Zasady monitoringu wizyjnego w przedsiębiorstwie

Monitoring wizyjny jest inwazyjną formą przetwarzania danych osobowych i jako taki powinien podlegać szczególnej weryfikacji przez administratora danych osobowych (przedsiębiorcę) potrzeby jego stosowania i konieczności zabezpieczenia.

Miejsca monitorowane powinny być wyznaczone tam, gdzie dochodzi do incydentów albo istnieje realne zagrożenie dla bezpieczeństwa, zaś niemożliwe jest objęcie takich miejsc innymi formami nadzoru.

Stosowanie monitoringu wizyjnego jako formy nadzoru nad osobami, których dane dotyczą, wiąże się z przetwarzaniem danych osobowych wszystkich obserwowanych osób.

Odnosząc się do zakresu danych osobowych przetwarzanych przez monitoring wizyjny właściwym jest wskazywanie w szczególności wizerunków, cech szczególnych osób i numerów identyfikacyjnych (np. numery tablic rejestracyjnych i numerów bocznych pojazdów).

Najbardziej odpowiadającymi stosowaniu monitoringu wizyjnego przesłankami są wypełnienie obowiązku prawnego ciążącego na administratorze danych osobowych, wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych osobowych oraz cele wynikające z prawnie uzasadnionych interesów realizowanych przez administratora danych osobowych, odpowiednio dla podmiotów sektora publicznego i sektora prywatnego.

W przypadku monitoringu wizyjnego przetwarzanie danych osobowych to operacje polegające w szczególności na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób niezależnie od charakteru nośnika, w którym są przechowywane (dyski twarde systemu, nagrania zapisane w pamięci urządzenia umożliwiającego zdalny dostęp – smartfon, komputery przenośne itp.).

Główne zasady postępowania przy przetwarzaniu danych osobowych wyznacza art. 5 ust. 1 rozporządzenia RODO (Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2)), ujmując je w formę podstawowych obowiązków administratora danych osobowych. Z jego treści wynika, że dane osobowe muszą być:

1. 1. Przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);
2. 2. Zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu);
3. 3. Adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacji danych);
4. 4. Prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość);
5. 5. Przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania);
6. 6. Przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

Zgodnie z ust. 2 omawianego przepisu, administrator danych osobowych (przedsiębiorca) jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność).

Podejmując decyzję o wprowadzeniu monitoringu, administrator danych osobowych musi pamiętać o przeprowadzeniu oceny skutków dla ochrony danych. Jest ona wymagana, gdy operacja przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Istotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 rozporządzenia RODO. Musi on być, zgodnie z art. 12 rozporządzenia RODO, realizowany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Każdej osobie przysługuje prawo do informacji o objęciu jej monitoringiem wizyjnym oraz prawo do ochrony swojego wizerunku przed rozpowszechnianiem, chyba że przepisy odrębne stanowią inaczej. Obowiązek udzielenia takich informacji wynika z art. 13 RODO, zaś przepisy rozdziału III szczegółowo określają prawa osoby, której dane dotyczą.

Prawa osób objętych monitoringiem obejmują m.in.:

♦ prawo do informacji o istnieniu monitoringu w określonym miejscu, jego zasięgu, celu, nazwie podmiotu odpowiedzialnego za instalację, jego adresie i danych do kontaktu;

♦ prawo dostępu do nagrań w uzasadnionych przypadkach;

♦ prawo żądania usunięcia danych jej dotyczących;

♦ prawo do anonimizacji wizerunku na zarejestrowanych obrazach i/lub usunięcia dotyczących jej danych osobowych;

♦ prawo do przetwarzania danych przez ograniczony czas.