Obecnie w każdym hotelu możemy spotkać się z monitoringiem wizyjnym,
ale czy wszyscy wiedzą jakie niesie to za sobą obowiązki prawne ?
Powszechnie stosowany monitoring ma na celu zapewnienie bezpieczeństwa gościom hotelowym oraz ich mienia, jednak fakt jego zamontowania i użytkowania niesie za sobą pewne konsekwencje.
Obecnie w polskim prawie nie ma przepisów które kompleksowo regulują zagadnienia związane z monitoringiem wizyjnym. Obowiązujący w Polsce zakres podstaw prawnych dotyczących instalowania i wykorzystywania monitoringu wizyjnego odnosi się jedynie do wybranych aspektów jego stosowania. Prawo do rejestrowania obrazu wraz z dźwiękiem posiadają jedynie służby związane z bezpieczeństwem lub porządkiem publicznym, takie jak Policja, Straż Miejska, Straż Graniczna, CBA i inne. Nie ma jednak w tym zakresie ustawowych uregulowań które dotyczyłyby innych podmiotów państwowych i prywatnych. W odniesieniu do nich zastosowanie mają więc przepisy ustawy o ochronie danych osobowych.
Mimo, że wielu administratorów danych osobowych zastanawia się czy monitoring wizyjny stanowi zbiór danych osobowych, to wyrok TSUE (wyrok c-212/13) rozwiewa te wątpliwości. Również GIODO w swoich wytycznych dotyczących wykorzystywania monitoringu wizyjnego jasno to określa: „Jednym ze szczególnych rodzajów zbiorów danych przetwarzanych przy użyciu systemów informatycznych są zbiory danych w postaci plików danych stanowiących nagranie obrazów zarejestrowanych przez kamery systemu monitoringu wizyjnego.”
Dane z monitoringu zapisywane są na twardym dysku lub innym nośniku pamięci w rejestratorze video w celu możliwości późniejszego ich odtworzenia. Tworzą one uporządkowany zbiór danych osobowych. Wielkość dysku twardego na którym tworzy się kopia, jakość obrazu, ilość kamer – wszystkie te elementy łącznie definiują czas przechowywania danych. Dane te zostaną po pewnym czasie usunięte, a w ich miejsce zostanie nadpisane kolejne nagranie.
Jako podstawę prawną przetwarzania danych osobowych wskazuje się przesłankę legalności określoną w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, uznając że prawnie usprawiedliwionym celem administratora danych jest zapewnienie bezpieczeństwa osób i mienia w obszarze objętym monitoringiem.
Mimo że zainstalowany monitoring może tworzyć pokusę do wykorzystywania go jako narzędzia nadzoru i kontroli nad pracownikami należy pamiętać że zgodnie z Konstytucją RP, ustawą o ochronie danych osobowych oraz Kodeksem Pracy należy zawsze kierować się zasadą adekwatności i wykorzystywać go tylko i wyłącznie do określonego wcześniej celu.
Nie należy stosować atrap kamer ponieważ mogą one wprowadzić tylko mylne poczucie bezpieczeństwa u gości. W przypadku zaistnienia incydentu i konieczności odtworzenia danych z monitoringu, można się za to spotkać z licznymi zarzutami ze strony osób poszkodowanych o wprowadzenie ich w błąd.
Dodatkowo warto zauważyć że w nowym unijnym rozporządzeniu RODO które zacznie obowiązywać od 25 maja 2018, wizerunek twarzy został określony jako nowa kategoria danych osobowych - dane biometryczne.
Co zatem należy zrobić aby przetwarzać dane z monitoringu zgodnie z prawem ?
Należy umieścić w widoczny sposób informacje o zainstalowanym monitoringu np. w postaci piktogramu lub informację o monitoringu przy wejściu do hotelu.
W regulaminie hotelowym powinna znaleźć się również informacja o monitoringu, administratorze danych i celu przetwarzania.
Przykład klauzuli informacyjnej:
„W hotelu (tu nazwa obiektu) prowadzony jest monitoring w celu zapewnienia bezpieczeństwa i porządku oraz ochrony osób i mienia. Administratorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych jest (tu należy podać pełną nazwę administratora danych). Dodatkowe informacje można uzyskać pod numerem telefonu ……………., lub kierując pytanie na adres mailowy ……………………….”
Pracownicy posiadający dostęp do monitoringu powinni posiadać odpowiednie upoważnienia, a jeśli do danych z monitoringu ma dostęp również firma zewnętrzna (np. firma ochroniarska, firma instalująca i konserwująca monitoring) należy podpisać umowy powierzenia z tymi firmami.
Video rejestrator powinien być podłączony do zasilania awaryjnego aby w przypadku utraty zasilania nadal nagrywał rejestrowany obraz. Należy okresowo sprawdzać czy nagrywanie odbywa się prawidłowo i czy jest możliwość odtworzenia nagrania w określonym czasie.
Nie wolno udostępniać nagrania z monitoringu na prośbę gościa hotelowego, chyba że dotyczy to nagrania na którym tylko on się znajduje. Udostępnienie danych możliwe jest tylko za zgodą administratora na prośbę uprawnionych służb. Prośba powinna mieć zawsze formę pisemną oraz ściśle określać zakres wnioskowanych do udostępnienia danych.
Należy również pamiętać aby monitory na których wyświetlane są obrazy z monitoringu były ustawione w sposób niedostępny dla osób postronnych. W przypadku gdy jest to niemożliwe należy założyć na monitory filtry polaryzacyjne uniemożliwiające podgląd przez inne osoby niż upoważnieni pracownicy hotelu.
3. Dokonać zgłoszenia zbioru danych osobowych do rejestracji GIODO.*
*Obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji (ABI) i zgłosił go do rejestracji Generalnemu
Inspektorowi.
Tak więc decydując się na montaż monitoringu w hotelu należy pamiętać, że nie tylko musimy zapewnić gościom i pracownikom poczucie bezpieczeństwa nie naruszając przy tym ich intymności, ale również spełnić obowiązki wynikające z przepisów o ochronie danych osobowych. 
Tekst ukazał się w miesięczniku HOTELARZ 06/2017.
