Monitoring wizyjny a ochrona danych osobowych
Warto zwrócić uwagę na fakt, że monitoring wizyjny nie jest jedyną zindeksowaną formą monitoringu, opisanego w przepisach normujących problematykę ochrony prywatności
fot. pixabay.com
Ostatnie dekady przyniosły lawinowy wzrost instalowanych w przestrzeni publicznej systemów monitoringu wizyjnego. I choć dzisiaj kamery towarzyszą nam niemal wszędzie, próżno szukać w kolejnych kodeksach kompleksowych rozwiązań prawnych w tej dziedzinie.
Zobacz także
Veolia Energy Contracting Poland Sp. z o.o. Przyszłość zarządzania energią i ciepłem w budynkach, czyli jak sprostać wymaganiom prawnym i przyspieszyć transformację energetyczną
Rozmowa z Piotrem Sprzączakiem, dyrektorem ds. rozwoju, członkiem zarządu Veolia ESCO, o przyszłości zarządzania energią i ciepłem w budynkach.
Rozmowa z Piotrem Sprzączakiem, dyrektorem ds. rozwoju, członkiem zarządu Veolia ESCO, o przyszłości zarządzania energią i ciepłem w budynkach.
„4M” Spółka Jawna Poznaj najwyższej jakości pojemniki na odpady
Jesteśmy rodzinną firmą działającą w branży gospodarki odpadami od 2008 roku. Nasza działalność powstała oraz funkcjonuje wyłącznie dzięki polskiemu kapitałowi. Wieloletnie doświadczenie pozwala zaspokoić...
Jesteśmy rodzinną firmą działającą w branży gospodarki odpadami od 2008 roku. Nasza działalność powstała oraz funkcjonuje wyłącznie dzięki polskiemu kapitałowi. Wieloletnie doświadczenie pozwala zaspokoić zróżnicowane potrzeby naszych partnerów. Trzonem naszej działalności są i zawsze były produkty marki WEBER – najlepsze jakościowo pojemniki na odpady w Europie! Dziś nasza oferta obejmuje także kontenery stalowe, pojemniki typu „dzwon” czy rozwiązania do segregacji wewnętrznej oraz zewnętrznej.
Miejskie Przedsiębiorstwo Gospodarki Mieszkaniowej S.A. Jak zmienić swojego zarządcę nieruchomości?
Zarządzanie nieruchomościami to dość trudna branża. Na rynku działa wiele firm, które oferują tego typu usługi. Coraz częściej zgłaszają się do nas osoby działające w zarządach Wspólnot Mieszkaniowych...
Zarządzanie nieruchomościami to dość trudna branża. Na rynku działa wiele firm, które oferują tego typu usługi. Coraz częściej zgłaszają się do nas osoby działające w zarządach Wspólnot Mieszkaniowych i proszą nas o przygotowanie oferty na zarządzanie, ponieważ nie są zadowolone ze współpracy z dotychczasowym zarządcą.
W artykule:• Podstawa prawna stosowania monitoringu wizyjnego
|
Również w przepisach normujących problematykę ochrony danych osobowych brak jest kompleksowych rozwiązań prawnych. I nie jest to nic nowego. Tak było w czasie obowiązywania przepisów zawartych w ustawie o ochronie danych osobowych z 29 sierpnia 1997 r., tak jest i dzisiaj, pod reżimem wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym potocznie RODO). A przecież, to właśnie te rozwiązania prawne, mają na celu ochronę praw i wolności osób fizycznych. Powyższe nie oznacza, że brak jest rozwiązań prawnych odnoszących się do procesu prowadzenia monitoringu wizyjnego w ogóle. Ustawą o ochronie danych osobowych z 10 maja 2018 r. wprowadzono szczegółowe unormowania sektorowe, niemniej, nie znalazły się w nich praktyczne rozwiązania systemowe, adresowane do podmiotów prowadzących monitoring wizyjny, w tym do spółdzielni i wspólnot mieszkaniowych. A w związku z faktem, że brak jest rozwiązań innych, niż wskazane powyżej, przyjmuje się je – na podstawie wskazówek Prezes Urzędu Ochrony Danych Osobowych, dotyczących wykorzystywania monitoringu wizyjnego – za obowiązujące – dla wszystkich istniejących i przyszłych systemów monitoringu wizyjnego.
Podstawa prawna stosowania monitoringu wizyjnego
Uznaje się powszechnie, że stosowanie monitoringu wizyjnego jest inwazyjnym rodzajem przetwarzania danych osobowych, a w związku z tym powinno podlegać szczególnym działaniom analitycznym, zarówno na etapie operacyjnym, jak i planistycznym. Jednakże praktyka pokazuje, że decyzje o uruchomieniu monitoringu wizyjnego mają swoje źródło nie w analizie przepisów o ochronie danych osobowych, a w rekomendacjach opisujących potencjalne, i przeszłe (zmaterializowane) negatywne zdarzenia bezpośrednio oddziaływujących na bezpieczeństwo zasobów administratora. Dlatego też, najczęściej za podstawę prawną prowadzonego monitoringu wizyjnego określa się prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), oparty o wymaganie zapewnienia bezpieczeństwa mieszkańców, ochrony mienia, przeciwdziałania przypadkom naruszenia porządku prawnego w miejscach monitorowanych, czy też utrwalania ewentualnych sprawców tych naruszeń. Warto przypomnieć, że w sytuacji przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes administratora, obligatoryjnym działaniem jest uprzednie przeprowadzenie testu równowagi.
Dopiero pozytywny wynik testu równowagi pozwoli przyjąć tę podstawę prawną za uprawnienie administratora do przetwarzania danych osobowych w stosowanym monitoringu wizyjnym. I choć systemy uproszczone monitoringu wizyjnego – najczęściej występujące w spółdzielniach i wspólnotach mieszkaniowych, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów bezpieczeństwa, nie znajdują się w wykazie rodzajów operacji przetwarzania danych osobowych, wymagających oceny skutków przetwarzania dla ich ochrony (DzUrz z 2019 r., poz. 666), to niezbędne jest wdrożenie wszelkich zasad, odnoszących się do tego rodzaju przetwarzania.
Podmiot przetwarzający
Podejmując decyzję o uruchomieniu systemu monitoringu wizyjnego, administrator musi zdecydować, czy jest w stanie samodzielnie prowadzić zaplanowane działania, czy konieczne będzie skorzystanie z pomocy podmiotu zewnętrznego. Decydując się na podpisanie umowy z podmiotem zewnętrznym, administrator musi określić, czy nawiązana relacja wiąże się z wykonywaniem działań o charakterze czysto technicznym, czy też z możliwością dostępu do utrwalonych danych osobowych. Jeśli tak, niezależnie od zawartej umowy biznesowej, obowiązkowym działaniem równoległym jest zawarcie umowy powierzenia przetwarzania danych osobowych. Przy czym, administrator korzysta wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych tak, by przetwarzanie danych osobowych spełniało wymogi określone w RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).
Obowiązek informacyjny
Jak już wspomniano, stosowanie monitoringu wizyjnego jest inwazyjną formą przetwarzania danych osobowych. Nie bez znaczenia jest zatem konieczność wypełnienia przez administratora obowiązku poinformowania osób, znajdujących się w obszarze monitorowania wizyjnego o zasadach przetwarzania ich danych osobowych, w tym o przysługujących im prawach. Niezbędne informacje, wynikające z art. 13 ust. 1 i 2 RODO, muszą być dostępne przed wejściem w obszar monitorowania, przy czym akceptowalna jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych, np. na tablicach informacyjnych oraz uzupełnienie ich w kolejnych warstwach informacyjnych, uzależnionych od specyfiki konkretnego administratora i prowadzonego przez niego procesu przetwarzania danych osobowych. Uwagę należy zwrócić także na proces planowania rozmieszczenia elementów monitoringu wizyjnego z takim wyliczeniem, by kamery nie były umieszczane w miejscach niedozwolonych, a także poza siedzibą administratora i zarządzanym przez niego terenem (obiektem).
Bezpieczeństwo i retencja danych
Planując uruchomienie systemu monitoringu wizyjnego administrator zobowiązany jest do przeprowadzenia analizy ryzyka dla tej formy przetwarzania danych osobowych oraz wdrożenia odpowiednich (skutecznych) środków organizacyjnych i technicznych, będących wynikiem przedmiotowej analizy. Środki te powinny obejmować w szczególności infrastrukturę IT zapewniającą bezpieczeństwo transferu danych, bezpieczeństwo przechowywanych zapisów, tworzenie kopii zapasowych, bezpieczeństwo fizyczne obiektów, w których rozmieszczone są elementy systemu, w tym serwery (rejestratory), bezpieczeństwo osobowe (gwarantujące dostęp do zapisów danych tylko dla osób upoważnionych przez administratora), procedury przeglądu i udostępniania zapisów, także inne elementy, uwzględniające potrzeby administratora.
Ważnym elementem prowadzonego procesu monitoringu wizyjnego jest spełnienie wymagań określonych w art. 5 ust. 1 lit e RODO oraz zapisach Ustawy o ochronie danych osobowych z 2018 r., odnoszących się do zasady ograniczonego przechowywania danych. Dane (zapisy) z monitoringu wizyjnego mogą być przechowywane maksymalnie przez okres 3 miesięcy, przy czym okres ten może być krótszy, jeśli tak wynikać będzie z celu stosowania monitoringu, lub dłuższy, gdy fragmenty z zapisów monitoringu wizyjnego stanowić będą dowody, np. w toczących się postępowaniach wyjaśniających przed odpowiednimi organami.
Inne formy monitorowania
Warto zwrócić uwagę na fakt, że monitoring wizyjny nie jest jedyną zindeksowaną formą monitoringu, opisanego w przepisach normujących problematykę ochrony prywatności. Także i inne formy monitorowania osób fizycznych doczekały się rozwiązań prawnych. To sprawia – z pożytkiem dla osób objętych tego rodzaju przetwarzaniem, że podmioty prowadzące, np. monitoring poczty elektronicznej, monitoring rozmów telefonicznych, procesy lokalizowania w przestrzeni (np. GPS), procesy przetwarzania danych biometrycznych, zobowiązane są do bezwzględnego wypełniania wymagań określonych w przepisach prawa w tym zakresie. Także prawa międzynarodowego.
Zgodnie z zapisami Konwencji praw człowieka, każdy człowiek ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. Dlatego też, nie tylko system monitoringu wizyjnego, ale także wspomniane powyżej inne formy monitorowania osób fizycznych mogą być stosowane tylko w sytuacji precyzyjnego określenia podstawy prawnej i celów sankcjonujących konieczność ingerencji w prywatność osoby fizycznej, a także po uprzednim poinformowaniu osoby fizycznej o rodzaju stosowanego monitoringu.
I to jest niezbędne minimum.