Tabliczka „obiekt monitorowany” przykręcona do bramy. Jako administrator wpisana firma ochroniarska. Okres przechowywania: „do czasu nadpisania”. Brak odesłania do pełnej klauzuli. Podpis: „zgodnie z RODO”.
Gratulacje. Właśnie stworzyłeś klauzulę informacyjną, która nie chroni przed niczym — poza zarzutem, że próbowałeś.
Obowiązek informacyjny przy monitoringu to w Polsce coś między legendą miejską a rytuałem. Wszyscy wiedzą, że „powinien być”. Nikt nie sprawdza, co realnie musi zawierać. A jak już jest — to z reguły ma trzy elementy, a brakuje ośmiu.
Ten tekst jest dla Ciebie, jeśli odpowiadasz za to, żeby kamery w Twoim obiekcie nie skończyły jako punkt wyjścia do skargi w PUODO. Bez lania wody. Lista, konkret, najczęstsze wtopy.
Dlaczego w ogóle się tym przejmować
Każde nagranie z kamery to dane osobowe. Twarz, sylwetka, numer rejestracyjny, czasem głos. Tyle. Nie ma dyskusji w stylu „ale to tylko ochrona, nikt tego nie ogląda” — art. 13 RODO wchodzi automatycznie.
To oznacza jedno: wobec każdej osoby wchodzącej w kadr masz aktywny obowiązek informacyjny. Nie „jeśli zapyta”. Nie „na żądanie”. Aktywnie, zanim ta osoba zdąży mignąć w obiektywie.
Co się dzieje, jak nie zrobisz tego dobrze:
Po pierwsze — skargi. Piszą je nie ci, których obraziłeś nagraniem. Piszą je ci, z którymi masz spór o coś zupełnie innego: były pracownik, sąsiad, niezadowolony kontrahent. Monitoring jest dźwignią, nie meritum. I działa.
Po drugie — kary. W Polsce za monitoring nie było jeszcze kar pieniężnych – tylko nakazy zdjecia. W Hiszpanii czy Austrii już tak wesoło nie jest. Tam urzędy regularnie sypią karami. Pewnego dnia, ten zwyczaj może przyjść i do nas bo przepisy te same.
Po trzecie — dowody. Nagranie z wadliwie oznaczonego monitoringu można skutecznie zakwestionować w sądzie – może to zostać za podsłuch z powodu braku informacji o nagrywaniu. Tego byśmy nie chcieli.
Model dwuwarstwowy — czyli jedna tabliczka to za mało
Europejska Rada Ochrony Danych w wytycznych 3/2019 ustawiła sprawę twardo: informacja o monitoringu musi być w dwóch warstwach. Jedna tabliczka nie wystarczy. Dwie tabliczki też nie, jeśli obie mówią to samo.
Warstwa I — to, co widzi wchodzący, zanim wejdzie w kadr.
Tabliczka. Minimum, ale skuteczne. Co na niej musi być:
- piktogram kamery (wytyczne wprost rekomendują obraz — skraca tekst);
- tożsamość administratora — pełna nazwa podmiotu, który podejmuje decyzje o monitoringu, nie firmy ochroniarskiej, która go obsługuje;
- cel, krótko (np. „zapewnienie bezpieczeństwa osób i mienia”);
- wskazanie, gdzie jest pełna klauzula.
Ostatniego punktu najczęściej brakuje. Jeśli na tabliczce nie ma linku, QR kodu, adresu strony albo napisu „pełna informacja w recepcji” — tabliczka nie spełnia wymogów RODO, niezależnie od tego, co reszta na niej mówi.
Warstwa II — pełna klauzula, dostępna pod wskazanym miejscem.
Pełny art. 13. Może wisieć na stronie, być pod QR kodem, leżeć w recepcji w formie wydruku. Musi być realnie dostępna — nie „do wglądu u prezesa, we wtorki, 10–11, po wcześniejszym mailu”.
