• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Co RODO mówi o monitoringu

11.23.2017

Kwestia stosowania monitoringu wizyjnego (czyli kamer przemysłowych) od lat budziła wiele kontrowersji w kontekście ochrony danych osobowych. Dlaczego? Bo monitoring skutkuje przetwarzaniem wizerunku naprawdę wielu osób (np. w centrach handlowych, szpitalach, dworcach, ulicach itp.), zapisywaniem ich i trzymaniem przez określony czas na jakichś nośnikach danych.

 

Powodem, dla którego stosuje się monitoring jest zwykle chęć zapewnienia bezpieczeństwa. Tylko, że nawet bezpieczeństwa nie można zapewniać w sposób dowolny. Dlatego wizerunek i inne dane pozwalające rozpoznać osobę,  a następnie odpowiedzieć na pytanie gdzie była i co zrobiła, należy w jakiś sposób zabezpieczyć.

 

Dotychczas obowiązująca ustawa o ochronie danych osobowych nie dotykała w jakiś szczególny sposób problemu monitoringu, co oznaczało, że do wszelkich danych zebranych za pomocą kamer przemysłowych stosowało się ogólne reguły dotyczące danych osobowych.

 

Powodowało to liczne trudności, chociażby z wypełnieniem obowiązku informacyjnego wobec osób, których wizerunek był zbierany, nie wspominając o innych kwestiach, takich jak np. odpowiednie zabezpieczenie techniczne zapisu z monitoringu.

 

Dlatego też od lat mówiło się o konieczności uregulowania kwestii monitoringu w osobnym akcie prawnym. Prace trwały długo, dyskusja się toczyła, ale nic z tego nie wyszło. Dziś jesteśmy o krok od rozpoczęcia stosowania rozporządzenia ogólnego o ochronie danych (RODO). Jak ono podchodzi do kwestii monitoringu?

 

Na początku zaznaczę jedną rzecz. RODO nie wyróżnia monitoringu jako jakiegoś szczególnego sposobu przetwarzania danych osobowych, tak jak byśmy sobie tego życzyli. Co oznacza, że do danych pozyskanych za pomocą kamer przemysłowych nadal będzie stosowało się wszystkie zasady, które stosuje się do innych sposobów przetwarzania. W tym (nadal) te dotyczące obowiązku informacyjnego, ewentualnych roszczeń osób, których dane są zbierane oraz podstaw prawnych przetwarzania.

 

Ale jest jednak pewien plus. RODO wyróżnia bowiem monitoring wizyjny w dwóch miejscach.

 

Pierwszym z nim jest regulacja dotycząca wymogu oceny skutków dla ochrony danych.

 

Taka ocena skutków konieczna jest m.in. gdy administrator danych dokonuje systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Ocena skutków generalnie konieczna jest wtedy gdy dany rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Tak właśnie jest w przypadku monitoringu:

  1. Systematycznego – czyli dokonywanego w sposób ciągły albo w regularnych odstępach czasu, nie zaś jednorazowego, chwilowego,

  2. Dotyczącego miejsc dostępnych publicznie – czyli dostępnych dla nieograniczonej grupy różnych osób, np. place, centra handlowe, kina, szpitale itp.

  3. Na dużą skalę – to trzeba badać indywidualnie, biorąc pod uwagę to ile danych przetwarza administrator. Potencjalna jest ilość osób, których wizerunek jest rejestrowany i liczba wykorzystywanych kamer.

Jeśli te trzy przesłanki są spełnione – musimy dokonać oceny skutków dla ochrony danych, czyli przeanalizować to, jakie efekty (także negatywne) może wywołać przetwarzanie określonej kategorii danych, a następnie te analizę udokumentować.

 

Co więcej, RODO wymaga w takim przypadku również powołania (obowiązkowo) Inspektora Ochrony Danych. W przepisach dotyczących Inspektora również jest odwolanie do monitoringu. To właśnie to drugie miejsce, gdzie RODO używa tego pojęcia. Administrator musi powołać IOD m.in. gdy przetwarza dane w sposób wymagający regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. To nie tylko monitoring wizyjny - ale np. śledzenie lokalizacji użytkownika aplikacji mobilnej. Ale oczywiście - monitoring też pod to się łapie.

 

Co to wszystko znaczy? Że monitoring miejsc publicznych jest uznawany za działanie podwyższonego ryzyka, jeśli chodzi o ochronę danych osobowych. Może prowadzić do wystąpienia szczególnego ryzyka, a naruszenia bezpieczeństwa w tym zakresie raczej będą uznawane za poważne i mające spore konsekwencje. I prawdopodobnie znajdzie to również odzwierciedlenie w podejściu regulatora, czyli Prezesa Urzędu ochrony Danych Osobowych.

Dlatego, jeśli chcemy zbierać dane z kamer monitoringu, lepiej odpowiednio je zabezpieczyć.

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl