Monitoring wizyjny – kilka istotnych zmian w świetle RODO.
Jednymi z pierwszych wytycznych które opublikował Prezes Urzędu Ochrony Danych Osobowych były wskazówki dotyczące stosowania monitoringu wizyjnego.
Poniżej przedstawiam skrót najważniejszych informacji zawartych w tych wytycznych.
Dodatkowo w kolorze niebieskim zaznaczone są moje komentarze.
Odnosząc się do zakresu danych osobowych przetwarzanych przez monitoring wizyjny należy uznać nie tylko wizerunek, ale również cechy szczególne osób, oraz numery identyfikacyjne (np. numery tablic rejestracyjnych i numery boczne pojazdów).
Za przetwarzanie danych w przypadku monitoringu wizyjnego należy zakwalifikować operacje polegające w szczególności na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób, niezależnie od charakteru nośnika w którym są przechowywane (dyski twarde systemu, nagrania zapisane w pamięci urządzenia umożliwiającego zdalny dostęp – smartfon, komputery przenośne itp.).
Nie zawsze monitoring wizyjny wiąże się z przetwarzaniem danych osobowych. Rozporządzenie 2016/679 i krajowe przepisy szczególne można zastosować do monitoringu, jeśli jest on wykorzystywany w celu przetwarzania danych osobowych. Jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na twardym dysku komputera czy innym nośniku, to wówczas trudno mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na nośnikach danych. Pamiętać przy tym należy, że podmioty wykorzystujące systemy monitoringu z reguły utożsamiają przetwarzanie danych z działaniem podejmowanym w celu identyfikacji konkretnych osób na podstawie nagrań. Tymczasem w rozporządzeniu za przetwarzanie danych uznaje się już ich gromadzenie.
Uczestnicy procesu przetwarzania :
1. Osoba, której dane dotyczą – osoba obserwowana
Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane zostaną zebrane poprzez system monitoringu wizyjnego, może korzystać z praw ujętych w rozdziale III rozporządzenia. Mając na uwadze specyfikę wideomonitoringu, należy stwierdzić, że realizacja uprawnień kontrolnych osoby obserwowanej może się wiązać z koniecznością przedstawienia przez nią informacji o sytuacjach, w których mogła znaleźć się w obszarze działania systemu monitoringu. Może to obejmować okresy czasu czy też sytuacje, w których uczestniczyła taka osoba, szczegóły jej ubioru itp. Zgodnie z ostatnim zdaniem motywu 63, jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania których dotyczy jej żądanie. Jeżeli przepisy szczególne nie stanowią inaczej, odpowiedź na zapytania osoby obserwowanej powinna zostać udzielona bez zbędnej zwłoki, najpóźniej w ciągu miesiąca.
Gość hotelowy może więc zażądać udostępnienia informacji zebranych przez administratora i zażądać np. ich udostępnienia i/lub usunięcia. Biorąc pod uwagę że wiele systemów monitoringu nie posiada możliwości częściowego usunięcia danych może być to niewykonalne zadanie.
Administrator może skorzystać z prawa do weryfikacji osoby której dane dotyczą, uściślenia jej żądań i wreszcie udzielenia odpowiedzi najpóźniej w ciągu miesiąca. Ponieważ większość monitoringów używanych w Hotelach kasuje(nadpisuje) dane w ciągu 30 dni, powyższe żądanie może okazać się nieaktualne.
Zasady ograniczenia celu i minimalizacji wymagają ograniczenia obszaru monitorowania do niezbędnego zasięgu. Należy mieć na uwadze, że interesy administratora nie mogą w każdej sytuacji w sposób nadmierny ograniczać prawa do prywatności i ochrony danych oraz uzasadnionego oczekiwania osób obserwowanych co do zapewnienia intymności. Dlatego administrator powinien powstrzymywać się od prowadzenia monitoringu w obszarach wrażliwych, takich jak przebieralnie, toalety itp. Analogicznie prowadzenie monitoringu obejmującego obszar sąsiednich posesji może zostać uznane za nieproporcjonalne.
Istotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 RODO. Musi on być, zgodnie z art. 12 rozporządzenia, realizowany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Pełna informacja o monitoringu, obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w miejscu monitorowanym, np. na tablicach albo w formie dokumentu dostępnego na recepcji czy też u przedstawiciela administratora. Czyli możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych. Znaki informujące o stosowaniu monitoringu mogą być dostępne przed wejściem w obszar obserwowany.
2. Administrator
Realizacja zasad przetwarzania danych osobowych należy do obowiązków administratora, którym
zgodnie z art. 4 pkt 7 rozporządzenia jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. O tym, kto jest administratorem danych w sektorze publicznym, mogą rozstrzygać przepisy szczególne.
Administratorem danych osób obserwowanych (operator systemu monitoringu) jest podmiot,
który podejmuje decyzje o instalacji, celach i obszarze objętym systemem monitoringu będącym w jego dyspozycji. Administrator, podejmując decyzję o stosowaniu tej formy nadzoru, powinien zweryfikować, czy realizowane przez niego cele uzasadniają obserwację osób. Administrator powinien mieć w świadomości zasadę ograniczenia celu z art. 5 ust. 1 lit. b RODO. Musi więc brać pod uwagę potrzebę ochrony prawa do prywatności i ochrony danych osobowych i ich ograniczanie tylko w niezbędnym zakresie. Oznacza to, że monitoring może być wprowadzany wtedy, kiedy inne, mniej inwazyjne metody zapewniania bezpieczeństwa są niewystarczające.
3. Podmiot przetwarzający
Zgodnie z art. 4 pkt 8 RODO, podmiotem przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Szczegółowe uregulowanie tego stosunku zawiera art. 28 rozporządzenia. Administrator może powierzyć wykonanie takiej usługi podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Przetwarzanie przez podmiot przetwarzający odbywa się przede wszystkim na podstawie umowy, określającej:
a) przedmiot i czas trwania przetwarzania,
b) charakter i cel przetwarzania,
c) rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
d) obowiązki i prawa administratora.
Ponadto podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową. Zawarcie takiej umowy nie zmienia statusu ich administratora – jest w całości odpowiedzialny za ich prawidłowe przetwarzanie.
W przypadku monitoringu wizyjnego może to dotyczyć zlecenia prowadzenia monitoringu w związku z ochroną obiektu przez profesjonalny podmiot.
Dodatkowo za podmiot przetwarzający należy uznać firmę IT posiadającą dostęp i dokonującą konserwacji sprzętu do monitoringu.
4. Odbiorca danych
W art. 4 pkt 9 RODO uregulowano definicję odbiorcy, która oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców, a przetwarzanie przez nie pozyskanych danych musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania. O odbiorcach albo ich kategoriach informować musi administrator. W praktyce oznaczać to może konieczność informowania osób obserwowanych w ramach realizacji obowiązku informacyjnego z art. 13 RODO, że dane mogą być przekazywane firmie chroniącej obiekt, która zarządza systemem, czy też osobom, które wykażą potrzebę uzyskania dostępu do nagrań (interes realizowany przez stronę trzecią), np. osobom poszkodowanym w sytuacjach zarejestrowanych przez kamery systemu. Nie jest wykluczone, że nagrania takie będą obejmować dane osobowe osób obserwowanych, które brały udział w zdarzeniu, a udostępnienie ich danych ma nadrzędny charakter wobec interesów lub podstawowych praw i wolności. Odbiorca danych ma obowiązek przetwarzać je zgodnie z zasadami ochrony danych i tylko w zakresie realizowanego przez siebie celu. Przykładowo, w razie nagrania uszkodzenia mienia przez drugą osobę (np. stłuczka na parkingu), zarządca terenu może podjąć decyzję o udostępnieniu nagrania obejmującego wizerunek sprawcy czy tablice rejestracyjne pojazdu osobie poszkodowanej, która chce dochodzić swoich praw. Musi to jednak odbywać się z poszanowaniem praw i wolności osób postronnych. Oznacza to, że nagranie nie powinno obejmować danych innych osób niezaangażowanych w zdarzenie.
Podobnie jak wcześniej zauważyłem, większość systemów monitoringu nie umożliwia wyodrębnienia części obrazu w taki sposób, aby osoby nie uczestniczące w zdarzeniu były niewidoczne lub zanonimizowane. Dlatego decyzja o udostępnieniu zapisu osobie poszkodowanej będzie zawsze należeć do administratora. Warto jednak w takim przypadku zachować kopię nagrania i okazać je odpowiednim służbom na ich żądanie.
W przypadku wniosków o dostęp do nagrań kierowanych do administratora przez organy publiczne i służby porządkowe, powinny być one związane z realizacją zadań tych podmiotów i zgodne z obowiązującymi je zasadami pozyskiwania danych osobowych.
W obu powyższych sytuacjach przypadki udostępnienia powinny być prawidłowo udokumentowane. W myśl zasady rozliczalności, jest to konieczne, by administrator mógł wykazać, że przetwarzał dane zgodnie z obowiązującym prawem.
Pomocne pytania i odpowiedzi :
Jaka jest podstawa prawna instalowania monitoringu?
Rozważając zagadnienie podstawy prawnej przetwarzania danych osobowych przez ich administratora za pomocą systemu monitoringu wskazać należy, że odrębne przepisy prawa regulują niektóre przypadki ochrony osób i mienia przez określone podmioty za pomocą monitoringu wizyjnego, np. przepisy Kodeksu pracy.
W przypadkach nieuregulowanych przez przepisy szczególne, jako podstawę prawną przetwarzania danych osobowych w zakresie wizerunku przez podmioty sektora prywatnego należy wskazać przesłankę legalności określoną w art. 6 ust. 1 lit. f rozporządzenia 2016/679, uznając zapewnienie bezpieczeństwa osób i mienia w obszarze objętym monitoringiem za prawnie usprawiedliwiony cel administratora danych.
Czy administrator może zainstalować atrapy kamer monitoringu?
Stanowisko organu ds. ochrony danych osobowych jest w tej kwestii niezmienne – stosowanie atrap powinno być zakazane. Atrapy kamer z jednej strony wprowadzają u potencjalnie monitorowanych poczucie ingerencji w sferę prywatności, a z drugiej mylne poczucie zwiększonego bezpieczeństwa. Niepożądane skutki związane z wykorzystaniem monitoringu, także z atrapami kamer, czy to w otwartej przestrzeni, czy też w zamkniętej, mogą przeważać nad ewentualnymi korzyściami wynikającymi z ich stosowania i tym samym podawać w wątpliwość skuteczność i adekwatność tego narzędzia w realizacji zamierzonego celu w danych okolicznościach.
Czy monitoring w miejscu pracy może zostać wykorzystany do kontroli pracy?
Możliwość stosowania określonych narzędzi kontroli pracownika co do zasady powinna być określona w ustawie, wraz z gwarancjami zabezpieczającymi pracowników przed ich nadużywaniem ze strony administratora. W myśl przepisów Kodeksu pracy, monitoring ma służyć zapewnieniu bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowaniu w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. W tych celach nie mieści się stosowanie monitoringu jako środka nadzoru nad jakością wykonywania pracy. Choć mogą istnieć pokusy, by monitoring przy okazji był narzędziem np. kontroli długości przerw czy opuszczania przez pracownika miejsca pracy, a także obserwacji czynności wykonywanych podczas świadczenia pracy. Zgodnie z Konstytucją RP, RODO czy Kodeksem pracy, podmioty stosujące monitoring powinny kierować się przede wszystkim zasadami celowości i minimalizacji danych. Przewidują one, że dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Ponadto, pozyskiwać można jedynie te dane, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Innymi słowy, wymagane jest stosowanie tylko środków proporcjonalnych do celów przetwarzania danych osobowych. W przypadku monitoringu celem tym jest zapewnienie bezpieczeństwa i ochrony osób oraz mienia, nie zaś nadzór nad efektywnością czy wydajnością wykonywanej przez pracownika pracy.
Jakie prawa przysługują osobom objętym monitoringiem?
Każdej osobie przysługuje prawo do informacji o objęciu jej monitoringiem wizyjnym oraz prawo do ochrony swojego wizerunku przed rozpowszechnianiem, chyba że przepisy odrębne stanowią inaczej. Obowiązek udzielenia takich informacji wynika z art. 13 RODO, zaś przepisy rozdziału III szczegółowo określają prawa osoby, której dane dotyczą.
Prawa osób objętych monitoringiem obejmują m.in.:
- prawo do informacji o istnieniu monitoringu w określonym miejscu, jego zasięgu, celu, nazwie podmiotu odpowiedzialnego za instalację, jego adresie i danych do kontaktu;
- prawo dostępu do nagrań w uzasadnionych przypadkach;
- prawo żądania usunięcia danych jej dotyczących;
- prawo do anonimizacji wizerunku na zarejestrowanych obrazach i/lub usunięcia dotyczących jej danych osobowych;
- prawo do przetwarzania danych przez ograniczony czas.
Jaki jest okres przechowywania nagrań z monitoringu?
Okres retencji danych, czyli ich przechowywania po dokonaniu nagrania, nie jest w polskich przepisach jednoznacznie określony. Przykładowo w przepisach Kodeksu pracy wskazano maksymalny 3-miesięczny okres. Jednak biorąc pod uwagę, że celem wdrażania monitoringu jest przeciwdziałanie szkodom na osobach i mieniu, należy w miarę możliwości przyjmować krótszy czas przechowywania. Powoduje to nie tylko mniejszą ingerencję w prywatność osób obserwowanych, ale także zmniejszenie kosztów utrzymania systemu
Jakie działania powinien podjąć administrator w kwestii zabezpieczenia danych osobowych pozyskanych z monitoringu?
Niezależnie od wymogów zabezpieczenia danych określonych w przepisach szczególnych, zgodnie z rozdziałem IV RODO (art. 24 i n.), administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Ponadto osoby, które zostaną upoważnione do dostępu do systemów monitoringu, mają obowiązek zachowania w poufności informacji uzyskanych w trakcie prowadzenia monitoringu oraz tych, dotyczących bezpieczeństwa funkcjonowania tych systemów. Ważne jest, aby osoba upoważniona do przetwarzania danych, nie mogła wykorzystywać ich na swoją rzecz i w innych celach, np. opublikowania w Internecie. Wówczas podmiot danych może dochodzić swych praw przed organem nadzorczym albo sądem cywilnym.
Czy monitoring może polegać na montowaniu ukrytych kamer?
Przepisy RODO oraz unormowania krajowe nie pozwalają, by monitoring był prowadzony przy pomocy ukrytych kamer. Uprawnienia do prowadzenia niejawnego monitorowania mają jedynie służby porządkowe i specjalne prowadzące czynności na podstawie ustaw regulujących ich działalność. Stosowanie ukrytych kamer może zostać uznane za nadmiarową formę przetwarzania danych, wiązać się z odpowiedzialnością administracyjną i cywilną, a nawet karną. Obszary objęte monitoringiem wizyjnym muszą być oznaczone zgodnie z wymogami określonymi w przepisach szczególnych oraz RODO.
Czy monitoring może polegać na montowaniu kamer umożliwiających rejestrację dźwięku?
Przepisy o monitoringu nie zezwalają co do zasady na nagrywanie dźwięku towarzyszącego zdarzeniom. Takie uprawnienia posiadają jedynie służby porządkowe i specjalne na podstawie ustaw regulujących ich działalność. Stosowanie rejestracji dźwięku może zostać uznane za nadmiarową formę przetwarzania danych, wiązać się z odpowiedzialnością administracyjną i cywilną, a nawet karną.
Pełny tekst wytycznych znajduje się pod linkiem:
