Monitoring zgodny z RODO i Kodeksem Pracy – poradnik do obejrzenia na YouTube…
… albo odsłuchania w formie podcastu
Monitoring wizyjny nie jest zagadnieniem uregulowanym w jednym akcie prawnym. Na pilną potrzebę unormowania tej kwestii wskazywał już niejednokrotnie m.in. Generalny Inspektor Ochrony Danych Osobowych. Pomimo kilku projektów – o jednym z nich pisaliśmy na blogu już w 2013 r. (!) – prace nad żadnym z nich nie doprowadziły do uchwalenia kompleksowej ustawy. W związku z tym, analizując tę kwestię należy odnosić się do różnych aktów prawnych. Jak do monitoringu wizyjnego zastosować przepisy z zakresu ochrony danych osobowych? Zapraszam do lektury niniejszego artykułu.
Czy zapis z monitoringu zawiera dane osobowe?
Kluczowym pytaniem, na które zawsze musimy udzielić odpowiedzi rozpoczynając analizę określonego procesu jest to, czy mamy do czynienia z danymi osobowymi. Przypomnijmy, iż zgodnie z art. 6 Ustawy o ochronie danych osobowych, za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Z kolei osobą możliwą do zidentyfikowania jest „osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”. Dane osobowe mogą mieć zatem formę nie tylko słowną, ale również graficzną (obraz). Ponadto, wizerunek osoby pozwala na określenie jej cech fizycznych (wyglądu zewnętrznego, charakterystycznego stroju itd.). Tym samym umożliwia ustalenie jej tożsamości. Istotą stosowania monitoringu jest bowiem właśnie identyfikacja. Warto zwrócić uwagę również na to, iż przeważnie, zidentyfikowanie danej osoby nie będzie wymagało nadmiernych kosztów, czasu lub działań. Będzie tak m.in. w przypadku, gdy znamy osobę, której wizerunek został utrwalony (np. pracownicy wchodzący do budynku) lub posiadamy inne informacje, za pośrednictwem których możliwe będzie przypisanie wizerunku do konkretnej osoby (np. księga wejść/wyjść). W rezultacie zazwyczaj zapis z monitoringu będzie zawierał dane osobowe. Za takim stanowiskiem przemawia również orzecznictwo. Przykładowo:
„W rozpoznawanej sprawie Straż Miejska w L., realizując uprawnienia ustawowe do obserwowania i rejestrowania obrazu zdarzeń w miejscach publicznych przy użyciu środków technicznych, przetwarza w ramach monitoringu wizyjnego dane osobowe w postaci wizerunków (obrazów) osób przebywających na miejscach objętych zasięgiem monitoringu, a także inne informacje dotyczące tych osób, takie jak sposób zachowania, numery rejestracyjne pojazdów. Dane te prowadzą bowiem do identyfikacji osoby”.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 kwietnia 2013 r., II SA/Wa 211/13
Monitoring zgodny z RODO – praktyczny pakiet procedur, wytycznych i klauzul
Stosujesz monitoring (wizyjny lub aktywności pracowników)? Jesteś zobowiązany do wdrożenia odpowiedniej dokumentacji regulującej te kwestie.
Aby ułatwić Ci zadanie przygotowaliśmy dla Ciebie kompleksowy pakiet wytycznych i procedur związanych z monitoringiem.
Czy nagrania z monitoringu tworzą zbiór danych?
Zbiorem danych jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 UODO). Aby można było mówić o zbiorze danych niezbędne jest występowanie pewnej struktury umożliwiającej odnalezienie określonych danych według pewnych kryteriów.
„Należy uznać, że każde nagranie dokonane w wyniku monitoringu posiada strukturę (uporządkowanie) – w uwagi na fakt, iż dotyczy sekwencji zdarzeń następujących w określonym czasie, zarejestrowanych przez urządzenie służące do monitoringu. Jednakże nie w każdym przypadku będzie możliwe dotarcie do danych konkretnej osoby, bez konieczności manualnego przeglądania całego nagrania lub jego obszernego fragmentu”.
„Wymagania w zakresie regulacji monitoringu” (str. 28)
Ze zbiorem danych nie będziemy mieli do czynienia, gdy stosowany jest monitoring wizyjny w czasie rzeczywistym bez dokonywania zapisu. Nie będzie bowiem wówczas możliwe odszukanie danych.
„Bezzasadny jest również zarzut strony skarżącej dotyczący niemieszczenia się zarejestrowanych danych w definicji zbioru danych z uwagi na fakt, że informacje te są klasyfikowane jedynie według jednego kryterium - czasu zdarzenia, podczas gdy ustawodawca wymaga, by dane zawarte w zbiorze danych były dostępne przynajmniej według dwóch kryteriów. Należy bowiem zgodzić się z organem, że dane zarejestrowane w ramach monitoringu wizyjnego zapisywane są według kryterium czasu, ale również według kryterium miejsca zdarzenia, które jest tożsame z miejscem umieszczenia kamery”.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 kwietnia 2013 r., II SA/Wa 211/13
W przypadku, gdy wykonywany jest zapis nagrań z monitoringu i dane osobowe są dostępne np. według godziny i miejsca, mamy do czynienia ze zbiorem danych.
Praktyczny poradnik o wdrażaniu RODO
Książka RODOLOGIA to kompleksowy przewodnik po RODO, który pomaga wdrożyć ochronę danych osobowych w sposób prosty, szybki i skuteczny. Ponad 500 stron praktycznej wiedzy podanej w przystępnej formie i zrozumiałym języku. A wszystko to podane w pięknej, premium formie.
Dowiedz się więcej o RODOLOGII:
Na co w związku z tym należy zwrócić uwagę?
W celu dokonania kompleksowej analizy monitoringu wizyjnego z punktu widzenia wymogów przepisów z zakresu ochrony danych osobowych, najlepiej odnieść się do 5 filarów ochrony danych, na które składają się:
- Legalność przetwarzania danych osobowych,
- Świadomość osób przetwarzających dane osobowe,
- Zabezpieczenia techniczne i organizacyjne,
- Obowiązki rejestracyjne,
- Obowiązki informacyjne.
Podstawę prawną przetwarzania danych osobowych w przypadku monitoringu stanowi zazwyczaj art. 23 ust. 1 pkt 5 UODO, a więc tzw. prawnie usprawiedliwiony cel. Dane te przetwarzanie są bowiem w celu zapewnienia bezpieczeństwa w określonym obszarze. W odniesieniu do filaru 2 i 3 należy m.in.:
- uwzględnić zbiór danych w dokumentacji ochrony danych osobowych wymaganej na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024, dalej Rozporządzenie) –dotyczy to m.in. wykazu zbiorów i opisu ich struktury,
- zweryfikować umiejscowienie kamer (nie mogą one – np. poprzez zainstalowanie ich w toaletach, pomieszczeniach socjalnych czy też poszczególnych pomieszczeniach biurowych – prowadzić do naruszenia prywatności),
- wydać upoważnienia do przetwarzania danych osobowych osobom uzyskującym dostęp do wskazanych danych i uwzględnić je w ewidencji (art. 37 i 39 UODO),
- zweryfikować spełnianie przez system służący do monitoringu wymogów Rozporządzenia,
- ustalić, czy dane ze zbioru są powierzane (np. ochronie, pomiotom świadczącym usługi informatyczne) – czy zawarto umowy powierzenia przetwarzania danych osobowych (art. 31 UODO)?
Czy zbiór danych dotyczący monitoringu wizyjnego zgłaszamy do rejestracji GIODO?
Zbiór danych przetwarzany w zw. ze stosowaniem monitoringu wizyjnego traktujemy jak każdy inny zbiór danych. Stosujemy zatem te same zasady. A więc sprawdzamy, czy zachodzi któraś z podstaw zwolnienia z obowiązku rejestracji (art. 43 ust. 1 i 1a UODO). Przykładowo, jeśli powołano i zgłoszono ABI (i zbiór nie zawiera tzw. danych wrażliwych wymienionych w art. 27 ust. 1 UODO), zbiór danych nie podlega rejestracji.
Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami
A co z obowiązkiem informacyjnym?
W praktyce, realizacja właśnie tego obowiązku przewidzianego przez Ustawę o ochronie danych osobowych wydaje się najtrudniejsza w odniesieniu do monitoringu wizyjnego. Umieszczanie tablic zawierających wszystkie informacje wymienione w art. 24 UODO (dokładne oznaczenie Administratora danych, wskazanie celu zbierania danych, odbiorców danych, informacja o prawie dostępu do treści danych, możliwości ich poprawiania, dobrowolności albo obowiązku podania danych) jest bowiem problematyczne. Zazwyczaj Administratorzy ograniczają się do piktogramu bądź słownego komunikatu o stosowaniu monitoringu – umieszczonego w formie tablicy na ścianie lub naklejki. Rozwiązaniem może być natomiast umieszczanie dodatkowo pełnej informacji, np. przy stanowisku recepcji lub ochrony.
Największe zagrożenia pojawiające się w zw. z monitoringiem
Na zakończenie chciałabym jeszcze wspomnieć o tym, co moim zdaniem stanowi największe zagrożenie w przypadku, gdy stosujemy monitoring wizyjny. Pierwszym jest brak informacji. Kiedyś pracownicy podmiotu, dla którego prowadziłam szkolenie – w trakcie moich zajęć, zupełnie przez przypadek – dowiedzieli się, że miejsce ich pracy objęte jest nadzorem kamer…. Nikt ich wcześniej o tym nie poinformował. Po drugie, niezbędna jest dokładna analiza miejsc, w których zainstalowane są kamery i obszaru, który obejmują one swoim zasięgiem. Pamiętajmy, iż stosowanie monitoringu i jego „dolegliwość” dla osób znajdujących w jego zasięgu, musi być proporcjonalna, adekwatna do celu, dla którego jest on stosowany.
