Do niedawna dominował pogląd, iż RODO ma zastosowanie do nagrań z systemu monitoringu zapisywanych na nośniku, ale już nie do monitoringu ograniczającego się wyłącznie do bieżącego podglądu obrazu na kamerach, bez jego zapisu. Opinia ta uległa jednak obecnie diametralnej zmianie. Co aktualnie rekomenduje Prezes Urzędu Ochrony Danych Osobowych?
Analiza przepisów RODO, wskazówki Europejskiej Rady Ochrony Danych (EROD) – organu unijnego odpowiedzialnego za stosowanie RODO, a także orzecznictwo i decyzje wydawane przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) nie pozostawiają wątpliwości, że dane przetwarzane w systemie monitoringu wizyjnego spełniają definicję danych osobowych. Taki pogląd dominował zresztą już na długo przed wejściem w życie RODO (wyrok Trybunału Sprawiedliwości Unii Europejskiej z 11 grudnia 2014 r. w sprawie C-212/13, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 4 marca 2014 r., sygn. akt II SA/Wa 2393/13, raport Najwyższej Izby Kontroli z 25 marca 2014 r., nr ewid. 181/2013/P/13/154/LLU). Nie budzi więc zastrzeżeń stanowisko, iż monitoring i przetwarzanie pozyskanych w jego ramach danych podlegają zasadom określonym w RODO.
Bieżący podgląd
Do niedawna dominował pogląd, iż RODO ma zastosowanie do nagrań z systemu monitoringu zapisywanych na nośniku, ale już nie do monitoringu ograniczającego się wyłącznie do bieżącego podglądu obrazu na kamerach, bez jego zapisu. I tak, zgodnie z decyzjami Generalnego Inspektora Ochrony Danych Osobowych (GIODO) nr DOLiS/DEC-364/13/19780 i 19781 z 27 marca 2013 r., zbiorem danych osobowych nie jest zapis z prewencyjnego monitoringu, którego jakość pozwala jedynie na rejestrację sylwetek o nieokreślonej tożsamości i ogranicza się do bieżącego podglądu (bez zapisu) obrazów w celu reakcji na niepożądane zdarzenia np. kradzieże czy akty wandalizmu.
Z kolei w dokumencie z 12 października 2012 r. „Zagadnienia dotyczące monitoringu wizyjnego w działalności Biura GIODO” podkreślono, że jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na twardym dysku komputera czy jakimkolwiek innym nośniku, to wówczas nie można mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy natomiast do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony na elektronicznym nośniku. W przypadku gdy taki zestaw danych zostanie skatalogowany poprzez przyporządkowanie indeksów do fragmentów nagrań zawierających wizerunki osób, wówczas należy uznać, że jest tworzony zbiór danych osobowych.
Z danymi osobowymi mamy do czynienia także w sytuacji, kiedy system, który jest instalowany równolegle z monitoringiem, umożliwia powiązanie konkretnych nagrań z konkretną osobą. Także w opublikowanym 10 marca 2017 r. dokumencie „Wytyczne Generalnego Inspektora Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego w szkołach” czytamy, że „(…) jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na twardym dysku komputera czy innym nośniku, to wówczas trudno mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na elektronicznym nośniku”. I wreszcie w opublikowanych 15 czerwca 2018 r. „Wskazówkach Prezesa Urzędu Ochrony Danych Osobowych dotyczących wykorzystywania monitoringu wizyjnego” możemy przeczytać, iż w przypadku monitoringu przetwarzanie będą stanowiły operacje polegające w szczególności na zapisywaniu, przeglądaniu, udostępnianiu i usuwaniu nagrań zarejestrowanych zdarzeń i osób niezależnie od charakteru nośnika, w którym są przechowywane (dyski twarde systemu, nagrania zapisane w pamięci urządzenia umożliwiającego zdalny dostęp – smartfon, komputery przenośne itp.).
Zmiana wykładni
Powyższa wykładnia uległa jednak obecnie diametralnej zmianie i PUODO w „Biuletynie UODO nr 3/05/23” stwierdza jednoznacznie, że jeśli przy stosowaniu monitoringu wizyjnego służącego wyłącznie do podglądu na żywo ochranianych miejsc (tj. monitoringu w czasie rzeczywistym, przy korzystaniu z którego nie nagrywamy obrazu, a jedynie na bieżąco prowadzimy obserwację na monitorze) mamy możliwość zidentyfikowania obserwowanych osób, to uznać należy, że dochodzi do przetwarzania danych osobowych, które powinno być prowadzone zgodnie z zasadami określonymi w RODO. Jak podkreśla PUODO, wniosek taki wysnuć można już na podstawie analizy definicji podstawowych pojęć zawartych w art. 4 RODO. Zgodnie z nimi dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Z kolei przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zatem biorąc pod uwagę powyższe definicje oraz to, że przy podglądzie na żywo obraz z kamer jest przesyłany do monitora osoby prowadzącej obserwację, należy uznać, że dochodzi tu do przetwarzania danych osobowych w rozumieniu RODO, nawet jeśli przetwarzanie to jest tylko tymczasowe i krótkotrwałe. Mogą też zdarzać się rozwiązania, w których zapis z kamer – mimo że nie jest utrwalany na nośniku – to jednak przez pewien czas pozostaje w pamięci urządzenia. Warto też mieć na uwadze, że w przypadku przesyłania danych (obrazu w formie cyfrowej) pomiędzy urządzeniami, co jest istotą systemu monitoringu wizyjnego, może dojść do nieuprawnionego przechwycenia transmisji, a to dodatkowo wpływa na ryzyko naruszenia praw i wolności osób obserwowanych. Powyższe argumenty przesądzają więc, zdaniem PUODO, że stosowanie monitoringu, także z obserwacją prowadzoną wyłącznie w czasie rzeczywistym, musi odbywać się z uwzględnieniem zasad określonych w RODO. Należy więc przyjąć i wdrożyć odpowiednie zabezpieczenia także dla takiego procesu przetwarzania.
Również informacje zawarte w „Wytycznych EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo” (wersja 2.0 przyjęta 29 stycznia 2020 r.) wskazują, że monitoring bez zapisu stanowi formę przetwarzania danych osobowych, przez co podlega postanowieniom RODO. Jak czytamy w ust. 92 tego dokumentu, dotyczącym prawa dostępu do danych, osoba, której dane dotyczą, ma prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe. W przypadku monitoringu wizyjnego oznacza to, że jeżeli nie przechowuje się ani nie przesyła żadnych danych po zakończeniu okresu, w którym miało miejsce monitorowanie w czasie rzeczywistym, administrator mógłby jedynie przekazać informację o tym, że nie są już przetwarzane żadne dane osobowe (oprócz ogólnych obowiązków informacyjnych, określonych w art. 13 RODO). Jednocześnie zaś EROD w przywołanych wytycznych wskazuje (ust. 29), że monitoring w czasie rzeczywistym może niekiedy nawet bardziej zagrażać podstawowym prawom i wolnościom osób, których dane dotyczą, niż przechowywanie i automatyczne usuwanie nagrań po upływie określonego czasu (np. jeżeli osoba kontrolująca nieustannie spogląda na monitor, może to być podejście o wiele bardziej inwazyjne niż w przypadku braku jakiegokolwiek monitora i przechowywania nagrań bezpośrednio w „czarnej skrzynce”). W tym kontekście należy więc uwzględnić zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO).
Możliwość identyfikacji osób
Analizując powyższe stwierdzenia, trzeba zwrócić uwagę na kluczową kwestię, jaką jest możliwość identyfikacji osób obserwowanych w systemie monitoringu. W związku z tym należy przyjąć, że o ile dane z kamer umieszczonych w miejscach publicznych, przez które przewijają się codziennie tysiące anonimowych osób (dworce, lotniska, stacje metra, place w centrach miast itp.) mogą nie zostać uznane za dane osobowe, bo do identyfikacji takich osób niezbędne jest specjalistyczne i kosztowne oprogramowanie, to już we wspólnotach mieszkaniowych sytuacja będzie odmienna. Tu bowiem przynajmniej część sąsiadów zna się, choćby z widzenia, i nawet nie wiedząc, jak określona osoba ma na nazwisko, jej sąsiedzi mogą mieć wiedzę, że zajmuje ona konkretny lokal, a to wyczerpuje już ustawową definicję danych osobowych. Co więcej, zarządca i jego pracownicy, członkowie zarządu, administrator czy agenci ochrony, a więc osoby, które najczęściej mają dostęp do systemu monitoringu, znają z racji pełnionych funkcji większość mieszkańców i użytkowników lokali, a zatem mogą ich bez trudu rozpoznać. W świetle powyższego należy więc uznać, iż dane przetwarzane w systemie monitorującym teren wspólnoty, nawet jeśli obraz nie jest rejestrowany, spełniają definicję danych osobowych zamieszczoną w RODO.
