Mam poczucie, że są takie kwestie, które ciągle, pomimo upływu czasu i dziesiątek artykułów na ten temat, wciąż wymaga wyjaśnienia. Tak jest właśnie z przetwarzaniem danych w związku z monitoringiem. Jeszcze przed czasami RODO mówiło się o tym, że powinna powstać kompleksowa regulacja monitoringu – taka, która dotyczyłaby wszystkich, np. monitoringu w fabrykach, biurach, ale też stosowania monitoringu np. przez straże miejskie, policję czy jednostki samorządu terytorialnego. Takie przepisy nigdy nie powstały, ale zamiast tego dostaliśmy RODO, które reguluje również kwestię przetwarzania danych w ramach monitoringu, ale robi to w sposób dość ogólny.
W związku z tym zostały też uchwalone nasze krajowe przepisy, dostosowujące do wymogów wynikających z RODO. W ich ramach zmieniono Kodeks Pracy, który teraz całkiem szczegółowo odnosi się do kwestii monitorowania pracowników (właśnie za pomocą kamer, choć nie tylko). Jako, że pracodawcami (czyli takim podmiotem, który ma pracowników) jest całkiem sporo organizacji w Polsce, przepisy te wskazały na ścieżkę, jaką trzeba iść aby mieć monitoring zgodny z prawem i taki standard się przyjął. Przynajmniej wśród przedsiębiorców – bo właśnie monitoringu „w firmach” dotyczy ten wpis. Przepisy dot. monitoringu objęły też np. placówki oświatowe albo jednostki samorządu terytorialnego – ale tym się na razie nie będziemy zajmować.
Czy monitoring w ogóle zakłada przetwarzanie danych osobowych?
Tak – monitoring łączy się z przetwarzaniem danych osobowych. Nie zawsze, ale często – tzn. częściej w związku z monitoringiem będziemy przetwarzać dane osobowe niż nie będziemy. Pamiętajmy, że daną osobowa jest (w skrócie) informacja, którą możemy powiązać z konkretnym człowiekiem. I wizerunek będzie często taką informacją – tzn. będziemy w stanie ustalić do kogo należy. Wizerunek pracownika? Nie ma problemu, wiemy kim ta osoba jest. Wizerunek klienta? Również często będziemy wiedzieli kim ten klient jest – a nawet jeśli nie będziemy, to przy odrobinie wysiłku możemy się dowiedzieć.
Dlatego musimy założyć, że dane, które zostaną zapisane w ramach monitoringu zawierały będą dane osobowe – to właściwie jedyna sensowna i bezpieczna opcja.
Prowadzenie monitoringu obejmowało będzie w szczególności takie czynności przetwarzania danych jak zapisywanie, przeglądanie, usuwanie, a czasem także np. udostępnianie albo modyfikowanie. Nie ma tutaj znaczenia jak zapisujemy nagrania – na dyskach, taśmach, płytach, urządzeniach NAS czy nawet w chmurze. Tak czy siak, przetwarzamy dane osobowe.
Mam tylko atrapy kamer. Czy muszę martwić się przetwarzaniem danych osobowych?
Nie tylko musisz martwić się przetwarzaniem, ale powinieneś (zdaniem Prezesa Urzędu Ochrony Danych Osobowych) je zdjąć.
Czy to słuszne stanowisko? W pewnym sensie tak – tzn. monitoring chroni również osoby, które są nagrywane, dlatego też mogłyby zażądać dostępu do nagrań, którego nie otrzymają – bo go nie ma. Może to prowadzić do dezinformacji takiej osoby (a ochrona danych osobowych bardzo nie lubi dezinformacji). Z drugiej strony, atrapy mogą mieć funkcję odstraszającą, a uznanie, że są niedozwolone sprawi, że tego odstraszania nie będzie.
W każdym razie rada jest taka, abyś pozbył lub pozbyła atrap kamer, tak aby nikogo nie wprowadzić w błąd.
Czego jeszcze nie wolno robić?
Nie wolno stosować kamer ukrytych i kamer, które nagrywają nie tylko obraz, ale także dźwięk (zapisywanie dźwięku jest niedopuszczalne).
Kodeks pracy i RODO. Co powinienem stosować?
Szczegółowe regulacje dot. monitoringu są w Kodeksie Pracy. Ogólne zasady przetwarzania danych osobowych są w RODO. Czego się trzymać i co stosować?
Jeśli masz pracowników i mogą oni być nagrani na monitoringu – musisz przestrzegać przepisów RODO i Kodeksu pracy. W teorii te z Kodeksu pracy będą dotyczyły tylko pracowników, ale w praktyce z reguły monitoring jest jeden, więc niektóre rzeczy ciężko będzie odróżnić.
Jeśli nie masz pracowników to teoretycznie wystarczy Ci to co jest w RODO – ale z uwagi na to, iż Kodeks Pracy uszczegóławia pewne rzeczy i tworzy „standard” dotyczący stosowania monitoringu, sugeruję abyś mocno zainspirował się pewnymi rozwiązaniami właśnie z niego.
Podsumowując: ten wpis obejmuje zasady stosowania monitoringu zgodnie z RODO i z przepisami Kodeksu pracy – czyli może obejmować zarówno pracowników, jak i inne osoby, których wizerunek zostaje zapisany.
Co dokładnie muszę zrobić jeśli mam monitoring?
Zacznijmy od początku – musimy określić cel przetwarzania danych związany z monitoringiem. Z reguły celem instalacji i stosowania monitoringu jest zapewnienie bezpieczeństwa naszym ludziom, mieniu i zapewnienie, żeby nikt nic nie ukradł itp. W Kodeksie pracy przewidziano możliwość stosowania monitoringu między innymi właśnie w tym celu, bo napisano w nim, że monitoring może by wykorzystywany do:
• zapewnienia bezpieczeństwa pracowników • ochrony mienia • kontroli produkcji • zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (czyli np. tajemnic przedsiębiorstwa).
Zwracam tutaj uwagę na kwestię kontroli produkcji – to bardzo pojemny termin, który może obejmować np. sprawdzanie tego czy maszyny w zakładzie działają prawidłowo lub np. nie ma żadnych przestojów. Kontrola produkcji nie oznacza natomiast kontroli pracowników – co trzeba rozumieć jako niemożność kontrolowania za pomocą monitoringu tego aby np. kontrolować efektywność pracownika, to jak on pracuje albo w jaki sposób korzysta z przerw. Tego rodzaju działanie nie jest (również zdaniem Prezesa UODO) dopuszczalne. Ale jeżeli pracownik np. niszczy mienie albo wynosi poufne informacje – tu jak najbardziej monitoring może być dowodem przeciwko niemu.
Jaka jest podstawa przetwarzania danych?
Jeżeli znamy już cel, w jakim będziemy przetwarzać dane osobowe, musimy odnaleźć jakąś podstawę prawną przetwarzania danych, wskazana w RODO, która będzie do tego celu pasowała. W przypadku podmiotów prowadzących działalność gospodarczą (czyli firm) z reguły będzie to prawnie uzasadniony interes realizowany przez administratora, czyli przepis art. 6 ust. 1 lit f) RODO. Pamiętajcie proszę, że sytuacji gdy powołujemy się na ta przesłankę, trzeba rozważyć to, czy nie jest tak, że nadrzędny charakter wobec tego naszego interesu mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Innymi słowy – czy te nasze interesy nie doprowadza do sytuacji, że za mocno zaingerujemy w prawa i wolności osób, które mają być nagrane. To szczególnie ważne przy monitoringu – bo kamery mogą być różnie umieszczone i obejmować różne obszary – trzeba podejść do tego rozsądnie i nie przesadzić. Warto sobie tę analizę udokumentować i zachować na wypadek ewentualnej kontroli – mamy bowiem zasadę rozliczalności w RODO, która mówi, że powinniśmy być w stanie sami wykazać, że przestrzegamy przepisy RODO.
Czego nie może obejmować monitoring?
Z monitoringiem nie można przesadzić. Zgodnie z Kodeksem pracy, nie powinien obejmować: • pomieszczeń, które są udostępnione związkom zawodowym. • pomieszczeń sanitarnych, • szatni, • stołówek, • palarni.
Są od tych reguł wyjątki – generalnie to sytuacje (oprócz pomieszczenia związków zawodowych – tam nigdy nie może być monitoringu) gdy stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu, który sobie określiliśmy zgodnie z Kodeksem pracy i nie naruszy to godności oraz innych dóbr osobistych pracownika. Innymi słowy, powinniśmy mieć np. bardzo wysokie wymogi bezpieczeństwa (np. elektrownia, bank, miejsce, gdzie przechowuje się dokumenty opatrzone klauzulą tajności) i jeszcze musimy zabezpieczyć dodatkowo prawa osób, czyli naszych pracowników - w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób – w praktyce takie sytuacje są niezwykle rzadkie i raczej nie będą dotyczyły 99% przedsiębiorców.
Poza tym, monitoring prowadzony przez przedsiębiorcę w jego fabryce/magazynie/biurze powinien obejmować tylko termin ten fabryki/magazynu/biura i innych części nieruchomości, wchodzącej w skład terenu (np. parkingu, stróżówki, wejścia itp.). Nie powinien natomiast obejmować publicznej ulicy przed budynkiem, chodnika, nie wspominając już np. o domach zlokalizowanych w pobliżu. Pamiętajmy, że wg. RODO powinniśmy przetwarzać możliwie jak najmniej danych, tak aby tylko móc zrealizować nasz cel.
