Monitoring a RODO – kwestie prawne, obowiązek informacyjny
Monitoring stał się nieodłączną częścią naszego życia, gdyż coraz więcej obszarów jest objętych zasięgiem kamer CCTV. Taka sytuacja z jednej strony daje nam poczucie bezpieczeństwa, z drugiej jednak sprawia, że nasz wizerunek jest rejestrowany przez dziesiątki kamer. Dlatego powstaje wiele pytań dotyczących tego, jak pogodzić wykorzystanie kamer z ochroną prywatności, którą gwarantują nam przepisy o ochronie danych osobowych. W naszym artykule odpowiadamy na najważniejsze pytania dotyczące monitoringu a RODO. Dowiedz się, jakie prawa i obowiązki mają administratorzy oraz osoby monitorowane i jakie wprowadzono regulacje prawne, aby technologia jednocześnie służyła naszemu bezpieczeństwu i nie naruszała prawa do prywatności.
Dlaczego przepisy o ochronie danych osobowych dotyczą monitoringu
Pomimo że dotychczas nie uchwalono jasnych i odrębnych przepisów dotyczących monitoringu wizyjnego to wprowadzenie w 2018 roku Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), którego celem jest ochrona danych osobowych osób fizycznych i zapewnienie kontroli nad ich przetwarzaniem stało się przełomem w regulacjach prawnych dotyczących ochrony wizerunku. Wprowadzenie unijnych przepisów zobligowało instytucje oraz przedsiębiorstwa do właściwego administrowania danych pochodzących z zapisu z monitoringu wizyjnego.
W Art. V i VI Ustawy zwanej RODO wpisano szereg zasad i wymogów, które mają zastosowanie do wszelkiego rodzaju przetwarzania danych osobowych, w tym monitoringu wizyjnego. Przy stosowaniu monitoringu, szczególnie ważne jest zapewnienie zgodności z zasadami ochrony danych takimi jak:
- zgodność z prawem – oznacza to, że instalacja monitoringu musi opierać się na jednej z prawnych podstaw przetwarzania danych, takich jak: zgoda osoby, której dane dotyczą, konieczność wykonania umowy, obowiązki prawne, ochrona interesów życiowych, realizacja zadań publicznych lub prawnie uzasadniony interes realizowany przez administratora danych;
- uczciwość i przejrzystość – dane muszą być zbierane oraz przetwarzane w sposób uczciwy i legalny, bez wprowadzania w błąd osób, których dane dotyczą. Ponadto osoby, których dane są przetwarzane, powinny być w pełni informowane o celach, zakresie i sposobach przetwarzania ich danych osobowych;
- ograniczenie celu – dane zebrane poprzez monitoring wizyjny powinny być wykorzystywane tylko do wyraźnie określonych, legalnych celów i nie powinny być przetwarzane w sposób niezgodny z tymi celami;
- minimalizacja danych – przy monitoringu wizyjnym należy zbierać tylko te dane, które są absolutnie niezbędne do realizacji określonych celów. Na przykład, jeśli cel może być osiągnięty bez identyfikacji osób, monitoring powinien być prowadzony w sposób anonimowy;
- dokładność i ograniczenie przechowywania – dane muszą być dokładne i jeśli to konieczne, aktualizowane, należy podjąć kroki, aby usunąć lub sprostować dane, które są nieprawidłowe. Nie powinny być one przechowywane dłużej, niż jest to konieczne do celów, dla których dane te są przetwarzane;
- integralność i poufność – dane osobowe muszą być przetwarzane w sposób zapewniający odpowiedni poziom bezpieczeństwa, w tym ochronę przed nieuprawnionym lub nielegalnym przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych;
- odpowiedzialność – administrator danych musi być w stanie wykazać zgodność z powyższymi zasadami, co obejmuje utrzymanie odpowiedniej dokumentacji i wdrożenie efektywnych środków prawnych i technicznych.
