Monitoring wizyjny zgodny z prawem

Już w czerwcu 2018 roku na stronie internetowej Urzędu Ochrony Danych Osobowych została udostępniona broszura informacyjna, zawierająca wskazówki Prezesa Urzędu Ochrony Danych Osobowych (PUODO), dotyczące wykorzystywania monitoringu wizyjnego. Była ona odpowiedzią PUODO na narastające wątpliwości interpretacyjne administratorów danych, spowodowane nowymi rozwiązaniami prawnymi dotyczącymi stosowania i wykorzystywania monitoringu wizyjnego. Natomiast w lipcu tego roku odbyło się posiedzenie plenarne EROD, gdzie przyjęto projekt Wytycznych 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo.

Jak podkreśla PUODO, brak okresów przejściowych na dostosowanie się do nowych regulacji nie zwalniał administratorów danych osobowych z obowiązku dostosowania swoich praktyk do wymogów RODO i przepisów krajowych. Efektem tego było ujęcie w zakresie kontroli sektorowychrównież „przetwarzania danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego” w odniesieniu do kontroli pracodawców oraz miejskiego monitoringu wizyjnego.

Czym jest monitoring wizyjny?

Jak czytamy we wstępie materiału edukacyjnego przygotowanego przez PUODO, monitoring wizyjny to inwazyjna forma przetwarzania danych osobowych. Obecnie stosowane systemy monitoringu wizyjnego mają zróżnicowany charakter, są stosowane jako forma nadzoru nad osobami, których dane dotyczą i są związane z przetwarzaniem danych osobowych wszystkich obserwowanych osób. Ze względu na formę przetwarzania danych osobowych, kwestia monitoringu wizyjnego powinna podlegać szczególnej regulacji, w szczególności w zakresie weryfikacji przez administratora potrzeby stosowania monitoringu wizyjnego, konieczności zabezpieczenia uzyskanych w ten sposób danych oraz kontroli ich przetwarzania przez organy kontrolne.

Jakie dane osobowe są przetwarzane przez monitoring wizyjny?

Aby zrozumieć sens szczególnej ochrony przetwarzania, należy rozważyć, jakie kategorie danych osobowych są przetwarzane za pomocą monitoringu wizyjnego. W przypadku danych osobowych przetwarzanych w drodze wykorzystania monitoringu wizyjnego, wskazać należy w szczególności wizerunki osób, których dane dotyczą, ich cechy szczególne, numery identyfikacyjne, np. tablice rejestracyjne, numery boczne pojazdów.

W odniesieniu do monitoringu wizyjnego przetwarzanie danych osobowych będzie polegało na operacjach, takich jak zapisywanie, przeglądanie, udostępnianie i usuwanie zarejestrowanych zdarzeń i osób.

Podstawy prawne przetwarzania danych osobowych uzyskanych w drodze monitoringu wizyjnego

EROD wskazuje, że RODO ma zastosowanie w szczególności do monitoringu wizyjnego w sytuacji, gdy systematycznie monitorujemy powszechnie dostępną przestrzeń publiczną na dużą skalę. Pociąga to za sobą regularne i systematyczne monitorowanie osób, których dane dotyczą, więc zobowiązuje nas to również do powołania Inspektora Ochrony Danych.

RODO określa podstawy umożliwiające przetwarzanie danych osobowych, które zostały uzyskane w drodze monitoringu wizyjnego. Przetwarzanie danych może odbywać po spełnieniu jednego z warunków określonych w art. 6, a w przypadku danych wrażliwych w art. 9 i 10 rozporządzenia.

Ze wskazanych przepisów wynika, że najbardziej odpowiednie do zastosowania wobec monitoringu wizyjnego są przesłanki dotyczące wypełnienia obowiązku prawnego ciążącego na administratorze, wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi oraz cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora, odpowiednio dla podmiotów sektora publicznego i sektora prywatnego. Przed rozpoczęciem monitoringu należy jednak ustalić, czy uzasadniony interes administratora jest rzeczywiście uzasadniony, np. częstą ilością włamań w okolicy. EROD doradza, aby w świetle zasady rozliczalności dokumentować takie incydenty, które później potwierdzą zasadność jego działań.

Co więcej, należy zauważyć, że w wyniku monitoringu można uzyskać klatkę obrazu, stanowiącą fotografię osoby, której dane dotyczą. Przetwarzanie fotografii nie będzie zawsze stanowić przetwarzania szczególnych kategorii danych osobowych. Fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Wówczas takich danych nie można przetwarzać, chyba że jest to dopuszczalne w szczególnych przypadkach określonych w RODO.

Mając na uwadze powyższe zagadnienie, PUODO przygotował propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych . Według niego są to operacje takie jak:

  1. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Możemy tu zaliczyć rozbudowane systemy monitoringu przestrzeni publicznej umożliwiające śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi. Odnosi się to także do środków komunikacji miejskiej, miast oferujących systemy np. wypożyczania rowerów, samochodów, a także stref płatnego parkowania. Do tej grupy nie zalicza się systemów monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku analizy incydentów naruszenia prawa.

  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki. Do tej grupy należą systemy monitoringu wykorzystywane do zarządzania ruchem lub przeciwdziałania zagrożeniom i nadużyciom drogowym, które umożliwiają szczegółowy nadzór. Są to w szczególności systemy pozwalające na automatyczną identyfikację pojazdów.

EROD dodaje do tej listy także zamiar przetwarzania przez administratora szczególnej kategorii danych na dużą skalę.

Wobec pozostałych przypadków przetwarzania danych osobowych w drodze monitoringu wizyjnego, nie jest wymagane przeprowadzenie oceny skutków dla ochrony tych danych. Nie oznacza to jednak, że administratorów danych osobowych nie dotyczą główne zasady przetwarzania danych osobowych, określonych w artykule 5 ust. 1 RODO.

Kim są uczestnicy procesu przetwarzania danych osobowych w przypadku monitoringu wizyjnego?

W procesie przetwarzania danych osobowych, uzyskanych w drodze stosowania monitoringu wizyjnego, możemy wyróżnić 4 grupy uczestników, którzy biorą udział w tym procesie. Są to:

  1. osoba, której dane dotyczą, czyli osoba obserwowana,

  2. administrator danych osobowych,

  3. podmiot przetwarzający uzyskane dane oraz

  4. odbiorca danych.

Osoba, której dane dotyczą

Osoba obserwowana jest osobą zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, której dane zostaną zebrane poprzez system monitoringu wizyjnego. Osobie tej przysługują uprawnienia ujęte w rozdziale III RODO.

Biorąc pod uwagę specyfikę monitoringu wizyjnego, należy zauważyć, że realizacja uprawnień kontrolnych dotyczących przetwarzania danych, przysługujących osobie, której dane dotyczą, może wiązać się dodatkowo z koniecznością przedstawienia przez osobę obserwowaną informacji o sytuacjach, w czasie których mogła się znaleźć w obszarze działania monitoringu. Informacje te mogą obejmować np. okresy czasu czy konkretne zdarzenia, w których osoba, której dane dotyczą uczestniczyła, szczegóły jej ówczesnego ubioru. W niektórych przypadkach, administrator może odmówić realizacji praw przysługujących jednostce, np. gdy narusza to prawa innych osób, można odmówić jej dostępu do tych danych. Przy realizacji prawa do wydania kopii danych, gdy na nagraniu widoczne są inne osoby administrator powinien zanonimizować tę część materiału (np. poprzez rozmazanie).

EROD wskazuje też, że rozmazanie obrazka bez możliwości odwrócenia tego działania uznawane jest za usunięcie danych. Należy wziąć też pod uwagę, że jeśli monitoring nie odbywa się na podstawie uzasadnionego interesu administratora, to w przypadku sprzeciwu wobec przetwarzania danych, monitorowanie obszaru gdzie osoby fizyczne mogą być zidentyfikowane jest legalne wtedy, gdy administrator jest w stanie natychmiast wstrzymać przetwarzanie danych na żądanie (poprzez wyłączenie kamery) lub monitorowany obszar jest tak szczegółowo ograniczony, że administrator może być pewny uzyskania zgody od podmiotu danych przed jej wejściem na obszar monitorowany i nie jest to obszar do którego wstępu jest on upoważniony jako obywatel.

Administrator danych osobowych

Administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Odnosząc tę definicję do analizowanego przypadku monitoringu wizyjnego należy stwierdzić, że Administratorem danych osób obserwowanych jest podmiot który podejmuje decyzje o instalacji, celach i obszarze objętym systemem monitoringu będącym w jego dyspozycji.

