Monitoring wizyjny

monitoring wizyjny

Monitoring wizyjny stosowany zgodnie z przepisami rozporządzenia 2016/679

Monitoring wizyjny

Kamery w sklepie stacjonarnym

Właściciel prowadzi sklep stacjonarny. Pomieszczenie wynajmuje od podmiotu, który jest właścicielem całego obiektu. Budynek, w którym znajduje się sklep oraz pomieszczenie sklepu jest objęte systemem monitoringu wizyjnego. System monitoringu jest własnością właściciela budynku.

Monitoring wizyjny stosowany zgodnie z przepisami rozporządzenia 2016/679

Akty wykonawcze, które regulują uprawnienia i obowiązki podmiotów mogących prowadzić Monitoring:

a) publicznego:

1) Art. 9a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2018 r. poz. 994 i 1000);

2) Art. 4b ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2018 r. poz. 995 i 1000);

3) Art. 60a ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2018 r. poz. 913);

4) Art. 5a ustawy z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (Dz. U. poz. 2259 z późn. zm.);

b) prywatnego:

1) Art. 15b ustawy z dnia 19 listopada 2009 r. o grach hazardowych (Dz. U. z 2018 r. poz. 165 z późn. zm.).

2) Art. 11 ustawy z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych (Dz. U. z 2017 r. poz. 1160 z późn. zm.).

c) zdrowia, zatrudnienia i szkolnictwa:

1) Art. 222 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917 i 1000);

2) Art. 108a ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz. U. z 2018 r. poz. 996 i 1000);

3) Art. 43e ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. z 2017 r. poz. 882 z późn. zm.)

4) Art. 22 ust. 3 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 160 z późn. zm.).

d) organów ścigania i sądów:

1) Art. 15 i 19 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067 z późn. zm.);

2) Art. 20g ustawy z dnia 21 marca 1985 r. o drogach publicznych (Dz. U. z 2017 r. poz. 2222 z późn. zm.);

3) Art. 157 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 155 z późn. zm.);

4) Art. 147 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2017 r. poz. 1904 z późn. zm.).

Monitoring Wizyjny

Zalecenia dotyczące monitoringu wizyjnego

Administrator i podmioty przetwarzające – zalecenia dotyczące monitoringu:

Ustawa o ochronie danych osobowych dotycząca monitoringu wizyjnego nie przewidują okresów przejściowych. Przepisy RODO nie przewidują dodatkowych terminów na dostosowanie. W związku z tym przyjmuje się, że przepisy te oraz właściwe postanowienia RODO mają zastosowanie do wszystkich istniejących i przyszłych systemów nadzoru wizualnego. Administrator i podmioty przetwarzające powinny podejmować niezwłocznie działania  tak by wykazać dążenie do zapewnienia zgodności z obowiązującym prawem. W dalszej kolejności prowadzone będą działania weryfikujące wypełnianie zasad stosowania monitoringu wizyjnego przewidzianych w RODO oraz przepisach szczególnych.

Przetwarzanie  danych w Monitoringu Wizyjnym:

W przypadku monitoringu wizyjnego będą to operacje polegające w szczególności na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób niezależnie od charakteru nośnika, w którym są przechowywane (dyski twarde systemu, nagrania zapisane w pamięci urządzenia umożliwiającego zdalny dostęp – smartfon, komputery przenośne itp.).

Podstawy i zasady stosowania monitoringu wizyjnego

a) zgoda osoby, której dane dotyczą na przetwarzanie w jednym lub większej liczbie określonych celów;

b) wykonanie umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie takiej osoby przed zawarciem umowy;

c) wypełnienie obowiązku prawnego ciążącego na administratorze;

d) ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Najbardziej odpowiadającymi stosowaniu monitoringu wizyjnego przesłankami jest wypełnianie obowiązku prawnego ciążącego na administratorze, wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi oraz cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora, odpowiednio dla podmiotów sektora publicznego i sektora prywatnego.

Główne zasady postępowania przy przetwarzaniu danych osobowych wyznacza art. 5 ust. 1 RODO.

Podstawowe obowiązki administratora

monitoring wizyjny

Podstawowe obowiązki administratora:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacji danych);

d) prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

Zgodnie z ust. 2 omawianego przepisu, administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność).

Osoba, której dane dotyczą – osoba obserwowana

Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane zostaną zebrane poprzez system monitoringu wizyjnego, może korzystać z praw ujętych w rozdziale III rozporządzenia. Mając na uwadze specyfikę wideo monitoringu, należy stwierdzić, że realizacja uprawnień kontrolnych osoby obserwowanej może się związać z koniecznością przedstawienia przez nią informacji o sytuacjach, w których mogła znaleźć się w obszarze działania systemu monitoringu. Może to obejmować okresy czasu czy też sytuacje, w których uczestniczyła taka osoba, szczegóły jej ubioru itp. Zgodnie z ostatnim zdaniem motywu 63, jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie. Jeżeli przepisy szczególne nie stanowią inaczej, odpowiedź na zapytania osoby obserwowanej powinna zostać udzielona bez zbędnej zwłoki, najpóźniej w ciągu miesiąca.

Administrator

Realizacja zasad przetwarzania danych osobowych należy do obowiązków administratora, którym zgodnie z art. 4 pkt. 7 rozporządzenia jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administratorem danych osób obserwowanych (operator systemu monitoringu) jest podmiot, który podejmuje decyzje o instalacji, celach i obszarze objętym systemem monitoringu będącym w jego dyspozycji. Może on działać przez osoby kierujące i reprezentujące go na zewnątrz, Osoby są zobowiązane zapewnić w kierowanej przez siebie jednostce przetwarzanie danych osobowych oraz ponoszą odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych.

Administrator, podejmując decyzję o stosowaniu tej formy nadzoru, powinien zweryfikować, czy realizowane przez niego cele uzasadniają obserwację osób. Administrator powinien mieć w świadomości zasadę ograniczenia celu z art. 5 ust. 1 lit. b RODO. Musi więc brać pod uwagę potrzebę ochrony prawa do prywatności i ochrony danych osobowych i ich ograniczanie tylko w niezbędnym zakresie. Oznacza to, że monitoring może być wprowadzany wtedy, kiedy inne, mniej inwazyjne metody zapewniania bezpieczeństwa są niewystarczające.

Podejmując decyzję o wprowadzeniu monitoringu, administrator musi pamiętać o przeprowadzeniu oceny skutków dla ochrony danych. Jest ona wymagana, gdy operacja przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zgodnie z art. 35 ust. 3 lit. c RODO, jest ona obowiązkowa dla monitorowania miejsc dostępnych publicznie.

Zgodnie z art. 35 ust. 7, ocena zawiera co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Zasady ograniczenia celu i minimalizacji wymagają ograniczenia obszaru monitorowania do niezbędnego zasięgu:

Należy mieć na uwadze, że interesy administratora nie mogą w każdej sytuacji w sposób nadmierny ograniczać prawa do prywatności i ochrony danych oraz uzasadnionego oczekiwania  osób obserwowanych co do zapewnienia intymności. Dlatego administrator powinien powstrzymywać się od prowadzenia monitoringu w obszarach wrażliwych, takich jak przebieralnie, toalety itp. Analogicznie prowadzenie monitoringu obejmującego obszar sąsiednich posesji może zostać uznane za nieproporcjonalne.

Istotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 RODO. Pełna informacja o monitoringu, obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w miejscu monitorowanym, np. na tablicach albo w formie dokumentu dostępnego na recepcji czy też u przedstawiciela administratora. Czyli możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych. Znaki informujące o stosowaniu monitoringu mogą być dostępne przed wejściem w obszar obserwowany.

podmiot przetwarzający

zabezpieczenie danych osobowych

Zabezpieczenie danych osobowych

Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa uwzględniający stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Obejmuje to wymogi ujęte w sekcji II rozdziału 4 RODO – Bezpieczeństwo danych osobowych.

Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne, a także ewidencję osób upoważnionych do ich przetwarzania. Do przetwarzania danych, o ile tak zdecyduje ich administrator, mogą być dopuszczone wyłącznie osoby działające z upoważnienia administratora lub podmiotu przetwarzającego i przetwarzają je wyłącznie na polecenie administratora.

W sytuacji, gdy przepisy szczególne nie określają wymogów co do środków technicznych i organizacyjnych, to administrator ma swobodę w tej materii i odpowiada za wykazanie, że są one wystarczające.

Podstawa prawna instalowania monitoringu

Jako podstawę prawną przetwarzania danych osobowych w zakresie wizerunku przez podmioty sektora prywatnego należy wskazać przesłankę legalności określoną w art. 6 ust. 1 lit. f rozporządzenia 2016/679, uznając zapewnienie bezpieczeństwa osób i mienia w obszarze objętym monitoringiem za prawnie usprawiedliwiony cel administratora danych. Każdorazowo musi to się jednak wiązać z poszanowaniem praw i wolności osoby obserwowanej oraz wypełnianiem obowiązków ustawowych administratora. Oznacza to m.in. poszanowanie prywatności osób w obszarach podwyższonego oczekiwania prywatności (przebieralnie itp.) oraz realizowania obowiązków informacyjnych wobec osób obserwowanych. W przypadku monitoringu celem tym jest zapewnienie bezpieczeństwa i ochrony osób oraz mienia, nie zaś nadzór nad efektywnością czy wydajnością wykonywanej przez pracownika pracy.

Obowiązki administratora stosującym monitoring wizyjny wobec osób obserwowanych

Administrator powinien na swoim terenie poinformować osoby, które potencjalnie mogą zostać nim objęte, że monitoring jest stosowany i jaki obszar jest nim objęty. Podać swoją nazwę, adres, obszar oraz cel monitorowania i inne informacje ujęte w art. 13 RODO.

Osoby pozostające w obszarze monitorowanym muszą mieć świadomość, że w miejscu, w którym się znajdują, prowadzone są czynności monitoringu. Tablice informujące o zainstalowanym monitoringu powinny być widoczne, syntetyczne, umieszczone w sposób trwały w niezbyt dużej odległości od nadzorowanych miejsc, zaś wymiary tablic muszą być proporcjonalne do miejsca, gdzie zostały umieszczone. Stosowane mogą być dodatkowo piktogramy informujące o objęciu dozorem kamer. Nie jest wystarczające oznaczenie obszaru objętego monitoringiem jedynie piktogramami, gdyż należy również spełnić obowiązek informacyjny określony w art. 13 RODO. Nie oznacza to jednak konieczności umieszczania wszystkich informacji wskazanych w tym przepisie. W takiej sytuacji możliwe zastosowanie warstwowych not informacyjnych.

Administrator powinien niezwłocznie odpowiadać na wszelkie pytania osoby obserwowanej w ramach przysługujących jej uprawnień, przede wszystkim zgodnie z art. 12 – 22 RODO.

Prawa przysługujące osobom objętym monitoringiem

Każdej osobie przysługuje prawo do informacji o objęciu jej monitoringiem wizyjnym oraz prawo do ochrony swojego wizerunku przed rozpowszechnianiem, chyba że przepisy odrębne stanowią inaczej. Obowiązek udzielenia takich informacji wynika z art. 13 RODO, zaś przepisy rozdziału III szczegółowo określają prawa osoby, której dane dotyczą.

Prawa osób objętych monitoringiem obejmują m.in.:

  • prawo do informacji o istnieniu monitoringu w określonym miejscu, jego zasięgu, celu, nazwie podmiotu odpowiedzialnego za instalację, jego adresie i danych do kontaktu;
  • prawo dostępu do nagrań w uzasadnionych przypadkach;
  • prawo żądania usunięcia danych jej dotyczących;
  • prawo do anonimizacji wizerunku na zarejestrowanych obrazach i/lub usunięcia dotyczących jej danych osobowych;
  • prawo do przetwarzania danych przez ograniczony czas.

Okres przechowywania nagrań z monitoringu

Okres retencji danych, czyli ich przechowywania po dokonaniu nagrania, nie jest w polskich przepisach jednoznacznie określony. Jednak biorąc pod uwagę, że celem wdrażania monitoringu jest przeciwdziałanie szkodom na osobach i mieniu, należy w miarę możliwości przyjmować krótszy czas przechowywania.

Przede wszystkim należy pamiętać o przepisie art. 5 ust. 1 lit. e RODO, w którym wskazano, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Okres ten powinien być raczej liczony w tygodniach niż w miesiącach. Należy jednocześnie pamiętać, że nagrania dotyczące incydentów mogą być przechowywane dłużej – do czasu wyjaśnienia sprawy albo zakończenia odpowiednich postępowań.

Zastosowanie przepisów o ochronie danych osobowych do monitoringu

Monitoring wizyjny wiąże się z przetwarzaniem danych osobowych. Rozporządzenie 2016/679 i krajowe przepisy szczególne można zastosować do monitoringu, jeśli jest on wykorzystywany w celu przetwarzania danych osobowych. Jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na twardym dysku komputera czy innym nośniku, to wówczas trudno mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na nośnikach danych. Pamiętać przy tym należy, że podmioty wykorzystujące systemy monitoringu z reguły utożsamiają przetwarzanie danych z działaniem podejmowanym w celu identyfikacji konkretnych osób na podstawie nagrań. Tymczasem w rozporządzeniu za przetwarzanie danych uznaje się już ich gromadzenie.