Jak ma wyglądać tabliczka “obiekt monitorowany”?


RODO, a monitoring prywatny.


Monitoring wizyjny ulicy zgodny z RODO.


RODO, a kamery (w technicznym znaczeniu).


Oto kilka z licznych zagadnień, które w świeżo wydanych wytycznych, przybliża nam EROD. Jeżeli więc przymierzasz się do legalizacji CCTV, mamy dla Ciebie dobrą informację: mamy klarowne przepisy jeżeli chodzi o monitoring wizyjny. W poniższym tekście omawiamy najważniejsze informacje zawarte w wytycznych.

 

Monitoring wizyjny, przepisy

Systemy rejestracji obrazu, przez długi czas, funkcjonowały w swoistej próżni, jeżeli chodzi o uregulowania prawne. Pomimo paru podejść, nie doczekaliśmy się w Polsce ustawy o monitoringu. Sytuacja zmieniła się jednak diametralnie w momencie rozpoczęcia stosowania tak zwanego RODO.

To unijne rozporządzenie, które stosuje się bezpośrednio w każdym państwie członkowskim, ustala zasady ochrony danych osobowych, a więc, mówiąc bardziej ogólnie – wytycza nowe standardy w zakresie ochrony prywatności.

Pierwszą, bardzo istotną wiadomością, którą możemy wyczytać z nowych wytycznych, jest właśnie ta, że wizerunek uchwycony przez kamery stanowi dane osobowe. Obala to ostatecznie argument, że na podstawie samego wyglądu nie da się zidentyfikować osoby. Obraz z kamer, z zastrzeżeniem pewnych wyjątków, podlega więc prawnej ochronie.

Myśląc o wywiązaniu się z ciążących na nas obowiązków prawnych, należy również mieć na uwadze postanowienia Kodeksu pracy, który w art. 22² określa zasady stosowania monitoringu w zakładach pracy. Osobnym jeszcze przepisom podlegają Policja, Straż Miejska i pokrewne, których działania obwarowane są Ustawą o ochronie danych osobowych przetwarzanych w związku ze zwalczaniem i zapobieganiem przestępczości.

Jeżeli więc mowa o stosowaniu kamer, mamy do czynienia z paroma różnymi sytuacjami:

  • Policja itp. – jako że tego zagadnienia wytyczne nie dotyczą, nie będziemy też omawiać go w niniejszym artykule;
  • Monitoring prywatny – pod tym pojęciem rozumie się stosowanie kamer w taki sposób, że nie stosuje się do tego przetwarzania przepisów RODO – zagadnienie to szczegółowo omawiamy poniżej;
  • Monitoring w miejscu pracy – przetwarzanie podlegające pod RODO oraz Kodeks pracy;
  • Monitoring prowadzony zawodowo / statutowo, ale nie dotyczący personelu własnego – przetwarzanie podlegające wyłącznie pod RODO.

 

RODO, a monitoring prywatny

Ogólne rozporządzenie o ochronie danych RODO nie jest stosowane do przypadków wykorzystywania danych osobowych do czynności o czysto osobistym lub domowym charakterze. Oczywiście, zasadę tą stosuje się również do nagrań z kamer. Kluczowe jest natomiast ustalenie, co to właściwie znaczy, że charakter przetwarzania jest osobisty lub domowy. Zwłaszcza w dobie YouTube’a i wszechobecnych vlogów, pytanie to ma szczególne znaczenie. Szczęśliwie, wytyczne dość precyzyjnie odnoszą się do tego zagadnienia.

Po pierwsze, abyśmy mogli uznać przetwarzanie za osobiste, dostęp do danych mogą mieć wyłącznie osoby, z którymi pozostajemy w osobistych właśnie relacjach. Aby uniknąć konieczności zmagania się z RODO, musimy więc powstrzymać się od upubliczniania nagrań. Filmowanie komunii czy ślubów, a nawet własnego podwórka, jest tak długo osobiste, jak długo dostęp do materiału mają wyłącznie rodzina i znajomi. Słowo “upublicznienie” ma tutaj konkretnie takie znaczenie, że tracimy kontrolę nad tym, kto ma dostęp do danych. Z czysto praktycznej perspektywy, istotne staje się więc, czy wrzucając filmik z wakacji na swojego Facebooka udostępnimy go wyłącznie znajomym, czy też właśnie “upublicznimy”. Pierwsze działanie będzie, w świetle prawa, wyłącznie naszą osobistą sprawą. Drugie natomiast uczyni z nas administratorów danych osobowych z wszelkimi tego konsekwencjami.

Po drugie, przetwarzanie jest osobiste wówczas, gdy dotyczy ludzi, z którymi pozostajemy w jakiejś relacji. Przykładowo, “osobiste” jest nagrywanie gości na organizowanym przyjęciu, jak również wideorejestracja skutków kolizji drogowej, w której uczestniczyliśmy. W obu tych przypadkach mamy bowiem “osobisty” związek z osobami, które rejestrujemy. “Osobistym” nie jest natomiast notoryczne nagrywanie chodnika lub samochodów przejeżdżających przed naszą posesją. Generalnie, oko naszej kamery nigdy nie powinno być zwrócone w przestrzeń publiczną.

Oczywiście, od powyższej zasady są wyjątki. Europejska Rada Ochrony Danych dostrzega je i podkreśla. Przykładowo, legalne jest kręcenie filmów z wakacji i to nawet jeżeli na drugim planie pojawią się osoby postronne. Również dozwolona jest wideorejestracja, którą prowadzimy w miejscach odludnych – w górach, w czasie trekkingu itd..

Pomiędzy tymi skrajnymi przypadkami, które jako przykłady, podaje nam EROD, rozciąga się oczywiście całe spektrum szarości różnych zastosowań monitoringu. W tych mniej jednoznacznych sytuacjach zdani jesteśmy na własny osąd i intuicję. Wciąż jednak ważne jest, że Rada zdobyła się na odwagę wydania jasnego komunikatu przynajmniej odnośnie pewnych form przetwarzania.

PrzypadekWymagana zgoda RODO

Publikacja filmu na YouTube / prowadzenie vloga tak
Umożliwienie dostępu do filmu przez Internet kontrolowanej grupie odbiorców (np. rodzicom grupy przedszkolnej) nie
Rejestrowanie przestrzeni publicznej, w której regularnie pojawiają się osoby postronne (chodnik, droga, sąsiedztwo naszego domu) tak
Nagrywanie znajomych, krewnych i gości (film z wesela, kamera skierowana na własny ogród) nie
Kamera nasobna / ręczna, rejestracja w miejscu odosobnionym (sport, turystyka) nie
Kamerka samochodowa, rejestracja ciągła, bez zamiaru publikacji brak jednoznacznej odpowiedzi, zaleca się ostrożność

Monitoring w firmie, a RODO

Kiedy decydujemy się na wprowadzenie CCTV jako pracodawca, bezdyskusyjnie stajemy się administratorami danych osobowych i zmuszeni jesteśmy wiązać się z obowiązków wynikających z RODO. Ponadto, nasze ręce związane są częściowo przez postanowienia krajowej Ustawy kodeks pracy.

Rozmowę o legalności takiego rozwiązania należy zacząć od oceny tzw. podstawy prawnej, a więc uzasadnienia, na którym wolno nam oprzeć przetwarzanie danych osobowych. Na gruncie RODO, dozwolone jest każde przetwarzanie, o ile jest ono niezbędne do osiągnięcia celów wynikających z prawnie uzasadnionych interesów naszych (administratora) lub strony trzeciej o ile nie okaże się, że nadrzędny charakter względem tych interesów będą miały interesy lub podstawowe prawa lub wolności osób, których dane gromadzimy. Ta bardzo pojemna podstawa prawna stanowi furtkę umożliwiającą legalizację różnych typów operacji na danych osobowych. W odróżnieniu od innych podstaw (przykładowo: niezbędności do realizacji umowy lub obowiązku prawnego albo zgody), chęć skorzystania z niej pociąga za sobą konieczność oceny, czyje interesy lub prawa są w danym przypadku ważniejsze. Już sam ten fakt sprawia, że bezrefleksyjne wdrożenie monitoringu obarczone jest wielkim ryzykiem dla osób rejestrowanych jak i dla nas samych.

Jeżeli już mowa o ryzyku, warto podkreślić, że omawiane wytyczne rzucają na zagadnienie zagrożeń bardzo wiele światła. EROD wnikliwie przedstawia źródła i naturę ryzyka związanego z wideorejestracją. Szczególną uwagę musimy zwrócić na następujące zagadnienia:

  1. Zasadę ograniczenia celu, która zabrania stosowania danych osobowych w celach innych, aniżeli te, do których zostały zebrane – dodajmy, że te legalne cele narzuca nam Kodeks pracy;
  2. Zasadę minimalizacji danych, na mocy której zawsze powinniśmy starać się zrealizować nasze zadania gromadząc możliwie mało danych, albo wcale ich nie zbierając – wytyczne jasno podkreślają, że ludzie mają prawo pozostać anonimowi i że nieuzasadnione uniemożliwienie im tego stanowi zagrożenie dla prywatności i naruszenie prawa;
  3. Poziom bezpieczeństwa nowych technologii, a konkretnie, algorytmów służących analizie obrazu – począwszy od “prostych” rozwiązań służących do liczenia osób przechodzących, przez analizę biometryczną, a na analizie behawioralnej kończąc;
  4. Zasadę rzetelności zobowiązującą nas do przyjęcia skutecznych i sprawiedliwych rozwiązań, co nierzadko bywa kłopotliwe w kontekście oprogramowania do analizy obrazu – z uwagi na różnice w wyglądzie wynikające z wieku, płci, pochodzenia etnicznego oraz mody, istnieje realne ryzyko, że nasz system w niektórych przypadkach nie będzie działał prawidłowo;
  5. Wymóg sprostania normom społecznym i rozsądnym oczekiwaniom osób monitorowanych – nasz monitoring nie może dotykać obszarów i stref sensytywnych ani prywatnych i ponad to, musi być zorganizowany w taki sposób, aby ludzie spodziewali się / wiedzieli, że są lub będą nagrywani, przez kogo i dlaczego.
  6. Zasadę przejrzystości, która nakłada na nas obowiązek zawiadamiania o każdym przypadku przetwarzania danych osobowych – zwłaszcza w kontekście rozległych obszarów monitorowanych, pozbawionych ogrodzeń lub innych środków kontroli ruchu, spełnienie obowiązku informowania może się okazać niezwykle trudne;
  7. i wreszcie, zasad poufności i integralności wymuszających na nas zastosowanie skutecznych i nierzadko kosztownych rozwiązań sprzętowych, programowych i proceduralnych.

Niezbędność

Na pierwszy ogień weźmy niezbędność prowadzenia monitoringu, która zazębia się z zasadą minimalizacji danych. Przeważnie, pisząc uzasadnienie wprowadzenia tej formy nadzoru, wskazujemy jako przyczynę chęć ochrony mienia, zapewnienie bezpieczeństwa informacjom lub ochronę ludzi. Autorzy wytycznych podkreślają dwie istotne kwestie.

Po pierwsze, ryzyko musi być realne. Sam fakt tego, że dysponujemy mieniem o określonej wartości, nie stanowi dostatecznego uzasadnienia stosowania kamer. W pewnym sensie, można by nawet powiedzieć, że ryzyko to musi być ponadprzeciętne. Przykładowo, uzasadnione jest wprowadzenie tej formy nadzoru w bankach, zakładach jubilerskich, kantorach, magazynach i innych obiektach o zwiększonym, ponadprzeciętnym właśnie, ryzyku kradzieżowym. Wątpliwe jest natomiast sięgnięcie po tą inwazyjną technologię w punkcie usługowym czy sklepie.

Oczywiście, realność zagrożenia możemy również wykazać na przykładach. Jeżeli nasz interes padł ofiarą kradzieży lub skutków wandalizmu w ostatnich latach, z pewnością czynnik ten stanowi twardy argument na rzecz zastosowania dalej idących środków ostrożności.

W przypadku braku takich niemiłych doświadczeń lub niemożności ich udokumentowania (przykładowo, gdy dopiero otwieramy firmę), możemy sięgnąć po statystyki. Muszą one jednak odpowiadać naszej faktycznej sytuacji. Raporty o zasięgu ogólnokrajowym nie będą tutaj wystarczającym argumentem. Jeżeli jednak w naszej okolicy dochodzi do zdarzeń, którym możemy być w stanie zapobiec stosując monitoring, furtka jest otwarta.

Idąc jednak dalej, aby zastosowanie kamer faktycznie było niezbędne, musimy móc wykazać, że inne środki zapobiegawcze zostały wyczerpane lub nie będą skuteczne. Innymi słowy, trzymając się dla przykładu zapobiegania kradzieżom, rozważanie monitoringu powinno nastąpić dopiero, kiedy ogrodzenia, dozór, czujniki ruchu i zabezpieczenia przeciwwłamaniowe okażą się niewystarczające. Proszę również pamiętać, że na gruncie RODO to na nas ciąży obowiązek wykazania faktu, że wymieniane tu kryteria są spełnione. Potrzebna jest pisemna analiza, protokoły, dowody dokumentujące odniesione straty itd.

Wreszcie, jeżeli nawet uznamy, że bez monitoringu ani rusz, musimy sobie odpowiedzieć na pytanie, czy niezbędny nam jest wgląd na żywo w obraz z kamer czy też rejestracja zdarzeń dla celów dowodowych, a może oba. EROD podkreśla, że nie należy traktować tych funkcjonalności jako nierozłącznych. Wolno nam sięgnąć po tą, której faktycznie nam potrzeba.

Ograniczenie celu

W Polsce, za pomocą obrazu z kamer, wolno nam: zapewniać bezpieczeństwo pracownikom lub chronić mienie lub kontrolować produkcję lub chronić informacje poufne. Kropka. Innych opcji nie mamy. Proszę więc zwrócić uwagę, że monitoringu nie wolno nam stosować w celach takich, jak:

  1. kontrola efektywności czasu pracy;
  2. ocena pracownicza;
  3. analiza i optymalizacja procesów produkcyjnych, logistycznych i innych;
  4. ewidencja czasu pracy;
  5. kontrola zgodności z wymogami BHP i Ppoż.;
  6. dokumentowanie faktu odbycia szkoleń ani innych czynności potwierdzających określone kompetencje;
  7. kontrola ruchu osobowego (chyba, że służy ona dalej ochronie mienia lub informacji);
  8. wspieranie organów ścigania w prowadzonych przez nie działaniach;
  9. pomoc lokalnej ludności w ustalaniu, dochodzeniu lub obronie przed roszczeniami.

Powyżej wymieniłem realne cele przetwarzania, które rozpoznajemy prowadząc audyty w firmach i urzędach. Cele niezgodne z prawem. Myśląc o wprowadzeniu monitoringu, nie tylko musimy umieć odpowiedzieć na pytanie, po co nam ta technologia, ale też, jak to zrobić, aby dane zebrane z jej pomocą nie zostały nielegalnie wykorzystane. Polityki dostępu do nagrań i obrazu na żywo muszą być bardzo restrykcyjne i dobrze przemyślane. Jest to jeden z nielicznych procesów, w którym przedkładamy daleko idącą poufność ponad ciągłością działania.

Minimalizacja danych

Mając na uwadze, że wolno nam gromadzić tylko to, co niezbędne, aby osiągnąć cele omówione powyżej, widzimy, że kamery muszą być bardzo rozważnie ustawione. Absolutnym strzałem w stopę jest monitorowanie przestrzeni publicznej. Szczególną uwagę należy poświęcić kamerom skierowanym na bramy wjazdowe, które często “widzą” również fragmenty drogi i rejestrują tablice rejestracyjne.

Musimy również unikać monitorowania sąsiednich posesji przy okazji dozorowania wizyjnego własnych barier fizycznych, takich jak płoty czy mury. Z pomocą mogą przyjść inteligentne kamery, pozwalające na programowanie ruchu lub wyłączanie określonych sekcji (odcinków) spod monitoringu. Alternatywnie, rozważyć można powiązanie systemu monitoringu wizyjnego z czujnikami ruchu – wówczas możemy zagwarantować, że ewentualna rejestracja obrazu następuje wyłącznie w uzasadnionych okolicznościach.

Należy również zastanowić się poważnie nad legalnością monitoringu w przypadku, gdy organizacja przestrzenna sąsiedztwa sprawia, że osoby trzecie wchodzą w obszar monitorowany załatwiając swoje bieżące potrzeby, nie związane z nami (chodzi o służebności oraz inne przypadki, w których monitoringiem objęty jest teren ogólnodostępny, przez który osoby przechodzą idąc do szkoły, sklepu czy pracy).

Automatyczna analiza obrazu – bezpieczeństwo i rzetelność nowych technologii

Wprowadzając do słownika zagrożeń zagadnienie nowych technologii, ustawodawca europejski miał na myśli takie technologie, których ewentualne wady jeszcze nie dały o sobie znać. Proszę zwrócić uwagę, że takie podejście do nowych technologii skłania do wyodrębnienia dwóch typów tych rozwiązań:

  1. technologie pionierskie – w uniwersalnym znaczeniu nowe i niezbadane; oraz
  2. rozwiązania personalizowane, dostarczające znane rynkowo funkcjonalności, ale przygotowywane od nowa lub w inny sposób.

W kontekście pierwszej z tych kategorii, należy podkreślić, że dalece niebezpieczne jest stosowanie technologii do niej należących do jakiegokolwiek typu informacji chronionych prawem. Choć nie wybrzmiewa to wprost z wytycznych, sam fakt braku możliwości wykazania istnienia dostatecznych zabezpieczeń, właściwie dyskwalifikuje legalne stosowanie jakiegokolwiek rozwiązania, które nie zostało objęte odpowiednią normą, wytycznymi lub przynajmniej rzetelnymi badaniami wykonanymi przez grono wiarygodnych ekspertów.