Podsumowanie
Stosowanie monitoringu wizyjnego jest zagadnieniem, które każdy Administrator danych powinien przeanalizować z punktu widzenia przepisów ochrony danych osobowych. Wymaga to jednak uwzględnienia specyfiki wskazanego procesu. Aby ułatwić Państwu to zadanie, zachęcam do skorzystania z listy kontrolnej, która z pewnością pomoże zweryfikować, czy w Państwa organizacji kwestia ta jest uregulowana.
Pobierz listę kontrolną dotyczącą legalnego korzystania z monitoringu wizyjnego
PobierzŹródła prawa:
55 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
a jak wygląda kwestia udostępniania nagrań z kamer? czy w sytuacji kiedy na naszym parkingu porysowano komuś samochód możemy udostępnić tej osobie zapis? czy powinno się to jakoś odnotować?
Każdy wniosek o udostępnienie nagrań wymaga indywidualnej oceny. Przede wszystkim należy uwzględnić zakres udostępnianych informacji (nagranie obejmujące wyłącznie określone zdarzenie, a nie np. cały dzień, ewentualny wizerunek osób postronnych – niezwiązanych ze zdarzeniem). Najbezpieczniej z punktu widzenia prawnego udostępniać nagrania na żądanie policji (wówczas mamy pewność, że nie zostaną one wykorzystane niezgodnie z celem). Ponadto, fakt udostępnienia warto udokumentować (przykładowo protokołem podpisanym przez osobę, której przekazano nagrania, wskazującym jednocześnie cel udostępnienia). Dodatkowo, zwłaszcza w większych podmiotach, wskazane jest wdrożenie wewnętrznych procedur dot. rozpatrywania próśb o przekazanie nagrań.
Jeżeli chodzi o udostępnienie to ma Pani rację. Natomiast jest jeszcze opcja „zabezpieczenia materiału ze zdarzenia”. Na taką prośbę poszkodowanego nagranie powinno zostać zabezpieczone a następnie na pisemną prośbę odpowiednich organów (np: Policja lub Prokuratura) udostępnione. W przeciwnym wypadku możemy zostać posądzeni o zacieranie śladów zdarzenia, a sprawa może się skończyć bardzo nieprzyjemnie.
Bardzo ciekawy wpis, dzięki za kilka ważnych dla mnie porad i czekam na kolejne z niecierpliwością 🙂
W przystępny sposób podana problematyka. Bardzo mi się podobał artykuł, ponieważ wyjaśnił wiele kwestii z którymi miałem problem.
Dziękuję za rzeczowy artykuł i … proszę o jeszcze 🙂
Szczególnie interesuje mnie kwestia zapewnienia legalności przetwarzania danych, czyli określenia celu i podstawy prawnej.
Niektóre cele jak się wydaje nie wzbudzają kontrowersji, ale są i takie, z którymi jest problem.
Spotkałem się np. ostatnio z przypadkiem, w którym firma chciała wdrożyć monitoring wizyjny w celu doskonalenia umiejętności zawodowych pracowników produkcji. Nagrania z monitoringu miały być wykorzystane w celu
1) porównywania sekwencji czynności wykonywanych przez dwie różne osoby, które wykonywały to samo zlecenie produkcyjne
2) porównania jak wyżej, ale czynności wykonywanych przez tą samą osobą nagranych w różnych okresach czasu.
Wydaje się, że z punktu widzenia założonego celu (doskonalenie umiejętności) ma to sens i nie wydaj się środkiem nadmiarowym.
Z drugiej strony PIP wydał podobno opinię (nie znalazłem źródła), że:
„Monitorowanie pracowników za pomocą kamer w celu sprawdzenia jakości i ilości wykonywanej przez nich pracy powinno być co do zasady niedopuszczalne w przeciwieństwie do monitorowania dla celów bezpieczeństwa.”
No i teraz mam dylemat, czy w takim celu jak powyżej można zastosować monitoring wizyjny czy nie?
Przytoczona przez Pana opinia PIP jest zbieżna ze stanowiskiem Grupy Roboczej Art. 29 do spraw ochrony danych. W opinii 4/2004 w sprawie przetwarzania danych osobowych przy nadzorze z użyciem kamer video (opinia dostępna tutaj: http://www.giodo.gov.pl/1520189/id_art/7146/j/pl/), Grupa Robocza wskazała, iż „(…) konieczne jest, aby systemy video-nadzoru, których bezpośrednim celem jest zdalna kontrola jakości pracy i wydajności, a które zawierają przetwarzanie danych w tym kontekście, były z założenia zabronione”. Moim zdaniem, w opisanej przez Pana sytuacji istotą jest właśnie kontrola wydajności, a nie doskonalenie umiejętności zawodowych.
Super blog!
a co z ewentualnym wnioskiem osoby fizycznej o wgląd w zabezpieczone nagrania, przy czym osoba ta jest ujeta na zabezpieczonym nagraniu oraz inne osoby. czy taki wniosek o wglad a nie o udostępnienie moze być rozpatrzony pozytywnie?
Wszystko zależy od konkretnych okoliczności. Jeśli np. nagranie, do którego dana osoba chce uzyskać wgląd nie pozwala na zidentyfikowanie poszczególnych osób (nie zawiera danych osobowych), a dostęp ma być wykorzystany jedynie poglądowo (przykładowo dla oceny, czy sprawę można zgłosić na policję, która byłaby uprawniona do uzyskania nagrań), sądzę, iż wniosek można rozpatrzyć pozytywnie. W takiej sytuacji należy jednak zadbać o to, aby wgląd do nagrań odbywał się w obecności osoby odpowiedzialnej za monitoring.
Ja z kolei mam pytanie dotyczące prawidłowego określenia obszaru objętego monitoringiem. Jak to w praktyce wygląda? Mamy kamery, które obejmują korytarze wewnątrz budynku, ale dwie kamery mamy na zewnątrz. Jedna kamera obejmuje też ulicę i chodnik (to już nie jest nasz obszar). Jak to opisać?
Obszar można określić np. graficznie (zaznaczenia na rzutach budynku umiejscowienia kamer) lub opisowo (wskazanie, iż kamery obejmują swoim zasięgiem ciągi komunikacyjne, główne wejścia do budynku itd.).
A jeśli ktoś zakryje kamerę, albo zmieni jej kierunek, czy da się to sprawdzić kto to zrobił, o której itp? Czy to jest naruszenie?
Czy da się sprawdzić to… nie wiemy 😉 Jeśli sprawca podszedł do kamery od frontu, to pewnie zobaczy Pani go i zidentyfikuje.
A czy i czego jest to naruszenie…? Nasuwa się taka typowa odpowiedź prawnika, który nie ma jeszcze kompletu informacji:
– to zależy 😉
Czy chodzi o kamerę zainstalowaną w zakładzie pracy, monitoring miejski czy jeszcze o jakąś inną sytuację?
Witam, a ja mam parę pytań.
W związku z tym, że na wsi planujemy założyć monitoring (4 kamery) nagrywające w tzw. pętli, nie planujemy archiwizować materiału wizyjnego (max 48 h wstecz ew. zabezpieczenie nagrania dla policji następowało by w przypadku jakiegoś zdarzenia).
Pytanie I: czy potrzebny jest podmiot zarządzający monitoringiem?
Pytanie II: czy w powyższym przypadku musimy dokonywać zgłoszenia do GIODO?
Pytanie III: czy w w/w przypadku potrzebna jest osoba sprawująca nadzór nad tworzonymi zbiorami danych osobowych? W oparciu o jakie przepisy?
Pytanie IV: czy podmiot zarządzający musi posiadać dopuszczenie organu gminy do przetwarzania danych osobowych?
Pytanie III: czy
A my mamy kilka odpowiedzi 😉
1. Zawsze jeśli stosowany jest monitoring ktoś jest za niego odpowiedzialny. Na gruncie Ustawy o ochronie danych osobowych jest to administrator danych, który decyduje o zainstalowaniu monitoringu i zasadach jego funkcjonowania.
2. Kluczowym pytaniem jest to, czy powstaje zbiór danych. Jeśli nagrania z monitoringu umożliwiają identyfikację indywidualnych osób (a zazwyczaj tak jest, gdyż temu służy monitoring) i możliwe jest wyszukiwanie poszczególnych wizerunków (np. na podstawie daty i godziny) to odpowiedź powinna być twierdząca. Nie oznacza to jednak automatycznie obowiązku zgłoszenia zbioru do rejestracji GIODO. Cześć zbiorów (art. 43 UODO) jest z tego obowiązku zwolniona. Np. jeśli powołano i zgłoszono ABI i zbiór nie zawiera tzw. danych wrażliwych (szerzej na ten temat pisaliśmy tutaj: https://blog-daneosobowe.pl/rejestracja-zbiorow-danych-po-1-stycznia-2015-r/), zbioru nie rejestrujemy u GIODO.
3. Konieczne jest zapewnienie zgodności z przepisami Ustawy o ochronie danych osobowych (np. art. 38 UODO nakłada obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane).
4. Nie wiem, kogo określa Pani/Pan mianem „podmiotu zarządzającego”. W myśl Ustawy o ochronie danych osobowych to administrator danych samodzielnie decyduje o tym czyje dane, w jakich celach, na jakich zasadach i przy użyciu jakiś środków będzie przetwarzał dane. Niezależnie od ochrony danych osobowych oczywiście należy również uwzględnić również to, czy np. nie instalujemy kamer na czyimś obiekcie itp.
Bardzo dziękuję za szybką i wyczerpującą odpowiedź.
Pozdrawiam.
Dzień dobry mieszkam w bloku komunalnym gdzie większość mieszkań jest wykupiona i jest także wspólnota mieszkaniowa.Wieżowiec posiada monitoring ,ale tylko wybrane osoby mają podgląd w swoich mieszkaniach.Czy tak można, czy wszyscy lokatorzy powinni mieć podgłąd, wspomnę że nie ma ochrony jest sam monitoring.
Niestety posiadamy za mało informacji na temat opisanego przez Panią problemu, ale na pewno sprawa jest warta przedyskutowania z administratorem nieruchomości w celu uzyskania informacji o podstawie prawnej takiego działania.
Dziękuję bardzo i pozdrawiam.
Witam
Moje dziecko (dwulatek) uległ wypadkowi w żłobku, Pani Dyrektor placówki zasłaniając się Ustawą o ochronie danych osobowych nie chce wydać mnie nagrania ze zdarzenia a jedynie udostępnić u siebie na komputerze moment zdarzenia odtwarzając go mnie jedynie do podglądu. Do dziś tj 10.10.2017 brak jest również w placówce polisy ubezpieczeniowej gdyż od dwóch tyg proszę Panią Dyrektor o nr Polisy , jedyne co słyszę to to że nie było Pani z ubezpieczalni i nie mają jeszcze u siebie polisy, tym samym nie wiem do kogo zgłosić zdarzenie jak również obawiam się iż nagranie może ulec „zagubieniu” nim w ogóle uda się ruszyć ze sprawą , obecnie musiałem zaraz po wypadku jechać do stomatologa by usunąć dziecku nerwy z zębów po tym jak u dziecka zostały w wypadku złamane dwa zęby (jedynki) niestety ale czeka go jeszcze operacyjne usunięcie obu zębów pod narkozą i dalsze leczenie oraz uraz psychiczny a w przyszłości problemy ze zgryzem co wiąże się z kolejnymi kosztami i wydatkami. Proszę o poradę co do dalszego postępowania wobec opieszałości Pani Dyrektor. Dziękuje
Witamy,
W przypadku opisanym przez Pana zasady dostępu do nagrań powinien regulować przyjęty w żłobku regulamin monitoringu wizyjnego. Dokument ten powinien stanowić element dokumentacji ochrony danych osobowych, którą to żłobek jest zobowiązany prowadzić zgodnie z obowiązującymi przepisami prawa art.36 ust.2 ustawy o ochronie danych osobowych. Może się jednak zdarzyć, że takiego regulaminu w placówce nie ma, ponieważ do tej pory nie ma w Polsce jednego aktu normującego w sposób szczegółowy zagadnienie monitoringu, co powoduje, że podmioty typu żłobek, przedszkole często ich nie posiadają. Wówczas administrator (żłobek) sam ocenia, czy w danej sytuacji powinien udostępnić nagranie, czy też nie.
Ponadto warto zauważyć, że jeżeli na terenie monitorowanym doszło do wypadku, po zgłoszeniu tego faktu żłobek powinien zabezpieczyć nagrany materiał, aby nie doszło do jego skasowania.
Na tym etapie możemy doradzić konsultacje u prawnika, a potem ew. zgłosić sprawę na policję czy do GIODO lub do sądu.
Dziękuje za odpowiedź.
Serdecznie pozdrawiam
Witam
Odnośnie obowiązku zgłoszenia zbioru do GIODO i w artykule i w odpowiedziach pod artykułem uzależniacie Państwo to od okoliczności (powołania i zgłoszenia ABI oraz dane nie mogą być tzw. wrażliwe).
Czy monitoring (dokładniej to zbiór danych) w przypadku rejestrowania ludzi (a więc 99% przypadków) nie powinien być co do zasady zgłaszany do GIODO – niezależnie od powołania ABI – gdyż zawiera dane tzw. wrażliwe?
Według GIODO
„(…) wizerunek osób zatrzymywanych w celu doprowadzenia do izby wytrzeźwień może prowadzić do ujawnienia pochodzenia rasowego lub etnicznego tych osób, jak również w niektórych przypadkach danych o ich stanie zdrowia(…)”
a więc praktycznie o każdym zarejestrowanym materiale wideo zawierającym wizerunek osób można to powiedzieć.
Oprócz ujawnienia pochodzenia rasowego lub etnicznego, może nam w kamerze pojawić się osoba np. ze złamana ręką – a to już jest informacja o stanie zdrowia 🙂
Powyższa interpretacja dotyczy odpowiedzi GIODO na pytanie odnośnie możliwości wykonywania fotografii przez Straż Miejską osobom zatrzymanym w celu doprowadzenia do izby wytrzeźwień.
Witamy 🙂
Dziękujemy za zajęcie stanowiska w sprawie.
Przedstawione w artykule jak i odpowiedziach informacje są oparte na opiniach GIODO, które odnoszą się bezpośrednio do zagadnienia stosowania monitoringu wizyjnego. Temat jest o tyle trudny, że do tej pory w Polsce podstawy prawne do rejestracji obrazu (w niektórych przypadkach również dźwięku) mają podmioty związane z bezpieczeństwem lub porządkiem publicznym, jak np. Policja, Straż Miejska, natomiast brak ustawowych uregulowań dotyczących innych podmiotów państwowych i prywatnych, w tym osób fizycznych.
Ustanowienie jednego aktu w zakresie monitoringu uregulowałoby wiele problematycznych zagadnień w tym temacie.
pozdrawiamy serdecznie
Z tym, że temat jest trudny ze względu na brak odpowiednich przepisów oczywiście się zgadzam. Boję się jedynie, że ktoś kiedyś w przypadku zwykłego monitoringu uzna – podobnie jak w ww opinii GIODO – że są to dane wrażliwe.
Pójdę jeszcze dalej i bardziej utrudnię 😉 – sprawa Františka Ryneša. Trybunał Sprawiedliwości UE uznał w jego sprawie, że monitoring publicznej przestrzeni nie może być rozumiany jako „czynność o czysto osobistym lub domowym charakterze”. Idąc tym tokiem rozumowania robienie zdjęć na wakacjach/wycieczkach w miejscach publicznych gdzie widać inne osoby należałoby zakwalifikować identycznie. Biorąc pod uwagę że później takie zdjęcia są pogrupowane w folderach (np. w zależności od miejsc) i można je segregować np. po nazwie, dacie utworzenia itp. można mówić o zbiorze danych i konieczności posiadania w co drugim domu polityki przetwarzania danych osobowych :). Gorzej będzie tylko z art. 23. Bo czy pamiątkę z wakacji można zaliczyć do prawnie usprawiedliwionego celu? A może lepiej po zrobieniu zdjęcia poprosić wszystkich w pobliżu o zgodę na przetwarzanie danych? 🙂
Wiem że to jest przegięte, ale odnoszę wrażenie, że niektóre interpretacje bezmyślnie do tego zmierzają…
Pozdrawiam 🙂
Witamy 🙂
Ochrona danych osobowych to stosunkowo młoda gałąź prawa. W związku z czym jest mocno niedoregulowana co rodzi wiele różnych interpretacji a nawet nadinterpretacji. Przed regulatorem stoi niewątpliwe duże wyzwanie aby unormować to zagadnienie. Na obecną chwilę już wiadomo, że nie jest to możliwe do załatwienia jednym aktem prawnym. Dlatego duże znaczenie będą mieć wskazówki, opinie, rekomendacje, dobre praktyki a przede wszystkim zapewnienie przez regulatora zgodności z przepisami branżowymi.
Pozdrawiamy 🙂
Witam.
Rozważam następujący problem. W obiekcie znajdują się kamery, umieszczone w sposób stały (nieruchome), których jakość nagrania umożliwia identyfikację zarejestrowanych osób. Obraz z kamer jest zapisywany a następnie nadpisywany w pętli (po 30 dniach). Zbiorem opiekują się administratorzy, ma do niego dostęp (tzn. do cofania, przewijania, kopiowania) wyznaczona grupa osób. Te osoby posiadają stosowne upoważnienia. Jednak obrazy z kamer są również prezentowane w czasie rzeczywistym w pomieszczeniach (nie ma możliwości zatrzymywania czy przewijania obrazu – jest tylko prezentacja tego, co kamera „widzi” w danej chwili). Obraz ten jest wykorzystywany przez osoby do optymalizacji działań (mówiąc wprost – czy ktoś czeka na obsługę czy nie, czy stanowisko jest wolne itp.). Pytanie – czy dla osób, które mogą obserwować podgląd z kamery w czasie rzeczywistym również powinny zostać wydane upoważnienia (do wglądu)? Wydaje się że nie, bowiem wychodząc z pomieszczenia i stając bezpośrednio pod kamerą będą „rejestrowały” swoimi oczami dokładnie to samo, co prezentuje obraz z kamery (dla nich dostępny jest jedynie podgląd w czasie rzeczywistym, bez możliwości zatrzymywania, cofania, kopiowania). Czy takie podejście jest prawidłowe, tj. brak konieczności wydawania uprawnień do przetwarzania danych osobowych dla osób, które jedynie mają podgląd obrazu z kamer w czasie rzeczywistym?
Z góry dziękuję za odpowiedź.
Pozdrawiam
Piotr
Witamy, Pana wnioski wydają się słuszne. Dopóki mamy do czynienia jedynie z podglądem w czasie rzeczywistym i możemy to samo obserwować wychodząc z pomieszczenia trudno dopatrzeć się w tych okolicznościach przetwarzania danych osobowych. Sytuacja zmienia się gdy dochodzi do nagrania tego co widzi kamera i odtwarzania w innym czasie np. w celu zidentyfikowania konkretnej osoby fizycznej. pozdrawiamy
Bardzo serdecznie dziękuję za odpowiedź.
Pozdrawiam
Piotr
Mam pytanie odnośnie instalacji kamerki w samochodzie.
Pracuję jako taksówkarz i mam dwie kamery. Jedna nagrywa obraz przed samochodem a druga wewnątrz.Czy ustawodawca nakłada na mnie obowiązek informowania klienta o tym, że jest nagrywany (nagrywane są filmiki 3 minutowe w pętli, czas nadpisania to 24h). Jeśli tak to w jakiej formie, jeśli jest to zwykła naklejka to wewnątrz czy na zewnątrz pojazdu.
Dziękuję za odpowiedź
Pozdrawiam
Robert
Dzień dobry. Ustawodawca (co podkreśla także stanowisko GIODO) nakłada m. in. na taksówkarzy obowiązek informowania pasażera o tym, że jest nagrywany. W naszej ocenie wystarczy naklejka wewnątrz pojazdu, musi być ona jednak umieszczona w dobrze widocznym dla Klienta miejscu. Nie zaszkodzi również poinformować ustnie o rejestrowaniu obrazu i/lub dźwięku. Proszę pamiętać także, że zebrane w ten sposób dane może Pan zbierać jedynie na użytek własny oraz w celu przekazania właściwym organom do ścigania przestępstw czy wykroczeń (przede wszystkim Policji). Nagrania zaś muszą być odpowiednio zabezpieczone. Pozdrawiamy!
Bardzo dziękuję za odpowiedź.
Artykuł jest super ale co teraz dalej jeśli chodzi o RODO? Art. Artykuł 6. ust. 1
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań – i właśnie to nie dotyczy to organów publicznych – szkoły, szpitale itd.
Usuwamy monitoring?
Dzień dobry. Nie usuwamy monitoringu. 🙂 Co prawda, faktycznie treść przepisu jest taka, jak Pan przytoczył. Jednak nie ma podstaw do twierdzenia, iż prowadzenie np. przez szkoły czy szpitale monitoringu wizyjnego jest działaniem „w ramach realizacji zadań organów publicznych”. Wyłączenie dotyczy czynności stricte związanych z zadaniami publicznymi realizowanymi np. przez szpitale – tj. świadczenie usług medycznych/zdrowotnych. Pozdrawiamy!
A takie pytanko. Na terenie firmy X była kolizja. Poszkodowany w imieni właściciela poprosił mnie o zgranie zdarzenia z monitorigu (jestem całkiem obcą osobą w stosunku do nich). Czy tu wchodzi ochrona danych pewnie tak. Jak mam prawidłowo postąpić? Jakieś pisemne upoważnienie . Bo może mi ktoś coś później zarzucić
Dzień dobry. Najczęściej w opisywanych przez Pana przypadkach sprawa wygląda tak, iż z wnioskiem o udostępnienie danych występuje ubezpieczyciel sprawcy (ten, z którego OC szkoda jest likwidowana). Czasami ubezpieczyciel zwraca się do organów Policji z prośbą o wystąpienie o nagrania z monitoringu – wówczas przepisy prawa zobowiązują Pana do udostępnienia takich danych. Pozdrawiamy!
Czy mam prawo mieć podglad z kamer na parking przed blokiem gdzie moje auto juz kiedyś było uszkodzone . Jesli płace za to i za cały monitoring zapłacili ludzie z bloku.
Dzień dobry. Nie widzimy przeszkód, należy jedynie spełnić obowiązek informacyjny. Pozdrawiamy!
Sporo cennych informacji, sprawę warto przemyśleć od każdej strony nie tylko formy zabezpieczenia monitoringiem. Kawał dobrej roboty
Dziękujemy bardzo! 🙂
W przedszkolu planujemy zainstalować monitoring wewn i zewn. Idac sladem zgodnosci z prtzepisami mysle, ze powinnismy poza sama instalacja przygotowac klauzule informacyjne do wywieszenia w budynku w miejscu latwo dostepnym do zapoznania sie z ich trescia oraz piktogramy – naklejki umieszczone przy kazdym wejsciu do budynku i wewn np w miejscach gdzie beda zainstalowane kamery. Dalej, czy regulamin monitoringu to konieczny dokument, a jesli tak to nie powinienen chyba byc ogolnie dostepny chocby ze wzgledu na informacje w nim zawarte jak np jakim cyklu ilu dni nadpisywane sa dane jak rowniez gdzie znajduje sie rejestrator.Rrejestr osob upowaznionych bedzie w dokumentacji przedszkola.
Dzień dobry. Regulamin monitoringu nie jest rzeczą konieczną z punktu widzenia przepisów o ochronie danych osobowych. Pomysł z piktogramami należy pochwalić, a jeśli chodzi o klauzulę informacyjną – oczywiście powinna ona być, najlepiej zamieścić ją na recepcji przedszkola lub innym widocznym miejscu. Pozdrawiamy!
W moim Rodzinnym Ogrodzie Działkowym zainstalowano kamery . Na bramce wejściowej jest wywieszka ,że obiekt jest monitorowany. Jedna z kamer skierowana jest m.in. na moją działkę. Zle się z tym czuję .Nie wiem gdzie znależć aktualne przepisy regulujące tą sprawę. Zarząd Okręgu na moje zapytanie o przepisy w tej sprawie przysyła komisję,która ma sprawdzić „w jakim zakresie monitoring wkracza na teren poszczególnych działek”. Problem jest chyba głębszy ? Pozdrawiam.
Dzień dobry. Należałoby uzyskać od zarządcy ROD-u klauzulę informacyjną, na jakiej podstawie prowadzony jest monitoring. Jednocześnie można zawnioskować o inne ustawienie lub zawężenie pola widzenia kamery. Pozdrawiamy!
Dzień dobry,
czy w związku z obowiązkiem nagrywania sesji rady powiatu ( art. 15 pkt. 1a Ustawy o samorządzie powiatowym) należy brać pod uwagę ogólne zasady stosowania monitoringu zgodne z RODO ( tzn. opracować regulamin monitoringu, oznaczyć miejsca w których są kamery, itp…)?
Pozdrawiam:)
Dzień dobry. Naszym zdaniem ogólnych zasad monitoringu nie trzeba stosować, natomiast nie zwalnia to ze spełnienia obowiązku informacyjnego w miejscu, w którym obraduje rada powiatu. Podstawą prawną w tym wypadku będzie art. 6 ust. 1 lit. c) RODO – obowiązek prawny spoczywający na administratorze danych tj. powołany w komentarzu przepis. 🙂 Pozdrawiamy!
Dziękuję bardzo za odpowiedź.
Pozdrawiam!
Witam, prowadzę myjnie samoobsługową na której zainstalowany jest monitoring. Często klienci zostawiają karty przepłacone, portfele na myjni i proszą o odszukanie kto po myciu zabrał ich rzeczy. Udostępniam zdjęcie na którym najczęściej jest auto z nr rejestracyjnym i nieraz postać osoby myjącej. Bardzo często klient zdobywa adres właściciela pojazdu i sam podjeżdża do ,,nowego nabywcy” w celu odzyskania swoich rzeczy. Zawsze klient odzyskiwał to co pozostawił na myjni.( pewnie bojąc się konsekwencji prawnych z tytułu przywłaszczenia przez ,,nowego właściciela”). Ostatnio ktoś zarzucił ze nie mogę udostępnić takich danych z tytułu RODO. Co musiałbym zrobić aby takie dane moc dalej podawać osobom poszkodowanych.
Dzień dobry. O takie dane powinna się zwrócić Policja, gdy Klient zgłosi kradzież i poda informację, że posiadają Państwo monitoring. Pozdrawiamy!
Dzień dobry,
mam pytanie dotyczące podstawy prawnej stosowania monitoringu wizyjnego w placówkach będących jednostkami organizacyjnymi gminy czy powiatu (np. DPS, Dom Kultury, Schronisko młodzieżowe,Centrum Pomocy Rodzinie…). Czy konieczne jest podanie w klauzuli informacyjnej podstawy prawnej pochodzącej z RODO? jeżeli tak, to czy przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit.e RODO) jest poprawne? Zauważyłam, że wiele placówek używa art. 6 ust.1 lit. f RODO a przecież nie ma on zastosowania dla przetwarzania którego dokonują organy publiczne w ramach realizacji swoich zadań, ale czy zastosowanie monitoringu wizyjnego to realizacja zadań? Czy w takim razie lit.f jest poprawnie stosowana?
Dzień dobry. W takim wypadkach rekomendujemy zastosowanie podstawy prawnej z art. 6 ust. 1 lit. e) RODO czyli wykonanie zadania realizowanego w interesie publicznym. Bez wątpienia interesem publicznym jest zapewnienie bezpieczeństwa i porządku w gminie lub powiecie. Pozdrawiamy!
Dziękuję bardzo za szybką odpowiedź 🙂 Pozdrawiam!
Dzień Dobry. Budynek jest monitorowany przez kamery należące do Administratora X Monitoring obejmuje główny budynek, korytarze, magazyny oraz plac przed budynkiem. W tym samym budynku działalność prowadzi Podmiot Y zatrudniając swoich pracowników, którzy są objęci monitoringiem Administratora X. Są to podmioty działające w tej samej branży. Monitoring jest stosowany jedynie w celu ochrony osób znajdujących się w obiekcie i ochrony mienia – prawnie uzasadniony interes administratora. Czy w tej sytuacji aby dopełnić obowiązku informacyjnego Zarówno dla pracowników Administratora X i drugiego podmiotu wystarczy poinformować wszystkie osoby wywieszając w widocznym miejscu (np. przy drzwiach wejściowych do budynku) klauzurę informacyjną zgodną z RODO o celach i podstawie pranej stosowania monitoringu czy należy dodatkowo każdego zatrudnionego pracownika podmiotu Y informować na piśmie wręczając do zapoznania i podpisania zgody na objęcie monitoringiem Administratora X. Pozdrawiam. Bardzo pomocny artykuł.
Dzień dobry, w naszej ocenie w opisanej sytuacji wystarczające jest dopełnienie obowiązku informacyjnego w postaci klauzuli RODO. Warto też, przygotować regulamin monitoringu do wglądu przez spółkę Y lub ewentualnej kontroli -dokument, może być załącznikiem do Polityki ochrony danych osobowych. Pozdrawiamy