Opracowanie czytelnie i przejrzyście wskazuje liczne rekomendacje w zakresie celowości, a także sposobu utrwalania wizerunków osób w przestrzeni publicznej. Jednak czy na pewno warto bezkrytycznie posiłkować się wskazówkami zaproponowanymi przez EROD? Analizę wytycznych oraz najciekawsze ich elementy przedstawiamy poniżej.
Kiedy monitoring nie podlega RODO?
Nie każda czynność rejestrowania obrazu za pośrednictwem kamery będzie poddawana reżimowi przepisów z obszaru ochrony danych osobowych. Kluczową przesłanką determinującą tę okoliczność jest tzw. kryterium użytku domowego. W wytycznych wprawdzie nie zdefiniowano wprost, co dokładnie należy rozumieć przez to pojęcie, niemniej przytoczono w tym zakresie przykłady wskazujące, kiedy będzie miało zastosowanie wyłączenie spod RODO.
Wzór klauzuli informacyjnej
Udostępniamy wzór klauzuli informacyjnej spełniający wymogi przewidziane zarówno przez przepisy, jak i przez najnowsze wytyczne EROD.
Pierwszą z przywołanych przez EROD wzorcowych sytuacji jest używanie kamery parkowania w samochodzie. Warunkiem efektywnego wyłączenia jest jednak niezbieranie przez urządzenie obrazów pozwalających na identyfikację osób fizycznych, w tym również numerów rejestracyjnych innych pojazdów. Kolejny przykład to nadzór wideo przydomowego ogrodu – oczywiście wyłącznie w przypadku, gdy kamera nie obejmuje przestrzeni publicznej poza terenem prywatnej nieruchomości. Powyższe pokrywa się z dotychczasową praktyką i nie pozostawia raczej wątpliwości.
W Niemczech do 2023 r. włącznie nałożono co najmniej 10 kar rzędu do 1000 euro na osoby prywatne z powodu używania kamer samochodowych.
Z kolei w 2020 r. na austriacki organ nadzorczy nałożył karę finansową w wysokości 2200 euro na osobę prywatną, która korzystała z monitoringu CCTV w swoim domu. Monitoring obejmował obszary przeznaczone do ogólnego użytku mieszkańców wielorodzinnego kompleksu mieszkaniowego, a mianowicie: parkingi, chodniki, dziedziniec, ogród i drogi dojazdowe do kompleksu mieszkaniowego; ponadto monitoring obejmował tereny ogrodowe sąsiedniej nieruchomości. Monitoring wideo będący nie ograniczał się zatem do obszarów znajdujących się pod wyłączną kontrolą tej osoby.
Gdzie NIE stosować monitoringu?
Równie istotną kwestią poruszoną przez autorów wytycznych jest wyznaczenie miejsc, w których należałoby wykluczyć stosowanie monitoringu. Według EROD nie powinny być monitorowane m.in. ogrody, gabinety lekarskie i zabiegowe, obiekty sanitarne, sauny, ławki miejskie, parki, kina, sale fitness. Zaproponowany katalog może wydawać się zastanawiający czy wręcz dyskusyjny, w szczególności z uwagi na umieszczenie w nim terenów parkowych, na których potrzeba kontroli oraz utrzymania porządku jest zazwyczaj większa niż w innych obiektach.
Warto wspomnieć, że również polski Kodeks pracy przewiduje brak możliwości monitorowania pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chociaż jest to dopuszczalne pod pewnymi wyjątkami. Niezastosowanie się do wymogów było już przedmiotem kary UODO nałożonej na jedną z dużych sieci handlowych, która zamontowała w magazynie ukrytą kamerę, aby wykryć złodzieja alkoholu.
EROD podkreśla także, że korzystanie z metod utrwalania wizerunku w celu zabezpieczenia nieruchomości powinno być dozwolone wyłącznie w jej granicach. Wskazuje jednak prawdopodobieństwo zaistnienia sytuacji, w których tak ograniczony nadzór nie jest wystarczający do skutecznej ochrony obszaru administratora. Powinien on wtedy wziąć pod uwagę środki fizyczne i techniczne, np. przysłonięcie lub pikselowanie obrazu w częściach wykraczających poza niezbędny dla niego zakres.
UODO wydawał już decyzje dotyczące monitorowania przez osoby prywatne przestrzeni publicznej, która nie powinna być przez nich monitorowana, choć nie zostały nałożone w związku z tym kary pieniężne: decyzja z 30 maja 2022 r. oraz decyzja z 21 października 2025 r. Z kolei hiszpański organ nadzorczy nakłada w takich sytuacjach na osoby prywatne kary w wysokości do 300-5000 euro (kara 5000 euro została nałożona na osobę, która zainstalowała w swoim domu na terenie kompleksu mieszkalnego monitoring obejmujący również basen publiczny.
Ponadto, w świetle zaleceń zaprezentowanych w wytycznych, administrator powinien w pierwszej kolejności rozważyć, czy monitoring wizyjny, który zamierza wykorzystać, jest faktycznie konieczny do zapewnienia bezpieczeństwa w nadzorowanej przez niego strefie. EROD wskazuje, że administrator, którego celem jest zapobieganie przestępstwom i ochrona mienia, zamiast instalować system nadzoru wideo może podjąć alternatywne środki bezpieczeństwa, takie jak ogrodzenie nieruchomości, patrole strażników, zapewnienie lepszego oświetlenia, zainstalowanie zabezpieczeń w oknach i drzwiach czy nałożenie powłok lub folii przeciwko graffiti. Stosownie do wytycznych środki te mogą okazać się wystarczające i równie skuteczne co monitoring wideo, którego można wówczas uniknąć.
Podstawy przetwarzania danych z monitoringu
W dalszej kolejności należy zwrócić uwagę na zajęte przez EROD stanowisko, zgodnie z którym każda przesłanka z art. 6 ust. 1 RODO może stanowić podstawę prawną do przetwarzania danych z monitoringu wizyjnego.
Najczęściej stosowanymi przepisami są art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora) oraz art. 6 ust. 1 lit. e RODO (konieczność wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej). Jeżeli zaś obowiązek nadzoru wideo nakłada prawo krajowe, zastosowanie znajdzie art. 6 ust. 1 lit. c RODO. Zgodę osoby, której dane dotyczą, można wykorzystać jako podstawę prawną jedynie w wyjątkowych sytuacjach. Natomiast art. 9 ust. 2 lit. d RODO może stanowić podstawę przetwarzania dla administratora stosującego monitoring wizyjny wyłącznie wobec uzasadnienia absolutnej niezbędności do zabezpieczenia żywotnych interesów osoby i udowodnienia, że osoba ta jest fizycznie lub prawnie niezdolna do wyrażenia zgody na przetwarzanie jej danych osobowych.
Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje
- Nagranie wideo przedstawiające osobę, której dane dotyczą, w okularach lub na wózku inwalidzkim nie jest jako takie uważane za przetwarzanie danych osobowych szczególnych kategorii.
- Ze zdjęć przedstawiających możliwe do zidentyfikowania osoby biorące udział w proteście, strajku czy manifestacji można wywnioskować poglądy polityczne. Taka sytuacja implikuje zastosowanie art. 9 RODO.
- Monitoring nakierowany na kościół co do zasady nie jest objęty art. 9 RODO. Administrator musi jednak przeprowadzić szczególnie staranną ocenę prawnie uzasadnionego interesu takiego nadzoru zgodnie z art. 6 ust. 1 lit. f RODO, biorąc w szczególności pod uwagę charakter danych, a także ryzyko przechwycenia danych wrażliwych.
- Oparcie się na art. 9 ust. 2 lit. c RODO jest uzasadnione w przypadku konieczności udzielenia pomocy osobie nieprzytomnej, będącej w stanie zagrożenia życia, przez szpitalny zespół ratunkowy.
W przedstawionych wyżej stanowiskach EROD da się zauważyć pewną niekonsekwencję co do tego, czy na danym obrazie pochodzącym z monitoringu znajdują się dane osobowe szczególnych kategorii. Kiedy widzimy na nim osobę czarnoskórą, „widzimy” też jej dane osobowe w postaci rasy. Kiedy widzimy na nim osobę poruszającą się na wózku inwalidzkim, „widzimy” też jej dane osobowe na temat stanu zdrowia. Kiedy widzimy, że ktoś jest obecny na marszu przeciwników aborcji, „widzimy” też dane osobowe tej osoby w postaci jej światopoglądu. Są to jednak dane, których podmiot stosujący monitoring nie „chce” przetwarzać, nie ma intencji ich zbierania, mimo, że de facto pojawiają się na obrazie z monitoringu. Z uwagi na to nie możemy stwierdzić, że właściciel nagrania z monitoringu jest administratorem danych osobowych o czyjejś rasie/zdrowiu/światopoglądzie.
Co z biometrią?
Rejestrowanie wizerunków osób fizycznych coraz częściej wiąże się z użyciem obrazu w kontekście biometrii. Stosownie do stanowiska zaprezentowanego przez EROD administrator, instalując system nadzoru wideo z funkcją rozpoznawania twarzy, np. przy wejściu na salę koncertową, nie może ograniczyć się do tej opcji. Zobowiązany jest on do zapewnienia osobom wchodzącym na teren, którym zarządza, wyraźnie oddzielonego wejścia, niewymagającego zastosowania urządzeń biometrycznych.
Nadmienienia wymaga, że narzędzia pozwalające na wykorzystanie biometrii muszą być zainstalowane przez administratora w sposób uniemożliwiający przechwycenie przez system osób, które uprzednio nie wyraziły na to zgody.
Wykorzystanie danych biometrycznych pochodzących z monitoringu było przedmiotem decyzji szwedzkiego organu nadzorczego z 2019 r. Szkoła w miejscowości Skellefteå wykorzystywała technologię rozpoznawania twarzy do monitorowania obecności uczniów. Chociaż generalnie przetwarzanie danych w celu monitorowania obecności jest możliwe, robienie tego za pomocą rozpoznawania twarzy jest nieproporcjonalne do celu. Z uwagi na to, że przetwarzane były dane biometryczne, zastosowanie miał art. 9 RODO. Zdanie szwedzkiego organu nadzorczego zgoda mogła zostać zastosowana jako podstawa prawna przetwarzania, ponieważ uczniowie i ich opiekunowie nie mogli swobodnie decydować, czy chcą być monitorowani pod kątem obecności. Dodatkowo organ stwierdził, że szkoła nie mogła powołać się na żaden inny wyjątek od zakazu przetwarzaniu danych biometrycznych, o których to wyjątkach mowa w art. 9 ust. 2 RODO.
Jak długo można przechowywać nagrania?
Newralgicznym zagadnieniem związanym z wykorzystywaniem monitoringu wizyjnego jest okres, przez który administrator może przechowywać nagrania pozyskane w taki sposób. Niestety ani przepisy o ochronie danych osobowych, ani wytyczne nie określają wprost tego terminu. EROD w odniesieniu do tej kwestii ponownie posiłkuje się praktycznymi przykładami. W tym kontekście wskazano, że w małym sklepie, gdzie łatwo można odnotować kradzież bądź innego typu naruszenie, wystarczający jest 24 - godzinny okres przechowywania. Argumentem przemawiającym za wydłużeniem tego terminu mogą być święta czy inne dni niehandlowe. W przypadku wykrycia szkody również zamiar podjęcia kroków prawnych wobec sprawcy może stanowić przesłankę zachowania nagrania przez dłuższy czas.
