Etyczny monitoring - czym jest i jak spełniać jego standardy

Zakres i sposób przetwarzania danych przez nagrywające kamery jest ściśle określony między innymi przez RODO, dlatego wiedza czym jest etyczny monitoring i jak spełniać jego standardy powinna być dla przedsiębiorców podstawowa.

Jest kilka dokumentów określających prawne powinności posiadaczy systemu monitoringu. Jednym z nich jest oczywiście RODO, rozporządzenie o ochronie danych osobowych z 2016 roku. W ciągu wielu godzin nieustannej pracy kamera potrafi zarejestrować tysiące twarzy. Współczesna technologia pozwala z łatwością zidentyfikować osoby znajdujące się na nagraniach. To dlatego twarze są kwalifikowane jako dane osobowe, a nagrania na którym się znajdują to jeden ze sposobów ich przetwarzania. Według artykułu piątego RODO dane osobowe muszą być “przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty (...)” oraz “zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach (...)”, dlatego etyczny monitoring jest wymogiem dla posiadaczy nagrań.

Mimo niechęci przedsiębiorców do wdrażania procedur ochrony danych osobowych w firmie, łatwo wyobrazić sobie z życia wziętą sytuację zagrażającą dobru firmy. Załóżmy, że przedsiębiorca przechowuje terabajty danych, filmów i zdjęć na których widać twarze pracowników i klientów. Dane wyciekają do internetu wraz z hasłami dostępowymi pracowników, z tego lub innego powodu. Same filmy z pracownikami nic potencjalnym przestępcom o osobach nie mówią. Nie znają ich imienia, nazwiska, adresu mailowego czy adresu zamieszkania. Po zastosowaniu narzędzi do rozpoznawania twarzy, przypadkowa osoba z filmu może zostać połączona z profilem w mediach społecznościowych. Nagle okazuje się, że do posiadanych haseł można znaleźć loginy, poszukać adresy mailowe itd.

Etyczny monitoring zakłada, że administrator danych już na etapie projektowania systemu będzie myślał o takiej sytuacji.

Etyczny monitoring jest sposobem rejestrowania i przechowywania danych osobowych w sposób zgodny z prawem i zapewniający maksymalne bezpieczeństwo wszelkich podmiotów. Na etyczny monitoring składa się szereg czynności, które muszą zostać wykonane, aby wideo mogło być w pełni chronione. Chronione, czyli takie, które nie pozwala na rozpoznanie osoby z wideo.

Szerzej na temat czynności wykorzystywanych przy przetwarzaniu danych osobowych w materiałach wideo mówi unijny dokument wydany przez Europejską Radę Ochrony Danych ( Guidelines 3/2019 on processing of personal data through video devices ). Oprócz praktycznych wskazówek dotyczących bezpośrednich działań organizacyjnych i technicznych, w dokumencie dobrze przedstawiona jest teoria, dotycząca takich pojęć jak dane biometryczne czy informacje i ich podział.

Żeby spełniać standardy etycznego monitoringu trzeba postępować zgodnie z artykułem szóstym RODO, który skupia się na zgodności przetwarzania danych z prawem. Według niego, aby monitoring był etyczny przedsiębiorca musi spełnić co najmniej jeden z sześciu warunków przetwarzania danych:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych (...)
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą(...)
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (...)
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Oprócz tego, żeby móc nazwać monitoring etycznym trzeba przetwarzać dane w sposób “zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych” (wedle podpunktu „f” artykułu piątego).

W tym celu administrator danych bądź przedsiębiorca powinien zadbać o wielostopniowy system zabezpieczeń monitoringu, ocenę skutków dla ochrony danych, ich minimalizację i co najważniejsze – na tyle, na ile jest to możliwe uzyskać pisemną zgodę osób, których dane są przetwarzane (umowa o wykorzystanie wizerunku).

Najważniejsze jednak pozostaje anonimizowanie danych. W ramach etycznego monitoringu przedsiębiorca lub jednostka samorządowa potrafi założyć, że dane zostaną udostępnione (atak hackerski, błąd ludzki). Etyczny, to taki który daje bezpieczeństwo pracownikowi i osobom trzecim bez względu na scenariusz. Etyczny to też taki, który zapobiega wycieków i błędom.

Aby zapewnić kompleksowe bezpieczeństwo danych osobowych znajdujących się na nagraniach monitoringu należy poddać je anonimizacji. Proces ten polega na przekształceniu danych osobowych w sposób uniemożliwiający przyporządkowanie poszczególnych informacji do określonej lub możliwej do zidentyfikowania osoby fizycznej.

Można go wykonać ręcznie, jednak wiąże się to z wielogodzinną, żmudną pracą o niskiej wydajności. Dlatego najlepszym wyborem dla anonimizacji długich nagrań monitoringu jest aplikacja Gallio.pro . Wystarczy tylko załadować pożądany plik wideo i nacisnąć start aby w ciągu kilku sekund wymazać setki, a nawet tysiące danych osobowych z nagrań.