Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Monitoring wizyjny a ochrona danych osobowych

Monitoring wizyjny nie jest zagadnieniem uregulowanym w jednym akcie prawnym. Na pilną potrzebę unormowania tej kwestii wskazywał już niejednokrotnie m.in. Generalny Inspektor Ochrony Danych Osobowych. Pomimo kilku projektów  – o jednym z nich pisaliśmy na blogu już w 2013 r. (!) – prace nad żadnym z nich nie doprowadziły do uchwalenia kompleksowej ustawy. W związku z tym, analizując tę kwestię należy odnosić się do różnych aktów prawnych. Jak do monitoringu wizyjnego zastosować przepisy z zakresu ochrony danych osobowych? Zapraszam do lektury niniejszego artykułu.

Czy zapis z monitoringu zawiera dane osobowe?

Kluczowym pytaniem, na które zawsze musimy udzielić odpowiedzi rozpoczynając analizę określonego procesu jest to, czy mamy do czynienia z danymi osobowymi. Przypomnijmy, iż zgodnie z art. 6 Ustawy o ochronie danych osobowych, za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Z kolei osobą możliwą do zidentyfikowania jest „osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”. Dane osobowe mogą mieć zatem formę nie tylko słowną, ale również graficzną (obraz). Ponadto, wizerunek osoby pozwala na określenie jej cech fizycznych (wyglądu zewnętrznego, charakterystycznego stroju itd.). Tym samym umożliwia ustalenie jej tożsamości. Istotą stosowania monitoringu jest bowiem właśnie identyfikacja. Warto zwrócić uwagę również na to, iż przeważnie, zidentyfikowanie danej osoby nie będzie wymagało nadmiernych kosztów, czasu lub działań. Będzie tak m.in. w przypadku, gdy znamy osobę, której wizerunek został utrwalony (np. pracownicy wchodzący do budynku) lub posiadamy inne informacje, za pośrednictwem których możliwe będzie przypisanie wizerunku do konkretnej osoby (np. księga wejść/wyjść). W rezultacie zazwyczaj zapis z monitoringu będzie zawierał dane osobowe. Za takim stanowiskiem przemawia również orzecznictwo. Przykładowo:

„W rozpoznawanej sprawie Straż Miejska w L., realizując uprawnienia ustawowe do obserwowania i rejestrowania obrazu zdarzeń w miejscach publicznych przy użyciu środków technicznych, przetwarza w ramach monitoringu wizyjnego dane osobowe w postaci wizerunków (obrazów) osób przebywających na miejscach objętych zasięgiem monitoringu, a także inne informacje dotyczące tych osób, takie jak sposób zachowania, numery rejestracyjne pojazdów. Dane te prowadzą bowiem do identyfikacji osoby”.

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 kwietnia 2013 r., II SA/Wa 211/13

Czy nagrania z monitoringu tworzą zbiór danych?

Zbiorem danych jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 UODO). Aby można było mówić o zbiorze danych niezbędne jest występowanie pewnej struktury umożliwiającej odnalezienie określonych danych według pewnych kryteriów.

„Należy uznać, że każde nagranie dokonane w wyniku monitoringu posiada strukturę (uporządkowanie) – w uwagi na fakt, iż dotyczy sekwencji zdarzeń następujących w określonym czasie, zarejestrowanych przez urządzenie służące do monitoringu. Jednakże nie w każdym przypadku będzie możliwe dotarcie do danych konkretnej osoby, bez konieczności manualnego przeglądania całego nagrania lub jego obszernego fragmentu”.

„Wymagania w zakresie regulacji monitoringu” (str. 28)

Ze zbiorem danych nie będziemy mieli do czynienia, gdy stosowany jest monitoring wizyjny w czasie rzeczywistym bez dokonywania zapisu. Nie będzie bowiem wówczas możliwe odszukanie danych.

„Bezzasadny jest również zarzut strony skarżącej dotyczący niemieszczenia się zarejestrowanych danych w definicji zbioru danych z uwagi na fakt, że informacje te są klasyfikowane jedynie według jednego kryterium - czasu zdarzenia, podczas gdy ustawodawca wymaga, by dane zawarte w zbiorze danych były dostępne przynajmniej według dwóch kryteriów. Należy bowiem zgodzić się z organem, że dane zarejestrowane w ramach monitoringu wizyjnego zapisywane są według kryterium czasu, ale również według kryterium miejsca zdarzenia, które jest tożsame z miejscem umieszczenia kamery”.

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 kwietnia 2013 r., II SA/Wa 211/13

W przypadku, gdy wykonywany jest zapis nagrań z monitoringu i dane osobowe są dostępne np. według godziny i miejsca, mamy do czynienia ze zbiorem danych.

Na co w związku z tym należy zwrócić uwagę?

W celu dokonania kompleksowej analizy monitoringu wizyjnego z punktu widzenia wymogów przepisów z zakresu ochrony danych osobowych, najlepiej odnieść się do 5 filarów ochrony danych, na które składają się:

  1. Legalność przetwarzania danych osobowych,
  2. Świadomość osób przetwarzających dane osobowe,
  3. Zabezpieczenia techniczne i organizacyjne,
  4. Obowiązki rejestracyjne,
  5. Obowiązki informacyjne.

Podstawę prawną przetwarzania danych osobowych w przypadku monitoringu stanowi zazwyczaj art. 23 ust. 1 pkt 5 UODO, a więc tzw. prawnie usprawiedliwiony cel. Dane te przetwarzanie są bowiem w celu zapewnienia bezpieczeństwa w określonym obszarze. W odniesieniu do filaru 2 i 3 należy m.in.:

  • uwzględnić zbiór danych w dokumentacji ochrony danych osobowych wymaganej na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024, dalej Rozporządzenie) –dotyczy to m.in. wykazu zbiorów i opisu ich struktury,
  • zweryfikować umiejscowienie kamer (nie mogą one – np. poprzez zainstalowanie ich w toaletach, pomieszczeniach socjalnych czy też poszczególnych pomieszczeniach biurowych – prowadzić do naruszenia prywatności),
  • wydać upoważnienia do przetwarzania danych osobowych osobom uzyskującym dostęp do wskazanych danych i uwzględnić je w ewidencji (art. 37 i 39 UODO),
  • zweryfikować spełnianie przez system służący do monitoringu wymogów Rozporządzenia,
  • ustalić, czy dane ze zbioru są powierzane (np. ochronie, pomiotom świadczącym usługi informatyczne) – czy zawarto umowy powierzenia przetwarzania danych osobowych (art. 31 UODO)?

Czy zbiór danych dotyczący monitoringu wizyjnego zgłaszamy do rejestracji GIODO?

Zbiór danych przetwarzany w zw. ze stosowaniem monitoringu wizyjnego traktujemy jak każdy inny zbiór danych. Stosujemy zatem te same zasady. A więc sprawdzamy, czy zachodzi któraś z podstaw zwolnienia z obowiązku rejestracji (art. 43 ust. 1 i 1a UODO). Przykładowo, jeśli powołano i zgłoszono ABI (i zbiór nie zawiera tzw. danych wrażliwych wymienionych w art. 27 ust. 1 UODO), zbiór danych nie podlega rejestracji.

A co z obowiązkiem informacyjnym?

W praktyce, realizacja właśnie tego obowiązku przewidzianego przez Ustawę o ochronie danych osobowych wydaje się najtrudniejsza w odniesieniu do monitoringu wizyjnego. Umieszczanie tablic zawierających wszystkie informacje wymienione w art. 24 UODO (dokładne oznaczenie Administratora danych, wskazanie celu zbierania danych, odbiorców danych, informacja o prawie dostępu do treści danych, możliwości ich poprawiania, dobrowolności albo obowiązku podania danych) jest bowiem problematyczne. Zazwyczaj Administratorzy ograniczają się do piktogramu bądź słownego komunikatu o stosowaniu monitoringu – umieszczonego w formie tablicy na ścianie lub naklejki. Rozwiązaniem może być natomiast umieszczanie dodatkowo pełnej informacji, np. przy stanowisku recepcji lub ochrony.

Największe zagrożenia pojawiające się w zw. z monitoringiem

Na zakończenie chciałabym jeszcze wspomnieć o tym, co moim zdaniem stanowi największe zagrożenie  w przypadku, gdy stosujemy monitoring wizyjny. Pierwszym jest brak informacji. Kiedyś pracownicy podmiotu, dla którego prowadziłam szkolenie – w trakcie moich zajęć, zupełnie przez przypadek – dowiedzieli się, że miejsce ich pracy objęte jest nadzorem kamer…. Nikt ich wcześniej o tym nie poinformował. Po drugie, niezbędna jest dokładna analiza miejsc, w których zainstalowane są kamery i obszaru, który obejmują one swoim zasięgiem. Pamiętajmy, iż stosowanie monitoringu i jego „dolegliwość” dla osób znajdujących w jego zasięgu, musi być proporcjonalna, adekwatna do celu, dla którego jest on stosowany.

Podsumowanie

Stosowanie monitoringu wizyjnego jest zagadnieniem, które każdy Administrator danych powinien przeanalizować z punktu widzenia przepisów ochrony danych osobowych. Wymaga to jednak uwzględnienia specyfiki wskazanego procesu. Aby ułatwić Państwu to zadanie, zachęcam do skorzystania z listy kontrolnej, która z pewnością pomoże  zweryfikować, czy w Państwa organizacji kwestia ta jest uregulowana.

Pobierz listę kontrolną

Monitoring wizyjny - listę kontrolną możecie Państwo pobrać klikając w poniższy przycisk z linkiem Pobierz

Źródła prawa:

 

Powiązane artykuły

Ochrona danych osobowych w lokalu wyborczym – są nowe przepisy!
My już wiemy jak prowadzić jawny rejestr zbiorów danych osobowych! [wzór Rejestru]
Rejestracja zbiorów danych po 1 stycznia 2015 r.

16 Odpowiedzi

  1. paweł

    a jak wygląda kwestia udostępniania nagrań z kamer? czy w sytuacji kiedy na naszym parkingu porysowano komuś samochód możemy udostępnić tej osobie zapis? czy powinno się to jakoś odnotować?

    1. Kancelaria Lex Artist

      Każdy wniosek o udostępnienie nagrań wymaga indywidualnej oceny. Przede wszystkim należy uwzględnić zakres udostępnianych informacji (nagranie obejmujące wyłącznie określone zdarzenie, a nie np. cały dzień, ewentualny wizerunek osób postronnych – niezwiązanych ze zdarzeniem). Najbezpieczniej z punktu widzenia prawnego udostępniać nagrania na żądanie policji (wówczas mamy pewność, że nie zostaną one wykorzystane niezgodnie z celem). Ponadto, fakt udostępnienia warto udokumentować (przykładowo protokołem podpisanym przez osobę, której przekazano nagrania, wskazującym jednocześnie cel udostępnienia). Dodatkowo, zwłaszcza w większych podmiotach, wskazane jest wdrożenie wewnętrznych procedur dot. rozpatrywania próśb o przekazanie nagrań.

  2. Grzesiek

    W przystępny sposób podana problematyka. Bardzo mi się podobał artykuł, ponieważ wyjaśnił wiele kwestii z którymi miałem problem.

  3. Marek

    Dziękuję za rzeczowy artykuł i … proszę o jeszcze 🙂

    Szczególnie interesuje mnie kwestia zapewnienia legalności przetwarzania danych, czyli określenia celu i podstawy prawnej.
    Niektóre cele jak się wydaje nie wzbudzają kontrowersji, ale są i takie, z którymi jest problem.
    Spotkałem się np. ostatnio z przypadkiem, w którym firma chciała wdrożyć monitoring wizyjny w celu doskonalenia umiejętności zawodowych pracowników produkcji. Nagrania z monitoringu miały być wykorzystane w celu
    1) porównywania sekwencji czynności wykonywanych przez dwie różne osoby, które wykonywały to samo zlecenie produkcyjne
    2) porównania jak wyżej, ale czynności wykonywanych przez tą samą osobą nagranych w różnych okresach czasu.
    Wydaje się, że z punktu widzenia założonego celu (doskonalenie umiejętności) ma to sens i nie wydaj się środkiem nadmiarowym.
    Z drugiej strony PIP wydał podobno opinię (nie znalazłem źródła), że:
    “Monitorowanie pracowników za pomocą kamer w celu sprawdzenia jakości i ilości wykonywanej przez nich pracy powinno być co do zasady niedopuszczalne w przeciwieństwie do monitorowania dla celów bezpieczeństwa.”
    No i teraz mam dylemat, czy w takim celu jak powyżej można zastosować monitoring wizyjny czy nie?

    1. Kancelaria Lex Artist

      Przytoczona przez Pana opinia PIP jest zbieżna ze stanowiskiem Grupy Roboczej Art. 29 do spraw ochrony danych. W opinii 4/2004 w sprawie przetwarzania danych osobowych przy nadzorze z użyciem kamer video (opinia dostępna tutaj: http://www.giodo.gov.pl/1520189/id_art/7146/j/pl/), Grupa Robocza wskazała, iż “(…) konieczne jest, aby systemy video-nadzoru, których bezpośrednim celem jest zdalna kontrola jakości pracy i wydajności, a które zawierają przetwarzanie danych w tym kontekście, były z założenia zabronione”. Moim zdaniem, w opisanej przez Pana sytuacji istotą jest właśnie kontrola wydajności, a nie doskonalenie umiejętności zawodowych.

  4. monika

    a co z ewentualnym wnioskiem osoby fizycznej o wgląd w zabezpieczone nagrania, przy czym osoba ta jest ujeta na zabezpieczonym nagraniu oraz inne osoby. czy taki wniosek o wglad a nie o udostępnienie moze być rozpatrzony pozytywnie?

    1. Łukasz Zegarek

      Wszystko zależy od konkretnych okoliczności. Jeśli np. nagranie, do którego dana osoba chce uzyskać wgląd nie pozwala na zidentyfikowanie poszczególnych osób (nie zawiera danych osobowych), a dostęp ma być wykorzystany jedynie poglądowo (przykładowo dla oceny, czy sprawę można zgłosić na policję, która byłaby uprawniona do uzyskania nagrań), sądzę, iż wniosek można rozpatrzyć pozytywnie. W takiej sytuacji należy jednak zadbać o to, aby wgląd do nagrań odbywał się w obecności osoby odpowiedzialnej za monitoring.

  5. Krzysiek

    Ja z kolei mam pytanie dotyczące prawidłowego określenia obszaru objętego monitoringiem. Jak to w praktyce wygląda? Mamy kamery, które obejmują korytarze wewnątrz budynku, ale dwie kamery mamy na zewnątrz. Jedna kamera obejmuje też ulicę i chodnik (to już nie jest nasz obszar). Jak to opisać?

    1. Kancelaria Lex Artist

      Obszar można określić np. graficznie (zaznaczenia na rzutach budynku umiejscowienia kamer) lub opisowo (wskazanie, iż kamery obejmują swoim zasięgiem ciągi komunikacyjne, główne wejścia do budynku itd.).

    1. Kancelaria Lex Artist

      Czy da się sprawdzić to… nie wiemy 😉 Jeśli sprawca podszedł do kamery od frontu, to pewnie zobaczy Pani go i zidentyfikuje.
      A czy i czego jest to naruszenie…? Nasuwa się taka typowa odpowiedź prawnika, który nie ma jeszcze kompletu informacji:
      – to zależy 😉
      Czy chodzi o kamerę zainstalowaną w zakładzie pracy, monitoring miejski czy jeszcze o jakąś inną sytuację?

  6. Majkel

    Witam, a ja mam parę pytań.

    W związku z tym, że na wsi planujemy założyć monitoring (4 kamery) nagrywające w tzw. pętli, nie planujemy archiwizować materiału wizyjnego (max 48 h wstecz ew. zabezpieczenie nagrania dla policji następowało by w przypadku jakiegoś zdarzenia).
    Pytanie I: czy potrzebny jest podmiot zarządzający monitoringiem?
    Pytanie II: czy w powyższym przypadku musimy dokonywać zgłoszenia do GIODO?
    Pytanie III: czy w w/w przypadku potrzebna jest osoba sprawująca nadzór nad tworzonymi zbiorami danych osobowych? W oparciu o jakie przepisy?
    Pytanie IV: czy podmiot zarządzający musi posiadać dopuszczenie organu gminy do przetwarzania danych osobowych?
    Pytanie III: czy

    1. Kancelaria Lex Artist

      A my mamy kilka odpowiedzi 😉

      1. Zawsze jeśli stosowany jest monitoring ktoś jest za niego odpowiedzialny. Na gruncie Ustawy o ochronie danych osobowych jest to administrator danych, który decyduje o zainstalowaniu monitoringu i zasadach jego funkcjonowania.
      2. Kluczowym pytaniem jest to, czy powstaje zbiór danych. Jeśli nagrania z monitoringu umożliwiają identyfikację indywidualnych osób (a zazwyczaj tak jest, gdyż temu służy monitoring) i możliwe jest wyszukiwanie poszczególnych wizerunków (np. na podstawie daty i godziny) to odpowiedź powinna być twierdząca. Nie oznacza to jednak automatycznie obowiązku zgłoszenia zbioru do rejestracji GIODO. Cześć zbiorów (art. 43 UODO) jest z tego obowiązku zwolniona. Np. jeśli powołano i zgłoszono ABI i zbiór nie zawiera tzw. danych wrażliwych (szerzej na ten temat pisaliśmy tutaj: https://blog-daneosobowe.pl/rejestracja-zbiorow-danych-po-1-stycznia-2015-r/), zbioru nie rejestrujemy u GIODO.
      3. Konieczne jest zapewnienie zgodności z przepisami Ustawy o ochronie danych osobowych (np. art. 38 UODO nakłada obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane).
      4. Nie wiem, kogo określa Pani/Pan mianem “podmiotu zarządzającego”. W myśl Ustawy o ochronie danych osobowych to administrator danych samodzielnie decyduje o tym czyje dane, w jakich celach, na jakich zasadach i przy użyciu jakiś środków będzie przetwarzał dane. Niezależnie od ochrony danych osobowych oczywiście należy również uwzględnić również to, czy np. nie instalujemy kamer na czyimś obiekcie itp.

Zostaw odpowiedź