Poniżej prezentujemy tylko wybrane zagadnienia, którymi zajmowały się organy, w szczególności najciekawsze elementy wytycznych EROD.
Jak udostępnić dane z monitoringu, gdy utrwala on jednocześnie dane dotyczące innych osób?
Zagadnieniem wywołującym częste wątpliwości jest zakres i sposób udostępniania przez administratora danych osobowych utrwalanych za pomocą monitoringu wizyjnego. Z jednej strony RODO gwarantuje osobie, które dane dotyczą, prawo dostępu do przetwarzanych danych (art. 15 RODO), co w przypadku przetwarzania danych w drodze monitoringu wiąże się z obowiązkiem udostępnienia jego zapisu zainteresowanemu. Z drugiej strony możliwa i częsta jest sytuacja, w której za pomocą monitoringu rejestrowane i przechowywane są dane więcej niż jednej osoby w tym samym czasie. Może więc okazać się, że udostępnienie zapisu z monitoringu osobie zainteresowanej mogłoby wiązać się z udostępnieniem wizerunku także innych osób utrwalonych na tym zapisie. Jak wobec tego powinien zachować się administrator danych? Czy należy przyjąć, że realizując prawo dostępu do danych powinien on udostępnić zapis także w sytuacji, gdy widoczne są na nim inne osoby? Czy wręcz przeciwnie, chroniąc dane osób postronnych może w takiej sytuacji odmówić udostępnienia danych? Odpowiedzi na to pytanie próżno szukać w treści aktów prawnych regulujących zagadnienia ochrony danych osobowych. Pewne wskazówki znajdują się jednak w Wytycznych 3/2019 Europejskiej Rady Ochrony Danych (EROD) w sprawie przetwarzania danych osobowych przez urządzenia video, przyjętych 10 lipca 2019 r (zwanych dalej „Wytycznymi”). W świetle punktu 93 Wytycznych całkowicie niedopuszczalna byłaby sytuacja, w której administrator danych udostępniałby wizerunki osób trzecich w związku z żądaniem udostępnienia swoich danych przez inną osobę. Wskazano jednak, że ochrona praw osób trzecich nie może stanowić wymówki i dostatecznie usprawiedliwiać odmowy udostępnienia danych osobie, której dane dotyczą. Administrator danych powinien natomiast wdrożyć takie środki techniczne, które pozwalałyby mu na spełnienie żądania udostępnienia danych zainteresowanemu bez ujawniania wizerunku innych osób. Jako środek do realizacji powyższego celu wskazano anonimizację wizerunku osób innych niż osoba wnioskująca o udostępnienie, w szczególności poprzez zamazanie lub zamaskowanie wizerunku tych osób. Prezentowane podejście do zagadnienia stwarza wiele problemów praktycznych, gdyż możliwości edycji zapisu monitoringu są ograniczone, skomplikowane, czasochłonne dla osób dokonujących edycji lub wiążą się ze znacznymi nakładami finansowymi. Ponadto wątpliwości może budzić sam fakt zapewnienia ochrony danych osobowych osób trzecich poprzez anonimizację wizerunku innych osób. W przeciwieństwie do pseudonimizacji anonimizacja jest obecnie pojęciem nienormatywnym i oznacza usunięcie wszystkich informacji umożliwiającą identyfikację osoby, której dane dotyczą. Anonimizacja jest zatem procesem nieodwracalnym. Można więc wyobrazić sobie sytuację, w której administrator danych nie będzie mógł wywiązać się z obowiązku udostępnienia danych osobie uprawnionej poprzez udostępnienie zapisu z monitoringu właśnie dlatego, że udostępnił on tożsamy zapis innemu uprawnionemu dokonując jednocześnie anonimizacji wizerunku osoby wnioskującej o udostępnienie danych w terminie późniejszym.
Jak długo można i należy przechowywać obraz z monitoringu w sklepie wielobranżowym w świetle RODO?
