RODO w monitoringu wizyjnym

Telewizja przemysłowa, monitoring wizyjny czy CCTV, to określenia dla systemów klasyfikowanych w Ustawie o ochronie osób i mienia jako zabezpieczenie techniczne – systemy elektroniczne. Normy (dobrowolnego stosowania), które wspierają zastosowanie CCTV w zabezpieczeniach to seria PN-EN 62676, w tym najbardziej pomocna w zrozumieniu zastosowań: PN-EN 62676-1-1:2014-06 – Systemy dozorowe CCTV stosowane w zabezpieczeniach — Część 1-1: Wymagania systemowe — Postanowienia ogólne.

Dane osobowe w CCTV?

Definicja danych osobowych nie zmieniła się znacząco od 20 lat. Nadal co do zasady są to dwie definicje:

  1. Dane dotyczące zidentyfikowanej osoby
  2. Dane identyfikujące osobę.

W przypadku systemów monitoringu wizyjnego możemy mieć do czynienia z obiema „grupami” danych. Szczególnie w przypadku obiektów, na których dodatkowo jest realizowana kontrola dostępu, niezależnie czy na podstawie systemów elektronicznych, jak i tradycyjnych (posterunek stały, z kontrolą i książką wejść), będziemy mieć do czynienia ze zidentyfikowaną osobą.

Kto jest właścicielem?

Ważnym aspektem w przypadku systemów monitoringu wizyjnego jest to, że w wielu przypadkach są one własnością chronionych firm. Oznacza to, że agencje ochrony i jej pracownicy pracują na systemach klienta i w wielu przypadkach dochodzi tutaj do powierzenia przetwarzania danych osobowych agencji ochrony, bądź upoważnienia do przetwarzania pracowników ochrony (czynność samodzielna administratora). Za przetwarzanie danych osobowych, zabezpieczenie ich i ewentualne przekazywanie odpowiedzialni są właściciele obiektów i to na nich również ciąży obowiązek dopełnienia wszelkich wymagań z RODO oraz nowelizowanego Kodeksu Pracy.

Nowe regulacje

Z dniem wejścia w życie przepisów RODO, weszły w życie również przepisy Ustawy z dnia 10 maja 2018, o ochronie danych osobowych (Dz. U. 1000, z 2018). Poza regulacjami w zakresie samych danych osobowych, pojawiły się przepisy precyzujące zastosowanie systemów monitoringu wizyjnego czy monitorowania  poczty elektronicznej pracowników. Art. 111 wprowadza do Kodeksu Pracy, art. 22(2) następujące, dozwolone cele stosowania monitoringu:

  1. Zapewnienie bezpieczeństwa pracownikom
  2. Ochrona mienia
  3. Kontrola produkcji
  4. Zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

W regulacji wskazano również pomieszczenia, które co do zasady należy wyłączyć spod obserwacji. Są to pomieszczenia socjalne, palarnie, stołówki, szatnie, czy pomieszczenia udostępniane organizacjom związkowym. Pod pewnymi restrykcjami można jednak stosować monitoring tych pomieszczeń, jeśli jest to niezbędne do realizacji jednego z czterech wspomnianych wyże celów.

W jaki sposób uregulować monitorowanie?

Art. 22(2) dodawany przez cytowaną Ustawę, w paragrafie 6 wskazuje, że cele stosowanego monitoringu wizyjnego, zakres jego prowadzenia oraz sposób zastosowania musi zostać uregulowany. Dla zakładów objętych układem zbiorowym, należy to uczynić w układzie zbiorowym. Dla zakładów powyżej 50 osób zatrudnionych – w Regulaminie Pracy, a dla tych poniżej progu, podobnie jak są regulowane inne istotne elementy organizacji, w obwieszczeniu.

Jest to wyrażeniem zasady obowiązującej w RODO, że osoba, której dane dotyczą ma prawo do pełnej wiedzy, gdzie jej dane są przetwarzane, w jaki sposób i do jakich celów.

Informacja o monitorowaniu

Ważnym aspektem, który do dnia 25 maja nie był regulowany w żaden konkretny sposób, jest wymóg poinformowania pracowników o fakcie monitorowania zakładu pracy oraz pomieszczeń. Według nowych przepisów wykonane to ma być na kilka sposób (łącznie):

  1. Poprzez informację w regulaminie, obwieszczeniu lub układzie zbiorowym (patrz punkt powyżej);
  2. W sposób przyjęty w zakładzie pracy, na dwa tygodnie przed rozpoczęciem monitorowania, np. poprzez tablice ogłoszeń, czy informacje wysłane mailem – na dwa tygodnie przed rozpoczęciem monitorowania;
  3. Poprzez system odpowiednich znaków lub system dźwiękowy (systemy nagłośnienia, DSO), nie później niż na jeden dzień przed uruchomieniem;
  4. Przed dopuszczeniem do pracy – pisemnie.

Retencja danych, czyli okres przechowywania

Zmiany w Kodeksie Pracy zmieniają też kwestie przetwarzania danych osobowych w systemach monitoringu wizyjnego. O ile do dnia 25 maja 2018 można było się posługiwać jako przesłanką legalności – uzasadnionym interesem administratora (która w RODO znajduje się w art. 6.1.f), o tyle w tym przypadku przepis w randze ustawy określa maksymalny czas retencji danych (okresu przechowywania). Jest to:

  1. Okres nieprzekraczający 3 miesięcy;
  2. W przypadkach, gdy zapis z monitoringu wizyjnego stanowi dowód w postepowaniu na podstawie przepisu prawa lub pracodawca powziął informację, iż mogą stanowić dowód w postępowaniu, termin ten został określony jako „do momentu prawomocnego zakończenia postępowania”.

Komentarz

Uregulowanie

Obecnie systemy monitoringu wizyjnego funkcjonują dość dowolnie. W niektórych obiektach i u niektórych przedsiębiorców regulacje wewnętrzne zostały już dawno wprowadzone. W innych przypadkach działały w oparciu o przepisy uchylonej już Ustawy o ochronie danych osobowych z 1997 roku. W niektórych nie są uregulowane w żaden sposób.

Wprowadzana regulacja wymusi na pracodawcach, którzy administrują systemami uporządkowanie tej kwestii, zgodnie z duchem RODO, które dla przypomnienia nie ma na celu ochrony danych osobowych, a osoby fizyczne, w związku z przetwarzaniem ich danych osobowych.

Retencja

Niepokoić może jedynie krótka retencja (okres przechowywania) danych osobowych. Dla przypomnienia, czyny o najniższej społecznej szkodliwości, podlegające karaniu, a więc wykroczenia, przedawniają się po roku, chyba że wszczęto postępowanie, to po 2 latach. A nie zawsze ujawnienie nastąpi tak szybko. Na szczęście ustawodawca przewidział, że nawet samo wszczęcie podstępowania bywa dość czasochłonne i zawarł furtkę, w której administrator (pracodawca) może wydłużyć ten okres w związku z podejrzeniem zaistnienia sytuacji, która dalej będzie prowadzona w trybie określonym w przepisach prawa.

Takie podejście utrzymuje bardzo istotną przesłankę odmowy do usunięcia danych (wyłączenia prawa do bycia zapomnianym), którą jest obrona, dochodzenie lub ustalenie roszczeń (art. 17 RODO).

O autorze

Autor zajmuję się bezpieczeństwem informacji, w tym danych osobowych od 2000 roku. Pełnił funkcje ABI, CISO w instytucjach administracji publicznej. Wdrażał i realizował ochronę danych osobowych, audyty i szkolenia w wielu firmach krajowych, koncernach i korporacjach międzynarodowych. Ochroną fizyczną osób i mienia zajmuje się od 1995 roku.