinnost nevztahuje na zpracování osobních údajů prováděné v průběhu výlučně osobních či domácích činností, tedy ani na přiměřenou ochranu vlastního obydlí kamerou. Vztahovala by až na výše popsaný záznam veřejného prostranství, pokud by byl nezbytný pro ochranu práv provozovatele kamerového systému.

Vyjádření k provozování kamerových systémů úřadem pro ochranu osobních údajů

Nejčastější otázky a odpovědi

Jakým základním pravidlům podléhá pořizování záběrů, ať již fotoaparátem či kamerou?

Na kamerové sledování i pořizování záběrů osob se v každém případě primárně vztahují ustanovení občanského zákoníku upravujícího podmínky ochrany soukromí, osobnosti a podoby člověka. V případě pořizování záznamu obydlí člověka jde o zásah do soukromí upravený v § 86 občanského zákoníku, který stanoví, že nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit.

Samotné sledování fyzických osob je mimo působnost pravidel zpracování osobních údajů. V případě jednání v rozporu s výše uvedeným ustanovením občanského zákoníku se lze obrátit na soud s žalobou na ochranu osobnosti a domáhat se toho, aby bylo od neoprávněného zásahu upuštěno nebo aby byl odstraněn jeho následek. Vždy je však nejdříve potřebné, pokusit se věc vyřešit jednáním s druhou stranou či alespoň pokusem.

V případě tzv. „sousedských“ sporů může být problematické jednání posouzeno jako přestupek úmyslného narušení občanského soužití schválností, jehož projednání je v působnosti příslušného obecního úřadu.

Kdy podléhá provoz kamerového systému pravidlům pro zpracování osobních údajů?

Provozování kamerového systému je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je automatizovaně prováděn záznam monitorovaného veřejného prostoru a zároveň je účelem pořizovaných informací a záznamů využití k identifikaci fyzických osob v souvislosti s určitým jednáním.

Ve kterých situacích je dovoleno provozování kamerového systému (se záznamem)?

a) zpracování nezbytné pro splnění úkolu prováděného při výkonu veřejné služby; v těchto případech je třeba dbát ustanovení příslušného zákona nařizujícího, resp. upravujícího zvláštní podmínky kamerové sledování,

b) zpracování nezbytné pro účely oprávněných zájmů příslušného správce.

Jaká základní pravidla musí splňovat zpracování osobních údajů v rámci kamerového systému?

Kamerové sledování nesmí nadměrně zasahovat do soukromí. Kamerový systém je možno použít zásadně v případě, kdy sledovaného účelu nelze účinně dosáhnout jinou cestou (např. lepším zabezpečením majetku). Dále je vyloučeno užití kamerového systému v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy). Je ovšem možné řešení, kdy subjekt údajů má na výběr z alternativ (např. lze

monitorovat prostory šatny (skříněk) plaveckého stadionu za předpokladu, že je vymezen prostor pro převlékání, který není kamerami sledován). Je-li kamerový systém využíván na pracovišti, musí provoz kamer a využití záznamu být v souladu s pracovněprávními předpisy, zejména § 316 zákoníku práce.

Je třeba předem jednoznačně stanovit účel pořizování záznamů, který musí korespondovat s důležitými, právem chráněnými zájmy správce (např. ochranou majetku před krádeží). Záznamy tak mohou být využity pouze v souvislosti se zjištěním události, která poškozuje tyto důležité, právem chráněné zájmy správce. Přípustnost využití záznamů pro jiný účel musí být omezena na významný veřejný zájem, např. boj proti pouliční kriminalitě.

Je třeba stanovit lhůtu pro uchovávání záznamů. Doba uchovávání dat by neměla přesáhnout časový limit maximálně přípustný pro naplnění účelu provozování kamerového systému. Uchovávaná data by měla být uchovávána v rámci časové smyčky např. 24 hodin, pokud jde o trvale střežený objekt, nebo případně i dobu delší, v zásadě však nepřesahující několik dnů, nejde-li o pořizování záznamů policejním orgánem podle zvláštního zákona, a po uplynutí této doby vymazána. Pouze v případě existujícího bezpečnostního incidentu by měla být data zpřístupněna orgánům činným v trestním řízení, soudu nebo jinému oprávněnému subjektu.

Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit např. v provozním řádu objektu či bezpečnostní směrnici. Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty.

Subjekt údajů musí být o užití kamerového systému a o tom kdo jej provozuje v převážné většině případů vhodným způsobem informován (např. nápisem umístěným v monitorované místnosti). Správce musí umožnit výkon dalších práv subjektu údajů, zejména právo na další informace o zpracování osobních údajů a právo na námitku.

Mohu si kamerou chránit rodinný domek se zahradou nebo před domem parkující vozidlo?

Za dodržení zejména shora zmíněného ustanovení § 86 občanského zákoníku nebrání právní předpisy chránit si nemovitost (včetně pozemku) kamerou. Ta však musí být nastavena přiměřeně a adekvátně, tj. nastavena na sledování chráněné nemovitosti a nesmí nepřiměřeně zasahovat do soukromí druhých, zejména tím, že by byla nastavena do prostoru nemovitosti (včetně pozemku) souseda. Záběr kamery nesmí nepřiměřeně zasahovat ani veřejné prostranství v okolí nemovitosti (ulice, náměstí) nad rámec nezbytný pro identifikaci případného útočníka proti plášti budovy nebo oplocení soukromého pozemku. Monitorování veřejného prostranství se záznamem ve větším rozsahu, které by již podléhalo povinnostem podle obecného nařízení o ochraně osobních údajů, by bylo přípustné pouze výjimečně (např. opakované závažné útoky proti obydlí provozovatele kamery z veřejného prostranství). Vhodně nastavenou kameru lze využít i k ochraně u nemovitosti zaparkovaného vozidla. V době, kdy zde vozidlo neparkuje, není důvod záznam tohoto prostoru pořizovat.

Je třeba kamerový systém registrovat u ÚOOÚ? NE. Registrace zpracování podle § 16 zákona č. 101/2000 Sb., o ochraně osobních údajů byla ukončena. Dnem 25. května 2018 nabývá účinnosti obecné nařízení (GDPR), které již podobnou registrační povinnost neukládá.

Vyplývá z obecného nařízení (GDPR) pro provoz kamerového systému kromě oznámení bezpečnostního incidentu nějaká nová povinnost?

Záznam o činnostech zpracování pro kamerový systém musí obsahovat tyto údaje:

▪ Označení správce.

▪ Běžná identifikace správce, tj. subjektu, který provádí zpracování.

▪ Účel zpracování (např. ochrana majetku správce, života a zdraví osob prostřednictvím stálého kamerového systému).

▪ Popis kategorií subjektů údajů.

▪ Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.).

▪ Popis kategorií osobních údajů.

▪ Podoba a obrazové informace o chování a jednání zaznamenaných osob.

▪ Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí.

▪ V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna).

▪ Lhůta pro výmaz (doba uchování záznamu je X dní).

▪ Záznam zachyceného incident je uchován po dobu nezbytnou pro projednání případu.

▪ Technická a organizační bezpečnostní opatření.

▪ Bezpečnostní kryt (řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám)

Zpracovatel

Jaké jsou povinnosti zpracovatele?

Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?

Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

K rozesílání objednaného zboží využívám poštovní a přepravní společnosti. Musím s nimi mít uzavřenou smlouvu o zpracování osobních údajů?

V případě výkonu základních (poštovních) služeb spočívající pouze ve vlastním doručování zásilek, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Tím, že obdrží od původního správce (např. od eshopu) doručovací adresy (osobní údaje adresátů pro účely doručení) a zajistí doručení zásilek, neprovádí zpracování údajů jako zpracovatel. Doručovatel zásilek tedy jedná na vlastní odpovědnost a není nutno s ním uzavírat zvláštní zpracovatelskou smlouvu. Pokud však správce sjedná s dodavatelem poštovních služeb další činnosti, např. kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek, jedná se

již o činnost zpracovatele a v takovém případě je nutné, na tento rozsah činnosti, uzavřít smlouvu o zpracování osobních údajů dle čl. 28 GDPR, případně může být její ujednání součástí podmínek poskytované služby.

V jakých případech může zpracovatel v souladu s GDPR užívat služeb dalších subdodavatelů při zpracování osobních údajů?

Subdodavatelé jsou vázáni čl. 29 GDPR, který stanoví, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu. Pokud tyto osoby jednají z pověření správce a na jeho pokyn, mohou mít přístup k osobním údajům. Správce tedy musí o všech těchto „subzpracovatelích“ vědět a stanovit či schválit pravidla o tom, jak budou s osobními údaji zacházet.

V jakých situacích je dodavatel kamerového systému zpracovatelem?

1) Dodavatel poskytuje pouze řešení kamerového systému a jeho instalaci - v jeho provozu se však dále neangažuje. V tomto případě není dodavatel systému zpracovatelem.

2) Zákazník se s dodavatelem dohodne i na průběžné kontrole a údržbě kamerového systému, kdy zaměstnanci servisní společnosti v rámci výkonu těchto služeb nahlíží do pořízených záznamů a tyto spravují na pokyn a pro potřebu správce. V takovém případě je servisní společnost v postavení zpracovatele osobních údajů a jí a jejím zaměstnancům pověřeným nahlížet do záznamů vyplývají obdobné povinnosti podle GDPR jako správci – objednateli služeb a jeho zaměstnancům. V takovém případě je nezbytné splnit následující náležitosti:

▪ Správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.

▪ Správce uzavře smlouvu o zpracování osobních údajů, ve které je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva o zpracování osobních údajů nemusí být samostatná smlouva, ale podstatné je, aby zmíněné náležitosti byly obsahem smluvního ujednání mezi správcem a zpracovatelem. K podrobnostem smlouvy viz čl. 28 GDPR.

xxxxx://xxx.xxxx.xx/xx‐kameram‐a‐kamerovym‐systemum/ds‐5041/archiv=0&p1=5057

xxxxx://xxx.xxxx.xx/x‐nbsp‐provozovani‐kamerovych‐systemu/d‐29535/p1=1099.

xxxxx://xxx.xxxx.xx/xxxxxxxxxxx/x‐29316/p1=4753

xxxxx://xxx.xxxx.xx/xxxx‐obecne‐narizeni/ds‐3938/archiv=0

Document Metadata

Table of Contents

Vnitřní předpis zaměstnavatele o provozování kamerového systému se záznamem

Document Metadata