AGA 004 edice 1
TECHNICKÁ INFORMACE AGA Návrh
směrnice č: AGA 004 vydání: edice 1 datum: září 2007
CCTV Code of Practice Sbírka zásad
AGA, Freyova 27, 190 00 Praha 9, tel: 296 642 791, GSM: 602 403 939 www.gremiumalarm.cz ,
[email protected]
AGA 004 edice 1
Vypracoval: Aleš Urban Schválil: Ing. Jiří Dufek Prezident asociace technických bezpečnostních služeb Gremium Alarm, o.s.
2/50
AGA 004 edice 1
Foreword
Úvod
Closed circuit television (CCTV) surveillance is an increasing feature of our daily lives. There is an ongoing debate over how effective CCTV is in reducing and preventing crime, but one thing is certain, its deployment is commonplace in a variety of areas to which members of the public have free access. We might be caught on camera while walking down the high street, visiting a shop or bank or travelling through a railway station or airport. The House of Lords Select Committee on Science and Technology expressed their view that if public confidence in CCTV systems was to be maintained there needed to be some tighter control over their deployment
Dohled prostřednictvím uzavřených televizních okruhů (CCTV) má stoupající vliv na náš každodenní život. Můžeme diskutovat nad tím, jak efektivní je CCTV ve snižování a prevenci kriminality, ale jedna věc je jistá, jeho nasazení je samozřejmé v různých oblastech s volným přístupem veřejnosti. Můžeme být zachyceni kamerou při procházce na hlavní třídě, návštěvě obchodu nebo banky nebo při cestování na nádraží, či letišti. Výbor pro vědu a technologii Sněmovny lordů vyjádřil názor, že jestliže má být zachována důvěra veřejnosti v CCTV systémy, je zde potřebná přísná kontrola nad jejich rozmístěním a využitím ( 5. Zpráva Digitální zobrazení jako důkaz).
th
and use (5 Report - Digital Images as Evidence). There was no statutory basis for systematic legal control of CCTV surveillance over public areas until 1 March 2000 when the Data Protection Act came into force. The definitions in this new Act are broader than those of the Data Protection Act 1984 and so more readily cover the processing of images of individuals caught by CCTV cameras than did the previous data protection legislation. The same legally enforceable information handling standards as have previously applied to those processing personal data on computer now cover CCTV. An important new feature of the recent legislation is a power for me to issue a Commissioner’s Code of Practice (section 51(3)(b) DPA ’98) setting out guidance for the following of good practice. th
In my 14 Annual Report to Parliament I signalled my intention to use this power to provide guidance on the operation of CCTV as soon as those new powers became available to me. This Code of Practice is the first Commissioner’s Code to be issued under the Data Protection Act 1998.
Žádné závazné podklady pro systematickou zákonnou kontrolu nad CCTV dozorem nad veřejnými oblastmi neexistovaly až do 1. března 2000, kdy vešel v platnost Zákon o ochraně osobních údajů. Definice v novém zákoně jsou širší než ty ze zákona o ochraně osobních údajů z roku 1984 a lépe pokrývají zpracovávání záznamů osob zachycených systémem CCTV. Jedná se o stejný postup získávání informací, jako dříve při zpracovávání osobních dat na počítači. Důležitý faktor současného zákonodárství je to, že mohu vydat Vládní sbírku zásad (oddíl 51(3)(b) DPA '98) stanovující poučení pro další dobré zásady. Ve čtrnáctém roce mého působení v parlamentu jsem avizovala svůj záměr angažovat se v dohledu nad účinností CCTV jakmile budu moci. Tato sbírka zásad vydaná se Zákonem o ochraně osobních dat roce 1998, je první vládní sbírka o této problematice.
3/50
AGA 004 edice 1
This code deals with surveillance in areas to which the public have largely free and unrestricted access because, as the House of Lords Committee highlighted, there is particular concern about a lack of regulation and central guidance in this area. Although the Data Protection Act 1998 covers other uses of CCTV this Code addresses the area of widest concern. Many of its provisions will be relevant to other uses of CCTV and will be referred to as appropriate when we develop other guidance. There are some existing standards that have been developed by representatives of CCTV system operators and, more particularly, the British Standards Institute. While such standards are helpful, they are not legally enforceable. The changes in data protection legislation mean that for the first time legally enforceable standards will apply to the collection and processing of images relating to individuals. This Code of Practice has the dual purpose of assisting operators of CCTV systems to understand their legal obligations while also reassuring the public about the safeguards that should be in place. It sets out the measures which must be adopted to comply with the Data Protection Act 1998, and goes on to set out guidance for the following of good data protection practice. The Code makes clear the standards which must be followed to ensure compliance with the Data Protection Act 1998 and then indicates those which are not a strict legal requirement but do represent the following of good practice. Before issuing this Code I consulted representatives of relevant data controllers and data subjects, and published a draft copy of the Code on my website. I am grateful to all those consultees who responded and have taken account of their comments in producing this version. Our experience of the Codes of Practice which were put forward under the 1984 Act was that they needed to remain relevant to the day to day activities of data controllers. They need to be 'living' documents, which are updated as practices, and understanding of the law develops. This code will therefore be kept under review
Tato sbírka se zabývá dozorem v oblastech, do kterých má veřejnost převážně volný a neomezený přístup, protože jak výbor Sněmovny Lordů zvýraznil, zde je výrazné znepokojení ohledně nedostatku regulí a ústřední směrnice v této oblasti. Ačkoliv Zákon o ochraně osobních údajů z roku 1998 pokrývá další používání CCTV, tato Sbírka je adresována oblasti širšího zájmu. Mnoho z jejich podkladů se bude týkat dalších použití CCTV a bude se odvolávat jak to bude vhodné, když vyvineme další směrnici. Existují již nějaké normy, které byly vyvinuty představiteli systémových operátorů CCTV a více detailně Britským normalizačním. I když jsou takové normy užitečné, nejsou zákonem vynutitelné. Změny v legislativě ochrany osobních údajů znamenají, že budou poprvé aplikovány legálně vynutitelné normy na sbírání a zpracovávání záběrů týkajících se osob Tato Sbírka zásad má dvojí účel. Napomáhání operátorům CCTV rozumět jejich právním závazkům, ale také ujišťuje veřejnost o ochraně, která by měla být na místě. Stanovuje ochaná opatření, která musí být přijata pro vyhovění Zákonu o ochraně osobních údajů z roku1998 a pokračuje se stanovováním směrnic pro splnění dobré praxe ochrany osobních údajů. Sbírka objasňuje normy, které musí být splněny pro zajištění vyhovění Zákonu a pak uvádí ty normy, které nejsou přísným zákonným požadavkem, ale popisují splnění dobré praxe. Před vydáním této sbírky jsem se radila se zástupci významných správců dat a subjektů a publikovala jsem koncept Sbírky na mém webu. Jsem vděčná všem odborným radám těch, kteří odpověděli a pomohli svými poznámkami ve výrobě této verze. Naše zkušenost ze Sbírkami zásad, které byly předkládány v zákoně z roku 1984, byla, že musely zůstat platné na den přesně ke dni ukončení činnosti správce dat. Musí být "žijícími" dokumenty, které jsou aktualizovány jako směrnice, a reagovat na vývoj zákona. Tato sbírka bude proto sledována a
4/50
AGA 004 edice 1
přezkoumávána pro zajištění, aby zůstala relevantní v souvislosti s měnícími se technologiemi, nebo užíváním právní teorie. V této souvislosti je pravděpodobné, že Zákon o lidských právech z roku 1998, který vejde v platnost 2. října 2000 a poskytuje důležité zákonné zabezpečení pro jednotlivce, povede vývojové trendy v zákonném výkladu, který budou požadovat zhodnocení Sbírky. It is my intention that this Code of Practice Mým záměrem je, aby tato Sbírka zásad should help those operating CCTV schemes pomohla těm, kteří budou používat CCTV monitoring members of the public to do so in systémy k monitorování veřejnosti, v plném full compliance of the Data Protection Act vyhovění Zákonu o ochraně osobních údajů z 1998 and in adherence to high standards of roku 1998 a vysokých standardů dobré praxe. good practice. There does seem to be public Ty zvyšují veřejnou podporu pro rozšíření support for the widespread deployment of rozvinutí této pozorovacího technologie, ale this surveillance technology, but public důvěra veřejnosti musí být získána a udržena. confidence has to be earned and maintained. Vyhovění Sbírce nebude pouze pomoc Compliance with this Code will not only help operátorům CCTV systému zpracovávat CCTV scheme operators' process personal osobní údaje v souladu se zákone, ale také data in compliance with the law but also help pomáhá podporovat důvěru veřejnosti, bez to maintain that public confidence without které nemohou fungovat. which they cannot operate.
to ensure that it remains relevant in the context of changing technology, use and jurisprudence. In this context it is likely that the Human Rights Act 1998, which comes into force on 2 October 2000, and provides important legal safeguards for individuals, will lead to developments in legal interpretation which will require review of the Code.
Elizabeth France Data Protection Commissioner July 2000
Elizabeth France Výbor pro ochranu osobních údajů Červenec 2000
5/50
AGA 004 edice 1
Introduction
Předmluva
This is a code of practice issued by the Data Protection Commissioner in accordance with her powers under Section 51 (3)(b) of the Data Protection Act l998 (the "l998 Act"). It is intended to provide guidance as to good practice for users of CCTV (closed circuit television) and similar surveillance equipment.
Toto je sbírka zásad vydaná na základě pravomoci Výboru pro ochranu osobních údajů podle Článku 51 (3)(b) Zákona o ochraně osobních údajů z roku l998 ( "zákon l998"). Jejím účelem je zavedení správného postupu pro správce CCTV (uzavřeného kamerového systému) a podobných sledovacích zařízení.
It is not intended that the contents of this Code should apply to: • Targeted and intrusive surveillance activities, which are covered by the provisions of the forthcoming Regulation of Investigatory Powers Act. • Use of surveillance techniques by employers to monitor their employees’ compliance with their contracts of
Obsah sbírky není určen pro aplikování v těchto případech: • Cílené a vnikající pozorovací aktivity, které jsou kryté ustanovením v chystaném Zákoně o regulaci vyšetřovacích sil. • Použití pozorovacích technik zaměstnavateli ke kontrole jejich zaměstnanců při plnění pracovních povinností1. • Bezpečnostním vybavení (včetně kamer) nainstalovaném v domovech jednotlivců pro domácí bezpečnostní účely2. • Použití kamer a podobného vybavení médii, nebo pro umělecké nebo literární účely.
1
employment . • Security equipment (including cameras) installed in homes by individuals for home 2
security purposes . • Use of cameras and similar equipment by the broadcast media for the purposes of journalism, or for artistic or literary purposes. This Code of Practice is drafted in two parts:
Sbírka je rozpracována do dvou částí:
Part I
První část
This sets out • the standards which must be met if the requirements of the l998 Act are to be complied with.
Stanovuje: • standardy které musí být splněny, aby vyhovovaly požadavkům zákona l998.
These are based on the Data Protection Principles which say that data must be:
Tyto standardy jsou založeny na Zásadách o ochraně osobních údajů které říkají, že osobní údaje musí být: • zpracovány nestranně a podle zákona • zpracovány pouze pro stanovené účely a pro žádné jiné; • odpovídající, relevantní a v odpovídajícím rozsahu; • přesné; • nesmí být uchovávány déle, než je nutné • zpracovány v souladu s právy jedince;
• fairly and lawfully processed; • processed for limited purposes and not in any manner incompatible with those purposes; • adequate, relevant and not excessive • accurate; • not kept for longer than is necessary • processed in accordance with individuals’ rights;
6/50
AGA 004 edice 1
• secure; • not transferred to countries without adequate protection. • guidance on good practice • examples of how to implement the standards and good practice.
• zabezpečeny; • nesmí být poskytovány do cizích zemí bez přiměřené ochrany. • směrnice pro dobrou praxi • příklady jak realizovat standardy a správný postup.
The Data Protection Commissioner has the power to issue Enforcement Notices where she considers that there has been a breach of one or more of the Data Protection
Výbor pro ochranu osobních údajů má právo vydávat Vynucovací oznámení 3 , které by oznamovalo, že byl porušen jeden nebo více paragrafů o ochraně osobních údajů. Oznámení by stanovilo požadavek, že vláda bude vyžadovat zajištění shody s požadavky zákona. Výbor pro ochranu osobních4 údajů vezme v úvahu, v jakém rozsahu se uživatelé CCTV a podobného pozorovacího zařízení seznámili s touto sbírkou a splnili své právní závazky, když vešla v platnost.
3
Principles. An Enforcement Notice would set out the remedial action that the Commissioner requires to ensure future compliance with the requirements of the Act. The Data Protection Commissioner will take into account the extent to which users of CCTV and similar surveillance equipment have complied with this Code of Practice when determining whether they have met their legal obligations when exercising her powers of enforcement
Part II - Glossary
Druhá část – Glosář
This sets out the interpretation of the l998 Act on which Part I is based. Part I is crossreferenced to Part II to try to clarify the reasoning behind the standard or guidance.
Stanovuje interpretaci ze zákona l998, z něhož vychází První část. Ta odkazuje na Druhou část pro objasnění argumentace normy nebo směrnice.
It is intended that this Code of Practice will be revised on a regular basis in order to take account of developments in the interpretation of the provisions of the data protection legislation, developments in the technology involved in the recording of images, and developments in the use of such technologies, the use of sound recording, facial recognition techniques and the increased use of digital technology.
Tato sbírka zásad bude revidována (na zákonných základech), aby mohla brát v potaz vývojové trendy ve výkladu ustanovení zákonů o ochraně osobních údajů, vývojové trendy v technologii spojené s pořizováním záznamů a používáním takových technologií, používání zvukových záznamů, techniky pro rozpoznání obličeje a rozšířené používání digitálních technologií.
Please Note Shaded text indicates good practice
Pozor Text kurzívou označuje dobrou praxi
7/50
AGA 004 edice 1
Initial Assessment Procedures
Počáteční stanovení postupu
Before installing and using CCTV and similar surveillance equipment, users will need to establish the purpose or purposes for which
Před instalací a používáním CCTV a podobného pozorovacího vybavení správce uvede, za jakým účelem hodlá zařízení používat. 4 Může existovat několik účelů – např.: prevence, vyšetřování a odhalování zločinu, zatčení a soudní stíhání pachatelů (včetně použití záznamu jako důkazu v trestním řízení), bezpečnost veřejnosti a zaměstnanců, monitorování za účelem zabezpečení prostorů atd.
4
they intend to use the equipment. This equipment may be used for a number of different purposes – for example, prevention, investigation and detection of crime, apprehension and prosecution of offenders (including use of images as evidence in criminal proceedings), public and employee safety, monitoring security of premises etc.
Standards
Kritéria
1. establish who is the person(s) or organisation(s) legally responsible for the
1. ustanovit kdo je/jsou osoba/by nebo organizace právně zodpovědné za navržené 5
5
systémy.
proposed scheme. 2. 2. assess the appropriateness of, and reasons for, using CCTV or similar surveillance equipment (First Data Protection Principle).
2. ohodnotit přiměřenost a důvody pro používání CCTV nebo podobného pozorovacího vybavení (První zásada o ochraně osobních údajů (ZOOÚ).
3. document this assessment process and the reasons for the installation of the scheme.
3. zdokumentovat toto ohodnocení a důvody pro instalaci systému.
4. establish the purpose of the Scheme (First and Second Data Protection Principle).
4. ustanovit účel systému (První a Druhý princip na ochranu os. údajů).6
5. document the purpose of the scheme.
5. zdokumentovat účel systému
6. ensure that the notification lodged with the Office of the Data Protection Commissioner covers the purposes for
6. zajistit, aby oznámení podané na úřad Výboru pro ochranu osobních dat, pokrývalo účely pro které je zařízení používané7
6
7
which this equipment is used 7. establish and document the person(s) or organisation(s) who are responsible for ensuring the day-to-day compliance with the requirements of this Code of Practice (if different from above)
7. ustanovit a dokumentovat osobu/y nebo organizaci/e, která/é je/jsou odpovědná/é za zabezpečení každodenního vyhovění požadavkům ze Sbírky zásad (jestliže se liší od výše uvedeného)
8. establish and document security and disclosure policies.
