Lato, Hiszpania, monitoring i RODO

  • 05.08.2020

  • Autor: Paulina Wirska

  • sankcje

Sezon wakacyjny w pełni i błądząc wzrokiem po mapie kierujemy tęskne spojrzenia ku wybrzeżom Hiszpanii, która w tym roku stała się jak by trochę bardziej odległa… Nie zrezygnowaliśmy jednak zupełnie z zagranicznych wojaży i wirtualnymi szlakami wędrujemy na portal Agencia Española de Protección de Datos. Z przyjemnością wracamy na strony internetowe hiszpańskiego organu do spraw ochrony danych osobowych. W ostatnim czasie mieliśmy ku temu szczególnie wiele okazji, gdyż w samych tylko czerwcu i lipcu –AEPD wydała 25 decyzji nakładających administracyjne kary finansowe.

Kary finansowe nakładane przez europejskie organy ds. ochrony danych osobowych niezmiennie wzbudzają zainteresowanie. AEPD od początku czerwca do końca lipca 2020 roku wydała 25 decyzji nakładających kary w wysokości od 1.000 € do 80.000 €. W ciągu ostatnich dwóch miesięcy najwyższa z kar nałożonych przez AEPD, czyli 80.ooo €, znalazła się w decyzji wydanej wobec Orange Espagne S.A.U. Organ ustalił, że operator telekomunikacyjny bezprawnie aktywował umowy dotyczące linii telefonicznych, przetwarzając w tym celu dane osoby fizycznej bez podstawy prawnej, co stanowiło naruszenie art. 5 i 6 RODO. Dwie kolejno najwyższe kary, 75.000 € i 70.000 € organ nałożył na innego operatora telekomunikacyjnego, który również „zarządzał” umowami klientów bez ich wiedzy. Operator przetwarzał dane bez podstawy prawnej, naruszając przy tym podstawowe zasady ochrony danych osobowych,.

Naszą szczególną uwagę zwróciły jednak inne decyzje AEPD z tego krótkiego okresu. Łączy je to, że dotyczą monitoringu, czyli jednego z najgorętszych tematów sezonu.

W czerwcu i lipcu AEPD wydała 5 decyzji, w których nałożyła kary finansowe za naruszenie zasad przetwarzania danych osobowych w związku ze stosowaniem wideonadzoru (monitoringu, CCTV). Decyzje te nie nakładają spektakularnych kar finansowych, ale mogą stanowić ciekawy punkt widzenia w naszych krajowych rozważaniach o możliwym uregulowaniu zasad monitoringu przemysłowego i prywatnego. Mają one też cechę wspólną z większością czerwcowo-lipcowych decyzji AEPD o nałożeniu kar finansowych (również z wyżej opisanymi decyzjami wobec operatorów telekomunikacyjnych). A mianowicie, spośród 25 decyzji, w 21 przypadkach podstawą rozstrzygnięcia było stwierdzenie naruszenia art. 5 RODO, czyli naruszenia jednej z podstawowych zasad ochrony danych osobowych.

7 zasad przetwarzania danych osobowych z art. 5 RODO:

Zasada zgodności z prawem, przejrzystości i rzetelności.

Zasada ograniczenia celu przetwarzania.

Zasada minimalizacji danych.

Zasada prawidłowości danych.

Zasada ograniczenia przechowywania danych.

Zasada integralności i poufności.

Zasada rozliczalności.

Podstawą ukarania w każdej ze wspomnianych decyzji dotyczących monitoringu było naruszenie zasady zgodności z prawem lub zasady minimalizacji danych.

Zanim przejdziemy do krótkiej charakterystyki tych decyzji należy zaznaczyć, że w Hiszpanii, poza RODO obowiązuje również ustawa o ochronie danych osobowych i gwarancjach cyfrowych – Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Art. 22 hiszpańskiej ustawy o ochronie danych osobowych i gwarancjach cyfrowych

  1. Osoby fizyczne lub prawne, publiczne lub prywatne, mogą przetwarzać obrazy za pomocą             systemów kamer lub kamer wideo w celu zachowania bezpieczeństwa ludzi i mienia, a także ich   obiektów.
  2. Obrazy publicznej arterii mogą być rejestrowane tylko w takim zakresie, w jakim jest to niezbędne do celu, o którym mowa w poprzedniej sekcji.(…) – tłumaczenie własne.

I tak, na przedsiębiorstwo zajmujące się złomowaniem pojazdów, Auto Desguaces Iglesias S.L., została nałożona kara w wysokości 1.500 €. Naruszenie polegało na częściowym skierowaniu zasięgu CCTV na drogę publiczną, co w ocenie organu nadzorczego stanowiło naruszenie zasady minimalizacji danych niezbędnych do osiągnięcia celu, jakim jest zapewnienie bezpieczeństwa osób i mienia. Natomiast na Café Bar Nina nałożona została kara w wysokości . 2.000 € AEPD stwierdziła, że w Café Bar Nina zainstalowano kamery CCTV w sposób niezgodny z prawem, bez odpowiedniego uzasadnienia, co miało wpływ na osoby trzecie. Ponadto w decyzji wskazano, że skarżony podmiot nie umieścił tabliczki informującej osoby trzecie o prowadzeniu monitoringu wideo. Tak więc w tym przypadku naruszenie polegało zarówno na naruszeniu zasady minimalizmu, jak i na zaniechaniu spełnienia wobec osób przebywających na obszarze monitorowanym obowiązku informacyjnego z art. 13 lub 14 RODO. Karę w takiej samej wysokości nałożono również na podmiot, na który skargę złożyła wspólnota mieszkaniowa. Nazwy ukaranego podmiotu nie ujawniono. Również w tym przypadku naruszenie polegało na ustawieniu kamer w sposób obejmujący przestrzeń wspólną, w sposób wykraczający, w ocenie organu, poza niezbędność do zapewnienia bezpieczeństwa. Zarzucono również nie spełnienie obowiązku informacyjnego o stosowaniu monitoringu, jego celu i zakresie.

Dwie kary zostały ponadto nałożone na prywatnych właścicieli posesji. Jak już wspomnieliśmy, hiszpański ustawodawca nie tylko wprowadził przepisy regulujące posługiwanie się wideonadzorem, ale dodatkowo rozszerzył ich stosowanie na osoby wykorzystujące monitoring w celach prywatnych. Jedna ze wspomnianych kar wyniosła 1.000 € . Karę, jak w poprzednich sprawach, nałożono za naruszenie zasady minimalizmu, poprzez objęcie monitoringiem fragmentu drogi publicznej. Na drugi podmiot nałożono karę 2.000 € . Mimo podobieństwa stanu faktycznego, AEPD nałożyła na pierwszą z osób fizycznych dwukrotnie niższą karę. Ukarana osoba co prawda wykroczyła poza ramy niezbędności przetwarzania danych osobowych (wizerunku) osób trzecich, ale wykazała, że monitoring jest przez nią wykorzystywany w celach zgodnych z prawem, tj. zapewnienia bezpieczeństwa. Druga z ukaranych osób fizycznych, która w pozornie podobnym stanie faktycznym otrzymała wyższą karę, nie potrafiła wykazać uzasadnienia dla stosowania przez nią wideonadzoru obejmującego drogę publiczną i sąsiadujące działki. Organ uznał więc, że w tym wypadku monitoring jest nie tylko „przykry” dla bliskich sąsiadów, ale również stanowi przetwarzanie danych bez podstawy prawnej.

Oprócz samych decyzji organu nadzorczego dotyczących monitoringu, na stronie AEPD znajduje się wiele opracowań i wskazówek odnoszących się do współczesnych problemów monitoringu, np. opinie prawne dotyczące, wideonadzoru z wykorzystaniem dronów, rozpoznawania twarzy w usługach nadzoru wideo i wiele innych.

 

Autor

Paulina Wirska

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Autor artykułów branżowych. Trener na szkoleniach z ochrony danych osobowych.

Z tej samej kategorii

Kategorie