Artykuł 15 RODO a monitoring wideo - obowiązek udostępniania nagrań

Kiedyś myśleliśmy o danych osobowych w kontekście osobistych numerów identyfikacyjnych, dat urodzenia, dokumentacji medycznej i wpisów w różnego rodzaju dokumentach. Ale faktem jest, że wszystko, co pozwala komukolwiek na identyfikację danej osoby i powiązanie tych danych z innymi informacjami, jest uważane za dane osobowe. Nie inaczej jest w przypadku wizerunków osób zarejestrowanych na materiałach wideo czy foto. Stwarza to poważne konsekwencje prawne dla każdego, kto korzysta z monitoringu wizyjnego lub robi, zbiera i przechowuje zdjęcia osób trzecich.

Dotyczy to wszystkich rodzajów operatorów telewizji przemysłowej (CCTV), w tym firm ochroniarskich, operatorów kolei, parkingów, placówek medycznych i wielu innych. Podobnie firmy GIS (Geographic Information Systems), firmy budowlane i instytucje badawcze zbierają duże ilości zdjęć na potrzeby dokumentacji w ramach swoich projektów. Wszystkie one podlegają temu samemu systemowi ochrony prywatności i danych osobowych, co w przypadku danych niewizualnych. A jeśli dane są gromadzone z powodów komercyjnych i na skalę przemysłową, obowiązki stają się bardziej rygorystyczne, a ich niedopełnienie wiąże się ze znacznie wyższymi grzywnami i karami za każde naruszenie. Wszystkie Twoje systemy, procesy i środki muszą zapewniać bezpieczeństwo, dostęp i zgodne z prawem udostępnianie danych osobowych.

Prawa osoby, której dane dotyczą, zgodnie z art. 15 RODO

Artykuł 15 ogólnego rozporządzenia o ochronie danych gwarantuje prawo dostępu do przetwarzanych informacji wszystkim osobom, których te dane dotyczą. Oznacza to, że nie tylko upoważnione urzędy, organy rządowe i organy ścigania (takie jak policja) mogą żądać zdjęć lub nagrań. Każdy, kto został uchwycony na zdjęciu lub filmie, może złożyć wniosek o kopię materiału, w którym został zarejestrowany. Jeśli Twoja organizacja gromadzi dane osobowe w dowolnej formie, możesz napotkać sytuację, w której ktoś zażąda ich ujawnienia. Jaka powinna być Twoja reakcja?

Przede wszystkim każda osoba ma prawo zwrócić się do administratora danych osobowych o potwierdzenie, czy jej dane są przetwarzane. W takim przypadku, zgodnie z przepisami RODO, może ona żądać dostępu do nich:

„Osoba, której dane dotyczą, ma prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, prawo dostępu do tych danych […]”

Art. 15 RODO: Prawo dostępu do danych osoby, której dane dotyczą

“The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data […]”

Art. 15 GDPR: Right of access by the data subject

W takiej sytuacji Ty, jako administrator danych osobowych, musisz podać takiej osobie następujące informacje:

• cele przetwarzania danych osobowych,
• kategorie przetwarzanych danych,
• odbiorcy danych (zwłaszcza w krajach trzecich i organizacjach międzynarodowych),
• planowany okres przechowywania danych (lub kryteria jego ustalania),
• prawa osoby, której dane dotyczą (w tym prawo do sprostowania, usunięcia lub ograniczenia przetwarzania danych, ale także wniesienia skargi),
• źródło danych osobowych (chyba że zostały zebrane bezpośrednio od osoby, której dane dotyczą),
• informacje o zautomatyzowanych procesach decyzyjnych (w tym profilowanie).

Twoje obowiązki jako administratora danych osobowych - udostępnianie nagrań i zdjęć na żądanie

Po otrzymaniu żądania dostępu do danych osobowych administrator ma obowiązek przekazać kopię danych osobie, której dane dotyczą. W naszym przypadku - jest to wycinek nagrania lub zdjęcia zawierający wizerunek osoby, której dane dotyczą.

Za kolejne kopie można pobierać rozsądną opłatę administracyjną, ale w praktyce rzadko się to zdarza. Informacje są zazwyczaj przekazywane drogą elektroniczną, chyba że we wniosku stwierdzono inaczej.

Bardzo często zdarza się, że organizacje przetwarzające dane osobowe odmawiają dostarczenia kopii, argumentując, że mogą to zrobić tylko na żądanie policji i innych upoważnionych organów i agencji. To oczywiście nieprawda. Zaniedbanie takich roszczeń może znacznie pogorszyć sytuację podmiotu przetwarzającego dane, który w związku z tym jest narażony na jeszcze surowsze grzywny nakładane przez krajowe organy ochrony danych.

Innym powodem odmowy jest stwierdzenie, że na zdjęciu lub nagraniu znajdują się inne osoby niż osoba, której dane dotyczą. Oczywiście kluczowe znaczenie ma to, aby przy przekazywaniu przetwarzanych danych osobowych respektować również prawa innych osób, których informacje dotyczą. Prawo do uzyskania kopii nie powinno mieć negatywnego wpływu na prawa innych osób. Oznacza to, że nie możesz ujawnić tożsamości innych osób, jeśli znajdują się one na nagraniu lub zdjęciu.

Tego rodzaju uzasadnienie odmowy dostępu jest również bezpodstawne, ponieważ łatwo można podjąć kroki w celu ochrony prywatności innych osób pojawiających się w materiałach. W przeszłości jedynym sposobem na to było ręczne zamazywanie twarzy i tablic rejestracyjnych, co wymagało odpowiedniego oprogramowania i wykwalifikowanego personelu. Na dużą skalę metoda ta była kosztowna i nieskuteczna. Dzięki postępowi technologicznemu można dziś korzystać z rozwiązań takich jak oprogramowanie do automatycznej anonimizacji twarzy i tablic rejestracyjnych, które jest powszechnie dostępne i łatwe w użyciu.

Podsumowując - w teorii administrator ma prawo odmówić wydania kopii danych tylko w przypadku następujących scenariuszy:

• oczywista bezzasadność lub nadmierność wniosku,
• złożenie wniosku w innej formie niż wynika to z przepisów o ochronie danych,
• rzeczywiste zagrożenie praw innych osób.

W praktyce naprawdę trudno jest (jeśli nie jest to niemożliwe) udowodnić którykolwiek z wyżej wymienionych warunków.

Jaka jest kara za nieprzestrzeganie przepisów?

Ponieważ na skalę masową rozpowszechniony jest już monitoring wizyjny i gromadzenie zdjęć, organy regulacyjne stają się również świadome wyzwań związanych z zapewnieniem prywatności. Z drugiej strony obywatele i konsumenci są również lepiej poinformowani o swoich prawach. W wyniku skarg i grzywien za odmowę dostarczenia materiałów na żądanie osobie, której dane dotyczą - co jeszcze było rzadkim wyjątkiem zaledwie kilka lat temu - obecnie jest bardziej powszechne, a ta tendencja nadal rośnie.

Poniżej wymieniamy niektóre z ostatnio nałożonych grzywien, które ukazują wagę tego problemu:

• W 2020 roku właściciel lokalnego sklepu na Węgrzech odmówił przekazania materiału wideo z monitoringu CCTV. Krajowy organ ochrony danych uznał, że jest to rażące naruszenie art. 15 RODO i nałożył na niego grzywnę w wysokości 54 800 EUR.
• W 2022 roku chorwacka firma energetyczna obsługująca stacje benzynowe otrzymała za podobne naruszenie grzywnę w wysokości 124 000 EUR.
• W Irlandii Rada Miasta i Hrabstwa Limerick została ukarana grzywną w wysokości 110 000 EUR za kilka naruszeń i zaniedbań w zakresie monitoringu CCTV. Irlandzki organ ochrony danych odniósł się w decyzji m.in. do art. 15 RODO.
• W tym samym roku hiszpański organ ochrony danych nakazał Mercadona S.A., sieci supermarketów, nałożenie grzywny w wysokości 170 000 EUR, za odmowę dostępu do nagrań z monitoringu wideo. Osoba, której dane dotyczą, uległa wypadkowi i poprosiła o udostępnienie nagrań na żądanie.

Czy chciałbyś dowiedzieć się więcej o nałożonych ostatnio grzywnach za naruszenie art. 15 RODO w związku z monitoringiem wizyjnym? Bądź na bieżąco, wkrótce opublikujemy osobny materiał na ten temat.

Zostaw swój adres e-mail, aby być jednym z pierwszych, którzy otrzymają nasz raport!