Administrator zobowiązany jest do zapewnienia przetwarzania danych osobowych w sposób zgodny z prawem i ponosi odpowiedzialność w razie stwierdzenia uchybień w zakresie ochrony danych osobowych. Podejmując decyzję o stosowaniu tej formy nadzoru, administrator powinien zweryfikować, czy realizowane przez niego cele uzasadniają obserwację osób, zgodnie z zasadą ograniczenia celu przetwarzania. Oznacza to, że monitoring może być wprowadzany wtedy, kiedy inne, mniej inwazyjne metody zapewniania bezpieczeństwa są niewystarczające. Przykładowo, monitoring może okazać się zbędny, jeżeli teren jest monitorowany przez dozorcę lub pracowników ochrony. Jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora przed rozpoczęciem monitoringu należy ustalić, czy jest on rzeczywiście uzasadniony, np. częstą ilością włamań w okolicy. EROD doradza, aby w świetle zasady rozliczalności dokumentować takie incydenty, które później potwierdzą zasadność stosowania monitoringu.

Administrator powinien pamiętać, że w przypadku, gdy operacja przetwarzania danych ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, jest wymagane przeprowadzenie oceny skutków dla ochrony danych. Administrator powinien również mieć na uwadze zasadę ograniczenia celu i minimalizacji, które ograniczają obszar, który może zostać poddany monitorowaniu do niezbędnego zasięgu. Nie może on w sposób nadmierny ograniczać prawa do prywatności i ochrony danych, co wiąże się z powstrzymaniem się od zastosowania monitoringu w miejscach takich jak przebieralnie, szatnie czy toalety. Za nieproporcjonalne może zostać uznane również prowadzenie monitoringu obejmującego obszar sąsiednich posesji. W indywidualnych przypadkach może okazać się niezbędne, aby zasięg monitoringu obejmował również bezpośrednie otoczenie monitorowanego terenu. W takim wypadku należy podjąć odpowiednie środki, takie jak np. pikselowanie nieistotnego obszaru.

Jeżeli chodzi o cele przetwarzania, to każdy z tych celów należy szczegółowo określić. Każdy z nich co do każdej kamery musi być wskazany pisemnie. Kamery używane w jednym celu przez jeden podmiot kontrolujący mogą być opisane wspólnie, dopóki każda z kamer posiada udokumentowany cel. Określenie celu jak np. „dla bezpieczeństwa” lub „dla Twojego bezpieczeństwa” nie jest dostatecznie szczegółowe i nie spełnia zasady legalności, rzetelności i przejrzystości.

Administrator danych osobowych powinien także pamiętać o realizacji obowiązku informacyjnego wobec osoby obserwowanej. Obowiązek ten może wypełnić za pomocą umieszczenia pełnej informacji o monitoringu na tablicach albo w formie dokumentu dostępnego dla osób obserwowanych. Tabliczka powinna być ustawiona w rozsądnej odległości od monitorowanego terenu i w taki sposób, by można było określić konkretne miejsca obejmowane kamerą. Informacje, które administrator jest obowiązany przekazać podmiotowi danych mogą być przekazywane warstwowo, aby zapewnić przejrzystość, np. podając na tablicy informacyjnej najważniejsze informacje wraz ze wskazaniem umieszczenia informacji szczegółowych, które powinny być łatwo dostępne (zalecane jest źródło cyfrowe, ale dostępne powinno być też niecyfrowe) i możliwe do uzyskania bez wchodzenia do obszaru monitorowanego.

Podmiot przetwarzający

Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administrator może powierzyć przetwarzanie danych osobowych podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy. W przypadkach, w których stosuje się system monitoringu wizyjnego, często zleca się prowadzenie monitoringu w związku z ochroną obiektu przez profesjonalny podmiot.

Jak zabezpieczyć dane osobowe uzyskane z monitoringu?

Na administratorze i podmiocie przetwarzającym ciąży obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa uwzględniającego stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności o różnej wadze i prawdopodobieństwie wystąpienia. Administrator powinien ponadto prowadzić dokumentację opisującą sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne, a także ewidencję osób upoważnionych do ich przetwarzania. Zabezpieczenie danych osobowych powinno w szczególności polegać na zabezpieczeniu tych danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Wybierając rozwiązania techniczne, administrator powinien wziąć pod uwagę technologie przyjazne prywatności, ponieważ zwiększają one bezpieczeństwo. Przykładami takich technologii są systemy, które umożliwiają maskowanie lub mieszanie obszarów, które nie są istotne dla nadzoru, lub edytowanie obrazów osób trzecich podczas udostępniania materiału wideo osobom, których dane dotyczą. Z drugiej strony wybrane rozwiązania nie powinny zapewniać funkcji, które nie są konieczne (np. nieograniczony ruch kamer, możliwość powiększania, transmisja radiowa, analizy i nagrania audio). Funkcje dostarczone, ale nie konieczne, muszą zostać dezaktywowane.

Czy administrator może zainstalować atrapy kamer monitoringu lub ukryte kamery?

Zdaniem PUODO stosowanie atrap monitoringu powinno być zakazane, ponieważ wprowadzają u potencjalnie monitorowanych poczucie ingerencji w sferę prywatności, a ponadto dają mylne poczucie zwiększonego bezpieczeństwa. Ponadto przepisy zabraniają stosowania monitoringu za pomocą ukrytych kamer. Obszary objęte monitoringiem wizyjnym muszą być odpowiednio oznaczone. Instalacja kamer, które pozwalają na rejestrację dźwięku, również może być uznana za nieprawidłową.

Czy monitoring w miejscu pracy może zostać wykorzystany do kontroli pracy?

W myśl przepisów Kodeksu pracy, monitoring ma służyć zapewnieniu bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. W tych celach nie mieści się stosowanie monitoringu jako środka nadzoru nad jakością wykonywania pracy.

W jakich miejscach monitoring może być instalowany?

Przepisy szczególne wskazują, w jakich miejscach stosowanie monitoringu jest niedopuszczalne. Kodeks pracy wprost wskazuje, że monitoring nie może obejmować:

  • pomieszczeń sanitarnych,
  • szatni,
  • stołówek oraz
  • palarni lub
  • pomieszczeń udostępnionych zakładowej organizacji związkowej.

Jednak możliwe jest monitorowanie powyższych miejsc, gdy dochodzi do incydentów albo istnieje realne zagrożenie dla bezpieczeństwa, zaś niemożliwe jest objęcie takich miejsc innymi formami nadzoru (w przypadku pomieszczeń sanitarnych wymagana jest dodatkowowo zakładowej organizacji związkowej lub przedstawiciela pracowników).  W odniesieniu do innych miejsc, należy rozważyć, czy zainstalowanie kamer nie naruszy zasady proporcjonalności.

Jaki jest okres przechowywania nagrań z monitoringu?

RODO wskazuje, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Im okres retencji jest dłuższy, tymwięcej argumentów potrzeba do uzasadnienia celu i konieczności przechowywania. w niektórych przypadkach niezbędne może okazać się stosowanie czarnych skrzynek, które po upływie określonego czasu automatycznie usuwają zgromadzony na nich materiał, do którego można uzyskać dostęp tylko w razie incydentu. Zdaniem PUODO, okres ten powinien być raczej liczony w tygodniach niż w miesiącach. Należy jednocześnie pamiętać, że nagrania dotyczące zarejestrowanych przez kamery incydentów mogą być przechowywane dłużej – do czasu wyjaśnienia sprawy albo zakończenia odpowiednich postępowań.

Czy stosowanie monitoringu zawsze jest związane z przetwarzaniem danych osobowych?

Nie zawsze monitoring wizyjny wiąże się z przetwarzaniem danych osobowych, w związku z czym nie w każdym przypadku można zastosować do monitoringu przepisy RODO i ustaw szczególnych. Taka sytuacja powstaje, jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na żadnym nośniku. EROD za przykłady podaje też kamery atrapowe, nagrania z dużej wysokości, jeżeli przetwarzane dane nie mogą być powiązane z konkretną osobą czy też kamer wideo zintegrowanych z samochodem w celu zapewnienia pomocy przy parkowaniu, jeśli są skonstruowane lub wyregulowane  w taki sposób, że nie gromadzą informacji o osobach fizycznych, które pozwoliłyby na ich identyfikację.

Podsumowując, przepisy dotyczące monitoringu wizyjnego w większości przypadków nie różnią się od innych sposobów przetwarzania danych. W przypadku, gdyby wskazówki przygotowane przez PUODO nie rozwiały wątpliwości lub pojawiłyby się kolejne, nurtujące pytania, warto sprawdzać stronę Urzędu Ochrony Danych Osobowych, na której zapewne pojawią się następne informacje dotyczące tego oraz innych zagadnień, związanych z problematyką ochrony danych osobowych.

 

Reklama

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

The reCAPTCHA verification period has expired. Please reload the page.