Monitoring wideo jest dziś elementem codzienności - od kamer CCTV w sklepach i inteligentnych miastach, przez systemy kontroli dostępu, po kamery samochodowe. Choć technologia stosowana na całym świecie bywa podobna, przepisy regulujące monitoring różnią się znacząco. Najważniejsze globalne regulacje, takie jak europejskie RODO, brytyjskie UK GDPR, kalifornijskie CCPA/CPRA, brazylijska LGPD czy południowoafrykańska POPIA, traktują nagrania wideo jako dane osobowe, jeśli osoba może zostać zidentyfikowana [1][6][7][8]. Poniższy przegląd opisuje, jak poszczególne systemy prawne regulują monitoring wideo oraz jakie obowiązki mają administratorzy. Tekst ma charakter informacyjny i nie stanowi porady prawnej.
Wszystkie współczesne regulacje dotyczące prywatności rozpoczynają się od tej samej zasady: jeśli dana osoba może zostać zidentyfikowana na nagraniu, jest to przetwarzanie danych osobowych i podlega przepisom.
RODO definiuje dane osobowe jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, co obejmuje nagrania wideo, jeśli na ich podstawie można rozpoznać osobę [1]. UK GDPR powtarza tę zasadę. Brytyjskie ICO wskazuje, że większość nagrań CCTV i kamer nasobnych stanowi dane osobowe, jeśli osoby mogą zostać rozpoznane [2][3]. Podobne definicje znajdują się w brazylijskiej LGPD i południowoafrykańskiej POPIA [7][8].
Najczęstsze zastosowania to: kamery CCTV w sklepach i centrach handlowych, systemy rozpoznawania tablic ANPR/LPR na parkingach, wideodomofony i monitoring wejść do budynków, kamery nasobne ochrony oraz zintegrowane systemy miejskie. Nawet jeśli nagrania służą bezpieczeństwu lub przeciwdziałaniu stratom, regulatorzy traktują je jako pełnoprawne przetwarzanie danych osobowych, wymagające zgodności z zasadami minimalizacji, proporcjonalności, przejrzystości i praw podmiotów danych.
RODO i UK GDPR są najbardziej rozwiniętymi, kompleksowymi regulacjami dotyczącymi monitoringu. W Europie organy nadzorcze publikują szczegółowe wytyczne dotyczące CCTV.
Administrator musi wskazać podstawę prawną, np. uzasadniony interes polegający na przeciwdziałaniu kradzieżom, zapewnieniu bezpieczeństwa, wykonaniu obowiązku prawnego lub - rzadziej - zgodę [1]. Organy uznają zgodę za nieracjonalną w ciągłym monitoringu przestrzeni publicznej.
Artykuł 35 RODO wymaga przeprowadzenia DPIA, jeśli przetwarzanie może powodować wysokie ryzyko, w tym przy systematycznym monitoringu przestrzeni publicznie dostępnych [1].
ICO wymaga wyraźnych oznaczeń, dostępnej polityki prywatności i procedur obsługi żądań dostępu, sprzeciwu i usunięcia danych [2][3].
CCPA i CPRA regulują monitoring jako „personal information”, gdy można je powiązać z konsumentem lub gospodarstwem domowym [4][5].
CCPA szeroko definiuje dane osobowe, obejmując nagrania wideo z widoczną twarzą, sylwetką lub tablicą rejestracyjną [4]. CPRA kładzie nacisk na „sensitive personal information” [5].
Firmy muszą ujawniać kategorie danych i cele, w tym monitoring bezpieczeństwa. Gdy nagrania są udostępniane usługodawcom, musi to wynikać z polityk i umów [4][5].
Konsumenci mają prawo dostępu i usunięcia danych, co w przypadku wideo wymaga anonimizacji lub redakcji osób trzecich [4][5].
LGPD i POPIA rozszerzają podejście podobne do RODO na dwa duże rynki.
LGPD obejmuje każde przetwarzanie danych w Brazylii lub skierowane do osób w Brazylii [7]. Dla monitoringu mogą być wymagane raporty o wpływie podobne do DPIA.
Nagrania CCTV podlegają warunkom POPIA dotyczącym celu, jakości informacji, otwartości, bezpieczeństwa i praw podmiotów danych [8][9].
Organy w Brazylii i RPA coraz częściej odnoszą się do praktyk wynikających z RODO [7][8][9].
Pomimo różnic koncepcyjnych, przepisy wykazują liczne podobieństwa w podejściu do monitoringu.
We wszystkich systemach wymagane jest uzasadnienie celu i zgodność z zasadą minimalizacji [1][7][8]. CCPA/CPRA skupia się bardziej na transparentności i kontroli przez konsumenta [4][5].
Prawa te obowiązują w RODO, LGPD i POPIA oraz częściowo w CCPA/CPRA. Największym wyzwaniem pozostaje anonimizacja osób trzecich [1][4][7][8].
RODO i LGPD ograniczają możliwość bazowania na zgodzie pracownika, POPIA również wymaga zasadności i proporcjonalności [1][7][8]. W Kalifornii CPRA rozszerza prawa na pracowników [5].
Przekucie przepisów w codzienną praktykę bywa najtrudniejsze.
Regulatorzy wymagają mapowania kamer, celów przetwarzania, retencji i kontroli dostępu [1][7][8].
Organy (ICO, EDPB i inne) wymagają maskowania osób trzecich [2][3]. W praktyce organizacje używają narzędzi takich jak Gallio PRO, które automatyzują wykrywanie i rozmywanie twarzy, tablic rejestracyjnych i obiektów w nagraniach, co pozwala zachować zgodność i unikać opóźnień.
Organy wymagają wdrożonych polityk, logów dostępu, DPIA lub raportów wpływu i cyklicznych przeglądów [1][2][7][8].
W większości przypadków tak, jeśli osoby mogą zostać zidentyfikowane.
Zwykle nie - częściej stosuje się uzasadniony interes, choć należy zapewnić przejrzystość i prawa jednostki.
Brak jednej globalnej wartości; retencja musi być uzasadniona celem.
Tak, w większości systemów prawnych - z obowiązkiem anonimizacji osób trzecich.
Tak - szczególnie rozpoznawanie twarzy lub analiza emocji.