Co musi zawierać pełna klauzula (warstwa II)
Art. 13 RODO, przetłumaczony z prawniczego na ludzki:
1. Kto jest administratorem. Pełna nazwa, siedziba, dane kontaktowe. Powtórzę, bo to błąd numer jeden: administratorem jest podmiot, który decyduje o monitoringu, a nie firma, która go obsługuje. Jeśli to Twoja firma zdecydowała, że będą kamery — Ty jesteś administratorem. Iks Security jest procesorem. Wpisanie ich na tabliczkę to nie drobiazg. To próba przesunięcia odpowiedzialności na podmiot, który jej nie ma. PUODO widzi to od razu.
2. Dane kontaktowe IOD-a — jeśli wyznaczony. Dedykowany e-mail, nie „biuro@firma.pl”, do którego piszą też kontrahenci i dostawcy papieru do drukarki.
3. Cel i podstawa prawna. Dla sektora prywatnego zwykle art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes. Haczyk: trzeba wskazać, jaki to interes. „Zgodnie z RODO” to nie jest cel. „RODO tak mówi” to nie jest podstawa prawna. „Zapewnienie bezpieczeństwa osób i ochrona mienia” — to już coś, co się obroni.
4. Odbiorcy danych. Konkretnie, kto realnie dostaje nagrania. Firma ochroniarska. Serwis techniczny kamer. Dostawca chmury, jeśli nagrania lecą w chmurę.
5. Okres przechowywania. Konkretne dni, z uzasadnieniem. „Do czasu nadpisania” to nie jest okres przechowywania. To przyznanie, że nie wiesz, ile nagrania żyją w Twoim systemie.
6. Prawa osoby. Pełna lista: dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw. Plus skarga do PUODO. „Przysługują Panu/Pani prawa wynikające z RODO” to nie jest informacja o prawach. To jest informacja, że prawa są gdzieś w Internecie i życzymy powodzenia w szukaniu.
7. Czy podanie danych jest wymagane. Jak najbardziej OK jest powiedzenie że podanie danych jest konieczne w celu przebywania na obszarze objętym monitoringiem.
8. Profilowanie. Domyślnie: nie występuje. Jeśli jednak masz analitykę wideo — rozpoznawanie twarzy, analizę zachowań, heat mapy — potencjalnie masz problem znacznie większy niż klauzula. Ale w klauzuli też musisz to napisać.
Monitoring pracowniczy — osobna gra, osobne zasady
Jeśli kamery obejmują stanowiska pracy albo pomieszczenia, w których przebywają pracownicy, do RODO dochodzi art. 22² Kodeksu pracy. I KP jest w tej kwestii bezwzględny jak windykator.
- Cel monitoringu musi być jednym z czterech: bezpieczeństwo pracowników, ochrona mienia, kontrola produkcji, zachowanie tajemnicy prawnie chronionej. Żadnych „na wszelki wypadek”, żadnych „bo prezes chce widzieć, co się dzieje w hali”.
- Okres przechowywania: maksymalnie 3 miesiące. Trzymasz dłużej „bo tak było zawsze”? To jest nielegalnie.
- Zasady monitoringu — w regulaminie pracy, układzie zbiorowym albo obwieszczeniu. Nie w mailu. Nie „wszyscy wiedzą”. Dokument.
- Pracowników trzeba poinformować 2 tygodnie przed uruchomieniem. Nowych — przed dopuszczeniem do pracy. Najlepiej oddzielną klauzulą informacyjną.
- Oznaczenie pomieszczeń — widocznie i czytelnie.
Kamery nie mogą być w toaletach, szatniach, stołówkach, palarniach ani pomieszczeniach związków zawodowych. Wyjątek jest — wąski, musisz miec solidne argumenty (bójki) by uzasadnić tam kamery.
