Zasady i wytyczne dotyczące wykorzystywania monitoringu wizyjnego Prelegent: Piotr Glen Ekspert ds. ochrony danych osobowych Administrator bezpieczeństwa informacji www.wiknet.net.pl
PODSTAWOWE DEFINICJE: Administrator danych –„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora; przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Dane osobowe „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
MONITORING WIZYJNY to, po spełnieniu określonych warunków, zbiór danych osobowych, to czynność przetwarzania danych Wykaz zbiorów Zgłoszenie do GIODO Rejestr zbiorów Rejestr czynności przetwarzania z RODO Podmioty systematycznie monitorujące na dużą skalę miejsca publicznie dostępne po 25 maja 2018 r. będą zobowiązane do dokonywania oceny skutków dla ochrony danych.
Zgodność przetwarzania z prawem Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: osoba, której dane dotyczą wyraziła zgodę …; przetwarzanie jest niezbędne do wykonania umowy…; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego … (np. ustawa o bezpieczeństwie imprez masowych); przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą …; przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (…) musi to się jednak wiązać z poszanowaniem praw i wolności osoby obserwowanej oraz wypełnianiem obowiązków ustawowych administratora danych. Art. 6 ust. 1 RODO
Kamery w przebieralni na łódzkim basenie http://www. polskatimes System monitoringu w "Wodnym Raju" budzi niepokój klientów pływalni. Pracownicy basenu twierdzą, że kamery obserwują tylko szafki i... nieostrożnych pływaków, którzy zanadto się do nich zbliżą. Jeśli zakładasz właśnie majteczki kąpielowe w przebieralni "Wodnego Raju" w Łodzi, to lepiej nie patrz w górę. Kto spojrzy, może przestraszyć się nie na żarty - zobaczy nad sobą kamerę. A co widzi kamera i kto ogląda przekazywany przez nią obraz? - tym zainteresowała się Fundacja Panoptykon z Warszawy, czyli najbardziej znana w Polsce organizacja zajmująca się przypadkami nadużyć wynikających z coraz bardziej powszechnego stosowania monitoringu. "Prosimy o wskazanie celu, uzasadniającego instalację systemu telewizji przemysłowej o zasięgu obejmującym obszar przebieralni" - napisał Panoptykon we wniosku do Miejskiego Ośrodka Sportu i Rekreacji w Łodzi, czyli właściciela "Wodnego Raju". Panoptykon zainterweniował po sygnale od jednej z użytkowniczek basenu.
Monitoring w szatniach, przebieralniach, toaletach (sklepów, basenów...) W sprawie zapytań o podstawę prawną pozwalająca na instalację kamer połączonych z monitoringiem systemu ochrony w przebieralniach i szatniach basenu MOSIR GIODO podejmuje działania z urzędu.
USTAWA z dnia …… 2018 r. Przepisy wprowadzające ustawę o ochronie danych osobowych Art. 5. W ustawie z dnia 26 czerwca 1974 r. − Kodeks pracy wprowadza się następujące zmiany: (…) Art. 224.§ 1. Dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. § 2. Monitoring nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. § 3. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów. § 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu.
Zasady dotyczące przetwarzania danych osobowych 1. Zasada legalności – przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); 2. Zasada celowości – zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (wyjątek stanowi dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych („ograniczenie celu”); 3. Zasada adekwatności- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); 4. Zasada merytorycznej poprawności - prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”); 5. Zasady ograniczenia czasowego - przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”); 6. Zasada integralności i poufności - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
Zasada proporcjonalności przy posługiwaniu się wideonadzorem dotyczy przede wszystkim wyboru odpowiedniej technologii, kryteriów wykorzystywania urządzeń w konkretnych sytuacjach oraz ustaleń dotyczących przetwarzania danych, odnoszących się także do zasad dostępu i okresu przechowywania. Zasada proporcjonalności oznacza także, że urządzenia służące do takiego nadzoru mogą być stosowane wyłącznie jako środki pomocnicze, gdy istnieje cel rzeczywiście uzasadniający ich użycie. Systemy te mogą być stosowane, gdy inne środki prewencyjne czy ochrony, niewymagające pozyskiwania obrazu, okażą się ewidentnie niewystarczające lub niemożliwe do zastosowania.
Realizacja obowiązku informacyjnego wobec osób, których dane osobowe pozyskane zostały za pomocą wideonadzoru Osoby muszą mieć świadomość, że w miejscu, w którym się znajdują, prowadzone są czynności wideomonitoringu. Tablice informujące o zainstalowanym monitoringu powinny być widoczne, syntetyczne, umieszczone w sposób trwały w niezbyt dużej odległości od nadzorowanych miejsc. Muszą także wskazywać cele działań nadzoru jak również administratora przetwarzania, natomiast wymiary tablic muszą być proporcjonalne do miejsca, gdzie są umieszczone. Opinie GR Art. 29 ds. ochrony danych osobowych
Obowiązek zabezpieczania zapisów z monitoringu przed dostępem osób nieuprawnionych Jeżeli nagranie zostałoby wykorzystane do innych celów (np. opublikowane w Internecie), wówczas podmiot danych może swoich praw dochodzić przed sądem. Dlatego m.in. jednostkom samorządu terytorialnego, które zdecydowały się na udostępnienie obrazu z kamer monitoringu w Internecie, GIODO zaleca dużą ostrożność. Wskazuje, że instalowanie kamer, za pośrednictwem których dostępny jest widok jakiegoś miejsca, powinno odbywać się w taki sposób, aby zastosowana rozdzielczość uniemożliwiała rozpoznanie znajdujących się tam osób.
Czy można zainstalować atrapy kamer monitoringu? Stanowisko Generalnego Inspektora Ochrony Danych Osobowych w tej kwestii jest niezmienne – stosowanie atrap powinno być zakazane. Atrapy kamer z jednej strony wprowadzają u potencjalnie monitorowanych poczucie ingerencji w sferę prywatności, a z drugiej mylne poczucie zwiększonego bezpieczeństwa. Niepożądane skutki związane z wykorzystaniem monitoringu, także z atrapami kamer, czy to w otwartej przestrzeni, jak np. boiska szkolne, czy też w zamkniętej, jak np. szatnie czy korytarze, mogą przeważać nad ewentualnymi korzyściami wynikającymi z ich stosowania i tym samym poddawać w wątpliwość skuteczność i adekwatność tego narzędzia w realizacji zamierzonego celu w danych okolicznościach.
Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ FINANSOWA
Dziękuję za uwagę Piotr Glen Tel. 501 639 692 Ekspert ds. ochrony danych osobowych Tel. 501 639 692 E-mail: piotr.glen@wiknet.net.pl Firma doradztwa gospodarczego specjalizująca się we wdrażaniu mechanizmów kontroli zarządczej i polityki bezpieczeństwa informacji www.wiknet.net.pl