Strona główna HoReCa RODO w monitoringu wizyjnym

RODO w monitoringu wizyjnym

UDOSTĘPNIJ

Piotr Powązka


System monitoringu wizyjnego jest coraz bardziej powszechną formą ochrony osób i mienia zarówno w instytucjach, jak i domach prywatnych. Wraz z rosnącymi wymaganiami dotyczącymi ochrony prywatności i zwiększającą się popularnością kamer dozorowych należy zadbać o szereg spraw.

Organizacje, firmy dostarczające i projektujące tego typu rozwiązania, a także osoby prywatne powinny bacznie przyjrzeć się wymogom w zakresie wykorzystania monitoringu, np. w aspekcie regulacji RODO. Osoby prywatne często są przekonane, iż przepisy RODO w tym zakresie ich nie dotyczą. Otóż nie zawsze, na co wskazują organy nadzorcze. RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową.

W kontekście monitoringu wizyjnego działalność osobista lub domowa może polegać na monitorowaniu terenu własnej posesji. Ten aspekt przysparza trudności, gdyż niejednokrotnie kamera zasięgiem widzenia obejmuje również przestrzeń publiczną, np. chodnik czy dom sąsiada. W takich sytuacjach, zgodnie z dotychczasową praktyką, trudno mówić o typowo domowym użytku. Monitoring nie może naruszać prawa osób trzecich, a ponadto nie może dochodzić do rozpowszechniania nagrań.

Monitoring wizyjny i jego stosowanie nie jest wbrew pozorom sprawą prostą ze względu na brak jednolitych przepisów. Należy pamiętać zarówno o przepisach RODO, ustawy o ochronie danych osobowych, ustawy tzw. wprowadzającej RODO, jak i ustawach branżowych.

Europejska Rada Ochrony Danych (EROD) wydała opinię w zakresie wymogów, jakie należy spełniać przy stosowaniu i projektowaniu systemu monitoringu wizyjnego. Do 9 września 2019 r. można było składać do niej uwagi, gdyż podlegała konsultacjom. W opinii można przeczytać, iż utrwalanie wizerunku w celu zabezpieczenia nieruchomości kończy się na granicy tej nieruchomości.

Zwrócono w niej również uwagę na kamery stosowane w samochodzie. Jeśli są one zaprogramowane w sposób uniemożliwiający identyfikację osób (maskowanie numerów rejestracyjnych na nagraniu), wówczas można mówić o domowym użytku i korzystać z wyłączenia. Ciekawe, czy w dłuższej perspektywie opinia ta wywoła burzliwe dyskusje w tym temacie. O ile kamery cofania raczej nie rejestrują obrazu, o tyle bardzo popularne już wideorejestratory samochodowe, w celu choćby udowodnienia wykroczenia, rejestrują wszystko, łącznie z tablicami rejestracyjnymi. W niektórych krajach, np. w Austrii, stosowanie wideorejestratorów w samochodzie jest zabronione.

Przepisy są niespójne, więc przyjdzie nam zapewne jeszcze poczekać. Z premedytacją w tym artykule nie będziemy rozstrzygali, czy numery rejestracyjne nadal są daną osobową, gdyż kontrowersje nie milkną. Wytyczne EROD wskazują, iż zarejestrowany materiał wizyjny przedstawiający osobę, której dane dotyczą, w okularach lub na wózku inwalidzkim poruszającym się np. przy budynku, nie jest uważany za przetwarzanie danych osobowych szczególnych kategorii. Jednakże na podstawie zdjęć przedstawiających możliwe do zidentyfikowania osoby biorące udział w proteście, strajku czy manifestacji można już wywnioskować ich poglądy polityczne. To implikuje zastosowanie art. 9 RODO.

Ponadto zarówno EROD, jak i Urząd Ochrony Danych Osobowych (UODO) wskazują na zasady, jakimi należy się kierować w przypadku stosowania systemu monitoringu wizyjnego.

 

Jak te zasady przekładają się na podmioty stosujące system monitoringu wizyjnego?

  • NIEZBĘDNOŚĆ, PROPORCJONALNOŚĆ I LEGALNOŚĆ (art. 5 RODO)

Innymi słowy chodzi o cel, do jakiego monitoring wizyjny jest niezbędny. Badania NIK-u prowadzone w latach 2010–2013 dobitnie wskazały, iż podmioty mają problemy z uzasadnieniem niezbędności (zasadnością) stosowania monitoringu. Mimo że upłynęło kilka lat, nadal widać trudności w określeniu zasadności stosowania tego rozwiązania technicznego. Organy EROD czy PUODO stoją na stanowisku, iż system monitoringu wizyjnego powinien być stosowany wtedy, gdy nie ma alternatywnych metod (np. dodatkowe patrole ochrony w celu zapewnienia bezpieczeństwa).

Podobnie jest z proporcjonalnością, gdyż musimy określić wiele różnych elementów systemu takich jak:

− rodzaj kamer oraz jakość obrazu (analogowe, IP itp.),

− rozwiązania statyczne czy mobilne, z kamerami PTZ śledzącymi ruch obiektu lub bez,

− pole widzenia oraz zasięg kamer,

− sposoby rejestracji oraz funkcjonalności (algorytmy) dotyczące analizy obrazu,

− jakie kategorie danych osobowych jesteśmy w stanie pozyskać, stosując kamery monitoringu,

− czy jesteśmy w stanie skorelować już posiadane dane osobowe z pozyskanymi z systemu monitoringu,

− jak długo przechowywać nagrania.

  • OBOWIĄZEK INFORMACYJNY

Wobec osób objętych monitoringiem wizyjnym należy realizować obowiązek informacyjny (art. 12 i art. 13 RODO). Nieruchomości i obiekty budowlane objęte dozorem kamer oznacza się w sposób widoczny i czytelny informacją o monitoringu za pomocą odpowiednich znaków. Obowiązek informacyjny powstaje niezależnie od konieczności zapewnienia odpowiedniej podstawy do przetwarzania danych osobowych.

Obowiązki informacyjne można realizować w formie pisemnej:

− ulotki w miejscu obserwacji, np. podczas imprezy plenerowej,

− obwieszczenia w miejscu obserwacji,

− informacja na stronie internetowej, np. w związku z wydarzeniem (m.in. sesja rady gminy), oraz formie dźwiękowej:

− ogłoszenia przekazywane za pośrednictwem systemów nagłaśniających (np. w zakładach pracy, szkołach, na dworcach czy w centrach handlowych),

− przekazywanie informacji przez operatora kamery, np. nasobnej lub umieszczonej w pojeździe.

Obowiązek informacyjny o obecności kamer można i należy realizować w sposób warstwowy. Trzeba wydzielić pewien zakres kluczowych informacji i udostępnić je przed wejściem w obszar monitorowany, przekazując maksymalną ilość najważniejszych informacji – szczegółowe dane na temat celów przetwarzania, kto jest administratorem danych osobowych oraz możliwości kontaktu z nim, praw przysługujących osobie, której dane dotyczą, oraz najistotniejszych skutków przetwarzania. Należy poinformować o inspektorze ochrony danych osobowych (jeśli został powołany) oraz udzielić informacji, gdzie można zapoznać się z pełną klauzulą informacyjną.

Z niektórych przepisów wynika maksymalny 3-miesięczny okres przechowywania nagrań. PUODO sugeruje przyjmować krótsze terminy, chyba że przepisy wskazują inaczej (np. 3 lata według ustawy o grach hazardowych). Taki czas retencji trzeba każdorazowo analizować, jak wskazano wcześniej.

  • REALIZACJA UPRAWNIEŃ PODMIOTÓW DANYCH

Należy rozważyć, jakie prawa wymagane w art. 15–22 RODO jesteśmy w stanie zrealizować wobec osób objętych monitoringiem. Nie wszystkie systemy umożliwiają np. anonimizację, tym samym mogą wystąpić problemy z udzielaniem dostępu do danych osób (kopii danych), których te dane dotyczą. Trudno bowiem wydać kopię danych (wizerunku) osobie, na której będą również dane innych osób. Realizacja uprawnień osoby obserwowanej niejednokrotnie wiąże się z wymogiem przedstawienia przez nią informacji o sytuacjach, w których mogła znaleźć się w obszarze działania systemu monitoringu. Na ogół mówimy o prawie dostępu do danych, żądaniu usunięcia danych, prawie do sprzeciwu.

  • NARUSZENIA OCHRONY DANYCH I NOTYFIKACJA

Wymagania w tym zakresie wskazano w art. 33 i art. 34 RODO. W jaki sposób określimy czas przechowywania nagrań (deklarowany)? W jaki sposób należy go skonfigurować, biorąc pod uwagę nadpisywanie starszych nagrań, gdy brakuje miejsca na nagrania? Uwzględniając przepisy art. 32 ust. 1 lit. c) RODO „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”, jakie są procedury w przypadku awarii nośnika danych? To tylko niektóre pytania i problemy do rozważenia.

  • ANALIZA RYZYKA I DPIA

Administratorzy mają do spełnienia szereg obowiązków w zakresie RODO. Jednym z nich jest analiza ryzyka (art. 24 i art. 32 RODO), w tym tzw. DPIA (Ocena Skutków dla Ochrony Danych). Warto podkreślić, że mówimy o ryzyku naruszenia praw i wolności osób fizycznych. Nie sposób pominąć też zagrożeń i ryzyka dla organizacji. Jeżeli dana metoda przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA) oraz konsultuje się z inspektorem ochrony danych (jeżeli został wyznaczony).

Ocena taka jest obligatoryjna:

− jeżeli systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych opiera się na zautomatyzowanym przetwarzaniu (w tym profilowaniu) i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,

− w przypadku przetwarzania na dużą skalę danych, o których mowa w art. 9 lub art. 10 RODO,

− w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,

− UODO wydaje też wykaz operacji, które wymagają DPIA. Ostatni ukazał się w lipcu 2019 r.

  • Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni.

Do tej grupy nie zalicza się systemów monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku konieczności analizy incydentów naruszenia prawa. Firma projektująca system monitoringu wizyjnego może wesprzeć administratora w tej kwestii, nawet gdy obowiązek spoczywa na samym administratorze danych osobowych.

  • MONITORING – REJESTROWANIE A PODGLĄD

Jeżeli kamera monitoringu służy jedynie do podglądu danej sceny (danego obszaru), a nagranie nie jest rejestrowane na dysku twardym czy innym nośniku, wówczas trudno mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamery zawiera wizerunki osób i został utrwalony w systemie monitoringu na nośnikach danych. Już samo gromadzenie, a nie tylko identyfikowanie osób, jest przetwarzaniem. Zatem systemy wizyjne umożliwiające podgląd „na żywo” wyłącznie na zasadzie wizjera nie podlegają reżimowi RODO.

  • PRZEPISY A MONITORING MIEJSC

Nie ma jednolitych przepisów regulujących kwestie podejścia do monitoringu wizyjnego. Należy rozważyć nie tylko przepisy RODO, ale także regulacje branżowe, m.in.:

  1. a) Kodeks Pracy:

− pracodawca może stosować monitoring wizyjny, gdy jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia bądź kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę;

  1. b) ustawa z 8 marca 1990 r. o samorządzie gminnym, ustawę z 5 czerwca 1998 r. o samorządzie powiatowym:

− zapewnienie porządku publicznego i bezpieczeństwa obywateli;

− zapewnienie ochrony przeciwpożarowej i przeciwpowodziowej;

− zapewnienie ochrony mienia komunalnego;

  1. c) ustawa z 5 czerwca 1998 r. o samorządzie województwa

− zapewnienie ochrony mienia województwa;

  1. d) ustawa z 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym:

− zapewnienie ochrony mienia państwowego.

Zasadniczo monitoringiem wizyjnym nie obejmuje się pomieszczeń udostępnianych zakładowej organizacji związkowej, pomieszczeń sanitarnych, szatni, przebieralni, sali do zajęć dydaktycznych czy wychowawczych i opiekuńczych, sali pomocy psychologicznej i pedagogicznej, stołówek oraz palarni, pomieszczeń przeznaczonych do odpoczynku i rekreacji pracowników, pomieszczeń sanitarno-higienicznych, gabinetu profilaktyki zdrowotnej. Nie powinien on stanowić środka nadzoru nad jakością pracy wykonywanej przez pracowników. Kamer nie stosujemy tam, gdzie możliwy jest inny nadzór.

  • PRZEPISY A MONITORING UKRYTY I DŹWIĘK

Nie stosujemy ukrytych kamer i nagrywania dźwięku. W zakresie swoich kompetencji tylko uprawnione służby mogą rejestrować również dźwięk.
Są wyjątki przy stosowaniu nagrywania dźwięku, jednak należy je konsultować ze specjalistami i mieć podstawy prawne (np. ustawa o grach hazardowych). Warto odnotować wyrok Wielkiej Izby Europejskiego Trybunału Praw Człowieka (ETPC) z 17 października 2019 r. w sprawie Lopez i inni przeciwko Hiszpanii dotyczący ukrytych kamer. Pracownicy w sposób zorganizowany okradali pracodawcę (hiszpański supermarket). Hiszpański pracodawca zastosował ukryte kamery, gdy zorientował się, jak duża jest skala kradzieży. Nagrania stanowiły dowód w sprawie o bezpodstawne rozwiązanie umowy o pracę. Zwolnieni pracownicy złożyli pozew ze względu na zastosowanie ukrytego monitoringu. W tym jednak przypadku interes pracodawcy okazał się ważniejszy niż prawo do prywatności, choć ETPC częściej opowiadała się po stronie pracowników. Wcześniej ETPC była zdecydowanie przeciwna takim formom nadzoru. W każdej takiej sprawie proporcjonalność środków dozoru bada się odrębnie. Ostrzegam zatem przed pochopnym podejmowaniem decyzji w zakresie stosowania takiego monitoringu u pracodawców.

  • STOSOWANIE ATRAP

Stanowisko Prezesa UODO jest w tej kwestii niezmienne – stosowanie atrap kamer powinno być zakazane. Z jednej strony wprowadzają one u potencjalnie monitorowanych poczucie ingerencji w sferę prywatności, z drugiej – dają mylne wrażenie większego bezpieczeństwa.

  • UWZGLĘDNIENIE OCHRONY DANYCH OSOBOWYCH W FAZIE PROJEKTOWANIA (PRIVACY BY DESIGN ORAZ PRIVACY BY DEFAULT)

Domyślne projektowanie prywatności idzie w parze z szacowaniem ryzyka, o którym wspomniano wcześniej. RODO nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie.

Odnosząc te zasady do kontekstu monitoringu wizyjnego, należy uwzględnić stosowane rozwiązania techniczne zarówno sprzętowe, jak i oprogramowania, np. maskowanie obiektów (statyczne i dynamiczne), pikselizacja wykorzystywana do anonimizacji, zawężanie obszarów, selektywne wybory śledzonego obiektu – kamery śledzące czy wykrywające ruch, rozpoznające nietypowe zachowania w monitorowanym obszarze, zabezpieczenia oraz kontrola dostępu osób postronnych, kontrola dostępu do oprogramowania i funkcjonalności (np. identyfikacja na podstawie cech biometrycznych), termowizja, sposoby montażu itp. (stołówka, prywatna posesja i dom sąsiada). Wiele systemów może nie spełniać tych wymagań.

Należy również pamiętać, iż systemy nagłośnieniowe powiązane z systemem monitoringu wizyjnego mają mikrofon służący do kalibracji tych urządzeń. Zatem istnieje ryzyko nieautoryzowanego podsłuchiwania.

Jak zatem mają postępować organizacje?

Niektóre kraje, np. Francja, rozważają zastosowanie algorytmów rozpoznawania twarzy. Z tego względu zainteresowanie organów nadzorczych, w tym Europejskiego Inspektora Ochrony Danych, systemami monitoringu wizyjnego rośnie. Należy zatem indywidualnie analizować przypadki, by rozwiązania mające służyć ochronie mienia i naszego bezpieczeństwa starać się godzić z prawem do prywatności, również projektując system dla osób prywatnych. Warto, aby temu zagadnieniu poświęcili nieco czasu zarówno administratorzy danych, jak i firmy profesjonalnie projektujące tego typu rozwiązania dla administratorów danych osobowych. Może się np. okazać, iż zleceniodawca będzie chciał przenieść ryzyko zgodności z wymogami prawa – w sposób umowny – na wykonawcę. Można to jednak rozpatrywać raczej jako formę możliwości zbudowania wartości dodanej do realizowanej usługi, pomagając klientowi postępować zgodnie z regulacjami.

 

Piotr Powązka

Absolwent Uniwersytetu Ekonomicznego we Wrocławiu. Posiada kilkunastoletnie doświadczenie korporacyjne w sektorach finansowym i technologicznym. Zaangażowany w przekształcanie prywatności i praktyk handlowych poprzez budowanie zrównoważonej wartości biznesowej, propaguje nowe standardy w umowach oraz kulturę ery zaufania i współpracy. Promuje strategiczne zmiany w sposobie prowadzenia biznesu i zarządzania relacjami. Wspiera organizacje w zakresie transformacji cyfrowej, ochrony danych osobowych i prywatności, zarządzania kontraktami, zgodności i kontroli wewnętrznej oraz modelowania procesów biznesowych. Jego publikacje obejmowały takie obszary, jak ceny transferowe, kryptowaluty, smart contracts, ochrona danych osobowych czy zarządzanie umowami (contract management). Członek the International Association of Privacy Professionals (IAPP) oraz Członek Rady the International Association for Contract & Commercial Management.