Wybrane kary związane z monitoringiem wizualnym w UE
Wizerunek osoby fizycznej jest niewątpliwie danymi osobowymi i podlega takiej samej ochronie prawnej jak dane niewizualne.
Każda firma korzystająca z monitoringu wizyjnego powinna znać i przestrzegać przepisów prawnych dotyczących ochrony danych osobowych. Naruszenia tych przepisów, w tym niezapewnienie bezpieczeństwa danych, zagrożone są surowymi grzywnami i karami.
Tym samym funkcjonowanie wielu organizacji zmieniło się od czasu wprowadzenia rozporządzenia RODO w 2018 roku. Dziś banki, sklepy, urzędy pocztowe, firmy ochroniarskie, parkingi, placówki medyczne i operatorzy innego rodzaju telewizji przemysłowej muszą dostosować się do nowych wymogów osobowych. przepisy i wymagania dotyczące ochrony danych. Jak jednak pokazują przypadki przedstawione w niniejszym raporcie, w tym zakresie jest jeszcze wiele do zrobienia.
Organy ochrony danych coraz częściej odnotowują naruszenia art. 15 RODO w monitoringu wizyjnym
Art. 15 RODO nie pozostawia wątpliwości – prawo dostępu do tych informacji ma każdy, czyj wizerunek znajduje się na nagraniu lub zdjęciu (o czym szczegółowo piszemy na naszym blogu). Osoba taka może także żądać kopii danych (nagrania) zawierających jej wizerunek.
Oczywiście udostępnienie kopii nie powinno mieć negatywnego wpływu na prawa innych osób. Na szczęście istnieją sposoby na ochronę prywatności innych osób występujących na nagraniu. Jedną z nich jest metoda zamazywania twarzy wykorzystująca technologię widzenia komputerowego (tzw. oprogramowanie do anonimizacji AI).
Nadzór wideo i ryzyko
Monitoring wideo jest jednym z najczęściej stosowanych narzędzi bezpieczeństwa. Chociaż jest to przydatne rozwiązanie, wiąże się z wieloma wyzwaniami i ograniczeniami, w tym przepisami dotyczącymi przetwarzania danych osobowych nałożonymi przez RODO.
W miarę jak społeczeństwo jest obecnie coraz bardziej świadome swoich praw, pojawia się coraz więcej skarg na odmowę udostępnienia materiałów na żądanie osoby, której dane dotyczą. Dlatego też Europejskie Organy Ochrony Danych nakładają kary na organizacje naruszające to prawo.
W tym raporcie zebraliśmy kilka przykładów ostatnich kar za naruszenie art. 15 i innych przepisów RODO. Każda firma stosująca monitoring wizyjny na swoim terenie powinna się z nim zapoznać, aby zrozumieć, jakie praktyki są zgłaszane i karane na mocy przepisów niniejszego rozporządzenia o ochronie danych osobowych.
Lista wybranych kar i grzywien RODO:
(GDPR Art.)
1. Przypadek hiszpańskiej sieci supermarketów
(GDPR Art.)
Mercadona S.A. to jedna z wiodących hiszpańskich firm zajmujących się handlem detalicznym i internetowym. W 2022 roku hiszpański DPA (Agencia Española de Protección de Datos – AEPD) wydał decyzję, na mocy której sieć supermarketów została obciążona karą za naruszenie praw wynikających z RODO – na firmę nałożono karę w wysokości 170 000 euro. Kara dotyczyła naruszenia art. 12 i 15 RODO poprzez nieustosowanie się do żądania osoby, której dane dotyczą, a także art. 6 poprzez usunięcie materiału wideo bez podstawy prawnej.
W jednym z monitorowanych wideo supermarketów Mercadona osoba, której dane dotyczą, uległa wypadkowi. W celu dochodzenia odszkodowania osoba fizyczna skorzystała z prawa dostępu do obrazu z kamery bezpieczeństwa. W konsekwencji osoba ta zwróciła się do administratora o udostępnienie nagrania wypadku z systemu monitoringu wizyjnego za pomocą formularza zgłoszeniowego znajdującego się na stronie internetowej administratora. Klientka otrzymała automatyczną odpowiedź, że jej wiadomość została wysłana. Kolejnym krokiem podejmowanym przez osobę, której dane dotyczą, było złożenie do administratora skargi w związku z zaistniałym wypadkiem drogą mailową. Administrator odpowiedział na tę wiadomość; nie odpowiedziała jednak na prośbę o dostęp do danych przez ponad miesiąc.
