Możliwość stosowania monitoringu wizyjnego, to jedno z narzędzi jakie ma do dyspozycji pracodawca, mające realny wpływ nie tylko na bezpieczeństwo prowadzonej działalności, ale także zatrudnionych czy przebywających na kontrolowanym przez niego terenie osób. Obecne uwarunkowania prawne umożliwiając stosowanie tego rozwiązania, nakładają jednocześnie szereg obowiązków jakie musi spełnić lub zapewnić pracodawca w zakresie stosowania monitoringu wizyjnego i jego zgodności z RODO. Co zatem zrobić, aby stosowany monitoring posiadał zgodność z RODO ?
Krok pierwszy – zgodność z przepisami prawa
Wejście w życie przepisów regulujących stosowanie miało miejsce prawie równolegle z rozpoczęciem obowiązywania w naszym kraju RODO, czyli 25 maja 2018 roku. Główne uwarunkowania w tym zakresie zawarto w zapisach kodeksu pracy – Art. 22² oraz 22³, gdzie pierwszy ustęp odnosi się do danych z samego systemu monitoringu wizyjnego a drugi do możliwości monitorowania systemów teleinformatycznych. Przy tworzeniu dokumentacji dotyczącej tego obszaru warto również uwzględnić zapisy zawarte w Art. 5 RODO, określającym zasady przetwarzania danych.
Podstawy prawne regulujące stosowanie monitoringu będą także inne dla określonych podmiotów, w odniesieniu do działalności prowadzonych prywatnie jaki i instytucji państwowych. W przypadku tych pierwszych przesłankę do zastosowania tego systemu będzie stanowił art. 6 ust. 1 lit. f RODO – czyli tzw. prawnie uzasadniony interes Administratora Danych, z którego nie mogą niestety korzystać podmioty publiczne zgodnie z art. 47 RODO. Podmioty te powinny oprzeć zgodność z prawem przetwarzania danych w systemach monitoringu wizyjnego na art. 6 ust. 1 lit. c RODO, gdzie przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze oraz art. 6 ust. 1 lit. e RODO, na podstawie którego, przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Warto także uwzględnić, iż pierwszy przypadek z definicji dotyczy podmiotów państwowych tylko wtedy, kiedy przepis prawa jasno wskazuje na taki obowiązek ( np. tzw. ustawa DODO) a drugi stosuje się kiedy takowego obowiązku brak i wynika on raczej z uprawnienia. Co istotne, w tym miejscu należy także wziąć pod uwagę, konieczność upoważnienia osób lub nawiązania stosowanych umów z firmami obsługującymi posiadany system monitoringu wizyjnego.
Krok drugi – regulamin stosowania monitoringu wizyjnego
Każdy podmiot przetwarzający dane w systemie monitoringu wizyjnego powinien spełnić szereg uregulowań, wynikających nie tylko ze wspomnianego Kodeksu Pracy, ale również spełnienia jego zgodności z RODO. Najważniejsze z nich jakie powinny znaleźć się w prowadzonej dokumentacji – najczęściej Regulaminie Stosowania Monitoringu Wizyjnego to określenie:
- Celu przetwarzania danych w systemie monitoringu.
- Formy stosowanego monitoringu.
- Zakresu przetwarzanych danych w systemie monitoringu.
- Obszaru objętego monitoringiem oraz stref z niego wykluczonych.
- Czasu przechowywania oraz zasad udostępniania danych z systemu monitoringu.
- Ogólnych sposobów zabezpieczeń systemu monitoringu (szczegółowe informacje powinna zawierać wewnętrzna dokumentacja – Instrukcja zarządzania systemem monitoringu).
- Praw osób, których dane dotyczą.
Warto także aby regulamin stosowania monitoringu wizyjnego zawierał informacje o podstawie prawnej jego stosowania, przez Administratora Danych Osobowych i jeśli to konieczne zawierał stosowną klauzulę informacyjną dla osób zainteresowanych. Sporo dyskusji oraz niejasności budzi konieczność poinformowania o czasie przechowywania zapisów z systemu monitoringu wizyjnego, która może przecież stanowić tajemnicę instytucji lub przedsiębiorstwa. W praktyce podanie informacji iż przechowywanie danych zgodnie z Kodeksem Pracy ( Art. 22² § 3 ) nie przekracza trzech miesięcy od daty nagrania – czyli formalnie zgodnie z Art. 114 Kodeksu Cywilnego 90 dni. Co istotne Administrator Danych Osobowych, może wysłużyć ten okres jeśli nagrania zarejestrowane przez system monitoringu wizyjnego stanowią lub mogą stanowić dowód w postępowaniu.
