Blog
Monitoring a RODO - co musisz wiedzieć?
04.04.2025
Monitoring stał się nieodłącznym elementem naszego otoczenia. Kamery są obecne w sklepach, biurach, na ulicach, a nawet w domach. Celem ich stosowania jest najczęściej zwiększenie bezpieczeństwa i ochrona mienia. Jednak należy pamiętać, że monitoring wizyjny wiąże się z przetwarzaniem danych osobowych, a to z kolei pociąga za sobą obowiązki wynikające z RODO.
Dobre praktyki
Złe praktyki
Tak, ale musisz przestrzegać zasad RODO. Przede wszystkim musisz mieć uzasadniony cel, np. ochronę swojego mienia. Kamera nie może obejmować swoim zasięgiem więcej, niż jest to konieczne do realizacji tego celu. Jeśli kamera "widzi" fragment chodnika czy ulicy, jest to z reguły dopuszczalne, o ile nie narusza to prywatności innych osób w nadmierny sposób. Pamiętaj o umieszczeniu widocznych tabliczek informacyjnych o monitoringu i spełnieniu obowiązku informacyjnego wobec osób, których dane są przetwarzane. Jeśli twoje kamery obejmują tylko i wyłącznie twoją posesję i wejście do niej, a rejestracji obrazu dokonujesz tylko dla celów osobistych i domowych to RODO Cię nie obowiązuje.
2. Czy mogę udostępnić nagranie z monitoringu policji?
Tak, jeśli policja zwróci się z takim żądaniem w związku z prowadzonym postępowaniem, masz obowiązek udostępnić nagranie. Wynika to z faktu, że organy ścigania działają na podstawie przepisów prawa, które stanowią nadrzędną podstawę przetwarzania danych.
3. Czy sąsiad może żądać ode mnie usunięcia kamery, która obejmuje część jego posesji?
Tak, jeśli zasięg kamery narusza jego prywatność w sposób nieuzasadniony, np. obejmuje okna, taras lub ogród, gdzie sąsiad spędza czas wolny. W takiej sytuacji masz obowiązek dostosować ustawienie kamery, aby nie naruszała prywatności sąsiada. Kluczowa jest zasada minimalizacji danych - kamera może obejmować tylko to, co niezbędne do realizacji celu, w jakim została zainstalowana.
4. Czy w szkole można stosować monitoring w salach lekcyjnych?
Co do zasady, nie. Monitoring w salach lekcyjnych może być stosowany jedynie w wyjątkowych i uzasadnionych przypadkach, na podstawie konkretnych przepisów prawa. Przykładowo dozwolony jest podczas egzaminów. Należy też wykazać brak mniej inwazyjnych metod do osiągnięcia konkretnego celu, na przykład zapewnienia bezpieczeństwa w szkole.
Podstawą do przetwarzania danych w placówkach oświatowych w celach zapewnienia bezpieczeństwa uczniów i pracowników jest art. 108a prawa oświatowego.
5. Czy mogę zamontować atrapę kamery, żeby odstraszyć potencjalnych włamywaczy?
Tak, stosowanie atrap kamer nie jest regulowane przez RODO, ponieważ nie dochodzi do przetwarzania danych osobowych. Pamiętaj jednak, aby nie wprowadzać w błąd, sugerując, że jest to prawdziwa kamera, co mogłoby wywołać u osób postronnych błędne przekonanie o byciu monitorowanym. W takiej sytuacji można mówić o naruszeniu dóbr osobistych.
6. Czy dozwolone jest używanie monitoringu na klatkach schodowych w blokach?
Tak, używanie monitoringu na klatkach schodowych jest dozwolone, o ile jego zastosowanie ma uzasadniony cel, na przykład zwiększenie bezpieczeństwa mieszkańców. Ważne, aby monitoring był zgodny z zasadami określonymi w RODO, tj. kamera nie obejmuje nadmiernego obszaru, monitoring jest odpowiednio oznaczony, nagrania są należycie chronione, i jest administrator tych nagrań (najczęściej spółdzielnia).
Do stosowania monitoringu w takich przypadkach wymagana jest uchwała wspólnoty mieszkaniowej określająca zasady funkcjonowania monitoringu.
Nagrania z monitoringu klatek schodowych nie powinny obejmować wnętrza mieszkań i ich drzwi wejściowych, a jedynie ciągi komunikacyjne.
7. Jak długo można przechowywać nagrania z monitoringu na stacji benzynowej?
Okres przechowywania nagrań powinien być jak najkrótszy i adekwatny do celu przetwarzania. W przypadku stacji benzynowej, gdzie celem jest ochrona mienia i ewentualne wykrywanie przestępstw, uzasadnione może być przechowywanie nagrań przez okres kilku dni, np. 7-14 dni. Okres ten może zostać wydłużony w uzasadnionych sytuacjach np. do 30 dni. Każdy przypadek powinien być oceniany indywidualnie.
