Test równowagi musimy rozpocząć od zidentyfikowania celu, w jakim chcemy przetwarzać dane osobowe – w ramach wyjaśnień posługujemy się następującym przykładem: ochrona osób i mienia w ramach monitoringu wizyjnego w zakładzie produkcyjnym X.

Następnie musimy zdefiniować nasz interes – może to być to interes ekonomiczny, faktyczny, biznesowy, prawny. Interes powinien być prawnie uzasadniony – oznacza to że powinien być legalny, tj. opierać się na prawie krajowym lub unijnym. Przykładowa odpowiedź: „Ochrona osób i mienia jest interesem faktycznym, ale może też mieć charakter ekonomiczny, biznesowy, a w niektórych sytuacjach – również prawny. Administrator/strona trzecia ma prawo chronić swoją siedzibę, a jego pracownicy i goście mają interes w byciu bezpiecznym. Ochrona powyższych interesów opiera się w danym przypadku przede wszystkim na art. 22² Kodeksu pracy, ale znajduje również podstawy w prawach podstawowych, takich jak ochrona życia, własności, prowadzenia działalności gospodarczej.”

Interes nie powinien być hipotetyczny, a wynikać z rzetelnej analizy stanu faktycznego i prawnego.
Rzeczywistość i aktualność są ze sobą powiązane i wzajemnie wynikają z siebie. Aktualny interes to taki, który rzeczywiście istnieje w chwili przetwarzania.

Rzeczywisty i aktualny interes musi wynikać z działalności prowadzonej przez administratora lub mieć związek z planowaną działalnością czy też z przyszłymi korzyściami. Jak zauważa TSUE, przy ocenie rzeczywistości i aktualności nie można wymagać od administratorów, aby koniecznie zawsze brali pod uwagę, czy źródło interesu administratora wynika ze zdarzeń, które miały miejsce w przeszłości. W przypadku monitoringu wizyjnego nie można wymagać, aby naruszenia mienia i osób miały miejsce w przeszłości. Jeśli jednak takie naruszenia wystąpiły – nasz interes jest niewątpliwie rzeczywisty i aktualny.

Innymi przykładami aktualizującymi nasz interes w kontekście monitoringu wizyjnego mogą być:
- zdarzenia mające miejsce w sąsiednich nieruchomościach,
- statystyki przestępczości w okolicy,
- istotne poczucie zagrożenia wśród mieszkańców budynku,
- rodzaj działalności administratora (np. kantor, bank).

Może się okazać, że inna podstawa prawna będzie adekwatna, np. w przypadku, kiedy dane przetwarzanie jest obowiązkiem prawnym Administratora/strony trzeciej. W przypadku monitoringu wizyjnego taka sytuacja może dotyczyć np. bezpieczeństwa niektórych imprez masowych, monitoringu w izbach wytrzeźwień. W przypadku podmiotów publicznych monitoring co do zasady odbywa się na podstawie art. 6 ust. 1 lit. e RODO, tj. wykonywania zadania realizowanego w interesie publicznym. Test równowagi w takim wypadku nie musi być kontynuowany.

Konieczność przetwarzania dotyczy wszystkich podstaw prawnych, zgodnie z zasadą ograniczenia celu, minimalizacji danych i ograniczenia przechowywania. Kolejne pytania doprecyzowują niezbędność poprzez wskazanie na te zasady.

Ocena powinna uwzględnić zasadę minimalizacji danych. W przypadku, gdy przetwarzamy za dużo danych lub kategorii danych w stosunku do zdefiniowanego celu, w szczególności danych szczególnych kategorii, powinniśmy je niezwłocznie ograniczyć do tego co niezbędne – w innym wypadku wynik testu powinien być negatywny. W przypadku monitoringu powinniśmy przeanalizować jego zakres, liczbę kamer i ich zasięg. Może się okazać, że monitoring obejmuje miejsce publiczne, prywatne posiadłości, drogi, chodniki czy też toalety, palarnie, szatnie, pokoje socjalne. W takim wypadku należy dokonać minimalizacji danych poprzez zmianę kątów kamer, zastosowanie maskowania nagrania czy zlikwidowanie kamery.

To pytanie uwzględnia z kolei zasadę ograniczonego przechowywania. Jeśli proces przetwarzania ma już miejsce, administrator powinien zweryfikować przyjęte okresy przechowywania. Administrator powinien zadać sobie pytania: czy po tym, jak dane stają się zbędne, są usuwane bądź zanonimizowane? Czy okres retencji jest narzucony przez prawo? Retencja danych z monitoringu wizyjnego będzie zazwyczaj będzie wynikać z pojemności rejestratora. Co do zasady rejestratory nadpisują nagrania po rozsądnym, niedługim czasie. W przypadku monitoringu pracowniczego retencja nie może przekraczać trzech miesięcy.

Pytanie rozwija dwa pozostałe. Administrator/strona trzecia powinni rozważyć, czy mogą zastosować inne narzędzie, technologię, czy procedurę, która nie wymaga przetwarzania danych lub przetwarza mniejszy ich zakres. W przypadku monitoringu trudno sobie wyobrazić inną technologię, która pozwoli realizować te same cele, jakkolwiek można tu uwzględnić planowany rejestrator i jego konfigurację. Jeśli powyższe punkty wskażą, że przetwarzanie jest niezbędne, możemy przejść do kolejnego kroku.

Rodzaj danych to np. dane zwykłe, dane behawioralne, dane finansowe, dane wrażliwe, dane wysoce osobiste. Inny wpływ na balans interesów stron stosunku będą miały dane zwykłe, a inny – dane umożliwiające istotny wgląd w sytuację finansową osoby. W przypadku danych wrażliwych należy pamiętać, że konieczne jest wskazanie podstawy z art. 9 ust. 2 RODO. W przeciwnym razie przetwarzanie tych danych jest zabronione. Celem monitoringu wizyjnego jest co do zasady przetwarzanie danych zwykłych i ewentualnie dotyczących zachowania (np. co i kiedy robiła dana osoba).

Kategoria osób również ma wpływ na balans interesów. W przypadku monitoringu można zatem określić kategorie osób, np. pracownicy, goście, kurierzy itp. Szczególnej uwagi wymagają dzieci i inne osoby wymagającej opieki, tj. osoby wobec których administrator ma pozycję dominującą (ma miejsce wyraźna nierównowaga sił), np. pracownicy, osoby starsze, osoby niepełnosprawne – szczególnie intelektualnie, pacjenci, uchodźcy.

W celu ustalenia kontekstu przetwarzania danych osobowych warto się zastanowić, skąd mamy dane, co ma wpływ na ustalenie relacji z podmiotem danych i jego uzasadnionych oczekiwań. Dane mogą pochodzić od osoby, której dane dotyczą, od innych osób np. członków rodziny, pracowników, kontrahentów. Dane również mogą pochodzić ze źródeł dostępnych publicznie czy też zakupionych baz danych. W przypadku monitoringu wizyjnego dane pochodzą od osób, których dane dotyczą, przebywających w obszarze monitoringu.

Pytanie to ma na celu ustalenie, czy podmiot danych ma – obiektywnie rzecz biorąc – rozsądne przesłanki, aby spodziewać się przetwarzania danych. Takie oczekiwania mogą wynikać z rodzaju i charakteru stosunku między ADO a podmiotem danych, np. poprzez bycie stroną umowy z administratorem/stroną trzecią, jego pracownikiem, dłużnikiem, użytkownikiem strony WWW, członkiem organów spółki, adresatem treści marketingowej itd. Innym źródłem rozsądnych oczekiwań może być rodzaj miejsca, kontekst sytuacji. W przypadku monitoringu osoby, której dane dotyczą, ocena rozsądnych oczekiwań będzie się sprowadzała do tego, czy osoba ta obiektywnie może się spodziewać w danym miejscu monitoringu.

Europejska Rada Ochrony Danych (EROD) jako przykład miejsc, w których osoba może mieć oczekiwania wobec bycia przedmiotem monitoringu, wymienia bank lub okolice bankomatu. Jako przykłady, w których takie oczekiwania się nie pojawią, wskazuje: prywatny ogród, strefy zamieszkania, gabinety lekarskie i zabiegowe, pomieszczenia sanitarne, sauny. W ocenie EROD, w większości przypadków pracownik nie oczekuje, że będzie monitorowany w zakładzie pracy².

W przypadku monitoringu pracownicy i inne osoby objęte monitoringiem mogą mieć rozsądne przesłanki, aby oczekiwać, że kiedy wchodzą na obszar objęty nadzorem wideo ich wizerunki będą przedmiotem nagrania, np. ze względu na specyfikę zakładu pracy. W szczególności, gdy zostały już spełnione wymagania związane z zasadą rzetelności i przejrzystości, a także inne wymogi prawne (aspekt legalności). Pracownik poinformowany w regulaminie pracy i informacji przekazywanej przy rozpoczęciu pracy nie będzie zaskoczony faktem monitoringu w zakładzie pracy.

² Wytyczne EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo

Istotną okolicznością może być charakter przetwarzania, m.in. czy przetwarzanie ma charakter zautomatyzowany, stały, na dużą skalę, czy też ma miejsce upublicznienie danych lub do przetwarzania dochodzi przy pomocy profilowania, eksploracji danych, uczenia maszynowego etc. Istotną kwestią jest również charakter Administratora/strony trzeciej – czy jest pracodawcą, międzynarodową korporacją, a może niewielkim indywidualnym przedsiębiorcą. W przypadku monitoringu wizyjnego warto wskazać na następujące aspekty: czy jest to monitoring stały, czy zachodzi monitoring na dużą skalę, w szczególności miejsc publicznych. W przypadku monitoringu pracowniczego należy pamiętać o niesymetrycznym stosunku z pracownikiem, gdyż pracodawca ma pozycję dominującą.

Pozytywny wpływ zdecydowanie przechyla szalę testu na korzyść Administratora/strony trzeciej. Pozytywnym wpływem może być otrzymanie nagrody lub innych korzyści, prawidłowa realizacja usługi, sprawniejsza organizacja pracy, zapewnienie bezpieczeństwa danej osoby lub jej mienia, co jest też korzyścią osób objętych monitoringiem.

W tym miejscu identyfikujemy negatywny wpływ na osobę, co z kolei przechyla szalę testu na jej rzecz. Nie każdy negatywny wpływ ma tę samą wagę. Inne negatywne oddziaływanie będzie miało zagrożenie życia czy też ryzyko dyskryminacji, straty finansowej, a inne – lekka frustracja czy też rzetelny artykuł opisujący np. korupcję (tutaj dodatkowo ma wpływ interes publiczny).
W pierwszej kolejności powinniśmy wskazać negatywne skutki dla osoby o charakterze subiektywnym. Kolejno możemy wskazać zidentyfikowane zagrożenia związane z samym procesem i stosowanymi środkami technicznymi i organizacyjnymi.
W przypadku prawidłowo realizowanego monitoringu wizyjnego można wskazać niewielkie zagrożenia, jak frustrację związaną z naruszeniem poczucia prywatności.
Przykłady negatywnych skutków znaleźć można w motywie 75 RODO: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnione odwrócenie pseudonimizacji lub wszelka inna znaczna szkoda gospodarcza lub społeczna.

Pytanie dotyczy rozwiązań i narzędzi pozwalających kontrolować osobie, której dane dotyczą, swoje dane, np. panele ustawień prywatności, narzędzia do ułatwienia realizacji praw. Nie są to rozwiązania obowiązkowe, jakkolwiek wpływają na zaradzenie negatywnemu wpływowi związanemu z przetwarzaniem (tzw. środki wyrównawcze). W przypadku monitoringu wizyjnego taki środek może obejmować narzędzie do zdalnego dostępu do nagrań obejmujących daną osobę, formularze kontaktowe na stronie, narzędzia do anonimizacji nagrań.

Przejrzystość jest istotnym warunkiem prawidłowego przetwarzania danych, a zarazem zapobiega sytuacjom, w których podmiot danych może być zaskoczony, że jego dane są przetwarzane. Przy czym należy pamiętać, że tabliczki informacyjne nie mają wpływu na obiektywną ocenę racjonalnych oczekiwań osoby.

Jednocześnie przejrzystość może być świetnym środkiem wyrównującym balans interesów. Administrator może podjąć dodatkowe kroki, aby zwiększyć przejrzystość przetwarzania, podając w klauzulach informacyjnych np. informacje o przeprowadzonym teście równowagi i jego wyniku. W naszym przykładzie odpowiedź może brzmieć: „Administrator umieścił tabliczki informujące o tożsamości administratora, celach przetwarzania, prawach osób, których dane dotyczą wraz z piktogramem. Tabliczka zawiera kod QR kierujący do pełnej klauzuli informacyjnej, która informuje o przeprowadzonym teście równowagi i jego skróconych wynikach.”