8. ustanovit a zdokumentovat zabezpečení a zpřístupnění
8/50
AGA 004 edice 1
Siting the Cameras
Rozmístění kamer
It is essential that the location of the equipment is carefully considered, because the way in which images are captured will need to comply with the First Data Protection Principle. Detailed guidance on the interpretation of the First Data Protection Principle is provided in Part II, but the standards to be met under this Code of Practice are set out below.
Je podstatné pečlivě zvážit rozmístění zařízení, protože způsob jakým je záznam zachycen musí vyhovovat Prvnímu zákonu o ochraně osobních údajů. Podrobný výklad Prvního zákonu o ochraně os. údajů je poskytnut v Druhé části, ale kritéria jsou pro "splnění" Sbírky zásad uvedeny již zde.
Standards
Kritéria
1. The equipment should be sited in such a way that it only monitors those spaces which are intended to be covered by the equipment (First and Third Data Protection Principles).
1. Zařízení by mělo být rozmístěno takovým způsobem, aby monitorovalo pouze ty prostory, které byly určené k zaznamenávání (První a Třetí zásada o ochraně osobních údajů (ZOOÚ)).
2. If domestic areas such as gardens or areas not intended to be covered by the scheme border those spaces which are intended to be covered by the equipment, then the user should consult with the owners of such spaces if images from those spaces might be recorded. In the case of back gardens, this would be the resident of the property overlooked (First and Third Data Protection Principles).
2. Jestliže prostory jako zahrady nebo dvory, které nejsou určeny k pokrytí systémem, hraničí s prostory, které jsou určeny k pokrytí zařízením, měl by se správce dohodnout s majitely daných prostorů, zda může tyto prostory zaznamenávat (První a Třetí ZOOÚ).
3. Operators must be aware of the purpose(s) for which the scheme has been established (Second and Seventh Data Protection Principles).
3. Operátoři musí být seznámeni s účelem, k němuž systém slouží. (Druhý a Sedmý ZOOÚ)
4. Operators must be aware that they are only able to use the equipment in order to achieve the purpose(s) for which it has been installed (First and Second Data Protection Principles).
4. Operátoři si musí být vědomi že oni jediní jsou oprávněni užívat vybavení pro účel, pro který bylo nainstalováno. (První a Třetí ZOOÚ)
5. If cameras are adjustable by the operators, this should be restricted so that operators cannot adjust or manipulate them to overlook spaces which are not intended to be covered by the scheme (First and Third Data Protection Principles).
5. Jestliže jsou kamery polohovatelné operátory, měla by být jejich nastavitelnost omezena tak, aby operátoři nemohli sledovat prostory, které nejsou určeny k zaznamenávání příslušným zařízením (První a Třetí ZOOÚ).
6. If it is not possible physically to restrict the equipment to avoid recording images
6. Jesliže není žádným způsobem možné omezit kamery tak, aby nezaznamenávaly 9/50
AGA 004 edice 1
from those spaces not intended to be covered by the scheme, then operators should be trained in recognising the privacy implications of such spaces being covered (First and Third Data Protection Principles).
prostory, které k tomu nejsou určené, měli by operátoři brát ohled na soukromí takovýchto prostorů (První a Třetí ZOOÚ).
For example – individuals sunbathing in their back gardens may have a greater expectation of privacy than individuals mowing the lawn of their front garden.
Příklad - člověk, který se opaluje na své zahradě za domem, má právo na větší soukromí, než člověk, který seká trávník před domem.
For example – it may be appropriate for the equipment to be used to protect the safety of individuals when using ATMs, but images of PIN numbers, balance enquiries etc should not be captured.
Příklad - je vhodné používat zařízení, pro ochranu osob při výběru z bankomatu, ale neměl by být zachycen PIN kód, stav účtu atd.
7. Signs should be placed so that the public are aware that they are entering a zone which is covered by surveillance equipment (First Data Protection Principle).
7. Informační štítek by měl být umístěn tak, aby veřejnost věděla, že vstupuje do zóny, která je pod dozorem kamerového systému (První ZOOÚ).
8. The signs should be clearly visible and legible to members of the public (First Data Protection Principle).
8. Informační štítek by měl být pro veřejnost dobře viditelný a čitelný (První ZOOÚ).
9. The size of signs will vary according to circumstances:
9. Velikost informačního měněna podle okolností:
For example – a sign on the entrance door to a building society office may only need to be A4 size because it is at eye level of those entering the premises.
Příklad - štítek na vchodu do stavební spořitelny může být velikosti A4, protože předpokládáme, že takovou velikost uvidií vstupující na první pohled.
For example - signs at the entrances of car parks alerting drivers to the fact that the car park is covered by such equipment will usually need to be large, for example, probably A3 size as they are likely to be viewed from further away, for example by a driver sitting in a car.
Příklad -Informační štítek u vjezdu do hlídaného parkoviště pro řidiče sedícího v autě bude potřeba obvykle větší, například velikosti A3 pro dobrou viditelnost z větší vzdálenosti
10. The signs should contain the following information:
10. Informační štítky by měli obsahovat následující informace:
a) a) Identity of the person or organisation responsible for the scheme.
a) Totožnost osoby zodpovědné za systém.
b) b) The purposes of the scheme.
b) Učel systému. 10/50
nebo
štítku
bude
organizace
AGA 004 edice 1
c) c) Details of whom to contact regarding the scheme.
c) Údaje kontaktní osoby, s ohledem na systém.
(First Data Protection Principle)
(První ZOOÚ)
For example - Where an image of a camera is not used on a sign – the following wording is recommended:
Příklad - Pokud na informačním štítku není zobrazena kamera – je doporučené nasledující:
"Images are being monitored for the purposes of crime prevention and public safety. This scheme is controlled by the Greentown Safety Partnership.
„Záběry jsou zaznamenávány z důvodu prevence před kriminalitou a pro veřejnou bezpečnost. Systém je obsluhován Greentown Safety Partnership.
For further information contact 01234-567890"
Další informace na tel.: 01234-567-890“
For example – Where an image of a camera is used on a sign – the following wording is recommended:
Příklad - Pokud je kamera zobrazena na inf. štítku – doporučujeme tuto zprávu:
"This scheme is controlled Greentown Safety Partnership.
by
the
„Systém je obsluhován Greentown Safety Partnership. Další informace na tel.: 01234-567-890“
For further information contact 01234-567890" 10. In exceptional and limited cases, if it is assessed that the use of signs would not be appropriate, the user of the scheme must ensure that they have:
10 Ve výjimečných případech, kdy se zjistí, že informační štítek nesplňuje požadavky, musí správce systému dokázat, že: a) Že identifikoval zvláštní trestnou činnost.
a) Identified specific criminal activity. b) Identified the need to use surveillance to obtain evidence of that criminal activity.
b) Prokázal nutnost využití stálého dozoru pro získání důkazu o trestné činnosti
c) Assessed whether the use of signs would prejudice success in obtaining such evidence.
c) Ohodnotil, že užití štítků maří snahu získat takový důkaz.
d) Assessed how long the covert monitoring should take place to ensure that it is not carried out for longer than is necessary.
d) Zhodnotil, jak dlouho je nezbytné zajistit monitorování určitého místa.
8
e) Documented (a) to (d) above.
8
e) Zdokumentoval body a) až d).
11. Information so obtained must only be obtained for prevention or detection of criminal activity, or the apprehension and 9
prosecution of offenders . It should not be retained and used for any other purpose. If
11. Zpráva tak obdržená musí být obdržená pouze pro zamezení nebo odhalení trestné činnosti, nebo zatčení a obžalobu 9
provinilců . Neměl by být držený a užívaný pro žádný jiný účel. Jestliže použité
11/50
AGA 004 edice 1
the equipment used has a sound recording facility, this should not be used to record conversations between members of the public (First and Third Data Protection Principles).
zařízení dovede zaznamenat zvuk, nemělo by nahrávat cizí rozhovory (První a Třetí ZOOÚ).
12/50
AGA 004 edice 1
Quality of the Images
Kvalita zobrazení
It is important that the images produced by the equipment are as clear as possible in order that they are effective for the purpose(s) for which they are intended. This is why it is essential that the purpose of the scheme is clearly identified. For example if a system has been installed to prevent and detect crime, then it is essential that the images are adequate for that purpose. The Third, Fourth and Fifth Data Protection Principles are concerned with the quality of personal data, and they are outlined in more detail in Part II. The standards to be met under this Code of Practice are set out below.
Je důležité, aby záznam pořízený zařízením byl tak kvalitní, aby ho bylo možné používat za účelem, pro jaký bylo instalováno. Jasná identifikace je hlavní účel takového zobrazení. Například jestliže byl systém nainstalovaný pro prevenci a odhalení trestného činu, pak je základní věc, že záběry jsou tomu účelu přiměřené. Třetí, Čtvrtá a Pátá ZOOÚ se týkají kvality osobních údajů a podrobněji jsou popsány v Druhé Části. Kritéria, které musí být splňena pro tuto Sbírku zásad jsou vypsány níže.
Standards
Kritéria
1. Upon installation an initial check should be undertaken to ensure that the equipment performs properly. 2. If tapes are used, it should be ensured that they are good quality tapes (Third and Fourth Data Protection Principles). 3. The medium on which the images are captured should be cleaned so that images are not recorded on top of images recorded previously (Third and Fourth Data Protection Principles). 4. The medium on which the images have been recorded should not be used when it has become apparent that the quality of images has deteriorated. (Third Data Protection Principle). 5. If the system records features such as the location of the camera and/or date and time reference, these should be accurate (Third and Fourth Data Protection Principles). 6. If their system includes such features, users should ensure that they have a documented procedure for ensuring their accuracy. 7. Cameras should be situated so that they will capture images relevant to the purpose for which the scheme has been established (Third Data Protection Principle) For example, if the purpose of the scheme is the prevention and detection of crime and/or apprehension and prosecution of offenders, the cameras should be sited so that images enabling identification of perpetrators are
1. Po instalaci by se mělo ověřit, že zařízení funguje, jak má. 2. Pokud se používají pásky, měla by se zajistit dobrá kvalita pásek (Třetí a Čtrvtá ZOOÚ). 3. Medium, které zaznamenává obraz, by mělo být čištěno, aby nenahrávalo na předešlý záznam (Třetí a Čtvrtá ZOOÚ).
4. Medium, na kterém byl obraz zaznamenáván, by se nemělo dál používat při zřejmém zhoršení kvality obrazu (Třetí ZOOÚ). 5. Jestliže systém zaznamenává vlastnosti jako umístění kamery nebo čas a datum, měly by tyto údaje být přesné (Třetí a Čtvrtá ZOOÚ). 6. Jestliže systém zahrnuje takové rysy, správce by měl zaručit, že má průkazný postup pro zajištění přesnosti těchto údajů. 7. Kamery by měly být rozmístěny tak, že budou zabírat objekty, které mají podle plánu zabírat (Třetí ZOOÚ). Příklad - Jestliže účel systému je zamezení a odhalení zločinu nebo zatčení a obvinění pachatelů, kamery by měly být umístěny tak, aby záznamy umožnily zajmout pachatele.
13/50
AGA 004 edice 1
captured. For example, if the scheme has been established with a view to monitoring traffic flow, the cameras should be situated so that they do not capture the details of the vehicles or drivers.
Příklad - jestliže byl systém zaveden s úmyslem sledování provozu, kamery by měly být umístěny tak, aby nezachycovaly detaily dopravních prostředků nebo řidičů.
8. If an automatic facial recognition system is 8. Jestliže systém automaticky rozpoznává used to match images captured against a obličeje porovnáváním získaných záběrů database of images, then both sets of se záběry z databáze, pak by měly být images should be clear enough to ensure obě sady dostatečně zřetelné, aby je mohl an accurate match (Third and Fourth Data pečlivě porovnat (Třetí a Čtvrtá ZOOÚ). Protection Principles). 9. If an automatic facial recognition system is used, procedures should be set up to ensure that the match is also verified by a human operator, who will assess the match and determine what action, if any, should be taken (First and Seventh Data 10
9. Jestliže je používán systém, který automaticky rozpozná obličej, pracovní postup by měl být nastaven tak, aby porovnávání kontroloval operátor, který zhodnotí porovnávání a rozhodne, jestli se danou osobou a její činností vůbec zabývat. (První a Sedmá ZOOÚ).10
Protection Principles). 10. The result of the assessment by the human operator should be recorded whether or not they determine there is a match.
10. Rozhodnutí operátora, zda se bude daný záběr porovnávat, nebo ne, by mělo být zaznamenáno.
11. When installing cameras, consideration must be given to the physical conditions in which the cameras are located (Third and Fourth Data Protection Principles).
11. Při instalaci kamer, musí být bráno v úvahu prostředí, kde jsou kamery umístěny (Třetí a Čtvrtá ZOOÚ).
For example – infrared equipment may need to be installed in poorly lit areas.
Příklad - ve slabě osvětlené místnosti asi musí být nainstalováno infračervené vybavení
12. Users should assess whether it is necessary to carry out constant real time recording, or whether the activity or activities about which they are concerned occur at specific times (First and Third Data Protection Principles) For example – it may be that criminal activity only occurs at night, in which case constant recording of images might only be carried out for a limited period e.g. 10.00 pm to 7.00 am 8. Cameras should be properly maintained and serviced to ensure that clear images are recorded (Third and Fourth Data
12. Správce by měl zhodnotit, zda je třeba zhotovovat nepřetržitý záznam, nebo zda se činnost, na kterou se zaměřuje, děje jen v některých hodinách (První a Třetí ZOOÚ).
Příklad - možná se dotyčná trestná činnost uskutečňuje pouze v noci. V tom případě může být nepřetržitý záznam puštěn přes noc například od 22 hod. do 7 hod. 8. Kamery by měly být řádně udržované a služba by měla zajistit, že jsou zaznamenávány čisté záběry (Třetí a
14/50
AGA 004 edice 1
Čtvrtá ZOOÚ).
Protection Principles) 9. Cameras should be protected from vandalism in order to ensure that they remain in working order (Seventh Data Protection Principle)
9. Kamery by měly být chráněny před vandalstvím, aby bylo zajištěno, že zůstanou v provozním stavu (Sedmá ZOOÚ).
10. A maintenance log should be kept.
10. Údržba by měla být zaznamenána do provozní knihy. 11. Pokud je kamera poškozena, následuje jasný postup:
11. If a camera is damaged, there should be clear procedures for: a) Defining the person responsible for making arrangements for ensuring that the camera is fixed. b) Ensuring that the camera is fixed within a specific time period (Third and Fourth Data Protection Principle). c) Monitoring the quality of the maintenance work.
a) Najít zodpovědnou osobu, která kameru připevní. b) Zajistit, že kamera bude opravena a připevněna v dohodnuté lhůtě (Třetí a Čtvrtá ZOOÚ). c) Dohlížet na kvalitu údržby.
15/50
AGA 004 edice 1
Processing the images
Výroba záznamu
Images, which are not required for the purpose(s) for which the equipment is being used, should not be retained for longer than is necessary. While images are retained, it is essential that their integrity be maintained, whether it is to ensure their evidential value or to protect the rights of people whose images may have been recorded. It is therefore important that access to and security of the images is controlled in accordance with the requirements of the 1998 Act. The Seventh Data Protection Principle sets out the security requirements of the l998 Data Protection Act. This is discussed in more depth at Part II. However, the standards required by this Code of Practice are set out below.
Záběry, které nejsou potřebné k účelu, pro který je zařízení používáno, by neměly být uchovávány po delší dobu než je nezbytné. Při uchovávání záběrů je důležité zachování jejich úplnosti pro zachování průkazné hodnoty, nebo pro ochranu práv osob, jejichž záběry byly zaznamenány. Proto je důležité, aby přístup a ochrana záběrů byly kontrolovány v souladu s požadavky "zákona 1998". Sedmá zásada o ochraně osobních údajů stanovuje bezpečnostní požadavky Zákona z roku 1998. Toto téma je rozebráno do větší hloubky v Druhé části. Avšak normy důležité pro tuto Sbírku jsou sepsány níže.
Standards
Kritéria
1. Images should not be retained for longer than is necessary (Fifth Data Protection Principle)
1. Záběry by neměly být uchovávány po delší dobu než je nutné (Pátá ZOOÚ)
For example – publicans may need to keep recorded images for no longer than seven days because they will soon be aware of any incident such as a fight occurring on their premises.
Příklad - Hostinský nebude potřebovat uchovávat záběry déle než sedm dní, protože si brzy všimne jakéhokoliv incidentu, například rvačky, která se nastane v lokále.
For example – images recorded by equipment covering town centres and streets may not need to be retained for longer than 3l days unless they are required for evidential purposes in legal proceedings.
Příklad - Záběry zaznamenány zařízením pokrývajícím centra měst a ulice není potřeba uchovávat déle než 3l dní pokud nejsou potřebné.
For example – images recorded from equipment protecting individuals’ safety at ATMs might need to be retained for a period of three months in order to resolve customer disputes about cash withdrawals. The retention period of three months is based on the interval at which individuals receive their account statements. 2. Once the retention period has expired, the images should be removed or erased (Fifth Data Protection Principle). 3. If the images are retained for evidential purposes, they should be retained in a secure place to which access is controlled (Fifth and Seventh Data Protection Principles).
Příklad - Záběry zaznamenány zařízením chránícím osoby u ATM je třeba držet po dobu tří měsíců za účelem vyřešení sporu o výběru hotovosti. Doba platnosti tří měsíců je dána lhůtou ve které přijímají osoby výpisy o stavu účtujako důkaz pro soudní řízení. 2. Jakmile vyprší období uchovávání měly by být záběry odstraněny nebo vymazány (Pátá ZOOÚ) 3. Pokud jsou záběry drženy jako důkazní předměty, měly by být uchovávány na bezpečném místě, ke kterému je kontrolován přístup. (Pátá a Sedmá ZOOÚ)
16/50
AGA 004 edice 1
4. On removing the medium on which the images have been recorded for the use in legal proceedings, the operator should ensure that they have documented: a) The date on which the images were removed from the general system for use in legal proceedings. b) The reason why they were removed from the system. c) Any crime incident number to which the images may be relevant.. d) The location of the images.
4. Na stažení media, na které byly záběry zaznamenány pro použití v soudních řízeních, by měl operátor dohlédnout na zdokumentování: a) Datum kdy byly záběry staženy z hlavního systému pro použití při soudních řízeních. b) Důvod proč byly staženy ze systému c) Počet trestných činů, ke kterým se záběry vztahují d) Místo kde se záběry nacházejí.
For example- if the images were handed to a police officer for retention, the name and station of that police officer. e) The signature of the collecting police officer, where appropriate (see below)(Third and Seventh Data Protection Principles). 5. Monitors displaying images from areas in which individuals would have an expectation of privacy should not be viewed by anyone other than authorised employees of the user of the equipment (Seventh Data Protection Principle).
Příklad – jestliže jsou záběry v držení policisty k uchování, jméno a stanice policisty. e) V případě potřeby (viz níže) podpis policisty, který zadržel záběry (Třetí a Sedmá ZOOÚ). 5. Na monitory zobrazující místa, kde jednotlivci očekávají soukromí, by se neměl dívat nikdo jiný než pravoplatní zaměstnanci správce zařízení. (Sedmá ZOOÚ).
6. Access to the recorded images should be restricted to a manager or designated member of staff who will decide whether to allow requests for access by third parties in accordance with the user’s documented disclosure policies (Seventh Data Protection
6. Přístup k záznamům by měl být omezen na vedoucího nebo určeného člena personálu která bude rozhodovat o žádostech o přístup třetí stranou v souladu s písemným prohlášením správce (Sedmá ZOOÚ).11
11
Principle). 7. Viewing of the recorded images should take place in a restricted area, for example, in a manager’s or designated member of staff’s office. Other employees should not be allowed to have access to that area when a viewing is taking place (Seventh Data Protection Principle).
8. Removal of the medium on which images are recorded, for viewing purposes, should be documented as follows: a) The date and time of removal
7. Záznamy by se měli prohlížet ve vyhrazené oblasti, například v manažerově pracovně nebo jiné určené místnosti. Ostatní zaměstanci by neměli mít přístup do těchto prostorů při prohlížení záběrů. (Sedmá ZOOÚ)
8. Odstranění medií se záznamy by mělo být zdokumentováno následovně: a) Datum a čas odstranění
b) The name of the person removing the images b) Jméno osoby provádějící odstranění
17/50
AGA 004 edice 1
c) The name(s) of the person(s) viewing the images. If this should include third parties, this include the organisation of that third party
c) Jméno(a) osob(y), která(é) viděla(i) záznamy. Pokud je zahrnuta třetí strana, zapisuje se i třetí strana.
d) The reason for the viewing
d) Důvod prohlížení.
e) The outcome, if any, of the viewing
e) Závěr prohlížení, pokud je nějaký.
f) The date and time the images were returned to the system or secure place, if they have been retained for evidential purposes
f) Datum a čas navrácení záznamů do systému nebo zabezpečené místo, pokud byly zadrženy jako důkazy.
9. All operators and employees with access to images should be aware of the procedure which need to be followed when accessing the recorded images (Seventh Data Protection Principle). 10. All operators should be trained in their responsibilities under this Code of Practice i.e. they should be aware of: a) The user’s security policy e.g. procedures to have access to recorded images.
9. Všichni operátoři a zaměstnanci s přístupem k záznamům by měli být seznámeni s postupy, při přistupování k záznamům (Sedmá ZOOÚ). 10. Všichni operátoři by měli být seznámeni se svými povinnostmi podle Sbírky zásad; měli by si být vědomi: a) Bezpečnostní politiky správce (majitele) např. postupů při přístupu k záznamům.
12
b) The user’s disclosure policy. c) Rights of individuals in relation to their 13
recorded images.
b) Správcovu politiku zpřístupňování. c) Práv osob, kterých se týkají záznamy (Sedmý ZOOÚ)
18/50
AGA 004 edice 1
Access to and disclosure of images to third parties
Přístup k záznamům a jejich zpřístupnění třetím stranám
It is important that access to, and disclosure of, the images recorded by CCTV and similar surveillance equipment is restricted and carefully controlled, not only to ensure that the rights of individuals are preserved, but also to ensure that the chain of evidence remains intact should the images be required for evidential purposes. Users of CCTV will also need to ensure that the reason(s) for which they may disclose copies of the images are compatible with the reason(s) or purpose(s) for which they originally obtained those images. These aspects of this Code are to be found in the Second and Seventh Data Protection Principles, which are discussed in more depth at Part II. However, the standards required by this Code are set out below.
Je důležité, aby přístup k záběrům zaznamenaným systémem CCTV a podobnými systémy a jejich zpřístupnění byl přísně a pozorně kontrolován, nejen kvůli zajištění ochrany práv jednotlivců, ale i kvůli nedotčenosti záznamů pro důkazní účely. Správci (majitelé) CCTV budou také muset zaručit, že důvody, proč odkrývají kopie záznamů jsou v souladu s důvodem nebo účelem pro který byly původně záběry získány. Tyto hlediska této sbírky obsahují Druhá a Sedmá ZOOÚ, které jsou diskutovány do větší hloubky v Druhé části. Avšak normy důležité pro tuto Sbírku jsou sepsány níže.
Standards
Kritéria
All employees should be aware of the restrictions set out in this code of practice in relation to access to, and disclosure of, recorded images.
Všichni zaměstnanci by měli být seznámeni s restrikcemi ve Sbírce zásad, pokud se týče přístupu k záznamům a jejich odhalování.
1. Access to recorded images should be restricted to those staff who need to have access in order to achieve the purpose(s) of using the equipment (Seventh Data
1. Přístup k záznamům by měl být omezen na personál, který potřebuje mít přístup k vybavení při jeho používání. (Sedmá ZOOÚ)
14
Protection Principle). 2. All access to the medium on which the images are recorded should be documented (Seventh Data Protection
2. Veškerý přístup k záznamovému mediu by měl být zdokumentován (Sedmá ZOOÚ).
15
Principle). 3. Disclosure of the recorded images to third parties should only made in limited and prescribed circumstances (Second and Seventh Data Protection Principles).
3. K odhalování záznamů třetí straně by mělo docházet v omezených a stanovených případech. (Druhá a Sedmá ZOOÚ).
For example - if the purpose of the system is Příklad - jestliže účelem systému je prevence a odhalení trestné činnosti, pak by k the prevention and detection of crime, then zpřístupnění třetím stranám mělo docházet v disclosure to third parties should be limited následujících případech: to the following: • soudnímu orgánu, kde by záznamy • Law enforcement agencies where the asistovaly pri konkrétním kriminalistickém images recorded would assist in a 19/50
AGA 004 edice 1
specific criminal enquiry
vyšetřování
• Prosecution agencies
• Státními žalobci
• Relevant legal representatives
• příslušnému zákonnému zástupci
• The media, where it is decided that the public’s assistance is needed in order to assist in the identification of victim, witness or perpetrator in relation to a criminal incident. As part of that decision, the wishes of the victim of an incident should be taken into account
• Mediím, pokud je zapotřebí pomoc veřejnosti při identifikaci poškozeného, svědka nebo pachatele se vztahem k trestnému činu. Jako část tohoto rozhodnutí by mělo být bráno v úvahu přání poškozeného.
• People whose images have been recorded and retained (unless disclosure to the individual would prejudice criminal enquiries or criminal proceedings) 4. All requests for access or for disclosure should be recorded. If access or disclosure is denied, the reason should be documented (Seventh Data Protection Principle) 5. If access to or disclosure of the images is allowed, then the following should be documented: a) The date and time at which access was allowed or the date on which disclosure was made b) The identification of any third party who was allowed access or to whom disclosure was made
• Lidem, jejichž záběry byly zaznamenány a zadrženy (pokud by zpřístupnění jedinci neovlivnilo vyšetřování nebo trestní řízení)
4. Všechny žádosti o přístup či zpřístupnění by měly být zaznamenány. Jestliže je přístup nebo zpřístupnění zamítnuto, měl by být zaznamenán důvod (Sedmá ZOOÚ). 5. Pokud je přístup nebo zpřístupnění povoleno, mělo by být zaznamenáno následující: a) Datum a čas kdy byl přístup povolen, nebo datum zpřístupnění. b) Totožnost třetí strany, které byl povolen přístup nebo kterým bylo (umožněno zpřístupnění.)
c) The reason for allowing access or disclosure
c) Důvod povolení přístupu resp. zpřístupnění.
d) The extent of the information to which access was allowed or which was
d) Rozsah informací, které byly zpřístupněny
16
disclosed 6. Recorded images should not be made more 6. Záznamy by neměly být více dosažitelné widely available - for example they například by neměly být běžně přístupné should not be routinely made available to mediím nebo umístěny na internet the media or placed on the Internet (Druhá, Sedmá a Osmá ZOOÚ). (Second, Seventh and Eighth Data Protection Principles).
20/50
AGA 004 edice 1
7. If it is intended that images will be made more widely available, that decision should be made by the manager or designated member of staff. The reason for that decision should be documented (Seventh Data Protection Principle).
7. Pokud je zamýšleno, že záběry budou lépe dosažitelné, toto rozhudnutí by měl udělat manažer nebo určený člen personálu. Důvod pro takové rozhodnutí by měl být zdokumentován (Sedmá ZOOÚ).
8. If it is decided that images will be disclosed to the media (other than in the circumstances outlined above), the images of individuals will need to be disguised or blurred so that they are not readily identifiable (First, Second and Seventh Data Protection Principles).
8. Pokud je rozhodnuto, že záběry budou zpřístupněny médiím (za jiných okolností, než je popsáno výše), záběry jednotlivců musí být zamaskovány nebo zastřeny tak, aby nebyly lehce indentifikovatelní (První, Druhá a Sedmá ZOOÚ).
9. If the system does not have the facilities to carry out that type of editing, an editing company may need to be hired to carry it out.
9. Jestliže systém nemá zařízení k uskutečnění tohoto typu úprav, musí být k úpravě najata společnost.
10. Jestliže je najata upravující společnost, 10. If an editing company is hired, then the musí manažer nebo určený člen manager or designated member of staff personálu zajistit: needs to ensure that: a) There is a contractual relationship between a) Smluvní vztah mezi správcem dat a upravující společností. the data controller and the editing company.
b) That the editing company has given appropriate guarantees regarding the security measures they take in relation to the images. c) The manager has checked to ensure that those guarantees are met d) The written contract makes it explicit that the editing company can only use the images in accordance with the instructions of the manager or designated member of staff. e) The written contract makes the security guarantees provided by the editing company explicit. (Seventh Data Protection Principle)
11. If the media organisation receiving the images undertakes to carry out the editing, then (a) to (e) will still apply (Seventh Data Protection Principle)
b) Aby upravující společnost dala odpovídající záruku s ohledem na bezpečnostní opatření, která přijme s ohledem na záběry. c) Že manažer zkontroloval splnění těchto záruk d) Sepsaná smlouva jednoznačně udává, že upravující společnost může používat záběry pouze podle instrukcí od manažera nebo určeného člena personálu. e) Sepsaná smlouva jednoznačně dává záruku bezpečí od upravující společnosti (Sedmá ZOOÚ).
11. Pokud na sebe vezme závazek úpravy záběrů mediální společnost, tak je může klidně použít (Sedmá ZOOÚ).
21/50
AGA 004 edice 1
Access by data subjects
Osobní přístup k údajům
This is a right, which is provided by section 7 of the l998 Act. A detailed explanation of the interpretation of this right is given in Part II. The standards of this Code of Practice are set out below.
Je to právo, které je stanoveno sekcí 7 „Zákona 1998“. Detailní vysvětlení tohoto práva je podáno v Druhé části. Kritéria této Sírky zásad jsou uvedeny níže.
Standards
Kritéria
1. All staff involved in operating the equipment must be able to recognise a request for access to recorded images by data subjects (Sixth and Seventh Data Protection Principles). 2. Data subjects should be provided with a standard subject access request form which:
1. Všichni zaměstnanci spojeni s ovládáním zařízení musí být schopni poznat žádost o přístup k záznamům s osobními údaji (Šestá a Sedmá ZOOÚ).
a) Indicates the information required in order to locate the images requested.
a) Uvádí informaci požadovanou za účelem najít požadované záběry.
For example – an individual may have to provide dates and times of when they visited the premises of the user of the equipment.
Příklad - Jednotlivec poskytne termíny, kdy navštívil prostory správce (majitele) zařízení.
2. Osobní údaje by měly být poskytovány na základě vyplnění standardizované žádosti o osobní přístup, která:
b) Uvádí informaci požadovanou za účelem poznat osobu podávající žádost b) Indicates the information required in order to identify the person making the request. For example –if the individual making the request is unknown to the user of the equipment, a photograph of the individual may be requested in order to locate the correct image. c) Indicates the fee that will be charged for carrying out the search for the images requested. A maximum of £10.00 may be charged for the search. d) Asks whether the individual would be satisfied with merely viewing the images recorded. e) Indicates that the response will be provided promptly and in any event within 40 days of receiving the required
Příklad - Pokud správce zařízení nezná osobu podávající žádost, může být požádána a fotografii pro nalezení správného záběru.
c) Uvádí poplatek, který bude zaplacen za vyhledání požadovaných záběrů (maxilmálně £10.00).
d) Ptá se, zda postačí jedinci se pouze podívat na záznam. e) Uvádí, že odpověď bude poskytnuta brzy a v každém případě do 40 dnů od přijmutí požadovaného poplatku a informace. f) Vysvětluje práva poskytována „Zákonem 22/50
AGA 004 edice 1
fee and information. f) Explains the rights provided by the l998 Act. 3. Individuals should also be provided with a leaflet which describes the types images which are recorded and retained, the purposes for which those images are recorded and retained, and information about the disclosure policy in relation to those images
1998“. 3. Jedincům by měl také být zaslán leták, který popisuje typy záběrů, v které jsou zaznamenány a uchovávány, účely, pro které jsou záběry zaznamenány a uchovávány, a informace o metodách zpřístupňování těchto záběrů
17
17
(Sixth Data Protection Principle).
(Šestá ZOOÚ).
4. This should be provided at the time that the standard subject access request form is provided to an individual (Sixth Data
4. Ten by měl být poskytnut tehdy, když je žádost podaná jednotlivcem (Šestá ZOOÚ). 18
18
Protection Principle). 5. All subject access requests should be dealt with by a manager or designated member of staff.
6. Manažer nebo určený člen personálu by měl najít požadované záběry.
6. The manager or designated member of staff should locate the images requested 7. The manager or designated member of staff should determine whether disclosure to the individual would entail disclosing images of third parties 19
7. Manažer nebo určený člen personálu by měl určit, zda jednotlivé zpřístupnění neznamená odhalení záběrů třetí strany 19
(Šestá ZOOÚ).
(Sixth Data Protection Principle).
8. Manažer nebo určený člen personálu bude muset určit, zda záběry třetí strany nejsou důvěrné
8. The manager or designated member of staff will need to determine whether the images of third parties are held under a duty of confidence
20
20
První a Šestá ZOOÚ).
(First and Sixth Data Protection Principle). For example - it may be that members of the public whose images have been recorded when they were in town centres or streets have less expectation that their images are held under a duty of confidence than individuals whose images have been recorded in more private space such as the waiting room of a doctor’s surgery. 9. If third party images are not to be disclosed, the manager or designated member of staff shall arrange for the third party images to be disguised or
5. Všechny osobní žádosti o přístup by měly být projednávány s manažerem nebo určeným členem personálu.
Příklad - Je méně pravděpodobné, že se záběry pořízenými na veřejnosti bude zacházeno důvěrněji než se záběry jedinců zaznamenané ve více soukromých prostorech, jako je čekárna u lékaře.
9. Jestliže záběry třetí strany nemají být zpřístupněny, manažer nebo pověřený člen personálu musí zařídit, aby záběry třetí osoby byly zamaskovány nebo 23/50
AGA 004 edice 1 21
blurred (Sixth Data Protection
zastřeny (Šestá ZOOÚ).
21
Principle). 10. If the system does not have the facilities to carry out that type of editing, a third party or company may be hired to carry it out 11. If a third party or company is hired, then the manager or designated member of staff needs to ensure that:
10. Jestliže systém nemá zařízení k uskutečnění tohoto typu úprav, musí být pro úpravu najata společnost. 11. Jestliže je pronajata třetí strana nebo společnost, musí manažer nebo určený člen personálu zajistit:
a) There is a contractual relationship between the data controller and the third party or company. b) That the third party or company has given appropriate guarantees regarding the security measures they take in relation to the images. c) The manager has checked to ensure that those guarantees are met. d) The written contract makes it explicit that the third party or company can only use the images in accordance with the instructions of the manager or designated member of staff. e) The written contract makes the security guarantees provided by the third party or company explicit
a) Smluvní vztah mezi správcem dat a třetí stranou nebo společností. b) Aby třetí strana nebo společnost dostala odpovídající záruky s ohledem na bezpečnostní opatření, která přijmou s ohledem na záběry. c) Že manažer zkontroloval splnění těchto záruk. d) Sepsaná smlouva jednoznačně udává, že třetí strana nebo společnost může používat záběry pouze podle instrukcí od manažera nebo určeného člena personálu. e) Sepsaná smlouva jednoznačně dává záruku bezpečí od třetí strany nebo společnosti.
(Seventh Data Protection Principle)
(Sedmá ZOOÚ)
12. If the manager or designated member of staff decides that a subject access request from an individual is not to be complied with, the following should be documented:
12. Jestliže manažer nebo určený člen personálu rozhodne, že žádosti jednice o osobní přístup nebude vyhověno, měl by zdokumentovat:
a) The identity of the individual making the request b) The date of the request c) The reason for refusing to supply the images requested d) The name and signature of the manager or designated member of staff making the
a) Totožnost osoby podávající žádost b) Datum žádosti c) Důvod odmítnutí poskytnout požadované záběry d) Jméno a podpis manažera nebo určeného člena pesonálu, který takto rozhodl.
22
decision. 14. All staff should be aware of individuals’ rights under this section of the Code of Practice (Seventh Data Protection Principle)
14. Všechen pesonál by měl být seznámen s právy jednotlivců v této části Sbírky zásad. (Sedmá ZOOÚ)
24/50
AGA 004 edice 1
Other rights
Ostatní práva
A detailed explanation of the other rights under Sections 10, l2 and 13 of the Act are provided in Part II of this Code. The standards of this Code are set out below.
Detailní vysvětlení dalších práv z článků 10, 12 a 13 „Zákona 1998“ jsou poskytnuta v druhé části této Sbírky. Kritéria Sbírky jsou sepsána níže.
Standards
Kritéria
1. All staff involved in operating the equipment must be able to recognise a request from an individual to:
1. Všechen personál zapojený do zacházení s zařízemí, musí být schopen prozkoumat žádost od osoby:
a) Prevent processing likely to cause substantial and unwarranted damage to
a) Aby zabránil zpracovávání při pravděpodobném značném a
23
23
that individual. b) Prevent automated decision taking in
neopodstatněném poškození této osoby.
24
b) Aby zabránil automatizovanému rozhodnutí ve vztahu k osobě.24
relation to that individual. 1. All staff must be aware of the manager or designated member of staff who is responsible for responding to such requests.
1. Všechen personál musí být seznámen od manažera nebo určené osoby, která nese zodpovědnost za reakci na podobné žádosti.
2. In relation to a request to prevent processing likely to cause substantial and unwarranted damage, the manager or designated officer’s response should indicate whether he or she will comply 25
2. Pokud se týče přání předejít zpracování při podstatném a neospravedlnitelném požkození, měl by manažer nebo určená osoba v odpovědi uvést zda bude žádosti 25
vyhověno, nebo ne.
with the request or not. 3. The manager or designated member of staff must provide a written response to the individual within 2l days of receiving the request setting out their decision on 26
3. Manažer nebo určená osoba musí poslat písemnou odpověď se stanoviskem k žádosti 26
osobě do 21 dnů po přijetí žádosti.
the request. 4. If the manager or designated member of staff decide that the request will not be complied with, they must set out their reasons in the response to the
4. Jestliže manažer nebo pověřená osoba rozhodne, že žádosti nebude vyhověno, 27
musí sepsat důvody v odpovědi.
27
individual. 5. A copy of the request and response should be retained. 6. If an automated decision is made about an individual, the manager or designated member of staff must notify the
5. Kopii žádosti a odpovědi by si měl manažer ponechat. 6. Pokud je automatizovaně rozhodnuto o osobě, manažer nebo pověřená osoba 28
28
musí oznámit osobě toto rozhodnutí.
individual of that decision. 25/50
AGA 004 edice 1
7. If, within 2l days of that notification, the individual requires, in writing, the decision to be reconsidered, the manager or designated staff member shall
7. Jestliže během 21 dnů, pošle osoba žádost o znovuzvážení rozhodnutí, manažer nebo pověřená osoba musí znovu zvážit
29
29
reconsider the automated decision. 8. On receipt of a request to reconsider the automated decision, the manager or designated member of staff shall respond within 2l days setting out the steps that they intend to take to comply with the 30
individual’s request.
automatické rozhodnutí. 8. Po obdržení žádosti o znovuzvážení atomatizovaného rozhodnutí, musí manažer nebo pověřená osoba odpovědět do 21 dnů a oznámit kroky, které zamýšlejí učinit pro vyhovění žádosti 30
osoby. 9. The manager or designated member of staff shall document: a) The original decision.
9. Manažer nebo pověřená osoba musí zdokumentovat: a) Původní rozhodnutí. b) Žádost osoby.
b) The request from the individual. c) Their response to the request from the individual.
c) Odpověď na žádost osoby.
Monitoring compliance with Monitorování shody se this code of practice sbírkou zásad Standards
Kritéria
1. The contact point indicated on the sign should be available to members of the public during office hours. Employees staffing that contact point should be aware of the policies and procedures governing the use of this equipment. 2. Enquiries should be provided on request with one or more of the following: a) The leaflet which individuals receive when they make a subject access request as general information
1. Kontaktní bod indikovaný na štítku by měl být k dispozici veřejnosti v úředních hodinách. Zaměstnanci tohoto kontaktního bodu by si měli být vědomi metod a postupů řízení používání vybavení. 2. Informace by měly být poskytovány na žádost jedním nebo více z následujících způsobů: a) Letákem, který obdrží osoby, když podají osobní žádost o přístup jako všeobecnou informaci.
b) A copy of this code of practice
b) Kopií této Sbírky zásad.
c) A subject access request form if required or requested d) The complaints procedure to be followed if they have concerns about the use of the system
c) Na základě standardizované žádosti, je-li nutná nebo požadovaná d) Na základě stížnosií na sledování při používání systému.
e) The complaints procedure to be followed if e) Na základě stížnosti na sledování, při 26/50
AGA 004 edice 1
nesplnění ustanovení Sbírky zásad.
they have concerns about noncompliance with the provisions of this Code of Practice 1. A complaints procedure should be clearly documented.
1. Stížnost by měla být samozřejmě zdokumentována.
2. A record of the number and nature of complaints or enquiries received should be maintained together with an outline of the action taken.
2. Záznamy počtu a povahy přijatých stížností nebo dotazů by měly být udržovány společně s přijatými postupy.
3. Zpráva o množství stížností a dotazů by měla být dána dohromady manažerem nebo pověřenou osobou, za účelem vyhodnotit veřejnou reakci a názor na používání systému. 4. Manažer nebo pověřená osoba by měl dělat pravidelné revize zdokumentovaných postupů, aby zajistil, že ustanovení Sbírky jsou splňována. (Sedmá ZOOÚ).
3. A report on those numbers should be collected by the manager or designated member of staff in order to assess public reaction to and opinion of the use of the system. 4. A manager or designated member of staff should undertake regular reviews of the documented procedures to ensure that the provisions of this Code are being complied with (Seventh Data Protection Principle). 5. Zpráva o těchto revizích by měla být 5. A report on those reviews should be poskytnuta správci dat, aby vyhověl právním provided to the data controller(s) in závazkům a ustanovením Sbírky zásad. order that compliance with legal obligations and provisions with this Code of Practice can be monitored. 6. An internal annual assessment should be undertaken which evaluates the effectiveness of the system.
6. Měla by být každoročně ohodnocena účinnost systému.
7. Výsledky zprávy by měly být určovány 7. The results of the report should be podle účelu, ke kterému slouží systém. assessed against the stated purpose of the Pokud systém neplní svůj účel, měl by být scheme. If the scheme is not achieving its zrušen nebo upraven. purpose, it should be discontinued or modified. 8. The result of those reports should be made 8. Výsledky zprávy by měly být veřejně dosažitelné. publicly available.
27/50
AGA 004 edice 1
PART II
Glossary The Data Protection Act 1998.
Druhá část Glosář Zákon o ochraně osobních údajů z roku 1998
1. Definitions
1. Definice
There are several definitions in Sections 1 and 2 of the l998 Act which users of CCTV systems or similar surveillance equipment must consider in order to determine whether they need to comply with the requirements of the l998 Act, and if so, to what extent the l998 Act applies to them:
V článcích 1 a 2 „Zákona 1998“ je několik definicí, které správci CCTV nebo podobných systémů musí zvážit, aby mohli určit, zda musí vyhovět požadavkům zákona 1998. A pokud ano, jak rozsáhle se mají věnovat „Zákonu 1998“.
a) Data Controller
a) Správce dat
“A person who (either alone or jointly or in common with other persons) determines the purposes for which and the manner in which any personal data are, or are to be, processed”. For example: if a police force and local authority enter into a partnership to install CCTV in a town centre with a view to: -
„Osoba, která (buď sama nebo společně s dalšímy osobami) určuje účel a způsob jakým jsou resp. mají být osobní údaje zpracovávány.“ Příklad - Jestliže policejní sbor a orgán místní správy uzavřou partnerství, aby nainstalovali CCTV v centru města se zaměřením na: • Prevenci a odhalování zločinu.
• Preventing and detecting crime. • Apprehending and prosecuting offenders.
• Dopadení a obžalování pachatelů.
• Protecting public safety.
• Zajištění veřejné bezpečnosti.
They will both be data controllers for the purpose of the scheme.
Oba orgány budou správci dat pro tento systém.
For example- if a police force, local authority and local retailers decide to install a CCTV scheme in a town centre or shopping centre, for the purposes of: • Preventing and detecting crime. • Apprehending and prosecuting offenders. • Protecting public safety. All will be data controllers for the purposes of the scheme. It is the data controllers who should set out the purposes of the scheme (as outlined above) and who should set out the
Příklad – jestliže se policejní sbor, orgán místní správy a místní prodejci rozhodnou naistalovat CCTV v centru města nebo obchodním centru pro účel: • Prevenci a odhalování zločinu • Dopadení a obžalování pachatelů • Zajištění veřejné bezpečnosti Všichni budou správci dat pro tento systém. Je to správce dat, kdo by měl stanovit účel schématu (popsáno výše) a kdo by měl stanovit metody pro použití záběrů. (viz.
28/50
AGA 004 edice 1
policies on the use of the images (as outlined in the Standards section of this Code of Practice). The data controller(s) may devolve day-today running of the scheme to a manager, but that manager is not the data controller - he or she can only manage the scheme according to the instructions of the data controller(s), and according to the policies set out by the data controller(s). If the manager of the scheme is an employee of one or more of the data controllers, then the manager will not have any personal data protection responsibilities as a data controller. However, the manager should be aware that if he or she acts outside the instructions of the data controller(s) in relation to obtaining or disclosing the images, they may commit a criminal offence contrary to Section 55 of the l998 Act, as well as breach their contract of employment. If the manager is a third party such as a security company employed by the data controller to run the scheme, then the manager may be deemed a data processor. This is “any person (other than an employee of the data controller) who processes the personal data on behalf of the data controller. If the data controller(s) are considering using a data processor, they will need to consider their compliance with the Seventh Data Protection Principle in terms of this relationship. a) Personal Data
výše v sekci Kriterií). Správce dat by měl přenést zodpovědnost za každodenní běh systému manažerovi, ale manažer není správce dat – pouze může řídit schéma v souladu s instrukcemi od spravce dat a v souladu s politikou stanovenou správcem dat.
Jestliže manažer schématu je zaměstnanec více správců dat, nebude mít žádné povinnosti ohledně ochrany osobních dat jako správce dat. Avšak manažer by si měl být vědom, že pokud nebude jednat podle instrukcí od správce dat ve vztahu k získání nebo zpřístupnění záběrů, může se dopustit trestného činu proti článku 55 „Zákona 1998“, stejně tak jako porušit pracovní smlouvu. Pokud je manažer pouze třetí stranou jako zaměstananec bezpečnostní agentury zaměstnaný správcem dat pro řízení systému, pak by manažer měl být považovaný za správce dat. Je to jakákoliv osoba (jiná než zaměstnanec správce dat), která zpracovává osobní údaje jménem správce dat. Jestliže správce dat uvažuje o zpracovávání, bude to muset zvážit, aby vyhověl v rámci této souvislosti Sedmé ZOOÚ. a) Osobní údaje „Údaje, které se vážou k nějaké žijící osobě, která může být identifikována:
“Data which relate to a living individual who can be identified:
a) těmito údaji, nebo b) těmito údaji a další informací, která je v držení nebo pravděpodobně bude v držení správce dat“.
a) from those data, or b) from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller”.