Krok trzeci – poinformowanie o stosowaniu monitoringu
Zakres spełnienia obowiązku informacyjnego w kontekście stosowania systemu monitoringu wizyjnego i jego zgodności z RODO, to przede wszystkim dwie najważniejsze kwestie:
- Oznaczenie w sposób widoczny terenu i obiektów, w na terenie których zachodzi proces rejestracji danych z systemu monitoring – najczęściej w formie piktogramowych tablic informacyjnych, zawierających informację obrazową oraz tekstową. Dopuszczalną formą jest także informacja dźwiękowa. Każda z wymienionych form powinna pojawić się nie później niż jeden dzień przed uruchomieniem systemu monitoringu wizyjnego.
- Obowiązek poinformowania osób, najczęściej pracowników o planowanym uruchomieniu systemu monitoringu wizyjnego wynosi dwa tygodnie przed jego uruchomieniem, a w przypadku osób nowo zatrudnianych informacja taka powinna być przekazana w trakcie podpisywania dokumentacji kadrowej. Informacja ta może znaleźć się zarówno w regulaminie pracy jaki i obwieszczeniu pracodawcy.
W pierwszym przypadku warto pamiętać aby na oznaczeniach umieścić dodatkową informację o administratorze danych, jeśli na danym ternie działa kilka podmiotów. W drugim o konieczności konsultacji z organem prowadzącym jednostkę np. szkołę, lub związkami zawodowymi jeśli takowe powołano w danej instytucji.
Krok czwarty – zakres stosowania monitoringu
Wiele niejasności budzi także zakres stosowania monitoringu wizyjnego, zarówno w kontekście miejsc objętych jego zasięgiem jak i tych wykluczonych z systemu. Najczęściej monitorowane obszary to:
- Wejścia i wjazdy na teren oraz teren wokół obiektu.
- Place i parkingi.
- Korytarze i pomieszczenia obsługi.
- Wejścia do pomieszczeń i pomieszczenia o dużym znaczeniu bezpieczeństwa.
Aby monitoring był zgodny z RODO, Administrator Danych nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej oraz nie powinien obejmować: pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że w przypadku tych drugich stosowanie monitoringu jest niezbędne do realizacji celu. Rozumie się przez to zapewnienie bezpieczeństwa pracowników, uczniów, ochrony mienia, kontroli produkcji lub zachowania w tajemnicy informacji narażających Administratora Danych Osobowych czyli Pracodawcę na szkodę. Co ważne monitoring pomieszczeń sanitarnych wymaga uprzedniej zgody zakładowych organizacji związkowych lub przedstawicieli pracowników.
Warto także w tym miejscu pamiętać aby monitorowany obszar ograniczać do niezbędnego dla określonego celu minimum oraz zapewnić właściwe sposoby anonimizacji wizerunku osób, jeśli to konieczne.
Krok piąty – udostępnienie danych z systemów monitoringu wizyjnego
W przypadku napotkania żądania udostępnienia danych z systemu monitoringu Administrator Danych powinien zwrócić uwagę, iż mogą o nie wystąpić jedynie podmioty uprawnione z litery prawa w szczególności na podstawie art. 6 ust. 1 lit. c RODO – w przypadku toczących się postępowań, czynności prowadzonych przez podmioty upoważnione na podstawie przepisów prawa (w szczególności dotyczy to sytuacji zgłaszania się o udostępnienie nagrań przez Policję, Straż graniczną, prokuraturę itp. oraz art 6 ust. 1 lit. f RODO – w przypadku wykazania takiego interesu przez tę stronę (w szczególności dotyczy to sytuacji zgłaszania się o udostępnienie nagrań przez osoby prywatne).
W obu przypadkach należy uwzględnić także konieczność nie tylko zarejestrowania danego udostępniania, ale także zwrócenia się o nie z właściwym wnioskiem do Administratora Danych zarządzającego tym systemem. Co również istotne zebrane dane mogą być wykorzystane wyłącznie we wskazanych celach w jakich zostały zebrane, a nie dodatkowych np. rozliczania czasu lub sposobu pracy pracownika.
Jeśli jesteś zainteresowany opracowaniem wymaganej dokumentacji monitoringu zgodnego z RODO oraz/lub właściwym oznaczeniem obszaru monitoringu- skontaktuj się z naszym biurem.
Zapraszamy Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie ale także perfekcyjną obsługę klienta.
Opracowanie / Marek Mróz
Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych
Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych oraz usług hostingowych jakie polecamy. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.
Usługi Data Center – IQ PL Sp. z o.o. – zamówisz tutaj,
Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,
Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,
Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,
Informatyka Śledcza – kupisz tutaj,
Profesjonalne testy penetracyjne – kupisz tutaj.