Monitoring wizyjny na gruncie najnowszych wytycznych EROD

Parking, sklep, park, a nierzadko również miejsce pracy – kamery otaczają nas ze wszystkich stron. Zdążyliśmy już przyzwyczaić się do tego, że na każdym kroku napotykamy ikony, które wskazują na śledzące nas urządzenia.

Dla administratora – który stoi po drugiej stronie – istotna jest odpowiedź na pytanie, jak wykorzystywać monitoring zgodnie z prawem. Europejska Rada Ochrony Danych (EROD) 10 lipca 2019 r. wydała projekt wytycznych 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, tj. w ramach monitoringu wizyjnego.

Opracowanie czytelnie i przejrzyście wskazuje liczne rekomendacje w zakresie celowości, a także sposobu utrwalania wizerunków osób w przestrzeni publicznej. Jednak czy na pewno warto bezkrytycznie posiłkować się wskazówkami zaproponowanymi przez EROD? Analizę wytycznych oraz najciekawsze ich elementy przedstawiamy poniżej.

Kiedy monitoring nie podlega RODO?

Nie każda czynność rejestrowania obrazu za pośrednictwem kamery będzie poddawana reżimowi przepisów z obszaru ochrony danych osobowych. Kluczową przesłanką determinującą tę okoliczność jest tzw. kryterium użytku domowego. W wytycznych wprawdzie nie zdefiniowano wprost, co dokładnie należy rozumieć przez to pojęcie, niemniej przytoczono w tym zakresie przykłady wskazujące, kiedy będzie miało zastosowanie wyłączenie spod RODO.

Wzór klauzuli informacyjnej – obiekt monitorowany
Udostępniamy wzór klauzuli informacyjnej spełniający wymogi przewidziane zarówno przez przepisy, jak i przez najnowsze wytyczne EROD.
Pobierz  

Pierwszą z przywołanych przez EROD wzorcowych sytuacji jest używanie kamery parkowania w samochodzie. Warunkiem efektywnego wyłączenia jest jednak niezbieranie przez urządzenie obrazów pozwalających na identyfikację osób fizycznych, w tym również numerów rejestracyjnych innych pojazdów. Kolejny przykład to nadzór wideo przydomowego ogrodu – oczywiście wyłącznie w przypadku, gdy kamera nie obejmuje przestrzeni publicznej poza terenem prywatnej nieruchomości. Powyższe pokrywa się z dotychczasową praktyką i nie pozostawia raczej wątpliwości.

Gdzie NIE stosować monitoringu?

Równie istotną kwestią poruszoną przez autorów wytycznych jest wyznaczenie miejsc, w których należałoby wykluczyć stosowanie monitoringu. Według EROD nie powinny być monitorowane m.in. ogrody, gabinety lekarskie i zabiegowe, obiekty sanitarne, sauny, ławki miejskie, parki, kina, sale fitness. Zaproponowany katalog może wydawać się zastanawiający czy wręcz dyskusyjny, w szczególności z uwagi na umieszczenie w nim terenów parkowych, na których potrzeba kontroli oraz utrzymania porządku jest zazwyczaj większa niż w innych obiektach.

EROD podkreśla także, że korzystanie z metod utrwalania wizerunku w celu zabezpieczenia nieruchomości powinno być dozwolone wyłącznie w jej granicach. Wskazuje jednak prawdopodobieństwo zaistnienia sytuacji, w których tak ograniczony nadzór nie jest wystarczający do skutecznej ochrony obszaru administratora. Powinien on wtedy wziąć pod uwagę środki fizyczne i techniczne, np. przysłonięcie lub pikselowanie obrazu w częściach wykraczających poza niezbędny dla niego zakres.

Ponadto, w świetle zaleceń zaprezentowanych w wytycznych, administrator powinien w pierwszej kolejności rozważyć, czy monitoring wizyjny, który zamierza wykorzystać, jest faktycznie konieczny do zapewnienia bezpieczeństwa w nadzorowanej przez niego strefie. EROD wskazuje, że administrator, którego celem jest zapobieganie przestępstwom i ochrona mienia, zamiast instalować system nadzoru wideo może podjąć alternatywne środki bezpieczeństwa, takie jak ogrodzenie nieruchomości, patrole strażników, zapewnienie lepszego oświetlenia, zainstalowanie zabezpieczeń w oknach i drzwiach czy nałożenie powłok lub folii przeciwko graffiti. Stosownie do wytycznych środki te mogą okazać się wystarczające i równie skuteczne co monitoring wideo, którego można wówczas uniknąć.

Podstawy przetwarzania danych z monitoringu

W dalszej kolejności należy zwrócić uwagę na zajęte przez EROD stanowisko, zgodnie z którym każda przesłanka z art. 6 ust. 1 RODO może stanowić podstawę prawną do przetwarzania danych z monitoringu wizyjnego.

Najczęściej stosowanymi przepisami są art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora) oraz art. 6 ust. 1 lit. e RODO (konieczność wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej). Jeżeli zaś obowiązek nadzoru wideo nakłada prawo krajowe, zastosowanie znajdzie art. 6 ust. 1 lit. c RODO. Zgodę osoby, której dane dotyczą, można wykorzystać jako podstawę prawną jedynie w wyjątkowych sytuacjach. Natomiast art. 9 ust. 2 lit. d RODO może stanowić podstawę przetwarzania dla administratora stosującego monitoring wizyjny wyłącznie wobec uzasadnienia absolutnej niezbędności do zabezpieczenia żywotnych interesów osoby i udowodnienia, że osoba ta jest fizycznie lub prawnie niezdolna do wyrażenia zgody na przetwarzanie jej danych osobowych.

Warto w tym miejscu przytoczyć przykłady, za których pośrednictwem EROD wyjaśnia zasadność stosowania podstaw odnoszących się do przetwarzania danych osobowych szczególnych kategorii.

  • Nagranie wideo przedstawiające osobę, której dane dotyczą, w okularach lub na wózku inwalidzkim nie jest jako takie uważane za przetwarzanie danych osobowych szczególnych kategorii.
  • Ze zdjęć przedstawiających możliwe do zidentyfikowania osoby biorące udział w proteście, strajku czy manifestacji można wywnioskować poglądy polityczne. Taka sytuacja implikuje zastosowanie art. 9 RODO.
  • Monitoring nakierowany na kościół co do zasady nie jest objęty art. 9 RODO. Administrator musi jednak przeprowadzić szczególnie staranną ocenę prawnie uzasadnionego interesu takiego nadzoru zgodnie z art. 6 ust. 1 lit. f RODO, biorąc w szczególności pod uwagę charakter danych, a także ryzyko przechwycenia danych wrażliwych.
  • Oparcie się na art. 9 ust. 2 lit. c RODO jest uzasadnione w przypadku konieczności udzielenia pomocy osobie nieprzytomnej, będącej w stanie zagrożenia życia, przez szpitalny zespół ratunkowy.

Co z biometrią?

Rejestrowanie wizerunków osób fizycznych coraz częściej wiąże się z użyciem obrazu w kontekście biometrii. Stosownie do stanowiska zaprezentowanego przez EROD administrator, instalując system nadzoru wideo z funkcją rozpoznawania twarzy, np. przy wejściu na salę koncertową, nie może ograniczyć się do tej opcji. Zobowiązany jest on do zapewnienia osobom wchodzącym na teren, którym zarządza, wyraźnie oddzielonego wejścia, niewymagającego zastosowania urządzeń biometrycznych.

Nadmienienia wymaga, że narzędzia pozwalające na wykorzystanie biometrii muszą być zainstalowane przez administratora w sposób uniemożliwiający przechwycenie przez system osób, które uprzednio nie wyraziły na to zgody.

Jak długo można przechowywać nagrania?

Newralgicznym zagadnieniem związanym z wykorzystywaniem monitoringu wizyjnego jest okres, przez który administrator może przechowywać nagrania pozyskane w taki sposób. Niestety ani przepisy o ochronie danych osobowych, ani wytyczne nie określają wprost tego terminu. EROD w odniesieniu do tej kwestii ponownie posiłkuje się praktycznymi przykładami. W tym kontekście wskazano, że w małym sklepie, gdzie łatwo można odnotować kradzież bądź innego typu naruszenie, wystarczający jest 24 - godzinny okres przechowywania. Argumentem przemawiającym za wydłużeniem tego terminu mogą być święta czy inne dni niehandlowe. W przypadku wykrycia szkody również zamiar podjęcia kroków prawnych wobec sprawcy może stanowić przesłankę zachowania nagrania przez dłuższy czas.

Odnosząc się w sposób ogólny do pozostałych przypadków stosowania monitoringu wizyjnego, EROD stwierdza, że co do zasady nagrania powinny być usunięte po kilku dniach, najlepiej automatycznie. To kolejna teza mogąca wzbudzać kontrowersje. Do tej pory w praktyce przyjął się pewien standard przechowywania nagrań przez administratorów przez około 30 dni, a nawet do 3 miesięcy, co znacznie odbiega od aktualnych zaleceń EROD.

W nawiązaniu do powyższego warto nadmienić, że zgodnie z treścią wytycznych, na żądanie osoby trzeciej dopuszczalne jest udostępnienie jej posiadanego przez administratora nagrania. Warunkiem jest jednak, aby cel wykorzystania wideo pokrywał się z celem stosowania przedmiotowego monitoringu. Chodzi o sytuację, gdy, np. na parkingu (który jest objęty monitoringiem wizyjnym mającym za zadanie zapewnienie bezpieczeństwa) zadrapano nam samochód, a my chcemy zweryfikować, w jaki sposób doszło do uszkodzenia, by podjąć ewentualne dalsze kroki z tym związane. Natomiast nie można zaakceptować udostępnienia analogicznego nagrania z zamiarem zamieszczenia go, przykładowo, w internetowym serwisie rozrywkowym.

Obowiązek informacyjny – nie tylko w formie graficznej

Zważywszy, że wizerunek osoby fizycznej bezsprzecznie stanowi jej dane osobowe, na podmiocie będącym administratorem tych danych spoczywa obowiązek informacyjny przewidziany w art. 13 RODO. Mając na względzie specyfikę tego rodzaju danych oraz ich pozyskiwania, EROD wyróżnia dwie warstwy klauzuli informacyjnej odnoszącej się do przedmiotowej materii. W świetle wytycznych część informacji powinna być ukazana na samym znaku ostrzegawczym informującym o fakcie monitorowania (pierwsza warstwa), a dalsze obligatoryjne szczegóły mogą być udostępnione za pośrednictwem innych środków (druga warstwa). Pierwsza warstwa (znak ostrzegawczy) powinna zasadniczo przekazywać najważniejsze informacje – szczegółowe dane na temat celów przetwarzania, tożsamości administratora oraz możliwości kontaktu z nim, praw przysługujących osobie, której dane dotyczą, oraz najistotniejszych skutków przetwarzania – a także zawierać wzmiankę o inspektorze ochrony danych (jeśli został on powołany w organizacji). Wymogiem jest również odniesienie się do drugiej warstwy obowiązku informacyjnego oraz wskazanie, gdzie i jak można znaleźć klauzulę informacyjną. Miejsce pozwalające na zapoznanie się z pełną jej treścią powinno być łatwo dostępne dla osób, których dane dotyczą, np. w punkcie informacyjnym, recepcji lub kasie.

Strefa RODO

Co istotne, w myśl wytycznych wskazanie w klauzuli informacyjnej, że nadzór wideo oparty jest wyłącznie na celu „bezpieczeństwa”, nie jest wystarczająco szczegółowe oraz stoi w sprzeczności z zasadą przejrzystości ustanowioną przez RODO. Niewątpliwie takie stanowisko utrudni administratorom prawidłową realizację obowiązku informacyjnego.

Wzór klauzuli informacyjnej – obiekt monitorowany
Udostępniamy wzór klauzuli informacyjnej spełniający wymogi przewidziane zarówno przez przepisy, jak i przez najnowsze wytyczne EROD.

Wskazane przez EROD obligatoryjne elementy pierwszej warstwy obowiązku informacyjnego mogą sprawić, że wyda się on dość trudny do spełnienia. Aby pomóc w przebrnięciu przez konstruowanie klauzuli informacyjnej zgodnej z regulacjami ochrony danych osobowych (od strony nie tylko merytorycznej, lecz także graficznej), specjalnie dla Państwa przygotowaliśmy wzór spełniający wymogi przewidziane zarówno przez przepisy, jak i przez najnowsze wytyczne EROD.

Wykorzystując naszą propozycję klauzuli, proszę pamiętać, że jest to wzór, który należy odpowiednio dostosować do każdego stanu faktycznego. Elementami wymagającymi szczególnej weryfikacji są: podstawa i cel przetwarzania, okres przechowywania nagrań oraz oznaczenie obszaru objętego monitoringiem.
Pobierz  

Abstrahując od istoty podjętych rozważań, warto zasygnalizować, że wytyczne są na etapie konsultacji – EROD przyjmuje uwagi do nich do 9 września 2019 r. Zachęcamy do zapoznania się z treścią wytycznych 3/2019, którą znajdą Państwo na stronie UODO pod adresem: https://www.uodo.gov.pl/pl/138/1100 (dostęp: 26 sierpnia 2019 r.).

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".