Baza wiedzy

Z kamerą wśród zwierząt – czyli o kontrolach GIODO w popularnych sieciach dyskontów

Autor: Jakub WezgrajData dodania: Kategoria: Aktualności, Kontrole GIODO

O tym, że Generalny Inspektor Ochrony Danych Osobowych planuje w 2017 roku przeprowadzić kontrole w wybranych sieciach dyskontów pod kątem stosowania w ich sklepach monitoringu wizyjnego wiadomo już od kilku miesięcy. Informował o tym sam Generalny Inspektor na swojej stronie internetowej, informowały również media (np. tutaj i tutaj).

Na początku roku opublikowałem artykuł poświęcony absolutnym podstawom związanym ze stosowaniem monitoringu wizyjnego w kontekście ochrony danych osobowych (treść dostępna tutaj). Wówczas jeszcze o planach GIODO na rok 2017 nie było tak głośno.

Dzisiaj wiadomo już jednak, że sprawa jest dosyć poważna.

Monitoring w dyskontach… i nie tylko

GIODO zaplanował kontrole stosowania monitoringu w dyskontach nie bez powodu. Klienci sklepów coraz częściej zgłaszali bowiem skargi z tym związane.

Głośno zrobiło się zwłaszcza wokół jednej z sieci dyskontów o wdzięcznej nazwie wykorzystującej motyw jednego ze zwierząt (tu znajdziesz więcej szczegółów - stąd tytuł artykułu). I choć nie należy przesądzać, czy sieć naruszyła przepisy ustawy o ochronie danych osobowych, wszystkie sieci wykorzystujące sklepy stacjonarne mają teraz poważny argument do dokładnej analizy problemu.

Z resztą nie tylko „sieciówki”, ale również np. podmioty zarządzające centrami handlowymi czy też parkingami, gdzie coraz częściej stosuje się monitoring np. do identyfikacji samochodów wjeżdżających na parking – po numerach rejestracji. Wystarczy w takim wypadku, że za bilet parkingowy użytkownik zapłaci kartą płatniczą i już mamy możliwość powiązania danych (np. konkretnej tożsamości z numerem rejestracyjnym, a dzięki temu za każdym kolejnym razem powiązanie również z czasem parkowania, częstotliwością wizyt etc.).

Problem przetwarzania danych osobowych nabiera więc realnego kształtu.

Brakuje dedykowanej ustawy dla stosowania monitoringu wizyjnego, więc pozostają rozwiązania „ogólne”… i wynikające z tego konsekwencje

Od wielu lat toczy się debata o potrzebie wprowadzenia dedykowanej ustawy regulującej zasady stosowania monitoringu wizyjnego – do tej pory pojawił się jednak jedynie projekt założeń do ustawy o monitoringu wizyjnym, który jednak w zeszłym roku został wycofany z prac legislacyjnych (co ustalił Rzecznik Praw Obywatelskich kierując w tej sprawie zapytanie do MSWiA, szczegóły tutaj).

Efekt jest taki, że dzisiaj pozostaje stosowanie ogólnych reguł wynikających z ustawy o ochronie danych osobowych (w tym zasady legalności, celowości, czasowości, adekwatności przetwarzania danych oraz obowiązków informacyjnych wobec osób objętych monitoringiem), a już od maja roku 2018 przyjdzie przedsiębiorcom stosować reguły wynikające z ogólnego rozporządzenia o ochronie danych (RODO) – czyli między innymi poszerzoną politykę informacyjną wobec podmiotów danych.

Ale jakby tego było mało – to na ile będzie miało zastosowanie RODO wobec konkretnej sieci handlowej zależy w dużej mierze od tego w jakich celach oraz za pomocą jakich technologii i rozwiązań w zakresie przetwarzania i „obróbki” danych będą wykorzystywane dane z monitoringu.

W szczególności głośne ostatnio hasło „profilowania” danych jest tu dobrym przykładem – niezależnie od tego czy przyjmiemy, że w konkretnym przypadku wymagane jest uzyskanie zgody na profilowanie (tu pojawia się właśnie między innymi kwestia celu przetwarzania danych, tego na ile proces przetwarzania przebiega w sposób automatyczny oraz na ile te działania wywołują wpływ na sytuację prawną podmiotu danych – por. art. 21 i 22 RODO), czy też nie (w takim wypadku osobie będzie przysługiwało prawo sprzeciwu na te czynności) – to w obu przypadkach bez wątpienia podmiot danych będzie musiał być co najmniej świadomy tego, że ktoś zamierza profilować jego dane osobowe. Więc przedsiębiorca od spełnienia obowiązku informacyjnego nie ucieknie.

Nie bez znaczenia będzie również skala działania (wymuszająca jednocześnie automatyzację procesów przetwarzania danych) – potencjalnie może ona wpływać na potrzebę stosowania kolejnych wymagań RODO, w tym oceny skutków dla ochrony danych (PIAPrivacy Impact Assessment, art. 35 RODO) i obowiązku konsultacji z organem nadzoru (w trybie art. 36 RODO). Przy kilku sklepach stacjonarnych, w których monitoruje się osoby fizyczne być może skala nie będzie uznana za dużą, ale przy kilkuset – sytuacja ulega diametralnej zmianie.

Ważne jest również to, czyje dane będą przetwarzane (klientów, a może również pracowników – np. przy badaniach typu „tajemniczy klient”, które to również mają swoją specyfikę).

Pomiędzy interesem jednostki, a interesem przedsiębiorcy

Wydaje się na pierwszy rzut oka, że mamy do czynienia z klasycznym konfliktem interesów jednostki z przedsiębiorcą (lub innym podmiotem stosującym monitoring wizyjny). W tym zakresie na zagrożenia dla prywatności, poza oczywiście GIODO, zwraca uwagę między innymi Fundacja Panoptykon.

Czy przedsiębiorcy stoją więc na straconej pozycji? Niekoniecznie. Przynajmniej ci świadomi.

Wobec rozpoczęcia stosowania RODO w maju 2018 roku bez wątpienia poziom kontroli i „roszczeniowości” osób fizycznych będzie rósł. I jest to zrozumiałe – duża część regulacji RODO jest poświęcona właśnie nadaniu jednostce szerokiego zakresu uprawnień weryfikacyjno – kontrolnych wobec podmiotów, które przetwarzają jej dane osobowe. W tym zakresie jednostki wspierać będą również organizacje pozarządowe.

Kluczem do sukcesu dla przedsiębiorców będzie podejmowanie działań „wyprzedzających” wobec podmiotu danych – np. stosowanie jasnej i zrozumiałej polityki informacyjnej w zakresie przetwarzania danych osobowych (do czego z resztą zobowiązuje RODO), czy też podejście „privacy by design” i „privacy by default”, ale wcześniej – dokładna analiza wewnętrzna procesów przetwarzania danych i podnoszenie świadomości w tym zakresie wewnątrz organizacji (i włączenie w ten proces zdecydowanie więcej komórek niż tylko Prawną, Compliance czy też IT).

Mówiąc w skrócie – ochrona danych osobowych to już od dawna nie tylko problem Działu prawnego czy IT konkretnej firmy, to problem całej organizacji.

I biorąc pod uwagę moje doświadczenie mogę powiedzieć, że właśnie w tym zakresie przedsiębiorcy mają najwięcej do nadrobienia – w budowaniu świadomości, że tematyką ochrony danych osobowych należy kompleksowo zarządzać w czasie rzeczywistym, a nie wyłącznie reagować na „strzały”, które się otrzymuje w najmniej spodziewanym momencie.

Zadaj pytanie  lub  Zadzwoń: 600 677 026

administrator danychdyskontyGDPRJakub Wezgrajkontrole GIODOmonitoring wizyjnyprzepisy prawaRODOsieci handloweunijne rozporządzenie o ochronie danychustawa

Wróć

Do góry