Odnosząc się w sposób ogólny do pozostałych przypadków stosowania monitoringu wizyjnego, EROD stwierdza, że co do zasady nagrania powinny być usunięte po kilku dniach, najlepiej automatycznie. To kolejna teza mogąca wzbudzać kontrowersje. Do tej pory w praktyce przyjął się pewien standard przechowywania nagrań przez administratorów przez około 30 dni, a nawet do 3 miesięcy, co znacznie odbiega od aktualnych zaleceń EROD.
Z kolei w dokumencie „Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego” wydanym w 2018 r. UODO wskazał, że „okres ten powinien być raczej liczony w tygodniach niż w miesiącach”, nie określając jednak szczegółowo, jaki okres byłby najbardziej adekwatny.
W nawiązaniu do powyższego warto nadmienić, że zgodnie z treścią wytycznych, na żądanie osoby trzeciej dopuszczalne jest udostępnienie jej posiadanego przez administratora nagrania. Warunkiem jest jednak, aby cel wykorzystania wideo pokrywał się z celem stosowania przedmiotowego monitoringu. Chodzi o sytuację, gdy, np. na parkingu (który jest objęty monitoringiem wizyjnym mającym za zadanie zapewnienie bezpieczeństwa) zadrapano nam samochód, a my chcemy zweryfikować, w jaki sposób doszło do uszkodzenia, by podjąć ewentualne dalsze kroki z tym związane. Natomiast nie można zaakceptować udostępnienia analogicznego nagrania z zamiarem zamieszczenia go, przykładowo, w internetowym serwisie rozrywkowym.
Uwaga: zgodnie z RODO przetwarzanie danych (w tym udostępnienie danych z monitoringu) jest możliwe, gdy m.in. jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Strona trzecią może być osoba, której co prawda nie widać na nagraniu, ale wykaże ona swój uzasadniony interes w otrzymaniu nagrania zawierającego wizerunki innych niż ona sama osób. Klasycznym przykładem takiej sytuacji jest właśnie zwrócenie się o udostępnienia nagrania przez osobę, która pozostawiła swoje auto na parkingu i zostało ono uszkodzone podczas jej nieobecności.
Obowiązek informacyjny – nie tylko w formie graficznej
Zważywszy, że wizerunek osoby fizycznej bezsprzecznie stanowi jej dane osobowe, na podmiocie będącym administratorem tych danych spoczywa obowiązek informacyjny przewidziany w art. 13 RODO. Mając na względzie specyfikę tego rodzaju danych oraz ich pozyskiwania, EROD wyróżnia dwie warstwy klauzuli informacyjnej odnoszącej się do przedmiotowej materii. W świetle wytycznych część informacji powinna być ukazana na samym znaku ostrzegawczym informującym o fakcie monitorowania (pierwsza warstwa), a dalsze obligatoryjne szczegóły mogą być udostępnione za pośrednictwem innych środków (druga warstwa). Pierwsza warstwa (znak ostrzegawczy) powinna zasadniczo przekazywać najważniejsze informacje – szczegółowe dane na temat celów przetwarzania, tożsamości administratora oraz możliwości kontaktu z nim, praw przysługujących osobie, której dane dotyczą, oraz najistotniejszych skutków przetwarzania – a także zawierać wzmiankę o inspektorze ochrony danych (jeśli został on powołany w organizacji). Wymogiem jest również odniesienie się do drugiej warstwy obowiązku informacyjnego oraz wskazanie, gdzie i jak można znaleźć klauzulę informacyjną. Miejsce pozwalające na zapoznanie się z pełną jej treścią powinno być łatwo dostępne dla osób, których dane dotyczą, np. w punkcie informacyjnym, recepcji lub kasie.
Co istotne, w myśl wytycznych wskazanie w klauzuli informacyjnej, że nadzór wideo oparty jest wyłącznie na celu „bezpieczeństwa”, nie jest wystarczająco szczegółowe oraz stoi w sprzeczności z zasadą przejrzystości ustanowioną przez RODO. Niewątpliwie takie stanowisko utrudni administratorom prawidłową realizację obowiązku informacyjnego.