Podstawy prawne stosowania monitoringu
RODO nie zabrania stosowania monitoringu, ale nakłada na administratorów danych (czyli podmioty decydujące o celach i sposobach przetwarzania danych osobowych) szereg obowiązków. Podstawą prawną przetwarzania danych z monitoringu może być:- Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) - najczęściej stosowana podstawa, np. ochrona mienia, zapewnienie bezpieczeństwa pracowników.
- Wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c RODO) - na przykład w bankach, gdzie monitoring może być wymagany przepisami prawa.
- Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) - rzadziej stosowana, ze względu na trudności w jej uzyskaniu i udokumentowaniu.
Obowiązki administratora danych
Niezależnie od wybranej podstawy prawnej, administrator danych musi spełnić szereg obowiązków wynikających z RODO, w tym:- Zasada minimalizacji danych: Monitoring powinien być stosowany tylko w niezbędnym zakresie. Kamery nie powinny obejmować swoim zasięgiem miejsc, gdzie nie jest to konieczne, np. przebieralni, toalet. Czas przechowywania nagrań powinien być ograniczony do minimum niezbędnego do realizacji celu, dla którego monitoring jest prowadzony.
- Zasada przejrzystości: Osoby objęte monitoringiem muszą być o tym fakcie poinformowane w sposób jasny i zrozumiały. Należy umieścić odpowiednie tabliczki informacyjne, zawierające m.in. dane administratora, cel przetwarzania, podstawę prawną, okres przechowywania danych, informacje o prawach osób, których dane dotyczą.
- Obowiązek informacyjny: W miejscu dostępnym dla osób objętych monitoringiem powinna być udostępniona pełna informacja o przetwarzaniu danych (klauzula informacyjna).
- Zasada integralności i poufności: Administrator musi zapewnić bezpieczeństwo danych z monitoringu, chroniąc je przed nieuprawnionym dostępem, utratą lub zniszczeniem. Należy wdrożyć odpowiednie środki techniczne i organizacyjne, np. szyfrowanie danych, kontrola dostępu, regularne testy bezpieczeństwa.
- Rejestr czynności przetwarzania: W przypadku stosowania monitoringu na dużą skalę, administrator powinien uwzględnić ten proces w rejestrze czynności przetwarzania danych.
- Analiza ryzyka i DPIA: W przypadku monitoringu miejsc szczególnie wrażliwych, np. placówek medycznych, lub stosowania zaawansowanych technologii, np. rozpoznawania twarzy, konieczne może być przeprowadzenie oceny skutków dla ochrony danych (DPIA).
- Prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania: Osoby, których dane są przetwarzane, mają prawo żądać dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania. Administrator musi umożliwić im realizację tych praw.
Dobre praktyki
- Ustal cel monitoringu: Przed zainstalowaniem kamer dokładnie określ, w jakim celu będzie prowadzony monitoring.
- Ogranicz zasięg monitoringu: Zastosuj monitoring tylko tam, gdzie jest to niezbędne do realizacji celu.
- Ogranicz czas przechowywania nagrań: Ustal maksymalny czas przechowywania nagrań i usuwaj je po jego upływie. W większości przypadków wystarczy kilka dni, maksymalnie do miesiąca.
- Stwórz regulamin monitoringu: Wprowadź regulamin określający zasady funkcjonowania monitoringu w Twojej organizacji.
- Szkol personel: Przeszkol pracowników, którzy mają dostęp do nagrań z monitoringu, w zakresie ochrony danych osobowych.
- Regularnie audytuj system monitoringu: Okresowo sprawdzaj, czy system monitoringu działa zgodnie z przyjętymi zasadami i przepisami prawa.
Złe praktyki
- Monitoring bez wyraźnego celu: Instalowanie kamer bez uzasadnionej potrzeby.
- Zbyt szeroki zasięg monitoringu: Obejmowanie monitoringiem miejsc, gdzie nie jest to konieczne, np. prywatnych posesji sąsiadów.
- Brak informacji o monitoringu: Nieinformowanie osób objętych monitoringiem o fakcie jego stosowania.
- Zbyt długi czas przechowywania nagrań: Przechowywanie nagrań przez nieuzasadniony, zbyt długi okres czasu.
- Brak zabezpieczeń danych: Niezapewnienie odpowiedniego poziomu bezpieczeństwa nagrań, np. brak szyfrowania, brak kontroli dostępu.
- Udostępnianie nagrań osobom nieuprawnionym: Dzielenie się nagraniami z osobami, które nie mają do tego uprawnień.
- Używanie kamer ukrytych: Kamery zamontowane w sposób skryty, niejawny. Co do zasady jest to zabronione, wyjątkiem jest zastosowanie kamer przez służby.
Q&A - Najczęściej zadawane pytania
1. Czy mogę zamontować kamerę na elewacji budynku przylegającego do ulicy?Tak, ale musisz przestrzegać zasad RODO. Przede wszystkim musisz mieć uzasadniony cel, np. ochronę swojego mienia. Kamera nie może obejmować swoim zasięgiem więcej, niż jest to konieczne do realizacji tego celu. Jeśli kamera "widzi" fragment chodnika czy ulicy, jest to z reguły dopuszczalne, o ile nie narusza to prywatności innych osób w nadmierny sposób. Pamiętaj o umieszczeniu widocznych tabliczek informacyjnych o monitoringu i spełnieniu obowiązku informacyjnego wobec osób, których dane są przetwarzane. Jeśli twoje kamery obejmują tylko i wyłącznie twoją posesję i wejście do niej, a rejestracji obrazu dokonujesz tylko dla celów osobistych i domowych to RODO Cię nie obowiązuje.
2. Czy mogę udostępnić nagranie z monitoringu policji?
Tak, jeśli policja zwróci się z takim żądaniem w związku z prowadzonym postępowaniem, masz obowiązek udostępnić nagranie. Wynika to z faktu, że organy ścigania działają na podstawie przepisów prawa, które stanowią nadrzędną podstawę przetwarzania danych.
3. Czy sąsiad może żądać ode mnie usunięcia kamery, która obejmuje część jego posesji?
Tak, jeśli zasięg kamery narusza jego prywatność w sposób nieuzasadniony, np. obejmuje okna, taras lub ogród, gdzie sąsiad spędza czas wolny. W takiej sytuacji masz obowiązek dostosować ustawienie kamery, aby nie naruszała prywatności sąsiada. Kluczowa jest zasada minimalizacji danych - kamera może obejmować tylko to, co niezbędne do realizacji celu, w jakim została zainstalowana.
4. Czy w szkole można stosować monitoring w salach lekcyjnych?
Co do zasady, nie. Monitoring w salach lekcyjnych może być stosowany jedynie w wyjątkowych i uzasadnionych przypadkach, na podstawie konkretnych przepisów prawa. Przykładowo dozwolony jest podczas egzaminów. Należy też wykazać brak mniej inwazyjnych metod do osiągnięcia konkretnego celu, na przykład zapewnienia bezpieczeństwa w szkole.
Podstawą do przetwarzania danych w placówkach oświatowych w celach zapewnienia bezpieczeństwa uczniów i pracowników jest art. 108a prawa oświatowego.
5. Czy mogę zamontować atrapę kamery, żeby odstraszyć potencjalnych włamywaczy?
Tak, stosowanie atrap kamer nie jest regulowane przez RODO, ponieważ nie dochodzi do przetwarzania danych osobowych. Pamiętaj jednak, aby nie wprowadzać w błąd, sugerując, że jest to prawdziwa kamera, co mogłoby wywołać u osób postronnych błędne przekonanie o byciu monitorowanym. W takiej sytuacji można mówić o naruszeniu dóbr osobistych.
6. Czy dozwolone jest używanie monitoringu na klatkach schodowych w blokach?
Tak, używanie monitoringu na klatkach schodowych jest dozwolone, o ile jego zastosowanie ma uzasadniony cel, na przykład zwiększenie bezpieczeństwa mieszkańców. Ważne, aby monitoring był zgodny z zasadami określonymi w RODO, tj. kamera nie obejmuje nadmiernego obszaru, monitoring jest odpowiednio oznaczony, nagrania są należycie chronione, i jest administrator tych nagrań (najczęściej spółdzielnia).
Do stosowania monitoringu w takich przypadkach wymagana jest uchwała wspólnoty mieszkaniowej określająca zasady funkcjonowania monitoringu.
Nagrania z monitoringu klatek schodowych nie powinny obejmować wnętrza mieszkań i ich drzwi wejściowych, a jedynie ciągi komunikacyjne.
7. Jak długo można przechowywać nagrania z monitoringu na stacji benzynowej?
Okres przechowywania nagrań powinien być jak najkrótszy i adekwatny do celu przetwarzania. W przypadku stacji benzynowej, gdzie celem jest ochrona mienia i ewentualne wykrywanie przestępstw, uzasadnione może być przechowywanie nagrań przez okres kilku dni, np. 7-14 dni. Okres ten może zostać wydłużony w uzasadnionych sytuacjach np. do 30 dni. Każdy przypadek powinien być oceniany indywidualnie.