Prawne aspekty gromadzenia danych monitoringu wizyjnego w miejskich systemach monitoringu wizyjnego Michał Mazur Departament Informatyki Biuro Generalnego Inspektora Ochrony Danych Osobowych Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa www.giodo.gov.pl kancelaria@giodo.gov.pl Sulejów, 25 października 2017 r. 1

PLAN PREZENTACJI Monitoring w Polsce – Aktualny stan prawny Co konkretnie zmieni się w przepisach? Jak przetwarzać dane z monitoringu zgodnie z nowymi przepisami, w aspekcie technicznym i organizacyjnym? Jak dokonać oceny skutków dla ochrony danych? Podsumowanie.

1. Monitoring w Polsce Aktualny stan prawny

Dobra osobiste Dane osobowe Prywatność 1. Monitoring w Polsce – Aktualny stan prawny Dobra osobiste Prywatność Dane osobowe

1. Monitoring miejski w Polsce – Aktualny stan prawny Gdzie kamery są zainstalowane? Kto siedzi po drugiej stronie? Kto je wykorzystuje? Czemu służą? Co dzieje się z nagraniami? Jak długo są przechowywane? Kto ma dostęp do nagrań? Czy są gdzieś przechowywane i jeśli tak to jak długo?

1. Monitoring miejski w Polsce – Aktualny stan prawny Kiedy mówimy o danych osobowych? Dane osobowe to informacje o zidentyfikowanej bądź możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba to osoba, którą można pośrednio bądź bezpośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

1. Monitoring miejski w Polsce – Aktualny stan prawny Przepisy o ochronie danych osobowych można zastosować do monitoringu, jeśli jest on wykorzystywany w celu przetwarzania danych osobowych. Przetwarzanie to operacje na danych osobowych takie jak np. zbieranie, utrwalanie, przechowywanie, przeglądanie, udostępnianie, rozpowszechnianie czy niszczenie. Czyli z przetwarzaniem danych osobowych mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na konkretnym nośniku. Z danymi osobowymi mamy do czynienia także w sytuacji, kiedy system, który jest instalowany równolegle z monitoringiem, umożliwia powiązanie konkretnych nagrań z konkretną osobą.

z monitoringiem wizyjnym. 1. Monitoring miejski w Polsce – Aktualny stan prawny Obecnie w polskim porządku prawnym brakuje ustawy kompleksowo regulującej zagadnienia związane z monitoringiem wizyjnym.

1. Monitoring miejski w Polsce – Aktualny stan prawny Monitoring znajdziemy m.in. w ustawie: o policji – art. 15 ust 1 pkt 5a o strażach gminnych (art. 11 ust. 2); Rozporządzenie Rady Ministrów z 16 grudnia 2009 r. o bezpieczeństwie imprez masowych Art. 11 ust.1; Rozporządzenie MSWiA z 10 stycznia 2011 r. w sprawie sposobu utrwalania przebiegu imprezy masowej; Kodeks Postępowania Cywilnego - art. 158 § 5; Rozporządzenie Ministra Sprawiedliwości z 2 marca 2015 r. w sprawie zapisu dźwięku albo obrazu i dźwięku z przebiegu posiedzenia jawnego; Kodeks Karny Wykonawczy - art.73a; Rozporządzenie MS z 16 października 2009 r. w sprawie rodzaju urządzeń i środków technicznych służących do przekazywania, odtwarzania i utrwalania obrazu lub dźwięku z monitoringu w zakładach karnych; o grach hazardowych - art. 15b; Rozporządzenie Ministra Finansów z dnia 6 kwietnia 2012 r. w sprawie audiowizyjnego systemu kontroli gier w kasynie gry.

1. Monitoring miejski w Polsce – Aktualny stan prawny Obszary nieuregulowane: Supermarkety, sklepy, hale targowe; Restauracje, kawiarnie; Szkoły, przedszkola, biblioteki, muzea; Banki i inne instytucje finansowe; Obiekty służby zdrowia; Spółdzielnie i wspólnoty mieszkaniowe; Środki transportu publicznego; Osoby prywatne (w zakresie obejmującym przestrzeń publiczną lub inne posesje.

MONITORING MIEJSKI / WIZYJNY 1. Monitoring miejski w Polsce – Aktualny stan prawny Przybliżona ilość zarejestrowanych zbiorów u Generalnego Inspektora Ochrony Danych Osobowych dotyczących monitoringu 659 408 w 2017 r. MONITORING MIEJSKI / WIZYJNY

2. Co konkretnie zmieni się w przepisach?

2. Co konkretnie zmieni się w przepisach? Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Przepisy rozporządzenia będą miały zastosowanie od 25 maja 2018 r. W skrócie: RODO Pierwszy akt prawny wchodzący w skład polskiego porządku prawnego, który w sposób bezpośredni wiąże zagadnienie monitoringu wizyjnego z regulacjami o ochronie danych osobowych.

2. Co konkretnie zmieni się w przepisach? Przepisy RODO znoszą obowiązek rejestracji zbiorów danych osobowych u organu nadzorczego. Przepisy RODO wprowadzają pewne nowe obowiązki o charakterze formalnym: Proaktywne podejście (privacy by design, privacy by default), Inwentaryzacja danych i wymagania związane z dokumentacją, Zgłaszanie naruszenia ochrony danych do organu nadzorczego, Ocena skutków dla ochrony danych

3. Jak przetwarzać dane z monitoringu zgodnie z nowymi przepisami?

3. Jak przetwarzać dane zgodnie z nowymi przepisami? Proaktywne podejście art. 24 RODO (obowiązki administratora) art. 25 RODO Uwzględnianie ochrony w fazie projektowania „Uwzględniając, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia” art. 32 RODO Bezpieczeństwo przetwarzania „Uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia” art. 35 RODO Ocena skutków dla ochrony danych „Jeżeli dany rodzaj przetwarzania, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności (…)”

3. Jak przetwarzać dane zgodnie z nowymi przepisami? Proaktywne podejście UWZGLĘDNIANIE OCHRONY DANYCH W FAZIE PROJEKTOWANIA (privacy by design - art. 25 ust. 1 RODO) Zarówno: przy określaniu sposobu przetwarzania, jak i w czasie samego przetwarzania Administrator wdraża odpowiednie środki techniczne i organizacyjne, (np. anonimizacja - blurring), zaprojektowane w celu: skutecznej realizacji zasad ochrony danych (np. minimalizacja danych), nadania przetwarzaniu niezbędnych zabezpieczeń (by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą).

3. Jak przetwarzać dane zgodnie z nowymi przepisami? Proaktywne podejście DOMYŚLNA OCHRONA DANYCH (privacy by default - art. 25 ust. 2 RODO) Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były te dane osobowe, które są Niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania Obowiązek ten odnosi się do: Ilość zbieranych danych osobowych, Zakres ich przetwarzania, Okres ich przechowywania, Ich dostępności

3. Jak przetwarzać dane zgodnie z nowymi przepisami? Proaktywne podejście Wywiązywanie się z obowiązków można wykazać między innymi poprzez: stosowanie zatwierdzonego kodeksu postępowania(art. 40), lub zatwierdzonego mechanizmu certyfikacji (art. 42).

3. Jak przetwarzać dane zgodnie z nowymi przepisami? Inwentaryzacja danych i wymagania związane z dokumentacją Niektóre z dokumentów wypracowanych dotychczas będzie można nadal stosować. Do takich dokumentów możemy zaliczyć m.in.: upoważnienia do przetwarzania danych, ewidencję osób upoważnionych do przetwarzania oraz klauzule zgody na przetwarzanie danych osobowych. Obowiązek prowadzenia rejestru: Czynności przetwarzania (każdy administrator bądź jego przedstawiciel) Kategorii czynności przetwarzania (każdy podmiot przetwarzający bądź jego przedstawiciel) Naruszeń ochrony danych osobowych (dokumentacja powinna obejmować okoliczności, skutki i podjęte działania)

3. Jak przetwarzać dane zgodnie z nowymi przepisami? Zgłaszanie naruszenia ochrony danych do organu nadzorczego W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

4. Jak dokonać oceny skutków dla ochrony danych?

Ocena skutków dla ochrony danych 4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 1 Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Jak rozumieć ryzyko naruszenia praw lub wolności osób fizycznych? Motyw 75 i 89 RODO Nowe technologie, Operacje przetwarzania są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków, Przetwarzanie może prowadzić do uszczerbku fizycznego lub szkód, w szczególności jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe.

Czemu ma służyć ocena skutków dla ochrony danych? Motyw 84 RODO 4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Czemu ma służyć ocena skutków dla ochrony danych? Ocena skutków dla ochrony danych ma prowadzić do wyboru właściwych środków ochrony danych osobowych. Motyw 84 RODO „(…) w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi ryzyka (..) Wyniki oceny należy uwzględniać przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych odbywa się zgodnie z niniejszym rozporządzeniem.

Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego 4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 2 lit c): Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Przepisy nie ograniczają się jedynie do monitoringu prowadzonego przez podmioty publiczne. Znaczenie ma sposób jego wykorzystania a nie kto nim administruje.

Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego 4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Pojęcie dużej skali – motyw 91 RODO Przetwarzanie znacznej ilości danych na szczeblu regionalnym, krajowym lub ponadnarodowym, Mogą wpłynąć na dużą liczbę osób, których dane dotyczą Mogą powodować wysokie ryzyko (nowa technologia) Czego to pojęcie nie obejmuje? np. dane dotyczące pacjentów lub klientów przetwarzane przez pojedynczego lekarza czy prawnika.

Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego 4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Kto nie podlega obowiązkowi przeprowadzenia oceny? Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze Jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi Czyli przepis prawa UE bądź krajowego, któremu podlega administrator i prawo to reguluje taką operację przetwarzania lub zestaw operacji a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej (chyba, że państwo uzna by to administrator dokonał oceny przed rozpoczęciem przetwarzania).

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Inwentaryzacja Opis planowanych operacji przetwarzania i celów przetwarzania, gdy ma to zastosowanie – również opis prawnie uzasadnionych interesów realizowanych przez administratora) Ocena Ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów Ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą Planowanie Opis środków planowanych w celu zaradzeniu ryzyku

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Inwentaryzacja Opis planowanych operacji Zestawienie wszystkich czynności, wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przeglądanie, wykorzystywanie, ograniczanie, usuwanie lub niszczenie. Zestawienie wszystkich środków wykorzystywanych do tych operacji: np. lokalizacja urządzeń monitorujących, ich zabezpieczenia, rodzaj oprogramowania, czas i miejsce tworzenia kopii zapasowych, kto ma dostęp do monitoringu, komu jest udostępniany.

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Inwentaryzacja Opis planowanych operacji Zestawienie zagrożeń np.: udostepnienie obrazu z monitoringu osobom nieupoważnionym, przetwarzanie z naruszeniem przepisów, zmiana lub uszkodzenie nagrań z podatnościami np..: - Warunki lokalowe, organizacyjne, osobowe, techniczne

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Inwentaryzacja Opis planowanych operacji przetwarzania i celów przetwarzania, gdy ma to zastosowanie – również opis prawnie uzasadnionych interesów realizowanych przez administratora) Ocena Ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów Ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą Planowanie Opis środków planowanych w celu zaradzeniu ryzyku

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Ocena, np.: Określono środki wpływające na niezbędność i proporcjonalność przetwarzania w oparciu o: konkretny, wyraźny i prawnie uzasadniony cel (art. 5 ust 1 lit b.) zgodność przetwarzania z prawem (art. 6) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów (art. 5 ust 1 lit c) ograniczenie okresu przechowywania (art. 5 ust 1 lit e) Środki przyczyniające się do praw osób, których dane dotyczą: Informacje udzielone osobie, której dane dotyczą (art. 12, 13 i 14) Prawo do sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu (art. 16-19, 21)

