Europejska Rada Ochrony Danych (EROD) opublikowała wytyczne dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo. Do 9 wrześnie 2019r. można zgłaszać uwagi do wytycznych, po ich zebraniu i przeanalizowaniu zostaną wydane wytyczne w ostatecznym kształcie. Poniżej przestawione zostaną dwa istotne zagadnienia, które zostały zawarte ww. wytycznych. 

Obowiązek informacyjny 

RODO nakłada na administratora tzw. obowiązek informacyjny, tj. przekazanie osobie, której dane dotyczą informacji dotyczących m.in. tożsamości administratora, celu przetwarzania danych osobowych i podstawach prawnych, czy prawach przysługujących osobie, której dane przetwarzamy. Obowiązek ten musi zostać spełniony także w przypadku stosowania monitoringu wizyjnego.

 

Wytyczne EROD zawierają wskazówki dotyczące realizacji obowiązku informacyjnego. Rada przedstawiła przykład realizacji tego obowiązku na dwóch płaszczyznach. Pierwsza z nich ma być realizowana w postaci tabliczki wywieszonej w obszarze przetwarzania. Druga ma umożliwić zainteresowanej osobie uzyskanie szczegółowych informacji np. w sekretariacie czy portierni podmiotu, który jest administratorem.

Pierwsza płaszczyzna zakłada przekazanie najważniejszych informacji. Na tym etapie administrator może przekazać je z zastosowaniem znaku ostrzegawczego czy też innego zrozumiałego symbolu. Dodatkowo wskazano, że wstępna informacja powinna być umieszczona w rozsądnej odległości od monitorowanego miejsca, tak by osoby fizyczne mogły uniknąć nadzoru i zrezygnować ze wstępu na teren, który objęty jest monitoringiem wizyjnym. W pierwszej płaszczyźnie oprócz znaku graficznego, powinny zostać zawarte najważniejsze informacje, do których EROD zaliczył: cel przetwarzania, określenie administratora danych, wzmiankę o istnieniu praw podmiotów danych, czy też opis uzasadnionego interesu administratora danych i kontakt z administratorem, bądź powołanym inspektorem ochrony danych.

Druga płaszczyzna, powinna być umieszczona w miejscu łatwo dostępnym dla zainteresowanego, np. informacja, portiernia, sekretariat. W pierwszej z płaszczyzn musi zostać zawarta informacja, gdzie osoba zainteresowana uzyska komplet informacji, tj. gdzie znajduje się druga płaszczyzna. Wskazuje się na możliwość zastosowania kodu QR z odniesieniem do wersji cyfrowej kompletnej klauzuli informacyjnej, bądź też wskazanie linku do strony internetowej zawierającej informacje o szczegółach przetwarzania danych osobowych. EROD wskazuje jednak, że cyfrowa wersja klauzuli informacyjnej nie może wykluczyć realizacji obowiązku informacyjnego w wersji tzw. papierowej.

 

Podstawa prawna przetwarzania danych osobowych 

Najczęstszą podstawą prawną przetwarzania danych za pomocą monitoringu wizyjnego jest art. 6 ust. 1 lit. f RODO, tj. przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora danych oraz w art. 6 ust. 1 lit. e RODO, tj. przetwarzanie niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.

Rada w swoich wytycznych najszerzej odniosła się do prawnie uzasadnionego interesu administratora czyli rzeczywistych ryzykownych sytuacji, potrzebie ochrony mienia przed włamaniem, kradzieżą, czy też wandalizmem. Podkreślone zostało, że uzasadniony interes musi wynikać z potrzeby aktualnej i rzeczywistej, a administrator może wykazać tę potrzebę poprzez udokumentowanie odpowiednich incydentów z przeszłości. Uzasadniony interes do stosowania monitoringu wizyjnego może wynikać również z konkretnej branży i statystyk zdarzeń dla niej ryzykownych, np. dla sklepów jubilerskich czy stacji paliw.

Rada wskazała także, że administrator powinien ocenić, czy adekwatne do zagrożeń nie będą inne środki bezpieczeństwa w miejsce monitoringu wizyjnego, takie jak np.: zaangażowanie personelu ochrony, lepsze oświetlenie, okna i drzwi antywłamaniowe, czy też ogrodzenie obszaru.

Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu administratora danych powinno być poprzedzone balansem, tj. oceną czy interes administratora nie narusza prywatności oraz praw i wolności podmiotów danych.