Monitoring wizyjny RODO

Czy w ramach monitoringu przetwarzam dane osobowe?

Jeśli stosujesz monitoring wizyjny to na 99% przetwarzasz dane osobowe. Ten 1% zostawiam na przypadki prawniczego „to zależy”.

A od czego zależy?

Na przykład jeśli Twój monitoring polega na tym że masz zamontowane kamery gdzieś na recepcji i siedzi tam osoba która obserwuje na żywo obraz, natomiast nigdzie ten obraz się nie zapisuje. Czyli jeśli widziałeś minutę temu klienta na monitoringu, to za 10 minut możesz o nim zapomnieć i żadne urządzenie ci o nim nie przypomni, bo nie zapisało się to CD, na dysku zewnętrznym czy na pendrivie.

Jednak generalnie w większości przypadków będziesz miał do czynienia z monitoringiem i przetwarzaniem danych osobowych z tego monitoringu.

Czy mogę przetwarzać dane osobowe w ramach monitoringu?

Owszem, RODO nie zabrania przetwarzania danych osobowych. Musisz jednak pamiętać, że takie przetwarzanie musi mieć swój uzasadniony cel i nie można zbierać nadmiarowych danych (o tym w następnym punkcie). Listę takich celów znajdziemy w art. 6 RODO. Pamiętaj jednak, że według „Wytycznych 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo”:

Monitoring wizyjny wykorzystywany wyłącznie do celów „bezpieczeństwa” lub „własnego bezpieczeństwa” nie jest pojęciem wystarczająco precyzyjnym (art. 5 ust. 1 lit. b)). Ponadto jest on sprzeczny z zasadą stanowiącą, że dane osobowe są przetwarzane w sposób zgodny z prawem, przejrzysty i uczciwy odnośnie do osoby, której dane dotyczą (zob. art. 5 ust. 1 lit. a)).

Oczywiście uzasadnionym interesem jest ochrona przed kradzieżą czy wandalizmem, zagrożenie nie może być jednak fikcyjne lub spekulacyjne. Jeśli w miejscowości której działasz dochodziło np. do włamań (nie musiały one dotknąć Ciebie), możesz przedstawić odpowiednie statystyki i w ten sposób udowodnić swój uzasadniony interes.

Jakie dane przetwarzam w ramach monitoringu?

Co do zasady większość monitoringów przetwarza wyłącznie obraz. Jakie dane są wówczas zbierane?

Podstawową dane osobowe zbierane w ramach monitoringu wizyjnego jest wizerunek. I tak, wizerunek, czyli to co widzimy, jest daną osobową.

Jeśli natomiast monitoring przez ciebie posiadany nagrywa również dźwięk, to niestety trudno jest tak naprawdę stwierdzić jaką ilość i jaki rodzaj danych zbierasz. W większości przypadków nagrywanie dźwięku będzie zbieraniem danych nadmiarowych.

Podam przykład. Wyobraź sobie że jesteś właścicielem restauracji. Jest piątkowy wieczór, restauracja wypełniona jest gośćmi. Przy jednym stoliku rozmawiają sobie o swoim życiu osobistym, wymieniają się plotkami o kolegach i koleżankach. Przy inny omawiają biznes. Przy jeszcze innym ktoś się skarży na swoje zdrowie, a ktoś inny skarży się na swój swojego męża, planuje rozwód. Gdzieś występuje wymiana poglądów politycznych, bo akurat jest okres wyborczy.

W takim przypadku Ty, jako administrator danych zbieranych w ramach monitoringu wizyjnego połączonego z nagrywaniem dźwięku, miałabyś w swojej bazie masę danych. Dane o stanie zdrowia, dane o statusie związku, dane odnosi poglądów politycznych, dane orientacji seksualnej, dane na temat wynagrodzenia, dane odnośnie imion i nazwisk i stanowisk… Byłyby to dane które nie są Ci do niczego potrzebne. Nie pomagałyby np. w  ochronie mienia restauracji czy zapewnienia bezpieczeństwa gości.

Czy wizerunek to dana biometryczna wymagająca zgody?

Czym jest dana biometryczna i czy wizerunek taką daną jest?

Odpowiedź jest jedna – wizerunek będzie daną biometryczne wtedy, kiedy będzie on przetwarzany specjalnymi metodami technicznymi które pozwolą na dokładną identyfikacja tożsamości tej osoby.

Czyli taki zwykły monitoring, który jest najczęściej stosowany w firmach czy na ulicach miast, będzie po prostu przetwarzał zwykłą daną osobową w postaci wizerunku, ale nie specjalną kategorię danych, którą jest dana biometryczna. Dlaczego? Dlatego, że te systemy w większości przypadków nie będą miały możliwości od razu połączyć wizerunku z imieniem i nazwiskiem, adresem zamieszkania czy z numerem PESEL.

Mówi o tym art. 4 pkt 14 RODO:

 „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Niestety często jest tak, że jest to pojęcie nadużywane w kontekście wizerunku. Przykładowo, czytałam, o jednym z polskich miast, które przy głównej atrakcji turystycznej miało zamontowane kamery monitoringu. Kamery zarówno nadawały obraz na żywo, jak i zapisywały nagrania. Z chwilą wejścia w życie RODO miasto stwierdziło, że niestety musi wyłączyć kamery przy tej atrakcji turystycznej bo ze względu na brak zgody osób, nie może przetwarzać ich danych osobowych biometrycznych.

Według miasta wyglądało to tak że jeśli ja stanęłam sobie przed kamerą, przy tej atrakcji turystycznej, pomachałam do kamery i widziała to np. moja babcia to byłam rozpoznawana.

No niestety, ale raczej moja babcia nie jest to specjalna metoda techniczna pozwalająca na ustalenie tożsamości (chociaż pewnie by się ucieszyła że posiada dodatkowe umiejętności).

Wyłączenie tego monitoringu było błędną nadinterpretacją RODO.

Monitoring a Kodeks Pracy

Jeśli mówimy o monitoringu wizyjnym, to w przypadku zatrudniania pracowników powinniśmy poruszyć również kwestię Art. 222 Kodeksu Pracy.

Znów, podobnie jak na gruncie RODO, Kodeks Pracy pozwala nam na monitoring, jednak obwarowuje go pewnymi zastrzeżeniami.

Po pierwsze taki monitoring możemy stosować do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Co do zasady kamery nie mogą obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni oraz pomieszczeń zakładowej organizacji związkowej. Jednak jest to dopuszczalne w wyjątkowych przypadkach, gdy monitoring tych miejsc jest niezbędny do wypełnienia wyżej wymienionych celów.

Nie możesz przy tym naruszać godności i dóbr osobistych pracownika (możesz zastosować technologie uniemożliwiające rozpoznanie osoby)! Szczególnie monitoring pomieszczeń sanitarnych wymaga uprzedniej zgody związku zawodowego lub przedstawicieli pracowników.

Nagrania można przechowywać przez 3 miesiące, a w przypadku gdy stanowią dowód w postępowaniu, dłużej.

Pracownicy (również nowi) muszą wiedzieć o monitoringu. Najpóźniej na 2 tygodnie przez jego uruchomieniem należy poinformować zatrudnione osoby, a monitorowany teren musi być czytelnie i widocznie oznaczony. Cele, zakres i sposób zastosowania monitoringu ustala się w układzie zbiorowym lub regulaminie pracy albo w obwieszczeniu.

Atrapy a RODO

Czy w ogóle mogę montować atrapy w swojej firmie?

W tej sprawie nie ma zgodności pomiędzy Prezesem UODO a Europejską Radę Ochrony Danych. Według Prezesa UODO atrapy kamer powinny być zakazane, natomiast EROD uznaje je za dopuszczalne.

Nie ma przepisów które by zabraniały montowania atrap w firmie.

Zgodność atrap z RODO

Przyjmijmy że firma decyduje się do założenia atrap – co teraz zrobić? Jakie obowiązki ma spełnić żeby być zgodna z RODO? Czy w ogóle musi być zgodna z RODO? Czy RODO jej dotyczy?

RODO reguluje przetwarzanie danych osobowych. Pojawia się tutaj pytanie –  czy przy atrapach dochodzi do przetwarzania danych osobowych? Jeśli chodzi o atrapy, to nie mamy tu do czynienia z przetwarzaniem danych osobowych bo atrapa pozoruje monitoring. Wygląda jak monitoring, ale nie nagrywa czyli nie zapisuje i nie zbiera dane w postaci np. wizerunku. Skoro atrapa nie zbiera danych, nie ma mowy o przetwarzaniu danych osobowych.

Nawet ciężko jest sobie wyobrazić spełnianie obowiązku informacyjnego. Kto byłby Administratorem danych, jeśli nie ma żadnych danych? Jaki jest cel przetwarzania danych, jeśli nie ma żadnych danych? Jakie prawa przysługują w związku z danymi, jeśli nie ma żadnych danych?

Czy na pewno warto stosować atrapy monitoringu?

Zastanów się czy rzeczywiście chcesz te atrapy zamontować. Było wiele przypadków kiedy ktoś na przykład nie udzielił komuś pomocy bo wiedział że złodziej znajduje się w zasięgu kamery. Taka osoba  pomyślała sobie, że nie będzie ingerować, skoro i tak wszystko jest nagrane.

 Albo sytuacje, gdy ktoś potrzebujący pomocy wołał czy machał przed kamerą monitoringu bo myślał, że ktoś po drugiej stronie kamery go wspomoże. Niestety tak się nie stało ponieważ była to atrapa.

Należy się zastanowić, czy zastosowanie atrapy będzie adekwatne do celów który chcemy zrealizować i czy rzeczywiście nie przyniesie to więcej szkody niż pożytku.

Checklista Monitoring RODO

Na zakończenie chciałabym podzielić się z Tobą praktyczną checklistą, w której wskazałam najważniejsze pytania, które powinniście sobie zadać przeprowadzając weryfikację zgodności monitoringu z RODO.

Monitoring RODO - checklista

CO ZAPISUJE SIĘ W RAMACH MONITORINGU? 

Obraz? Dźwięk?

Jeśli dźwięk, to co do zasady niedopuszczalne. Uważa się to za nadmiarowe zbieranie danych, za zbieranie danych w zbyt dużej ilości nieadekwatnej do celu. Więcej na ten temat mówiłam: tu

Odpowiedziałeś sobie na powyższe pytania? Skoro tak – zastanów się teraz

W JAKIM CELU PROWADZISZ MONITORING WIZYJNY?

Czy w celu zapewnienia bezpieczeństwa pracowników? W celu  ochrony mienia?  W celu zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę? W celu kontroli jakości pracy pracowników? W celu kontroli czasu pracy pracowników? Nie wszystkie wymienione przeze mnie cele są zgodne z RODO i kodeksem pracy.

CZY MONITORING OBEJMUJE ….?

  • pomieszczenie sanitarne, szatnie, stołówki, palarnie, pomieszczeń socjalnych?

We wskazanych przeze mnie miejscach, tylko wyjątkowo monitoring może być zamontowany. Jeśli Twoja sytuacja jest wyjątkowa, musi dodatkowo spełniać rygorystyczne wymagania opisane w kodeksie pracy.

Co dalej? Kolejne pytanie dotyczy tego

JAK DŁUGO PRZECHOWUJESZ DANE Z MONITORINGU?

Co do zasady nie powinno się przechowywać danych dłużej niż 3 miesiące, chyba że przepisy prawa pozwalają dłużej.

Idźmy dalej, oceń teraz,

CZY DANE Z NAGRAŃ MONITORINGU SĄ NALEŻYCIE ZABEZPIECZONE?

Następnie zastanów się,

KTO MA DOSTĘP DO NAGRAŃ Z MONITORINGU WEWNĄTRZ FIRMY?

KTO MA DOSTĘP DO NAGRAŃ Z MONITORINGU Z FIRM ZEWNĘTRZNYCH?

Ostatni krok to weryfikacja tego

CZY POINFORMOWAŁEŚ PRACOWNIKÓW O STOSOWANYM MONITORINGU?

Przykładowo, jeśli jesteś zobowiązany do posiadania Regulaminu pracy, sprawdź czy wprowadziłeś i ogłosiłeś zmiany Regulaminu? Sprawdź czy skonsultowałeś postanowienia z działającymi u Ciebie związkami zawodowymi? Sprawdź czy wydałeś np. oświadczenie/obwieszenie lub w innej formie przekazałeś informacje odnośnie monitoringu swoim pracownikom?

Co natomiast z innymi osobami objętymi monitoringiem?

CZY POINFORMOWAŁEŚ INNE OSOBY OBJĘTE MONITORINGIEM O STOSOWANYM MONITORINGU?

Czy przygotowałeś odpowiednie klauzule informacyjne wymagane RODO? Czy umieściłeś je w miejscach dostępnych tym osobom? Czy oznaczyłeś je odpowiedni np. za pomocą piktogramów?


Jeśli jeszcze nie masz wdrożonego RODO w swojej firmie, skorzystaj z pakietu dokumentów, które w łatwy sposób wypełnisz dzięki moim instrukcjom wideo.

Wdrożenie RODO. Pakiet dokumentów + instrukcje wideo.