Stosowanie kamer i monitorowanie terenu wewnątrz oraz wokół budynku jest powszechną praktyką. Właściciele lub zarządcy budynków lub terenów przywykli do stosowania środków optycznych lub audiowizualnych w celu ochrony mienia lub ochrony życia i zdrowia osób. Monitoring nie zawsze jednak jest stosowany w zgodzie z przepisami prawa. W szczególności zaniechanie realizacji obowiązków wynikających z RODO może skutkować dotkliwymi następstwami w postaci kary administracyjnej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych (w skrócie: „PUODO”). Wysokość kar zależy od rodzaju przewinienia i może wynieść w najgorszych przypadkach do 10 mln euro, a nawet do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorcy, przy czym zastosowanie ma kwota wyższa (art. 83 RODO).
W związku z nieprawidłowościami przy stosowaniu monitoringu konsekwencje mogą dotknąć miedzy innymi właściciela budynku lub zarządcę. Jako przykłady można wskazać karę w wysokości 8 tys. zł nałożoną przez PUODO na administratora wspólnoty mieszkaniowej, czy karę nałożoną przez włoski odpowiednik PUODO na Hotel Olimpo di Charly Mike s.r.l.
Ważne!
Zdarzały się przypadki ukarania osób prywatnych, w sytuacji gdy stosowany przez nie monitoring obejmował także przestrzeń przeznaczoną dla ogółu mieszkańców, czy miejsca ogólnodostępne (np. kara w wysokości 2200 euro nałożona przez austriacki organ nadzoru w 2018 r.).
Przetwarzanie danych osobowych
Zdarza się, że przedsiębiorca, spółdzielnia, czy wspólnota mieszkaniowa nie zdaje sobie sprawy, że stosowanie monitoringu może rodzić konieczność realizacji dodatkowych obowiązków, w tym zapewnienia bezpieczeństwa danych osobowych. Zgodnie z RODO przez „dane osobowe” należy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO), natomiast jako „przetwarzanie” będzie kwalifikowana operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).
Ważne!
Możliwą do zidentyfikowania będzie osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na jeden bądź kilka szczególnych czynników określających jej fizyczną tożsamość.
Zatem również wizerunek osoby zarejestrowany przez kamerę będzie stanowił dane osobowe, pod warunkiem, że pozwala on ustalić tożsamość osoby (wyrok TSUE z 11 grudnia 2014 r. w sprawie C-212/13 Ryneš vs Úřad pro ochranu osobních údajů).
Stosowanie monitoringu prowadzi do przetwarzania informacji w formie samego obrazu lub obrazu wraz z dźwiękiem o wszystkich osobach wchodzących do monitorowanej przestrzeni, które można zidentyfikować na podstawie ich wyglądu lub innych specyficznych elementów. Na tej podstawie można ustalić tożsamość tych osób. Umożliwia to również dalsze przetwarzanie danych osobowych dotyczących obecności i zachowania się tych osób na terenie budynku (wytyczne Europejskiej Rady Ochrony Danych 3/2019, w skrócie: wytyczne EROD 3/2019).
Ważne!
Stosowanie monitoringu zazwyczaj będzie się wiązało z przetwarzaniem danych osobowych i koniecznością zastosowania odpowiednich środków wskazanych min w art. 32 RODO.
Prawidłowe określenie ról poszczególnych podmiotów
Odpowiedzialność za zapewnienie, aby przetwarzanie danych osobowych odbywało się w zgodzie z przepisami prawa spoczywa na administratorze, czyli osobie fizycznej lub prawnej, jednostce organizacyjnej, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO).
Zazwyczaj właściciel terenu (np. spółdzielnia, wspólnota mieszkaniowa, czy spółka) powierza wykonanie czynności związanych z monitoringiem innemu podmiotowi. W takiej sytuacji, zgodnie z art. 28 RODO powinna zostać zawarta umowa określająca zasady powierzenia przetwarzania danych osobowych. Wymaga jednak podkreślenia, że o tym, który podmiot w rzeczywistości będzie posiadał status administratora, a który podmiotu przetwarzającego nie przesądza samo zawarcie wspomnianej umowy. Wniosek ten potwierdza stanowisko PUODO zawarte w decyzji wydanej jeszcze w listopadzie 2019 r.
