Baza wiedzy

Monitoring wizyjny a ochrona danych osobowych – jak zadbać o bezpieczeństwo i nie naruszać przy tym czyjejś prywatności?

Autor: Jakub WezgrajData dodania: Kategoria: Wymogi ustawowe

Kamery monitoringu wpisały się na stałe w krajobraz Polski – można natknąć się na nie praktycznie wszędzie, od miejsc publicznych przez centra handlowe, parkingi, obszary zarządzane przez spółdzielnie mieszkaniowe, zakłady pracy, szpitale, szkoły, obszary biurowe przedsiębiorstw, środki transportu publicznego (np. autobusy), aż po prywatne posesje.

Problem polega na tym, że w większości przypadków zasady stosowania monitoringu wizyjnego w konkretnych celach oraz miejscach nie zostały uregulowane w polskim ustawodawstwie (choć już kilka lat temu domagał się tego m.in. Generalny Inspektor Ochrony Danych Osobowych). Obecnie obowiązują przepisy, które odnoszą się wyłącznie do wybranych zastosowań kamer (np. ich wykorzystywania w kasynach, czy też podczas imprez masowych jak np. mecze piłki nożnej). Pojawia się pytanie co z innymi przypadkami?

A co jeśli na podstawie nagrań z monitoringu jesteśmy w stanie ustalić tożsamość konkretnej osoby, która została uwieczniona na nagraniu? Wówczas zastosowanie mieć będą ogólne reguły wynikające z ustawy o ochronie danych osobowych.

Poniżej przedstawiam kilka podstawowych wymagań w tym zakresie.

Obraz z monitoringu wizyjnego może zawierać dane osobowe

Należy pamiętać, że w przypadku zapisywania obrazu z monitoringu wizyjnego bardzo często zarejestrowany obraz zawierać będzie sylwetki osób, a także ich wizerunki, które bez większego problemu będzie można przypisać do konkretnej osoby fizycznej. W takim wypadku będzie więc możliwa identyfikacja („rozpoznanie”) konkretnej osoby fizycznej na podstawie nagrań z wideomonitoringu, a więc będziemy mieli do czynienia z danymi osobowymi. I tu zastosowanie mieć będą przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Dostęp do nagrań z wideomonitoringu powinien być ograniczony i nadzorowany

Jeżeli rejestrowany obraz z kamer zawiera dane osobowe (np. wizerunki osób fizycznych), dostęp
do nagrań powinien być ograniczony. W takim wypadku art. 37 ustawy o ochronie danych osobowych wymaga, by dostęp do tego typu nagrań miały wyłącznie osoby, którym wydano upoważnienie do przetwarzania danych. Wymagane jest również prowadzenie ewidencji wydanych upoważnień do przetwarzania danych osobowych – zgodnie z treścią art. 39 ust. 1 ustawy powinna ona zawierać co najmniej: imię i nazwisko osoby upoważnionej, datę i zakres nadanego upoważnienia (a w przyszłości również datę ustania upoważnienia jeśli konkretna osoba nie będzie już uzyskiwała dostępu do danych), identyfikator jakim posługuje się dana osoba w systemie informatycznym (jeżeli do rejestrowania obrazu z kamer jest wykorzystywany dedykowany system informatycznych).

Osoby dopuszczone do przetwarzania danych osobowych powinny być objęte szkoleniem (lub inną formą "zapoznania" z wymaganiami) mającym na celu przygotowanie je do bezpiecznego wykorzystywania zapisów monitoringu, w tym powinny być zapoznane z zasadami bezpiecznego przeglądu, zabezpieczania, kopiowania czy też udostępniania danych zawartych w nagraniach.

Uwaga na firmy współpracujące

Szczególną uwagę należy zwrócić na przypadki, w których do zapisów z kamer uzyskują dostęp osoby niezatrudnione w podmiocie, który stosuje monitoring. Najczęściej dzieje się tak w przypadku, gdy na co dzień wideonadzorem zajmują się pracownicy firm ochrony fizycznej, które zapewniają odpowiednie zabezpieczenie lokalizacji objętych monitoringiem (bardzo często w takich przypadkach pracownicy tych firm mają również dostęp do nagrań z kamer).

W takim wypadku umowy zawierane z tego typu firmami powinny zawierać zapisy związane z powierzeniem do przetwarzania danych osobowych zawartych w nagraniach z kamer. Zgodnie z wymaganiami art. 31 ustawy o ochronie danych osobowych należy w takim wypadku w umowie określić co najmniej cel i zakres powierzanych firmie ochroniarskiej danych osobowych (np. zakres powierzonych danych – wizerunki osób zapisanych w nagraniach, cel powierzenia – umożliwienie firmie ochrony fizycznej prowadzenie nadzoru za pomocą nagrań z kamer). Bardzo istotne jest również w takim wypadku zobowiązanie firmy ochrony fizycznej do prawidłowego przygotowania swoich pracowników, którzy będą uzyskiwali dostęp do nagrań jak również ustalenie zasad dostępu do nagrań (i ich przechowywania) – w tym też ustalenie kto będzie nadawał upoważnienia do przetwarzania danych osobowych pracownikom ochrony. Jest to szczególnie istotne zważywszy na częstą rotację pracowników ochrony fizycznej w firmach świadczących tego typu usługi.

Należy ustalić maksymalny okres archiwizacji nagrań z monitoringu i miejsce przechowywania nośników zawierających nagrania

Istotną kwestią jest również ustalenie jak długo nagrania z monitoringu mają być przechowywane (archiwizowane). W tej kwestii ponownie konkretnych wytycznych prawnych brak. Przyjmuje się jednak,
że nagrania z kamer powinno się przechowywać nie dłużej niż ok. 30-60 dni. Następnie powinny być one usuwane lub nadpisywane przez nagrania z kolejnych dni.

Ważne jest także ustalenie na jakich nośnikach (np. płyty CD\DVD, dyski twarde komputerów, pamięci USB etc.) będą zapisywane nagrania oraz gdzie fizycznie będą przechowywane. Dostęp do nośników z nagraniami powinien być możliwy jedynie dla osób posiadających upoważnienie do przetwarzania danych. Oznacza to konieczność przechowywania nośników w zamkniętych pomieszczeniach, a w przypadku wykorzystywania ich poza siedzibą nośniki takie jak dyski twarde komputerów (np. laptopów) lub pamięci USB powinny być dodatkowo zabezpieczone programem szyfrującym.

Osoby, które znajdują się w obszarze monitorowanym muszą mieć tego świadomość

W sytuacji wykorzystywania monitoringu wizyjnego niezwykle istotnym jest zapewnienie, by osoby znajdujące się w obszarze monitorowanym miały tego świadomość. W tym celu absolutnym minimum jest wprowadzenie oznaczeń graficznych w punktach granicznych obszaru monitorowanego (np. przy bramach wejściowych) informujących, że na danym terenie prowadzony jest nadzór za pomocą kamer. Powinna być również przekazywana informacja o podmiocie prowadzącym nadzór oraz celu stosowania kamer (np. w postaci tabliczki informacyjnej).

Tu warto zwrócić uwagę, że generalny obowiązek informacyjny wynika z treści art. 24 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem każdy administrator danych (a więc również podmiot, który decydując się na wprowadzenie monitoringu wizyjnego za jego pomocą przetwarza dane osobowe) powinien poinformować każdą osobę, której dane przetwarza o:

1)  adresie swojej siedziby i pełnej nazwie;

2)  celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

3)  prawie dostępu do treści swoich danych oraz ich poprawiania;

4)  dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Tak więc w przypadku stosowania wideomonitoringu wobec każdej osoby, która znajdzie się w jego zasięgu należałoby spełnić powyższy obowiązek informacyjny.

Pytanie tylko jak ten obowiązek spełnić w praktyce? Jeżeli stosowaniem monitoringu objęci są pracownicy, wówczas taki obowiązek pracodawca może spełnić np. w przekazywanych pracownikom dokumentach związanych z zatrudnieniem lub też w formie regulaminu (np. w regulaminie poruszania się po obiektach zakładu pracy). Jednakże gdy kamery nagrywają również inne osoby (np. gości, którzy sporadycznie pojawiają się w siedzibie danego przedsiębiorstwa), wówczas sprawa się komplikuje.

Między innymi dlatego Generalny Inspektor Ochrony Danych Osobowych wskazywał, że w przypadku wykorzystywania danych osobowych w ramach monitoringu wizyjnego niezbędne jest wprowadzenie dedykowanej ustawy, która uwzględniając specyfikę tego środka nadzoru jednocześnie wskazywałaby wymagania prawne możliwe do pełnego zastosowania. Ponieważ jednak takich regulacji nie ma, pozostaje stosowanie wymogów ogólnych ustawy o ochronie danych osobowych.

Podstawa prawna przetwarzania danych

Jedną z kluczowych zasad ustawy o ochronie danych osobowych jest obowiązek zapewnienia przez administratora danych, że dysponuje on podstawą prawną umożliwiającą zebranie oraz dalsze przetwarzanie danych osobowych (tzw. zasada legalności). Zgodnie z treścią art. 23 ust. 1 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy gdy:

1)  osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2)  jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3)  jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4)  jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5)  jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Aby spełnić zasadę legalności, administrator danych musi dysponować przynajmniej jedną z wymienionych podstaw prawnych. W przypadku przetwarzania danych osobowych w postaci wizerunków osób fizycznych w ramach monitoringu wizyjnego jedyną podstawą prawną wchodzącą w grę w większości przypadków będzie tzw. prawnie usprawiedliwiony cel, o którym mowa w punkcie 5 powyżej. Problem polega na tym, że aby ten cel był „prawnie usprawiedliwiony”, podmiot wykorzystujący kamery musi umieć wykazać, że ich stosowanie (a więc również przetwarzanie danych osobowych) jest niezbędne w celu zapewnienia bezpieczeństwa innemu dobru prawnie chronionemu (np. zasoby przedsiębiorstwa, bezpieczeństwo osobowe w budynkach etc.). Ponadto nie może naruszać „praw i wolności” osób, których dane (wizerunki) są przetwarzane – a tak z pewnością się stanie, jeśli nie będą one świadome, że przebywają w obszarze monitorowanym.

Nagrania z monitoringu mogą stanowić zbiór danych osobowych

Wątpliwości może budzić to, czy dane osobowe zawarte w nagraniach z monitoringu wizyjnego stanowią odrębny zbiór danych osobowych. Tu kluczowa jest definicja „zbioru danych” zawarta w ustawie o ochronie danych osobowych. Zgodnie z jej treścią za „zbiór” uznaje się każdy posiadający strukturę zestaw danych (o charakterze osobowym), który jest dostępny według określonych kryteriów. W przypadku monitoringu wizyjnego należy pamiętać, że w rzeczywistości każde nagranie posiada pewną „uporządkowaną” strukturę – stanowi bowiem rejestr zachodzących po sobie sekwencji zdarzeń, które miały miejsce w określonym czasie nagrania. Oznacza to więc, że o ile nagrania te zawierać będą dane osobowe, będziemy mieli do czynienia ze zbiorem danych monitoringu wizyjnego (rozumianego jako zbiór nagrań zawierających dane osobowe).

W przypadku gdy dany podmiot dysponuje zbiorem danych monitoringu wizyjnego, dodatkowym obowiązkiem jaki należy dopełnić jest zgłoszenie tego zbioru do rejestru zbiorów danych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie zbioru do rejestracji odbywa się na zasadach określonych w art. 40 i nast. ustawy o ochronie danych osobowych, a do tego celu może być wykorzystany m.in. formularz elektroniczny dostępny pod adresem https://egiodo.giodo.gov.pl.

Warto pamiętać, że z obowiązku zgłoszenia zbioru monitoringu do rejestru GIODO zwolnieni będą
ci administratorzy danych, którzy wyznaczyli Administratorów Bezpieczeństwa Informacji,
a następnie ten fakt zgłosili do GIODO. Zgodnie bowiem z treścią art. 43 ust. 1a ustawy obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe (o których mowa w art. 27 ust. 1), nie podlega administrator danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go Generalnemu Inspektorowi do rejestracji. Należy zaznaczyć, że zbiór monitoringu nie powinien zawierać jakichkolwiek danych wrażliwych (określonych w art. 27 ustawy), a więc w przypadku gdy jest prawidłowo prowadzony oraz dany podmiot powołał Administratora Bezpieczeństwa Informacji i zgłosił ten fakt do GIODO, zbiór ten będzie zwolniony z obowiązku zgłoszenia do rejestracji w rejestrze zbiorów danych. W takim wypadku zbiór ten powinien jedynie zostać opisany w rejestrze zbiorów prowadzonym przez samego Administratora Bezpieczeństwa Informacji, zgodnie z odpowiednimi w tym zakresie wymaganiami ustawy.

Jeśli chcesz się dowiedzieć w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, w tym w jaki sposób ABI powinien prowadzić rejestr zbiorów danych, zapraszam do lektury mojego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".

eBook można pobrać na stronie głównej www.odoekspert.pl.

Zadaj pytanie  lub  Zadzwoń: 600 677 026

GIODOochrona danych osobowychodpowiedzialnośćorzecznictwoosoby upoważnione do przetwarzania danychpracodawcapracownikprzepisy prawa

Wróć

Do góry