Promocja na szkolenia otwarte   Więcej        

Udostępnianie danych z monitoringu
praktyczne wskazówki

Szacowanie

Monitoring wizyjny to jeden z najczęściej stosowanych przez administratorów środków ochrony danych. Zapisywane za jego pośrednictwem dane osobowe (przede wszystkim obraz wideo, ale także dźwięk, a w niektórych sytuacjach również dane biometryczne) – mimo specyficznej formy utrwalenia – podlegają przepisom RODO, w tym w zakresie realizacji praw osób, których dane dotyczą. Niniejszy artykuł skupia się na problemach i dylematach związanych z realizacją prawa dostępu do danych osobowych.

Decyzja o udostępnieniu nagrania powinna rozpocząć się od ustalenia, kim w świetle RODO jest osoba, która zwraca się o nagranie. Mogą zachodzić bowiem następujące sytuacje:

  1. osoba znajduje się na nagraniu, tj. jest osobą, której dane dotyczą, oraz zwraca się o udostępnienie kopii jej danych, tj. składa wniosek o realizację jej prawa wskazanego w art. 15 ust. 3 RODO;
  2. osoba nie znajduje się na nagraniu, ale otrzymanie nagrania leży w jej interesie, np. gdy na monitorowanym parkingu został uszkodzony jej samochód. Jest zatem stroną trzecią w rozumieniu RODO.

Realizacja wniosku osoby, której dane dotyczą – brak danych innych osób na nagraniu

Prawo dostępu do danych oraz uzyskania kopii danych jest jednym z podstawowych praw osób fizycznych. Osoba, która jest na nagraniu, ma prawo otrzymać kopię bez konieczności wykazywania interesu prawnego czy faktycznego. Musi jednak przed uzyskaniem nagrania wykazać, że to faktycznie ona się na nim znajduje (co ma zapobiec pozyskiwaniu od administratora kopii nie swoich danych). Taka identyfikacja może polegać np. na tym, że dana osoba wystarczająco szczegółowo opisze, kiedy, gdzie i w jakich okolicznościach została nagrana, jak była wówczas ubrana itp. W sytuacji gdy dobrze widoczna jest twarz osoby, która wnosi o wydanie jej nagrania, można nawet poprosić ją o przesłanie skanu dokumentu tożsamości ze zdjęciem, ale po uprzednim zakryciu przez nią wszystkich danych, których administrator nie posiada (w praktyce może być zatem widoczne jedynie zdjęcie). Warto pamiętać, że zgodnie z art. 12 ust. 6 RODO, jeżeli administrator ma wątpliwości co do tożsamości wnioskodawcy, może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości tego wnioskodawcy. Poza tym motyw 64 RODO stanowi, że „administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą”. Konieczne jest bowiem zminimalizowanie ryzyka ujawnienia danych osobie nieuprawnionej.

Na potrzebę identyfikacji wskazuje również Prezes UODO w wydanym w czerwcu 2018 r. poradniku na temat monitoringu, w którym stwierdza: „Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane zostaną zebrane poprzez system monitoringu wizyjnego, może korzystać z praw ujętych w rozdziale III rozporządzenia. Mając na uwadze specyfikę wideomonitoringu, należy stwierdzić, że realizacja uprawnień kontrolnych osoby obserwowanej może się związać z koniecznością przedstawienia przez nią informacji o sytuacjach, w których mogła znaleźć się w obszarze działania systemu monitoringu. Może to obejmować okresy czasu czy też sytuacje, w których uczestniczyła taka osoba, szczegóły jej ubioru itp.”.

Kiedy już mamy pewność, że o udostępnienie nagrania wnosi osoba, której dane dotyczą, a na nagraniu nie zostały utrwalone inne osoby (ich wizerunki lub inne dane osobowe), można takie nagranie bez obaw udostępnić.

Realizacja wniosku osoby, której dane dotyczą – dane innych osób na nagraniu

Dużo bardziej problematyczna jest kwestia udostępniania nagrań, na których znajdują się utrwalone wizerunki innych osób, przy czym musimy wziąć pod uwagę, że mogą one zawierać również inne dane osobowe (w określonych sytuacjach np. numery rejestracyjne pojazdów albo nawet widoczną sylwetkę bez twarzy, o ile jest charakterystyczna). Wówczas musimy zważyć prawa i interesy osoby, która ma prawo uzyskać kopię swoich danych, oraz innych osób widocznych na nagraniu, które mogą zostać zidentyfikowane.

Akredytowany kurs IOD

W wytycznych 3/2019 w sprawie przetwarzania danych osobowych za pomocą urządzeń wideo (pkt 94, s. 22) wydanych przez Europejską Radę Ochrony Danych znajdziemy następującą opinię (tłumaczenie własne):

„Biorąc pod uwagę, że dowolna liczba osób, których dane dotyczą, może zostać nagrana w tej samej sekwencji nagrania wideo, przeszukiwanie go spowodowałoby dodatkowe przetwarzanie danych osobowych innych osób, których dane dotyczą. Jeżeli osoba, której dane dotyczą, chce otrzymać kopię swoich danych (art. 15 ust. 3 RODO), może to negatywnie wpłynąć na prawa i wolności innych osób, których dane znajdują się w materiale. Aby temu zapobiec, administrator powinien zatem wziąć pod uwagę, że ze względu na możliwość ingerencji w prywatność innych osób nie powinien on w niektórych przypadkach wydawać materiałów wideo, na których można zidentyfikować te inne osoby. Ochrona praw osób trzecich nie powinna jednak być wykorzystywana jako pretekst do nieuczynienia zadość uzasadnionym żądaniom dostępu do danych, a zatem administrator danych powinien w takich przypadkach wdrożyć środki techniczne w celu spełnienia żądania (na przykład edycję obrazu, taką jak maskowanie lub szyfrowanie). Jednak administratorzy danych nie są zobowiązani do wdrożenia takich środków technicznych, jeżeli mogą inaczej zapewnić, że będą w stanie odpowiedzieć na wniosek na podstawie art. 15 RODO w terminie określonym w art. 12 ust. 3 rozporządzenia”.

[Oryg.: Given that any number of data subjects may be recorded in the same sequence of video surveillance a screening would then cause additional processing of personal data of other data subjects. If the data subject wishes to receive a copy of the material (article 15 (3)), this could adversely affect the rights and freedoms of other data subject in the material. To prevent that effect the controller should therefore take into consideration that due to the intrusive nature of the video footage the controller should not in some cases hand out video footage where other data subjects can be identified. The protection of the rights of third parties should however not be used as an excuse to prevent legitimate claims of access by individuals, the controller should in those cases implement technical measures to fulfil the access request (for example, imageediting such as masking or scrambling).However, controllers are not obliged to implement such technical measures if they can otherwise ensure that they are able to react upon a request under Article 15 within the timeframe stipulated by Article 12 (3).]

Więcej o monitoringu wizyjnym na gruncie najnowszych wytycznych EROD piszemy w artykele: "Monitoring wizyjny na gruncie najnowszych wytycznych EROD".

Jak mogłoby się wydawać, UODO stoi na stanowisku, że wszelkie nagrania należy udostępniać pod warunkiem anonimizacji sylwetek innych osób. W opublikowanym komunikacie na temat monitoringu na prywatnych posesjach stwierdza: „Osoby obserwowane mają prawo dostępu do swoich danych na nagraniach. Przy tym nie możesz udostępniać danych innych osób – powinieneś je zamazać, np. przy pomocy oprogramowania”. Dalej jednak UODO daje do zrozumienia, że nie zawsze zamazywanie twarzy innych będzie konieczne:

„Nagrane przez Ciebie sytuacje mogą być udostępnione np. Policji lub ubezpieczycielowi w związku z napaścią, włamaniem albo zniszczeniem mienia w celu przeprowadzenia odpowiednich postępowań. Także osoby prywatne, które mają usprawiedliwiony interes, mogą domagać się dostępu do nagrań, np. gdy uszkodzono ich samochód stojący w zasięgu Twojej kamery. Musisz ocenić, czy udostępnienie nagrania jest zasadne. W obu przypadkach możesz udostępnić całe nagranie bez zamazywania wizerunku uczestników”.

