iSecure logo
Blog

Dokumentacja związana z monitoringiem wizyjnym w firmie

Prawidłowe wprowadzenie monitoringu wizyjnego, nie tylko w miejscu pracy, z punktu widzenia ochrony danych osobowych wiąże się z koniecznością szeregu czynności, jakie trzeba podjąć. Można tu wskazać kilka etapów wprowadzania monitoringu:

  • etap oceny zasadności zainstalowania systemu, dokonania ogólnej oceny przetwarzania danych osobowych za pomocą monitoringu biorącej pod uwagę potrzeby i możliwości podmiotu wprowadzającego taki monitoring, wyznaczenia obszarów/ miejsc, które zostaną objęte monitoringiem – kończący się podjęciem decyzji o wprowadzeniu, bądź nie takiego systemu;
  • etap udokumentowania wprowadzania monitoringu – przygotowanie stosownych procedur, wytycznych, projektów informacji, zapisów w regulaminach;
  • etap wdrożenia monitoringu – poinformowania pracowników oraz innych osób, które mogą być objęte monitoringiem, oznaczenie obszarów objętych monitoringiem;
  • etap korzystania z monitoringu z uwzględnieniem konieczności zapewnienia bezpieczeństwa przetwarzanych w ten sposób danych osobowych, realizowania praw jednostki oraz zapewnienia właściwej retencji danych.

W dzisiejszym artykule skupimy się na dokumentacji związanej z wprowadzaniem i w efekcie korzystaniem z monitoringu wizyjnego w firmie. Podczas korzystania z monitoringu popełnianych jest wiele błędów, do najczęstszych z nich można zaliczyć: źle wyznaczony, zbyt szeroki obszar jaki obejmuje monitoring, brak informacji o stosowaniu monitoringu, niewystarczające informacje o tożsamości administratora, problemy w przypadku chęci skorzystania ze swoich uprawnień przez osoby monitorowane, nieprawidłowe, najczęściej zbyt długie okresy przechowywania nagrań, możliwość dostępu do nagrań przez osoby nieuprawnione, niewystarczające środki bezpieczeństwa. Dobrze przemyślana i prawidłowo prowadzona dokumentacja może ustrzec przed popełnieniem tych błędów i sprawić, że prowadzenie monitoringu będzie bezpiecznym procesem.

Planując jakiekolwiek przetwarzanie danych osobowych musimy mieć na uwadze to, że powinno się ono odbywać z uwzględnieniem zasad dotyczących przetwarzania danych osobowych (zgodności z prawem i przejrzystości, ograniczonego celu, minimalizacji danych, prawidłowości, ograniczonego przechowywania, zapewnienia integralności i poufności). Administrator musi być w stanie wykazać przestrzeganie tych zasad (zasada rozliczalności). Jednym ze sposobów umożliwiających wykazanie przestrzegania powyższych zasad w przypadku monitoringu wizyjnego jest prowadzenie dokumentacji już od etapu planowania jego wprowadzenia.

Planowanie wprowadzenia monitoringu

Rozważając wprowadzenie monitoringu wizyjnego musimy określić jego cel (przetwarzanie danych osobowych zawsze wymaga wskazania celu) oraz przemyśleć w jaki sposób będzie się ono odbywało. Instalacja kamer powinna wynikać z realnej potrzeby podmiotu, należy też rozważyć, czy istnieje inny mniej inwazyjny sposób na osiągnięcie zakładanego celu.

Najczęściej występującym celem wprowadzania monitoringu jest zapewnienie bezpieczeństwa osób przebywających na danym terenie lub ochrona mienia – zapobieganie kradzieżom, niszczeniu mienia.

Monitoring najczęściej prowadzony jest na podstawie prawnie uzasadnionego interesu administratora, czyli przesłance określonej w art. 6 ust. 1 lit. f RODO. Do prawidłowego jej stosowania konieczne jest przeprowadzenie tzw. testu równowagi. Przeprowadzenie analizy w postaci testu równowagi powinno zostać udokumentowane i powinno obrazować proces podejmowania decyzji, przede wszystkim wykazywać istnienie realnego, istniejącego interesu podmiotu we wprowadzeniu monitoringu, zgodność tego interesu z prawem, niezbędność wprowadzenia monitoringu dla osiągnięcia założonego celu. Ostateczny wynik testu musi wskazywać, że w tej sytuacji interesy lub podstawowe prawa i wolności osób objętych monitoringiem nie mają nadrzędnego charakteru nad interesami podmiotu planującego wprowadzenie monitoringu.

Planując wdrożenie monitoringu wizyjnego należy pamiętać, że każdy proces przetwarzania powinien być zgodny z zasadami privacy by design oraz privacy by default, czyli z zasadami uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych. Wprowadzając system monitoringu powinniśmy zadbać, by odbywało się to zgodnie z powyższymi zasadami oraz to udokumentować.

Jeśli posiadamy w naszej organizacji procedurę związaną z projektowaniem nowych procesów zgodnie z zasadami privacy by design oraz privacy by default, powinniśmy postępować i dokumentować cały proces zgodnie z tą procedurą.

Wprowadzenie monitoringu

Gdy decyzja o wprowadzeniu monitoringu w oparciu o test wagi i analizę procesu zgodnie z powyższymi uwagami zostanie już podjęta, rozpoczyna się etap wdrażania monitoringu – instalowania kamer, przygotowania obowiązków informacyjnych i niezbędnej dokumentacji.

