20180903 monitoring a rodoNie sposób nie odnieść wrażenia, że w mass media doniesienia dotyczące wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO, pojawiły się dopiero 25 maja 2018 roku, a więc w momencie, kiedy generalnie wszyscy przedsiębiorcy powinni być gotowi do spełniania wszelkich obowiązków, jakie nakłada na nich RODO. Również dopiero w dniu 25 maja 2018 roku weszła w życie polska ustawa o ochronie danych osobowych, która również dostosowuje szereg przepisów innych polskich ustaw do stosowania RODO. Jednym z zagadnień, które zostały uregulowane przez polską ustawę jest monitoring. Jak po 25 maja 2018 roku stosować monitoring? Czy stosowanie monitoringu jest legalne?

Czym są dane osobowe?
    Celem odpowiedzi na powyższe pytania, w pierwszej kolejności należy ustalić, czy poprzez stosowanie monitoringu przetwarzamy dane osobowe.  Zgodnie z art. 4 pkt 1) RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Według RODO, możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczegółowych czynników określających fizyczną, fizjologiczną, genetyczną psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Z mojej praktyki wynika, że przedsiębiorcy przyjmują, iż w przypadku gdy na podstawie danych osobowych, nie są w stanie wskazać osobę z imienia i nazwiska, to nie mamy do czynienia z danymi osobowymi. Tak jak w przypadku monitoringu – to że utrwalimy wizerunek osoby fizycznej (który zgodnie z definicją zawartą w RODO niewątpliwie jest daną osobową), nie oznacza, że jesteśmy z stanie wskazać ją z imienia i nazwiska. Niestety, twierdzenia takie są błędne. Uzasadnia to chociażby literalne brzmienie powołanego przepisu, które wskazuje wprost, że do identyfikacji może dojść, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko. Użycie „w szczególności” oznacza, że jest to jedna, ale nie jedyna forma identyfikacji osoby. Ogólnie rzecz biorąc, można uważać osobę fizyczną za „zidentyfikowaną”, jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Osoba fizyczna jest też „możliwa do zidentyfikowania”, jeżeli mimo że nie została jeszcze zidentyfikowana, taka identyfikacja jest możliwa . Co więcej jak wskazuje Grupa Robocza ds. ochrony danych osobowych powołana na mocy art. 29 (Opinia 4/2007 w sprawie pojęcia danych osobowych przyjęta w dniu 20 czerwca 2007 roku; opinie Grupy Roboczej stanowią kluczową wskazówkę interpretacyjną postanowień RODO) „w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania osoby”. Oznacza to, że czysto hipotetyczna możliwość odróżnienia osoby nie wystarcza, żeby uznać tę osobę za „możliwą do zidentyfikowania”. Jeżeli biorąc pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba, prawdopodobieństwo zidentyfikowania osoby nie istnieje lub jest nieznaczne, osoba ta nie powinna zostać uznana za „możliwą do zidentyfikowania”, a informacji nie należy uważać za dane osobowe. Ale czy taka sytuacja zachodzi w przypadku monitoringu? Wydaje się, że nie, ponieważ jak dalej traktuje Grupa Robocza, krajowe organy ds. ochrony danych osobowych zetknęły się ze sprawami, w których administrator twierdził, że przetwarza jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym czynniku identyfikującym i przekonywał, że dane nie powinny być uważane za dane osobowe i nie powinny podlegać przepisom dotyczącym ochrony danych osobowych. Jednak przetwarzanie takich informacji ma sens jedynie wtedy, jeżeli umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania. W przypadkach gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, „jakimi można się posłużyć” w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczą cym ochrony danych. Co istotne, Grupa Robocza wprost oparła się na przykładzie nadzoru wideo, wskazując, że celem monitoringu wizyjnego każdorazowo jest identyfikacja osób fizycznych, nawet gdy do identyfikacji w praktyce dojdzie tylko wobec niektórych osób utrwalonych na zapisach.

Czy stosując monitoring przetwarzamy dane osobowe?
    Odpowiedź znajdziemy w definicji przetwarzania zawartej w  art. 4 ust. 1 RODO, która wskazuje, że „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Z powyższej definicji możemy niewątpliwie wyprowadzić wniosek, że podczas stosowania monitoringu przedsiębiorca dokonuje przetwarzania danych osobowych.

20180903 monitoring a rodo 2

RODO a monitoring
    Skoro ustaliliśmy, że poprzez stosowanie w działalności przedsiębiorcy monitoringu przetwarzamy dane osobowe osób, których wizerunek został utrwalony, wskazać należy na pewne zasady przetwarzania danych, które będą wskazówką do prowadzenia monitoringu zgodnego z RODO.
    Zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą, zbierane w konkretnych, wyraźnie i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, prawidłowe i w razie potrzeby uaktualniane (należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane), przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane, a także przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zatem powołany przepis konstytuuje 6 zasad przetwarzania danych osobowych: zgodność z prawem, ograniczenie celu, minimalizacja danych, prawidłowość danych, ograniczenie czasowe przetwarzania, a także integralność i poufność.
    W zakresie realizacji ww. zasad, zwrócić należy uwagę na art. 111 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych, która weszła w życie 25 maja 2018 roku. Na mocy powołanego przepisu, polski ustawodawca w ustawie z dnia 26 czerwca 1974 roku – Kodeks pracy (Dz.U. z 2018 r. poz. 108, 4, 138, 305 i 357) postanowił dodać przepisy statuujące i określające zasady stosowania monitoringu.
    Powyższe jednoznacznie wskazuje, iż stosowanie monitoringu, wbrew pojawiającym się doniesieniom, nie jest nielegalne. Jednakże, aby spełnić zasadę zgodności z prawem przetwarzania, monitoring musi być niezbędny do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Dopiero wtedy przedsiębiorca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół pracy w postaci środków technicznych umożliwiających rejestrację obrazu. Co istotne, poprzez monitoring ustawodawca określa rejestrację obrazu, nie zaś dźwięku.
    Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu przetwarzania i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady i wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.
    Ustawodawca wprowadził także ograniczenie czasowe przetwarzania – nagrania obrazu mogą być przechowywane przez okres nieprzekraczający 3 miesięcy od dnia nagrania. Przechowywanie zapisów przez czas przekraczający 3 miesiące będzie poczytywane jako naruszenie zarówno zasady legalności, jak i zasady czasowego ograniczenia przetwarzania.
    Jednocześnie polska ustawa o ochronie danych osobowych uwzględniła przypadki, kiedy nagranie monitoringu może stanowić dowód w postępowaniu prowadzonym na podstawie prawa lub gdy pracodawca powziął wiadomość, że nagrania mogą stanowić dowód w postępowaniu – a więc de facto w przypadkach dla których monitoring jest wprowadzony. Wówczas termin 3 miesięcy, ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. Co do zasady po upływie tych terminów, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu – a więc muszą być usunięte w sposób uniemożliwiający odczyt.     
    Przedsiębiorca zatrudniający pracowników jest także zobowiązany poinformować pracowników o stosowanym przez siebie monitoringu. Powinien zrobić to w sposób przyjęty w danym przedsiębiorstwie, jednak nie później niż 2 tygodnie przed jego uruchomieniem. Ustawodawca jednocześnie zobowiązał pracodawcę do ustalenia celu, zakresu oraz sposobu zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Co także istotne, pracodawca przed dopuszczeniem pracownika do pracy powinien poinformować go na piśmie o celach, zakresie i sposobie zastosowania monitoringu w miejscu pracy. Wymagane jest także od pracodawców, aby pomieszczenia i teren monitorowany oznaczony był w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. Zastosowanie tutaj mogą znaleźć standardowe znaki graficzne przedstawiające kamerę.
    Oczywiście w związku z brakiem okresu przejściowego pojawiło się pytanie, co zrobić, gdy monitoring w dacie wejścia w życie RODO już obowiązuje. Wskazuje się, że w przypadku gdy zostały spełnione podstawowe i wręcz oczywiste warunki legalności monitoringu – pracownicy zostali o tym poinformowani, informacja o monitoringu znajduje się w widocznym miejscu - organ nadzorczy w dniu 25 maja 2018 roku nie powinien tego zakwestionować, niemniej, należy obligatoryjnie poinformować pracowników o stosowaniu monitoringu i wprowadzić odpowiednie zapisy do dokumentacji wewnętrznej pracodawcy. Ustawa nie przewiduje wyjątków od tej zasady.

Jak Administrator ma realizować obowiązek informacyjny?
    Wprowadzenie rygorystycznego obowiązku informacyjnego dla administratorów danych jest jedną z najbardziej odczuwalnych zmian dla przedsiębiorców, którą wprowadzają postanowienia RODO. Jednak nie jest to instytucja absolutnie nowa, ponieważ uprzednio obowiązująca ustawa o ochronie danych osobowych przewidywała taki obowiązek, ale w mocno okrojonej formie.
    Co istotne, zasygnalizowana już okoliczność, iż pracodawca zobowiązany jest to umieszczenia w widocznym miejscu informacji graficznej lub ogłoszeń dźwiękowych o stosowanym monitoringu, nie narusza przepisów art. 12 i art. 13 RODO. Oznacza to, że niezależnie od wskazanego wyżej obowiązku, przedsiębiorca zobligowany jest przez ustawodawcę do podejmowania odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i jasno dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą wszelkich informacji dotyczących przetwarzanych danych i zasadach ich przetwarzania, a także prowadzić z nią wszelką komunikację w sprawie przetwarzania. Jak zatem zrealizować obowiązek informacyjny?
    Przyjmuje się, że wystarczające jest umieszczenie pod oznaczeniem graficznym informacji wskazanych w art. 13 RODO, a mianowicie, administrator powinien umieścić między innymi następujące, przykładowe informacje:

  1. Swoją tożsamość i dane kontaktowe, a także gdy ma to zastosowanie – swojego przedstawiciela.
  2. Dane inspektora ochrony danych osobowych (w praktyce są to m.in. adres korespondencyjny, telefon kontaktowy, czy też dedykowany adres e-mail; przepisy nie nakładają obowiązku wskazania imienia i nazwiska, jednak można zauważyć tendencję także do wskazywania tych identyfikatorów).
  3. Cel przetwarzania danych osobowych (należy pamiętać, aby określenie celu przetwarzania nie było podane w sposób ogólnikowy – przetwarzanie danych w celach nieokreślonych lub określonych tak nieprecyzyjnie, że są nieograniczone lub niejasne powoduje, że przetwarzanie nie jest zgodne z prawem).
  4. Podstawa prawna przetwarzania – katalog podstaw legalizujących przetwarzanie danych osobowych znajdziemy w art. 6 ust. 1 RODO w zakresie danych zwykłych; w przypadku monitoringu zazwyczaj wskazywany jest art. 6 ust. 1 lit f) RODO – wówczas administrator musi wskazać uzasadnione interesy realizowane przez administratora, dla których przetwarzanie jest niezbędne.
  5. Informacje o odbiorcach danych osobowych lub kategoriach odbiorców (podmioty, którym ujawnia się dane osobowe; RODO nie uznaje za odbiorców danych organy publiczne, które mogą otrzymywać dane w ramach konkretnego postępowania na podstawie prawa.
  6. Gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. Okres przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (por. powyższe rozważania dotyczące ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych).
  8. Informacje o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli przetwarzanie odbywa się w sposób sprzeczny z RODO lub krajowymi przepisami regulującymi ochronę danych osobowych.   

Przetwarzanie danych niewymagających identyfikacji
    Jak pogodzić ochronę danych osobowych, w szczególności, jak realizować prawa osób, których dane dotyczą (m.in. prawo do bycia zapomnianym) z przetwarzaniem danych nieustrukturyzowanych, takim jak monitoring? Odpowiedź na to pytanie przewiduje art. 11 RODO. Powołany artykuł dotyczy sytuacji, gdy konkretna działalność w danej chwili nie wymaga wiedzy o tym, czyje dane przetwarzamy. W praktyce, w przypadku monitoringu przetwarzamy dane osób, których nie znamy, a które poznajemy w określonych przypadkach w momencie gdy osoba, której dane dotyczą lub inna osoba uprawniona do uzyskania informacji zgłosi takie żądanie. Do tego czasu gdy mamy do czynienia z tzw. danymi niezidentyfikowanymi, RODO nie nakłada na przedsiębiorcę obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą wyłącznie po to żeby zastosować się do RODO. Co więcej zastanowić się należy, czy w przypadku gdyby administrator danych każdorazowo, w stosunku do każdej osoby, której dane osobowe utrwalone zostały na zapisach monitoringu, monitorował swój wiedzy o każdej osobie, której dane przetwarzamy, nie stanowiłoby to nadmiernej ingerencji w prywatność (tak: Gawroński Maciej, Przetwarzanie danych niewymagające identyfikacji, opubl. LEX/El. 2018). Artykuł 11 RODO jest to swego rodzaju wyraz intencji regulatora unijnego, aby w dążeniu do zachowania zgodności z RODO, nie podejmować działań bezcelowych, nieuzasadnionych i nadmiernych.
    Zatem w przypadku gdy cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15-20 RODO (dotyczących realizacji praw jednostki takich jak: prawo do bycia zapomnianym, prawo dostępu do danych), chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.  Z powyższego wynika, iż administrator w miarę możliwości (sformułowanie to jest istotne – nie nakłada obowiązku, a bardziej wskazuje kierunek działania) powinien poinformować osobę, której dane osobowe przetwarza o tym, że nie jest w stanie jej zidentyfikować. Przepis ten może brzmieć kuriozalnie, a nawet wewnętrznie sprzecznie, ale prawdopodobnie uwzględniając pewną niejasność tego przepisu regulator unijny nie zdecydował się na nałożenie obowiązku na administratora. Dlatego też wydaje się uzasadnione, aby w związku z realizacją obowiązku informacyjnego (niezmiennie obowiązującego art. 13 RODO) wskazać informację, że w związku ze specyfiką monitoringu wizyjnego nie ma możliwości identyfikacji przetwarzanych danych osobowych. Dlatego też w celu realizacji przysługującego  prawa dostępu do treści swoich danych oraz prawa ich sprostowania, usunięcia, ograniczenia przetwarzania, prawa do przenoszenia danych, podmioty danych muszą dostarczyć administratorowi dodatkowe informacje, które pozwolą na ich identyfikacje.
    Niezależnie od powyższego, przedsiębiorca musi mieć na uwadze, iż przetwarzanie danych „niezidentyfikowanych” nie zwalnia go z obowiązku zachowania należytego stopnia bezpieczeństwa i ochrony posiadanych danych.
    Reasumując – stosowanie monitoringu nie jest nielegalne, ale tylko w przypadku gdy wprowadzone jest w sposób zgody z RODO oraz polską ustawą o ochronie danych osobowych.


Katarzyna Kosik, Senior Associate, Kancelaria Prawna „Świeca i Wspólnicy” sp.k.

Pin It

 

bg
pi