Czy prowadzenie monitoringu wizyjnego jest przetwarzaniem danych osobowych?
Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 195), za dane osobowe uważa się wszelkie informacje dotyczącej zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jednakże w art. 6 ust. 3 ustawa wskazuje, iż informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Ustawowa definicja danych osobowych nie odpowiada jednoznacznie, czy prowadzenie monitoringu należy uznać za przetwarzanie danych osobowych. Po pierwsze, należy ustalić, co dzieje się z obrazem rejestrowanym przez kamery, czy jest zapisywany na trwałym nośniku. Jeżeli nie jest zapisywany na jakimkolwiek innym nośniku, można przyjąć, że nie dochodzi do przetwarzania danych osobowych. Wówczas taki monitoring nie będzie wymagał podjęcia dodatkowych działań przez administratora danych celem realizacji obowiązków wynikających z ustawy o ochronie danych osobowych.
Zapisanie obrazu rejestrowanego przez monitoring na trwałym nośniku nie powoduje automatycznie uznania, że dochodzi do przetwarzania danych osobowych. W sytuacji gdy monitoringiem objęte będzie jedynie określone miejsce, np. ogólnodostępne powierzchnie w centrum handlowym, w którym pojawiają się przypadkowe osoby, ustalenie tożsamości konkretnej osoby wymagałoby nadmiernych kosztów, a więc nie będzie to stanowiło zbioru danych osobowych.
Inaczej sytuacja będzie wyglądała np. w przypadku biurowca, w którym oprócz monitoringu prowadzona jest także kontrola dostępu. Osoba wchodząca na teren budynku proszona jest o okazanie dokumentu ze zdjęciem, a następnie jej dane zostają zapisane w książce wejść. W takiej sytuacji nagranie z monitoringu należałoby już uznać za zbiór danych osobowych – ustalenie tożsamości konkretnej osoby nie jest zbyt trudne, wystarczy porównać zapis z monitoringu (czas) z książką wejść.
Jak widać, w każdy przypadku konieczne jest dokonanie analizy i oceny, czy ustawa o ochronie danych osobowych znajdzie zastosowanie. Oprócz systemu monitoringu, konieczne jest uwzględnienie również jego ewentualnego powiązania z innymi systemami czy działaniami administratora danych, które w sumie pozwolą na ustalenie tożsamości konkretnej osoby bez nadmiernych kosztów, czasu lub działań.
Jak wynika z Wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 9 lipca 2014 roku sygn. akt II SA/Wa 2393/13 (Legalis nr: 1186853). System monitoringu wizyjnego, pozwalający na identyfikację osób, jest zbiorem danych osobowych i podlega przepisom ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r. poz. 1182). W przedmiotowej sprawie skargę do Wojewódzkiego Sadu Administracyjnego na decyzję Generalnego Inspektora Danych Osobowych wniósł jeden z naczelników urzędu skarbowego. W urzędzie tym zainstalowany został monitoring w postaci kilku kamer połączonych z systemem informatycznym, który umożliwiał identyfikację osób przebywających w urzędzie i miał służyć rejestracji ewentualnych naruszeń porządku. GIODO uznał, że dochodzi do przetwarzania danych i nakazał zarejestrowanie zbioru danych.
Obowiązki administratora danych wynikające z ustawy o ochronie danych osobowych
W sytuacji gdy uznamy, iż do systemu monitoringu, który prowadzimy będzie miała zastosowanie ustawa o ochronie danych osobowych, podmiot będący administratorem tychże danych musi przede wszystkim spełnić obowiązek informacyjny, tj. poinformować osoby podlegające nagraniu o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
- prawie dostępu do treści swoich danych oraz ich poprawiania;
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Powyższe informacje, jak i znak graficzny, informujący o monitoringu, powinny być umieszczane w dobrze widocznym miejscu na terenie monitorowanego obiektu czy obszaru. Przyjmuje się wówczas, że osoba, która świadomie zdecyduje się wejść na teren objęty monitoringiem, domyślnie wyraża zgodę na przetwarzanie jej danych osobowych w postaci wizerunku (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych).
W przypadku niepowołania administratora bezpieczeństwa informacji, administrator danych musi również pamiętać o obowiązku rejestracji zbioru danych osobowych monitoringu w GIODO (art. 40 Ustawy o ochronie danych osobowych). Administrator, który nie dopełni tego obowiązku podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 53 ustawy o ochronie danych osobowych).
Administrator danych musi też zdawać sobie sprawę, iż osoby, których dane przetwarza mają uprawnienia wynikające z art. 32 i 33 ustawy o ochronie danych osobowych, tj. prawo do żądania uzupełnienia, uaktualnienia, a także usunięcia swoich danych osobowych.
Potrzeba szybkiej regulacji kwestii monitoringu – de lege ferenda
Należy krytycznie ocenić postawę ustawodawcy, który dotąd nie uregulował właściwie kwestii monitoringu wizyjnego. Odpowiednia ustawa powinna zostać przyjęta niezwłocznie i regulować przede wszystkim miejsca i okoliczności, w jakich stosowanie monitoringu jest dopuszczalne, prawa i obowiązki podmiotu prowadzącego monitoring, prawa osób objętych monitoringiem, a także zasady dotyczące wykorzystywania zebranych danych.
Jest to tym bardziej istotne, iż monitoring jest coraz powszechniej wykorzystywany przez różne podmioty, w szczególności jeżeli chodzi o kwestie telewizji przemysłowej (tzw. CCTV), która silnie ingeruje w prywatność. Już 2010 roku ówczesny Generalny Inspektor Danych Osobowych wystąpił do MSWiA w sprawie konieczności rozpoczęcia prac legislacyjnych nad ustawą, która regulowałaby przetwarzanie danych w systemach wideonadzoru.
Z opublikowanego w maju 2014 r. raportu NIK dot. miejskiego monitoringu wizyjnego wynika, że brakuje przepisów, które dostatecznie chroniłyby dane osobowe pozyskane dzięki miejskiemu monitoringowi wizyjnemu. NIK wskazał również, że nie ma też niezależnego organu, który weryfikowałby zasadność instalowania kamer i przestrzeganie praw obywateli.
Niemniej, do czasu przyjęcia i wejścia w życie takiej ustawy, z ostrożności zaleca się podmiotom i instytucjom, w których siedzibach prowadzony jest monitoring wizyjny, rejestrowanie zbioru danych osobowych monitoringu i spełnienie obowiązku
