Monitoring wizyjny jest coraz częściej spotykany w przestrzeni publicznej, jak i prywatnej. Na instalację mniej lub bardziej zaawansowanego systemu monitoringu decyduje się coraz więcej podmiotów. Kamery przed wejściem do bloku, w windzie czy przed wjazdem do garażu podziemnego już na trwałe wpisały się w otaczającą nas przestrzeń, stając się elementem naszej codzienności. Zasadniczo montaż kamer ma zwiększać bezpieczeństwo. Praktyka jednak pokazuje, że często dany cel można osiągnąć łatwiej, szybciej i taniej, a monitoring nierzadko jest zbędnym rozwiązaniem. Kiedy monitoring jest zgodny z RODO?
Monitoring wizyjny w dużym uproszczeniu służy nagrywaniu otoczenia, które jest objęte jego zasięgiem. Nagrania z monitoringu mogą zawierać wizerunki osób, które przebywały w obszarze monitorowanym. Ponieważ informacje te mogą służyć do bezpośredniej lub pośredniej identyfikacji tych osób (tj. w połączeniu z innymi informacjami), kwalifikuje się je jako dane osobowe. Za ochronę danych osobowych w Unii Europejskiej, a tym samym w Polsce odpowiada przede wszystkim Rozporządzenie 2016/679 czyli ogólne rozporządzenie o ochronie danych osobowych (zwane dalej: „RODO”). RODO zawiera jednak pewne wyłączenia. M.in. zgodnie z art. 2 ust. 2 lit. c) RODO przetwarzanie danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, jest poza zakresem RODO. Wyjątek ten nazywany jest jako „wyłączenie dla gospodarstw domowych”. W dużym skrócie, jeżeli kamery systemu monitoringu wizyjnego swoim zasięgiem obejmują wyłącznie prywatną nieruchomość, to taki system mieści się w wyłączeniu dla gospodarstw domowych. Z kolei w przypadku kiedy monitoring wizyjny swoim zakresem rozciąga się choćby częściowo na przestrzeń publiczną (lub strefę prywatną innego podmiotu – np. sąsiada), a tym samym jest skierowany poza sferę prywatną osoby dokonującej w ten sposób przetwarzania danych, to taki proces przetwarzania danych nie może zostać uznany jako czynność o czysto „osobistym lub domowym charakterze” w rozumieniu przepisów RODO. W takim przypadku osoba fizyczna może zostać uznana za administratora danych i w związku z tym będzie zobowiązana do realizacji obowiązków, które przewiduje RODO.
Reasumując, osoba fizyczna, która prowadzi monitoring wizyjny wyłącznie na swojej nieruchomości (wewnętrzny lub na zewnętrzny), a monitoring nie obejmuje przestrzeni wychodzącej poza jej teren, nie jest zobowiązana do stosowania przepisów RODO w tym zakresie.
Warto także podkreślić, że RODO nie zawiera podobnego wyłączenia w stosunku do podmiotów gospodarczych, tj. przedsiębiorców, stowarzyszeń czy też partii politycznych itp., w związku z tym każdy taki podmiot, który stosuje monitoring wizyjny staje się administratorem danych zarejestrowanych przez monitoring wizyjny i zobligowany jest do stosowania RODO.
Wskazać należy, że uzupełnieniem przepisów RODO są wytyczne lub wskazówki krajowych lub europejskich organów nadzorczych. We wskazówkach Prezesa Urzędu Ochrony Danych Osobowych z czerwca 2018 roku (dalej również jako: „Prezes UODO”), dotyczących wykorzystywania monitoringu wizyjnego wskazano, że z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na nośnikach danych. Zatem jeżeli na nagraniu nie można pośrednio lub bezpośrednio zidentyfikować danej osoby oraz obraz z monitoringu nie jest zapisywany na nośnikach danych, to nie ma przetwarzania danych osobowych, a co za tym idzie, RODO nie ma zastosowania.
RODO traktuje monitoring jako czynność przetwarzania danych osobowych, a tym samym zobowiązuje administratora danych do spełnienia określonych obowiązków, by było ono zgodne z prawem. Pojawia się zatem kolejne pytanie: jakie to obwiązki?
Po pierwsze, administrator przystępując do instalacji monitoringu musi mieć ku temu uzasadniony cel. Powyższe wynika bezpośrednio z art. 5 ust. 1 lit. b RODO, który stanowi że — Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”). Zgodnie ze Słownikiem Języka Polskiego „konkretny” to inaczej „istniejący realnie”, z kolei „wyraźny” to „dający się łatwo i jednoznacznie zrozumieć”. W związku z tym powyższa norma – niczym rama obrazu – określa granice, których administrator nie może przekroczyć przetwarzając dane osobowe. Co więcej, administrator nie może wykorzystywać danych zebranych w jednym celu do realizacji innych celów w ramach swojej działalności.
Po drugie, administrator przystępując do montażu monitoringu powinien legitymować się prawnie uzasadnionym celem. Najprościej rzecz ujmując cel musi być legalny. Zgodnie z artykułem 6 ust. 1 RODO legalne przetwarzanie danych osobowych może odbywać się na kilku podstawach, wśród których znajduje się tzw. prawnie uzasadniony interes administratora (art. 6 ust. 1 lit f RODO) i na tej przesłance skupimy się w dalszej części artykułu.
Chcąc być precyzyjnym warto wskazać, że art. 6 ust. 1 lit f stanowi, że: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Powyższa norma prowadzi do wniosku, że administrator przed montażem systemu monitoringu wizyjnego powinien przeprowadzić test uzasadnionego interesu administratora, w celu ustalenia czy swoim działaniem nie narusza interesów lub podstawowych praw i wolności osób objętych monitoringiem. Jakie to mogą być interesy i prawa osób objętych monitoringiem? Przyjąć można, że prawodawca europejski miał na myśli m.in. prawo do prywatności. Test uzasadnionego interesu administratora powinien wskazać konkretny, jasny i rzeczywiście niezbędny cel wprowadzenia monitoringu, a jednocześnie uzasadnić,
że jego interes góruje nad prawami, wolnościami i interesami osoby, której dane są przetwarzane.
W europejskich przepisach, które odnoszą się do ochrony danych osobowych próżno szukać definicji prawnie uzasadnionego interesu administratora. Brak takiej definicji wynika przede wszystkim z faktu, że rzeczywistość społeczna jest dynamiczna. Wszystko co nas otacza charakteryzuje się ciągłym rozwojem, a tym samym prowadzi do zmiany stosunków społecznych, gospodarczych i politycznych. Prawo chcąc „nadążać” za tak dynamiczną rzeczywistością musi posługiwać się pojęciami nieostrymi, które poprzez ich wykładnię umożliwiają adaptację tych pojęć do zmieniającej się sytuacji społeczno-gospodarczej. Z kolei powyższe przenosi na organy stosujące prawo, takie jak sądy lub Prezesa UODO, obowiązek nadania tym pojęciom odpowiedniej treści. Wynika to także z faktu, że niezwykle trudno stworzyć definicję, która miałaby zastosowanie do wszystkich możliwych przypadków. A jeśli nawet udałoby się stworzyć taką definicję to byłaby ona niezwykle obszerna i w związku z tym trudna do stosowania. Kluczowym z punktu widzenia administratora jest właściwe zidentyfikowanie kryteriów jakimi posługują się sądy oraz Prezes UODO, dokonując oceny, czy w konkretnym przypadku przetwarzanie danych osobowych jest legalne z uwagi na uzasadniony interes administratora.
Prawnie uzasadniony interes musi mieć wymiar realny i konkretny. Oznacza to, że przed uruchomieniem monitoringu musi zaistnieć sytuacja rzeczywistego zagrożenia, która determinuje uruchomienie takiego środka ochrony bezpieczeństwa lub mienia. Trybunał Sprawiedliwości Unii Europejskiej jak i polskie sądy uznają, że realny i konkretny interes administratora przemawiający za wprowadzeniem monitoringu, to sytuacja gdy dochodzi do postarzających się przypadków kradzieży, włamań lub aktów wandalizmu na terenie należącym do administratora danych. W związku z powyższym wprowadzenie monitoringu powinno być reakcją na powstałe w przeszłości zdarzenie, które godziło w interes administratora. Warto, aby administrator dysponował rejestrem tego typu zdarzeń. Inaczej mówiąc: im więcej administrator będzie posiadał dowodów na powtarzające się w przeszłości akty godzące w jego interes, tym łatwiej będzie mógł uzasadnić wprowadzenie monitoringu wizyjnego.
Z kolei niezbędność wprowadzenia monitoringu jest tym bardziej uzasadniona jeżeli wprowadzone uprzednio zabezpieczenia, które miały chronić przed tego typu zdarzeniami nie zdały egzaminu, jak choćby zainstalowanie przy wejściu do budynku domofonu lub zamka magnetycznego. Z orzeczeń polskich sądów wynika, że najpierw badają one czy administrator mógł skorzystać z mniej inwazyjnych środków ochrony swojej własności i bezpieczeństwa. Prowadzi to do wniosku, że administrator danych powinien w pierwszej kolejności wyczerpać inne środki służące ochronie swoich interesów, tak aby wprowadzenie monitoringu było odpowiedzią na nieefektywność wcześniejszych środków przez niego stosowanych.
Ostatnim krokiem jaki powinien podjąć administrator chcący korzystać z monitoringu wizyjnego jest przeprowadzenie procesu ważenia swoich uzasadnionych interesów względem interesów lub podstawowych praw i wolności osób, których dane dotyczą. O tym jak przeprowadzić taki proces pisaliśmy we wcześniejszym artykule opublikowanym na naszej stronie. Jakie obowiązki powinien spełnić administrator decydujący się na wprowadzenie monitoringu wizyjnego zostanie omówione w kolejnych częściach artykułu. Po więcej aktualnych informacji związanych z ochroną danych osobowych zapraszamy do częstego odwiedzenia naszej strony internetowej.