Czym jest monitoring w miejscu pracy a RODO?

Monitoring w miejscu pracy a RODO - definicja

Monitoring w miejscu pracy a RODO to zbiór zasad prawnych i organizacyjnych, które określają, kiedy pracodawca może rejestrować obraz pracowników oraz innych osób przebywających na terenie zakładu pracy, jak długo może przechowywać nagrania i w jaki sposób powinien ograniczać zakres przetwarzania danych osobowych. W praktyce chodzi głównie o monitoring wizyjny oparty na kamerach CCTV, a w kontekście zdjęć i nagrań wideo - o legalne utrwalanie, przeglądanie, zabezpieczanie i w niektórych przypadkach anonimizowanie wizerunku.

W Polsce podstawą krajową jest art. 222 Kodeksu pracy, dodany ustawą z 10 maja 2018 r. o ochronie danych osobowych. Przepis ten dopuszcza monitoring wizyjny, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji albo zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Równolegle stosuje się RODO, w szczególności art. 5, 6, 13, 24, 25, 32 i 35 rozporządzenia (UE) 2016/679. Znaczenie mają też Wytyczne 3/2019 Europejskiej Rady Ochrony Danych dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo, przyjęte 29 stycznia 2020 r.

Wizerunek utrwalony przez kamerę jest daną osobową, jeżeli pozwala zidentyfikować osobę bezpośrednio lub pośrednio. Z tego powodu monitoring wizyjny nie może być wdrażany wyłącznie na podstawie ogólnej decyzji pracodawcy. Potrzebna jest konkretna podstawa prawna, ocena niezbędności i proporcjonalności, realizacja obowiązku informacyjnego oraz ograniczenie retencji nagrań. W materiałach zdjęciowych i wideo publikowanych, przekazywanych dalej lub wykorzystywanych w analizie incydentów często zasadne staje się rozmywanie twarzy i niekiedy także tablic rejestracyjnych.

Podstawa prawna monitoringu wizyjnego pracowników

W środowisku pracy zgoda pracownika co do zasady nie jest preferowaną podstawą legalizującą monitoring. Wynika to z nierówności stron stosunku pracy i trudności w uznaniu zgody za dobrowolną. W praktyce podstawą jest najczęściej obowiązek prawny albo prawnie uzasadniony interes administratora, przy czym w Polsce dla monitoringu pracowniczego kluczowe znaczenie ma Kodeks pracy.

Najważniejsze warunki stosowania monitoringu obejmują:

• określenie celu monitoringu przed uruchomieniem systemu,
• wykazanie, że monitoring jest niezbędny, a nie tylko wygodny,
• opisanie zasad monitoringu w układzie zbiorowym pracy, regulaminie pracy albo obwieszczeniu, zgodnie z art. 22² par. 6 Kodeksu pracy,
• poinformowanie pracowników nie później niż 2 tygodnie przed uruchomieniem monitoringu,
• oznaczenie pomieszczeń i terenu monitorowanego w sposób widoczny i czytelny, nie później niż 1 dzień przed uruchomieniem monitoringu,
• niewykorzystywanie kamer w pomieszczeniach, których monitoring naruszałby godność i inne dobra osobiste pracownika, chyba że ustawa wyraźnie dopuszcza wyjątek i spełniono dodatkowe warunki.

Zgodnie z art. 222 par. 2 Kodeksu pracy monitoring nie obejmuje co do zasady pomieszczeń sanitarnych, szatni, stołówek oraz palarni. Wyjątek jest możliwy tylko wtedy, gdy jest to niezbędne do realizacji celu i nie narusza godności oraz innych dóbr osobistych pracownika, a także gdy zastosowano techniki uniemożliwiające rozpoznanie osób, na przykład odpowiednie kadrowanie lub anonimizację obrazu.

Informowanie pracowników i przejrzystość przetwarzania

RODO wymaga przejrzystości. Osoba objęta monitoringiem musi wiedzieć, kto przetwarza jej dane, w jakim celu, na jakiej podstawie prawnej i przez jaki czas. Sam piktogram kamery nie wystarcza. Potrzebna jest informacja warstwowa: skrócona przy wejściu do strefy monitorowanej i pełna w klauzuli informacyjnej.

W praktyce klauzula powinna obejmować co najmniej:

• dane administratora i kontakt do inspektora ochrony danych, jeżeli został wyznaczony,
• cele monitoringu,
• podstawę prawną,
• okres przechowywania nagrań,
• kategorie odbiorców danych,
• informację o prawach osób, których dane dotyczą,
• informację, czy nagrania mogą być przekazywane organom publicznym lub sądom.

Czas retencji nagrań a zgodność z RODO

Okres przechowywania nagrań nie może być dowolny. Kodeks pracy przewiduje zasadę, że nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. Jeżeli nagranie stanowi dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, że może stanowić taki dowód, termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.

To oznacza, że retencję należy ustawić jako parametr techniczny systemu. Dla zgodności istotne są:

Anonimizacja zdjęć i nagrań z monitoringu

W kontekście monitoringu w miejscu pracy anonimizacja materiału wideo i zdjęć nie zastępuje podstawy prawnej dla samego nagrywania. Jest natomiast ważnym środkiem minimalizacji danych przy dalszym wykorzystaniu materiału, na przykład przy przekazywaniu nagrania pełnomocnikowi, ubezpieczycielowi, audytorowi lub przy wykorzystaniu materiału szkoleniowego. W takich przypadkach należy ograniczyć identyfikowalność osób, które nie są niezbędne dla celu.

Technicznie rozmywanie twarzy opiera się zwykle na detekcji obiektów i śledzeniu ich między klatkami. W nowoczesnych systemach stosuje się modele deep learning, trenowane na dużych zbiorach danych obrazowych, aby uzyskać wysoką czułość wykrywania twarzy w różnych warunkach oświetlenia, skali i kąta ustawienia głowy. Model AI nie jest celem samym w sobie. Jest komponentem potrzebnym do automatycznego wykrywania twarzy lub tablic rejestracyjnych, które następnie są zamazywane. Skuteczność takiego procesu ocenia się zwykle przez precyzję detekcji, recall i liczbę pominiętych obiektów na materiał.

W praktyce narzędzia do anonimizacji mogą automatycznie zamazywać twarze i tablice rejestracyjne, ale nie zawsze wykrywają logotypy, tatuaże, identyfikatory, dokumenty ani treści na monitorach. Takie elementy mogą wymagać ręcznego zasłonięcia w edytorze. Ma to znaczenie z perspektywy DPIA i analizy ryzyka, ponieważ administrator powinien wiedzieć, które kategorie danych są objęte automatyzacją, a które nie.

Ocena ryzyka i DPIA dla monitoringu

Monitoring wizyjny pracowników może wymagać przeprowadzenia oceny skutków dla ochrony danych, jeżeli może powodować wysokie ryzyko dla praw lub wolności osób fizycznych. Wynika to z art. 35 RODO. Dotyczy to zwłaszcza systematycznego monitorowania na dużą skalę, obejmującego miejsca pracy, strefy wejścia i ciągi komunikacyjne.

W DPIA warto ocenić:

• zakres pola widzenia kamer i ryzyko nadmiernej obserwacji,
• czy możliwe jest ograniczenie obszaru kadrowaniem lub maskami prywatności,
• retencję i procedurę usuwania nagrań,
• procedury eksportu oraz anonimizacji materiału,
• ryzyko błędów detekcji twarzy lub tablic rejestracyjnych, jeżeli stosowane jest automatyczne zamazywanie,
• zabezpieczenia techniczne zgodne z art. 32 RODO.

Odniesienia normatywne i praktyczne rozbieżności

Najważniejsze źródła dla tego zagadnienia to: Rozporządzenie (UE) 2016/679, Kodeks pracy - art. 222 i 223, Wytyczne EROD 3/2019 dotyczące urządzeń wideo oraz krajowe wyjaśnienia UODO. W przypadku publikowania lub dalszego udostępniania kadrów z monitoringu znaczenie może mieć też ochrona wizerunku wynikająca z Kodeksu cywilnego i ustawy o prawie autorskim i prawach pokrewnych.

W odniesieniu do tablic rejestracyjnych istnieją rozbieżności interpretacyjne. W Polsce orzecznictwo wskazywało, że tablica rejestracyjna nie zawsze stanowi daną osobową sama przez się. Z kolei podejście organów ochrony danych i praktyka w wielu państwach Europy Zachodniej są bardziej ostrożne i traktują numer rejestracyjny jako informację umożliwiającą identyfikację pośrednią. Dlatego przy udostępnianiu nagrań poza ścisły krąg uprawnionych odbiorców zasadne jest rozważenie zamazywania tablic rejestracyjnych.