Ustanovení „Zákona 1998“ jsou založená na The provisions of the l998 Act are based on 31
the requirements of a European Directive , which at, Article 2, defines, personal data as follows: “Personal data” shall mean any information
31
požadavcích evropské směrnice , která v článku 2 definuje osobní údaje následovně:
„Osobní údaje“ musí znamenat informaci týkající se identifikované, nebo 29/50
AGA 004 edice 1
relating to an identified or identifiable natural person; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity. The definition of personal data is not therefore limited to circumstances where a data controller can attribute a name to a particular image. If images of distinguishable individuals’ features are processed and an individual can be identified from these images, they will amount to personal data.
identifikovatelné fyzické osoby; identifikovatelná osoba je ta, která může být identifikovaná přímo či nepřímo, především odkazem na identifikační číslo nebo jeden nebo více faktorů specifckých pro jeho fyzickou, psychologickou, mentální, ekonomickou, kulturní nebo sociální identitu. Definice odobních údajů není tedy omezena na okolnosti, kde správce dat zná jméno osoby na určitém záběrů. Jestliže jsou záběry s rozpoznatelnými rysy osob zpracovány a osoba z těchto záběrů může být identifikována, budou to osobní údaje. c) Citlivé osobní údaje
c) Sensitive Personal Data Článek 2 „Zákona 1998“ odděluje odlišnou kategorii osobních údajů, které lze považovat za citlivé. Nejvýznamnější z těchto kategorií pro účel této Sbírky zásad jsou informace
Section 2 of the l998 Act separates out distinct categories of personal data, which are deemed sensitive. The most significant of these categories for the purposes of this code 32
32
of practice are information about:
o:
• the commission or alleged commission of any offences
• Páchaní nebo údajné spáchání nějakého přestupku.
• any proceedings for any offence committed, or alleged to have been committed, the disposal of such proceedings or the sentence of any court in such proceedings.
• Řízení pro přečin spáchaný, nebo domněle spáchaný, nařízení takového řízení nebo rozsudek soudu v takovém řízení.
This latter bullet point will be particularly significant for those CCTV schemes which are established by retailers in conjunction with the local police force, which use other information to identify known and convicted shoplifters from images, with a view to reducing the amount of organised shoplifting in a retail centre. It is essential that data controllers determine whether they are processing sensitive personal data because it has particular implications for their compliance with the First Data Protection Principle. a) Processing
Druhý bod bude zvláště významný pro CCTV systémy, která jsou zavedeny maloobchodníky spolu s místním policejním sborem, který používá další informace pro identifikaci známých a odsouzených zlodějů v krámcích pomocí záběrů se zaměřením na snižování rozsahu organizovných krádeží v nákupních střediscích. Je podstatné, aby správce dat vymezil zda jsou zpracovávany citlivé osobní údaje, protože to má specifické požadavky pro jejich vyhovění ZOOÚ.
a) Zpracovávání osobních údajů
30/50
AGA 004 edice 1
Section l of the l998 Act sets out the type of operations that can constitute processing: "In relation to information or data, means obtaining, processing, recording or holding the information or data or carrying out any operation or set of operations on the information or data, including: a) organisation, adaptation or alteration of the information or data, b) retrieval, consultation or use of the information or data, c) disclosure of the information or data by transmission, dissemination or otherwise making available, or d) alignment, combination, blocking, erasure or destruction of the information or data." The definition is wide enough to cover the simple recording and holding of images for a limited period of time, even if no further reference is made to those images. It is also wide enough to cover real-time transmission of the images. Thus if the images of individuals passing in front of a camera are shown in real time on a monitor, this constitutes “transmission, dissemination or otherwise making available. Thus even the least sophisticated capturing and use of images falls within the definition of processing in the l998 Act.
1. Purposes for which personal data/images are processed
První článek Zákona 1998 stanovuje typ operací, které mohou představovat zpracovávání. „Pokud se týče informací nebo údajů, znamená získávání, zpracovávání, nahrávání nebo uchovávání informací či údajů, nebo provádění jakýchkoliv operací nebo souboru operací s informacemi nebo daty, zahrnující: a) organizaci, pozměnění nebo úpravu informací nebo údajů. b) získávání, nahlédnutí nebo použití informací nebo údajů c) zpřístupnění informací nebo údajů přenosem, šířením nebo jinak zpřístupněných, nebo d) uspořádání, kombinace, zajištění, smazání či zničení informací nebo údajů.“ Definice je dosti široká, aby pokryla jednoduché nahrávání a držení záběrů na omezenou dobu, když navíc žádná jiná pravomoc není vytvořena pro tyto záběry. Je taky dost široká aby pokryla přímý přenos záběrů. Takto jestliže jsou záběry osob procházejících kolem kamery ukázány v reálném čase na monitoru, představují přenos, šíření nebo jinak zpřístupněné záběry. Takto navíc nezamýšlený záběr a jeho použití spadá pod definici zpracovávání v „Zákoně 1998“.
1. Účel pro který jsou osobní údaje/záběry zpracovávány
Before considering compliance with the Data Protection Principles, a user of CCTV or similar surveillance equipment, will need to determine two issues:
Před posuzováním vyhovění Zásadám o ochraně osobních údajů, musí majitel CCTV nebo podobného pozorovacího zařízení vyřešit dvě otázky:
• What type of personal data are being processed i.e. are there any personal data which fall within the definition of sensitive personal data as defined by Section 2 of the l998 Act.
• Jaký typ osobních údajů má být zpracováván, to jest jsou-li zde osobní údaje, které spadají pod definici citlivých osobních údajů, jak jsou definovány v Článku 2 Zákona z roku 1998.
• For what purpose(s) are both personal data and sensitive personal data being
• Pro jaký účel budou osobní údaje i citlivé osobní údaje zpracovávány. 31/50
AGA 004 edice 1
processed? Users of surveillance equipment should be clear about the purposes for which they intend to use the information/images captured by their equipment. The equipment may be used for a number of purposes:
Správcům pozorovacího vybavení by mělo být jasné pro jaký účel zamýšlejí použít informace/záběry zaznamenané vybavením. Vybavení může být použito pro řadu účelů:
• Prevention, investigation and/or detection of crime. • Apprehension and/or prosecution of offenders (including images being entered as evidence in criminal proceedings).
• Prevence, šetření a/nebo odhalení trestné činnosti. • Zatčení a/nebo žaloba pachatelů (včetně záběrů vstupujících jako svědci v trestném řízení).
• Public and employee safety.
• Bezpečnost veřejnosti a zaměstnanců.
• Staff discipline.
• Pracovní disciplína.
• Traffic flow monitoring.
• Monitorování dopravy.
Using information captured by a surveillance system will not always require the processing of personal data or the processing of sensitive personal data. For example, use of the system to monitor traffic flow in order to provide the public with up to date information about traffic jams, will not necessarily require the processing of personal data.
Při používání informací zachycených dozorčím systémem nebude vždycky potřeba zpracovávat osobní údaje nebo zpracovávat citlivé osobní údaje. Například použití systému pro monitorování dopravy za účelem poskytnout veřejnosti aktuální informace o dopravních zácpách, nebude nutně potřebovat zpracovávat osobní údaje.
1. Data protection principles 1. Zásady o ochraně osobních údajů The First Data Protection Principle This requires that “Personal data shall be processed fairly and lawfully, and, in particular, shall not be processed unless: a) at least one of the conditions in Schedule 2 is met, and
První zásada o ochraně osobních údajů. Říká, že: "Osobní údaje musí zpracovávány poctivě a podle zákona a především nesmí být zpracovány, aniž by: a) alespoň jedna z podmínek v Dodatku 2 nebyla splněna a b) v případě citlivých osobních údajů také nebyla splněna alespoň jedna podmínka v Dodatku 3."
b) in the case of sensitive personal data, at least one of the conditions in Schedule 3 is also met”. To assess compliance with this Principle, it is Pro vyhodnocení vyhovění této Zásadě je recommended that the data controller address doporučeno, aby správce dat předložil 32/50
AGA 004 edice 1
the following questions:
následující otázky:
a) Are personal data and/or sensitive personal data processed?
a) Jsou osobní údaje a/nebo citlivé osobní údaje zpracovávány? 33
33
The definition of sensitive personal data has Definice citlivých osobních údajů byla diskutována výše a je podstatné, aby správce been discussed above and it is essential that dat rozhodnul, zda jsou zpracovávány the data controller has determined whether informace/záběry, které spadají do této they are processing information/images, kategorie za účelem ocenit, která kriteria vzít which fall into that category in order to v úvahu, když se rozhodujeme, zda je assess which criteria to consider when zpracovávání informací/záběrů zákonné. deciding whether there is a legitimate basis for the processing of that information/images. b) Has a condition for processing been met? The First Data Protection Principle requires that the data controller have a legitimate basis for processing. It is for the data controller to be clear about which grounds to rely on in this respect. These are set out in Schedules 2 and 3 to the Act. Users of schemes which monitor spaces to which the public have access, such as town centres, may be able to rely on Paragraph 5 (d) of Schedule 2 because the processing is for the exercise of any other function of a public nature exercised in the public interest by any person. This could include purposes such as prevention and detection of crime, apprehension and prosecution of offenders or public/employee safety.
b) Byly splněny podmínky pro zpracovávání? První princip o ochraně osobních dat vyžaduje, aby správce dat měl zákonné podklady pro zpracovávání. Je dobré, aby se správce dat přesvědčil, na co se může spolehnout. Toto je stanoveno v druhém a třetím Dodatku Zákona. Majitelé systému, které monitoruje prostory, do kterých má přístup veřejnost, jako ve středu města, mohou spoléhat na Paragraf 5 (d) Dodatku 2, protože zpracovávání je pro vykonávání jakéhokoliv povolání veřejné povahy vykonáváno jakoukoliv osobou ve veřejném zájmu. To může zahrnout účely jako například prevence a odhalení trestné činnosti, zatčení a obžaloba pachatelů nebo pro bezpečnost veřejnosti/zaměstnanců.
Users of schemes which monitor spaces in shops or retail centres to which the public have access may be able to rely on Paragraph 6(l) of Schedule 2 because the processing is necessary for the purposes of legitimate interests pursued by the data controller or the third party or third parties to whom the data are disclosed, except where the processing is unwarranted in any particular case by reason of prejudice to the rights and freedoms or legitimate interests of the data subject. It should be noted that while this criterion may provide a general ground for processing, in an individual case, the interests of the data controller i.e. the user of the surveillance equipment might not outweigh the rights of
Majitelé systému, který monitoruje prostory v obchodech nebo nákupních střediscích, do kterých má přístup veřejnost, se mohou spolehnout na Paragraf 6(l) Dodatek 2, protože zpracovávání je nutné pro účel oprávněného zájmu správce dat nebo třetí strany sledovat, které údaje jsou zpřístupňovány, kromě případů, kde je zpracovávání nejisté v nějakém zvláštním případě z důvodu újmy na právech a svobodách nebo oprávněného zájmu od subjektu údajů. Mělo by být poznamenáno, že zatímco toto kriterium může poskytnout pevnou půdu pro zpracovávání, v individuálních případech by zájmy správce dat, to jest majitele
33/50
AGA 004 edice 1
an individual. If the data controller has determined that he or she is processing sensitive personal data, then the data controller will also need to determine whether he or she has a legitimate basis for doing so under Schedule 3. It should be noted that Schedule 3 does not contain the grounds cited above in relation to Schedule 2. Users of surveillance equipment in town centres, particularly where the local authority or police force (or a partnership of the two) are the data controllers may be able to rely on Paragraph 7(l)(b) of Schedule 3 because the processing is necessary for the exercise of any functions conferred on any person by or under an enactment. It may be that the use of such information/images by a public authority in order to meet the objectives of the Crime and Disorder Act l998 would satisfy this criterion. Users of information/images recorded in a shop or retail centre may be able to rely on one of the grounds contained in the Order 34
made under Schedule 3(l0) of the 1998 Act.
pozorovacího zařízení, neměly převažovat nad právy jedince. Jestliže správce dat rozhodl, že bude zpracovávat citlivé osobní údaje, pak také bude muset určit, zda na takovou činnost má podle Dodatku 3 právo. Mělo by být poznamenáno, že Dodatek 3 neobsahuje podklady (citované výše) ve vztahu k Dodatku 2. Majitelé zařízení na sledování v centru města, zvláště tam kde jsou správci dat policie nebo orgán místní správy (nebo jejich partnerství), se mohou spolehnout na Paragraf 7(l)(b) Dodatku 3,protože zpracovávání osobních údajů je nutné podle nařízení pro vykonávání některých povolání. Například použití nějaké informace/záběru státním orgánem, za účelem splnění úkolu Zákona O trestné činnosti a rušení veřejného pořádku z roku 1998, vyhovuje takovému nařízení. Uživatelé informací/záběrů zaznamenaných v obchodě nebo nákupním středisku se mohou spolehnout na jeden z podkladů obsažených v Nařízení v Dodatku 3(l0) 34
„Zákona 1998“. For example“(1) The processing: a) is in the substantial public interest;
Příklad “(1) Zpracovávání: a) je ve značném veřejném zájmu
b) is necessary for the purposes of the prevention and detection of any unlawful act; and
b) je nezbytné pro účel prevence a odhalení nějakého nezákonného činu.
c) must necessarily be carried out without the explicit consent of the data subject so as not to prejudice those purposes”
c) nesmí být uskutečněno bez jednoznačného souhlasu osoby, jejíž osobní údaje jsou zpracovávány, pro nezaujatost účelu. Je na správci dat, aby se ujistil, že má zákonné podklady pro jejich zpracování a proto je důležité, aby správce dat určil: • jaké kategorie údajů mají být zpracovávány a • proč.
