Administratorzy danych mają dość często problemy z ustaleniem, czy osoba, która wnosi żądanie na gruncie RODO, jest do tego uprawniona. Przykładem może być wniosek o usunięcie danych uczestnika postępowania rekrutacyjnego, przesłany drogą mailową z adresu innego niż adres, z którego kandydat wysłał swoje CV. W takim przypadku administrator musi upewnić się, że składający wniosek faktycznie jest osobą, której danych dotyczy żądanie.
Tego typu sytuacje mogą jednak rodzić wątpliwości co do biegu terminu na udzielenie odpowiedzi. Zgodnie z RODO, realizacja żądania powinna nastąpić co do zasady w ciągu miesiąca od jego wniesienia. W praktyce przyjęło się, że gdy administrator ma kłopot z weryfikacją tożsamości osoby domagającej się realizacji praw wynikających z RODO, powyższy termin należy liczyć od momentu ustalenia, że jest ona faktycznie uprawniona do wniesienia żądania.
Takie rozwiązanie zostało ostatnio potwierdzone przez organ nadzorczy działający na terenie Meklemburgii-Pomorza Przedniego w Niemczech. To dobra wiadomość, ponieważ powyższe podejście jest bardzo rozsądne i w pełni uwzględnia interesy administratorów, nie utrudniając jednocześnie realizacji uprawnień przyznanych na gruncie RODO podmiotom danych.
Mimo że zima już za nami, warto wrócić do styczniowych wytycznych Europejskiej Rady Ochrony Danych (EROD) dotyczących przetwarzania danych osobowych za pomocą urządzeń wideo, w tym monitoringu wizyjnego.
Jak każdy tego typu dokument, tak i niniejsze wytyczne zawierają wiele wskazówek, które powinny być już dobrze znane administratorom danych. Dlatego chciałbym zwrócić uwagę na kilka najciekawszych fragmentów, które mogą być najbardziej przydatne podczas podejmowania decyzji, czy i jak stosować monitoring wizyjny.
Rzeczywiste potrzeby administratora
Po pierwsze, EROD jednoznacznie stwierdziła, że przyczyny uzasadniające stosowanie monitoringu powinny być rzeczywiste. Zdaniem rady, nie będzie wystarczającym uzasadnieniem powołanie się np. na ogólnokrajowe statystki przestępczości. Podmiot, który chce korzystać z monitoringu musi uwzględnić lokalny kontekst, w jakim funkcjonuje oraz rodzaj prowadzonej działalności. Uważam, że jest to zalecenie, na które powinny zwrócić uwagę w szczególności małe sklepy spożywcze itp. W tego typu miejscach monitoring jest niezwykle powszechnym narzędziem służącym zapewnieniu bezpieczeństwa, przede wszystkim zapobieżeniu kradzieżom. Biorąc pod uwagę wytyczne EROD, ich właściciele powinni zadać sobie pytanie, czy korzystanie z nadzoru wideo faktycznie jest potrzebne.
Ponadto w celu udowodnienia, że monitoring jest konieczny, przydatne mogą być dokumenty potwierdzające zagrożenia, na które narażony jest administrator danych. Jednocześnie EROD zaleca, aby regularnie weryfikować zasadność stosowania monitoringu (raz w roku lub z inną częstotliwością w zależności od sytuacji).
Czy możliwe jest wykorzystanie innych zabezpieczeń?
EROD wyraźnie potwierdziła, że monitoring nie powinien być stosowany, jeśli możliwe jest wykorzystanie innych zabezpieczeń, ingerujących w mniejszym stopniu w prawa i wolności osób, które mogłyby zostać nagrane. Rada wskazała takie środki jak dodatkowe ogrodzenie, zatrudnienie ochrony, zamontowanie lepszego oświetlenia lub zamków przeciwwłamaniowych czy naklejenie specjalnych foli utrudniających namalowanie graffiti w przypadku tego rodzaju aktów wandalizmu.
EROD wprost o maskowaniu kamer
Co istotne, wytyczne mówią wprost o konieczności maskowania kamer, aby ich zasięgiem nie obejmować obszarów, których monitorowanie nie jest konieczne. W tym celu można zasłonić kamery lub użyć cyfrowego maskowania polegającego na „wypikselowaniu” określonej części kadru (jak przypadku twarzy osoby podejrzanej o popełnienie przestępstwa, która prezentowana jest w materiale telewizyjnym). Jednocześnie EROD nie zakazuje monitorowania obszarów przylegających do nieruchomości administratora danych, o ile jest to niezbędne do zapewnienia bezpieczeństwa jego mienia.
Wytyczne w wersji angielskiej dostępne są tutaj.
