Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Wiedza  •  Blog  •  Publikacja wizerunku złodzieja – co na to RODO?

Publikacja wizerunku złodzieja – co na to RODO?

24 listopada 2023, Compliance, UODO

Zdecydowana większość sklepów – czy to dużych centrów handlowych, czy też sklepików osiedlowych – jest wyposażona w system monitoringu wizyjnego. Mało kogo już dziwi piktogram z informacją „teren monitorowany”. Chociaż cel zainstalowania monitoringu w sklepie przeważnie jest ten sam, czyli ochrona mienia bądź zabezpieczenie przed ewentualnymi wandalizmami i włamaniami, to do tej pory z ogromną ostrożnością podchodzono do tematu związanego z udostępnieniem wizerunku osób, które dokonały kradzieży sklepowych. Jeżeli chcesz się dowiedzieć, dlaczego udostępnienie wizerunku osoby fizycznej na podstawie zapisu z monitoringu wizyjnego jest możliwe oraz jakie warunki powinien spełnić administrator danych osobowych, aby nie naruszyć tym samym przepisów RODO, to ten artykuł jest właśnie dla Ciebie.
Autor:
r.pr. Karolina Langer

O co powinien zadbać administrator danych, który stosuje monitoring wizyjny

Wyobraźmy sobie sytuację, w której administrator danych osobowych jest właścicielem sieci delikatesów na Pomorzu. W celu zapewnienia ochrony mienia decyduje się na zainstalowanie w każdym ze sklepów monitoringu wizyjnego. Aby być zgodnym z RODO, musi dokonać analizy potrzeb i oceny ryzyka, a także zweryfikować zasadność zainstalowania kamer, co pozwoli na zminimalizowanie obszaru objętego zapisem z monitoringu.

Ważne, aby pamiętać, że obszar objęty monitoringiem powinien uwzględniać tylko obszary newralgiczne dla przedsiębiorcy (w omawianym przez nas przypadku takimi obszarami są np. wejście do sklepu, alejki z produktami i stanowiska z kasami). Dodatkowo ten przedsiębiorca jako administrator danych powinien upewnić się, że:

  1. dokonał prawidłowego oznakowania terenu objętego monitoringiem przez zamieszczenie tabliczek informacyjnych,
  2. przeprowadził szkolenia dla pracowników, którzy będą posiadać dostęp do zapisów z monitoringu wizyjnego, oraz przygotował stosowne upoważnienia do przetwarzania danych,
  3. zapewnił bezpieczeństwo przetwarzania m.in. dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych,
  4. dokonywał okresowych kontroli bezpieczeństwa danych oraz analiz ryzyka,
  5. wprowadził rejestr czynności przetwarzania (przyjmujemy, że przetwarzanie odbywa się na dużą skalę).

W naszym przykładzie możemy założyć, że administrator dołożył wszelkich starań, aby spełnić obowiązki wynikające z RODO, oraz że dokonuje przetwarzania danych osobowych na podstawie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO), jakim jest ochrona mienia.

Co administrator danych może zrobić, gdy dojdzie do kradzieży

Niestety krótko po zainstalowaniu monitoringu dochodzi do kradzieży w większości delikatesów zarządzanych przez administratora. Na podstawie posiadanych wewnętrznych procedur administrator zabezpiecza zapis z monitoringu wizyjnego i przekazuje go na prośbę policji w celu ujęcia sprawców tych kradzieży.

Załóżmy jednak, że do kradzieży dochodzi coraz częściej, a administrator ma podstawy, by sądzić, że we wszystkich delikatesach, którymi zarządza, kradzieży dokonują te same osoby. W celu zminimalizowania ryzyka dalszych kradzieży oraz uchronienia przed stratami finansowymi administrator wpada więc na pomysł, aby przekazać do tych sklepów zdjęcia przedstawiające wizerunki osób dokonujących kradzieży, utrwalone za pomocą zapisu z monitoringu wizyjnego. Zdjęcia mogłyby być rozpowszechnione np. wśród kadry kierowniczej sklepu oraz pracowników ochrony. Dzięki temu mieliby oni możliwość zidentyfikowania osoby dopuszczającej się kradzieży, gdyby tylko pojawiła się na terenie delikatesów.

W tym miejscu powstają dwa pytania: czy takie działanie nie będzie naruszało przepisów RODO oraz jakie są podstawy do przetwarzania wizerunku osoby fizycznej podejrzanej o kradzież? Nad kwestią dopuszczalności udostępniania wizerunku osób dokonujących kradzieży pochylił się niedawno ICO, czyli brytyjski organ nadzorczy.

Jak wskazał ICO, korzystanie z narzędzi, jakie daje dostęp do zapisów z monitoringu wizyjnego, powinno być ograniczone jedynie do sytuacji wyjątkowych, kiedy potrzeba uwzględniająca uzasadniony interes administratora daje podstawę do takiego udostępniania danych. Zwrócił również uwagę, że krąg osób, którym będzie przekazywany wizerunek, powinien być ograniczony. Mogą to być jedynie osoby bezpośrednio zaangażowane w zapobieganie popełnieniu przestępstwa (np. kierownictwo sklepu lub pracownicy ochrony) bądź w wykrywanie takiego przestępstwa (w tym przypadku chodzi o policję). Z kolei udostępnienie wizerunku szerszej grupie osób, w tym opublikowanie go na platformie społecznościowej związanej z daną działalnością przedsiębiorcy, zdaniem ICO nie będzie już uzasadnione.

Funkcja IOD - to się dobrze przekazuje

Kiedy udostępnienie wizerunku jest dopuszczalne

 ICO wskazał przypadki, gdy udostępnienie wizerunku jest dopuszczalne. Dotyczą one przekazania informacji o podejrzanym:

  1. policji –  w celu zapobiegnięcia popełnieniu przestępstwa albo wykrycia przestępstwa,
  2. kierownikowi lub menadżerowi innego sklepu funkcjonującego w obrębie jednej sieci bądź innych sklepów mieszczących się w jednym centrum handlowym –  aby można było zapobiec powtarzającym się kradzieżom,
  3. pracownikom firmy ochroniarskiej zabezpieczającym teren sklepu, w którym dochodzi do kradzieży – co jest uzasadnione możliwością zidentyfikowania podejrzanego przez ochroniarza w trakcie wykonywania obowiązków służbowych, a w efekcie – niedopuszczenia do dalszych kradzieży w sklepie.

Co ważne, nawet jeżeli udostępnienie wizerunku jest konieczne i proporcjonalne do celu, dla którego dane zostały zebrane, to administrator musi być świadomy odpowiedzialności związanej z przetwarzaniem takich danych osobowych.

Kiedy udostępnienie wizerunku jest niezgodne z RODO

Z kolei do przykładów sytuacji, w których udostępnienie informacji o podejrzanym nie ma podstawy w przepisach RODO i jest niedopuszczalne, ICO zalicza:

  1. umieszczenie wizerunku w pokoju socjalnym lub pracowniczym – dostęp tak szerokiego grona osób do tego typu danych nie byłby prawnie uzasadniony,
  2. udostępnienie wizerunku innym lokalnym przedsiębiorcom za pośrednictwem platformy komunikacyjnej – takie działanie można by uznać za dopuszczalne tylko wtedy, gdyby odbywało się przez poufny kanał komunikacji, zapewniający odpowiedni stopień bezpieczeństwa i ochrony zamieszczonych informacji oraz gwarantujący usługę automatycznego usuwania danych z urządzenia (zniwelowałoby to bowiem ryzyko przesłania informacji na prywatne urządzenia bądź zapisania ich w kopiach przechowywanych w chmurze),
  3. opublikowanie wizerunku na grupach społecznościowych lub w social mediach z otwartym dostępem dla wszystkich członków danej społeczności –  nie ma podstaw, by dostęp do danych miała tak szeroka grupa osób,
  4. umieszczenie wizerunku w okolicy, w której doszło do kradzieży, np. naklejenie zdjęć w witrynach sklepowych czy na latarniach ulicznych – udostępnienie danych nie byłoby zgodne z celem, dla którego te dane zebrano, a ponadto dostęp do nich miałaby zbyt duża grupa nieuprawnionych osób.

O czym trzeba pamiętać, gdy przetwarza się dane osobowe w postaci wizerunku

Nowy w temacie RODO?
Poznaj podstawy!

Intensywny dzień szkoleniowy. Praktyczna wiedza, pakiet dokumentacji i poszkoleniowe wsparcie.
SPRAWDŹ TERMINY
ICO przypomina, że w każdej sytuacji związanej z przetwarzaniem danych administrator powinien kierować się zasadą adekwatności danych i stosować podejście oparte na ryzyku – poczynając od samej fazy projektowania, a kończąc na etapie, gdy przetwarzanie danych dobiegnie końca. W praktyce oznacza to, że administrator będzie zobowiązany do korzystania z niezwykłą ostrożnością z wizerunku osoby podejrzanej o kradzież. Mimo że kieruje nim chęć uchwycenia sprawcy i niedopuszczenia do dalszych kradzieży, będzie musiał pamiętać, aby nie naruszyć swoim działaniem praw takiej osoby, np. przez doprowadzenie do tego, że zdjęcie przedstawiające jej wizerunek trafi w niepowołane ręce lub do zbyt dużego grona odbiorców.

Stanowisko ICO może budzić kontrowersje, jednak daje administratorom danych zielone światło do podejmowania kroków, których celem jest niedopuszczenie do kradzieży. Dlatego warto przed każdym udostępnieniem danych zastanowić się, jakie będą ewentualne konsekwencje takiego działania. Jest to rada uniwersalna, gdyż dotyczy każdego udostępniania danych przez administratora. Zawsze należy też pamiętać o zachowaniu równowagi między interesem administratora a prawami osób, których dane są lub będą przetwarzane.

Europejska Rada Ochrony Danych Osobowych w wytycznych nr 3/2019 w sprawie przetwarzania danych osobowych na urządzeniach wideo wskazała, że ujawnienie danych pochodzących z monitoringu wizyjnego stronom trzecim stanowi odrębny rodzaj przetwarzania danych, dla którego administrator potrzebuje podstawy prawnej określonej w art. 6 RODO. Dodatkowo nagrania wideo mogą zostać przesłane (udostępnione) stronom trzecim w celu innym niż cel, w którym dane osobowe zostały zebrane, na podstawie przepisów, o których mowa w art. 6 ust. 4 RODO. Cel dalszego przetwarzania danych nie musi być taki sam jak cel gromadzenia danych. Istotne jest jednak to, aby cele te były ze sobą zgodne (czyli administrator stosuje monitoring, by ochronić swoje mienie, ale gdy dojdzie do kradzieży, to jego cel udostępnienia wizerunku sprawcy będzie związany z pierwotnym celem, którym jest ochrona towaru przed ponowną kradzieżą).

W omawianym przypadku, gdy mamy do czynienia z czynem podlegającym sankcjom przewidzianym w Kodeksie wykroczeń czy Kodeksie karnym, możemy uznać, że pierwotny cel administratora będzie zgodny z dalszym celem przetwarzania.

Podsumowanie

Z danymi osobowymi mamy do czynienia, gdy zapis z monitoringu umożliwia zidentyfikowanie osoby fizycznej, a co za tym idzie – ustalenie tożsamości tej osoby. Administrator, który stosuje system monitoringu wizyjnego, musi się upewnić, że przetwarzanie przez niego zapisów pochodzących z zainstalowanych kamer jest zgodne z ogólnymi przepisami RODO. Jeżeli chce udostępnić wizerunek osoby podejrzanej o kradzież, może to zrobić po zastosowaniu odpowiednich środków ostrożności, a w szczególności musi zagwarantować, że dane te nie dotrą do nieuprawnionych osób. Możliwe jest też udostępnianie nagrań organom ścigania, pracownikom ochrony mienia, np. sklepów, w których notorycznie dochodzi do kradzieży, czy kierownikom takich sklepów. Podstawą działania administratora będzie bowiem chęć zapobiegnięcia kradzieżom w przyszłości.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

W której z poniższych sytuacji udostępnienie wizerunku na podstawie zapisów z monitoringu wizyjnego będzie zgodne z RODO?

Czytaj także:

15 kwietnia 2024

Dyrektywa NIS 2: Wzmocnienie Cyberbezpieczeństwa w UE

18 marca 2024

Ochrona sygnalistów - wyzwania i zgodność z RODO

11 marca 2024

Ranking aplikacji dla sygnalistów - zgodne z RODO

Poradniki i Nawigatory

Poradniki i przewodniki RODO
Najczęstsze błędy przy zawieraniu umów powierzenia

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Zamknij
Szukaj w ODO24.pl