RODO a MONITORING

Monitoring CCTV (telewizja przemysłowa) jest powszechnie stosowany w celu poprawy bezpieczeństwa i ochrony mienia. Jednakże, aby instalacja systemu monitoringu była zgodna z przepisami, należy spełnić wymogi określone przez RODO (Rozporządzenie o Ochronie Danych Osobowych) oraz przepisy krajowe, takie jak Kodeks Pracy i Kodeks Cywilny w Polsce. Poniżej przedstawiono kluczowe aspekty prawne monitoringu zgodne z RODO.


1. Celowość przetwarzania danych osobowych (Artykuł 5 RODO)

  • Zgodnie z RODO, dane mogą być przetwarzane wyłącznie wtedy, gdy jest to konieczne i uzasadnione. Oznacza to, że montaż kamer CCTV powinien mieć jasno określony cel, na przykład ochronę mienia lub zapewnienie bezpieczeństwa pracowników.
  • Administrator (osoba lub podmiot odpowiedzialny za monitoring) musi udowodnić, że monitoring jest niezbędny do realizacji tego celu i nie narusza nadmiernie prywatności osób.

2. Minimalizacja danych (Artykuł 5, ust. 1 lit. c RODO)

  • Zasada ta mówi, że monitoring powinien obejmować wyłącznie te obszary, które są niezbędne dla celu monitoringu. Oznacza to, że należy unikać monitorowania miejsc prywatnych, takich jak toalety, czy rejestrowania przestrzeni poza terenem obiektu.
  • W Polsce zasada ta jest również wspierana przez przepisy Kodeksu Cywilnego (Art. 23 i Art. 24), które chronią prywatność osób i zakładają, że monitorowane mogą być jedynie obszary ogólnodostępne, jeśli jest to niezbędne.

3. Obowiązek informacyjny (Artykuł 13 RODO)

  • Osoby przebywające w monitorowanym obszarze muszą być odpowiednio poinformowane o stosowaniu monitoringu. Tablice lub oznaczenia informujące o obecności kamer powinny być umieszczone w widocznych miejscach przed wejściem do monitorowanego terenu.
  • Informacja ta powinna zawierać takie dane, jak:
    • fakt stosowania monitoringu,
    • kto jest administratorem danych,
    • cel przetwarzania danych,
    • kontakt do administratora.
  • W Polsce obowiązek informacyjny regulowany jest również przez przepisy Kodeksu Pracy (Art. 22[2] § 6), które wymagają, by pracownicy byli informowani o monitoringu przed jego wprowadzeniem.

4. Okres przechowywania nagrań (Artykuł 5 ust. 1 lit. e RODO)

  • RODO wymaga, aby dane były przechowywane tylko przez czas niezbędny do realizacji celu przetwarzania, a następnie usunięte lub nadpisane. Zazwyczaj okres ten nie przekracza 30 dni, choć w szczególnych przypadkach (np. w procesach prawnych) może być wydłużony.
  • Przestrzeganie okresu przechowywania nagrań jest także regulowane przez Ustawę o ochronie danych osobowych w Polsce.

5. Bezpieczeństwo przetwarzanych danych (Artykuł 32 RODO)

  • Administrator danych musi zadbać o odpowiednie zabezpieczenie nagrań przed nieuprawnionym dostępem, przypadkowym usunięciem czy utratą. Wymaga to m.in. stosowania zabezpieczeń takich jak hasła do systemów CCTV, kontrola dostępu oraz regularne aktualizacje oprogramowania.
  • W Polsce obowiązek ten wynika również z zapisów Ustawy o ochronie danych osobowych, która nakłada na administratora obowiązek ochrony przetwarzanych danych osobowych.

6. Prawo do dostępu i usunięcia danych (Artykuł 15 i 17 RODO)

  • Zgodnie z RODO, każda osoba ma prawo do uzyskania dostępu do swoich danych oraz ich usunięcia (prawo do bycia zapomnianym), o ile nie narusza to prawnie uzasadnionych interesów administratora. W praktyce oznacza to, że osoba zarejestrowana przez monitoring może zwrócić się do administratora z prośbą o dostęp do nagrań, jeśli są jej one potrzebne.
  • Polskie przepisy także chronią prawo obywateli do prywatności, szczególnie na podstawie Kodeksu Cywilnego (Art. 23 i Art. 24).

7. Ocena wpływu na prywatność (Artykuł 35 RODO)

  • W przypadkach, gdy monitoring może prowadzić do naruszenia prywatności osób (np. w przestrzeni publicznej), konieczne jest przeprowadzenie oceny wpływu na prywatność (DPIA). Ocena ta pozwala oszacować ryzyko dla prywatności osób i pomóc w jego minimalizacji.
  • Obowiązek ten dotyczy zwłaszcza dużych systemów monitoringu i jest wymagany zarówno przez RODO, jak i polskie przepisy Ustawy o ochronie danych osobowych.

8. Przetwarzanie danych przez osoby trzecie (Artykuł 28 RODO)

  • Jeśli monitoring jest obsługiwany przez firmę zewnętrzną, konieczne jest zawarcie z nią umowy powierzenia przetwarzania danych. Umowa ta określa zasady, na jakich firma ta przetwarza dane i zabezpiecza je zgodnie z RODO.
  • Przykładem stosowania tej zasady jest korzystanie przez firmy zewnętrzne z monitoringu na terenie obiektów publicznych lub komercyjnych.

9. Monitorowanie w miejscu pracy (Kodeks Pracy, Art. 22[2])

  • W przypadku stosowania monitoringu na terenie firmy, pracodawca jest zobowiązany do wcześniejszego poinformowania pracowników oraz wyjaśnienia celu monitoringu. Kodeks Pracy w Polsce (Art. 22[2]) określa, że monitoring nie może naruszać prywatności pracowników w miejscach szczególnie chronionych, takich jak toalety czy pomieszczenia socjalne.
  • Zgodnie z przepisami, monitoring powinien być stosowany wyłącznie w uzasadnionych przypadkach i nie może być wykorzystywany do ciągłej inwigilacji pracowników.

Podsumowanie

Stosowanie monitoringu zgodnie z RODO wymaga przestrzegania wielu zasad dotyczących ochrony danych osobowych i prywatności. Administratorzy systemów monitoringu muszą zadbać o odpowiednie zabezpieczenia techniczne i organizacyjne oraz dostosować systemy do obowiązujących przepisów, w tym polskich regulacji prawnych. Prawidłowa instalacja monitoringu CCTV, zgodna z RODO i przepisami polskiego prawa, to nie tylko kwestia zgodności z przepisami, ale także odpowiedzialne podejście do ochrony prywatności.