Monitoring wizyjny jest inwazyjną formą przetwarzania danych osobowych i jako taki powinien podlegać szczególnej weryfikacji przez administratora potrzeby jego stosowania i konieczności zabezpieczenia oraz kontroli przez organy kontrolne.
Nową, uchwaloną 10 maja 2018 r., ustawą o ochronie danych osobowych znowelizowano przepisy sektorowe dotyczące monitoringu wizyjnego stosowanego przez pracodawców, placówki oświatowe oraz jednostki samorządu terytorialnego.
Zważywszy wątpliwości związane z nowymi przepisami oraz zróżnicowanym charakterem stosowanych obecnie systemów monitoringu wizyjnego Prezes Urzędu Ochrony Danych Osobowych zachęca do udziału w konsultacjach niniejszego dokumentu. Mają one na celu jak najdokładniejsze poznanie potrzeb i opinii różnych środowisk w tej sprawie. Wszystkie zainteresowane osoby, w szczególności zrzeszenia branżowe i organizacje pozarządowe, mogą przedstawić swoje stanowisko. Uwagi do poszczególnych punktów i sugestie co do nieporuszonych kwestii, które Państwa zdaniem powinny zostać poruszone należy przesyłać do 15 lipca 2018 r. na adres: DESiWM@uodo.gov.pl. W tytule wiadomości prosimy wskazać hasło „Konsultacje Monitoring”. Wynikiem konsultacji będzie publikacja ostatecznej wersji wskazówek.
Wszystkie te procesy podlegają rygorom rozporządzenia 2016/679 (które bezpośrednio w art. 35 wspomina o systematycznym monitorowaniu na dużą skalę miejsc dostępnych publicznie), u.o.d.o. oraz ustaw szczególnych i aktów wykonawczych. Regulują one uprawnienia i obowiązki podmiotów mogących prowadzić obserwację przede wszystkim miejsc publicznych, osób i mienia w celu zapewniania bezpieczeństwa. Wśród nich w szczególności wymienić należy przepisy dot. sektorów:
a) publicznego:
1) Art. 9a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2018 r. poz. 994 i 1000);
2) Art. 4b ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2018 r. poz. 995 i 1000);
3) Art. 60a ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2018 r. poz. 913);
4) Art. 5a ustawy z dnia 16 grudnia
(Dz. U. poz. 2259 z późn. zm.);
b) prywatnego:
1) Art. 15b ustawy z dnia 19 listopada 2009 r. o grach hazardowych (Dz. U. z 2018 r. poz. 165 z późn. zm.).
2) Art. 11 ustawy z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych (Dz. U. z 2017 r. poz. 1160 z późn. zm.).
c) zdrowia, zatrudnienia i szkolnictwa:
1) Art. 222 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917 i 1000);
2) Art. 108a ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz. U. z 2018 r. poz. 996 i 1000);
3) Art. 43e ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. z 2017 r. poz. 882 z późn. zm.)
4) Art. 22 ust. 3 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 160 z późn. zm.).
d) organów ścigania i sądów:
1) Art. 15 i 19 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067 z późn. zm.);
2) Art. 20g ustawy z dnia 21 marca 1985 r. o drogach publicznych (Dz. U. z 2017 r. poz. 2222 z późn. zm.);
3) Art. 157 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 155 z późn. zm.);
4) Art. 147 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2017 r. poz. 1904 z późn. zm.).
Należy jednocześnie mieć na uwadze, że były one przyjmowane przez wiele lat i nie muszą zawierać kompletnej regulacji omawianej formy nadzoru. W takich przypadkach zastosowanie będą miały przepisy rozporządzenia 2016/679 lub dyrektywy 2016/6802.
Uchwalone w nowej ustawie o ochronie danych osobowych przepisy szczególne dotyczące monitoringu wizyjnego nie przewidują okresów przejściowych, na które nie zdecydował się ustawodawca. Także przepisy RODO nie przewidują dodatkowych terminów na dostosowanie. W związku z tym Prezes Urzędu przyjmuje, że przepisy te oraz właściwe postanowienia RODO mają zastosowanie do wszystkich istniejących i przyszłych systemów nadzoru wizualnego.
Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).
Należy pamiętać, że możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie: imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Danymi osobowymi nie będą jednak pojedyncze informacje o dużym stopniu ogólności. Staną się nimi dopiero z chwilą zestawienia ich z innymi, dodatkowymi informacjami, które w konsekwencji pozwolą na odniesienie ich do konkretnej osoby. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W przypadku monitoringu wizyjnego będą to operacje polegające w szczególności na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób niezależnie od charakteru nośnika, w którym są przechowywane (dyski twarde systemu, nagrania zapisane w pamięci urządzenia umożliwiającego zdalny dostęp – smartfon, komputery przenośne itp.).
Przetwarzanie danych zwykłych może się odbywać jedynie po spełnieniu jednego z warunków określonych w art. 6, a w przypadku danych wrażliwych w art. 9 i 10 rozporządzenia.
Organy publiczne, które w celu wykonywania swoich zadań korzystają z monitoringu wizyjnego, muszą opierać się na przepisach dopuszczających albo nakazujących formę wykonywania zadań.
Z powyższego jasno wynika, że najbardziej odpowiadającymi stosowaniu monitoringu wizyjnego przesłankami są wypełnienie obowiązku prawnego ciążącego na administratorze, wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi oraz cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora, odpowiednio dla podmiotów sektora publicznego i sektora prywatnego.
Realizacja zasad przetwarzania danych osobowych należy do obowiązków administratora, którym zgodnie z art. 4 pkt 7 rozporządzenia jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. O tym, kto jest administratorem danych w sektorze publicznym, mogą rozstrzygać przepisy szczególne.
Administratorem danych osób obserwowanych (operator systemu monitoringu) jest podmiot, który podejmuje decyzje o instalacji, celach i obszarze objętym systemem monitoringu będącym w jego dyspozycji. Może on działać przez osoby kierujące i reprezentujące go na zewnątrz, jak np. zarząd spółki, dyrektor szkoły itd. Funkcjonariusze ci zobowiązani są zapewnić w kierowanej przez siebie jednostce organizacyjnej zgodne z prawem przetwarzanie danych osobowych oraz ponoszą odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych.
Administrator, podejmując decyzję o stosowaniu tej formy nadzoru, powinien zweryfikować, czy realizowane przez niego cele uzasadniają obserwację osób. Administrator powinien mieć w świadomości zasadę ograniczenia celu z art. 5 ust. 1 lit. b RODO. Musi więc brać pod uwagę potrzebę ochrony prawa do prywatności i ochrony danych osobowych i ich ograniczanie tylko w niezbędnym zakresie. Oznacza to, że monitoring może być wprowadzany wtedy, kiedy inne, mniej inwazyjne metody zapewniania bezpieczeństwa są niewystarczające. Przykładowo kamery mogą być zbędne, jeżeli obszar holów szkolnych jest obserwowany przez dyżurujących nauczycieli czy teren szkoły po jej zamknięciu jest monitorowany przez dozorcę albo pracowników ochrony. Właściwym postępowaniem jest też angażowanie w proces decyzyjny dotyczący stosowania monitoringu przedstawicieli osób obserwowanych. Obecnie przewidują to powoływane już przepisy Kodeksu pracy i Prawa oświatowego, w których wskazano na konieczność prowadzenia konsultacji z pracownikami czy organem prowadzącym oraz społecznością szkolną.
Podejmując decyzję o wprowadzeniu monitoringu, administrator musi pamiętać o przeprowadzeniu oceny skutków dla ochrony danych. Jest ona wymagana, gdy operacja przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zgodnie z art. 35 ust. 3 lit. c RODO, jest ona obowiązkowa dla monitorowania miejsc dostępnych publicznie. W jej przeprowadzeniu może być pomocny inspektor ochrony danych, jeżeli został wyznaczony.
Zasady ograniczenia celu i minimalizacji wymagają ograniczenia obszaru monitorowania do niezbędnego zasięgu. Należy mieć na uwadze, że interesy administratora nie mogą w każdej sytuacji w sposób nadmierny ograniczać prawa do prywatności i ochrony danych oraz uzasadnionego oczekiwania osób obserwowanych co do zapewnienia intymności. Dlatego administrator powinien powstrzymywać się od prowadzenia monitoringu w obszarach wrażliwych, takich jak przebieralnie, toalety itp. Analogicznie prowadzenie monitoringu obejmującego obszar sąsiednich posesji może zostać uznane za nieproporcjonalne.
Istotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 RODO. Musi on być, zgodnie z art. 12 rozporządzenia, realizowany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część z wymienianych powyżej przepisów szczególnych wskazuje dodatkowo znaki lub ogłoszenia dźwiękowe, którymi należy oznaczyć pomieszczenia i teren monitorowany (w/w przepisy Kodeksu pracy i Prawa oświatowego). Pełna informacja o monitoringu, obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w miejscu monitorowanym, np. na tablicach albo w formie dokumentu dostępnego na recepcji czy też u przedstawiciela administratora. Czyli możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych. Znaki informujące o stosowaniu monitoringu mogą być dostępne przed wejściem w obszar obserwowany.
Podmiot przetwarzający
Zgodnie z art. 4 pkt 8 RODO, podmiotem przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Szczegółowe uregulowanie tego stosunku zawiera art. 28 rozporządzenia. Administrator może powierzyć wykonanie takiej usługi podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Przetwarzanie przez podmiot przetwarzający odbywa się przede wszystkim na podstawie umowy, określającej:
a) przedmiot i czas trwania przetwarzania,
b) charakter i cel przetwarzania,
c) rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
d) obowiązki i prawa administratora.
Ponadto podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową. Zawarcie takiej umowy nie zmienia statusu ich administratora – jest w całości odpowiedzialny za ich prawidłowe przetwarzanie.
W przypadku monitoringu wizyjnego może to dotyczyć zlecenia prowadzenia monitoringu w związku z ochroną obiektu przez profesjonalny podmiot.
Zabezpieczenie danych osobowych
Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa uwzględniający stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Obejmuje to wymogi ujęte w sekcji II rozdziału 4 RODO – Bezpieczeństwo danych osobowych.
Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne, a także ewidencję osób upoważnionych do ich przetwarzania. Do przetwarzania danych, o ile tak zdecyduje ich administrator, mogą być dopuszczone wyłącznie osoby działające z upoważnienia administratora lub podmiotu przetwarzającego i przetwarzają je wyłącznie na polecenie administratora.
W sytuacji, gdy przepisy szczególne nie określają wymogów co do środków technicznych i organizacyjnych, to administrator ma swobodę w tej materii i odpowiada za wykazanie, że są one wystarczające.