Stanowisko takie znalazło też potwierdzenie w decyzji PUODO nr DS.523.189.2020, w której organ nadzorczy dokonał m.in. oceny stosowania przez firmę wideodomofonu w celu identyfikacji, a następnie weryfikacji uprawnienia do wejścia na teren budynku. Jak wskazywała kontrolowana firma, za pośrednictwem wideodomofonu przeprowadzana była krótkotrwała komunikacja z udziałem podglądu wizyjnego – obraz z kamery przesyłany był na ekran recepcjonisty. Po analizie wszystkich okoliczności sprawy PUODO uznał, że przetwarzanie danych osobowych skarżącego za pomocą wideodomofonu nie naruszało jego praw i wolności i było prowadzone na podstawie art. 6 ust. 1 lit. f RODO, tj. ze względu na prawnie uzasadniony interes administratora polegający na kontroli dostępu do siedziby firmy. Tym niemniej w decyzji tej organ podkreślił, iż dochodziło tu – mimo braku zapisu obrazu – do przetwarzania danych osobowych.
Brak zapisu
Takie stanowisko potwierdził także w całej rozciągłości Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 12 października 2022 r. (sygn. akt II SA/Wa 153/22). Sąd rozpatrywał skargę na decyzję PUODO dotyczącą m.in. przetwarzania danych osobowych przez spółkę, w której siedzibie zainstalowany był wideodomofon wyposażony w kamerę, przekazującą bieżący obraz na komputer znajdujący się w sekretariacie zarządu, a obraz ten nie był ani zapisywany, ani utrwalany w inny sposób.
PUODO w zaskarżonej później do sądu administracyjnego decyzji stwierdził, że monitoring wizyjny może być prowadzony: z bieżącym podglądem (bez zapisywania obrazu na nośnikach danych), w formie zapisu na nośnikach danych w celu późniejszego odtworzenia lub jako połączenie obu form. W każdym jednak z powyższych przypadków dochodzi do przetwarzania danych osobowych osób obserwowanych. Monitoring w czasie rzeczywistym może przy tym wiązać się z większym stopniem inwazyjności w prywatność podmiotu danych niż przechowywanie i automatyczne usuwanie nagrań po upływie określonego czasu. WSA natomiast uznał, iż ustalenie, czy dane osobowe skarżącego w postaci jego wizerunku były przetwarzane za pomocą kamery wideodomofonu, czy kamery przemysłowej skierowanej na wejście do siedziby spółki, nie mogło mieć istotnego znaczenia dla rozstrzygnięcia sprawy, a tym samym nie mogło wpłynąć na prawidłowość konkluzji organu nadzorczego, że przetwarzanie danych osobowych skarżącego znajdowało oparcie w art. 6 ust. 1 lit. f RODO. W prawnie uzasadnionym interesie spółki było bowiem, w ocenie sądu, zapewnienie kontroli dostępu do jej pomieszczeń. Z akt sprawy nie wynikało natomiast, by wizerunek skarżącego był przetwarzany za pomocą kamery w innym celu niż kontrola dostępu. Wobec powyższego sąd orzekł, iż organ nadzorczy zasadnie stwierdził, że przetwarzaniu danych osobowych skarżącego w postaci jego wizerunku nie sprzeciwiał się nadrzędny wobec interesu spółki interes skarżącego lub jego podstawowe prawa i wolności. Wejście do siedziby firmy jest bowiem miejscem, w którym rozsądne przesłanki pozwalają spodziewać się kontroli dostępu. Jednocześnie jednak sąd wyraźnie zaznaczył, że w omawianej sprawie nastąpiło przetwarzanie danych osobowych (wizerunku skarżącego), mimo że dane te nie były w żaden sposób zapisywane na jakimkolwiek nośniku.
Piotr Brogowski
dr Piotr Pałka
radca prawny
KancelariA DERC PAŁKA Kancelaria Radców Prawnych w Warszawie
Brak stabilności opinii PUODO i podejścia organu nadzoru do spraw kluczowych dla potencjalnych administratorów danych przestaje już dziwić. Takich przykładów braku konsekwencji można mnożyć. Natomiast sytuacja z jaką mamy teraz obecnie do czynienia tj. przyjęcie jakoby monitoring wizyjny na żywo miałby stanowić przetwarzanie danych osobowych może budzić wątpliwości. Niestety mamy obecnie do czynienia z tzw. prawem powielaczowym. Wytyczne „EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo” (wersja 2.0 przyjęta 29 stycznia 2020 r.) wskazują, że monitoring bez zapisu stanowi formę przetwarzania danych osobowych, przez co podlega postanowieniom RODO, i w tym duchu UODO wypowiedział się także w ramach swojego biuletynu. Moim zdaniem takie podejście może budzić wątpliwości, gdyż trudno mówić o przetwarzaniu danych osobowych w sytuacji, gdy dane te nie są utrwalane. Równie dobrze zamiast monitoringu wizyjnego można byłoby zamontować system luster, które pokazywałyby kto wchodzi to budynku i w ślad za taką interpretacją lustra również rodziłyby skutek w postaci przetwarzania danych osobowych. Dochodzi do absurdów prawnych, gdzie najpierw tworzy się jakieś akty prawne, a następnie nie mamy do czynienia z ich stosowaniem, ale z prawotwórczą rolą sądów albo organów. Zjawisko prawotwórczej roli sądów i organów nie jest moim zdaniem pozytywnym kierunkiem na drodze wykładni przepisów, gdyż dochodzi w takim wypadku do tworzenia prawa w oderwaniu od tego prawa. Niezależnie od powyższego pozostaje dalej śledzić kolejne orzeczenia w podobnych sprawach jak również samo podejście Prezesa Urzędu Ochrony Danych Osobowych.
Michał Wróblewski
prawnik
Kancelaria Prawna Filipek & Kamiński sp.j.
Stały rozwój nowych technologii wymusza dostosowywanie obowiązujących przepisów prawnych do aktualnego poziomu rozwoju informatycznego oraz technologicznego. Unijne oraz krajowe interpretacje, nie tylko w zakresie przetwarzania danych osobowych, ale także tego jakie dane zaliczamy do danych osobowych, ulegają ciągłym zmianom. Zmiany te są oczywiście w interesie osób, których dane ulegają przetwarzaniu czyli osób nagrywanych za pomocą monitoringu bieżącego. Natomiast obowiązki administratorów (osób lub podmiotów, które przetwarzają dane osobowe) rosną wprost proporcjonalnie do poziomu zwiększania praw osób, których dane są przetwarzane. Wymusza to ciągłe monitorowanie zmian nie tylko przepisów krajowych czy unijnych (co już sprawia niemało problemów), ale jak pokazuje przykład monitoringu bieżącego, także orzecznictwa oraz decyzji wydawanych przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO), orzecznictwa Wojewódzkich Sądów Administracyjnych czy decyzji Generalnego Inspektora Ochrony Danych Osobowych (GIODO), których rocznie wydawanych jest nawet kilkaset. Nie sposób jest na bieżąco śledzić wszystkie, niekiedy sprzeczne lub niejasne, interpretacje czy też decyzje. Administratorom pozostaje więc przyswojenie podstawowych zasad jakie określa RODO w zakresie tego czym są dane osobowe oraz czym jest ich przetwarzanie, z zastrzeżeniem, że w przypadku wątpliwości czy nasze działanie jest przetwarzaniem danych osobowych zawsze należy uznać, że tak. Pamiętajmy również, że nie każde wykorzystanie danych innej osoby będzie przetwarzaniem danych osobowych w rozumieniu RODO. RODO traktuje za dane osobowe wyłącznie informacje, które pozwalają nam zidentyfikować konkretną osobę. Dla przykładu posiadając wyłącznie imię i nazwisko nie jesteśmy przeważnie w stanie ustalić tej jednej, konkretnej osoby, do której wskazane imię i nazwisko należą. Nie możemy więc dokonać jej identyfikacji.
Podobnie jest w przypadku monitoringu. Jeżeli administrator dokonuje bieżącego podglądu to, w rozumieniu najnowszych interpretacji, dochodzi do przetwarzania danych osobowych. W mojej ocenie jednak nie zawsze, a każdy przypadek należy interpretować indywidualnie. Możemy bowiem wyobrazić sobie sytuację, w której na nagraniu z monitoringu widać samą posturę osoby nagrywanej – w takiej sytuacji nie dochodzi więc do identyfikacji konkretnej osoby.
Remedium na wskazane problemy zawiera samo RODO, a dokładniej jego art. 6 ust. 1 lit. f), który wskazuje, że podmioty prywatne (w tym wspólnoty mieszkaniowe) mogą dokonywać przetwarzania danych osobowych z uwagi na tzw. prawnie uzasadniony interes administratora. W takim przypadku interesem jest zapewnienie ochrony osób, mienia oraz zwiększenie bezpieczeństwa. Uznanie takiej ochrony za uzasadniony interes potwierdził w swoim stanowisku Trybunał Sprawiedliwości UE w wyroku z dnia 11 grudnia 2014 r. w sprawie C-212/13 Ryneš.
Należy również pamiętać, że prawidłowo zastosowany monitoring wizyjny wymaga przekazania informacji osobom nagrywanym o tożsamości administratora danych oraz pozostałych informacjach wynikających z art. 13 RODO.