Prawnik osoby, której dane dotyczą, wysłał e-mail do inspektora ochrony danych administratora w sprawie wniosku o dostęp. W odpowiedzi otrzymano informację, że inspektor ochrony danych nie wiedział o żadnym wniosku o dostęp i że plik wideo został już usunięty. Po tej negatywnej odpowiedzi osoba fizyczna złożyła skargę do DPA.
Hiszpański organ ochrony danych podjął dalsze działania, ostatecznie nakładając na supermarket karę pieniężną za naruszenie ww. przepisów RODO.
Przeczytaj całą decyzję (dostępną tylko w języku hiszpańskim).
2. Niewielka kara dla greckiej firmy telekomunikacyjnej
(GDPR Art.)
Kolejny przypadek naruszenia art. 15 RODO miał miejsce w Grecji w 2022 r. Grecka firma telekomunikacyjna WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ nie udostępniła osobie, której dane dotyczą, nagrania z monitoringu. Z tego powodu grecki organ ochrony danych nałożył na spółkę karę w wysokości 2000 euro.
Osoba, której dane dotyczą, udała się do punktu obsługi klienta w celu przedłużenia umowy telefonicznej. W procesie przedłużania umowy pracownicy WIND nie prosili abonenta o okazanie dowodu tożsamości. Jak się później okazało, dzięki wieloletniej współpracy, pracownicy potwierdzili tożsamość osoby, której dane dotyczą, za pomocą A.F.M. Ponadto osoba, której dane dotyczą, nie otrzymała żadnego dokumentu do podpisania. Pracownicy przedstawili jedynie formularz z pustymi polami na podpis klienta, jego podpisem i pieczątką firmową. Z powodu problemu z systemem abonent nie mógł podpisać. Pracownicy zapewniali jednak osobę, której dane dotyczą, że to wystarczy, aby przedłużyć umowę.
W tym samym dniu osoba, której dane dotyczą, wysłała wiadomość e-mail zarówno do punktu obsługi klienta, jak i do Inspektora ochrony danych. Abonent zażądał dostępu do materiału wideo zarejestrowanego przez kamery WIND. Nie otrzymał jednak odpowiedzi. W mailu do Inspektora Ochrony Danych Abonent zaskarżył lukę w zabezpieczeniach procesu przedłużenia umowy oraz niezastosowanie się do prawa dostępu do danych. Dopiero po interwencji DPA właściciel punktu obsługi klienta odpowiedział, że prośba o dostęp nie może zostać udzielona, gdyż zarejestrowany materiał został usunięty. Organ ochrony danych uznał to za naruszenie art. 15 i nałożył karę na grecką spółkę.
Więcej szczegółów tej sprawy można znaleźć tutaj. Materiał jest dostępny w języku greckim.
3. Zarząd greckiego portu morskiego ukarany grzywną
(GDPR Art.)
Organ ochrony danych zajął się sprawą właściciela prywatnego samochodu, któremu nie umożliwiono dostępu do nagrań z monitoringu zarejestrowanych przez kamery A.E. Zarządu Portu w Heraklionie. W rezultacie grecki organ ochrony danych nałożył na spółkę karę w wysokości 30 000 EUR za naruszenie art. 12 ust. 1, 12 ust. 2 i 15 RODO.
Poniżej bardziej szczegółowy opis sprawy. Na terytorium Zarządu Portu w Heraklionie A.E. osoba, której dane dotyczą, uczestniczyła w wypadku drogowym z inną osobą. Wypadek zarejestrował system monitoringu wideo obsługiwany przez organizację. W rezultacie osoba, której dane dotyczą, złożyła wniosek o przesłanie nagrań z monitoringu za pośrednictwem poczty elektronicznej. Spółka jednak odmówiła udostępnienia materiału, twierdząc, że uczyni to na wyraźne żądanie prokuratury. Osoba, której dane dotyczą, ponowiła żądanie, wskazując, że nagranie z monitoringu jest niezbędne do udowodnienia winy drugiej osoby uczestniczącej w wypadku samochodowym. Nie otrzymał jednak odpowiedzi.
Osoba, której dane dotyczą, zwróciła się do HDPA w sprawie naruszenia prawa dostępu do danych. HPA uzasadniła, że nie udostępniła materiałów, ponieważ osoba, której dane dotyczą, złożyła wniosek 37 dni po zdarzeniu. Organizacja powołała się na dyrektywę stanowiącą, że danych nie można udostępniać po 15 dniach. Ponadto HPA stwierdziło, że dane zostały usunięte.
