Udostępnianie danych z monitoringu – praktyczne wskazówki

Monitoring wizyjny to jeden z najczęściej stosowanych przez administratorów środków ochrony danych. Zapisywane za jego pośrednictwem dane osobowe (przede wszystkim obraz wideo, ale także dźwięk, a w niektórych sytuacjach również dane biometryczne) – mimo specyficznej formy utrwalenia – podlegają przepisom RODO, w tym w zakresie realizacji praw osób, których dane dotyczą. Niniejszy artykuł skupia się na problemach i dylematach związanych z realizacją prawa dostępu do danych osobowych.

Decyzja o udostępnieniu nagrania powinna rozpocząć się od ustalenia, kim w świetle RODO jest osoba, która zwraca się o nagranie. Mogą zachodzić bowiem następujące sytuacje:

  1. osoba znajduje się na nagraniu, tj. jest osobą, której dane dotyczą, oraz zwraca się o udostępnienie kopii jej danych, tj. składa wniosek o realizację jej prawa wskazanego w art. 15 ust. 3 RODO;
  2. osoba nie znajduje się na nagraniu, ale otrzymanie nagrania leży w jej interesie, np. gdy na monitorowanym parkingu został uszkodzony jej samochód. Jest zatem stroną trzecią w rozumieniu RODO.

Realizacja wniosku osoby, której dane dotyczą – brak danych innych osób na nagraniu

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Prawo dostępu do danych oraz uzyskania kopii danych jest jednym z podstawowych praw osób fizycznych. Osoba, która jest na nagraniu, ma prawo otrzymać kopię bez konieczności wykazywania interesu prawnego czy faktycznego. Musi jednak przed uzyskaniem nagrania wykazać, że to faktycznie ona się na nim znajduje (co ma zapobiec pozyskiwaniu od administratora kopii nie swoich danych). Taka identyfikacja może polegać np. na tym, że dana osoba wystarczająco szczegółowo opisze, kiedy, gdzie i w jakich okolicznościach została nagrana, jak była wówczas ubrana itp. W sytuacji gdy dobrze widoczna jest twarz osoby, która wnosi o wydanie jej nagrania, można nawet poprosić ją o przesłanie skanu dokumentu tożsamości ze zdjęciem, ale po uprzednim zakryciu przez nią wszystkich danych, których administrator nie posiada (w praktyce może być zatem widoczne jedynie zdjęcie). Warto pamiętać, że zgodnie z art. 12 ust. 6 RODO, jeżeli administrator ma wątpliwości co do tożsamości wnioskodawcy, może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości tego wnioskodawcy. Poza tym motyw 64 RODO stanowi, że „administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą”. Konieczne jest bowiem zminimalizowanie ryzyka ujawnienia danych osobie nieuprawnionej.

Na potrzebę identyfikacji wskazuje również Prezes UODO w wydanym w czerwcu 2018 r. poradniku na temat monitoringu, w którym stwierdza: „Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane zostaną zebrane poprzez system monitoringu wizyjnego, może korzystać z praw ujętych w rozdziale III rozporządzenia. Mając na uwadze specyfikę wideomonitoringu, należy stwierdzić, że realizacja uprawnień kontrolnych osoby obserwowanej może się związać z koniecznością przedstawienia przez nią informacji o sytuacjach, w których mogła znaleźć się w obszarze działania systemu monitoringu. Może to obejmować okresy czasu czy też sytuacje, w których uczestniczyła taka osoba, szczegóły jej ubioru itp.”.

Kiedy już mamy pewność, że o udostępnienie nagrania wnosi osoba, której dane dotyczą, a na nagraniu nie zostały utrwalone inne osoby (ich wizerunki lub inne dane osobowe), można takie nagranie bez obaw udostępnić.

CZYTAJ WIĘCEJ: Wzór klauzuli informacyjnej dla monitoringu wizyjnego

Realizacja wniosku osoby, której dane dotyczą – dane innych osób na nagraniu

Dużo bardziej problematyczna jest kwestia udostępniania nagrań, na których znajdują się utrwalone wizerunki innych osób, przy czym musimy wziąć pod uwagę, że mogą one zawierać również inne dane osobowe (w określonych sytuacjach np. numery rejestracyjne pojazdów albo nawet widoczną sylwetkę bez twarzy, o ile jest charakterystyczna). Wówczas musimy zważyć prawa i interesy osoby, która ma prawo uzyskać kopię swoich danych, oraz innych osób widocznych na nagraniu, które mogą zostać zidentyfikowane.

Diagnoza zgodności RODO - zrób to sam!

W wytycznych 3/2019 w sprawie przetwarzania danych osobowych za pomocą urządzeń wideo (pkt 94, s. 22) wydanych przez Europejską Radę Ochrony Danych znajdziemy następującą opinię (tłumaczenie własne):

„Biorąc pod uwagę, że dowolna liczba osób, których dane dotyczą, może zostać nagrana w tej samej sekwencji nagrania wideo, przeszukiwanie go spowodowałoby dodatkowe przetwarzanie danych osobowych innych osób, których dane dotyczą. Jeżeli osoba, której dane dotyczą, chce otrzymać kopię swoich danych (art. 15 ust. 3 RODO), może to negatywnie wpłynąć na prawa i wolności innych osób, których dane znajdują się w materiale. Aby temu zapobiec, administrator powinien zatem wziąć pod uwagę, że ze względu na możliwość ingerencji w prywatność innych osób nie powinien on w niektórych przypadkach wydawać materiałów wideo, na których można zidentyfikować te inne osoby. Ochrona praw osób trzecich nie powinna jednak być wykorzystywana jako pretekst do nieuczynienia zadość uzasadnionym żądaniom dostępu do danych, a zatem administrator danych powinien w takich przypadkach wdrożyć środki techniczne w celu spełnienia żądania (na przykład edycję obrazu, taką jak maskowanie lub szyfrowanie). Jednak administratorzy danych nie są zobowiązani do wdrożenia takich środków technicznych, jeżeli mogą inaczej zapewnić, że będą w stanie odpowiedzieć na wniosek na podstawie art. 15 RODO w terminie określonym w art. 12 ust. 3 rozporządzenia”.

[Oryg.: Given that any number of data subjects may be recorded in the same sequence of video surveillance a screening would then cause additional processing of personal data of other data subjects. If the data subject wishes to receive a copy of the material (article 15 (3)), this could adversely affect the rights and freedoms of other data subject in the material. To prevent that effect the controller should therefore take into consideration that due to the intrusive nature of the video footage the controller should not in some cases hand out video footage where other data subjects can be identified. The protection of the rights of third parties should however not be used as an excuse to prevent legitimate claims of access by individuals, the controller should in those cases implement technical measures to fulfil the access request (for example, imageediting such as masking or scrambling).However, controllers are not obliged to implement such technical measures if they can otherwise ensure that they are able to react upon a request under Article 15 within the timeframe stipulated by Article 12 (3).]

Jak mogłoby się wydawać, UODO stoi na stanowisku, że wszelkie nagrania należy udostępniać pod warunkiem anonimizacji sylwetek innych osób. W opublikowanym komunikacie na temat monitoringu na prywatnych posesjach stwierdza: „Osoby obserwowane mają prawo dostępu do swoich danych na nagraniach. Przy tym nie możesz udostępniać danych innych osób – powinieneś je zamazać, np. przy pomocy oprogramowania”. Dalej jednak UODO daje do zrozumienia, że nie zawsze zamazywanie twarzy innych będzie konieczne:

„Nagrane przez Ciebie sytuacje mogą być udostępnione np. Policji lub ubezpieczycielowi w związku z napaścią, włamaniem albo zniszczeniem mienia w celu przeprowadzenia odpowiednich postępowań. Także osoby prywatne, które mają usprawiedliwiony interes, mogą domagać się dostępu do nagrań, np. gdy uszkodzono ich samochód stojący w zasięgu Twojej kamery. Musisz ocenić, czy udostępnienie nagrania jest zasadne. W obu przypadkach możesz udostępnić całe nagranie bez zamazywania wizerunku uczestników”.

RODO.
Wsparcie się przydaje

Sam ustal zakres wspracia, aby zapewnić organizacji pełną zgodność z RODO przy optymalnych kosztach.
ZAMÓW OFERTĘ
W naszej ocenie ostatnie zdanie stanowi dość śmiałą tezę, że w przypadku udostępniania osobom prywatnym nagrań na potrzeby dochodzenia przez nich roszczeń nie trzeba „przejmować się” wizerunkami innych osób.

Jak zatem należy postępować w razie zgłoszenia żądania przez osobę, której dane dotyczą? Najlepiej potwierdzić jej tożsamość, zanonimizować sylwetki innych osób i wtedy takie nagranie udostępnić. W wyjątkowych przypadkach zamazanie twarzy innych osób może nie być jednak zasadne (np. kiedy na nagraniu widać chuligana uszkadzającego samochód wnioskodawcy). Jeżeli nie mamy pewności, czy w danej sytuacji powinniśmy zamazać twarze innych, czy nie, najlepiej zabezpieczyć nagranie i poinformować wnioskodawcę, że zostanie ono udostępnione niezwłocznie na żądanie uprawnionych organów czy np. ubezpieczyciela.

Udostępnienie nagrania osobie, której na nim nie ma

Co jeśli ktoś prosi o nagranie, które obejmuje inne osoby, lecz nie jego samego? Wówczas należy stosować zasady podobne do tych, które obowiązują w przypadku wniosku osoby, której dane dotyczą. Przede wszystkim zatem musimy zidentyfikować tożsamość wnioskującego. Kiedy potwierdzimy tożsamość wnioskodawcy i wykaże on interes w uzyskaniu nagrania, możemy je udostępnić – po wcześniejszym zamazaniu twarzy osób znajdujących się na nagraniu. Wówczas ryzyko, że w ogóle udostępniamy dane osobowe, jest minimalne.

W przypadku gdy udostępniamy materiał wideo, na którym są widoczne twarze innych (a np. nie możemy ich zanonimizować), podstawą udostępnienia może być art. 6 ust. 1 lit. f RODO – udostępnienie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez stronę trzecią. Wskazana podstawa prawna ma zastosowanie z wyjątkiem sytuacji, w których nadrzędny charakter wobec interesów osoby trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (osoby na nagraniu). W razie zamazania twarzy na udostępnionym nagraniu wskazany wyjątek nie będzie więc zachodził (bo wówczas prawdopodobnie w ogóle nie będziemy mieli do czynienia z udostępnieniem danych osobowych). Kiedy jednak nie mamy możliwości zamazania twarzy osób na nagraniu, musimy zważyć interes osoby, która wnosi o udostępnienie nagrania, z prawami i interesami osób, które są na nim widoczne. Musimy zatem ocenić, czy to, co wnioskujący uzyska bądź przed czym się uchroni dzięki nagraniu, jest „ważniejsze” od interesów i praw osób na nim widniejących, tj. ich prawa do prywatności, ale też jakie są potencjalne negatywne skutki, które mogą te osoby spotkać w razie udostępnienia nagrania z ich wizerunkami.

Podsumowanie

Decyzja o udostępnieniu nagrania powinna być poprzedzona analizą: tożsamości wnioskodawcy, jego prawa bądź interesu w uzyskaniu nagrania, praw i interesów innych osób znajdujących się na nagraniu. Nie jest jednak zasadne przyjęcie jednej prostej zasady i bezwzględne stosowanie się do niej, np. nieudostępniania nagrań podmiotom innym niż sąd czy Policja. Podobnie nie jest wskazane bezrefleksyjne udostępnianie wideo każdemu, kto o to poprosi.

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".