Jak informować o monitoringu?
Jeżeli decydujemy się na wprowadzenie monitoringu to musimy informować osoby, które mogą być nagrane, o tym że taki monitoring mamy – poprzez spełnienie obowiązku informacyjnego dot. przetwarzania danych, o którym mowa w RODO. Zalecane jest spełnianie go warstwowo, w następujący sposób:
wywieszenie tabliczek z informacją o tym, że obiekt jest monitorowany, nazwą administratora danych (czyli np. spółki, która prowadzi monitoring) i informacją gdzie można uzyskać więcej informacji na temat monitoringu (pierwsza warstwa obowiązku informacyjnego)
zamieszczenie pełnej treści obowiązku informacyjnego (spełniającego wymogi z art. 13 RODO) np. na stronie internetowej, w recepcji czy też na tablicy ogłoszeń, widocznej dla wchodzących.
To generalny, ogólnie spełniony obowiązek informacyjny. W przypadku pracowników informacja ta powinna być spełniona w sposób przyjęty w danym zakładzie pracy np. poprzez wywieszenie na tablicy ogłoszeń albo przesłanie pracownikowi maila z informacją o monitoringu. Niekiedy pracodawcy zawierają informacje o monitoringu w treści ogólnego obowiązku informacyjnego dot. zatrudnienia - w mojej ocenie to dobra praktyka i sugeruję aby ją stosować wraz z zamieszczaniem wspomnianych powyżej informacji na terenie samego zakładu pracy. Co ważne, pracownik musi być poinformowany o monitoringu co najmniej na 2 tygodnie przed jego wprowadzeniem.
Co jeszcze musi zrobić pracodawca?
Jeżeli przedsiębiorca zatrudnia pracowników i będą oni objęci monitoringiem, konieczne jest jeszcze pisemne określenie:
celów stosowania monitoringu – czyli tego po co jest monitoring wprowadzony
zakresu stosowania monitoringu – co ten monitoring obejmuje, kogo może nagrać, gdzie są kamery,
sposobu stosowania monitoringu – czyli tego w jaki sposób monitoring zapisuje dane, gdzie one są przechowywane, kto ma do nich dostęp itp.
Informacje te powinny znaleźć się w układzie zbiorowym pracy lub w regulaminie pracy. Jeśli w przedsiębiorstwie nie ma żadnego z tych dokumentów, to powinny one być zamieszczone w obwieszczeniu. Dodatkowo, trzeba je przekazywać nowym pracownikom na piśmie przed dopuszczeniem ich do pracy. Moim zdaniem, nie ma przeszkód aby znalazły się one w treści pisemnej informacji o przetwarzaniu danych (obowiązku informacyjnym), która będzie przekazywana wszystkim nowym pracownikom.
Jak długo można przechowywać dane z monitoringu?
Kodeks pracy mówi maksymalnie o trzech miesiącach. Generalnie sugeruję, aby nie przekraczać tego terminu nawet w sytuacji gdy nie macie pracowników i monitoring dotyczy innych osób – acz od tej zasady mogą być wyjątki.
I tutaj uwaga – Prezes UODO mówi, że te trzy miesiące to maksimum, a najlepiej aby było to jeszcze mniej. Jeżeli więc uznamy, że miesiąc nam starczy, to ograniczmy się do miesiąca. Zawsze możemy przechowywać zapisy z monitoringu dłużej w sytuacji gdy nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu. W takim przypadku termin ulega przedłużeniu do czasu prawomocnego zakończenia takiego postępowania.
Nie ma znaczenia jak zapisy z monitoringu są usuwane – nadpisanie ich nowymi danymi z zapisu obejmującego kolejny okres jest jak najbardziej prawidłowe.
Czy monitoring może posiadać funkcję automatycznego rozpoznawania twarzy?
Tego rodzaju systemy opierają się już na przetwarzaniu danych biometrycznych (zgodnie z definicją biometrii z RODO) a to oznacza, że przetwarzane będą dane szczególnej kategorii. Co do zasady, przetwarzanie tych danych jest niedopuszczalne, chyba że mamy szczególną podstawę w tym zakresie, wskazaną w art. 9 ust 2. RODO. Generalnie rzecz biorąc, nie powinniśmy stosować takich automatycznych algorytmów rozpoznających osobę albo prowadzących jakieś inne analizy, chyba, że wystąpią szczególne przypadki. Jeden z nich jest opisany w Kodeksie Pracy.
Kodeks pracy mówi, że przetwarzanie danych biometrycznych pracownika jest dopuszczalne gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony – przy czym dotyczy to też np. dostępu do pomieszczeń za pomocą odcisku palca, a niekoniecznie biometrii połączonej z monitoringiem. Aby rozważyć w ogóle wprowadzenie czegoś takiego jak biometria, trzeba mieć więc szczególne podstawy, związane z wysokimi wymogami bezpieczeństwa.
W jakich dokumentach powinna być informacja o monitoringu?
Przede wszystkim w rejestrze czynności przetwarzania. W mojej ocenie, warto aby informacje dot. stosowania monitoringu były również w polityce bezpieczeństwa lub jakimś załączniku do niej – w końcu monitoring jest istotnym środkiem zapewniania tego bezpieczeństwa, a więc powinniśmy posiadać procedurę mówiącą o tym, ja z niego korzystać, kto jest osoba odpowiedzialna itp. Analiza ryzyka również powinna uwzględniać kwestię stosowania monitoringu - w końcu to sposób w jaki przetwarzamy dane osobowe, które powinny być zabezpieczone.
Stosowanie monitoringu wizyjnego na terenie zwykłego zakładu pracy, takiego jak biuro lub fabryka, nie łączy się automatycznie z koniecznością dokonania oceny skutków dla ochrony danych. Taka dodatkowa analiza jest niezbędna jednak np. gdyby monitoring obejmował również dane biometryczne (tak jak pisałem – można o tym myśleć w naprawdę bardzo wyjątkowych przypadkach).
Monitoring a podmioty trzecie
Czasem zdarza się, że dostęp do monitoringu mają np. serwisanci lub pracownicy ochrony – nie zapomnijmy wtedy zawrzeć umowy powierzenia przetwarzania danych z firmą, która odpowiada za ich pracę. O umowie powierzenia możesz przeczytać całkiem sporo tutaj. Pamiętaj także, że informacje o takim odbiorcy powinny znaleźć się w treści obowiązku informacyjnego.
Czy mogę przekazać dane osobom, które tego żądają?
Oczywiście nie musisz (a nawet nie powinieneś) przekazać danych z monitoringu przypadkowym osobom, które po prostu chciałyby sobie pooglądać nagrania. Musisz natomiast przekazywać nagrania na podstawie żądań uprawnionych organów państwowych, takich jak policja czy sądy.
A co z osobami, które przychodzą do nas i mówią, że zostały pokrzywdzone przestępstwem albo odniosły jakąś szkodę i t może być widoczne na nagraniu z monitoringu? Z moich obserwacji wynika, że większość administratorów w takich sytuacjach odmawia wydania nagrań i informuje o tym, że powinna zwrócić się o nie policja. Tego typu praktyka nie jest moim zdaniem prawidłowa - a w każdym razie przepisy umożliwiają aby to zrobić inaczej.
Przede wszystkim, art. 6 ust. 1 lit f) RODO mówi, że dane mogą być przetwarzane na podstawie prawie uzasadnionego interesu administratora lub osoby trzeciej. Osoba pokrzywdzona, która szuka pomocy w związku z jakimś zdarzeniem i prosi nas o nagranie z monitoringu jest właśnie taką osobą trzecią, która ma swój prawnie uzasadniony interes. Możemy poprosić ją w tym zakresie o napisanie pisemnego wniosku, z opisem zdarzenia i jego datą oraz godzina, tak aby mieć podstawę do wydania nagrania, dotyczącego konkretnej daty i godziny.
Dodatkowo, musimy pamiętać, że osoba, która została nagrana w ramach monitoringu ma prawo dostępu do danych, które jej dotyczą – wprawdzie dostęp ten nie powinien negatywnie wpłynąć na prawa lub wolności innych osób, ale w sytuacji gdy monitoring obejmuje wizerunek np. sprawcy zdarzenia albo świadków, nie powinno to wpłynąć negatywnie na ich prawa lub wolności, jeśli osoba pokrzywdzona otrzyma takie nagranie.
Trzeba tu jednak pamiętać, że w niektórych sytuacjach (żądania dostępu do nagrań z monitoringu) sugerowane jest stosowanie oprogramowania umożliwiające zamazanie twarzy osób postronnych i przekazanie takiego zmodyfikowanego nagrania, które będzie zawierało tylko wizerunek żądającego.
W mojej ocenie jednak przekazanie takiego niezanonimizowanego nagrania jest dopuszczalne gdy osoba żądająca ma interes w tym aby zapoznać się z wizerunkiem innych uwiecznionych osób.
Podsumowanie
Monitoring to złożony temat. Nie ma się jednak czego bać – jeśli jest prawidłowo używany to będzie zgodny z RODO, a przepisy Kodeksu pracy stanowią ważna wskazówkę jak należy ustalić sobie zasady jego wykorzystania – mogą być przydatne nawet jeśli nie mamy pracowników.
Stosujesz monitoring wizyjny w swojej organizacji i potrzebujesz wsparcia? Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
Comments