Dochodzenie wykazało, że HPA nie usunęła danych i nie miała prawa odmówić dostępu do materiałów. HDPA podkreśliła, że 15-dniowy termin przewidziany w dyrektywie, na który powołuje się spółka, został przedłużony do 30 dni. W rezultacie grecki organ ochrony danych ukarał organizację grzywną za naruszenie art. 15 RODO. Ponadto grecka firma naruszyła art. 12 ust. 1 i 2 RODO, nawet nie odpowiadając negatywnie na wniosek o dostęp do danych.
Podsumowując wszystkie naruszenia, HDPA nałożyła na spółkę karę w wysokości 30 000 euro.
Przejdź tutaj, aby znaleźć szczegółowe informacje w języku greckim.
4. Chorwacki operator stacji benzynowych ukarany karą
(GDPR Art.)
Niniejsza sprawa dotyczy naruszenia art. 15 sek. 3 ogólnego rozporządzenia o ochronie danych. Chorwacki organ ochrony danych nałożył karę na jedną ze stacji paliw przedsiębiorstwa energetycznego (której nazwa jest obecnie nieznana) w wysokości 940 000,00 HRK (124 245 EUR).
Przyjrzyjmy się szczegółom tej sprawy. Osoba, której dane dotyczą, korzystała z usług stacji paliw w jednym z oddziałów firmy. Klient nie był zadowolony z pomiaru tankowanego paliwa. Zgodnie z przepisami o ochronie konsumentów osoba, której dane dotyczą, złożyła skargę. Następnie osoba, której dane dotyczą, zażądała kopii materiału zarejestrowanego przez kamery monitoringu, podając dokładną datę i godzinę pobytu na stacji. Niestety firma nie przychyliła się do tej prośby, podając następujące powody:
Brak pisemnego wniosku właściwych organów o wydanie kopii nagrania
Nieuzasadniony cel
Uzyskanie kopii negatywnie naruszałoby prawa pracowników stacji oraz klientów, którzy w tym momencie przebywali na stacji
Po otrzymaniu przez klienta ogólnej opinii od DPA firma stwierdziła, że nie może udostępnić materiału z monitoringu, ponieważ został usunięty po siedmiu dniach. Organ ochrony danych uznał takie zachowanie za naruszenie art. 15 RODO. Ponadto ustalono, że spółka nie udostępniając nagrania z monitoringu, pośrednio uniknęła szkody materialnej, jaką mogła ponieść w wyniku sporu konsumenckiego z osobą, której dane dotyczą. Spółka pozbyła się także nagrania, które miało służyć jako dowód w sprawie. W tych okolicznościach 8 marca chorwacki organ ochrony danych wydał decyzję, w której nałożył na przedsiębiorstwo energetyczne karę w wysokości 940 000,00 HRK za naruszenie prawa dostępu do nagrania przysługującego osobie, której dane dotyczą.
Więcej szczegółów na temat tej sprawy można znaleźć tutaj. Materiał jest dostępny w języku chorwackim.
5. Chorwacki operator stacji benzynowych ukarany karą
(GDPR Art.)
W marcu 2022 roku rumuński supermarket Kaufland Rumunia SCS został ukarany grzywną w wysokości 2000 euro. Rumuński organ ochrony danych stwierdził, że spółka naruszyła art. 15 RODO.
Choć jest to przypadek niewielkiej kary, warto zauważyć, że w samym 2022 roku Kaufland Rumunia SCS została ukarana co najmniej 3-krotną karą.
Przyjrzyjmy się szczegółom tego konkretnego przypadku. W wyniku skargi złożonej przez osobę, której dane dotyczą, organ ochrony danych wszczął postępowanie. Administrator nie spełnił żądania osoby, której dane dotyczą, o udostępnienie nagrań z monitoringu. Mimo że nagrania były dostępne w żądanym terminie, administrator nie przesłał pełnej kopii materiałów zarejestrowanych przez kamerę. Niepodanie danych osobie, której dane dotyczą, stanowi naruszenie art. 15 RODO. W związku z tym rumuński organ ochrony danych nałożył na supermarket karę w wysokości 2000 EUR. Ponadto wobec administratora zostały podjęte działania naprawcze. Rumuński supermarket powinien udostępnić osobie, której dane dotyczą, wszystkie żądane zdjęcia, jeśli takie są dostępne. Oczywiście, aby udostępniany materiał nie miał negatywnego wpływu na prawa innych osób, administrator powinien zamazać obrazy, które pozwolą na ich identyfikację.
