iSecure logo
  • pl
  • en
    • Blog

    Dokumentacja związana z monitoringiem wizyjnym w firmie

    Ewa Eluszkiewicz
    Kategorie

    Prawidłowe wprowadzenie monitoringu wizyjnego, nie tylko w miejscu pracy, z punktu widzenia ochrony danych osobowych wiąże się z koniecznością szeregu czynności, jakie trzeba podjąć. Można tu wskazać kilka etapów wprowadzania monitoringu:

    • etap oceny zasadności zainstalowania systemu, dokonania ogólnej oceny przetwarzania danych osobowych za pomocą monitoringu biorącej pod uwagę potrzeby i możliwości podmiotu wprowadzającego taki monitoring, wyznaczenia obszarów/ miejsc, które zostaną objęte monitoringiem – kończący się podjęciem decyzji o wprowadzeniu, bądź nie takiego systemu;
    • etap udokumentowania wprowadzania monitoringu – przygotowanie stosownych procedur, wytycznych, projektów informacji, zapisów w regulaminach;
    • etap wdrożenia monitoringu – poinformowania pracowników oraz innych osób, które mogą być objęte monitoringiem, oznaczenie obszarów objętych monitoringiem;
    • etap korzystania z monitoringu z uwzględnieniem konieczności zapewnienia bezpieczeństwa przetwarzanych w ten sposób danych osobowych, realizowania praw jednostki oraz zapewnienia właściwej retencji danych.

    W dzisiejszym artykule skupimy się na dokumentacji związanej z wprowadzaniem i w efekcie korzystaniem z monitoringu wizyjnego w firmie. Podczas korzystania z monitoringu popełnianych jest wiele błędów, do najczęstszych z nich można zaliczyć: źle wyznaczony, zbyt szeroki obszar jaki obejmuje monitoring, brak informacji o stosowaniu monitoringu, niewystarczające informacje o tożsamości administratora, problemy w przypadku chęci skorzystania ze swoich uprawnień przez osoby monitorowane, nieprawidłowe, najczęściej zbyt długie okresy przechowywania nagrań, możliwość dostępu do nagrań przez osoby nieuprawnione, niewystarczające środki bezpieczeństwa. Dobrze przemyślana i prawidłowo prowadzona dokumentacja może ustrzec przed popełnieniem tych błędów i sprawić, że prowadzenie monitoringu będzie bezpiecznym procesem.

    Planując jakiekolwiek przetwarzanie danych osobowych musimy mieć na uwadze to, że powinno się ono odbywać z uwzględnieniem zasad dotyczących przetwarzania danych osobowych (zgodności z prawem i przejrzystości, ograniczonego celu, minimalizacji danych, prawidłowości, ograniczonego przechowywania, zapewnienia integralności i poufności). Administrator musi być w stanie wykazać przestrzeganie tych zasad (zasada rozliczalności). Jednym ze sposobów umożliwiających wykazanie przestrzegania powyższych zasad w przypadku monitoringu wizyjnego jest prowadzenie dokumentacji już od etapu planowania jego wprowadzenia.

    Planowanie wprowadzenia monitoringu

    Rozważając wprowadzenie monitoringu wizyjnego musimy określić jego cel (przetwarzanie danych osobowych zawsze wymaga wskazania celu) oraz przemyśleć w jaki sposób będzie się ono odbywało. Instalacja kamer powinna wynikać z realnej potrzeby podmiotu, należy też rozważyć, czy istnieje inny mniej inwazyjny sposób na osiągnięcie zakładanego celu.

    Najczęściej występującym celem wprowadzania monitoringu jest zapewnienie bezpieczeństwa osób przebywających na danym terenie lub ochrona mienia – zapobieganie kradzieżom, niszczeniu mienia.

    Monitoring najczęściej prowadzony jest na podstawie prawnie uzasadnionego interesu administratora, czyli przesłance określonej w art. 6 ust. 1 lit. f RODO. Do prawidłowego jej stosowania konieczne jest przeprowadzenie tzw. testu równowagi. Przeprowadzenie analizy w postaci testu równowagi powinno zostać udokumentowane i powinno obrazować proces podejmowania decyzji, przede wszystkim wykazywać istnienie realnego, istniejącego interesu podmiotu we wprowadzeniu monitoringu, zgodność tego interesu z prawem, niezbędność wprowadzenia monitoringu dla osiągnięcia założonego celu. Ostateczny wynik testu musi wskazywać, że w tej sytuacji interesy lub podstawowe prawa i wolności osób objętych monitoringiem nie mają nadrzędnego charakteru nad interesami podmiotu planującego wprowadzenie monitoringu.

    Planując wdrożenie monitoringu wizyjnego należy pamiętać, że każdy proces przetwarzania powinien być zgodny z zasadami privacy by design oraz privacy by default, czyli z zasadami uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych. Wprowadzając system monitoringu powinniśmy zadbać, by odbywało się to zgodnie z powyższymi zasadami oraz to udokumentować.

    Jeśli posiadamy w naszej organizacji procedurę związaną z projektowaniem nowych procesów zgodnie z zasadami privacy by design oraz privacy by default, powinniśmy postępować i dokumentować cały proces zgodnie z tą procedurą.

    Wprowadzenie monitoringu

    Gdy decyzja o wprowadzeniu monitoringu w oparciu o test wagi i analizę procesu zgodnie z powyższymi uwagami zostanie już podjęta, rozpoczyna się etap wdrażania monitoringu – instalowania kamer, przygotowania obowiązków informacyjnych i niezbędnej dokumentacji.

    W przypadku wprowadzania monitoringu obejmującego pracowników należy przestrzegać nie tylko przepisów RODO, ale także przepisów Kodeksu pracy, który reguluje zasady prowadzenia monitoringu w zakładzie pracy. W takim przypadku pracodawca jest zobowiązany do:

    • ustalenia celów, zakresu oraz sposobu zastosowania monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Informacja o wprowadzeniu monitoringu powinna być przekazana pracownikom nie później niż 2 tygodnie przed jego uruchomieniem.
    • Przekazania na piśmie informacji o których mowa w punkcie powyżej pracownikom przed dopuszczeniem ich do pracy.
    • Właściwego oznaczenia pomieszczeń i terenów objętych monitoringiem.

    Należy więc przygotować odpowiednie teksty, które będą zawierały zarówno informacje wymagane przez Kodeks pracy, jak i przez art. 13 RODO.

    W przypadku pozostałych osób, nie będących pracownikami, konieczne jest przygotowanie tekstów odpowiednich obowiązków informacyjnych, zawierających wszystkie wymagane przez art. 13 RODO informacje. Z uwagi na to, że jest to dużo informacji i podanie wszystkich informacji może być utrudnione lub mało czytelne (z uwagi np. na miejsce, gdzie taki obowiązek będzie spełniany), warto rozważyć tzw. „warstwowe” spełnienie obowiązku informacyjnego. W pierwszej warstwie, umieszczonej w obszarze monitorowanym, zawieramy w takim wypadku najważniejsze informacje, w szczególności: tożsamość administratora, dane kontaktowe, informacje o celach przetwarzania oraz koniecznie – informację o tym, gdzie i w jaki sposób można zapoznać się z pełną informacją na temat przetwarzania danych osobowych (np. poprzez odesłanie do strony internetowej, wskazanie, że pełen obowiązek znajduje się w recepcji). Druga warstwa zawiera wszystkie pozostałe informacje wymagane przez art. 13 RODO, które umieszczamy w łatwo dostępnym dla osób objętych monitoringiem miejscu.

    Wszystkie obszary (pomieszczenia, tereny) objęte monitoringiem powinny być odpowiednio oznaczone. Przyjęła się w tym zakresie praktyka umieszczania na obszarach objętych monitoringiem tabliczek zawierających piktogram kamery oraz teksty „obszar monitorowany”, „pomieszczenie monitorowane”.

    Oznaczając pomieszczenia i obszary monitorowane oraz spełniając obowiązek informacyjny należy mieć na uwadze, że informacje te i oznaczenia powinny znajdować się przy wejściu na teren monitorowany, czy do pomieszczenia monitorowanego. Każdy powinien mieć możliwość zapoznania się z informacją, że wchodzi w obszar monitorowany, zanim się na nim znajdzie.

    Procedura monitoringu

    W zależności od skomplikowania i wielkości systemu monitoringu jaki stosuje dana organizacja, warto rozważyć przygotowanie i wprowadzenie procedury monitoringu. Dokument taki może porządkować cały system monitoringu stosowany przez podmiot i porządkować wszystkie jego elementy. Na taką procedurę mogą się składać:

    • Zasady/ polityka stosowania monitoringu przez organizację;
    • Obszary stosowania monitoringu/ wykaz miejsc objętych monitoringiem;
    • Osoby odpowiedzialne za wypełnienie poszczególnych obowiązków związanych z wprowadzonym systemem;
    • Zasady znakowania obszarów monitorowanych;
    • Zasady oraz czas przechowywania nagrań;
    • Zasady udostępniania nagrań;
    • Sposób realizacji praw podmiotów objętych monitoringiem;
    • Teksty stosowanych w ramach monitoringu wizyjnego obowiązków informacyjnych oraz zasady ich spełniania.

    Inna dokumentacja związana z monitoringiem

    Wprowadzając monitoring w organizacji należy także uwzględnić ten proces w rejestrze czynności przetwarzania.

    Ponadto należy pamiętać, że realizacja praw osób, których dotyczą dane, dotyczy także monitoringu. Administrator musi być przygotowany na realizację tych praw i odpowiadanie na żądania składane przez osoby, których dane przetwarza za pomocą systemu monitoringu.

    Jeśli w ramach monitoringu korzysta z podmiotów przetwarzających, powinien zadbać o weryfikację podmiotów przetwarzających i zawarcie stosownych umów powierzenia.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Prawo do usunięcia danych osobowych – kiedy może być realizowane?

    Prawo do usunięcia danych osobowych jest jednym z najbardziej znanych praw podmiotów danych na gruncie RODO. W teorii, RODO zapewnia każdej osobie fizycznej, której dane osobowe są przetwarzane, prawo do ich usunięcia w każdym momencie. Jednak, jak większość przepisów, każde prawo obwarowane jest pewnymi warunkami. Prawo do usunięcie danych również nie jest prawem bezwzględnym i […]

    Czytaj więcej
    Olga Skotnicka

    Odpowiedzialność finansowa w grupie kapitałowej i nadzór nad procesami

    Podmioty działające w ramach grup kapitałowych bardzo często dzielą̨ się̨ informacjami. Kiedy wymiana dotyczy danych osobowych, z zasady niezbędne jest spełnienie wymagań́ określonych w przepisach o ich ochronie. Nadzór nad procesami w grupie kapitałowej jest w gruncie rzeczy bardzo trudny. Jest to zauważalne zjawisko ukazujące się podczas audytu RODO. Zazwyczaj, nie zdajemy sobie sprawy z […]

    Czytaj więcej
    Maciej Łukaszewicz

    Czy pracodawca może kontrolować skrzynkę pocztową pracownika?

    Każdy z nas wykonując pracę na rzecz swojego pracodawcy, bez względu na formę zatrudnienia, korzysta ze skrzynki pocztowej. Skrzynka pocztowa i domena w większości przypadków dostarczana jest przez pracodawcę. Co do zasady, służbowa skrzynka pocztowa jest wykorzystywana w celu realizacji bieżących obowiązków służbowych przez pracownika. Korespondencja i komunikacja mailowa są dzisiaj jednym z najpowszechniejszych form […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki