Monitoring wizyjny a RODO

Monitoring od lat stanowi nieodłączny element funkcjonowania współczesnych społeczeństw. Stosowany jest w samochodach, w domach, na ulicach, ale też w miejscu pracy. Jednocześnie jest uznawany za jedną z najbardziej inwazyjnych form w przypadku przetwarzania danych osobowych. W zależności od tego, jakie rozwiązania techniczne zostaną zastosowane, może wiązać się z przetwarzaniem szczególnych kategorii danych (jak dane biometryczne), a zatem wymagać podwyższonej ochrony. Wprawdzie RODO nie zabrania stosowania monitoringu, ale nakłada pewne obowiązki na osoby, które utrwalają wizerunek na nagraniach z monitoringu.

Co to jest monitoring wizyjny?

To system przekazywania i rejestracji obrazu z określonych miejsc w zamkniętym systemie odbiorczym, którego celem jest nadzór nad określony obszarem. Jest to więc rozwiązanie, pozwalające śledzić na odległość zdarzenia, które rejestrowane są przez jedną lub więcej kamer. Ważnym jest element rejestrowania, tzn. utrwalania obrazu, do którego potrzebne są kamery, ale także rejestratory do przetwarzania obrazu oraz narzędzia do przesyłu. Podkreślić należy, że jest to jedynie decyzja funkcjonalna, przyjęta w obiegu i decyzjach UODO, nie zaś definicja z aktu prawa.

Monitoring a przetwarzanie danych

Stanowisko EROD wyraźnie wskazuje, że nie każdy monitoring stanowi przetwarzanie danych osobowych. Przykładowo: RODO nie znajdzie zastosowania w przypadku monitorowania z dużej odległości, gdy nie jest możliwe ustalenie tożsamości monitorowanej osoby (np. przy wykorzystaniem drona).

Zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO): dane osobowe, jakie wykorzystywane są do każdego rodzaju przetwarzania, także przy wykorzystaniu monitoringu wizyjnego, powinny być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są one przetwarzane. Jest to związane przede wszystkim z  ograniczeniami objętego monitoringiem obszaru. Monitoring musi być skierowany i ustawiony w taki sposób, aby jak najmniej osób trzecich znajdowało się w jego zasięgu. Musi też być jasno oznaczony – każda osoba wchodząca na obszar objęty monitoringiem musi być tego świadoma. Ważnym elementem każdego prawidłowo rozmieszczonego monitoringu wizyjnego jest również informacja o celach i zasadach wykorzystania zebranych na monitoringu danych osobowych.

Monitoring wizyjny podlega przepisom RODO

Analiza przepisów RODO, wskazówki ze strony EROD, a także wydawane przez organ nadzorczy decyzje i orzecznictwo nie pozostawiają wątpliwości: monitoring wizyjny prowadzony w czasie rzeczywistym podlega zasadom definiowanym przez RODO. W przypadku stosowania monitoringu wizyjnego, który służy wyłącznie do podglądu na żywo miejsc chronionych (czyli monitoringu w czasie rzeczywistym, gdy nie nagrywamy obrazu, a jedynie na bieżąco prowadzimy obserwację na monitorze komputera) posiadamy możliwość zidentyfikowania obserwowanych osób. Należy więc uznać, że dochodzi do przetwarzania danych osobowych, które powinno być prowadzone z poszanowaniem zasad określonych w rozporządzeniu RODO.

meski-ochroniarz-wykonuje-swoja-prace-podczas-zmiany

Na jakiej podstawie odbywa się przetwarzane danych w przypadku monitoringu wizyjnego?

W zakresie, w jakim monitoring stanowi przetwarzanie danych osobowych (co potwierdza EROD), Administrator, w zależności od celu, mógłby teoretycznie stosować go na każdej z podstaw przetwarzania, jakie wymienione są w art. 6 RODO. Znajduje to zastosowanie w szczególności, gdy:

  • niezbędność przetwarzania związana jest z wypełnianiem obowiązku prawnego administratora,
  • administrator posiada uzasadniony interes,
  • udzielana bądź nie jest zgoda – przy czym EROD zwraca uwagę na wysokie ryzyko podważenia dobrowolności udzielenia takiej zgody i komplikacji, w przypadku jej wycofania przez monitorowaną osobę.

Podkreślić należy, że w przypadku działania na podstawie przesłanki o uzasadnionym interesie administratora, aby móc prowadzić monitoring zgodnie z RODO, niewystarczającym jest określenie celu monitorowania jako „zapewnianie bezpieczeństwa”.

Interes Administratora a osoby monitorowanej

W przypadku przetwarzania danych na podstawie uzasadnionego interesu (co w praktyce stanowi najczęściej wykorzystywaną przez przedsiębiorców podstawę), kluczowym jest przeprowadzenie „testu interesów”. Test ten polega na określeniu, czy w danym przypadku przeważa interes Administratora, czy też osoby monitorowanej. Przykładowo: zdaniem EROD, biorąc pod uwagę niewspółmierność w stosunku do ochrony prywatności osób monitorowanych, takiego testu mógłby nie zdać monitoring w miejscach, które przeznaczone są do rekreacji czy wypoczynku.

Ocenie Administratora powinien podlegać także:

  • stosowany sprzęt – EROD zaznacza, że środki techniczne, które są coraz bardziej zaawansowane pozwalają na lepszą identyfikację i profilowanie osób (wtedy EROD sugeruje np. pikselowanie zbędnych fragmentów obrazu lub też rezygnację z kamer z zoomem);
  • zasięg monitoringu – tu zarówno EROD, jak i Prezes UODO potwierdzają, że granica działki powinna być również granicą monitoringu, a Administrator powinien zmienić ustawienia kamery czy usunąć kamery szerokokątne, aby ograniczyć monitoring obejmujący sąsiednią posesję czy też drogę publiczną.

Prezes UODO a EROD

Wytyczne EROD nie zawsze pozostają w zgodzie z wskazówkami Prezesa UODO. Dotyczy to w szczególności przypadków:

  • monitoringu w czasie rzeczywistym – stanowisko Prezesa UODO nie wskazywało jednoznacznie, czy monitoring w takiej formie stanowi w ogóle stanowi „przetwarzanie danych osobowych”, EROD natomiast rozwiał ewentualne wątpliwości, odpowiadając na to pytanie twierdząco;
  • możliwości stosowania atrap kamer – Prezes UODO nakazuje ich usuwanie, a EROD uznał za dopuszczalne i oczywiście nie objęte obowiązkami wynikającymi z RODO.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość