Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



19.09.2017

Do sieci miejskich

D-Link DGS-3000 DGS-3000
15.09.2017

RODO: Chmura przychodzi z...

Rozporządzenie o Ochronie Danych Osobowych (RODO) zacznie obowiązywać już za niespełna...
15.09.2017

Kamery zmiennopozycyjne

Axis Q86 i Q87
12.09.2017

Procesy zgodne z rodo

Doxis4 iECM
08.09.2017

Kompleksowa obsługa

Oracle Cloud Applications Release 13
05.09.2017

Konteneryzacja

Red Hat OpenShift Container Platform 3.6
29.08.2017

Zmiana zakresu napięcia

Ever UPS ECO Pro CDS
28.08.2017

HackYeah: rekordowy hackathon...

Dwa tysiące programistów i specjalistów IT z całej Europy spotka się 27-29 października w...
25.08.2017

Router mini

MikroTik RB931-2nD

Ocena skutków dla systemów monitoringu wizyjnego zgodnie z rodo

Data publikacji: 25-08-2017 Autor: Tomasz Cygan

Rodo to pierwszy akt prawny, który w sposób bezpośredni wiąże zagadnienie monitoringu wizyjnego z regulacjami o ochronie danych osobowych. Do tej pory mamy do czynienia z sytuacją, w której nie obowiązują żadne kompleksowe regulacje dotyczące monitoringu wizyjnego.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane w dalszej części tekstu rodo, stanowi pierwszy akt prawny wchodzący w skład polskiego porządku prawnego, który w sposób bezpośredni wiąże zagadnienie monitoringu wizyjnego z regulacjami o ochronie danych osobowych. Do tej pory nie powstały, a co za tym idzie, nie obowiązują żadne kompleksowe regulacje dotyczące monitoringu wizyjnego.

> MONITORING A DANE OSOBOWE

Zagadnienie monitoringu wizyjnego przechodziło jedynie przez różne fazy interpretacji dokonywanych przez Generalnego Inspektora Ochrony Danych Osobowych. Można bowiem znaleźć przestarzałe interpretacje wskazujące, że nagrania z monitoringu kamer nie stanowią zbioru danych osobowych (Sprawozdanie GIODO za rok 2000, s. 12), aż po aktualne spostrzeżenia wskazujące na konieczność objęcia monitoringu wizyjnego regulacjami dotyczącymi ochrony danych. Zwrócił na to uwagę m.in. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 9 kwietnia 2013 r., II SA/Wa 211/13. Wskazał on, że „Straż Miejska w L., realizując uprawnienia ustawowe do obserwowania i rejestrowania obrazu zdarzeń w miejscach publicznych przy użyciu środków technicznych, przetwarza w ramach monitoringu wizyjnego dane osobowe w postaci wizerunków (obrazów) osób przebywających na miejscach objętych zasięgiem monitoringu, a także inne informacje dotyczące tych osób, takie jak sposób zachowania, numery rejestracyjne pojazdów. Dane te prowadzą bowiem do identyfikacji osoby. (…) Bezzasadny jest również zarzut strony skarżącej, dotyczący niemieszczenia się zarejestrowanych danych w definicji zbioru danych z uwagi na fakt, że informacje te są klasyfikowane jedynie według jednego kryterium – czasu zdarzenia, podczas gdy ustawodawca wymaga, by dane zawarte w zbiorze danych były dostępne przynajmniej według dwóch kryteriów. Należy bowiem zgodzić się z organem, że dane zarejestrowane w ramach monitoringu wizyjnego zapisywane są według kryterium czasu, ale również według kryterium miejsca zdarzenia, które jest tożsame z miejscem umieszczenia kamery”.

Efektem zmiany podejścia stało się z jednej strony uwzględnianie danych osobowych pozyskanych w związku z monitoringiem wizyjnym w systemach ochrony danych osobowych, w szczególności poprzez wyodrębnianie zbioru zawierającego dane osobowe pochodzące z monitoringu oraz stosowanie odpowiednich środków organizacyjnych i technicznych, mających na celu zapewnienie poufności, rozliczalności oraz integralności danych osobowych pochodzących z monitoringu wizyjnego. Najlepszym przykładem zmiany praktyki dotyczącej tych danych jest wzrastająca liczba zbiorów danych osobowych, nazywanych z wykorzystaniem słowa „monitoring”, zgłaszanych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Na dzień 15 czerwca 2017 r. jest ich 983 (część z nich dotyczy innego znaczenia słowa „monitoring”, np. monitoring działania leków). Niedługo jednak obowiązek zgłaszania zbiorów do rejestracji stanie się przeszłością.

> RODO – OBOWIĄZKI ZWIĄZANE Z PRZETWARZANIEM DANYCH

Moment rozpoczęcia stosowania przepisów rodo postawi przed podmiotami korzystającymi z monitoringu wizyjnego nowe, tym razem wprost sformułowane obowiązki. Wiążą się one z działalnością polegającą na systematycznym monitorowaniu miejsc lub osób. Taki zamysł legislacyjny wskazuje z jednej strony na wagę zagadnienia, a z drugiej na istnienie ryzyk związanych z przetwarzaniem danych osobowych przy użyciu monitoringu wizyjnego. Co ważne, przepisy rodo nie ograniczają się jedynie do monitoringu wizyjnego wykorzystywanego przez podmioty publiczne. Znaczenie ma bowiem sposób jego wykorzystania, a nie to, kto nim administruje.

Obowiązki związane z przetwarzaniem danych osobowych przy użyciu monitoringu wizyjnego dotyczyć będą:

 

  • oceny skutków dla ochrony danych (art. 35 rodo);
  • uprzednich konsultacji, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka (art. 36 rodo);
  • wyznaczenia Inspektora Ochrony Danych, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (art. 37 ust. 1 punkt b rodo).


[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji, ochrony danych osobowych oraz prowadzenia działalności gospodarczej. Współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"