GIODO o monitoringu wizyjnym

[piotrusb]

10 marca 2017 r. został opublikowany obszerny dokument "Wytyczne Generalnego Inspektora Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego w szkołach". Materiał ten odnosi się do konkretnych instytucji, ale wiele zawartych w nim stwierdzeń jest natury ogólnej i może mieć zastosowanie również do wspólnot mieszkaniowych. Oto istotne fragmenty:

Jednym ze szczególnych rodzajów zbiorów danych przetwarzanych przy użyciu systemów informatycznych są zbiory danych w postaci plików danych stanowiących nagranie obrazów zarejestrowanych przez kamery systemu monitoringu wizyjnego. (...)

Obecnie w polskim porządku prawnym brak jest ustawy kompleksowo regulującej zagadnienia związane z monitoringiem wizyjnym. Obowiązujący w Polsce zakres prawnych podstaw instalowania i wykorzystywania monitoringu wizyjnego odnosi się jedynie do wybranych aspektów jego stosowania. Podstawy prawne do rejestracji obrazu (w niektórych przypadkach również dźwięku) mają służby związane z szeroko rozumianym bezpieczeństwem lub porządkiem publicznym. Brak jest natomiast ustawowych uregulowań w tym zakresie dotyczących innych podmiotów państwowych i prywatnych. W odniesieniu do podmiotów, które takich szczegółowych uregulowań nie posiadają, zastosowanie mają przepisy ustawy o ochronie danych osobowych. (...)

Zgodnie z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, administrator danych osobowych powinien zapewnić, by przetwarzane informacje (wizerunek osoby, dane osobowe zwykłe i szczególnie chronione) i sposób wykonywania na nich operacji, były proporcjonalne (adekwatne) do celów, w jakich mają być wykorzystywane. Dlatego też kierownik placówki powinien ocenić, czy inne, mniej ingerujące w prywatność rozwiązania nie przyniosłyby oczekiwanych i wystarczających efektów w zakresie zapewnienia bezpieczeństwa. Elementem dokonywanej oceny powinna być zatem analiza potrzeb i celowości budowy systemu wideomonitoringu wraz z prognozą jego skuteczności w kontekście wpływu na prywatność (privacy impact assessment). Może się bowiem okazać, że rozwiązania mniej inwazyjne stanowią alternatywę dla kosztownego systemu monitoringu i z powodzeniem mogą go zastąpić. Zgodnie z unijnym ogólnym rozporządzeniem o ochronie danych1, które wejdzie w życie 25 maja 2018 r., takie oceny będą obowiązkowe w przypadku operacji przetwarzania stwarzających ryzyko dla ochrony praw i wolności podmiotów danych. (...)

Monitoring wizyjny stwarza również ryzyko przetwarzania danych osobowych innych osób, które mogą znaleźć się w obszarze monitorowanym (wejścia do budynku, jego otoczenie, ulice, chodniki, boiska czy place zabaw). Wobec tych osób kierownik jednostki ma obowiązek poinformowania o stosowaniu obserwacji, zapewnienia dostępu do ich danych i ich zabezpieczenia. (...)

Jaka jest podstawa prawna instalowania monitoringu?
W przypadkach nieuregulowanych przez przepisy szczególne, jako podstawę prawną przetwarzania danych osobowych w zakresie wizerunku, należy wskazać przesłankę legalności określoną w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, uznając za prawnie usprawiedliwiony cel administratora danych zapewnienie bezpieczeństwa osób i mienia w obszarze objętym monitoringiem.
Podkreślenia wymaga, że zgodnie ze stanowiskiem Trybunału Sprawiedliwości UE wyrażonym w wyroku w sprawie C-212/13 Ryneš, ochrona osób i mienia może być uznana za uzasadniony interes administratora w rozumieniu art. 7 lit. f) dyrektywy 95/46/WE oraz art. 23 ust. 1 pkt 5) ustawy o ochronie danych osobowych. Każdorazowo musi to się jednak wiązać z poszanowaniem praw i wolności osoby obserwowanej oraz wypełnianiem obowiązków ustawowych administratora danych. (...)

Instytucja, która zainstalowała na swoim terenie system monitoringu wizyjnego, powinna poinformować osoby, które potencjalnie mogą zostać nim objęte, że monitoring jest stosowany i jaki obszar jest nim objęty. Podać swoją nazwę, adres, obszar oraz cel monitorowania. Przykład klauzuli informacyjnej:
„Monitoring prowadzony jest przez ….(tu nazwa podmiotu), w celu …(np. zapewnienie bezpieczeństwa i porządku publicznego oraz ochrony osób i mienia) i obejmuje ….(dokładne wskazanie obszaru). Więcej informacji można uzyskać telefonicznie pod numerem telefonu …., lub drogą elektroniczną …. (podanie adresu poczty elektronicznej, wskazanie strony internetowej)”.
Osoby znajdujące się w obszarze monitorowanym muszą mieć świadomość, że w miejscu, w którym się znajdują, prowadzone są czynności monitoringu. Tablice informujące o zainstalowanym monitoringu powinny być widoczne, syntetyczne, umieszczone w sposób trwały w niezbyt dużej odległości od nadzorowanych miejsc, zaś wymiary tablic muszą być proporcjonalne do miejsca, gdzie zostały umieszczone. Stosowane mogą być dodatkowo piktogramy informujące o objęciu dozorem kamer.

Czy ustawa o ochronie danych osobowych ma zastosowanie do monitoringu?
Nie zawsze monitoring wizyjny wiąże się z przetwarzaniem danych osobowych. Ustawę o ochronie danych osobowych można zastosować do monitoringu, jeśli jest on wykorzystywany w celu przetwarzania danych osobowych. Jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na twardym dysku komputera czy innym nośniku, to wówczas trudno mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na elektronicznym nośniku. W przypadku gdy taki zestaw danych zostanie skatalogowany poprzez przyporządkowanie indeksów do fragmentów nagrań zawierających wizerunki osób, wówczas należy uznać, że jest to zbiór danych osobowych. Z danymi osobowymi mamy do czynienia także w sytuacji, kiedy system, który jest instalowany równolegle z monitoringiem, umożliwia powiązanie konkretnych nagrań z konkretną osobą.
Pamiętać przy tym należy, że podmioty wykorzystujące systemy monitoringu z reguły utożsamiają przetwarzanie danych z działaniem podejmowanym w celu identyfikacji konkretnych osób na podstawie nagrań. Tymczasem w ustawie o ochronie danych osobowych za przetwarzanie uznaje się także gromadzenie danych. Dlatego podmioty odpowiedzialne za gromadzenie i przechowywanie zapisów z kamer muszą stosować się wprost do przepisów ustawy o ochronie danych osobowych.

Jakie działania powinna podjąć instytucja w kwestii zabezpieczenia danych osobowych pozyskanych z monitoringu?
Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, instytucja jest obowiązana zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinna zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych ma więc obowiązek zabezpieczenia danych osobowych pochodzących z monitoringu wizyjnego. Obowiązek ten wiąże się z podjęciem przez administratora danych osobowych, odpowiednich działań organizacyjnych i technicznych.
Będzie on prowadził np. ewidencję osób upoważnionych do dostępu do systemu monitoringu wizyjnego, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do dostępu do systemu monitoringu wizyjnego.
Ponadto osoby, które zostaną upoważnione do dostępu do systemów monitoringu, mają obowiązek zachowania w tajemnicy informacji uzyskanych w trakcie prowadzenia monitoringu oraz tych, dotyczących bezpieczeństwa funkcjonowania tych systemów. Ważne jest, aby osoba upoważniona do przetwarzania danych, nie mogła wykorzystywać ich na swoją rzecz i w innych celach.

http://www.giodo.gov.pl/1520056/id_art/9840/j/pl