Jakie są podstawy przetwarzania danych za pomocą monitoringu wizyjnego? Jaki sposób realizacji obowiązku informacyjnego w tym zakresie proponuje Europejska Rada Ochrony Danych? Poniżej szczegóły.
Podsumowanie
- Najczęstsze podstawy do przetwarzania danych za pomocą monitoringu wizyjnego to: przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora danych oraz przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
- EROD ukazała przykład realizacji obowiązki informacyjnego na dwóch warstwach. Pierwsza ma być realizowana np. w postaci tabliczki wywieszonej w obszarze przetwarzania. Druga może być zrealizowana wobec osoby zainteresowanej informacjami szczegółowymi np. w kasie, czy też w sekretariacie podmiotu będącego administratorem danych.
Europejska Rada Ochrony Danych (EROD) przedstawiła do publicznych konsultacji wytyczne odnoszące się do przetwarzania danych osobowych za pomocą urządzeń wideo. Przypomnijmy, że krajowy ustawodawca długo zwlekał z uregulowaniem kwestii stosowania monitoringu wizyjnego, a pierwszych regulacji krajowych doczekaliśmy się bezpośrednio po rozpoczęciu stosowania przepisów RODO – zmiany w Kodeksie pracy. Czy w nowoprzyjętych wytycznych, które są jeszcze konsultowane, odnajdziemy istotne dookreślenia lub cenne wskazówki dla administratorów danych osobowych? W tym krótkim artykule skupimy się tylko na dwóch grupach zagadnień, które porusza EROD w swoich wytycznych.
Przetwarzanie zgodne z prawem
W tej grupie zagadnień jednoznacznie wskazano, że najczęstsze podstawy do przetwarzania danych za pomocą monitoringu wizyjnego odnajdziemy w art. 6 ust. 1 lit. f RODO, tj. przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora danych oraz w art. 6 ust. 1 lit. e RODO, tj. przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
Najwięcej uwagi poświęcono prawnie uzasadnionym interesom administratorów danych czyli rzeczywistym sytuacjom ryzykownym, potrzebie ochrony mienia przed włamaniem, kradzieżą, czy też wandalizmem. Podkreślono, że uzasadniony interes musi wynikać z potrzeby rzeczywistej i aktualnej, a administratorzy mogą wykazać tę potrzebę poprzez udokumentowanie odpowiednich incydentów z przeszłości. Uzasadniony interes do stosowania monitoringu wizyjnego zdaniem EROD może wynikać także z konkretnej branży i statystyk zdarzeń dla niej ryzykownych, np. dla sklepów jubilerskich czy stacji paliw.
EROD odniosła się także do problematyki oceny konieczności zastosowania monitoringu wskazując, że administrator powinien ocenić, czy adekwatne do zagrożeń nie będą inne środki bezpieczeństwa, takie jak np.: zaangażowanie personelu ochrony, lepsze oświetlenie, okna i drzwi antywłamaniowe, czy też ogrodzenie obszaru.
Jak wiadomo przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu administratora danych powinno być poprzedzone balansem, tj. oceną czy interes administratora nie narusza prywatności oraz praw i wolności podmiotów danych. Analizowane wytyczne są jednak kolejnym dokumentem, w którym nie odnajdziemy konkretnych wskazówek, czy też metodyki tego jak dokonać omawianego balansu, który jest czynnością obowiązkową.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Realizacja obowiązku informacyjnego
Dużym problemem dla administratorów danych jest realizacja obowiązku informacyjnego odnoszącego się do monitoringu wizyjnego, ponieważ dotychczas informację o objęciu terenu nadzorem kamer przekazywano w postaci piktogramu, czy tez krótkiego komunikatu, takiego jak: Obiekt monitorowany. Pojawił się dosyć istotny problem dotyczący tego, jak taki piktogram i krótki komunikat zastąpić całością informacji, o których mowa w art. 13 RODO. Analizowane wytyczne zawierają wskazówki odnoszące się do realizacji obowiązku informacyjnego, które w przyszłości mogą okazać się przydatne. EROD ukazała przykład realizacji obowiązki informacyjnego na dwóch warstwach. Pierwsza ma być realizowana w postaci tabliczki wywieszonej w obszarze przetwarzania. Druga my być uzyskiwana przez osobę zainteresowaną informacjami szczegółowymi np. w kasie, czy też w sekretariacie podmiotu będącego administratorem danych.
Pierwsza warstwa zakłada przekazanie najważniejszych informacji. Na tym etapie administrator danych może przekazać je ze znakiem ostrzegawczym, ikoną, czy też inną dobrze widoczną, zrozumiałą i rozpoznawalną symboliką. Dodatkowo wskazano, że wstępna informacja powinna być umieszczona w rozsądnej odległości od monitorowanego miejsca, tak by osoby fizyczne mogły uniknąć nadzoru i zrezygnować ze wstępu na teren objęty zasięgiem kamer. EROD jako najważniejsze informacje przekazywane w pierwszej warstwie wskazała: cel przetwarzania, określenie administratora danych, wzmiankę o istnieniu praw podmiotów danych, czy też opis uzasadnionego interesu administratora danych i kontakt z administratorem, bądź powołanym inspektorem ochrony danych. Dodatkowo w ramach pierwszej warstwy można przekazać inne ważne informacje np. o transferze danych poza EOG.
Druga z warstw, zdaniem EROD powinna być osiągalna w miejscu łatwo dostępnym dla podmiotów danych, tj. informacja, recepcja, czy też kasa lub umieszczona np. na wywieszonym plakacie. EROD wskazuje też, że warstwa pierwsza musi zawierać wyraźny zapis mówiący o tym, że osoby zainteresowane uzyskają komplet informacji w ramach warstwy drugiej. Wskazuje się na możliwość zastosowania kodu QR z odniesieniem do wersji cyfrowej kompletnej klauzuli informacyjnej. Z całą pewnością w tym miejscu moglibyśmy też wskazać na link do strony internetowej zawierającej informacje o szczegółach przetwarzania danych osobowych. Jednak EROD wskazuje, że wersja cyfrowa nie może wyłączyć realizowania drugiej warstwy w postaci nie cyfrowej. Wskazanie infolinii do realizacji kompletnego obowiązku informacyjnego wydaje się rozwiązaniem niepraktycznym. Z całą pewnością, w dobie powszechnego dostępu do sieci Internet, możliwość realizacji warstwy drugiej tylko poprzez formę cyfrową byłaby dużym ułatwieniem dla przedsiębiorców będących administratorami danych osobowych.
Przypomnijmy, że realizację obowiązku informacyjnego odnoszącego się do zastosowania monitoringu wizyjnego próbowano także dookreślić podczas spotkań organizowanych przez UODO, tj. szkolenia dla IOD realizowanego 28 lutego 2019 roku.
Ostateczny kształt wytycznych EROD odnoszących się do przetwarzania danych z użyciem monitoringu wizyjnego poznamy po zakończeniu publicznych konsultacji. Uwagi do wytycznych można przesyłać do 9 września 2019 roku.
