Monitoring wizyjny w świetle RODO
Obowiązujące od dnia 25 maja 2018 roku Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), potocznie zwane RODO wprowadza nową jakość w zakresie przetwarzania danych osobowych. Jakość tę można definiować m. in. poprzez nałożenie na podmioty przetwarzające dane osobowe szeregu obowiązków, których spełnienie ma prowadzić do zapewnienia bezpieczeństwa osób, których dane osobowe podlegają przetwarzaniu. Ważnym elementem tych obowiązków jest posiadanie przez administratorów danych osobowych oraz procesorów, którzy przetwarzają dane osobowe na polecenie administratora oraz w ich imieniu, odpowiednich procedur regulujących sposoby przetwarzania danych osobowych (np. Regulamin funkcjonowania monitoringu wizyjnego). Drugim istotnym zagadnieniem jest korzystanie z takich środków technicznych, które zapewnią integralność, poufność i dostępność danych osobowych.
Powyższe uwagi dotyczą także przetwarzania danych osobowych w ramach tak zwanego monitoringu wizyjnego. Na wstępie należy wskazać, iż RODO nie określa zasad prowadzenia monitoringu. Dopiero uchwalona w dniu 10 maja 2018 roku ustawa o ochronie danych osobowych (Dz. U. poz. 1000) reguluje w odniesieniu do poszczególnych sektorów zasady przetwarzania danych osobowych w ramach monitoringu wizyjnego. Niestety ww. ustawa nie objęła swoim zakresem przetwarzania danych osobowych przy zastosowaniu monitoringu wizyjnego w częściach wspólnych budynków należących do wspólnot mieszkaniowych, jak również wokół tych budynków. Powyższe oznacza, iż w tym zakresie stosowanie monitoringu wizyjnego będzie oparte na dotychczasowych doświadczeniach, uzupełnionych o wymagania wynikające z RODO, a w szczególności podstawowe zasady przetwarzania danych osobowych.
Niewątpliwie do czasu opublikowania przepisów prawa regulujących omawianą materię, funkcjonowanie monitoringu wizyjnego będzie oparte na interpretacjach przepisów prawa, które w praktyce mogą prowadzić do odmiennych rozwiązań. Powyższe zastrzeżenie powinno prowadzić do przyjęcia podejścia, które za cel będzie stawiało osiągnięcie wysokiego poziomu ochrony praw i wolności osób, których dane podlegają przetwarzaniu. W praktyce powinno to się przejawiać we właściwym określeniu celu przetwarzania danych, zasad ich udostępniania, czy też czasu przechowywania. Administrator danych osobowych korzystający z monitoringu wizyjnego powinien, w celu sprostania ww. wymogom RODO, przyjąć politykę monitoringu określającą ww. zagadnienia, ale także odnoszące się np. do środków technicznych zapewniających bezpieczeństwo stosowanego monitoringu.
Administrator i podmiot przetwarzający decydując się na stosowanie monitoringu wizyjnego zobowiązani są do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa uwzględniający stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Administrator powinien w związku ze stosowaniem monitoringu wizyjnego:
- prowadzić dokumentację opisującą sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne (np. w formie projektu systemu monitoringu opisującego ilość, rodzaj i ustawienia kamer, miejsca wyłączone z pola obserwacji kamer, parametry kamer i obrazu),
- dopuszczać do przetwarzania danych tylko osoby upoważnione i prowadzić ewidencję osób upoważnionych,
- zawrzeć umowy powierzenia przetwarzania danych osobowych, jeżeli prowadzenie monitoringu przekazywane jest podmiotom zewnętrznym,
- zabezpieczyć infrastrukturę systemu monitoringu wizyjnego przed nieautoryzowaną ingerencją w ustawienia systemu, nieuprawnionym dostępem, przejęciem lub zniszczeniem nagrań oraz zakłóceniem obrazów przekazywanych przez kamery (np. rozmieszczenie monitorów wyświetlających nagranie monitoringu wizyjnego w sposób uniemożliwiający osobom postronnym podgląd obrazu).
Reasumując stosowanie monitoringu wizyjnego to nie tylko fizyczne jego zainstalowanie, ale co istotne uregulowanie tego procesu w odpowiednich regulaminach. Dopiero wówczas będzie możliwe uznanie, iż przetwarzanie danych osobowych przy zastosowaniu monitoringu wizyjnego opiera się na podstawach prawnych.