We wspomnianej na początku decyzji PUODO nałożył karę w wysokości 8 tys. zł na podmiot zarządzający nieruchomością w imieniu wspólnoty mieszkaniowej. Wojewódzki Sąd Administracyjny uznając decyzję o ukaraniu za uzasadnioną wskazał na treść art. 184b ustawy o gospodarce nieruchomościami, zgodnie z którym: „zarządzanie nieruchomością polega na podejmowaniu decyzji i dokonywaniu czynności mających na celu zapewnienie racjonalnej gospodarki nieruchomością, a w szczególności:
1) właściwej gospodarki ekonomiczno-finansowej nieruchomości;
2) bezpieczeństwa użytkowania i właściwej eksploatacji nieruchomości;
3) właściwej gospodarki energetycznej w rozumieniu przepisów prawa energetycznego;
4) bieżące administrowanie nieruchomością;
5) utrzymanie nieruchomości w stanie niepogorszonym zgodnie z jej przeznaczeniem;
6) uzasadnione inwestowanie w nieruchomość”.
Właściciel nieruchomości, wspólnota mieszkaniowa, czy inny podmiot, któremu przysługuje prawo do nieruchomości, chcąc przekazać zarząd nad nieruchomością powinien zawrzeć umowę określającą zakres zarządzania nieruchomością. W omawianej sprawie, wspólnota mieszkaniowa zawarła ze spółką zarządzającą również umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO. W jej treści jednak zabrakło określenia celów i sposobów przetwarzania danych pochodzących z monitoringu wizyjnego stosowanego w nieruchomości, do którego dostęp faktycznie posiadała ukarana spółka.
W dodatku z umowy nie wynikało, kto decydował o udostępnianiu danych w związku z otrzymywanymi wnioskami o udostępnienie danych z monitoringu (nie określono, czy decyzję w tym zakresie podejmowała sama wspólnota mieszkaniowa, czy zarządca). Nie została także uregulowana kwestia prowadzenia ewidencji wniosków o udostępnienie nagrań z monitoringu nieruchomości, nie określono procedury rozpatrywania wniosków (min. kto je akceptował). Z postanowień zawartych umów nie wynikało też, w jaki sposób oraz w jakim zakresie zarządca nieruchomości uczestniczył w procesie obsługi monitoringu nieruchomości oraz w jakim zakresie zarządca powinien realizować czynności kontrolne i nadzorcze.
Powyżej wspomniane uchybienia skutkowały uznaniem za administratora danych osobowych spółki zarządzającej nieruchomością, zamiast wspólnoty mieszkaniowej. W efekcie PUODO stwierdzając brak wdrożenia przez spółkę środków organizacyjnych i technicznych nałożył na nią karę administracyjną.
Obowiązki informacyjne i oznakowanie terenu
Obowiązki administratora nie ograniczają się do zawarcia umowy powierzenia określającej cel i zasady realizacji monitoringu. Osoby, których dane dotyczą powinny być świadome tego, iż dany teren jest objęty monitoringiem. Osoby wchodzące na taki teren (w tym do budynku) powinny zostać we właściwy sposób poinformowane o monitorowanych miejscach (wytyczne EROD 3/2019). Stosowna informacja (spełniająca wymagania z art. 13 RODO) powinna zostać umieszczona już przy samym wejściu na teren objęty monitoringiem. Pod tym względem zalecane jest tzw. podejście warstwowe oraz stosowanie oznaczeń graficznych.
Ważne
Informację wraz ze znakiem graficznym należy umieścić w miejscu łatwo dostępnym i widocznym dla osób wchodzących na dany teren.
W pierwszej warstwie powinny znaleźć się najważniejsze informacje, np. szczegóły dotyczące celów przetwarzania, tożsamość administratora danych oraz informacja o istnieniu praw osoby, której dane dotyczą. Zawarte w pierwszej warstwie informacje mogą obejmować np. prawnie uzasadnione interesy realizowane przez administratora (lub stronę trzecią) oraz dane kontaktowe inspektora ochrony danych. Ponadto w pierwszej warstwie powinno znaleźć się także określenie sposobu udostępnienia przez administratora pozostałych informacji dotyczących sposobów przetwarzania danych osobowych (w ramach tzw. drugiej warstwy).
Przykład:
Informacje z pierwszej warstwy mogą się odnosić do cyfrowego źródła (np. kodu QR lub adresu strony internetowej) drugiej warstwy. Informacje z tzw. drugiej warstwy muszą być łatwo dostępne także w formie niecyfrowej (wytyczne EROD 3/2019).
Braki w zakresie odpowiedniego oznakowania terenu i spełnienia obowiązku informacyjnego (art. 13 RODO) również mogą skutkować nałożeniem kary administracyjnej przez organ nadzoru. Jako przykład można wskazać pierwszą karę nałożoną przez austriacki organ nadzoru (łącznie ponad 5 tys. euro) jeszcze w 2018 r., jak również niedawny przypadek ukarania przez włoski organ nadzoru Hotelu Olimpo di Charly Mike s.r.l. W przypadku tej ostatniej sprawy, w trakcie postępowania ustalono, że w obiekcie hotelowym stosowany był monitoring, przy czym kamery zostały umieszczone wewnątrz i na zewnątrz obiektu. Sam system był sprawny, zaś obrazy wyświetlane były na monitorze podłączonym do systemu monitoringu wizyjnego znajdującego się w recepcji. W obiekcie nie zostały jednak zamieszczone znaki informujące o systemie monitoringu wizyjnego. Co istotne, w omawianym przypadku nie dochodziło do zapisywania obrazu. System był skonfigurowany tylko do przechwytywania obrazów, a nie do ich nagrywania. W efekcie nie dokonano żadnego nagrania. W toku kontroli nie zostało również ujawnione żadne nagranie. W wyniku nieprawidłowości na przedsiębiorcę została nałożona kara administracyjna w wysokości 3 tys. euro.
Zasadność stosowania monitoringu
W przypadku sprawy Hotelu Olimpo di Charly Mike s.r.l. tylko jedno z przewinień polegało na zaniechaniu umieszczenia przed zasięgiem działania kamer znaków informacyjnych w celu ostrzeżenia klientów, pracowników i dostawców o istnieniu i zasadniczych cechach nadzoru wideo. Kolejną istotną kwestię, bez wątpienia wpływającą na wysokość wymierzonej kary stanowiło wątpliwe uzasadnienie podstaw do zastosowania monitoringu. Jak wskazuje EROD, nadzór wideo (tj. monitoring) jest zgodny z prawem, jeśli jest konieczny do osiągnięcia celu wynikającego z prawnie uzasadnionego interesu realizowanego przez administratora danych lub osobę trzecią, chyba że nadrzędny charakter mają podstawowe prawa i wolności podmiotu danych (art. 6 ust. 1 lit. f RODO). Przez prawnie uzasadnione interesy można rozumieć interesy prawne, ekonomiczne lub niematerialne. Uzasadniony interes musi istnieć w rzeczywistości i musi być kwestią aktualną (tj. nie może być fikcyjny lub spekulatywny). Musi istnieć rzeczywista sytuacja zagrożenia –taka jak już wyrządzone szkody lub poważne incydenty w przeszłości, które miały miejsce przed rozpoczęciem stosowania monitoringu. W świetle wynikającej z art. 5 RODO zasady rozliczalności, administratorzy powinni udokumentować odpowiednie zdarzenia (data, przebieg, straty finansowe). Monitoring nie stanowi bowiem wyłącznego sposobu zapobiegania zdarzeniom niepożądanym, co za tym idzie, administrator może wprowadzić inne rozwiązania, jak ogrodzenie terenu, regularne patrole ochrony.
W przypadku Hotelu Olimpo di Charly Mike s.r.l. system kamer został zainstalowany w celu monitorowania gości obiektu, którzy często wchodzili do miejsc, do których nie mieli wstępu. Celem stosowania monitoringu były także względy bezpieczeństwa, przy czym w obiekcie nigdy nie doszło do kradzieży, ani napadów. W przypadku pracowników kuchni zdarzały się co prawda braki w zakresie żywności, mimo to nie doszło do zwolnienia pracowników w wyniku wykrycia incydentów przy wykorzystaniu kamer. Interes, którym kierowała się ukarana spółka wdrażając system monitoringu nie był zatem w wystarczającym stopniu uzasadniony.
Dużo więcej obowiązków
Zapewnienie zgodności z prawem monitoringu wiąże się także z innymi obowiązkami, w tym koniecznością wykazania zasadności zainstalowania kamer w poszczególnych miejscach, pomieszczeniach. Nie w każdym pomieszczeniu może bowiem dochodzić do kradzieży; ponadto monitoring niektórych miejsc może prowadzić do istotnego naruszenia prywatności osób w nich przebywających (np. łazienki, szatnie).
Zdarzają się także przypadki, gdy monitoring samej posesji nie jest wystarczający do zapewnienia skutecznej ochrony mienia. W takiej sytuacji, rozszerzenie monitoringu na np. ogólnodostępne obszary powinno się wiązać z wdrożeniem dodatkowych środków fizycznych i technicznych, na przykład pikselizacją nieistotnych obszarów. W przeciwnym wypadku może dojść do naruszenia w postaci monitorowania nieadekwatnego do celów przetwarzania. Między innymi za takie naruszenie austriacki organ nadzoru nałożył na spółkę kary administracyjne w łącznej wysokości 5 tys. euro. Naruszenia dotyczyło objęcia systemem nadzoru wideo ulic publicznych oraz parkingów, obie części obszaru publicznego przed wejściem do budynku.
Article: https://www.rp.pl/Firma/304089975-Dane-osobowe-sankcje-administracyjne-za-monitoring-budynkow.html