Jeżeli zaś chodzi o rozwiązania personalizowane (mowa tu zwłaszcza o oprogramowaniu pisanym na zamówienie), gwarancji ich bezpieczeństwa należy upatrywać w procesie ich opracowania. Ponownie, wytyczne nie wskazują wprost sposobów mitygacji (redukcji) ryzyka związanego z zamawianiem dedykowanych rozwiązań. Przyglądając się jednak praktyce Urzędu Ochrony Danych, dostrzec można, że w uzasadnieniach swoich decyzji organ ten powołuje się na stanowisko ciał eksperckich oraz dobre praktyki rekomendowane przez wyspecjalizowane organy i podmioty.

Zamawiając system monitoringu wizyjnego lub towarzyszące mu elementy informatyczne (np. aplikację do streamingu obrazu), należy skoncentrować się na analizie gwarancji umownych oraz upewnić się, że dostawca tego rozwiązania (zwłaszcza gdy dostarcza je jako usługę, w modelu SaaS) podlega europejskiemu prawu.

Monitoring wizyjny, a normy społeczne

Autorzy wytycznych wskazują dalej, że rozpowszechnianie się technologii wideomonitoringu prowadzi do niebezpiecznych zmian społecznych. Ludzie stopniowo przyzwyczajają się do faktu, że są obserwowani, co stopniowo pozbawia ich anonimowości i prywatności w przestrzeni publicznej.

Aby zapobiegać temu zjawisku, jako administratorzy, zobowiązani jesteśmy obejmować monitoringiem wyłącznie takie obszary, co do których CCTV stało się już standardem. Ekspansja nadzoru wizualnego jest groźna i w gruncie rzeczy, zabroniona. Oczywiście, możliwe jest wskazanie przypadków, w których realizacja przyjętych i społecznie akceptowalnych standardów wymaga rozszerzenia obszaru obserwowanego (przykładowo, wprowadzenie kamer we wnętrzu środków służących do transportu przedmiotów wartościowych). Przypadki takie należy jednak każdorazowo poddać wnikliwej analizie i liczyć się z tym, że może nam przyjść bronić wypracowanego stanowiska.

Co ważne, ustawienie tabliczki zawiadamiającej o monitorowaniu, nie zwalnia nas z wymogu respektowania norm społecznych i rozsądnych oczekiwań osób. Nie jest nam dane prawo do kształtowania tych norm wedle własnego uznania. Stanowisko to wydaje się bardzo rozsądne zwłaszcza, że praktyczne zakusy aby potraktować tożsamo obszar oznakowany i obszar legalnie monitorowany wskazują na intencję agresywnej ekspansji.

Powiadomienie o monitoringu – tabliczka monitoring wizyjny

Ilekroć zbieramy dane osobowe, ciąży na nas obowiązek zawiadomienia o tym fakcie ludzi, których dane te dotyczą. Nie inaczej jest w przypadku rejestracji obrazu. Szczęśliwie, piktogram przedstawiający kamerę jest jednym z najlepiej rozpoznawanych symboli informujących o przetwarzaniu danych osobowych. Komunikacja wizualna niestety jednak nie wystarcza. Wytyczne precyzują, jaka ma być treść tablicy informacyjnej oraz jakie dodatkowe wymogi musimy spełnić w zakresie zawiadamiania.

Zacznijmy jednak od początku. Obowiązek informacyjny może być realizowany tak zwanie “warstwowo”. Oznacza to, że możemy zawiadamiać “na raty”. Zacząć od tego, co najważniejsze, a następnie uzupełnić brakujące elementy. Rozwiązanie to jest powszechnie stosowane w Internecie, gdzie, przykładowo, otrzymujemy pierwsze powiadomienie o przetwarzaniu w bezpośrednim sąsiedztwie formularza kontaktowego, a dalej, kierowani jesteśmy do polityki prywatności.

Analogicznie wolno nam postąpić z monitoringiem. Naszą pierwszą linią informacji będą tablice zawiadamiające o kamerach. Pozostałe dane uzupełnimy natomiast przez opracowanie pełnego komunikatu i zamieszczenie go w łatwo dostępnym miejscu.

Na tabliczce “monitoring wizyjny”, poza piktogramem kamery, powinny znaleźć się następujące informacje:

  1. Tożsamość administratora oraz dane kontaktowe;
  2. Informacja o powołaniu inspektora ochrony danych i kontakt do tej osoby (o ile została wyznaczona);
  3. Cel przetwarzania;
  4. Prawa przysługujące osobom monitorowanym;
  5. Lokalizacja pełnej noty informacyjnej (czyli gdzie szukać treści kompletnego powiadomienia);
  6. Ewentualne inne, istotne informacje (np. okres przechowywania nagrań).

EROD zawarła nawet w wytycznych graficzną propozycję takiej tabliczki. Wskazuje się również wprost, że zasadne jest zastosowanie technologii QR do ułatwienia ludziom dotarcia do pełnego powiadomienia o przetwarzaniu.

Poza treścią, ważna jest także lokalizacja tablic. Po pierwsze, muszą one być widoczne i czytelne. Ich rozmiar należy dostosować do odległości, z jakiej spodziewamy się, że będą oglądane. W miarę technicznej możliwości, należy je instalować na wysokości oczu. Ponadto, biorąc pod uwagę układ dróg i inne czynniki przestrzenne, tablicami należy obstawić każde wejście w obszar monitorowany.

Pełne powiadomienie publikujemy natomiast w recepcji / sekretariacie lub innym łatwo dostępnym miejscu. Nie zawadzi również zamieszczenie noty na stronie internetowej. Nie należy jednak ograniczać się wyłącznie do cyfrowego powiadomienia. Wersja drukowana, tradycyjna, również powinna zostać przygotowana.

Odnośnie treści i formy kompletnego komunikatu, określają je art. 12 i 13 RODO.

Nadto, z uwagi na wymóg zawarty w Kodeksie pracy, proszę pamiętać o przekazaniu personelowi stosownego obwieszczenia o wprowadzeniu monitoringu wizyjnego.

RODO kamery – poufność i integralność danych

Ostatecznie, bezpieczny i legalny system monitoringu, zapewnia również kontrolę nad tym, kto ma dostęp do nagrań oraz zapewnia, że same nagrania nie zostaną poddane nieautoryzowanej edycji ani utracone.

Wytyczne wskazują na szereg obszarów, które należy poddać analizie i zabezpieczyć. Wśród nich wymienia się, między innymi:

  1. Zabezpieczenia przeciwkradzieżowe samych kamer;
  2. Zabezpieczenie okablowania sieciowego i zasilającego przed nieautoryzowaną ingerencją;
  3. Fizyczne bezpieczeństwo rejestratora oraz kontrola dostępu do peryferiów służących do jego obsługi;
  4. Ochrona kryptograficzna transmisji i składowania danych;
  5. Zastosowanie wysoko złożonych haseł lub równie skutecznych środków uwierzytelniania;
  6. Zastosowanie środków ochrony antywirusowej, systemów IDS/IPS oraz innych funkcjonalności zapory ogniowej;
  7. Prowadzenie kopii bezpieczeństwa;
  8. Wdrożenie rozwiązań pozwalających na wykrywanie i usuwanie konsekwencji awarii sprzętowych i programowych;
  9. Monitorowanie i logowanie aktywności użytkowników systemu (uwaga, to nie jest standardowa funkcjonalność – wiele systemów jej nie posiada);
  10. Wyznaczenie osoby lub osób odpowiedzialnych za system, opracowanie procedur i przeprowadzenie szkoleń;
  11. Objęcie systemu monitoringu procedurami zarządzania dostępem fizycznym i cyfrowym;
  12. Umiejscowienie ewentualnych monitorów w sposób zapewniający poufność wyświetlanym danym.

Z perspektywy naszych doświadczeń audytowych, podkreślamy, że wymagania te, wbrew pozorom, nie są zawsze realizowane. Wiele rejestratorów nie radzi sobie z szyfrowanymi danymi. Czasami systemy operacyjne na rejestratorach dają też ograniczone możliwości w zakresie logowania i uwierzytelniania. Powszechnym problemem są również aktywne porty USB w tych urządzeniach. Sprawy, nadto, wcale nie ułatwia fakt, że wielokrotnie rejestratory lokalizowane są w pomieszczeniach przeznaczonych dla ochrony / personelu dyżurującego, w bezpośrednim sąsiedztwie wejścia głównego do budynków.

Reasumując, poufność i integralność systemów monitoringu wizyjnego nie jest zagwarantowana z samego faktu, że są to rozwiązania komercyjne. Poprawna budowa i konfiguracja wymaga analizy, pracy i poniesienia realnych kosztów.

Inne formy monitoringu w biznesie

Stosowanie wideorejestratorów ma też miejsce w innych obszarach działalności biznesowej. Począwszy od zliczania ilości odwiedzających w centrach handlowych, a na rozwiązaniach z dziedziny reklamy podążającej kończąc.

Generalne zasady legalizacji będą się tutaj kształtowały bardzo podobnie, jak w przypadku opisanym powyżej. Wyłączną różnicą jest fakt, że wyjście poza obszar uregulowań Kodeksu pracy pozostawia nam większą swobodę w zakresie określania celów przetwarzania danych.
Jako generalną zasadę, należy więc przyjąć, że monitoringi bezpieczeństwa należy prowadzić w zgodzie z Kodeksem pracy (choć, co do zasady, nie dotyczą one relacji pracowniczej i zawarcie tych regulacji w Kodeksie pracy budzi pewne wątpliwości).

Monitoringi o przeznaczeniu analitycznym i marketingowym muszą być prowadzone wyłącznie w zgodzie z RODO.

Udostępnianie nagrań z monitoringu

Jak, komu i kiedy? Na wszystkie te pytania odpowiadają nowe wytyczne. Zacznijmy od tego, że przekazanie nagrań może nastąpić w paru okolicznościach. Po pierwsze, może być wykonane na wniosek osoby zarejestrowanej, jako realizacja przysługującego jej prawa dostępu do danych. Po drugie, może być czynnością przetwarzania zainicjowaną przez samego administratora. W tym drugim przypadku, czynność udostępnienia będzie nową operacją przetwarzania danych osobowych. Będziemy więc zmuszeni oprzeć ją o podstawę prawną (okoliczność uzasadniającą). Z praktycznego punktu widzenia, wyróżnimy więc przekazanie danych na podstawie przepisu prawa oraz przekazanie na zasadach wolnorynkowych. Reasumując, mamy trzy scenariusze:

  1. Przekazanie na wniosek osoby nagranej (na podstawie prawa dostępu do danych, art. 15 RODO);
  2. Przekazanie w związku z obowiązkiem prawnym – przykładowo, Policji (art. 6 ust. 1 lit. c RODO oraz art. 10 RODO);
  3. Przekazanie w innych okolicznościach – przykładowo, administrator obiektu prowadzący monitoring i będący jego administratorem postanowi udostępnić dane jednemu ze swoich najemców, który padł ofiarą włamania.

Wyłącznym bezspornym i łatwym przypadkiem jest przypadek drugi. Kiedy ciąży na nas obowiązek prawny i możemy ustalić jego podstawę (np. dostajemy wezwanie z sądu lub Policji), sprawa jest prosta. Po prostu realizujemy ten obowiązek i ewentualnie odnotowujemy fakt przekazania danych w wewnętrznym rejestrze udostępnień.

Dwa pozostałe przypadki są o tyle trudniejsze, że wymagają analizy, czy przekazanie nagrania nie naruszy praw i wolności innych osób (dotyczy przekazywania w odpowiedzi na wniosek od osoby nagranej – art. 15 ust. 4 RODO) lub interesów albo podstawowych praw lub wolności innych osób (dotyczy przekazania danych innemu podmiotowi, a sam wymóg wynika z brzmienia art. 6 ust. 1 lit. f RODO, który prawdopodobnie stanowiłby podstawę prawną takiego udostępnienia).

Nie obędzie się więc bez wglądu w treść nagrań i ustalenia, czyje ewentualnie interesy lub prawa takie przekazanie mogłoby naruszyć. W większych organizacjach zaleca się opracowanie procedury postępowania na okoliczność zaistnienia potrzeby takiego udostępnienia.
Wytyczne wzmiankują również, że decydując się na wdrożenie monitoringu, administrator bierze na siebie obowiązek przygotowania się do realizacji ww czynności. Oznacza to, że w szczególności, musi dysponować personelem, który można oddelegować do analizy nagrań oraz posiada technologię pozwalającą mu na selektywną obróbkę obrazu (np. usunięcie osób postronnych).

Jak więc widać, “zabawa w monitoring” nie jest tania.

Monitoring wizyjny, a dane wrażliwe

EROD rozpatruje dwa scenariusze, w których dojść może do przetwarzania danych wrażliwych (szczególnych kategorii danych, o których mowa w art. 9 RODO) z wykorzystaniem monitoringu wizyjnego. Chodzi mianowicie o informację o stanie zdrowia oraz o dane biometryczne. W obu tych scenariuszach, autorzy wykazali się zdrowym rozsądkiem.

Po pierwsze, wskazują oni, że nagranie osoby noszącej okulary lub poruszającej się na wózku inwalidzkim nie jest przetwarzaniem danych szczególnych kategorii. Wskazują, że charakteru danych należy upatrywać w celu prowadzenia monitoringu. Tak więc, jeżeli w szpitalu instaluje się system służący do monitorowania stanu pacjentów to system ten musi być przystosowany do przetwarzania danych szczególnie sensytywnych (danych wrażliwych). Jeżeli jednak monitoring służy ochronie mienia lub informacji, z uwagi na jego przeznaczenie, ewentualna rejestracja osoby o widocznych cechach schorzeń nie stanowi automatycznie, że procesuje się dane z art. 9. W ocenie ryzyka czynnik ten nie musi być więc brany pod uwagę.

Jeżeli chodzi o drugi scenariusz, a więc dane biometryczne, EROD wykłada w czytelny sposób znaczenie definicji tych danych:

  1. Dane te muszą dotyczyć fizycznych, psychologicznych lub behawioralnych cech osoby fizycznej (każde nagranie spełnia to kryterium);
  2. Dane są rezultatem “specjalnego przetwarzania technicznego” (przykładowo, rezultatem rozliczenia profilu biometrycznego twarzy); oraz
  3. Dane te umożliwiają identyfikację osoby (zdroworozsądkowo, warunek ten wydaje się zawsze spełniony jeżeli spełnione są dwa powyższe).

Konstatując, jak długo nie stosujemy dedykowanej technologii (np. technologii rozpoznawania twarzy), nie mamy do czynienia z danymi wrażliwymi. Jest to istotne przy ustalaniu, czy zachodzi obowiązek powołania IOD oraz, czy należy przeprowadzić ocenę skutków dla ochrony danych (DPIA).

Jeżeli podejmiemy decyzję o zastosowaniu biometrii, zostaniemy zmuszeni do oparcia takiego przetwarzania o wyraźną zgodę osób, których dane dotyczą. Implementując takie rozwiązanie musimy zapewnić, aby przetwarzaniu nie były poddawane dane innych ludzi oraz aby istniała alternatywa na wypadek wycofania zgody lub jej pierwotnego niewyrażenia.

Prawa podmiotów danych

Kończąc tę długą listę “za i przeciw” systemów monitoringu, zwracamy również uwagę na wykonywalność praw, które przysługują osobom nagrywanym. W wytycznych przeprowadzono analizę przypadku wpłynięcia do administratora wniosku o usunięcie danych (art. 17 RODO). Wskazuje się tam, że jeżeli celem prowadzenia monitoringu jest, przykładowo, ochrona mienia i z analizy nagrania wynika, że osoba wnioskująca tego mienia nie naruszyła ani też nie podjęła próby jego naruszenia, “dane osobowe nie są już niezbędne do celów, w których zostały zebrane”. Okoliczność ta sprawia, że wniosek o usunięcie danych musi być skuteczny. Nie mamy wyboru, dane muszą zniknąć.

Przytoczony przypadek daje do myślenia. Ilustruje on mianowicie, że decydując się na wprowadzenie monitoringu wizyjnego, musimy posiadać ciągłą zdolność do edycji nagrań albo też móc, bez negatywnych konsekwencji po stronie celu przetwarzania, usuwać te nagrania.

Po pierwsze, na gruncie zasady rozliczalności, mamy prawny obowiązek wykazania, że te zdolności posiadamy. Po drugie zaś, faktycznie możemy ich potrzebować. W efekcie, sfinansowanie skutecznego systemu monitoringu wizyjnego może się okazać nie lada wyzwaniem.

DPIA – robić czy nie?

DPIA czyli ocena skutków dla ochrony danych została w wytycznych omówiona dyplomatycznie. Nie ulega wątpliwości, że analiza ta jest niezbędna kiedy monitoruje się przestrzeń publiczną lub przetwarza na dużą skalę dane szczególnych kategorii. W pozostałych przypadkach decydujące są czynniki, które wskazano w dedykowanych wytycznych odnośnie DPIA. Czysto formalnie więc, nie każdy system monitoringu wymaga takiej analizy.

Biorąc jednak pod uwagę ilość i charakter zagrożeń, o których tutaj wspominamy, czysto operacyjnie wydaje się, że DPIA jest nieuniknione. Nawet jeżeli rezultatem oceny skutków będzie stwierdzenie, że nie była ona niezbędna, bez jej przeprowadzenia nie zdołamy wykazać tej zbędności.

Europejska Rada Ochrony Danych wydaje się dostrzegać ten problem i rekomenduje prowadzenie oceny dla monitoringów wizyjnych.

W ramach słowa podsumowania oraz dodając swoje trzy grosze, my sugerujemy poważne rozważenie zasadności prowadzenia monitoringu. Okazuje się bowiem, że z chwilą zmiany reguł gry, pomimo znacznego spadku kosztu samego sprzętu, ta forma dozoru jest lub przynajmniej może być, bardzo kosztowna.