30 stycznia 2020 r. Europejska Rada Ochrony Danych (EROD), będąca niezależnym organem działającym na rzecz spójnego stosowania zasad wynikających z RODO w całej Unii Europejskiej, opublikowała „Wytyczne dotyczące przetwarzania danych osobowych za pośrednictwem urządzeń wideo”[1] (dalej: Wytyczne). Z uwagi na szerokie zastosowanie w środowisku sportowym różnego typu kamer, chociażby w celu zabezpieczenia obiektów sportowych lub budynków klubowych, ale również w celu rejestrowania treningu i doskonalenia umiejętności, swoje najbliższe wpisy poświęcę na przybliżenie zawartych w Wytycznych rekomendacji.
Wytyczne EROD koncentrują się w głównej mierze na systemach bezpieczeństwa i monitoringu przemysłowym, które obejmują swoim działaniem przestrzeń publiczną. Podmioty sektora publicznego i prywatnego mogą dzięki nim nie tylko zwiększać poziom ochrony mienia, życia lub zdrowia, ale również analizować zachowania nagranych osób. W połączeniu z algorytmami umożliwiającymi analizę danych biometrycznych bądź chociażby liczenia osób okazuje się, że istnieje spore ryzyko zbyt daleko idącego przetwarzania danych osobowych. Z tego powodu EROD podkreśla w ust. 5 Wytycznych, iż nadzór wideo nie jest koniecznością, jeżeli istnieją inne środki do osiągnięcia podstawowego celu.
Rodzaj danych osobowych i dedykowane obowiązki
Chcąc korzystać z monitoringu wideo, w pierwszej kolejności należy zidentyfikować, jakie dane osobowe będą podlegać przetwarzaniu. Efektem funkcjonowania monitoringu jest przeważnie gromadzenie i zatrzymywanie informacji obrazowych lub audiowizualnych na temat wszystkich osób wchodzących na monitorowaną przestrzeń, których tożsamość można zidentyfikować na podstawie ich wyglądu lub innych określonych elementów. Dodatkowo monitoring umożliwia dalsze przetwarzanie danych osobowych dotyczących obecności i zachowania osób w danej przestrzeni. Potencjalne ryzyko niewłaściwego wykorzystania tych danych rośnie w zależności od wymiaru monitorowanej przestrzeni, a także liczby osób ją odwiedzających.
Z tych powodów art. 35 ust. 3 lit c) oraz art. 37 ust. 1 lit. b) RODO przewidują specjalne obowiązki.
Pierwszy z nich stanowi, iż w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie wymaganym jest przeprowadzenie oceny skutków dla ochrony danych. Jej niezbędnymi elementami są:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- określenie środków planowanych w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.
Drugi odnosi się konieczności powołania Inspektora Ochrony Danych.
Art. 37 ust. 1 lit. b RODO
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy (…) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę
Wyłączenia
Korzystając z urządzeń wideo nie można zapominać, że RODO przewidziało także sytuacje, w których nie ma potrzeby stosowania się do jego postanowień. Taka sytuacja zachodzi wówczas, gdy np. dana osoba nie może zostać zidentyfikowana bezpośrednio lub pośrednio na podstawie utrwalonego nagrania. EROD w ust. 8 Wytycznych przedstawiła korespondujące z wyłączeniem przykłady.
- korzystanie ze sztucznej kamery (brak rejestrowania obrazu lub dźwięku = brak przetwarzania danych)
- Nagrania z dużej wysokości wchodzą w zakres RODO tylko wtedy, gdy w danych okolicznościach przetwarzane dane mogą być powiązane z konkretną osobą.
- Kamera – asystent parkowania. Jeśli kamera jest skonstruowana lub wyregulowana w taki sposób, że nie gromadzi żadnych informacji dotyczących osoby fizycznej (takich jak tablice rejestracyjne lub informacje, które mogłyby zidentyfikować osoby przechodzące obok) RODO nie ma zastosowania.
Ponadto, zgodnie z art. 2 ust. 2 lit. c RODO „Rozporządzenie nie ma zastosowania do przetwarzania danych osobowych (…) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”.
Jednakże w przypadku monitoringu wideo trzeba podchodzić do tego wyłączenia bardzo ostrożnie. W swoich orzeczeniach Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wskazał, że „czynności o osobistym lub domowym charakterze należy traktować jako odnoszące się wyłącznie do czynności wykonywanych w życiu prywatnym lub rodzinnym, co oczywiście nie ma miejsca w przypadku przetwarzania danych osobowych polegającego na publikacji w Internecie, aby dane te zostały udostępnione nieokreślonej liczbie osób”[2].
Ponadto, jeżeli system nadzoru wideo, w zakresie, w jakim obejmuje on ciągłe rejestrowanie i przechowywanie danych osobowych, obejmuje „nawet częściowo przestrzeń publiczną i zgodnie z tym jest skierowany na zewnątrz z prywatnego otoczenia osoby przetwarzającej dane w ten sposób, to nie może być uważany za działalność o charakterze czysto „osobistym lub domowym” (…) ”[3].
Trudno jest zbudować katalog rodzajów przetwarzania, które zawsze podlegać będą „domowemu wyłączeniu”. Każdy przypadek należy analizować osobno. Poza wymienionymi przez TSUE przesłankami, wpływ na wyłączenie spod przepisów ROOD mogą mieć także: a) osobiste relacje z osobą, której dane dotyczą, b) częstotliwość korzystania z monitoringu / nagrywania obrazu, c) charakter monitoringu (czy wynika z działalności zawodowej administratora?), d) potencjalnie negatywne skutki dla osoby, której dane dotyczą.
W ust. 13 Wytycznych, EROD zawarła przykładowe sytuacje, mające na celu wyjaśnienie niektórych spośród mogących się pojawić wątpliwości.
- Turysta nagrywa filmy wideo zarówno za pomocą telefonu komórkowego, jak i kamery, aby udokumentować swoje wakacje. Pokazuje materiał wideo znajomym i rodzinie, ale nie udostępnia go nieokreślonej liczbie osób. Sytuacja podlega „domowemu wyłączeniu”.
- Kolarz ma zamiar nagrać swój górski zjazd kamerą przytwierdzoną do kasku. Nagrany materiał planuje wykorzystać wyłącznie dla swojej prywatnej rozrywki. Sytuacja podlega „domowemu wyłączeniu”, nawet jeśli do pewnego stopnia przetwarzane byłyby dane osobowe.
- Osoba monitoruje i nagrywa własny ogród. Teren jest ogrodzony. Wyłącznie właściciel i jego rodzina regularnie wchodzą do ogrodu. Sytuacja podlega „domowemu wyłączeniu” pod warunkiem że nadzór wideo nie rozciąga się nawet częściowo na przestrzeń publiczną lub nieruchomości sąsiednie.
Dzisiejszy blog miał charakter wprowadzający i służył zobrazowaniu skali zagadnienia jakim jest przetwarzanie danych osobowych za pomocą urządzeń wideo. W kolejnym wpisie analizie zostaną poddane Wytyczne dotyczące podstaw prawnych przetwarzania danych, które należy zidentyfikować, aby rejestrowanie wizerunku było uznane za legalne. Przybliżę również okoliczności związane z udostępnianiem materiałów wideo podmiotom trzecim.
(fot. pixabay, zdjęcie ma charakter ilustracyjny)
[1] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en
[2] Trybunał Sprawiedliwości Unii Europejskiej, wyrok w sprawie C-101/01, sprawa Bodil Lindqvist, 6 listopada 2003 r., Pkt 47
[3] Trybunał Sprawiedliwości Unii Europejkiej, wyrok w sprawie C-212/13, František Ryneš przeciwko Úřad pro ochranu osobních údajů, 11 grudnia 2014 r., Pkt. 33