produkty

Intelektualna.pl

Powrót

Artykuł
18 07.2019
Artykuł
18.07.2019

Monitoring wizyjny zgodny z RODO – kiedy i na jakich zasadach? Nowe wytyczne Europejskiej Rady Ochrony Danych

przez Daria Wojciechowska

10 lipca 2019 r. Europejska Rada Ochrony Danych (dalej jako: „EROD”) przyjęła wytyczne 3/2019 dotyczące przetwarzania danych osobowych za pośrednictwem monitoringu wizyjnego (dalej jako: „Wytyczne”)[1]. W zeszłym roku, w wyniku licznych zapytań, wskazówki w tym przedmiocie wydał Prezes Urzędu Ochrony Danych Osobowych[2]. Najnowsze Wytyczne udostępnione przez EROD są jednak znacznie bardziej wyczerpujące i doprecyzowują wiele zagadnień. Z tego powodu, a także z uwagi na skalę stosowania monitoringu wizyjnego w obiektach i innych pomieszczeniach przeznaczonych na użytek komercyjny, administratorzy danych powinni rozważyć przeprowadzenie weryfikacji przyjętych przez nich rozwiązań. Najważniejsze wnioski wynikające z Wytycznych EROD zostały omówione poniżej. Podkreślenia jednak wymaga, że Wytyczne EROD mogą ulec zmianom w wyniku trwających obecnie konsultacji[3].

Wprowadzenie

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[4] (dalej jako: „RODO”) zrodziło wiele pytań i wątpliwości, w tym także co do dopuszczalności i dozwolonego zakresu wykorzystywania urządzeń rejestrujących obraz. Lista oraz kompleksowość obowiązków, w tym obowiązków informacyjnych, którym administratorzy danych muszą sprostać w związku z obowiązywaniem RODO jest ogromna. Tym trudniej administratorom danych ustalić podstawy prawne przetwarzania danych czy też obrać konkretne metody spełnienia obowiązku informacyjnego w sytuacjach, kiedy dane osobowe są gromadzone w inny niż konwencjonalny sposób, tj. nie są uzyskiwane bezpośrednio od osób, których dane te dotyczą, poprzez wypełnienie formularza formie papierowej czy też w wersji elektronicznej.

Podstawa prawna – czy monitoring jest dozwolony?

Żadne z postanowień RODO nie zakazuje stosowania monitoringu wizyjnego. Przetwarzanie danych osobowych, a więc już samo ich gromadzenie, musi jednak znajdować oparcie w przepisach prawa – w przypadku danych zwykłych podstawę prawną może zasadniczo stanowić którakolwiek z przesłanek ujętych w art. 6 ust. 1 RODO. Pomimo braku jakichkolwiek ograniczeń w tym zakresie, EROD słusznie wskazała, że w praktyce najczęściej stosowane będą przesłanki wyrażone w art. 6 ust. 1 lit. e i f, tj. zezwalające na przetwarzanie danych w przypadku, gdy:

  1. jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  2. istnieje prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią.

Przesłanka określona w art. 6 ust. 1 lit. e, czyli wykonywanie zadania realizowanego w interesie publicznym, będzie znajdowała zastosowanie, jeżeli wynika to z przepisów krajowych. Natomiast w przypadku podmiotów prywatnych, podstawą prawną stosowania monitoringu wizyjnego będzie przede wszystkim uzasadniony interes prawny. Niejasność pojęcia uzasadnionego interesu prawnego wymaga pogłębionej analizy. Wskazówki dla jego interpretacji w odniesieniu do monitoringu wizyjnego dostarczają Wytyczne EROD.

Rejestracja obrazu stosowana jest powszechnie w celu ochrony budynków, majątku lub w celu zapewnienia bezpieczeństwa osobom przebywającym na terenie danej nieruchomości. Zgodnie z Wytycznymi EROD, w takich sytuacjach uzasadniony interes prawny będzie zachodził wówczas, gdy istnieje rzeczywiste niebezpieczeństwo zdarzeń związanych z czynami przestępczymi, takimi jak np. kradzież, akty wandalizmu czy włamania. Rzeczywiste niebezpieczeństwo oznacza, że nie może ono być abstrakcyjne, lecz powinno być poparte udokumentowanymi incydentami, które miały miejsce na terenie budynku, w którym monitoring miałby być wprowadzony, lub na terenie sąsiadujących nieruchomości, jeszcze przed wprowadzeniem wideomonitoringu. Stanowisko EROD zdaje się jednak być zbyt restrykcyjne. Jego bezkrytyczne zaakceptowanie oznaczałoby de facto, że przed wystąpieniem zdarzeń wywołujących szkodę, stosowanie monitoringu przez wiele podmiotów niedotkniętych dotychczas aktami wandalizmu, np. nowo otwarty sklep na bezpiecznej dzielnicy, byłoby niedopuszczalne. Wyjątkiem miałyby być te obiekty, które powszechnie uznawane są za szczególnie narażone na szkody wyrządzone czynami przestępczymi, np. stacje paliwowe czy sklepy prowadzące sprzedaż drogocennych towarów. Wątpliwości te powinny niewątpliwie zostać rozstrzygnięte przez EROD w wyniku trwających obecnie konsultacji.

EROD w wytycznych odniosła się również do zgody podmiotów, których dane miałyby podlegać przetwarzaniu, wskazując, iż nie można wykluczyć ab initio dopuszczalności powoływania się na tę podstawę prawną przy stosowaniu monitoringu wizyjnego. Zgoda, jako podstawa prawna dla wideomonitoringu powinna jednak mieć charakter wyjątkowy. Ponadto, w naszej ocenie rozwiązanie oparte na zgodzie w omawianej sprawie jest z punktu widzenia administratorów danych niepraktyczne i może w rzeczywistości powodować trudności nie do pokonania. Jak wyjaśniła bowiem EROD, w takich sytuacjach obowiązkiem administratora danych jest zapewnienie, że posiada zgody od wszystkich osób, które znajdą się w obszarze objętym monitoringiem wizyjnym, przy czym samo wejście na teren oznaczony jako monitorowany nie jest co do zasady tożsame z udzieleniem ważnej zgody. Wymagany stopień weryfikacji posiadanych zgód związany jest zatem immamentnie z kosztami oraz innymi nakładami, zdaje się niepotrzebnymi, ponieważ w większości przypadków przetwarzanie danych może być oparte o uzasadniony interes prawny.

Podkreślić należy ponadto, że w przypadku pracowników zgoda nie może stanowić podstawy przetwarzania ich danych zgromadzonych przy użyciu monitoringu wizyjnego. Wynika to chociażby z nierówności stron, ale także z tego, że polski ustawodawca uregulował kwestię stosowania rejestracji obrazu odrębnie w Kodeksie pracy[5].

Minimalizacja danych – czy na pewno monitoring?

Art. 5 ust. 1 lit. c RODO wprowadza zasadę minimalizacji danych obligującą administratorów danych do przetwarzania jedynie tych danych osobowych, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których dane są przetwarzane. Wyjaśniając jej zastosowanie na gruncie monitoringu wizyjnego EROD wyjaśniła, że jeżeli celem wideomonitoringu jest ochrona przed przestępstwami przeciwko mieniu, administrator danych powinien dokonać uprzedniej oceny, czy istnieją inne środki mogące zapewnić osiągnięcie tego celu, a które jednocześnie ingerują w mniejszym stopniu w prawa i wolności jednostek monitorowanych. Zgodnie ze stanowiskiem EROD, za takie (skuteczne) środki mogą zostać uznane następujące działania: zamontowanie ogrodzenia, wdrożenie regularnych patroli pracowników ochrony, kontrola wejść przez pracownika ochrony, zapewnienie lepszego oświetlenia, zastosowanie blokady drzwi, zabezpieczenie okien i drzwi czy stosowanie powłok odpornych na graffiti.

Z powyższego nie wynika jednak, że zawsze, kiedy administrator budynku zatrudnia np. firmę ochroniarską, wideomonitoring okazuje się zbędny. Oceny tej administrator danych powinien dokonać w konkretnym stanie faktycznym przy uwzględnieniu rodzaju gromadzonych danych osobowych, zakresu geograficznego, liczby podmiotów, których dane osobowe są gromadzone, sytuacje, w których dane te będą gromadzone oraz wielkości powierzchni monitorowanej.

Gdzie można zamontować monitoring wizyjny?

Jak wyjaśnia EROD, wideomonitoring powinien być ograniczony do lokali, obiektów czy pomieszczeń, które znajdują się w posiadaniu administratora danych. Co do zasady zatem, kamery lub inne urządzenia rejestrujące obraz nie powinny obejmować swym zakresem np. przestrzeni publicznych czy innych sąsiadujących terenów. Nie zawsze jednak możliwe jest uniknięcie takich sytuacji chociażby z uwagi na techniczne uwarunkowania. Zgodnie z zaleceniem EROD, administrator danych powinien rozważyć w takim przypadku blokowanie dostępu do lub pikselizację obrazu w części ukazującej sąsiadujące obszary.

Ponadto, w Wytycznych podkreślono, że monitoringiem mogą zostać objęte przede wszystkim te pomieszczenia, obiekty czy budynki, w których jednostki mogą spodziewać się rejestracji obrazu. Ma to miejsce w szczególności w bankach czy przy korzystaniu z bankomatów. Wykluczone jest natomiast monitorowanie terenów, pomieszczeń czy obiektów przeznaczonych do rekreacji, a także parków, kin czy restauracji w części pozwalającej gościom na komunikację.

Jak długo przechowywać zapisy z monitoringu?

Kolejnym istotnym zagadnieniem są okresy retencji. Art. 5 ust. 1 lit. e RODO nakłada na administratorów danych obowiązek przetwarzania danych osobowych przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. W Wytycznych EROD wskazuje, że w odniesieniu do monitoringu wizualnego stosowanego do ochrony mienia, w większości sytuacji za wystarczający uznać można okres retencji wynoszący 24 do 72 godzin. Administrator danych dowiaduje się bowiem o szkodach wyrządzonych np. czynem przestępczym tego samego lub następnego dnia. Nie ma zatem konieczności wydłużania tego okresu o kolejne dni lub tygodnie. Wskazany wyżej okres retencji może jednak zostać wydłużony o czas konieczny dla dochodzenia roszczeń, w sytuacji kiedy szkoda została faktycznie wyrządzona. Po upływie okresu retencji dane powinny zostać usunięte. Zalecanym rozwiązaniem jest wprowadzenie mechanizmu automatycznego usuwania zapisów z monitoringu.

Jak informować o monitoringu?

Administratorzy przetwarzający dane osobowe uzyskane w drodze monitoringu wizyjnego, zobligowani są do spełnienia obowiązku informacyjnego zgodnie z art. 13 RODO. Z uwagi jednak na sposób i charakter pozyskiwania danych osobowych za pośrednictwem wideomonitoringu, a także przy uwzględnieniu ilości informacji, które muszą znaleźć się w klauzuli informacyjnej, EROD dopuszcza możliwość wykonywania tego obowiązku dwuetapowo. Co to oznacza?

Pierwszy etap wykonania obowiązku informacyjnego powinien polegać na umieszczeniu w widocznym miejscu „znaku ostrzegawczego” oraz podstawowych informacji wskazujących na obszary objęte monitoringiem, cele przetwarzania danych, najważniejsze skutki przetwarzania danych, przekazywanie danych podmiotom trzecim (jeśli są przekazywane), okresy retencji, tożsamość administratora danych oraz dane kontaktowe inspektora ochrony danych. Ponadto, administrator danych powinien określić miejsce, w którym dana osoba będzie mogła zapoznać się w klauzulą informacyjną „w pełnej wersji”.

Podkreślenia wymaga jednocześnie, że tzw. „znak ostrzegawczy” powinien znajdować się przed pomieszczeniami / obiektami objętymi monitoringiem wizyjnym, tak aby umożliwić jednostkom podjęcie świadomej decyzji co do tego, czy chcą wejść na monitorowany teren. Przykład, jak taka klauzula/”znak ostrzegawczy” może wyglądać został zamieszczony w Wytycznych i widoczny jest również poniżej w formie grafiki:

W świetle omawianych Wytycznych, potencjalnie za sprzeczne z RODO należałoby uznać umieszczenie przed wejściem do obiektu monitorowanego ikony symbolizującej kamerę i opatrzonej hasłem ostrzegawczym. Już na pierwszym etapie osoba, której dane osobowe miałyby podlegać przetwarzaniu, powinna uzyskać zestaw najważniejszych informacji określonych w art. 13 RODO.

W ramach drugiego etapu spełnienia obowiązku informacyjnego, administrator danych powinien przygotować w miejscu łatwo dostępnym kompletną klauzulę informacyjną zgodnie z wymaganiami art. 13 RODO. Klauzula ta powinna być dostępna co najmniej w formie tradycyjnej, np. poprzez przygotowanie jej w wersji papierowej do wglądu na recepcji czy też w formie plakatu umiejscowionego w miejscu dobrze widocznym. EROD zachęca również do zapewnienia dodatkowo innych możliwości zapoznania się z klauzulą, np. poprzez zamieszczenie linku do strony internetowej czy podanie nr telefonu, pod którym taka informacja będzie również dostępna.

[1] Wytyczne Europejskiej Rady Ochrony Danych z dnia 10 lipca 2019 r. Europejska Rada Ochrony Danych 3/2019 dotyczące przetwarzania danych osobowych za pośrednictwem monitoringu wizyjnego; wytyczne dostępne w języku angielskim pod adresem: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf

[2] Wskazówki Prezesa Urzędu Ochrony Danych Osobowych z czerwca 2018 r. dotyczące wykorzystywania monitoringu wizyjnego; dostępne pod adresem: https://uodo.gov.pl/pl/138/354

[3] Zastrzeżenia do wytycznych opublikowanych przez Europejską Radę Ochrony Danych można zgłaszać do dnia 9 września 2019 r., szczegółowe informacje dostępne są pod adresem: https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_pl

[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz.UE.L 2016 Nr 119, str. 1

[5] Por. art. 222 w Kodeksie pracy z dnia 26 czerwca 2974 r., Dz.U. 1974 Nr 24, poz. 141

Branża:

Dane osobowe

Powrót

Komentarze (0)



sixteen − 12 =