It is for the data controller to be sure that he or she has legitimate grounds for their processing and therefore it is essential that the data controller has identified: • what categories of data are processed, and • why. c) Are the information/images processed lawfully?
c) Jsou informace/záběry zpracovávány podle zákona? 34/50
AGA 004 edice 1
The fact that the data controller has a legitimate basis for processing does not mean that this element of the First Data Protection Principle is automatically satisfied. The data controller will also need to consider whether the information/images processed are subject to any other legal duties or responsibilities such as the common law duty of confidentiality. Public sector bodies will need to consider their legal powers under administrative law in order to determine whether there are restrictions or prohibitions on their ability to process such data. They will also need to consider the implications of the Human Rights Act l998. d) Are the information/images processed fairly? The fact that a data controller has a legitimate basis for processing the information/images will not automatically mean that this element of the First Data Protection Principle is satisfied. 35
The interpretative provisions of the Act set out what is required in order to process fairly. In order to process fairly, the following information, at least, must be provided to the individuals at the point of obtaining their images: • the identity of the data controller • the identity of a representative the data controller has nominated for the purposes of the Act • the purpose or purposes for which the data are intended to be processed, and
• any information which is necessary, having regard to the specific circumstances in which the data are or are to be processed, to enable processing in respect of the individual to be fair.
c) Circumstances in which the requirement for signs may be set aside
Skutečnost, že správce dat má zákonné předpokaldy pro zpracovávání neznamená, že tento prvek zásady je automaticky splněn. Správce dat bude také muset zvážit, zda informace/záběry nepodléhají dalším právním povinnostem nebo zodpovědnostem, jako povinnost disktrétnosti ze zvykového práva. Veřejné osoby budou muset zvážit své právní pravomoci podle administrativního zákona aby určili, zda existují omezení nebo zákazy na jejich schopnosti zpracovat takové údaje. Také budou muset zvážit implikaci k Zákonu o lidských právech z roku 1998.
d) Jsou informace/záběry zpracovávány nestranně? Skutečnost, že správce dat má zákonné podklady pro zpracovávání informací/záběrů, nebude automaticky znamenat, že tento prvek Prvního Principu je splněn. 35
Interpretační ustanovení Zákona stanovuje požadavky pro nestranné zpracovávání. V zájmu nestranného zpracovávání musí být osobám v místě získávání záběrů poskytnuty následující informace: • totožnost správce dat • totožnost zástupce správce dat jmenovaného k tomuto účelu podle Zákona • účel nebo účely, zamýšleného zpracovávání údajů • informace nutné s ohledem na specifické okolnosti, při kterých jsou nebo budou údaje zpracovávány, které umožní být při zpracovávání čestný vzhledem k jednotlivcům
c) Okolnosti při kterých nemusí být požadavky na informační štítky brány v úvahu 35/50
AGA 004 edice 1
The Act does not make specific reference to the use of covert processing of (sensitive) personal data but it does provide a limited exemption from the requirement of fair processing. Because fair processing (as indicated above) requires that individuals are made aware that they are entering an area where their images may be captured, by the use of signs, it follows that the use of covert processing i.e. removal or failure to provide signs, is prima facie a breach of the fairness requirement of the First Data Protection Principle. However, a breach of this requirement will not arise if an exemption can be relied on. Such an exemption may be found at Section 29(l) of the Act, which states that: “Personal data processed for any of the following purposes: a) prevention or detection of crime
Zákon nespecifikuje použití skrytého zpracovávání (citlivých) osobních údajů, ale poskytuje omezené výjimky od požadavků etického zpracovávání. Protože nestranné zpracovávání (jak je uvedeno výše) požaduje, aby osoby byly uvědomeny pomocí štítků, že vstupují do prostoru, kde může být zachycen jejich záběr. Z toho vyplývá, že použití skrytého zpracovávání, to jest přemístění nebo zanedbání poskytnutí štítku, je zřejmé nesplnění etického požadavku Prvního principu o ochraně osobních údajů. Avšak požadavek nebude porušen, pokud může být požadována výjimka. Takovou výjimku můžeme nalézt v Článku 29(l) Zákona uvádí, že: „Osobní údaje zpracovávané pro jeden z následujících účelů: a) prevence nebo odhalení trestné činnosti b) zatčení nebo obžaloba pachatelů
b) apprehension or prosecution of offenders are exempt from the first data protection principle (except to the extent to which it requires compliance with the conditions in Schedules 2 and 3) ... in any case to the extent to which the application of those provisions to the data would be likely to prejudice any of the matters mentioned...” This means that if the data controller processes images for either or both of the purposes listed in the exemption, he or she may be able to obtain and process images without signs without breaching the fairness requirements of the First Data Protection Principle.
jsou vyňaty z prvního principu o ochraně osobních údajů (kromě rozsahu který vyžaduje vyhovění podmínkám v Článku 2 a 3) ... v každém případě v rozsahu, který by při použití ustanovení o osobních údajích byl pravděpodobně zaujatý jakoukoliv ze zmíněných záležitostí…“ To znamená, že jestliže správce dat zpracovává záběry pro jeden nebo oba uvedené účely, měl by být schopen získat a zpracovávat záběry bez porušení etických požadavků Prvního principu o ochraně osobních údajů.
THE SECOND DATA PROTECTION PRINCIPLE This requires that, “Personal data shall be obtained only for one or more specified and lawful purposes, and shall not be further processed in any manner incompatible with that purpose or those purposes”. In order to ascertain whether the data controller can comply with this Data Protection Principle, it is essential that he or
DRUHÁ ZÁSADA O OCHRANĚ OSOBNÍCH ÚDAJŮ Říká, že: „Osobní údaje musí být získávány pouze pro jeden nebo více specifikovaných a zákonných účelů a nesmí být dále zpracovávány pro jiné, nevyhovující účely“. Za účelem ověřit, zda správce údajů může vyhovět této Zásadě, je důležité aby byl přesvědčen o účelu, pro který jsou záběry zpracovávány.
36/50
AGA 004 edice 1
Specifikované účely mohou být ty, které byly oznámeny Výboru nebo jedincům.
she is clear about the purpose(s) for which the images are processed. Specified purposes may be those, which have been notified to the Commissioner or to the individuals. There are a number of issues to be considered when determining lawfulness:
Zde je několik sporných otázek zvažovaných při určování zákonnosti:
• Whether the data controller has a legitimate basis (see First Data Protection Principle) for the processing.
• Zdali má správce dat legitimní podklady (viz. První princip) pro zpracovávání os. údajů.
• Whether the images are processed in accordance with any other legal duties to which the data controller may be subject e.g. the common law duty of confidence, administrative law in relation to public sector powers etc. It is quite clear from the interpretative provisions to the Principle that the requirement of compatibility is particularly significant when considering making a disclosure to a third party or developing a policy on disclosures to third parties. If the data controller intends to make a disclosure to a third party, regard must be had to the purpose(s) for which the third party may process the data. This means, for example, that if the purpose(s) for which images areprocessed is:
• Zdali jsou záběry zpracovávány v souladu s dalšími právními povinnostmi, kterým se správce dat podrobuje, např. zvykové právo povinnosti diskrétnosti, administrativní zákon o právech veřejného sektoru atd.
• Prevention or detection of crime
• Prevence a odhalení trestné činnosti
• Apprehension or prosecution of offenders
• Zatčení a obžaloba pachatele
Je naprosto jasné z interpretačních ustanovení k Zásadě, že požadavek shody je významný zejména vzhledem ke zpřístupňování třetí straně nebo vyvíjení postupu při zpřístupňování třetím stranám. Jestliže správce dat zamýšlí umožnit přístup třetí strany k záběrům, měl by přihlížet k účelu, pro který bude třetí strana zpracovávat údaje. To například znamená, že pokud je účel, pro který budou záběry zpracovány:
Správce dat smí zpřístupňovat údaje pouze The data controller may only disclose to third třetím stranám, které zamýšlejí zpracování údajů pro shodné účely. Takto například, tam parties who intend processing the data for kde je vyšetřována trestná činnost, je odkrytí compatible purposes. Thus, for example, stopáže, která se týká dotyčné trestné where there is an investigation into criminal activity, disclosure of footage relating to that činnosti, mediím za účelem vyhledat pomoc criminal activity to the media in order to seek od veřejnosti pro rozpoznání pachatele, obětí nebo svědků přiměřené. assistance from the public in identifying Nicméně by bylo nevhodné použití, jestliže either the perpetrator, the victim or by záběry ze zařízení nainstalovaného pro witnesses, may be appropriate. However, it would be an incompatible use if prevenci a odhalení trestné činnosti byly zpřístupněny mediím pouze pro zábavní images from equipment installed to prevent účely. Například věnovat mediím záběry or detect crime were disclosed to the media opilých osob rušících sobotní noc ve středu merely for entertainment purposes. For 37/50
AGA 004 edice 1
example, it might be appropriate to disclose to the media images of drunken individuals stumbling around a town centre on a Saturday night to show proper use of policing resources to combat anti-social behaviour. However, it would not be appropriate for the same images to be provided to a media company merely for inclusion in a “humorous” video. If it is determined that a particular disclosure is compatible with the purposes for which the data controller processes images, then the extent of disclosure will need to be considered. If the footage, which is to be disclosed contains images of unrelated third parties, the data controller will need to ensure that those images are disguised in such a way that they cannot be identified. If the data controller does not have the facilities to carry out such editing, he or she may agree with the media organisation that it will ensure that those images are disguised. This will mean that the media organisation is carrying out processing, albeit of a limited nature on behalf of the data controller which is likely to render it a data processor. In which case the data controller will need to ensure that the relationship with the media organisation complies with the Seventh Data Protection Principle. . THE THIRD DATA PROTECTION PRINCIPLE This requires that: “Personal data shall be adequate, relevant and not excessive in relation to the purpose or purposes for which they are processed”.
města, aby ukázala řádné použití policejních sil pro boj proti pohoršujícímu chování, je v pořádku. Avšak poskytnutí stejných záběrů mediální společnosti pouze pro zařazení "vtipného" videa vhodné není. Jestliže je rozhodnuto, že jednotlivá zpřístupnění jsou shodné s účely pro která správce dat zpracovává záběry, pak rozsah zpřístupnění bude muset být zvážen. Jestliže úsek, který má být zpřístupněn obsahuje záběry nesouvisející třetí strany, správce dat bude muset zajistit, aby tyto záběry byly zamaskovány takovým způsobem, aby cizí osoby nebyly identifikovatelné. Jestliže správce dat nemá zařízení k provedení takové úpravy, měl by se dohodnout s mediální společností, která zajistí, aby záběry byly zamaskované. To bude znamenat, že mediální organizace bude zpracovávat osobní údaje jménem správce dat, který pravděpodobně poskytne zařízení s údaji. V tom případě bude muset správce dat zabezpečit, že vztah s mediální organizací vyhovuje Sedmé zásadě.
This means that consideration must be given to the situation of the cameras so that they do not record more information than is necessary for the purpose for which they were installed. For example cameras installed for the purpose of recording acts of vandalism in a car park should not overlook private residences. Furthermore, if the recorded images on the tapes are blurred or indistinct, it may well be that this will constitute inadequate data. For example, if
To znamená, že musí být zvažováno postavení kamer tak, aby nezaznamenávaly více informací, než je nutné k účelu pro který jsou instalovány. Například kamery instalované pro nahrávání vandalismu na parkovišti by neměly zabírat soukromá obydlí. Mimoto, jestliže jsou zaznamenané záběry na páskách zastřené nebo nejasné, může to být považováno za nepostačující údaje. Například jestliže účel systému je sbírat důkazy o trestné činnosti, zastřené nebo nejasné záběry poškozených pásek,
TŘETÍ ZÁSADY O OCHRANĚ OSOBNÍCH ÚDAJŮ Říká, že: „Osobní údaje musí být náležité, související a nesmí být zpracovávány v nadměrném rozsahu pro daný účel“.
38/50
AGA 004 edice 1
nebo špatně udržovaného zařízení nebudou z právního hlediska považovány důkaz a proto budou nepoužitelné.
the purpose of the system is to collect evidence of criminal activity, blurred or indistinct images from degraded tapes or poorly maintained equipment will not provide legally sound evidence, and may therefore be inadequate for its purpose. THE FOURTH DATA PROTECTION PRINCIPLE requires that: “Personal data shall be accurate and, where necessary, kept up to date”.
ČTVRTÁ ZÁSADA O OCHRANĚ OSOBNÍCH ÚDAJŮ Říká, že: „Osobní údaje musí být přesné a aktuální“.
This principle requires that the personal information that is recorded and stored must be accurate. This is particularly important if the personal information taken from the system is to be used as evidence in cases of criminal conduct or in disciplinary disputes with employees. The Commissioner recommends that efforts are made to ensure the clarity of the images, such as using only good quality tapes in recording the information, cleaning the tapes prior to reuse and not simply recording over existing images, and replacing tapes on a regular basis to avoid degradation from over-use. If the data controller’s system uses features such as time references and even location references, then these should be accurate. This means having a documented procedure to ensure the accuracy of such features are checked and if necessary, amended or altered. Care should be exercised when using digitalenhancement and compression technologies to produce stills for evidence from tapes because these technologies often contain preprogrammed presumptions as to the likely nature of sections of the image. Thus the user cannot be certain that the images taken from the tape are an accurate representation of the actual scene. This may create evidential difficulties if they are to be relied on either in court or an internal employee disciplinary hearing. THE FIFTH DATA PROTECTION PRINCIPLE This requires that: “Personal data processed for any purpose or purposes shall not be kept for longer than is
Tato zásada vyžaduje, aby osobní informace, které jsou zaznamenány a uloženy, byly správné. Toto je zvláště důležité, jestliže osobní informace vzatá ze systému má být použita jako důkaz v případě vyšetřovacího procesu nebo v kázeňských sporech se zaměstnanci. Výbor doporučuje, aby bylo projeveno úsilí pro zabezpečení jasnosti obrazu, například používání pásek dobré jakosti při nahrávání informací, čištění pásek před opakovaným použitím a ne jen přehrávat staré záznamy a výměnu pásek podle správních podkladů, aby se zamezilo degradaci z nadměrného používání. Jestliže systém správce dat užívá vlastnosti jako čas nahrávky a dokonce adresu, měly by údaje být přesné. To znamená, že má průkazný postup pro zabezpečení správnosti takových rysů a pokud je to nutné, tak je pozmění nebo opraví. Mělo by se s opatrností dohlížet na používání digitálních vylepšení a komprimačních technologií při zpracování důkazů z pásek, protože tyto technologie často osahují přednaprogramované předpoklady pokud jde o pravděpodobnou povahu sekcí záběru. Tak si majitel nemůže být jistý, že záběry odebrané z pásky přesně znázorňují aktuální výjev. To může vytvořit důkazní potíže při spoléhání na takový záběr u soudu nebo při nějakém vnitřním kázeňském výslechu zaměstnance. PÁTÁ ZÁSADA O OCHRANĚ OSOBNÍCH ÚDAJŮ Říká, že: "Osobní údaje zpracovávány pro jakýkoliv účel nesmí být uchovávány delší dobu než je nezbytné pro tento účel".
39/50
AGA 004 edice 1
necessary for that purpose or those purposes”. This principle requires that the information shall not be held for longer than is necessary for the purpose for which it is to be used. The tapes that have recorded the relevant activities should be retained until such time as the proceedings are completed and the possibility of any appeal has been exhausted. After that time, the tapes should be erased. Apart from those circumstances, stored or recorded images should not be kept for any undue length of time. A policy on periods for retention of the images should be developed which takes into account the nature of the information and the purpose for which it is being collected. For example where images are being recorded for the purposes of crime prevention in a shopping area, it may be that the only images that need to be retained are those relating to specific incidents of criminal activity; the rest could be erased after a very short period. The Commissioner understands that generally town centre schemes do not retain recorded images for more than 28 days unless the images are required for evidential purposes. THE SIXTH DATA PROTECTION PRINCIPLE This requires that: “Personal data shall be processed in accordance with the rights of data subjects under this Act”. The Act provides individuals with a number of rights in relation to the processing of their personal data. Contravening the following rights will amount to a contravention of the Sixth Data Protection Principle: • The right to be provided, in appropriate cases, with a copy of the information constituting the personal data held about 36
them - Section 7. • The right to prevent processing which is likely to cause damage or distress 37
Section l0.
Tento princip říká, že informace nesmí být uchovávány déle než je nutné pro daný účel. Pásky, na kterých jsou zaznamenány závažné aktivity, by měly být uchovávány po takovou dobu, dokud není ukončeno soudní řízení a byla vyčerpána možnost odvolání. Poté by měly být pásky vymazány. Mimo tyto okolnosti by uložené nebo zaznamenané záběry neměly být uchovávány po nějakou nepřiměřenou dobu. Například tam kde jsou záběry zaznamenávány pro účel prevence trestné činnosti v nákupním středisku, jediné záběry, které musí být uchovávány, jsou ty, které se týkají specifické trestné činnosti; zbytek může být vymazán po velmi krátkém období. Výbor usuzuje, že systémy ve středu města zpravidla neuchovává záznamy déle než 28 dní, pokud záběry nejsou požadované pro průkazné účely.