W przypadku wprowadzania monitoringu obejmującego pracowników należy przestrzegać nie tylko przepisów RODO, ale także przepisów Kodeksu pracy, który reguluje zasady prowadzenia monitoringu w zakładzie pracy. W takim przypadku pracodawca jest zobowiązany do:

  • ustalenia celów, zakresu oraz sposobu zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Informacja o wprowadzeniu monitoringu powinna być przekazana pracownikom nie później niż 2 tygodnie przed jego uruchomieniem.
  • Przekazania na piśmie informacji o których mowa w punkcie powyżej pracownikom przed dopuszczeniem ich do pracy.
  • Właściwego oznaczenia pomieszczeń i terenów objętych monitoringiem.

Należy więc przygotować odpowiednie teksty, które będą zawierały zarówno informacje wymagane przez Kodeks pracy, jak i przez art. 13 RODO.

W przypadku pozostałych osób, nie będących pracownikami, konieczne jest przygotowanie tekstów odpowiednich obowiązków informacyjnych, zawierających wszystkie wymagane przez art. 13 RODO informacje. Z uwagi na to, że jest to dużo informacji i podanie wszystkich informacji może być utrudnione lub mało czytelne (z uwagi np. na miejsce, gdzie taki obowiązek będzie spełniany), warto rozważyć tzw. „warstwowe” spełnienie obowiązku informacyjnego. W pierwszej warstwie, umieszczonej w obszarze monitorowanym, zawieramy w takim wypadku najważniejsze informacje, w szczególności: tożsamość administratora, dane kontaktowe, informacje o celach przetwarzania oraz koniecznie – informację o tym, gdzie i w jaki sposób można zapoznać się z pełną informacją na temat przetwarzania danych osobowych (np. poprzez odesłanie do strony internetowej, wskazanie, że pełen obowiązek znajduje się w recepcji). Druga warstwa zawiera wszystkie pozostałe informacje wymagane przez art. 13 RODO, które umieszczamy w łatwo dostępnym dla osób objętych monitoringiem miejscu.

Wszystkie obszary (pomieszczenia, tereny) objęte monitoringiem powinny być odpowiednio oznaczone. Przyjęła się w tym zakresie praktyka umieszczania na obszarach objętych monitoringiem tabliczek zawierających piktogram kamery oraz teksty „obszar monitorowany”, „pomieszczenie monitorowane”.

Oznaczając pomieszczenia i obszary monitorowane oraz spełniając obowiązek informacyjny należy mieć na uwadze, że informacje te i oznaczenia powinny znajdować się przy wejściu na teren monitorowany, czy do pomieszczenia monitorowanego. Każdy powinien mieć możliwość zapoznania się z informacją, że wchodzi w obszar monitorowany, zanim się na nim znajdzie.

Procedura monitoringu

W zależności od skomplikowania i wielkości systemu monitoringu jaki stosuje dana organizacja, warto rozważyć przygotowanie i wprowadzenie procedury monitoringu. Dokument taki może porządkować cały system monitoringu stosowany przez podmiot i porządkować wszystkie jego elementy. Na taką procedurę mogą się składać:

  • Zasady/ polityka stosowania monitoringu przez organizację;
  • Obszary stosowania monitoringu/ wykaz miejsc objętych monitoringiem;
  • Osoby odpowiedzialne za wypełnienie poszczególnych obowiązków związanych z wprowadzonym systemem;
  • Zasady znakowania obszarów monitorowanych;
  • Zasady oraz czas przechowywania nagrań;
  • Zasady udostępniania nagrań;
  • Sposób realizacji praw podmiotów objętych monitoringiem;
  • Teksty stosowanych w ramach monitoringu wizyjnego obowiązków informacyjnych oraz zasady ich spełniania.

Inna dokumentacja związana z monitoringiem

Wprowadzając monitoring w organizacji należy także uwzględnić ten proces w rejestrze czynności przetwarzania.

Ponadto należy pamiętać, że realizacja praw osób, których dotyczą dane, dotyczy także monitoringu. Administrator musi być przygotowany na realizację tych praw i odpowiadanie na żądania składane przez osoby, których dane przetwarza za pomocą systemu monitoringu.

Jeśli w ramach monitoringu korzysta z podmiotów przetwarzających, powinien zadbać o weryfikację podmiotów przetwarzających i zawarcie stosownych umów powierzenia.

Pobierz wpis w wersji pdf

Podobne wpisy:

Pierwsza kara za naruszenie przepisów RODO podtrzymana

W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe […]

Gdy nastąpił wyciek danych

Czy chronisz swoje dane w chmurze?

Ułatwienie pracy czy jedynie większe ryzyko otrzymania kary? Praca w środowisku chmurowym może zaoferować organizacjom wiele korzyści, jak również niesie ze sobą wiele niebezpieczeństw, np.: – możliwość przechwycenia kont pracowników, – nieuprawniony dostęp do danych znajdujących się w chmurze, – nieautoryzowane zmiany czy utrata plików, – inne naruszenia ochrony danych osobowych. Wprowadzając odpowiednie polityki oraz […]

Pobieraczek.pl ukarany przez UOKiK

Rozważania na temat roli IOD w sytuacjach spornych

Na marginesie dyskusji o zakazie prewencyjnego badania trzeźwości pracowników dokonywanego samodzielnie przez pracodawcę pojawiło się ciekawe zagadnienie, dotyczące opinii sporządzanych przez IOD w odpowiedzi na pytania klientów, które daje pożywkę do dyskusji na temat funkcji i roli jaką pełni IOD w systemie prawa ochrony danych osobowych. Z dużą dozą prawdopodobieństwa można założyć, że większość osób […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki