Uwarunkowania prawne
Pierwszym problemem w zakresie stosowania monitoringu wizyjnego jest brak w systemie prawa polskiego całościowej regulacji, która wyczerpująco regulowałaby choćby podstawowe zasady związane ze stosowaniem tego rozwiązania. Takiej wyspecjalizowanej regulacji nie znajdziemy również w prawie Unii Europejskiej. Warto śledzić dyskusję publiczną w tym zakresie, ponieważ już od jakiegoś czasu pojawiają się postulaty, aby taką całościową regulację w formie ustawy wprowadzić. Apelował o to m.in. Rzecznik Prawy Obywatelskich.
Nie oznacza to oczywiście, że tematyka ta pozostaje poza jakąkolwiek regulacją prawną. Mając na uwadze dość długie funkcjonowanie monitoringu wizyjnego w życiu publicznym, nauki prawne – poparte następnie orzecznictwem sądów – wypracowały model rozproszony. Zgodnie z tym modelem przepisy prawa odnoszące się do ustalenia zasad funkcjonowania i pewnych ograniczeń w zakresie monitoringu wizyjnego wywodzone są z regulacji odnoszących się do ochrony danych osobowych oraz ochrony wizerunku, a więc dóbr osobistych (ponieważ wizerunek jest jednym z dóbr osobistych podlegających prawnej ochronie). Największą doniosłość dla działania monitoringu będą miały kwestie ochrony danych osobowych, uregulowane w obowiązującym od maja 2018 r., dość powszechnie rozpoznawanym akcie normatywnym – rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego w skrócie ogólnym rozporządzeniem o ochronie danych, a znanym szerzej jako RODO.
Zgodnie z systemem prawnym Unii Europejskiej rozporządzenia znajdują bezpośrednie zastosowanie w państwach członkowskich, RODO zaś kształtuje prawa i obowiązki dla właściciela systemu monitoringu, który jest administratorem danych osobowych. RODO znajduje zastosowanie w każdym systemie monitoringu wizyjnego. Prywatne kamery zainstalowane na terenie nieruchomości mogą być uznane za przetwarzanie danych w celach osobistych lub domowych, a do takich RODO nie znajduje zastosowania.
Należy jednak uważać, ponieważ interpretowane jest to bardzo restrykcyjnie i zależy od tego, jakie konkretnie miejsca rejestrowane są przez kamery systemu monitoringu. Na przykład Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 11 grudnia 2014 r. (sprawa C-212/13) stwierdził, że funkcjonowanie kamery zainstalowanej na domu w celu ochrony własności, zdrowia i życia właścicieli, która rejestruje również przestrzeń publiczną (ulicę), nie stanowi przetwarzania danych o czysto osobistym lub domowym charakterze.
Dodatkowo w systemie ochrony danych osobowych funkcjonuje też ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000), wdrażająca rozporządzenie unijne oraz wiele regulacji rozproszonych w ustawach szczególnych, które odnoszą się jednak do stosowania monitoringu w zakładach pracy lub podmiotach publicznych. Na przykład zasady stosowania monitoringu znajdziemy w Kodeksie pracy czy Prawie oświatowym (w odniesieniu do szkół, przedszkoli i podobnych placówek).
Wspomniane przepisy Kodeksu pracy i Prawa oświatowego weszły w życie w 2018 r., a ich pojawienie się wynika właśnie z rozpoczęcia stosowania przepisów RODO. Utrwalanie wizerunku osób fizycznych, ich cech szczególnych czy numerów rejestracyjnych pojazdów, które umożliwia ich bezpośrednią lub pośrednią identyfikację, jest jednym z przejawów przetwarzania danych osobowych i podlega pod regulacje rozporządzenia. Podobnie jak wcześniej podstawą takiego procesu przetwarzania jest prawnie uzasadniony interes administratora danych, a konkretnie podstawa przetwarzania wskazana w art. 6 ust. 1 lit f) RODO. Przepis ten wskazuje dopuszczalność przetwarzania, jeżeli jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, szczególnie gdy osoba, której dane dotyczą, jest dzieckiem. Jednakże rozporządzenie przewiduje, że organy publiczne nie mogą powoływać się na tę podstawę prawną przetwarzania, a państwa członkowskie uprawnione są do uchwalenia przepisów regulujących proces przetwarzania danych osobowych w zakresie zatrudnienia. Stąd wprowadzone w 2018 r. przepisy szczególne.
Monitoring a ochrona danych osobowych
Biorąc pod uwagę, że na funkcjonowanie systemu monitoringu wizyjnego największy wpływ mieć będą przepisy z zakresu ochrony danych osobowych, określając sposób jego działania i tworząc dokumentację regulującą tę kwestię, należy mieć na uwadze podstawowe zasady (wytyczne), właściwe dla wszystkich procesów przetwarzania danych osobowych. Wyróżnić można następujące zasady:
1. Zasada legalności – przetwarzane musi odbywać się na podstawie przepisów prawa. W wypadku monitoringu wizyjnego stosowanego przez podmioty prywatne będzie to wspomniany art. 6 ust. 1 lit f) RODO: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora lub osób trzecich.
2. Zasada celowości – dane zbierane w oznaczonych, zgodnych z prawem celach i niepoddawane dalszemu przetwarzaniu, jeśli jest to niezgodne z tymi celami.
3. Zasada merytorycznej poprawności – dane muszą być poprawne. Przy czym z oczywistych względów zasada ta nie będzie miała wielkiego znaczenia dla przetwarzania danych w ramach systemu monitoringu (trudno o niepoprawność nagrania).
4. Zasada adekwatności – zakres przetwarzanych danych powinien być adekwatny, tj. niezbędny i proporcjonalny w stosunku do celów, w jakich dane są przetwarzane.
5. Zasada ograniczenia czasowego – dane nie powinny być przetwarzane dłużej, niż jest to niezbędne do osiągnięcia celu, dla którego są przetwarzane.
6. Szczególne znaczenie dla ustalenia zasad funkcjonowania systemu monitoringu wizyjnego będą miały zasady celowości, adekwatności i ograniczenia czasowego. Wskazane powyżej zasady przenikają się i sposób przetwarzania danych przy ich zastosowaniu powinien być spójny.
Zrozumiałe jest, że prawnie uzasadnionym interesem administratora lub osób trzecich dla funkcjonowania systemu monitoringu wizyjnego na terenie osiedla będzie chęć zapewnienia bezpieczeństwa, czyli ochrona zdrowia i życia osób przebywających na terenie nieruchomości oraz ochrony porządku publicznego i mienia znajdującego się na terenie nieruchomości. Tak sformułowany interes określa nam jednocześnie cel prowadzonego przetwarzania danych, o którym mowa w zasadzie celowości. Skoro dane przetwarzane są w związku z chęcią zapewnienia bezpieczeństwa, to celowe będzie umieszczenie kamer w kluczowych dla tego elementu miejscach, np. przy wejściach i wjazdach na teren osiedla czy do budynków. Jako wątpliwe w związku z zasadą celowości będzie jednak umieszczenie kamer na każdym piętrze. Powiązane jest to również z zasadą adekwatności, która wymaga, aby miejsca montażu kamer i ich dobór były adekwatne do celu przetwarzania, a więc zapewnienia bezpieczeństwa. Stąd też niedopuszczalne będzie nagrywanie dźwięku jako zbyt daleko idąca ingerencja.
Zasada ograniczenia czasowego, także powiązana, będzie miała duże znaczenie dla funkcjonowania systemu monitoringu wizyjnego. Mając na uwadze cel przetwarzania danych za pomocą zainstalowanych kamer, tj. przeciwdziałanie incydentom naruszającym bezpieczeństwo i porządek publiczny na terenie osiedla, niecelowe będzie przetrzymywanie nagrań przez zbyt długi okres. Byłoby to z resztą technicznie trudne, aby nagrania przechowywać przez jakiś wydłużony czas. Powszechnie stosuje się obecnie zapis na dysku twardym, który po ustalonym okresie nadpisywany jest przez kolejne nagranie. Jeżeli nastąpił incydent, to nagranie zostanie zabezpieczone, jeżeli zaś nie dojdzie do żadnego zgłoszenia, zapis z monitoringu przepadnie.
Dane osobowe należy rozumieć szeroko – jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania, bezpośrednio lub pośrednio, osobie fizycznej. Wizerunek nie stanowi szczególnej kategorii danych wymagających specjalnych środków ochrony procesów przetwarzania. Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych, dopiero stosowanie systemu, który pozwala na analizę nagrania klatka po klatce i ma możliwość automatycznej identyfikacji osób nagranych, prowadziło będzie do przetwarzania danych biometrycznych, a więc szczególnie chronionych. Na marginesie warto wspomnieć, że aby w ogóle mówić o przetwarzaniu danych osobowych przez monitoring, musi dochodzić do zapisu obrazu, który następnie może być odtworzony i pozwoli na identyfikację nagranych osób. Kamery pozwalające ochronie na podgląd terenu w czasie rzeczywistym, bez jego nagrywania, nie będą stanowiły przetwarzania danych osobowych.
Zachowania administratora danych osobowych – z punktu widzenia użytkowania przez niego systemu monitoringu – oceniane będą surowo. Zgodnie bowiem z RODO monitoring wizyjny określany jest jako sposób przetwarzania, który może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 35 rozporządzenia, a więc głęboko ingeruje w ich prawa i wolności. Stąd dobrze jest wprowadzić ścisłe reguły jego funkcjonowania. Administrator systemu monitoringu powinien przeprowadzić ocenę skutków wprowadzenia systemu kamer dla ochrony danych. Przy monitorowaniu miejsc dostępnych publicznie jest ona obowiązkowa. Przeprowadzona ocena, przybierając formę oficjalnego dokumentu wewnętrznego, określa:
1) opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora z wykorzystaniem monitoringu,
2) czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
3) ryzyko naruszenia praw lub wolności osób, których dane dotyczą (w wypadku monitoringu miejsc publicznych ryzyko określa się jako znaczne),
4) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Zabezpieczenie systemu i udostępnianie nagrań
Kolejna z ogólnych zasad przenikająca z systemu ochrony danych osobowych do uregulowań w zakresie monitoringu wizyjnego dotyczy wymogu zabezpieczenia przetwarzanych danych osobowych i zapewnienia bezpieczeństwa tych danych. Administrator danych zobowiązany jest do ich przetwarzania w sposób zapewniający ich bezpieczeństwo, szczególnie ochronę przed niedozwolonym lub niezgodnym z prawem dostępem osób trzecich albo przypadkową ich utratą, zniszczeniem czy uszkodzeniem. Ponieważ do wspólnot i spółdzielni na razie nie mają zastosowania szczególne przepisy z zakresu monitoringu, dobór sposobu zabezpieczenia systemu monitoringu pozostawia się do ich decyzji. Zgodnie bowiem z filozofią pewnego uniwersalizmu regulacji RODO to administrator danych dobiera, w jego ocenie, adekwatne sposoby zabezpieczenia, wykorzystując środki techniczne lub organizacyjne stosownie do specyfiki działalności. Rodzi to trudności praktyczne, gdyż określa się wymogi dla administratorów pod groźbą kary, ale pozostawia się administratorowi dużą dozę swobody w zakresie doboru środków do osiągnięcia wyznaczonych rozporządzeniem celów i realizacji procedur.
Zarejestrowany obraz nie stanowi własności operatora monitoringu – wspólnoty lub spółdzielni, a jedynie administrowany przez nie zbiór danych. Nie jest on zatem dostępny dla wszystkich członków tej zbiorowości. Nagrania nie będą dokumentacją podlegającą ujawnieniu na podstawie ustawy o własności lokali czy prawa spółdzielczego. Monitoring jest wykorzystywany do celów szeroko rozumianego bezpieczeństwa, ochrony zdrowia i mienia. Stąd możliwość udostępnienia nagrań należy postrzegać przez pryzmat celów, dla których dane te przez monitoring są przetwarzane. Otrzymując wniosek o dostęp lub udostępnienie nagrania, należy zwrócić się do wnioskodawcy, aby wskazał cel, w jakim chce je uzyskać, np. zdarzenie, które monitoring mógł zarejestrować. Wnioskodawca będzie przetwarzał udostępnione w nagraniu dane osobowe i musi wskazać, że ma do tego podstawy prawne. Jeżeli wniosek dotyczyć będzie zarejestrowanego przez kamery obrazu, na którym wnioskodawca nie został uwieczniony, powinien wskazać, w jakim celu domaga się udostępnienia, a administrator będzie musiał ocenić, czy jest to cel wynikający z jego prawnie uzasadnionych interesów. Jeżeli zaś jest to nagranie, na którym członek wspólnoty jest widoczny, to administrator nie będzie miał możliwości odmówienia udostępnienia takiego nagrania. Zgodnie z RODO każda osoba, której dane są przetwarzane, ma prawo do dostępu do tych danych i uzyskania ich kopii. Administrator monitoringu powinien wymagać, aby wnioski wydania zapisu z kamer były precyzyjne. Nie dotyczy to oczywiście zabezpieczenia nagrań na wniosek odpowiednich organów, szczególnie policji.
Udostępniane nagrania na wniosek prywatny powinny być jednak powiązane z określonym zdarzeniem, pewnym zamkniętym okresem, które miało być uwiecznione, np. kolizji na drodze osiedlowej. Powinno się wymagać możliwe precyzyjnych żądań udostępnienia nagrań, aby móc zweryfikować, jakiej „treści” nagranie będzie udostępniane, a tym samym, czy wnioskodawcy rzeczywiście przysługuje prawo do jego uzyskania, oraz zapewnić ochronę innych osób zarejestrowanych przez monitoring.
Administrator danych osobowych może być rozliczany ze sposobu, w jaki dokonuje procesów przetwarzania i realizuje żądania osób, których dane dotyczą. Powinien zadbać zatem o odpowiednie udokumentowanie wniosków i udostępnień. To wspólnota/spółdzielnia będzie musiała bowiem wykazać, że dane przetwarzane są prawidłowo, a udostępnienie jest jedną z czynności przetwarzania. Aby ograniczyć swoją ewentualną odpowiedzialność za udostępnienie nagrań monitoringu, następnie rozpowszechnionych w Internecie, operatorzy monitoringu często dają możliwość zabezpieczenia nagrania na potrzeby przyszłego postępowania i udostępniają je dopiero na wniosek sądu lub organów ścigania. Warto mieć zasady i podstawy udostępniania na uwadze, jeśli bowiem do udostępnienia nagrania (danych) dojdzie zgodnie z prawem, to za dalsze działania kolejnego administratora danych, tj. osoby, której nagranie przekazano, operator monitoringu nie będzie odpowiadać. Osoba, której udostępniono nagranie, powinna przetwarzać zawarte na nim dane osobowe zgodnie z przepisami, więc nie może ich zamieszczać np. w mediach społecznościowych w celu zdyskredytowania sąsiada – byłoby to działanie bezprawne. Problemem praktycznym jest przekazanie nagrania w takiej formie, żeby nie udostępnić jednocześnie wnioskodawcy również danych osób trzecich, np. niezwiązanych ze zdarzeniem przechodniów. Stąd też powinno się udostępniać się możliwie krótkie fragmenty nagrań.
Prawa osób nagranych
Kwestia zabezpieczenia i udostępnienia nagrań z monitoringu wizyjnego wiąże się ogólnie z uprawnieniami osób, których dane są przetwarzane. Nie ma tutaj znaczenia, czy osoba nagrana jest członkiem wspólnoty/spółdzielni administrującej danymi osobowymi. Brak jest prawnych podstaw, aby różnicować prawa najemców, właścicieli lokali czy przypadkowych przechodniów w odniesieniu do przetwarzanych przez monitoring danych osobowych. Uprawnienia w odniesieniu do nagrania wynikają z samego faktu bycia nagranym lub przysługującego prawnie uzasadnionego interesu. Szczególnie w zakresie dostępu do nagrań bez znaczenia prawnego będzie, czy wnioskujący posiada tytuł prawny do lokalu wchodzącego w skład wspólnoty, czy status członka spółdzielni.
Wszystkie osoby, których dane są przetwarzane, mają określony przepisami RODO katalog uprawnień w związku z przetwarzaniem ich danych osobowych. W odniesieniu do nagrań z monitoringu należy szczególnie mieć na uwadze ich prawo do:
1) uzyskania informacji, czy ich dane są przetwarzane, a jeżeli tak, to w jakim celu, jakie kategorie, dla jakich odbiorców, przez jaki okres, jakie w związku z tym są uprawnienia osoby, której dane dotyczą. Z tym uprawnieniem powiązany jest obowiązek informacyjny oraz stworzenie odpowiedniego regulaminu funkcjonowania monitoringu wizyjnego, o czym będzie mowa poniżej;
2) uzyskania kopii danych, które przetwarza administrator, o czym była mowa powyżej, a co w odniesieniu do nagrań monitoringu może nastręczać pewnych trudności praktycznych. Warto mieć na uwadze – ponieważ udostępnienie nagrań wymaga wykorzystania jakiegoś nośnika – że administrator może pobrać opłatę za kopię danych, wynikającą z kosztów administracyjnych przygotowania i wysyłki kopii, np. kosztu nagrania i wysyłki płyty DVD;
3) żądania ograniczenia przetwarzania, jeżeli osoba, której dane dotyczą:
a) zakwestionuje zgodność z prawem prowadzonego przetwarzania, a jednocześnie sprzeciwia się ich usunięciu,
b) wskaże, że administrator danych nie potrzebuje do celów przetwarzania, ale są one potrzebne osobie, której dotyczą,
c) wniosła sprzeciw co do przetwarzania i zachodzi konieczność rozważenia interesu nadrzędnego (osoby nagranej i administratora).
Tego typu sytuacje będą najczęściej powiązane z ogólnym sprzeciwem wobec funkcjonowania monitoringu. Zgłoszone żądanie nie powoduje jednak konieczności jego wyłączenia czy skasowania nagrań, na których osoba zgłaszająca żądanie została nagrana. Ograniczone przetwarzanie danych sprowadza się do czynności ich przechowania, chyba że osoba, której dane dotyczą, udzieli zgody na inne czynności. W ramach ograniczonego przetwarzania administrator może też przetwarzać dane w celu ustalenia, dochodzenia lub obrony roszczeń albo w celu ochrony praw innej osoby bądź ochrony interesu publicznego;
4) domagania się przekazania danych do innego administratora, a więc przekazania nagrań wskazanemu przez nagranego podmiotowi, o ile jest to technicznie możliwe.
W świetle pewnych kontrowersji w zakresie prywatności, które czasami budzi posługiwanie się monitoringiem, należy nieco więcej miejsca poświęcić „prawu do bycia zapomnianym”, o którym szeroko pisano w związku z RODO, tj. prawu do żądania usunięcia swoich danych osobowych. Uwzględniając stosunkowo krótką żywotność niezabezpieczonych nagrań, nie należy się obawiać żądań usunięcia, przepisy nie nakładają bowiem obowiązku natychmiastowej reakcji na zgłoszone żądanie. Usunięcie powinno nastąpić bez zbędnej zwłoki. Uprawnione może być stwierdzenie, że monitoring nadpisujący nagranie nawet po tygodniu bez jakiejkolwiek ingerencji usunie dane. Niemniej usunięcie nagrania jest możliwe, jeżeli:
- stały się one zbędne do celów, w których je przetwarzano,
- cofnięto zgodę na ich przetwarzanie i nie ma innej podstawy ich przetwarzania,
- dane były przetwarzane niezgodnie z prawem,
- muszą zostać usunięte zgodnie z prawem,
- dotyczą osoby poniżej 16. roku życia (zebrane za zgodą opiekuna).
Ponadto, jeżeli dane były udostępniane, administrator zobowiązany jest podjąć „rozsądne” działania, wykorzystując dostępne środki techniczne, aby poinformować dodatkowych administratorów, którym dane udostępniono, że należy usunąć dane ze względu na zgłoszone żądanie. Obowiązek wspomnianego poinformowania należy zrealizować, wskazując, że doszło do usunięcia, sprostowania (lub ograniczenia przetwarzania, o którym mowa poniżej) wszystkich zidentyfikowanych odbiorców, chyba że okaże się to niemożliwe lub niewspółmiernie utrudnione. Ideą jest, aby raz zgłoszone żądanie usunięcia obejmowało wszelkie podane i udostępnione dalej dane, łącza do nich, ich kopie i replikacje. Żądanie usunięcia będzie niemożliwe do zrealizowania, jeżeli dane są niezbędne:
- do korzystania z prawa i wolności wypowiedzi i informacji,
- do wywiązywania się z prawnego obowiązku wymagającego dalszego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym albo w ramach wykonywanej przez administratora władzy publicznej,
- ze względu na interes publiczny w dziedzinie zdrowia publicznego,
- do celów archiwalnych w interesie publicznym, celów badań naukowych lub historycznych, do celów statystycznych,
- do ustalenia, dochodzenia lub obrony roszczeń.
Konstruując system obsługi monitoringu opisany w regulaminie, administrator musi mieć na uwadze, że zgodnie z przepisami zobowiązany jest reagować na przedstawione zapytania i żądania w zakresie danych osobowych w terminie miesiąca do ich otrzymania. Czas reakcji może zostać wydłużony, ale nie więcej niż do dwóch miesięcy w sytuacjach bardziej skomplikowanego żądania, obejmującego np. nagrania z dłuższego okresu. Niedochowanie wskazanych terminów i brak informacji o przyczynach braku reakcji może spowodować złożenie skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, który z uwagi na specyfikę monitoringu uprawniony jest kontrolować administratorów tych danych osobowych. W trakcie takiej kontroli weryfikowane są nie tylko funkcjonowanie systemu przetwarzania danych osobowych, ale także przyjęte środki techniczne i organizacyjne.
Związany z tym jest wymóg posiadania odpowiedniej dokumentacji wewnętrznej, która pomoże administratorowi wykazać, że procesy przetwarzania danych osobowych zawartych w nagraniach z monitoringu prowadzone są zgodnie z przepisami prawa. Ogólną zasadą jest, że to administrator danych osobowych musi wykazać zgodność przetwarzania z wytycznymi i wymaganiami RODO i przepisów krajowych (o ile takie będą funkcjonowały dla podmiotów prywatnych). Szczególnie wymaga się tworzenia i utrzymywania wewnętrznych rejestrów dotyczących zbiorów danych osobowych, którymi administrator dysponuje, które wskazują ogólne zasady przetwarzania danych w ramach prowadzonej działalności.
Obowiązki informacyjne
Jeżeli chodzi o organizację systemu monitoringu wizyjnego, to – mając na uwadze przepisy z zakresu ochrony danych osobowych – najbardziej widocznym przejawem jego stosowania jest obowiązek właściwego poinformowania potencjalnie nagranych osób o nagrywaniu, lecz również o zasadach przetwarzanych w ten sposób danych osobowych. W tym zakresie, kierunkowo, warto uwzględnić przepisy ustaw odnoszące się do stosowania monitoringu przez podmioty publiczne. Przepisy ustaw dotyczących jednostek samorządu terytorialnego wymagają, żeby nieruchomości i obiekty budowlane objęte monitoringiem oznaczać w sposób widoczny i czytelny informacją o monitoringu, szczególnie za pomocą odpowiednich znaków. Dopuszczalne jest również informowanie na piśmie (ulotki, obwieszczenia) czy dźwiękowe – w formie powtarzających się komunikatów z systemu nagłaśniającego.
Dużą wagę w systemach przetwarzania danych osobowych, a więc również monitoringu wizyjnego, mają bowiem obowiązki informacyjne administratora danych osobowych. Zakres tych obowiązków wynika z omawianych wcześniej zasad przetwarzania oraz uprawnień osób, których dane dotyczą. Należy zatem informować przebywających na terenie objętym monitoringiem o fakcie nagrywania osób, które wejdą na teren nieruchomości, lecz również o zasadach prowadzonego przetwarzania i związanych z nim uprawnieniach.
Rozbudowany obowiązek informacyjny wynika z faktu, że jednym z celów rozporządzenia RODO, poza usystematyzowaniem zasad przetwarzania, jest również edukacja ludności w zakresie zasad przetwarzania danych oraz praw osób, których dane dotyczą. Przekazanie informacji w tym zakresie powinno się odbyć w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Co bywa trudne do pogodzenia, mając na uwadze ilość wymaganych do przekazania informacji.
Osobie, której dane są przetwarzane w ramach systemu monitoringu, należy umożliwić zapoznanie się z informacjami w zakresie:
1) tego, kto jest administratorem jej danych osobowych, wraz z danymi kontaktowymi i danymi kontaktowymi inspektora ochrony danych, jeżeli administrator go powołał,
2) celów, w jakich dane osobowe będą przetwarzane, oraz podstawy prawnej takiego przetwarzania. Jeżeli podstawą prawną są uzasadnione interesy administratora, należy wskazać, jakie to są interesy,
3) tego, kim są odbiorcy danych osobowych, jeżeli będą one udostępniane osobom trzecim (można poprzestać na wskazaniu kategorii odbiorców),
4) tego, czy dane osobowe będą udostępniane do państwa spoza Unii Europejskiej lub do organizacji międzynarodowych, a jeżeli tak, to:
a) czy Komisja Europejska stwierdziła odpowiedni stopień ochrony danych przez ten podmiot,
b) jak zabezpieczane będą przekazywane dane,
c) jakie są możliwości uzyskania kopii przekazanych danych i informacji o miejscu udostępnienia,
5) przez jaki okres dane będą przechowywane, o ile to możliwe, lub wskazać kryteria do określenia tego okresu,
6) o przysługujących prawach w stosunku do procesu przetwarzania danych osobowych (sprostowania, usunięcia, ograniczenia przetwarzania, prawie do sprzeciwu, prawie do przenoszenia),
7) prawie do cofnięcia zgody na przetwarzanie, jeżeli do przetwarzania dochodzi na podstawie zgody, oraz o konsekwencjach takiego cofnięcia dla wcześniejszego przetwarzania,
8) o prawie do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych,
9) informację o tym, czy wymóg podania danych osobowych jest wymogiem ustawowym, umownym czy warunkiem zawarcia umowy, oraz czy osoba, której dane dotyczą, jest zobowiązana do podania danych – i jakie są konsekwencje niepodania danych,
10) o dokonywanym na podstawie danych zautomatyzowanym podejmowaniu decyzji, profilowaniu, a jeżeli takie jest dokonywane, to na jakich zasadach i według jakich kryteriów.
Niektóre z powyższych punktów nie odnoszą się wprost do przetwarzania danych osobowych w zakresie nagrań monitoringu, jednak wymaga się podania pełnej informacji. Toteż przygotowując ww. klauzulę informacyjną, należy wskazać, że niektóre sytuacje nie będą występować, np. dane nie będą udostępniane poza obszar Unii Europejskiej albo nie będą wykorzystywane do profilowania.
Tablice informujące o monitoringu
Jak widać, pewnych praktycznych problemów nastręcza zakres przekazywanych informacji w połączeniu z wymogiem, aby obowiązek informacyjny realizować zwięźle, precyzyjnie i przystępnie. W pierwszej kolejności należy umieścić na obszarze nagrywanym tablice informujące o prowadzonym monitoringu. Ta na tych tablicach powinny znaleźć się podstawowe informacje o administratorze, podstawach i zasadach prowadzonych działań, wraz z informacją, gdzie można zapoznać się ze szczegółowym regulaminem funkcjonowania systemu. Pomocne w tym zakresie są wytyczne publikowane przez Urząd Ochrony Danych Osobowych, który wskazał, że tzw. informacje w pierwszej warstwie, a więc przy wejściu na teren monitorowany, obejmują:
- dane administratora,
- cel przetwarzania danych,
- zasięg monitoringu,
- okres przechowania danych.
- odesłanie, gdzie szukać dodatkowych informacji o przetwarzaniu danych i prawach osób, których dane dotyczą (punkt kontaktowy, link, strona internetowa, adres poczty e-mail lub numer telefonu).
Zdj. 2. Przykład klauzuli informacyjnej
Źródło: K.M. Król, Jak realizować obowiązek informacyjny przy monitoringu wizyjnym?, https://uodo.gov.pl/pl/file/2008
Należy jednak pamiętać, że podobnie jak o samym monitorowaniu, również w kwestiach szerszego obowiązku informacyjnego nie ma wymogów formalnych co do sposobu jego realizacji. Wydaje się zatem, że w pełni poprawne będzie również umieszczenie nieco bardziej oszczędnej w treść tablicy, ale jednocześnie z bardzo czytelną i ze zrozumiałą treścią.
Zdj. 2. Tablica informacyjna
Źródło: archiwum autora
Najistotniejsze w zakresie obowiązku informacyjnego jest poinformowanie o samym fakcie nagrywania, o osobie będącej administratorem danych osobowych oraz o miejscu udostępnienia bardziej szczegółowych danych z tym związanych. W ocenie niżej podpisanego dopuszczalne będzie umieszczenie na tablicach nie tyle pełnej informacji, ile sposobu jej pozyskania, np. wskazanie podmiotu administratora danych oraz strony internetowej, gdzie zamieszczona będzie pełna klauzula informacyjna. Szczegółowa informacja, np. regulamin na tablicy ogłoszeń, również powinna być jasna i zrozumiała, aby łatwo było się z nią zapoznać. Jest to jednak łatwiejsze do osiągnięcia niż w wypadku tablic informacyjnych, które nietrudno jest przeładować danymi.
Regulamin monitoringu wizyjnego
Omawiane powyżej zasady przetwarzania danych, uprawnienia osób, których dane dotyczą, oraz obowiązki informacyjne w zakresie prowadzonego przetwarzania znajdują swoje ujście we wspomnianej szczegółowej informacji o zasadach prowadzonego monitoringu wizyjnego, który w praktyce przybiera najczęściej formę regulaminu wprowadzonego przez administratora. Zasady i regulacje prawne wpływające na jego treść omówiono powyżej. Przykładowy prosty regulamin monitoringu w budynku mieszkalnym wielorodzinnym dostępny jest w redakcji „Mieszkania i Wspólnoty”.
Należy mieć na uwadze wskazane wcześniej założenie, że wytyczne wynikające z rozporządzenia RODO każdy administrator danych osobowych powinien dostosować do swojej specyfiki, stąd nie istnieje tylko jeden dopuszczalny regulamin.
Outsourcing monitoringu wizyjnego
Jak widać na zaprezentowanym przykładzie, w procesie obsługi systemu monitoringu wizyjnego może współdziałać kilka podmiotów, z których jeden zleca drugiemu jego obsługę. Należy rozróżnić sytuację prawną administratora danych osobowych (zlecający), osoby upoważnionej i procesora – podmiotu, któremu powierzono przetwarzanie danych osobowych. Administratorem danych osobowych osób widocznych na nagraniach monitoringu będzie podmiot, który podejmuje decyzje o instalacji, celach, zasadach funkcjonowania i obszarze objętym monitoringiem wizyjnym. Osoba upoważniona dokonuje czynności przetwarzania danych osobowych wyłącznie na polecenie administratora. Do tej kategorii zalicza się szczególnie pracowników podmiotu, który jest operatorem systemu monitoringu tych danych, i do czynności przetwarzania dochodzi w ramach struktury organizacyjnej administratora danych.
Podmiot przetwarzający dane osobowe, zwany niekiedy również „procesorem”, to podmiot, który w zakresie operacji na danych osobowych przetwarza je w imieniu administratora. Procesor przetwarza dane wyłącznie na zlecenie administratora i jego udokumentowane polecenie w tym zakresie, współpracuje z nim, ale operacji na danych osobowych dokonuje jedynie w zakresie wskazanym przez administratora. Nie podejmuje samodzielnych działań, nie kształtuje zakresu przetwarzanych danych i celu ich przetwarzania.
W praktyce zewnętrzna firma obsługująca monitoring będzie zatem procesorem, a administratorem będzie np. wspólnota mieszkaniowa, która zdecydowała o instalacji systemu monitoringu i zatwierdziła zasady jego funkcjonowania. Między tymi podmiotami konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych w zakresie monitoringu
RODO zawiera ogólną wytyczną zobowiązującą administratora do współpracy jedynie z procesorami, którzy zapewniają odpowiednie gwarancje co do stosowanych środków technicznych i organizacyjnych, które zabezpieczają powierzone dane osobowe. Umowa ustala zasady takiej współpracy i jej zakres oraz daje administratorowi możliwość kontroli podmiotu przetwarzającego co do przyjętych środków organizacyjnych i technicznych związanych z procesem przetwarzania danych osobowych.
W takiej umowie należy bezwzględnie określić:
1) przedmiot i czas powierzonego przetwarzania, jego charakter i cel. W zdecydowanej większości sytuacji takie powierzenie będzie związane z jakąś inną zawartą między stronami umową, w ramach realizacji której dokonywane są czynności na danych osobowych (np. umowa, w ramach której świadczone są usługi ochrony). Przetwarzanie będzie wówczas dokonywane przez czas obowiązywania tej głównej umowy,
2) rodzaj powierzonych danych osobowych oraz kategorie osób, których przetwarzane dane dotyczą. Należy określić rodzaj powierzonych danych i wskazać, czy są to dane zwykłe, czy szczególne (tzw. dane wrażliwe), oraz wskazać kategorie powierzonych danych,
3) prawa i obowiązki administratora i procesora,
4) zapewnienie procesora, że osoby przez niego upoważnione, działające przy powierzonym przetwarzaniu, zobowiązane są do zachowania tajemnicy,
5) zobowiązanie procesora do stosowania odpowiednich środków (organizacyjnych i technicznych) zapewniających bezpieczeństwo powierzonych danych osobowych,
6) zasady współpracy przy wykrywaniu i stwierdzaniu naruszeń w zakresie przetwarzania danych osobowych,
7) zobowiązanie stron do współpracy w realizowaniu uprawnień osób, których dane dotyczą,
8) rozporządzenie powierzonymi danymi po zakończeniu współpracy, zobowiązanie procesora do ich zwrotu lub usunięcia zależnie od woli administratora,
9) zobowiązanie procesora do udostępniania wszelkich informacji niezbędnych administratorowi do wykazania, że spełnia on wymogi w zakresie powierzenia przetwarzania danych, w tym prawo administratora do przeprowadzenia inspekcji i zasady jej przeprowadzenia. Mając na uwadze, że umowa powierzenia przetwarzania danych dotyczy w pewnej mierze odrębnego obszaru prowadzonej przez jej strony współpracy, wydaje się, że dobrym rozwiązaniem praktycznym jest uregulowanie tego zakresu w osobnym dokumencie umowy i jedynie odwołanie się, że powodem zawarcia umowy jest „umowa główna”, określająca podstawową treść wzajemnych zobowiązań. Pozwala to chociażby wyraźnie określić okres powierzonego przetwarzania danych, które odbywać się będzie zazwyczaj przez czas obowiązywania „umowy głównej”.
POLECAMY