Usługa DPIA

W naszej ocenie ostatnie zdanie stanowi dość śmiałą tezę, że w przypadku udostępniania osobom prywatnym nagrań na potrzeby dochodzenia przez nich roszczeń nie trzeba „przejmować się” wizerunkami innych osób.

Jak zatem należy postępować w razie zgłoszenia żądania przez osobę, której dane dotyczą? Najlepiej potwierdzić jej tożsamość, zanonimizować sylwetki innych osób i wtedy takie nagranie udostępnić. W wyjątkowych przypadkach zamazanie twarzy innych osób może nie być jednak zasadne (np. kiedy na nagraniu widać chuligana uszkadzającego samochód wnioskodawcy). Jeżeli nie mamy pewności, czy w danej sytuacji powinniśmy zamazać twarze innych, czy nie, najlepiej zabezpieczyć nagranie i poinformować wnioskodawcę, że zostanie ono udostępnione niezwłocznie na żądanie uprawnionych organów czy np. ubezpieczyciela.

O udostępnieniu danych ubezpieczycielowi piszemy w w naszej "Bazie wiedzy RODO".

Udostępnienie nagrania osobie, której na nim nie ma

Co jeśli ktoś prosi o nagranie, które obejmuje inne osoby, lecz nie jego samego? Wówczas należy stosować zasady podobne do tych, które obowiązują w przypadku wniosku osoby, której dane dotyczą. Przede wszystkim zatem musimy zidentyfikować tożsamość wnioskującego. Kiedy potwierdzimy tożsamość wnioskodawcy i wykaże on interes w uzyskaniu nagrania, możemy je udostępnić – po wcześniejszym zamazaniu twarzy osób znajdujących się na nagraniu. Wówczas ryzyko, że w ogóle udostępniamy dane osobowe, jest minimalne.

W przypadku gdy udostępniamy materiał wideo, na którym są widoczne twarze innych (a np. nie możemy ich zanonimizować), podstawą udostępnienia może być art. 6 ust. 1 lit. f RODO – udostępnienie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez stronę trzecią. Wskazana podstawa prawna ma zastosowanie z wyjątkiem sytuacji, w których nadrzędny charakter wobec interesów osoby trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (osoby na nagraniu). W razie zamazania twarzy na udostępnionym nagraniu wskazany wyjątek nie będzie więc zachodził (bo wówczas prawdopodobnie w ogóle nie będziemy mieli do czynienia z udostępnieniem danych osobowych). Kiedy jednak nie mamy możliwości zamazania twarzy osób na nagraniu, musimy zważyć interes osoby, która wnosi o udostępnienie nagrania, z prawami i interesami osób, które są na nim widoczne. Musimy zatem ocenić, czy to, co wnioskujący uzyska bądź przed czym się uchroni dzięki nagraniu, jest „ważniejsze” od interesów i praw osób na nim widniejących, tj. ich prawa do prywatności, ale też jakie są potencjalne negatywne skutki, które mogą te osoby spotkać w razie udostępnienia nagrania z ich wizerunkami.

Podsumowanie

Decyzja o udostępnieniu nagrania powinna być poprzedzona analizą: tożsamości wnioskodawcy, jego prawa bądź interesu w uzyskaniu nagrania, praw i interesów innych osób znajdujących się na nagraniu. Nie jest jednak zasadne przyjęcie jednej prostej zasady i bezwzględne stosowanie się do niej, np. nieudostępniania nagrań podmiotom innym niż sąd czy Policja. Podobnie nie jest wskazane bezrefleksyjne udostępnianie wideo każdemu, kto o to poprosi.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


R.pr. Katarzyna Szczypińska
18 czerwca 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się