Dobrym przykładem, jak należy rozumieć warstwowe podejście w przekazywaniu informacji, jest decyzja włoskiego organu nadzorczego wydana w 2023 r. Dotyczyła ona spełnienia obowiązku informacyjnego w ramach monitoringu wizyjnego stosowanego przy altance śmietnikowej. Organ zarzucił administratorowi:
- Niewłaściwe i nieczytelne tablice informacyjne (pierwsza warstwa): Znak ostrzegający o kamerach znajdował się bezpośrednio na kontenerze na śmieci, w otoczeniu innych znaków. Taka lokalizacja powodowała, że komunikat był słabo widoczny i nie pozwalał mieszkańcom na zorientowanie się o obecności monitoringu przed wejściem w zasięg obiektywu.
- Wprowadzające w błąd cele przetwarzania: Znak informacyjny oraz informacje na stronie internetowej ogólnikowo powoływały się na „względy bezpieczeństwa”, „bezpieczeństwo publiczne” lub „ochronę przed aktami wandalizmu i kradzieżami”. W rzeczywistości głównym celem kamer było dokumentowanie wykroczeń administracyjnych polegających na nieprawidłowym wyrzucaniu śmieci, co powinno zostać jasno zakomunikowane.
- Brak odniesienia do pełnej klauzuli informacyjnej: Tablice umieszczone przy śmietnikach nie zawierały informacji o tym, gdzie można zapoznać się z pełną, drugą warstwą obowiązku informacyjnego (np. poprzez odesłanie do strony internetowej). Pełna polityka prywatności została opublikowana w sieci ze znacznym opóźnieniem.
- Zatajenie informacji o wydłużeniu czasu retencji: Gdy gmina zdecydowała się na przedłużenie okresu przechowywania nagrań z 7 do 15 dni, nie zaktualizowała komunikatów informacyjnych, przez co osoby nagrywane nie wiedziały o tej zmianie.
- Utrudnianie dostępu do informacji i fałszywe deklaracje: Na nowszych znakach gmina zawarła informację o rzekomym "mechanizmie automatycznego usuwania danych", który faktycznie nie istniał. Ponadto wymuszała na obywatelach fizyczną wizytę w punkcie informacyjnym urzędu, aby móc zapoznać się z pełną klauzulą, co w sposób nieuzasadniony utrudniało realizację praw osób, których dane dotyczyły.
Wzór klauzuli informacyjnej – obiekt monitorowany
Udostępniamy wzór klauzuli informacyjnej spełniający wymogi przewidziane zarówno przez przepisy, jak i przez najnowsze wytyczne EROD.
Wskazane przez EROD obligatoryjne elementy pierwszej warstwy obowiązku informacyjnego mogą sprawić, że wyda się on dość trudny do spełnienia. Aby pomóc w przebrnięciu przez konstruowanie klauzuli informacyjnej zgodnej z regulacjami ochrony danych osobowych (od strony nie tylko merytorycznej, lecz także graficznej), specjalnie dla Państwa przygotowaliśmy wzór spełniający wymogi przewidziane zarówno przez przepisy, jak i przez wytyczne EROD.
Wykorzystując naszą propozycję klauzuli, proszę pamiętać, że jest to wzór, który należy odpowiednio dostosować do każdego stanu faktycznego. Elementami wymagającymi szczególnej weryfikacji są: podstawa i cel przetwarzania, okres przechowywania nagrań oraz oznaczenie obszaru objętego monitoringiem.
Abstrahując od istoty podjętych rozważań, warto zasygnalizować, że wytyczne są na etapie konsultacji – EROD przyjmuje uwagi do nich do 9 września 2019 r. Zachęcamy do zapoznania się z treścią wytycznych 3/2019, którą znajdą Państwo na stronie UODO pod adresem: https://www.uodo.gov.pl/pl/138/1100 (dostęp: 26 sierpnia 2019 r.).