Udostępnianie danych z monitoringu – praktyczne wskazówki

Monitoring wizyjny to jeden z najczęściej stosowanych przez administratorów środków ochrony danych. Zapisywane za jego pośrednictwem dane osobowe (przede wszystkim obraz wideo, ale także dźwięk, a w niektórych sytuacjach również dane biometryczne) – mimo specyficznej formy utrwalenia – podlegają przepisom RODO, w tym w zakresie realizacji praw osób, których dane dotyczą. Niniejszy artykuł skupia się na problemach i dylematach związanych z realizacją prawa dostępu do danych osobowych.

Monitoring wizyjny to jeden z najczęściej stosowanych przez administratorów środków ochrony osób i mienia.

Zapisywane za jego pośrednictwem dane osobowe (przede wszystkim wizerunek – twarz, sylwetka, ale czasem także dźwięk – głos, treść rozmowy) podlegają przepisom RODO, w tym przepisom dotyczącym realizacji praw osób nagrywanych. Niniejszy artykuł skupia się na problemach i dylematach związanych z realizacją prawa dostępu do własnych danych osobowych utrwalonych za pomocą monitoringu wizyjnego, ale również do nagrań, na których brak samego wnioskodawcy.

Decyzja o udostępnieniu nagrania powinna rozpocząć się od ustalenia, kim w świetle RODO jest osoba, która zwraca się o nagranie. Mogą zachodzić bowiem następujące sytuacje:

  1. osoba znajduje się na nagraniu, tj. jest osobą, której dane dotyczą, oraz zwraca się o udostępnienie kopii jej danych, tj. składa wniosek o realizację jej prawa wskazanego w art. 15 ust. 3 RODO;
  2. osoba nie znajduje się na nagraniu, ale otrzymanie nagrania leży w jej interesie, np. gdy na monitorowanym parkingu został uszkodzony jej samochód. Jest zatem stroną trzecią w rozumieniu RODO.

Scenariusz 1: Udostępnienie nagrania osobie, która jako jedyna się na nim znajduje

GRATIS

Udostępnianie danych z monitoringu – praktyczne wskazówki

Obejrzyj webinar

Prawo dostępu do danych oraz uzyskania kopii danych jest jednym z podstawowych praw osób nagranych. Osoba, która jest na nagraniu, ma prawo otrzymać kopię bez konieczności wykazywania interesu prawnego czy faktycznego. Musi jednak przed uzyskaniem nagrania wykazać, że to faktycznie ona się na nim znajduje (co ma zapobiec pozyskiwaniu od administratora kopii nie swoich danych). Taka identyfikacja może polegać np. na tym, że dana osoba wystarczająco szczegółowo opisze, kiedy, gdzie i w jakich okolicznościach została nagrana, jak była wówczas ubrana itp.

Warto pamiętać, że zgodnie z art. 12 ust. 6 RODO, jeżeli administrator ma wątpliwości co do tożsamości wnioskodawcy, może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości tego wnioskodawcy. Poza tym motyw 64 RODO stanowi, że „administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą”. Konieczne jest bowiem zminimalizowanie ryzyka ujawnienia danych osobie nieuprawnionej. Może się bowiem zdarzyć, że o nagranie poprosi osoba, która wcale nie jest na nagraniu – przekazanie zapisu takiej nieuprawnionej osobie, bez postawy prawnej, będzie stanowiło naruszenie RODO.

Na potrzebę identyfikacji osoby wnioskującej o nagranie wskazuje również Prezes UODO w wydanym w czerwcu 2018 r. poradniku na temat monitoringu, w którym stwierdza: „Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane zostaną zebrane poprzez system monitoringu wizyjnego, może korzystać z praw ujętych w rozdziale III rozporządzenia. Mając na uwadze specyfikę wideomonitoringu, należy stwierdzić, że realizacja uprawnień kontrolnych osoby obserwowanej może się związać z koniecznością przedstawienia przez nią informacji o sytuacjach, w których mogła znaleźć się w obszarze działania systemu monitoringu. Może to obejmować okresy czasu czy też sytuacje, w których uczestniczyła taka osoba, szczegóły jej ubioru itp.”

Kiedy już mamy pewność, że o udostępnienie nagrania wnosi osoba, której dane dotyczą, a na nagraniu nie zostały utrwalone inne osoby, można takie nagranie bez obaw udostępnić. UWAGA: upewnienie się co do tożsamości nie równa się pozyskaniu imienia i nazwiska wnioskodawcy – wystarczy, że na podstawie opisanych przez tę osobę okoliczności wiemy, że to ona znajduje się na nagraniu.

Scenariusz 2: Udostępnienie nagrania, na którym oprócz wnioskodawcy widoczne są inne osoby

Bardziej problematyczna jest kwestia udostępniania nagrań, na których znajdują się utrwalone wizerunki innych osób, przy czym musimy wziąć pod uwagę, że mogą one zawierać również inne dane osobowe (w określonych sytuacjach np. numery rejestracyjne pojazdów albo nawet widoczną sylwetkę bez twarzy, o ile jest charakterystyczna). Wówczas musimy zważyć prawa i interesy osoby, która ma prawo uzyskać kopię swoich danych, oraz innych osób widocznych na nagraniu, które mogą zostać zidentyfikowane.

W wytycznych 3/2019 w sprawie przetwarzania danych osobowych za pomocą urządzeń wideo (pkt 94, s. 22) wydanych przez Europejską Radę Ochrony Danych znajdziemy następującą opinię (tłumaczenie własne):

„Biorąc pod uwagę, że dowolna liczba osób, których dane dotyczą, może zostać nagrana w tej samej sekwencji nagrania wideo, przeszukiwanie go spowodowałoby dodatkowe przetwarzanie danych osobowych innych osób, których dane dotyczą. Jeżeli osoba, której dane dotyczą, chce otrzymać kopię swoich danych (art. 15 ust. 3 RODO), może to negatywnie wpłynąć na prawa i wolności innych osób, których dane znajdują się w materiale. Aby temu zapobiec, administrator powinien zatem wziąć pod uwagę, że ze względu na możliwość ingerencji w prywatność innych osób nie powinien on w niektórych przypadkach wydawać materiałów wideo, na których można zidentyfikować te inne osoby. Ochrona praw osób trzecich nie powinna jednak być wykorzystywana jako pretekst do nieuczynienia zadość uzasadnionym żądaniom dostępu do danych, a zatem administrator danych powinien w takich przypadkach wdrożyć środki techniczne w celu spełnienia żądania (na przykład edycję obrazu, taką jak maskowanie lub szyfrowanie). Jednak administratorzy danych nie są zobowiązani do wdrożenia takich środków technicznych, jeżeli mogą inaczej zapewnić, że będą w stanie odpowiedzieć na wniosek na podstawie art. 15 RODO w terminie określonym w art. 12 ust. 3 rozporządzenia”.

Funkcja IOD - to się dobrze przekazuje

Jak mogłoby się wydawać, UODO stoi na stanowisku, że wszelkie nagrania należy udostępniać pod warunkiem anonimizacji sylwetek innych osób. W opublikowanym komunikacie na temat monitoringu na prywatnych posesjach stwierdza: „Osoby obserwowane mają prawo dostępu do swoich danych na nagraniach. Przy tym nie możesz udostępniać danych innych osób – powinieneś je zamazać, np. przy pomocy oprogramowania”. Dalej jednak UODO daje do zrozumienia, że nie zawsze zamazywanie twarzy innych będzie konieczne:

„Nagrane przez Ciebie sytuacje mogą być udostępnione np. Policji lub ubezpieczycielowi w związku z napaścią, włamaniem albo zniszczeniem mienia w celu przeprowadzenia odpowiednich postępowań. Także osoby prywatne, które mają usprawiedliwiony interes, mogą domagać się dostępu do nagrań, np. gdy uszkodzono ich samochód stojący w zasięgu Twojej kamery. Musisz ocenić, czy udostępnienie nagrania jest zasadne. W obu przypadkach możesz udostępnić całe nagranie bez zamazywania wizerunku uczestników”.

Jak zatem należy postępować w razie zgłoszenia tego typu żądania? Najlepiej potwierdzić jej tożsamość, zanonimizować sylwetki innych osób i wtedy takie nagranie udostępnić. W wyjątkowych przypadkach zamazanie twarzy innych osób może nie być jednak zasadne (np. kiedy na nagraniu widać chuligana uszkadzającego samochód wnioskodawcy). Jeżeli nie mamy pewności, czy w danej sytuacji powinniśmy zamazać twarze innych, czy nie, najlepiej zabezpieczyć nagranie i poinformować wnioskodawcę, że zostanie ono udostępnione niezwłocznie na żądanie uprawnionych organów czy np. ubezpieczyciela.

Scenariusz 3: Udostępnienie nagrania osobie, której na nim nie ma

Co jeśli ktoś prosi o nagranie, które obejmuje inne osoby, lecz nie jego samego? Wówczas należy stosować zasady podobne do tych, które obowiązują w przypadku Scenariusza 2. Przede wszystkim zatem musimy zidentyfikować tożsamość wnioskującego. Jeżeli wykaże on interes w uzyskaniu nagrania, możemy je udostępnić. Czy wtedy jednak zamazywać twarze tych innych osób? Będziemy bowiem najpewniej mieli do czynienia z sytuacją, kiedy wnioskodawcy zależy właśnie na tym, aby twarze innych osób były widoczne – np. twarz sprawcy uszkodzenia jego mienia.

Nie ma głupich pytań RODO.
Są darmowe odpowiedzi

Skorzystaj z bezpłatnej porady prawnej lub IT.
MAM PYTANIE
W przypadku gdy udostępniamy materiał wideo, na którym są widoczne twarze innych, podstawą udostępnienia może być art. 6 ust. 1 lit. f RODO – sytuacja, kiedy udostępnienie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez stronę trzecią, którą to stroną będzie właśnie wnioskodawca (gdyż on sam nie będzie na nagraniu). Wskazana podstawa prawna ma zastosowanie z wyjątkiem sytuacji, w których nadrzędny charakter wobec interesów strony trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (osoby na nagraniu).

Oczywiście w razie zamazania twarzy na udostępnionym nagraniu prawdopodobnie w ogóle nie będziemy mieli do czynienia z udostępnieniem danych osobowych. Kiedy jednak nie mamy możliwości zamazania twarzy osób na nagraniu lub z jakichś powodów jest to nieuzasadnione, musimy zważyć interes osoby, która wnosi o udostępnienie nagrania, z prawami i interesami osób, które są na nim widoczne. Musimy zatem ocenić, czy to, co wnioskujący uzyska bądź przed czym się uchroni dzięki nagraniu, jest „ważniejsze” od interesów i praw osób na nim widniejących, choćby ich prawa do prywatności, w tym jakie negatywne skutki mogą te osoby spotkać w razie udostępnienia nagrania z ich wizerunkami. Często się bowiem zdarza, że administrator udostępnia nagranie w dobrej wierze, a następnie osoba, która nagranie otrzymała, publikuje je w social mediach. Warto wraz z udostępnieniem nagrania pouczyć odbiorcę nagrania, że o ile może wykorzystać je we własnym interesie w postępowaniu prowadzonym przez uprawnione służby, to nie powinien danych upubliczniać na własną rękę, gdyż może się to dla niego skończyć odpowiedzialnością za bezpodstawne upublicznienie czyjegoś wizerunku. Uwaga: nie będzie to już wówczas odpowiedzialność administratora, który – po dokonaniu analizy, że danej osobie można przekazać nagranie – nagranie przekazał, a ta osoba następnie opublikowała to nagranie w swoich social mediach. Za tę czynność – opublikowanie w social mediach – odpowiada już ta osoba, która nagranie opublikowała.

Podsumowanie

Decyzja o udostępnieniu nagrania powinna być poprzedzona analizą: tożsamości wnioskodawcy, jego prawa bądź interesu w uzyskaniu nagrania, praw i interesów innych osób znajdujących się na nagraniu. Gdy jako administrator danych mamy wątpliwość co robić, najlepiej jest nagranie zabezpieczyć i poinformować wnioskodawcę, że zostanie ono udostępnione na wniosek uprawnionych służb. Z jednej strony wówczas zabezpieczamy osobie, dla której nagranie ma wielką wartość, możliwość dochodzenia jej roszczeń, z drugiej strony – zabezpieczamy siebie jako administratora danych przed zarzutem bezpodstawnego udostępnienia nagrania. Jakakolwiek by nie była nasza decyzja, jako administrator danych musimy udokumentować na czym się ta decyzja opierała. W tym celu warto prowadzić rejestr żądań podmiotów danych, który obejmował będzie sposób załatwienia żądania i krótkie uzasadnienie.

Więcej praktycznych podpowiedzi otrzymasz od Marcina Kuźniaka, naszego doradcy ds. ochrony danych. Skontaktuj się z nim i umów na bezpłatną konsultację – warto!

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>