ŠESTÁ ZÁSADA O OCHRANĚ OSOBNÍCH ÚDAJŮ Říká, že: „Osobní údaje musí být podle tohoto zákona zpracovávány v souladu s právy osoby, které se týkají“. Zákon poskytuje jednotlivcům několik práv, pokud se týče zpracovávání jejich osobních údajů. Porušení následujících práv se rovná porušení Šesté zásady o ochraně osobních údajů. • Právo k poskytnutí v odpovídajících případech kopii informací obsahující osobní údaje, které jsou o osobách uchovávány 36
Článek 7. • Právo k zabránění zpracovávání údajů, které by pravděpodobně způsobilo škodu 37
nebo nesnáze - Článek 10. • Práva ve vztahu k automatickému 38
rozhodování - Článek 12. • Rights in relation to automated decision38
taking - Section 12 40/50
AGA 004 edice 1
SEDMÁ ZÁSADA O OCHRANĚ OSOBNÍCH THE SEVENTH DATA PROTECTION 39
39
ÚDAJŮ
PRINCIPLE
This requires that: “Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data”. In order to assess the level of security the data controller needs to take to ensure compliance with this Principle, he or she needs to assess: • the harm that might result from unauthorised or unlawful processing or accidental loss, destruction or damage of
Říká, že: „Musí být připravena příslušná technická a organizační opatření proti nepovolanému a nezákonnému zpracovávání osobních údajů a proti náhodným ztrátám nebo zničení nebo poškození osobních údajů“. Za účelem ohodnotit úroveň zabezpečení potřeb správce dat zajistit vyhovění této zásadě musí zhodnotit: • poškození, které by mohlo vyplynout z nepovolaného nebo nezákonného zpracovávání údajů nebo náhodných ztrát, 40
poškození nebo zničení . Je jasné, že 40 porušení Principu může mít škodlivý efekt na the personal data . While it is clear that účel systému např. důkazy nebo záběry breach of this Principle may have a detrimental effect on the purpose(s) of the nemohou stanout u soudu, nebo veřejnost scheme e.g. the evidence or images might může ztratit důvěru v použití Vašeho pozorovacího zařízení kvůli nevhodnému not stand up in court, or the public may lose confidence in your use of surveillance zpřístupnění. Test požadovaný zákonem také equipment due to inappropriate disclosure, vyžaduje aby byl brán v ohled na zaznamenávané lidi; ) the harm test required by the Act also requires primarily the effect on the people recorded to be taken into account; • povaha údajů, které jsou chráněny musí být zvážena. Citlivé osobní údaje byly • the nature of the data to be protected must be considered. Sensitive personal data was definovány na začátku teto části Sbírky, ale defined at the beginning of this part of the mohou zde být další aspekty, které musí být zváženy. Například systém v centru města Code, but there may be other aspects, může náhodně zaznamenat záběr líbajícího which need to be considered. For se páru v zaparkovaném vozu, nebo systém v example, a town centre scheme may prodejně nahraje záběry lidí v převlékacích coincidentally record the image of a kabinkách (v zájmu ochrany před krádeží couple kissing in a parked car, or a oblečení). Když tyto záběry nemohou být retailer’s scheme may record images of zařazeny do kategorie citlivých osobních people in changing rooms (in order to údajů stanovené článku 2, je jasné, že lidé prevent items of clothing being stolen). jejichž záběry byly zachyceny budou Whilst these images may not fall within the sensitive categories as set in Section 2 předpokládat, že tato informace nebo osobní údaje by měly být zpracovávány s větší péčí. (described above), it is clear that the people whose images have been captured will consider that information or personal data should be processed with greater care. 41/50
AGA 004 edice 1
THE EIGHTH DATA PROTECTION PRINCIPLE This requires that: “Personal data shall not be transferred to a country or territory outside the European Economic Area unless that country or territory ensures an adequate level of protection for the rights and freedoms of data subjects in relation to the processing of personal data”. This Principle places limitations on the ability to transfer personal data to countries 41
and territories outside of the EEA. It is unlikely that the data controller would want, in general, to make such transfers of personal data overseas, but the data controller should refrain from putting the images on the Internet or on their website. In order to ensure that this Principle is not breached, the data controller should consider the provisions of Schedule 4 of the l998 Act.
1. Right of subject access
41
oblastí mimo EU. Je nepravděpodobné, že správce dat bude chtít obvykle provádět takový přenos osobních údajů do ciziny, ale správce dat by se měl zdržet dávání záběrů na internet nebo na svou webovou stránku. V zájmu zajistit, aby nebyl tento Princip porušen, by měl správce dat uvážit ustanovení Dodatku 4 „Zákona 1998“.
1. Práva osobního přístupu
Upon making a request in writing (which includes transmission by electronic means) and upon paying the fee to the data controller an individual is entitled: • To be told by the data controller whether they or someone else on their behalf is processing that individual’s personal data.
OSMÁ ZÁSADA O OCHRANĚ OSOBNÍCH ÚDAJŮ Říká, že: „Osobní údaje nesmí být přeneseny do země nebo oblasti mimo prostor EU, jestliže tato země nebo oblast nezabezpečí adekvátní úroveň práv a svobod subjektu ve vztahu ke zpracovávání osobních údajů“. Princip ustanovuje ohraničení způsobilosti pro přenášení osobních údajů do zemí a
Po vznesení písemné žádosti (která zahrnuje přenos elektronickým způsobem) a po zaplacení poplatku správci dat je osoba oprávněna:
• Aby jí správce dat řekl, jestli on nebo někdo další v jeho zastoupení zpracovává osobní údaje osoby.
• Je-li tomu tak, aby dostala popis:
• If so, to be given a description of: a) the personal data, b) the purposes for which they are being processed, and
a) osobních údajů, b) účelu pro který jsou zpracovávány a
c) those to whom they are or may be disclosed.
c) toho, jemuž údaje jsou nebo mají být zpřístupněny.
• Aby byla obeznámena (srozumitelným způsobem) s:
• To be told, in an intelligible manner, of:
a) všemi informacemi, které tvoří
a) all the information, which forms 42/50
AGA 004 edice 1
any such personal data. This information must be supplied in permanent form by way of a copy, except where the supply of such a copy is not possible or would involve disproportionate effort or the individual agrees otherwise. If any of the information in the copy is not intelligible without explanation, the individual should be given an explanation of that information, e.g. where the data controller holds the information in coded form which cannot be understood without the key to the code, and b) any information as to the source of those data. However, in some instances the data controller is not obliged to disclose such information where the source of the data is, or can be identified as, an individual.
jakékoliv takové osobní údaje. Tato informace musí být dodána v ustálené formě prostřednictvím výtisku, kromě případů, kde dodání kopie není možné nebo bude vyžadovat nepřiměřené úsilí nebo osoba souhlasí s jinou variantou. jestliže některá informace na výtisku není srozumitelná bez vysvětlení, měla by osoba dostat vysvětlení informací. Např. jestliže správce dat uchovává informace v zakódované formě, které nelze rozumět bez klíče kódu, a b) jakoukoliv informací, pokud se týče zdroje těchto dat. Nicméně v některých případech správce dat není zavázán zpřístupnit takovou informaci, kde zdroj údajů je, nebo může být identifikován jako, člověk.
A data controller may charge a fee (subject to a maximum) for dealing with subject access. A data controller must comply with a subject access request promptly, and in any event within forty days of receipt of the request or, if later, within forty days of receipt of:
Správce dat smí určovat poplatek (musí respektovat maximum) za osobní zpřístupňování. Správce dat musí vyhovět žádosti o osobní přístup rychle a v každém případě do čtyřiceti dnů od doručení žádosti, nebo, pokud to bude později, během čtyřiceti dnů od doručení: • potřebné informace (tj. zjištění totožnosti osoby podávající žádost a zjištěním informace, pomocí které tuto osobu najde na záběrech); a
• the information required (i.e. to satisfy himself as to the identity of the person making the request and to locate the information which that person seeks); and • the fee.
• poplatku.
However, unless the data controller has received a request in writing, the prescribed fee and, if necessary, the said information the data controller need not comply with the request. If the data controller receives a request without the required fee and/or information, they should request whichever is outstanding as soon as possible in order that they can comply with the request promptly and in any event within 40 days. A data controller does not need to comply with a request where they have already complied
Nicméně, jestliže správce dat nepřijal písemnou žádost, nařízený poplatek nebo, jeli to nutné, potřebné informace (viz výše), nemusí vyhovět žádosti. Jestliže správce dat přijme žádost bez požadovaného poplatku a/nebo informace, měl by požadovat doplatek co nejdříve, aby mohl vyhovět žádosti pohotově a v jakémkoliv případě během 40 dnů. Správce dat nemusí vyhovět žádosti, pokud již vyhověl dříve stejné nebo podobné žádosti od stejné osoby a od posledního vyhovění neuplynul přiměřený interval. Při
43/50
AGA 004 edice 1
with an identical or similar request by the same individual unless a reasonable interval has elapsed between compliance with the previous request and the making of the current request. In deciding what amounts to a reasonable interval, the following factors should be considered: the nature of the data, the purpose for which the data are processed and the frequency with which the data are altered. The information given in response to a subject access request should be all that which is contained in the personal data at the time the request was received. However, routine amendments and deletions of the data may continue between the date of the request and the date of the reply. To this extent, the information revealed to the individual may differ from the personal data which were held at the time the request was received, even to the extent that data are no longer held. But, having received a request, the data controller must not make any special amendment or deletion which would not otherwise have been made. The information must not be tampered with in order to make it acceptable to the individual. A particular problem arises for data controllers who may find that in complying with a subject access request they will disclose information relating to an individual other than the individual who has made the request, who can be identified from that information, including the situation where the information enables that other individual to be identified as the source of the information. The Act recognises this problem and sets out only two circumstances in which the data controller is obliged to comply with the subject access request in such circumstances, namely: • where the other individual has consented to the disclosure of the information, or • where it is reasonable in all the circumstances to comply with the request without the consent of the other individual. The Act assists in interpreting whether it is reasonable in all the circumstances to comply with the request without the consent of the
rozhodování, co je přiměřený interval, by se měly zvažovat následující faktory:povaha údajů, účel pro který jsou údaje zpracovávány a jak často jsou údaje pozměňovány. Informace podávané v odpovědi na žádost o osobní přístup by měly být všechny ty, které jsou obsaženy v osobních údajích v době obdržení žádosti. Nicméně v pravidelné pozměňování a mazání údajů smí nadále pokračovat i mezi datem obdržení žádosti a odesláním odpovědi.V tomto rozsahu se informace zpřístupněna osobě smí lišit od osobních údajů, které byly zaznamenány v době, kdy žádost byla přijata, stejně tak v rozsahu, v kterém už údaje nejsou déle uchovávány. Ale při přijetí žádosti nesmí správce dat udělat jakoukoliv zvláštní úpravu nebo vymazání, které nebylo v plánu. Informace nesmí být zmanipulována, za účelem udělat ji přijatelnou pro žádající osobu. Zvláštní problém vyvstává pro správce dat, kteří shledají, že při vyhovění osobní žádosti, o přístup odkryjí informaci týkající se jiné osoby, než té, která podala žádost, která může být identifikována z informací, zahrnujících situaci, kde informace může další osobu určit jako zdroj informace. Zákon uznává tento problém a stanovuje pouze dvě situace, při kterých je správce dat zavázán vyhovět žádosti při takových okolnostech:
• kdy další osoba souhlasila se zpřístupnění informací, nebo • když je přijatelné za všech okolností vyhovět žádosti bez souhlasu další osoby Zákon pomáhá vyhodnotit, zda je přijatelné za všech okolností vyhovět žádosti bez souhlasu druhé příslušné osoby. Při
44/50
AGA 004 edice 1
other individual concerned. In deciding this question regard shall be had, in particular, to:
rozhodování této otázky musí být brán ohled především na:
• any duty of confidentiality owed to the other individual,
• jakoukoliv povinnost důvěrnosti vůči druhé osobě,
• any steps taken by the data controller with a • jakékoliv kroky přijaté správcem dat pro view to seeking the consent of the other získání svolení druhé osoby, individual, • whether the other individual is capable of giving consent, and • any express refusal of consent by the other individual. If a data controller is satisfied that the individual will not be able to identify the other individual from the information, taking into account any other information which, in the reasonable belief of the data controller, is likely to be in (or to come into) the possession of the individual, then the data controller must provide the information. If an individual believes that a data controller has failed to comply with a subject access request in contravention of the Act they may apply to Court for an order that the data controller complies with the request. An order may be made if the Court is satisfied that the data controller has failed to comply with the request in contravention of the Act.
1. Exemptions to subject access rights
• zdali je druhá osoba ochotna dát svolení a • jakékoliv jasné odmítnutí souhlasu druhé osoby. Jestliže správce dat dojde k závěru, že osoba nebude schopná identifikovat druhou osobu z informací, zohledňující jakékoliv další informace, které v důvodné domněnce správce dat, že jsou pravděpodobně v držení osoby, musí správce dat informaci poskytnout . Jestliže osoba věří, že správce dat chybil ve vyhovění osobní žádosti o přístup porušením zákona, může využít soud, aby nařídil, aby správce dat vyhověl žádosti. Nařízení muže být podáno dojde-li soud k závěru, že správce dat selhal ve vyhovění žádosti přestoupil zákon.
Výjimky pro přístupová práva osobního přístupu
There are a limited number of exemptions to an individuals right of access. One of potential relevance to CCTV images is found at Section 29 of the Act. This provides an exemption from the subject access rights, which is similar to that discussed in relation to the exemption to the fairness requirements of the First Data Protection Principle. This means that where personal data are held for the purposes of: • prevention or detection of crime, • apprehension or prosecution of offenders,
Existuje omezený počet výjimek pro práva osob k přístupu. Jedna z možných souvislostí se záběry z CCTV se nachází v Článku 29 „Zákona 1998“. Ten poskytuje výjimku z práv osobního přístupu, která je podobná diskutované výjimce v nestrannosti požadavků První zásady o ochraně osobních údajů. To znamená, že tam kde jsou osobní údaje drženy pro účel: • prevence a odhalení trestné činnosti, • zatčení a obžalování pachatele,
45/50
AGA 004 edice 1
the data controller will be entitled to withhold personal data from an individual making a subject access request, where it has been adjudged that to disclose the personal data would be likely to prejudice one or both of the above purposes. Like the exemption to the fairness requirements of the First Data Protection Principle, this judgement must be made on a case-by-case basis, and in relation to each element of the personal data held about the individual. It is likely that this exemption may only be appropriately relied upon where the data controller has recorded personal data about an individual in accordance with guidance set out in relation to the fairness requirements of the First Data
správce dat bude mít právo neposkytnout osobní údaje na osobní žádost o přístup, pokud by bylo soudně rozhodnuto, že odkrytí osobních údajů by pravděpodobně znamenalo znehodnocení funkce údajů v jednom z účelů. Jako výjimka požadavku nestrannosti z První zásady musí být rozhodováno případ od případu a ve vztahu ke každé části osobních údajů jednotlivce. Je pravděpodobné, že na výjimku se může spoléhat jen přiměřeně, pokud správce dat zaznamenal osobní údaje osoby podle směrnice stanovené s ohledem na požadavky 42
nestrannosti První zásady.
42
Protection Principle.
