Miesięcznik informatyków i menedżerów IT sektora publicznego

Tomasz Cygan

Podstawy prawne stosowania monitoringu wizyjnego

Wejście w życie rodo skutkuje zwiększonym zainteresowaniem różnymi aspektami ochrony danych osobowych – w tym monitoringiem wizyjnym. Zmiana przepisów o ochronie danych stanowi okazję do kompleksowego zajęcia się tym tematem od strony legislacyjnej.

W marcu 2018 r. w natłoku informacji dotyczących rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych osobowych (dalej: rodo) pojawiła się także informacja o tym, że Rzecznik Praw Obywatelskich (dalej: RPO) zwrócił uwagę na konieczność uregulowania zasad monitoringu wizyjnego w Polsce do dnia 25 maja 2018 roku. Wskazał przy tym, że brak stosownej regulacji w tym zakresie spowodować może konieczność zaprzestania stosowania monitoringu wizyjnego przez organy administracji publicznej. Dotyczy to zwłaszcza tych wszystkich podmiotów, które jako podstawę stosowania monitoringu podawały art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922 ze zm.), a którą to podstawę od dnia 25 maja 2018 r. stanowić będzie art. 6 ust. 1 lit. f rodo.

Przepis ten głosi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Rzecznik Praw Obywatelskich powołał się na motyw 47 rodo. Zgodnie z jego treścią:

Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Potrzeba regulacji

Nie negując potrzeby uregulowania zagadnienia monitoringu wizyjnego na poziomie ustawowym, wskazać należy, że pogląd RPO podchwycony przez media wcale tak kategorycznie nie wynika z przepisów rodo. Wydaje się bowiem, że regulacja dotycząca monitoringu wizyjnego powinna pojawić się w polskim porządku prawnym choćby dlatego, że wymaga tego przetwarzanie szczególnych kategorii danych w ramach monitoringu, czy też sytuacje takie jak ta stanowiąca podstawę wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 11 grudnia 2014 r. w sprawie C-212/13 František Ryneš / Úřad pro ochranu osobních úd, w którym wskazano między innymi, że:

Nadzór kamer, które są skierowane na przestrzeń publiczną, a przez to także poza sferę prywatną, nie stanowi czynności o charakterze osobistym lub domowym, która zwalniałaby z obowiązku stosowania przepisów o ochronie danych osobowych.

Jest to istotne też z powodu masowego wykorzystywania kamer w samochodach oraz nagrań z dronów. Warto byłoby także doprecyzować sposób realizacji obowiązku informacyjnego w zakresie monitoringu wizyjnego, choćby w zakresie oznaczeń „miasto monitorowane” (swoją drogą takie oznaczenia spotkać można na rogatkach miast, ale już z perspektywy osoby podróżującej pociągiem informacji o monitoringu miejskim nie znajdziemy). Oczywiście gros zagadnień dotyczących monitoringu znajduje się w przepisach rodo, w szczególności należy tu rozważyć konstrukcje powierzenia przetwarzania danych, a niejednokrotnie współadministrowania danymi w przypadku monitoringu miejskiego użytkowanego przez różne jednostki. Konieczna mogłaby się okazać również ingerencja ustawodawcy w okres przechowywania danych pochodzących z monitoringu, z uwzględnieniem jednak możliwości technicznych i infrastrukturalnych.

Monitoring w ramach realizacji zadań

Wśród tych zagadnień wykluczenie prawnie uzasadnionego interesu administratora jako podstawy przetwarzania danych osobowych stanowi zagadnienie dość dyskusyjne. W pierwszej kolejności wynika to z faktu, że na dobrą sprawę konstrukcja zawarta w art. 6 ust. 1 lit. f rodo jest bardzo zbliżona do tej zawartej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

[...]

Autor jest adwokatem. Ma doświadczenie jako konsultant i wykładowca. Jest autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych i audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej