Możliwość stosowania monitoringu wizyjnego, to jedno z narzędzi jakie ma do dyspozycji pracodawca, mające realny wpływ nie tylko na bezpieczeństwo prowadzonej działalności, ale także zatrudnionych czy przebywających na kontrolowanym przez niego terenie osób. Obecne uwarunkowania prawne umożliwiając stosowanie tego rozwiązania, nakładają jednocześnie szereg obowiązków jakie musi spełnić lub zapewnić pracodawca w zakresie stosowania monitoringu wizyjnego i jego zgodności z RODO. Co zatem zrobić, aby stosowany monitoring posiadał zgodność z RODO ?

Krok pierwszy – zgodność z przepisami prawa

Wejście w życie przepisów regulujących stosowanie miało miejsce prawie równolegle z rozpoczęciem obowiązywania w naszym kraju RODO, czyli 25 maja 2018 roku. Główne uwarunkowania w tym zakresie zawarto w zapisach kodeksu pracy – Art. 22² oraz 22³, gdzie pierwszy ustęp odnosi się do danych z samego systemu monitoringu wizyjnego a drugi do możliwości monitorowania systemów teleinformatycznych. Przy tworzeniu dokumentacji dotyczącej tego obszaru warto również uwzględnić zapisy zawarte w Art. 5 RODO, określającym zasady przetwarzania danych.

Podstawy prawne regulujące stosowanie monitoringu będą także inne dla określonych podmiotów, w odniesieniu do działalności prowadzonych prywatnie jaki i instytucji państwowych. W przypadku tych pierwszych przesłankę do zastosowania tego systemu będzie stanowił art. 6 ust. 1 lit. f RODO – czyli tzw. prawnie uzasadniony interes Administratora Danych, z którego nie mogą niestety korzystać podmioty publiczne zgodnie z art. 47 RODO. Podmioty te powinny oprzeć zgodność z prawem przetwarzania danych w systemach monitoringu wizyjnego na art. 6 ust. 1 lit. c RODO, gdzie przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze oraz art. 6 ust. 1 lit. e RODO, na podstawie którego, przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Warto także uwzględnić, iż pierwszy przypadek z definicji dotyczy podmiotów państwowych tylko wtedy, kiedy przepis prawa jasno wskazuje na taki obowiązek ( np. tzw. ustawa DODO) a drugi stosuje się kiedy takowego obowiązku brak i wynika on raczej z uprawnienia. Co istotne, w tym miejscu należy także wziąć pod uwagę, konieczność upoważnienia osób lub nawiązania stosowanych umów z firmami obsługującymi posiadany system monitoringu wizyjnego.

Krok drugi – regulamin stosowania monitoringu wizyjnego

Każdy podmiot przetwarzający dane w systemie monitoringu wizyjnego powinien spełnić szereg uregulowań, wynikających nie tylko ze wspomnianego Kodeksu Pracy, ale również spełnienia jego zgodności z RODO. Najważniejsze z nich jakie powinny znaleźć się w prowadzonej dokumentacji – najczęściej Regulaminie Stosowania Monitoringu Wizyjnego to określenie:

  1. Celu przetwarzania danych w systemie monitoringu.
  2. Formy stosowanego monitoringu.
  3. Zakresu przetwarzanych danych w systemie monitoringu.
  4. Obszaru objętego monitoringiem oraz stref z niego wykluczonych.
  5. Czasu przechowywania oraz zasad udostępniania danych z systemu monitoringu.
  6. Ogólnych sposobów zabezpieczeń systemu monitoringu (szczegółowe informacje powinna zawierać  wewnętrzna dokumentacja – Instrukcja zarządzania systemem monitoringu).
  7. Praw osób, których dane dotyczą.

Warto także aby regulamin stosowania monitoringu wizyjnego zawierał informacje o podstawie prawnej jego stosowania, przez Administratora Danych Osobowych i jeśli to konieczne zawierał stosowną klauzulę informacyjną dla osób zainteresowanych.

Krok trzeci – poinformowanie o stosowaniu monitoringu

Zakres spełnienia obowiązku informacyjnego w kontekście stosowania systemu monitoringu wizyjnego i jego zgodności z RODO, to przede wszystkim dwie najważniejsze kwestie:

  1. Oznaczenie w sposób widoczny terenu i obiektów, w na terenie których zachodzi proces rejestracji danych z systemu monitoring – najczęściej w formie piktogramowych tablic informacyjnych, zawierających informację obrazową oraz tekstową.
  2. Obowiązek poinformowania osób, najczęściej pracowników o planowanym uruchomieniu systemu monitoringu wizyjnego wynosi dwa tygodnie przed jego uruchomieniem, a w przypadku osób nowo zatrudnianych informacja taka powinna być przekazana w trakcie podpisywania dokumentacji kadrowej.

W pierwszym przypadku warto pamiętać aby na oznaczeniach umieścić dodatkową informację o administratorze danych, jeśli na danym ternie działa kilka podmiotów. W drugim o konieczności konsultacji z organem prowadzącym jednostkę np. szkołę, lub związkami zawodowymi jeśli takowe powołano w danej instytucji.

Krok czwarty – zakres stosowania monitoringu

Wiele niejasności budzi także zakres stosowania monitoringu wizyjnego, zarówno w kontekście miejsc objętych jego zasięgiem jak i tych wykluczonych z systemu. Najczęściej monitorowane obszary to:

  1. Wejścia i wjazdy na teren oraz teren wokół obiektu.
  2. Place i parkingi.
  3. Korytarze i pomieszczenia obsługi.
  4. Wejścia do pomieszczeń i pomieszczenia o dużym znaczeniu bezpieczeństwa.

Aby monitoring był zgodny z RODO, Administrator Danych nie powinien monitorować: pomieszczeń sanitarnych, umywalni, szatni, stołówek, palarni, pomieszczeń do odpoczynku. W tym względzie jednak Administrator ma furtkę, która określa iż stosowanie monitoringu w tych pomieszczeniach jest niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji. Warto także w tym miejscu pamiętać aby monitorowany obszar ograniczać do niezbędnego dla określonego celu minimum.

    Krok  piąty – udostępnienie danych z systemów monitoringu wizyjnego

    W przypadku napotkania żądania udostępnienia danych z systemu monitoringu Administrator Danych powinien zwrócić uwagę, iż mogą o nie wystąpić jedynie podmioty uprawnione z litery prawa w szczególności na podstawie art. 6 ust. 1 lit. c RODO – w przypadku toczących się postępowań, czynności prowadzonych przez podmioty upoważnione na podstawie przepisów prawa (w szczególności dotyczy to sytuacji zgłaszania się o udostępnienie nagrań przez Policję, Straż graniczną, prokuraturę itp. oraz art 6 ust. 1 lit. f RODO – w przypadku wykazania takiego interesu przez tę stronę (w szczególności dotyczy to sytuacji zgłaszania się o udostępnienie nagrań przez osoby prywatne).

    W obu przypadkach należy uwzględnić także konieczność nie tylko zarejestrowania danego udostępniania, ale także zwrócenia się o nie z właściwym wnioskiem do Administratora Danych zarządzającego tym systemem.

    Jeśli jesteś zainteresowany opracowaniem wymaganej dokumentacji monitoringu zgodnego z RODO oraz/lub właściwym oznaczeniem obszaru monitoringu- skontaktuj się z naszym biurem.

    Zapraszamy Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie ale także perfekcyjną obsługę klienta.

    Opracowanie / Marek Mróz

    Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

    Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych oraz usług hostingowych jakie polecamy. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.

    Usługi Data Center – IQ PL Sp. z o.o. – zamówisz tutaj,

    Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,

    Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,

    Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,

    Informatyka Śledcza – kupisz tutaj,

    Profesjonalne testy penetracyjne – kupisz tutaj.