Monitoring wizyjny to zagadnienie, z którym zetknął się praktycznie każdy przedsiębiorca. O ile z perspektywy obowiązków pracodawcy został on uregulowany w art. 22² ustawy Kodeks pracy z dnia 26 czerwca 1974 r., o tyle przepisów prawa odnoszących się do przetwarzania danych osobowych klientów, kontrahentów, osób wyłącznie przebywających w obszarze monitorowanym w zasadzie brak. Rozstrzygając wątpliwości, które dotyczą monitoringu wizyjnego, zalecane jest stosowanie Wskazówek Prezesa Urzędu Ochrony Danych Osobowych dotyczących wykorzystywania monitoringu wizyjnego opublikowanych w czerwcu 2018 r. oraz analiza decyzji administracyjnych wydanych przez organ nadzorczy.

Czy ramach monitoringu wizyjnego przetwarzane są dane osobowe?

Co do zasady tak. Najczęściej będzie to wizerunek osób widocznych na nagraniu, cechy szczególne tych osoby, ich zachowanie, charakterystyczny ubiór. W przypadku stosowania monitoringu wizyjnego wokół budynków (np. na parkingach) mogą to być również numery rejestracyjnego pojazdów oraz nr VIN. Choć tutaj stanowiska sądów administracyjnych niejednokrotnie różnią się od siebie.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Jaka jest podstawa prawna przetwarzania danych osobowych zbieranych i utrwalanych w ramach monitoringu wizyjnego?

W przypadku danych osobowych pracowników Administratora będzie to art. 22² ustawy dnia 26 czerwca 1974 r. Kodeks pracy, zaś w przypadku innych osób np. klientów, kontrahentów – art.6 ust.1 lit. f) RODO tj.prawnie uzasadniony interes Administratora.

Co istotne podstawa prawna z art. 6 ust. 1 lit. f) RODO nie ma zastosowania do przetwarzania danych osobowych, którego dokonują organy publiczne w ramach wykonywanych zadań publicznych. W związku z powyższym organy publiczne mogą korzystać z monitoringu wizyjnego wyłącznie na podstawie obowiązujących przepisów prawa, które zezwalają na stosowanie tego rodzaju działanie lub w znacznym stopniu je ograniczają lub rozszerzają np. ustawa Prawo oświatowe lub ustawa o transporcie drogowym.

Należy również wyraźnie podkreślić, że Administrator danych osobowych może zastosować monitoring wizyjny, gdy jest on niezbędny, w szczególności do zapewnienia bezpieczeństwa lub ochrony mienia oraz osób przebywających w monitorowanym obszarze. Administrator danych może zatem legalnie korzystać z monitoringu wizyjnego do ww. celów, jeżeli będzie w stanie wykazać, że jest to faktycznie niezbędne do ich realizacji – z wyjątkiem sytuacji, w których nadrzędny charakter wobec interesu Administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dotyczą, jest dzieckiem.

Jakie są obowiązki przedsiębiorców związane z monitoringiem wizyjnym?

Pierwszym z obowiązków przedsiębiorców w zakresie monitoringu wizyjnego jest dokonanie oceny skutków dla ochrony danych osobowych (DPIA). Dokonanie ww. oceny jest konieczne, gdy operacje przetwarzania danych osobowych mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Pomocny w zakresie ustalenia rodzajów operacji, które podlegają takiej ocenie, jest załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Komunikat został ogłoszony w Monitorze Polskim w dniu 8 lipca 2019 r. i jest udostępniony na stronie: http://monitorpolski.gov.pl/MP/2019/666. W przypadku jakichkolwiek wątpliwości warto również wziąć pod uwagę stanowisko EROD, które wskazuje, że „biorąc pod uwagę typowe cele monitoringu wizyjnego (ochrona osób i mienia, wykrywanie przestępstw, zapobieganiem im oraz ich kontrola, gromadzenie materiału dowodowego i identyfikacja biometryczna podejrzanych), zasadne jest założenie, że w wielu przypadkach dotyczących monitoringu wizyjnego konieczne będzie przeprowadzenie oceny skutków dla ochrony danych”.

Drugim z obowiązków związanych z przetwarzaniem danych osobowych w ramach monitoringu wizyjnego jest spełnienie wobec osób, których dane dotyczą obowiązku informacyjnego z art. 13 RODO. Najczęściej obowiązek ten jest realizowany poprzez umieszczenie w widocznym miejscu objętym monitoringiem piktogramu zawierającego kamerę wraz z danymi kontaktowymi Administratora oraz Inspektora Ochrony Danych (jeśli został wyznaczony), a także okresu  przechowywania nagrań z monitoringu. Obowiązek informacyjny może również zostać spełniony w tzw. formie warstwowej z przekierowaniem np. do strony internetowej, na której opublikowana jest informacja w pełnej treści.

Trzecim z obowiązków związanych z przetwarzaniem danych osobowych w ramach monitoringu wizyjnego jest zawarcie z zewnętrznym podmiotem obsługującym taki monitoring umowy powierzenia przetwarzania danych osobowych. Jeżeli nagrania z monitoringu wizyjnego przechowywane są na naszym rejestratorze, dyskach, serwerach, zaś ich obsługą zajmują się wyłącznie pracowników przedsiębiorcy (bez dostępu osób spoza organizacji), wówczas takiego obowiązku co do zasady nie będzie.

Kolejnym z obowiązków przedsiębiorcy związanych z monitoringiem wizyjnym jest udzielanie odpowiedzi na wnioski dot. udostępnienia nagrań z monitoringu wizyjnego. O ile w przypadku wniosków składanych przez organy publiczne, w szczególności organy ścigania sprawa jest dość prosta ( organy działają w granicach i na podstawie przepisów prawa), o tyle wnioski osób prywatnych mogą nastręczać trudności , w szczególności w zakresie celu udostępnienia tego rodzaju nagrań.

Co istotne, okres przechowywania nagrań z monitoringu w polskim porządku prawnym nie jest jednoznacznie wskazany. Zgodnie art.  22² §  3 ustawy Kodeks pracy – nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. Ww. przepisy dot. wyłącznie pracodawców. Okres 3 miesięcy jest wskazany jako maksymalny, natomiast niejednokrotnie zdarzają się przypadki, w których może on okazać się zbyt długi. 

Administrator powinien również pamiętać, aby zastosować odpowiednie środki organizacyjne i techniczne zapewniające bezpieczeństwo nagrań z monitoringu wizyjnego np. kontrola dostępu do nagrań, odpowiednie zabezpieczenie rejestratorów.

Podsumowanie

Monitoring wizyjny jest powszechnym narzędziem wykorzystywanym przez przedsiębiorców do zwiększenia bezpieczeństwa, czy ochrony mienia. Jego stosowanie wiąże się jednak z szeregiem obowiązków prawnych. Niedopełnienie może prowadzić do poważnych konsekwencji – zarówno finansowych, jak i wizerunkowych.

Przedsiębiorcy, którzy decydują się na instalację kamer, muszą działać zgodnie z przepisami RODO, Kodeksu pracy oraz ustawami branżowymi. Kluczowe znaczenie ma poszanowanie prywatności osób nagrywanych, prawidłowe informowanie o monitoringu oraz ograniczenie jego zakresu do niezbędnego minimum.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja