Omówienie wskazówek PUODO dot. monitoringu wizyjnego

  • 07.01.2019

  • Autor: Katarzyna Marcisz

  • analizy

W czerwcu 2018 r. na stronie internetowej UODO pojawiły się wskazówki dotyczące monitoringu wizyjnego, przy czym Urząd ogłosił jednocześnie możliwość składania do dokumentu uwag w ramach konsultacji. Sama inicjatywa jest niezwykle cenna, ponieważ prowadzenie monitoringu w kontekście nowych regulacji prawnych wzbudza wiele wątpliwości. Niniejszy artykuł ma na celu przedstawienie głównych kwestii z czerwcowych wskazówek.

Kamery monitoringu wizyjnego towarzyszą nam na co dzień w bardzo szerokim zakresie, pomagając chronić własność materialną czy intelektualną, jednak nie mogą one przy tym naruszać prywatności nagrywanych osób. Zwłaszcza iż nowe technologie i towarzyszące im rozwiązania sprawiają, że osoba nagrana nie zawsze jest tego nagrywania świadoma.

W związku z tym, że brakuje obecnie konkretnych regulacji dotyczących monitoringu, oraz dotyczy on różnych obszarów, należy stosować się do ogólnych przepisów o ochronie danych osobowych jak i szczególnych przepisów sektorowych, w zależności od tego jakiego procesu dotyczy monitoring wizyjny.

W związku z ustawą z 10 maja 2018 r. o ochronie danych osobowych, modyfikacji  w tym zakresie ulegają przepisy Kodeksu pracy, wskazując, że monitoring dotyczący pracowników może mieć miejsce tylko i wyłącznie w ramach: kontroli produkcji, zapewnienia bezpieczeństwa, zapewnienia ochrony tajemnicy przedsiębiorstwa  i ochrony mienia.  Dodatkowo obszar monitorowany nie może obejmować: szatni, stołówek oraz toalet. W sytuacji kiedy administrator monitoruje obszar dozwolony, powinien mieć na uwadze poszanowanie praw i wolności osób fizycznych, co wielokrotnie zostało podkreślone w RODO, ale wynika także z Konstytucji RP czy przepisów sektorowych.

Mając zamiar stosowania monitoringu wizyjnego w organizacji, niezbędne jest wykonanie analizy ryzyka jeszcze przed jego zastosowaniem. Wynik analizy wykaże, czy rzeczywiście użycie kamer dozoru wizyjnego jest niezbędne i konieczne do osiągnięcia celu, jakim jest zapewnienia bezpieczeństwa. Warte rozważenia są inne środki zabezpieczające np. zatrudnienie firmy zapewniającej ochronę. Jeśli wynik analizy nie będzie wskazywał ryzyka naruszenia praw i wolności osób fizycznych lub będzie ono niskie, to prawną podstawę przetwarzania danych może stanowić dla administratora prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), natomiast nie może mieć ona zastosowania do administratorów, będących podmiotami publicznymi.

Jeśli prowadzenie monitoringu okaże się niezbędne, lub organizacja jest zobligowana do jego stosowania przepisami prawa, należy go używać w taki sposób, aby nie naruszał praw i wolności osób, których dane będą rejestrowane.

Administrator danych podejmując decyzję o stosowaniu monitoringu zobowiązany jest do:

  • zdefiniowania celów przetwarzania i zapewnienia minimalizacji danych;
  • spełnienia obowiązku informacyjnego wobec podmiotów danych;
  • zapewnienia realizacji przysługujących praw podmiotom danych;
  • przechowywania danych nie dłużej niż jest to konieczne (retencja nagrań z monitoringu pracowników wynosi maksymalnie 3 miesiące, co warunkują przepisy Kodeksu pracy, Prawa oświatowego i ustawy o samorządzie gminnym), z wyjątkiem sytuacji, kiedy nagranie służy do celów dowodowych w postępowaniu;
  • oraz zastosowania odpowiednich, adekwatnych środków bezpieczeństwa ochrony danych osobowych.

Należy zwrócić uwagę, że jeśli nagrania mogą odtwarzać obraz klatka po klatce, by rozpoznać osobę której dane są przetwarzane przy jednoczesnym użyciu odpowiednich metod technicznych, dokonujących automatycznej analizy obrazu, to może dochodzić do przetwarzania szczególnych kategorii danych.

Zastosowanie monitoringu w firmach, może powodować pokusę użycia ukrytych kamer w celu np. eliminacji kradzieży, niszczenia mienia, weryfikacji podejrzeń co do pracowników. Takie działania są nielegalne, a wyjątek legalności ich stosowania przewidziany jest jedynie dla odpowiednich służb.

Autor

Katarzyna Marcisz

Doświadczenie w zakresie ochrony danych osobowych zdobywała w Ministerstwie Cyfryzacji, jako wsparcie Departamentu Zarządzania Danymi przy konsultacjach społecznych ustawy o ochronie danych osobowych. Posiada certyfikat audytora wiodącego ISO 27001 (Bezpieczeństwo Informacji) i wieloletnie doświadczenie w obsłudze Klienta biznesowego.

Z tej samej kategorii

Kategorie