Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



11.12.2017

Dla biznesu

BenQ MH760
07.12.2017

Pamięć masowa SDS

SUSE Enterprise Storage 5
05.12.2017

Bezpieczna platforma

Red Hat OpenStack Platform 12
30.11.2017

ITewolucja w bezpieczeństwie....

9 listopada w katowickim hotelu Novotel odbyła się kolejna odsłona konferencji z cyklu...
28.11.2017

Smukle i elegancko

HP Spectre 13 i x360
23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...

Ocena skutków dla systemów monitoringu wizyjnego zgodnie z rodo

Data publikacji: 25-08-2017 Autor: Tomasz Cygan

Rodo to pierwszy akt prawny, który w sposób bezpośredni wiąże zagadnienie monitoringu wizyjnego z regulacjami o ochronie danych osobowych. Do tej pory mamy do czynienia z sytuacją, w której nie obowiązują żadne kompleksowe regulacje dotyczące monitoringu wizyjnego.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane w dalszej części tekstu rodo, stanowi pierwszy akt prawny wchodzący w skład polskiego porządku prawnego, który w sposób bezpośredni wiąże zagadnienie monitoringu wizyjnego z regulacjami o ochronie danych osobowych. Do tej pory nie powstały, a co za tym idzie, nie obowiązują żadne kompleksowe regulacje dotyczące monitoringu wizyjnego.

> MONITORING A DANE OSOBOWE

Zagadnienie monitoringu wizyjnego przechodziło jedynie przez różne fazy interpretacji dokonywanych przez Generalnego Inspektora Ochrony Danych Osobowych. Można bowiem znaleźć przestarzałe interpretacje wskazujące, że nagrania z monitoringu kamer nie stanowią zbioru danych osobowych (Sprawozdanie GIODO za rok 2000, s. 12), aż po aktualne spostrzeżenia wskazujące na konieczność objęcia monitoringu wizyjnego regulacjami dotyczącymi ochrony danych. Zwrócił na to uwagę m.in. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 9 kwietnia 2013 r., II SA/Wa 211/13. Wskazał on, że „Straż Miejska w L., realizując uprawnienia ustawowe do obserwowania i rejestrowania obrazu zdarzeń w miejscach publicznych przy użyciu środków technicznych, przetwarza w ramach monitoringu wizyjnego dane osobowe w postaci wizerunków (obrazów) osób przebywających na miejscach objętych zasięgiem monitoringu, a także inne informacje dotyczące tych osób, takie jak sposób zachowania, numery rejestracyjne pojazdów. Dane te prowadzą bowiem do identyfikacji osoby. (…) Bezzasadny jest również zarzut strony skarżącej, dotyczący niemieszczenia się zarejestrowanych danych w definicji zbioru danych z uwagi na fakt, że informacje te są klasyfikowane jedynie według jednego kryterium – czasu zdarzenia, podczas gdy ustawodawca wymaga, by dane zawarte w zbiorze danych były dostępne przynajmniej według dwóch kryteriów. Należy bowiem zgodzić się z organem, że dane zarejestrowane w ramach monitoringu wizyjnego zapisywane są według kryterium czasu, ale również według kryterium miejsca zdarzenia, które jest tożsame z miejscem umieszczenia kamery”.

Efektem zmiany podejścia stało się z jednej strony uwzględnianie danych osobowych pozyskanych w związku z monitoringiem wizyjnym w systemach ochrony danych osobowych, w szczególności poprzez wyodrębnianie zbioru zawierającego dane osobowe pochodzące z monitoringu oraz stosowanie odpowiednich środków organizacyjnych i technicznych, mających na celu zapewnienie poufności, rozliczalności oraz integralności danych osobowych pochodzących z monitoringu wizyjnego. Najlepszym przykładem zmiany praktyki dotyczącej tych danych jest wzrastająca liczba zbiorów danych osobowych, nazywanych z wykorzystaniem słowa „monitoring”, zgłaszanych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Na dzień 15 czerwca 2017 r. jest ich 983 (część z nich dotyczy innego znaczenia słowa „monitoring”, np. monitoring działania leków). Niedługo jednak obowiązek zgłaszania zbiorów do rejestracji stanie się przeszłością.

> RODO – OBOWIĄZKI ZWIĄZANE Z PRZETWARZANIEM DANYCH

Moment rozpoczęcia stosowania przepisów rodo postawi przed podmiotami korzystającymi z monitoringu wizyjnego nowe, tym razem wprost sformułowane obowiązki. Wiążą się one z działalnością polegającą na systematycznym monitorowaniu miejsc lub osób. Taki zamysł legislacyjny wskazuje z jednej strony na wagę zagadnienia, a z drugiej na istnienie ryzyk związanych z przetwarzaniem danych osobowych przy użyciu monitoringu wizyjnego. Co ważne, przepisy rodo nie ograniczają się jedynie do monitoringu wizyjnego wykorzystywanego przez podmioty publiczne. Znaczenie ma bowiem sposób jego wykorzystania, a nie to, kto nim administruje.

Obowiązki związane z przetwarzaniem danych osobowych przy użyciu monitoringu wizyjnego dotyczyć będą:

 

  • oceny skutków dla ochrony danych (art. 35 rodo);
  • uprzednich konsultacji, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka (art. 36 rodo);
  • wyznaczenia Inspektora Ochrony Danych, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (art. 37 ust. 1 punkt b rodo).


[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji, ochrony danych osobowych oraz prowadzenia działalności gospodarczej. Współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"