Choć jest to przypadek niewielkiej kary, warto zauważyć, że w samym 2022 roku Kaufland Rumunia SCS została ukarana co najmniej 3-krotną karą.
Pod tym linkiem znajdą Państwo pełną informację na temat tej sprawy w języku rumuńskim.
6. Surowa kara nałożona na Radę Miasta i Hrabstwa Limerick
(GDPR Art.)
Decyzją z dnia 9 grudnia 2021 r. Rada Miasta i Hrabstwa Limerick została ukarana grzywną w wysokości 110 000 EUR. Kara została nałożona za naruszenie:
Art. 13, który dotyczy informacji przekazywanych przy zbieraniu danych od osoby, której dane dotyczą.
Artykuł 12, który dotyczy kontroli tych informacji.
Artykuł 15, który opisuje prawo dostępu osoby, której dane dotyczą.
Oto szczegóły sprawy. W wyniku kontroli przetwarzania danych osobowych irlandzki organ ochrony danych stwierdził, że hrabstwo Limerick naruszyło szereg przepisów o ochronie danych. Dochodzenie wykazało, że stosowanie nadzoru jest nielegalne. Tylko 44 z 401 kamer CCV spełniały wymogi ochrony danych. Irlandzki organ ochrony danych stwierdził, że wiele zainstalowanych kamer było wykorzystywanych do celów innych niż te, do których były przeznaczone. Co więcej, niektóre były wyposażone w automatyczne rozpoznawanie tablic rejestracyjnych bez odpowiedniego zezwolenia.
Ponadto Urząd Powiatu nie zamieścił na swojej stronie internetowej informacji dotyczącej kamer CCTV wykorzystywanych do zarządzania ruchem. Naruszył tym samym art. 13 RODO. Rada nie przekazała tych informacji w sposób przejrzysty i łatwo dostępny, co stanowi naruszenie art. 12. Ponadto Rada Hrabstwa naruszyła art. 15, odrzucając wnioski o dostęp w związku z przetwarzaniem danych w Centrum Zarządzania Ruchem. W oparciu o te naruszenia irlandzki organ ochrony danych nałożył na Radę Hrabstwa grzywnę w wysokości 110 000 EUR. Komisarz nakazał także wyłączenie tych kamer na okres do 120 dni. W szczególności kamery odczytujące tablice rejestracyjne pojazdów przejeżdżających przez miasto.
Oto decyzja wydana przez irlandzki organ ochrony danych.
7. Umiarkowana kara dla greckiego przedsiębiorstwa transportu miejskiego
(GDPR Art.)
Grecki DPA wydał 3 września 2021 roku decyzję, na mocy której na Miejskie Przedsiębiorstwo Transportu RODA nałożono karę w wysokości 8 000 EUR. Administrator naruszył następujące artykuły RODO:
Art. 5 ust. 1 lit. c) dotyczący danych osobowych, które powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w jakich są przetwarzane.
Sztuka. 12 ust. 3 RODO art. 12 ust. 3 RODO, który stanowi, że administrator bez zbędnej zwłoki udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem.
Artykuł 15 dotyczący prawa dostępu przysługującego osobie, której dane dotyczą.
Byli pracownicy przedsiębiorstwa komunikacji miejskiej RODA złożyli skargę na administratora danych. Osoby te były w sporze prawnym. Sprawa dotyczyła rzekomej defraudacji, o którą administrator oskarżył byłego pracownika. W rezultacie osoba, której dane dotyczą, zwróciła się o kopię nagrań zarejestrowanych przez system monitoringu autobusów w dniu, w którym rzekomo miało miejsce zdarzenie. Nagrania z monitoringu miały stanowić dowód obrony w postępowaniu karnym. Niestety, administrator Miejskiego Przedsiębiorstwa Komunikacyjnego nie ustosunkował się do żądania byłego pracownika, naruszając tym samym art. 12 i 15 RODO. Grecki organ ochrony danych nałożył na administratora danych grzywnę w wysokości 5000 EUR. Ponadto administrator wydał byłemu pracownikowi zaświadczenie stwierdzające:
rodzaj i okres zatrudnienia
powód zwolnienia, które rzekomo miało charakter przestępstwo.
Władze greckie uznały to za naruszenie art. 5 RODO i nałożył karę w wysokości 3000 EUR.
Oto decyzja wydana przez grecki organ ochrony danych.
8. Kolejny rzut karny dla Kauflandu w Rumunii
(GDPR Art.)
W styczniu 2021 r. rumuński organ ochrony danych podjął decyzję o ukaraniu operatora Kaufland Rumunia SCS za naruszenie art. 15 RODO. Ponieważ administrator naruszył prawo dostępu do danych, organ ukarał go grzywną w wysokości 14 846,4 lei (równowartość 3000 euro).
Do inspektora ochrony danych wpłynęła skarga, w której osoba, której dane dotyczą, oświadczyła, że administrator Kaufland Rumunia SCS nie przekazał jej pełnej kopii nagrania z monitoringu. Zgodnie z prawem administrator ma obowiązek udostępnić osobie, której dane dotyczą, nagrania z monitoringu. Administrator zobowiązany jest także zastosować szereg środków technicznych i organizacyjnych, aby nie naruszać praw innych osób fizycznych. Dlatego twarze wszystkich osób występujących na nagraniu powinny być zamazane. To samo dotyczy tablic rejestracyjnych. Ponieważ administrator Kaufland Rumunia SCS nie udostępnił osobie, której dane dotyczą, całości nagrania, została ona ukarana grzywną. Za naruszenie przepisów art. 15 sek. sek. 3 rumuński organ ochrony danych (ANSPDCP) nałożył karę w wysokości 3000 EUR.
Oryginalny materiał na ten temat znajdziesz tutaj.
9. Surowa kara dla właściciela lokalnego sklepu na Węgrzech
(GDPR Art.)
23 października 2020 r. Węgierski Krajowy Urząd ds. Ochrony Danych i Wolności Informacji podjął decyzję o ukaraniu sklepu obuwniczego za naruszenie przepisów związanych z RODO. Sklep został ukarany grzywną w wysokości 20 000 000 FT (54 800 EUR) za naruszenie następujących artykułów: art. 12 RODO, art. 15 RODO, art. 18 ust. 1 lit. c RODO oraz art. 25 RODO.
W dniu 26.05.2018 Klient dokonał zakupu w sklepie Administratora i nie otrzymał reszty. Osoba, której dane dotyczą, zwróciła się do spółki o dostarczenie kopii nagrania z monitoringu wideo. Swoją prośbę uzasadnili chęcią udowodnienia, że po dokonaniu płatności nie otrzymał reszty. We wniosku osoba, której dane dotyczą, powołując się na wyłączenie z art. 18 sek. 1 lit. c RODO zwróciło się do administratora z prośbą o nieusuwanie przedmiotowego nagrania. Firma jednak nie zastosowała się do żądania. Administrator odmówił udostępnienia nagrań, uzasadniając, że nagranie z kamery może zostać udostępnione na żądanie Policji. Działanie to naruszyło art. 15 RODO, a sklep dodatkowo naruszył RODO usuwając nagranie z monitoringu pomimo wyraźnego żądania osoby, której dane dotyczą.
Węgierski organ ochrony danych stwierdził również, że sklep nie podjął odpowiednich środków organizacyjnych zapewniających prawo dostępu osobom, których dane dotyczą, naruszając art. 25 RODO. Organ stwierdził także, że sklep naruszył art. 12 RODO, nie podając informacji o odmowie udostępnienia nagrania oraz nie wyjaśniając, dlaczego nagranie nie zostało zapisane dłużej niż normalny okres przechowywania.
Na podstawie tych naruszeń węgierski organ ochrony danych nałożył na sklep obuwniczy karę w wysokości 54 800 euro.
Więcej informacji na ten temat można znaleźć w podlinkowanym materiale.
10. Wspólnota mieszkaniowa z Hiszpanii ukarana grzywną
(GDPR Art.)
Spółdzielnia mieszkaniowa zapłaciła karę w wysokości 900 euro za naruszenie ochrony danych osobowych. Naruszenie dotyczyło art. 5 RODO. Oto szczegóły sprawy.
Organ ochrony danych otrzymał dokument wskazujący na możliwe naruszenie przepisów o ochronie danych osobowych w związku z instalacją systemu monitoringu wizyjnego. W trakcie dochodzenia ustalono, że w budynku znajdowało się 57 kamer, w tym jedna wyłączona w sali gimnastycznej. Jednak niektóre kamery zasłoniły przestrzeń publiczną. Organ hiszpański uznał to za naruszenie art. 5 RODO, czyli zasady minimalizacji danych.
Biorąc pod uwagę wszystkie okoliczności, organ nałożył na spółdzielnię mieszkaniową karę w wysokości 900 euro. Warto wspomnieć, że władze początkowo nałożyły karę w wysokości 1500 euro. Zostało to jednak zmienione ze względu na dobrowolną wpłatę i uznanie odpowiedzialności.
Oryginalny materiał w języku hiszpańskim jest dostępny pod tym linkiem.
11. Właściciel domu ukarany grzywną za nagrywanie przestrzeni publicznej poza swoim prywatnym terenem
(GDPR Art.)
Decyzją z dnia 10 listopada 2022 r. hiszpański organ ochrony danych ukarał osobę fizyczną, która naruszyła art. 5 RODO. Sprawca został ukarany grzywną w łącznej wysokości 300 euro.
W trakcie patrolu funkcjonariusz Straży Miejskiej zauważył w oknie osoby prywatnej kamerę zakłócającą przestrzeń publiczną. Osoba ta twierdziła, że kamera pełniła funkcję wideodomofonu umożliwiającego kontrolę parkingu jej pojazdu. Organ ochrony danych uznał jednak, że stanowi to naruszenie art. 5 ust. 1 lit. c RODO. Stanowi, że dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w jakich są przetwarzane („minimalizacja danych”). Podczas instalowania kamery istotne jest podanie informacji o jej przeznaczeniu oraz osobie odpowiedzialnej za przetwarzanie przechwyconych danych osobowych. Co więcej, ludzie powinni kierować kamery na przestrzenie prywatne.
W rezultacie hiszpański organ ochrony danych nałożył na tę osobę grzywnę w wysokości 300 EUR. Ponadto DPA nakazał osobie fizycznej usunięcie aparatu w terminie 15 dni roboczych od dnia otrzymania aktu administracyjnego.
Szczegółowe informacje w języku hiszpańskim znajdziesz pod tym linkiem.
12. Kara dla hiszpańskiej firmy naruszającej podstawowe zasady dotyczące monitoringu wizyjnego
(GDPR Art.)
Następna sprawa dotyczy hiszpańskiej firmy Lorent 2013 SL. Administrator został ukarany grzywną w wysokości 600 EUR przez Hiszpańską Agencję Ochrony Danych za naruszenie przepisów RODO. Lorent 2013 SL naruszył art. 5 RODO, który dotyczy m.in. zasady minimalizacji danych.
Rada Miasta Murcji przesłała pismo, w którym wskazała, że administrator danych posiada monitoring wideo, nie podając jednak odpowiednich informacji. Dodatkowo kamery CCTV kierowane są w przestrzeń publiczną bez wcześniejszego zezwolenia administracyjnego na takie działanie.
Zgodnie z prawem monitoring wizyjny musi być skierowany na przestrzenie prywatne. Zabrania się zasłaniania przestrzeni publicznej bez uzasadnionego powodu. Ponadto w przypadku monitoringu CCTV obowiązkowe jest umieszczenie widocznej tablicy informacyjnej zawierającej cele i osobę odpowiedzialną za przetwarzanie wszelkich danych osobowych.
Postępowanie wykazało, że Lorent 2013 SL naruszył art. 5 ust. 1 lit. c) dotyczący minimalizacji danych. W związku z tym hiszpański DPA nałożył na spółkę karę w wysokości 600 euro. Ponadto administrator miał obowiązek umieścić plakat informacyjny informujący, że jest to obszar nadzoru wideo. Dodatkowo wyłączeniem kamery objęto przestrzeń publiczną.
Aby uzyskać więcej informacji, zobacz ten link. Jest to pierwotna decyzja wydana przez hiszpański organ ochrony danych.
13. Kara za nieautoryzowaną instalację monitoringu należącą do osoby prywatnej
(GDPR Art.)
W dniu 29 listopada 2022 r. decyzją hiszpańskiego organu ochrony danych na osobę fizyczną nałożono karę finansową w wysokości 500 EUR. Sprawa dotyczy naruszenia art. 5 RODO.
1 kwietnia 2022 r. Hiszpańska Agencja Ochrony Danych otrzymała wniosek ze strony straży cywilnej. Skarga została skierowana przeciwko osobie prywatnej. W piśmie wskazano, że osoba ta zainstalowała system monitoringu wideo, którego kamery obejmują przestrzeń publiczną. Ponadto osoba prywatna nie posiadała żadnego zezwolenia administracyjnego. Ponadto administrator danych opublikował nagranie wideo w serwisie społecznościowym Facebook. Kontroler uzasadniał montaż kamer m.in. sytuacją znęcania się nad zwierzętami.
Zgodnie z przepisami prawa osobom prywatnym zabrania się instalowania systemów monitoringu wizyjnego mających na celu uzyskanie obrazu miejsc publicznych, z wyjątkiem przypadków dozwolonych przez prawo. Postępowanie wykazało, że administrator pozyskuje obrazy przestrzeni publicznej, przetwarza dane od osób trzecich i rozpowszechnia je w sieciach społecznościowych.
Hiszpański organ ochrony danych uznał to za naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c)). W związku z tym nałożył na osobę fizyczną karę w wysokości 500 euro.
Więcej informacji można znaleźć w pierwotnej decyzji hiszpańskiego organu ochrony danych.
14. Kara za nieprzestrzeganie kilku artykułów RODO na Węgrzech
(GDPR Art.)
W dniu 18 grudnia 2018 r. NAIH nałożyła na administratora karę w wysokości 3200 EUR. Kara ta została nałożona z powodu naruszenia:
- Art. 12 ust. 4 RODO poprzez niepowiadomienie osoby fizycznej o możliwości wniesienia skargi do organu zarządzającego.
- Art. 13 RODO, nie przekazując osobie, której dane dotyczą, wszystkich informacji przy pozyskiwaniu danych osobowych.
- Art. 15 RODO poprzez nieudostępnianie nagrań z monitoringu osobie, której dane dotyczą.
- Art. 18 ust. 1 lit. c) poprzez niezapisanie nagrań do późniejszego wykorzystania przez osobę, której dane dotyczą.
Węgierski organ ochrony danych (NAIH) otrzymał żądanie stwierdzające, że administrator nie zastosował się do żądań skorzystania z praw osoby, której dane dotyczą. Osoba ta osobiście zwróciła się do administratora w celu uzyskania dostępu do nagrania audio przebiegu walnego zgromadzenia. Ponadto osoba, której dane dotyczą, zwróciła się z prośbą o nieusuwanie nagrań z kamer. Stwierdzili, że administrator ma obowiązek zablokować nagrania i udostępnić ich kopie na potrzeby postępowania sądowego i pozwu dotyczącego statusu prawnego papierów wartościowych. Administrator nie zastosował się jednak do żadnego z żądań. W związku z powyższym osoba, której dane dotyczą, złożyła skargę do NAIH. Dochodzenie wykazało, że administrator naruszył prawa wynikające z RODO. W związku z powyższym został on ukarany grzywną w łącznej wysokości 1 000 000 FT, co stanowi równowartość 3 200 EUR.
Szczegóły tej sprawy można znaleźć w tej decyzji.
15. Bank Lokalny ukarany karą za brak dostępu do nagrań audio i wideo
(GDPR Art.)
21 maja 2019 r. węgierski Urząd Ochrony Danych i Wolności Informacji wydał decyzję nakładającą karę w wysokości 2000 EUR na lokalny bank. Administrator naruszył następujące artykuły RODO: art. 12 ust. 3, 4, 5 RODO, art. 15 RODO i art. 18 RODO.
Osoba, której dane dotyczą, była klientem lokalnego banku. Poprosili o pozwolenie na obejrzenie nagrań rozmów telefonicznych i nagrań z monitoringu. Kontroler zapewnił zarówno kopie nagrań rozmów telefonicznych, jak i możliwość przejrzenia na miejscu nagrań CCTV. Bank, choć na miejscu udostępnił nagrania, odmówił wydania kopii materiału. Administrator uzasadnił swoją odmowę faktem, że nagranie zawiera dane osobowe osób trzecich. Należy zaznaczyć, że jest to niezgodne z prawem, gdyż dane innych osób mogą zostać usunięte. W związku z tym NAIH uznał, że stanowi to naruszenie art. 15 RODO. Ponadto bank naruszył także art. 12 ze względu na brak odpowiedzi w terminie oraz art. 18 poprzez naruszenie prawa do ograniczenia przetwarzania danych.
Biorąc pod uwagę wszystkie te naruszenia, NAIH nałożył na bank karę pieniężną w wysokości 2 000 EUR.
Szczegóły tej sprawy znajdziesz pod tym linkiem.
16. Bank Lokalny ukarany karą za brak dostępu do nagrań audio i wideo
(GDPR Art.)
Węgierski Krajowy Urząd Ochrony Danych i Wolności Informacji (NAIH) wydał decyzję nakładającą karę w wysokości 5800 EUR. Administrator naruszył art. 6 i art. 15 RODO.
Pracownicy ochrony baru zaatakowali osobę, której dane dotyczą, powodując niewielki uszczerbek na zdrowiu. Zdarzenie zarejestrowały kamery zainstalowane na budynku. W związku z tym osoba, której dane dotyczą, zażądała zatrzymania nagrań do czasu podjęcia przez policję dalszych działań. Poprosili także o dostęp do nagrań z monitoringu. Nie otrzymali jednak żadnej odpowiedzi. Ponadto osoba, której dane dotyczą, twierdziła, że kamery nielegalnie monitorują miejsca publiczne. W trakcie dochodzenia administrator stwierdził, że nagrania zostały zablokowane. Prawda jest taka, że nikogo o tym nie powiadomił. Ponieważ administrator nie otrzymał od policji ani osoby, której dane dotyczą, żadnego wezwania do dalszego postępowania, usunął wcześniej zablokowane nagrania. Administrator usunął nagrania po trzydziestu dniach, zgodnie z obowiązującymi wówczas przepisami. Poinformował o tym fakcie osobę, której dane dotyczą.
Administrator uzasadnił także, że kamery monitorują wejście do budynku, a fragmenty przestrzeni publicznej nie są w pełni widoczne.
W dochodzeniu NAIH uznał za okoliczność łagodzącą fakt, że w omawianym okresie w dalszym ciągu obowiązywały przepisy niezgodne z ogólnym rozporządzeniem o ochronie danych oraz że administrator nigdy wcześniej nie był karany za naruszenia RODO .
Ostatecznie NAIH nałożyła karę w wysokości 5800 EUR za naruszenie:
- Sztuka. 15 RODO: Administrator nie udostępnił nagrań osobie, której dane dotyczą.
- Sztuka. 6 RODO: Administrator nie był w stanie wykazać, że przetwarzanie danych jest zgodne z prawem.
Więcej informacji na ten temat znajdziesz tutaj.
17. Niewielka grzywna nałożona na stowarzyszenie właścicieli domów w Hiszpanii
(GDPR Art.)
Decyzją hiszpańskiego DPA (AEPD) z dnia 3 grudnia 2022 r. stowarzyszenie właścicieli domów zostało ukarane grzywną w wysokości 300 EUR za naruszenie praw wynikających z RODO. Administrator danych naruszył art. 5 ust. 1 lit. c RODO dotyczący minimalizacji danych.
W maju 2022 r. do Generalnej Dyrekcji Kontroli Danych (SGID) wpłynęło pismo. Osoba, której dane dotyczą, oświadczyła, że w częściach wspólnych budynku, w którym mieszka, została zainstalowana kamera nadzoru wideo przez przewodniczącego tej wspólnoty. Dodała także, że monitoring nie jest odpowiednio oznakowany.
Dochodzenie wykazało, że monitoring CCTV obejmuje obszar publiczny. Ponadto, mimo że umieszczono plakat informacyjny dotyczący monitoringu, nie zawierał on informacji o administratorze danych i sposobie realizacji praw wynikających z obowiązującego RODO. Hiszpański organ ochrony danych uznał to za naruszenie zasady minimalizacji danych. W rezultacie, biorąc pod uwagę wszystkie okoliczności, nałożyła karę pieniężną w wysokości 300 euro. Poza tym administrator był zobowiązany do zmiany plakatu informacyjnego i przedstawienia organowi ochrony danych dowodów w tym zakresie.
Więcej informacji można znaleźć w pierwotnej decyzji. Link znajduje się tutaj.
Wnioski
Ze względu na ograniczoną wiedzę i zasoby naszego zespołu, nie udało nam się pokryć wszystkich kar finansowych związanych z monitoringiem CCTV, które nałożono w ubiegłych latach. Być może są to jakieś reprezentatywne cesze, a jest ich znacznie więcej. Będziemy w dalszym ciągu monitorować najnowsze wydarzenia i w miarę upływu czasu i pojawiania się kolejnych przypadków naruszeń raport będzie rozbudowywany.
Należy pamiętać, że stosunkowo niedawno organy regulacyjne zainteresowały się ochroną wizerunku osób zarejestrowanych w materiałach wizualnych w kontekście przetwarzania danych osobowych.
Należy spodziewać się rozwoju prawodawstwa w kierunku coraz większej ochrony praw jednostki, przyznania dalszych uprawnień podmiotom przetwarzającym i coraz surowszego ścigania naruszeń.
Można się spodziewać, że w nadchodzących latach liczba i surowość kar będzie jedynie rosła. Koniec z „normalnym biznesem” dla operatorów monitoringu wideo.