1. Další práva
1. Other rights Right to Prevent Processing Likely to Cause Damage or Distress
Právo předejít pravděpodobnému způsobení škody nebo nesnází při zpracovávání Podle Článku 10 „Zákona 1998“ je osoba Under Section 10 of the Act, an individual is oprávněna dát oznámení správci dat, ve entitled to serve a notice on a data controller kterém požaduje, aby nezpracovával nebo requiring the data controller not to begin, or to přestal zpracovávat osobní údaje týkající se cease, processing personal data relating to that této osoby. Takové oznámení může být individual. Such a notice could only be served podáno pouze za předpokladu, že dotyčné on the grounds that the processing in question zpracovávání je pravděpodobnou příčinou is likely to cause substantial, unwarranted neopodstatněného způsobení škody nebo damage or distress to that individual or another nesnází dotyčné nebo jiné osobě. Existují person. There are certain limited situations určité omezené situace, kde právo podání where this right to serve a notice does not oznámení nelze použít. A to pokud osoba apply. These are where the individual has consented; the processing is in connection with souhlasila se zpracováváním; sepsáním performance of a contract with the data subject, smlouvy, nebo právním závazkem správci or in compliance with a legal obligation on the dat, nebo v zájmu chránit životně důležité zájmy osoby. Jestliže správce dat příjme data controller, or in order to protect the vital takové oznámení musí opovědět do 21 dnů interests of the individual. If a data controller oznamujíce buď vyhovění žádostí, nebo proč receives such a notice they must respond oznámení není pravomocné. within 21 days indicating either compliance with the notice or why the notice is not justified. Rights in Relation to Automated DecisionPráva ve vztahu k automatizovanému Taking rozhodování Under section 12 of the Act individuals also have certain rights to prevent automated decision taking where a decision, which significantly affects them is based solely on
Podle Článku 12 „Zákona 1998“ mají také osoby určité právo na předejití automatizovanému rozhodnutí, které 46/50
AGA 004 edice 1
automated processing. The Act draws particular attention to decisions taken aimed at evaluating matters such as the individual’s performance at work and their reliability or conduct. The Act does provide exemption for certain decisions reached by automated means and these cover decisions which have been taken in the course of contractual arrangements with the individual, where a decision is authorised or required by statute, where the decision is to grant a request of the individual or where steps have been taken to safeguard the legitimate interests of individuals. This latter point may include matters such as allowing them to make representations about a decision before it is implemented. Where no notice has been served by an individual and a decision which significantly affects the individual based solely on automated processing will be made, then there is still an obligation on the data controller to notify the individual that the decision was taken on the basis of automated processing as soon as reasonably practicable. The individual may, within 21 days of receiving such a notification, request the data controller to reconsider the decision or take another decision on a new basis. Having received such a notice the data controller has 21 days in which to respond, specifying the steps that they intend to take to comply with the notice. In the context of CCTV surveillance it may be the case that certain automated decisionmaking techniques are deployed, such as with automatic facial recognition. It is important therefore that any system takes account of an individual’s rights in relation to automated decision taking. It should be noted that these rights are founded on decisions, which are taken solely on the basis of automated processing. If a decision whether to take particular action in relation to a particular identified individual is taken further to human intervention, then such a decision would not be based solely on automated processing. The individual’s rights to prevent processing in certain circumstances and in connection with automated decision taking are underpinned by an individual’s right to seek a Court Order should any notice served by the individual not be complied with.
posuzuje, jak je rozhodnutí, které je významně postihne, založeno na výhradně zautomatizovaném zpracovávání. Zákon upírá zvláštní pozornost na záležitosti jako pracovní výkon osob a jejich spolehlivosti nebo chování. Zákon poskytuje výjimku pro ta rozhodnutí dosažená automatizovaným způsobem a ta skrytá rozhodnutí, která byla přijata v souladu s smluvní dohodou s osobou, kde je rozhodnutí přípustné nebo požadováno zákonem, kde je rozhodnutí vyhovět žádosti osoby, nebo kde byla přijata opatření pro zabezpečení oprávněného zájmu osoby. Tento bod může zahrnout záležitosti jako povolení podání stížnosti na rozhodnutí předtím, než je to zrealizováno. Pokud nebyla osobou podána žádná stížnost a rozhodnutí, které významně ovlivňuje osobu, založené výhradně na automatizovaném zpracování bude uděláno, je zde stále závazek pro správce dat, aby oznámil osobě, že rozhodnutí bylo přijato na základě automatizovaného zpracovávání použitelného co možná nejdříve. Osoba může během 21 dnů po doručení oznámení požádat správce dat o přehodnocení rozhodnutí nebo přijetí jiného rozhodnutí na základě nových podkladů. Po doručení takové žádosti má správce dat 21 dnů, během kterých v odpovědi specifikuje kroky, které zamýšlí, aby vyhověli oznámení. V souladu s CCTV dozorem to může být případ, že spolehlivá automatizovaná rozhodující technika je rozmístěna podobně jako u automatického obličejového rozpoznávání. Je proto důležité, aby jakýkoliv systém počítal s právy jedince, co se týče automatizovaného rozhodování. Mělo by být poznamenáno, že tato práva jsou založena na rozhodnutí, která byla přijata výhradně na základě automatizovaného zpracovávání. Jestliže je přijato rozhodnutí, jestli přijmout zvláštní opatření, co se týče jednotlivých identifikovaných osob, k dalšímu lidskému zásahu, pak by takové rozhodnutí nemělo být založené výhradně na automatizovaném zpracovávání. Právu jednotlivce zabránit za určitých okolností zpracování údajů v souvislosti s automatizovaným rozhodnutím podpořenému
47/50
AGA 004 edice 1
individuálním právem žádat soudní příkaz, by nemělo být vyhověno.
Compensation for Failure to Comply with Certain Requirements
Kompenzace selhání ve vyhovění některým požadavkům
Under Section 13 of the Act, individuals who suffer unwarranted damage or damage and distress as a result of any contravention of the requirements of the Act are entitled to go to court to seek compensation in certain circumstances. This right to claim compensation for a breach of the Act is in addition to an individual’s right to request the Data Protection Commissioner to make an assessment as to whether processing is likely or unlikely to comply with the Act.
Podle Článku 13 Zákona jednotlivci, kteří utrpí neospravedlněné škody nebo nesnáze jako důsledek nějakého porušení požadavků Zákona, mají právo podat za jistých okolností žalobu a domáhat se kompenzace. S tímto právem mají ještě právo požadovat od Výboru na ochranu osobních údajů, aby stanovil pokud to jde, zda zpracovávání vyhovuje nebo nevyhovuje Zákonu.
Endnotes
Poznámky
1
1
It is intended that employers’ use of personal data to monitor employee compliance with contracts of employment will be covered by the Data Protection Commissioner’s forthcoming code of practice on use of employee personal data.
Je zamýšleno, že zaměstnavatelovo použití osobních údajů pro kontrolování zaměstnanců, zda plní pracovní smlouvu, bude kryto chystanou sbírkou zásad Výboru na ochranu osobních údajů na používání osobních údajů zaměstnanců.
2
2
It is likely that the use of cameras by individuals to protect their own property is excluded from the provisions of the Act under the exemption at Section 36 of the Act.
Je pravděpodobné, že používaná kamer jednotlivci pro ochranu jejich vlastního majetku bude vyjmuto v ustanovení zákona pod výjimkou v Článku 36 Zákona z roku 1998.
3
3
The Commissioner’s powers to issue an Enforcement Notice may be found in section 40 of the Act. 34
Právo Výboru vydávat Vynucovací oznámení můžete najít v Článku 40 Zákona.
4
4
The First Data Protection Principle requires data controllers to have a legitimate basis for processing personal data, in this case images of individuals. The Act sets out criteria for processing, one of which must be met in order to demonstrate that there is a legitimate basis for processing the images.
První zásada o ochraně osobních údajů vyžaduje po správci dat, aby měl zákonné podklady pro zpracovávání osobních údajů v tomto případě záběrů jednotlivců. Zákon stanovuje kriteria pro zpracovávání, z nichž jedno musí být splněno za účelem prokázat zákonné podklady pro zpracovávání záběrů.
5
5
Section 4(4) of the Act places all data controllers under a duty to comply with the data protection principles in relation to all personal data with respect to which he is the data controller as defined by section 1(1) of the Act. See the section on definitions. 6
See the First Data Protection Principle requires data controllers to have a legitimate basis for processing, one of which must be met in order to demonstrate that there is a legitimate basis for processing the images. 7
Section l7 of the Act prohibits the processing of personal data unless the data controller has notified the Data Protection Commissioner. The notification
Článek 4(4) Zákona ukládá všem správcům dat povinnost vyhovět zásadám o ochraně osobních údajů, co se týče všech osobních údajů s ohledem na to, jak je správce údajů definován v Článku 1 Zákona. Viz definice v této sekci. 6
Viz. požadavky První zásady o ochraně osobních údajů, mít zákonné podklady pro zpracovávání, z nichž jeden musí být splněn za účelem prokázat zákonné podklady pro zpracovávání záběrů. 7
Článek 17 Zákona zakazuje zpracovávání osobních údajů, pokud to správce dat neznámí Výboru pro ochranu osobních údajů. V oznámení je vyžadováno 48/50
AGA 004 edice 1
scheme requires that the purpose(s) of the processing be identified.
určení účelu zpracovávání údajů.
8
8
Section 29 of the Act sets out the circumstances in which the fair processing requirements of the First Data Protection Principle are set aside. 9
It may be that the particular problem identified is theft from cars in a car park. Following the appropriate assessment, surveillance equipment is installed but signs are not. If the equipment coincidentally records images relating to other criminality for example a sexual assault, it will not be inappropriate for those images to be used in the detection of that crime or in order to apprehend and prosecute the offender. However, it might be inappropriate for images so obtained to be used in civil proceedings or disciplinary proceedings eg the car park attendant is recorded committing a minor disciplinary misdemeanour. 10
Users of such systems should be aware of the affect of Section 12 of the 1998 Act regarding individuals' rights in relation to automated decision taking. 11
See the section on access to and disclosure of images to third parties. 12
See the section on access to and disclosure of images to third parties. 13
See the section on individual’s rights. 14
See the section on the seventh data protection principle. 15
See the section on access to and disclosure of images to third parties. 16
See the section on access to and disclosure of images to third parties. 17
Článek 29 Zákona stanovuje okolnosti, při kterých nejsou požadavky První zásady o ochraně osobních údajů o nestranné zpracovávání brány v potaz. 9
Může se stát, že identifikovaná speciální trestná činnost je vykradení vozu na parkovišti. Následuje příslušné usnesení, že pozorovací zařízení je instalováno, ale informační štítky ne. Jestliže zařízení náhodně zaznamená záběry týkající se jiné trestné činnosti, například sexuálního napadení, nebude nevhodné tyto záběry používat při vyšetřování trestného činu nebo za účelem zatknout a obžalovat pachatele. Avšak může být nevhodné záběry takto získané použít v občanskoprávních nebo disciplinárních řízeních, například zaznamenaní obsluhy na parkovišti, jak se dopouští menšího kázeňského přečinu. 10
Majitelé takového sytému by si měli být vědomi postihu Článkem 12 Zákona z roku 1998 týkajícího se práv jednotlivců, co se týká automatizovaného rozhodování. 11
Viz článek o přístupu a zpřístupnění záběrů třetím stranám. 12
Viz článek o přístupu a zpřístupnění záběrů třetím stranám. 13
Viz článek o právech jednotlivců. 14
Viz článek o osmé zásadě o ochraně osobních údajů. 15
Viz článek o přístupu a zpřístupnění záběrů třetím stranám. 16
Viz článek o přístupu a zpřístupnění záběrů třetím stranám.
See the section on the right of subject access.
17
See the section on the right of subject access.
18
See the section on the right of subject access.
19
See the section on the right of subject access.
20
18 19 20 21
See the section on the right of subject access. 22
See the section on the right of subject access. 23
Section 10 of the Act provides individuals with the right to prevent processing likely to cause damage or distress. See the section on other rights. 24
Users of such a system should be aware of the effects of section 12 of the Act regarding individuals' rights in relation to automated decision taking. 25
Section 10 of the Act provides individuals with the right to prevent processing likely to cause substantial damage or distress. See the section on other rights. 26
Section 10 of the Act provides individuals with the right to prevent processing likely to cause substantial damage or distress. See the section on other rights.
Viz článek o právech na osobní přístup. Viz článek o právech na osobní přístup. Viz článek o právech na osobní přístup. Viz článek o právech na osobní přístup. 21
Viz článek o právech na osobní přístup. 22
Viz článek o právech na osobní přístup. 23
Článek 10 Zákona poskytuje jedinci právo předejít zpracovávání, které by mu pravděpodobně způsobilo škodu nebo nesnáze. Viz sekce o dalších právech. 24
Majitelé takového systému by si měli být vědomi účinku Článku 12 Zákona týkajícího se práv osob, co se týče automatizovaného rozhodování. 25
Článek 10 Zákona poskytuje jedinci právo předejít zpracovávání, které by mu pravděpodobně způsobilo škodu nebo nesnáze. Viz sekce o dalších právech. 26
Článek 10 Zákona poskytuje jedinci právo předejít zpracovávání, které by mu pravděpodobně způsobilo škodu nebo nesnáze. Viz sekce o dalších právech. 49/50
AGA 004 edice 1 27
27
Section 10 of the Act provides individuals with the right to prevent processing likely to cause substantial damage or distress. See the section on other rights.
Článek 10 Zákona poskytuje jedinci právo předejít zpracovávání, které by mu pravděpodobně způsobilo škodu nebo nesnáze. Viz sekce o dalších právech.
28
28
Users of such systems should be aware of the effect of section 12 of the 1998 Act regarding individuals' rights in relation to automated decision taking.
Majitelé takového systému by si měli být vědomi účinku Článku 12 Zákona týkajícího se práv osob, co se týče automatizovaného rozhodování.
29
Users of such systems should be aware of the effect of section 12 of the 1998 Act regarding individuals' rights in relation to automated decision taking. 30
Users of such systems should be aware of the effect of section 12 of the 1998 Act regarding individuals' rights in relation to automated decision taking. 31
Section 2 of Act sets out the full list of categories of sensitive personal data. This part of the Code only refers to some of the categories, which may have particular relevance for users of CCTV. For a full list, please see the relevant section of the Act. 33
Článek 2 Zákona stanovuje hojný seznam kategorií citlivých osobních údajů. Tato část Sbírky odkazuje pouze na některé z kategorií, které mohou mít zvláštní význam pro majitele CCTV. Pokud chcete vidět plný seznam, podívejte se prosím na dotyčnou část Zákona. 34
Majitelé takového systému by si měli být vědomi účinku Článku 12 Zákona týkajícího se práv osob, co se týče automatizovaného rozhodování. 31
Článek 2 Zákona stanovuje hojný seznam kategorií citlivých osobních údajů. Tato část Sbírky odkazuje pouze na některé z kategorií, které mohou mít zvláštní význam pro majitele CCTV. Pokud chcete vidět plný seznam, podívejte se prosím na dotyčnou část Zákona. 33
Článek 2 Zákona stanovuje hojný seznam kategorií citlivých osobních údajů. Tato část Sbírky odkazuje pouze na některé z kategorií, které mohou mít zvláštní význam pro majitele CCTV. Pokud chcete vidět plný seznam, podívejte se prosím na dotyčnou část Zákona. 34
Nařízení o ochraně osobních údajů (Zpracovávání citlivých osobních údajů) z roku 2000 (S.I.No 417).
The Data Protection (Processing of Sensitive Personal Data) Order 2000 (S.I No 417).
35
35
Dodatek 1 Část II. Článek 1 – 4 Zákona.
Schedule l Part II Sections 1 - 4 of the Act.
36
36
Viz článek o právech na osobní přístup.
See the section on the right of subject access.
37
37
Section 2 of the Act sets out the full list of categories of sensitive personal data. This part of the Code only refers to some of the categories, which may have particular relevance for users of CCTV. For a full list, please see the relevant section of the Act. 38
Users of such systems should be aware of the effect of section 12 of the 1998 Act regarding individuals' rights in relation to automated decision taking.
40
30
32
32
British Standard Institute - BS 7958:1991 "Closed Circuit Television (CCTV) - Management and Operation Code of Practice" provides guidance on issues of security, tape management etc.
Majitelé takového systému by si měli být vědomi účinku Článku 12 Zákona týkajícího se práv osob, co se týče automatizovaného rozhodování.
Evropská direktiva 95/46/EC pro ochranu osob pokud se týče zpracovávání osobních údajů a pro volný pohyb takových údajů.
European Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
39
29
Článek 2 Zákona stanovuje hojný seznam kategorií citlivých osobních údajů. Tato část Sbírky odkazuje pouze na některé z kategorií, které mohou mít zvláštní význam pro majitele CCTV. Pokud chcete vidět plný seznam, podívejte se prosím na dotyčnou část Zákona. 38
Majitelé takového systému by si měli být vědomi účinku Článku 12 Zákona týkajícího se práv osob, co se týče automatizovaného rozhodování. 39
Britský normalizační institut - BS 7958: 1991 "Uzavřený televizní okruh (CCTV) - Správa a ovládání Sbírky zásad" poskytuje směrnice na otázky bezpečnosti, péči o pásky atd. 40
Dodatek 1, Část II., Paragraf 9 Zákona.
Schedule 1, Part II, Paragraph 9 of the Act. 41
Schedule 1, Part II, Paragraphs 13 - 15 of the Act. 42
See the subsection on circumstances in which the requirements for signs may be set aside.
41
Dodatek 1, Část II., Paragraf 13 – 15 Zákona. 42
Viz podsekci o okolnostech při kterých požadavky nemusí být brány v potaz.
50/50