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Inwentaryzacja Opis planowanych operacji przetwarzania i celów przetwarzania, gdy ma to zastosowanie – również opis prawnie uzasadnionych interesów realizowanych przez administratora) Ocena Ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów Ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą Planowanie Opis środków planowanych w celu zaradzeniu ryzyku

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Inwentaryzacja Opis planowanych operacji przetwarzania i celów przetwarzania, gdy ma to zastosowanie – również opis prawnie uzasadnionych interesów realizowanych przez administratora) Ocena Ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów Ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą Planowanie Opis środków planowanych w celu zaradzeniu ryzyku

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Art. 35 ust 7 RODO – co powinna zawierać ocena skutków? Środki jakie można wdrożyć w celu zaradzeniu ryzyku: Wdrożenie odpowiednich środków organizacyjnych i technicznych (szyfrowanie, pseudonimizację, zapewnienie ciągłości działania, testowanie, ocenianie skuteczności środków itp.), Wdrożenie polityk ochrony danych (art. 24 ust 2) Zastosowanie rozwiązań w zakresie privacy by design i privacy by default, Podpisanie umów z podmiotami przetwarzającymi dane osobowe w imieniu administratora (art. 28), Dopuszczenie do przetwarzania danych osób, które przetwarzają je wyłącznie na polecenie administratora (art. 29) Wyznaczenie Inspektora Ochrony Danych (art. 37)

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Inne obowiązki związane z przetwarzaniem danych przy użyciu monitoringu wizyjnego: Konsultacja z organem nadzorczym przed rozpoczęciem przetwarzania jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowana tego ryzyka (art. 36) Wyznaczenie Inspektora Ochrony Danych, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (art. 37 ust. 1 pkt. b).

4. Jak dokonać oceny skutków dla ochrony danych? Ocena skutków dla ochrony danych w systemach monitoringu wizyjnego Kary administracyjne Do 10 000 000 euro, a w przypadku przedsiębiorstw do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kara wyższa.

5. Podsumowanie

PODSUMOWANIE Od 25 maja 2018 – to administrator będzie musiał ocenić prawidłowość zabezpieczeń przetwarzanych danych osobowych, Uwzględnianie ochrony danych osobowych na etapie projektowania rozwiązań oraz domyślna ochrona danych w zakresie monitoringu wizyjnego pozwala spełnić wymagania RODO, Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wymaga dokonania oceny skutków dla ochrony danych. Z uwagi na specyficzny sposób przetwarzania danych istotnym jest by administrator należycie zadbał o systematyczny opis operacji przetwarzania.

PODSUMOWANIE My oceniamy prawidłowość zabezpieczeń, Uwzględniamy ochronę przed wdrożeniem monitoringu, Systematyczny monitoring = oceny skutków dla ochrony danych. Dbamy o dokumentację przetwarzania danych

Dziękuję za uwagę. m_mazur@giodo.gov.pl Polecana literatura: Treść rozporządzenia: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL Wytyczne dotyczące oceny skutków dla ochrony danych (WP 248) – http://ec.europa.eu/newsroom/document.cfm?doc_id=47711 (wersja anglojęzyczna, polska jest w trakcie tłumaczenia) Wytyczne dotyczące inspektorów ochrony danych (WP 243) http://www.giodo.gov.pl/pl/file/12390 Wytyczne GIODO dotyczące monitoringu w szkołach http://www.giodo.gov.pl/pl/file/11915 Opinia 3/2010 w sprawie zasady rozliczalności http://giodo.gov.pl/pl/file/5347 Opinia 7/2013 w sprawie szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych http://giodo.gov.pl/pl/file/6383 Dziękuję za uwagę. m_mazur@giodo.gov.pl