Co warto wiedzieć o RODO i monitoringu prywatnym
Monitoring na prywatnej posesji może budzić wiele pytań, szczególnie w kontekście zgodności z RODO. Poniżej przedstawiamy kilka najważniejszych odpowiedzi na pytania dotyczące RODO i monitoringu na posesji prywatnej.
Czy monitoring na posesji prywatnej podlega przepisom RODO?
W ustawie dotyczącej ochrony danych osobowych znajduje się zapis, że przepisów RODO nie stosuje się w przypadku monitorowania prywatnego, natomiast monitoring obiektu na posesji prywatnej najczęściej może też nagrywać osoby trzecie, takie jak goście, przechodnie czy dostawcy. W takich przypadkach również obowiązują wymogi informacyjne takie jak odpowiednia tabliczka RODO o obiekcie monitorowanym.
Jakie obowiązki informacyjne mam jako właściciel monitoringu na prywatnej posesji?
Jeśli monitoring obejmuje miejsca, które są dostępne dla osób trzecich (np. brama wjazdowa, chodnik przed domem), musisz poinformować osoby w zasięgu kamer o prowadzonym monitoringu. Zazwyczaj robi się to poprzez wywieszenie tabliczki informacyjnej RODO umieszczonej na obiekcie monitorowanym.
Co powinien w sprawie RODO zrobić właściciel posesji monitorowanej przez firmę ochroniarską?
Właściciel powinien upewnić się, że umowa z firmą ochrony mienia zawiera klauzule dotyczące przetwarzania danych osobowych, zgodnie z RODO. Firma ochroniarska powinna działać jako procesor danych, co oznacza, że przetwarza dane osobowe w imieniu właściciela posesji. W umowie należy określić, jakie działania dotyczące danych są dozwolone i jakie środki bezpieczeństwa muszą być stosowane.
Jakie są ograniczenia w stosowaniu monitoringu na posesji prywatnej?
Monitoring nie powinien obejmować miejsc, w których można oczekiwać wyższego stopnia prywatności, chyba że istnieje do tego bardzo silna potrzeba (np. z przyczyn bezpieczeństwa). Takie miejsca to na przykład wnętrza domów, okna czy tarasy. Ograniczenia te dotyczą również tego, jak długo można przechowywać nagrania (nie dłużej niż jest to konieczne do celów, dla których zostały zebrane).
Czy można wg. przepisów RODO udostępniać nagrania z monitoringu?
Komu można udostępniać nagrania z monitoringu? Nagrania z monitoringu prywatnego można udostępnić innym osobom tylko wtedy, gdy jest ku temu legalna podstawa. Najczęściej nagrania można udostępnić organom ścigania w ramach postępowania karnego. W każdym innym przypadku udostępnianie nagrań wymagałoby zgody osoby nagranej lub innego uzasadnienia prawnego, które musi być zgodne z RODO.
Jakie są obowiązki RODO administratora monitoringu
Administrator monitoringu, działając jednocześnie jako administrator danych, poza zapewnieniem zgodności z zasadami danych określonych przez RODO musi przestrzegać szeregu obowiązków takich jak:
- obowiązek informacyjny RODO – w ramach tego obowiązku musi podać swoją tożsamość i dane kontaktowe, wyjaśnić cele i podstawę prawną przetwarzania danych, wskazać ewentualnych odbiorców danych, określić okres ich przechowywania oraz poinformować o prawach osoby, której dane dotyczą. Te prawa obejmują dostęp do danych, ich sprostowanie, usunięcie, przenoszenie, ograniczenie przetwarzania oraz prawo do sprzeciwu. Osoby te muszą być również informowane o możliwości wniesienia skargi do organu nadzorczego oraz o konsekwencjach niepodania danych, jeśli ich podanie jest wymogiem ustawowym lub umownym;
- środki bezpieczeństwa – administrator musi zapewnić odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo przetwarzanych danych, chroniąc je przed nieuprawnionym dostępem, przypadkowym utratą, zniszczeniem lub uszkodzeniem. Mogą to być regularne audyty, bezpieczne zarządzanie hasłami, fizyczne środki bezpieczeństwa itp.;
- rejestr czynności przetwarzania – w niektórych przypadkach administratorzy są zobowiązani do prowadzenia rejestru czynności przetwarzania, który dokumentuje wszystkie operacje przetwarzania danych osobowych, w tym szczegóły dotyczące rodzajów przetwarzanych danych, celów przetwarzania, odbiorców danych oraz przewidywanych terminów usunięcia danych;
- ocena skutków dla ochrony danych (DPIA) – jeżeli przetwarzanie, w tym monitoring, prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator musi przeprowadzić ocenę skutków dla ochrony danych. DPIA powinna zawierać analizę zakresu, kontekstu i celów przetwarzania, a także ocenić ryzyka i wymieniać środki mające na celu ich złagodzenie;
- zgłaszanie naruszeń ochrony danych – przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator musi niezwłocznie zgłosić to naruszenie do właściwego organu nadzorczego, zwykle w ciągu 72 godzin od jego wykrycia.
Jakie prawa mają osoby objęte monitoringiem
Osoby, których dane są przetwarzane przez systemy monitoringu, mają prawo do:
- dostępu do danych – mają prawo zażądać od administratora potwierdzenia, czy ich dane osobowe są przetwarzane, oraz dostępu do tych danych. Jeżeli dane osobowe są niekompletne lub nieaktualne, osoba ma prawo żądać ich uzupełnienia lub aktualizacji;
- usunięcia danych (prawo do bycia zapomnianym) – w określonych sytuacjach osoba może zażądać usunięcia swoich danych, np. gdy dane nie są już potrzebne do celów, dla których zostały zebrane;
- ograniczenia przetwarzania – można żądać ograniczenia przetwarzania swoich danych, np. gdy kwestionuje dokładność danych lub gdy przetwarzanie jest niezgodne z prawem;
- prawo do przenoszenia danych – mamy prawo otrzymać swoje dane w strukturyzowanym, powszechnie używanym formacie i ma prawo przesłać te dane innemu administratorowi;
- prawo do sprzeciwu – możemy wnieść sprzeciw wobec przetwarzania swoich danych, szczególnie jeśli są one przetwarzane na potrzeby marketingu bezpośredniego lub na podstawie prawnie uzasadnionych interesów administratora.
Osoba monitorowana, która chce uzyskać informacje na temat przetwarzania jej wizerunku, może skontaktować się z administratorem danych (organizacją odpowiedzialną za monitoring) i złożyć stosowny wniosek. Administrator jest zobowiązany odpowiedzieć na wniosek bez nieuzasadnionej zwłoki, zazwyczaj w ciągu miesiąca od jego otrzymania.
Jeśli osoba uważa, że jej prawa nie są przestrzegane lub jej dane są przetwarzane niezgodnie z przepisami RODO, może wnieść skargę do organu nadzorczego, którym jest Urząd Ochrony Danych Osobowych (UODO) lub wnieść sprawę do sądu.
Podsumowując, stosowanie monitoringu, choć może znacząco przyczynia się do zwiększenia bezpieczeństwa, wymaga rygorystycznego przestrzegania przepisów RODO. Właściciel lub zarządca terenu, monitorowanego, powinien wskazać osobę lub organ pełniący funkcję administratora danych osobowych. Administrator ten musi zapewnić, że cały proces monitorowania jest prowadzony na podstawie podstawy prawnej, takiej jak zgoda osób monitorowanych lub realizacja prawnie uzasadnionego interesu. Istotne jest również poinformowanie osób w zasięgu kamer o prowadzonym monitoringu, celach przetwarzania ich danych, ich prawach oraz o tożsamości administratora danych.