Regulacje dotyczące ochrony danych osobowych nie zawierają precyzyjnych wskazań dotyczących okresu przechowywania (okresu retencji) danych osobowych, w tym danych utrwalonych na obrazie pochodzącym z monitoringu. W związku z tym określenie przez administratora okresu przechowywania takich danych powinno nastąpić z uwzględnieniem ogólnych zasad przetwarzania danych wymienionych w RODO. Zgodnie z wyrażoną w art. 5 ust. 1 lit c RODO zasadą minimalizacji danych, dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Zgodnie natomiast z art. 5 ust. 1 lit e RODO dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Aby udzielić odpowiedzi na pytanie o okres retencji danych z monitoringu należy w pierwszej kolejności określić cel przetwarzania tych danych. Zastosowanie monitoringu w sklepach zmierza zwykle do zapewnienia bezpieczeństwa, ochrony towaru przed kradzieżą oraz zabezpieczenia materiału dowodowego. W takiej sytuacji poniesienie przez administratora danych szkody na skutek kradzieży lub uszkodzenia towaru może zostać stwierdzone w ciągu jednego lub dwóch dni. Ustalenie dłuższego okresu przechowywania danych wymaga precyzyjnego wykazania, że w danych okolicznościach cel przetwarzania usprawiedliwia przechowywanie danych przez ten dłuższy okres. Tym samym okres przechowywania musi być dopasowany i dostosowany do celu przetwarzania. Określenie okresu retencji należy do obowiązków administratora i odbywa się na jego odpowiedzialność. Tytułem przykładu wskazać można właściciela sklepu wielobranżowego, który zakłada i przetwarza dane z monitoringu w celu wykrycia aktów kradzieży lub wandalizmu. Stwierdzenie tego rodzaju naruszeń jest zazwyczaj możliwe w czasie nie dłuższym niż 24 godziny, stąd za wystarczający należy uznać właśnie 24 godzinny okres retencji obrazu pochodzącego z monitoringu. Warto jednak zaznaczyć, że okres ten może ulec wydłużenie w przypadku kilkudniowego zamknięcia sklepu ze względu na weekend, święta lub okres wakacyjny. Jeżeli zatem sklep administratora danych pozostaje zamknięty w trakcie długiego weekendu np. przez 4 lub 5 dni, to wydłużenie okresu retencji danych z monitoringu do wskazanych 4 lub pięciu dni można uznać za usprawiedliwione i niestanowiące naruszenia zasady minimalizacji przetwarzania danych. Warto także zaznaczyć, że wykrycie powstania szkody uzasadnia zabezpieczenia nagrania na okres dłuższy – niezbędny do ewentualnego wykrycia sprawcy i dochodzenia odszkodowania.
Zasady i warunki oznaczenia obiektów objętych monitoringiem wizyjnym
Zgodnie z art. 12 ust. 1 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Powyższa zasada ma zatem zastosowanie również w przypadkach przetwarzania danych w drodze monitoringu. Osoba, której dane są przetwarzane, ma prawo do pełnej, precyzyjnej informacji co do tego, że wkracza strefę monitorowaną. Przepisy dotyczące ochrony danych osobowych nie precyzują w taki sposób informacja o zastosowaniu monitoringu wizyjnego powinna być przedstawiona. Wskazówki dotyczące tego zagadnienia można częściowo odnaleźć w aktach o charakterze opiniodawczym, tj. w Opinii 4/2004 Grupy roboczej art. 29 ds. Ochrony Danych w sprawie przetwarzania danych osobowych przy nadzorze z użyciem kamer video oraz w Wytycznych 3/2019 Europejskiej Rady Ochrony Danych (EROD) w sprawie przetwarzania danych osobowych przez urządzenia video, przyjętych 10 lipca 2019 r (zwanych dalej „Wytycznymi”). W powyższych aktach zaproponowano informowanie osoby, której dane mają być przetwarzane, na dwóch etapach. Pierwszy zakłada przedstawienie podmiotowi, którego dane mają być przetwarzane, znaku graficznego bądź tekstowego wskazującego w sposób jednoznaczny, że wchodzi w obszar monitorowany. Format znaku lub informacji tekstowej powinien być określony z uwzględnieniem lokalizacji, w której ma występować. Informacja ta powinna być przy tym zamieszczona nie tylko w miejscu widocznym, lecz przy tym w stosownej odległości od obszaru monitorowanego tak, by jej adresaci zapoznali się z informacją zanim znajdą się w obszarze monitorowanym i mieli możliwość rezygnacji z wejścia w ten obszar. Informacja ta nie musi informować o dokładnym rozmieszczeniu kamer, o ile adresat informacji nie ma wątpliwości który obszar jest nadzorowany w drodze monitoringu.
Na pierwszym etapie osoba, które dane mają zostać przetworzone w drodze monitoringu, powinna zostać poinformowana o tożsamości i danych kontaktowych administratora danych, celach stosowania monitoringu i prawach związanych z przetwarzaniem jej danych. Informacja ta powinna także wskazywać okres retencji danych. W przypadku braku informacji o okresie przechowywania danych adresat informacji ma bowiem prawo zakładać, że obraz monitoringu jest utrwalany w czasie rzeczywistym i nie jest przechowywany. Pierwszy etap powinien również nawiązywać do możliwości uzyskania szerszych informacji o sposobie i warunkach przetwarzania na drugim etapie.
Drugi etap informowania powinien również być realizowany w miejscu powszechnie dostępnym dla odbiorcy, np. udostępniony w formie papierowej w kasie lub recepcji lub w formie ogólnie – widocznego plakatu. Dopuszczalna jest również sytuacja, w której adresat uzyskuje na pierwszym etapie informację o możliwości zapoznania się z zakresem informacji prezentowanym na etapie drugim w formie elektronicznej. Drugi etap informacji powinien swoim zakresem odpowiadać informacjom wymienionym w art. 13 RODO.
r.pr Michał Pęczkowski