Szybki audyt Twojej klauzuli
- Na tabliczce jest tylko „Obiekt monitorowany” i firma ochroniarska.
- Jako administratora wpisano kogoś, kto monitoringiem tylko operuje.
- Brak odesłania do pełnej klauzuli — nie ma QR, nie ma strony, nie ma „pytaj w recepcji”.
- Podstawa prawna brzmi „RODO”. Cel brzmi „zgodnie z RODO”.
- Okres przechowywania to „do nadpisania”.
- Prawa osób zbite w jedno zdanie „ma Pan/Pani prawa wynikające z RODO”.
- Pracownicy poinformowani mailem w dniu uruchomienia monitoringu.
- Nagrania leżą 6 miesięcy, chociaż obejmują stanowiska pracy.
Każdy z tych punktów to osobne ryzyko. Każdy zabiera maksymalnie jeden dzień roboczy, żeby poprawić.
Co zrobić, jeśli tabliczka jest z 2018 roku
Trzy kroki. W tej kolejności. Inaczej marnujesz czas i pieniądze.
- Krok 1 — inwentaryzacja. Gdzie są kamery, co obejmują, kto jest administratorem, kto procesorem, gdzie leżą nagrania, jak długo. Bez tego klauzula będzie kłamstwem — ładnie sformatowanym, ale kłamstwem.
- Krok 2 — warstwa II. Napisz pełną klauzulę. Umieść na stronie albo w miejscu fizycznie dostępnym. Upewnij się, że da się do niej dotrzeć w mniej niż trzy kliknięcia albo bez pukania do drzwi prezesa.
- Krok 3 — tabliczki. Nowa tabliczka z odesłaniem do warstwy II. Piktogram. Administrator wpisany poprawnie.
Odwrócenie tej kolejności — najpierw nowe tabliczki, potem „dopracujemy klauzulę” — to jest kosmetyka. I to taka, która przy pierwszej skardze zamienia się w koszt.
Podsumowanie
- Jedna tabliczka to nie klauzula informacyjna. Musi być w modelu dwuwarstwowym: tabliczka z minimum + odesłanie do pełnej klauzuli (art. 13 RODO).
- Administratorem jest podmiot, który decyduje o monitoringu, nie firma ochroniarska, która go obsługuje. To jest błąd numer jeden.
- Pracownicy — 2 tygodnie przed uruchomieniem, maksymalnie 3 miesiące przechowywania, regulamin pracy / obwieszczenie, nigdy mail „do wszystkich”.
- Tabliczka bez odesłania do pełnej klauzuli nie spełnia wymogów RODO — niezależnie od tego, co reszta na niej mówi.
- Kolejność napraw:
- inwentaryzacja kamer
- pełna klauzula
- nowe tabliczki.
Najczęściej zadawane pytania
Nie. Naklejka to ostrzeżenie dla złodziei, nie obowiązek informacyjny. RODO wymaga modelu dwuwarstwowego: minimum na tabliczce (administrator, cel, prawa, odesłanie do pełnej klauzuli) plus dostępna pełna klauzula z art. 13 RODO. Sama naklejka to brak klauzuli, kropka.
Administratorem jest ten, kto decyduje o monitoringu: jakie kamery, gdzie, po co, co z nagraniami. Zwykle to właściciel obiektu albo najemca. Firma ochroniarska, która tylko obsługuje system, jest procesorem i powinna mieć z administratorem podpisaną umowę powierzenia. Wpisanie firmy ochroniarskiej na tabliczkę jako administratora to błąd.
Dla monitoringu pracowniczego Kodeks pracy mówi wprost: maksymalnie 3 miesiące (z wyjątkiem, gdy nagranie jest dowodem w postępowaniu). Dla monitoringu komercyjnego (sklep, parking, teren zakładu) nie ma sztywnego limitu, ale obowiązuje zasada minimalizacji. Standard rynkowy to 30 dni, dłużej — tylko z konkretnym uzasadnieniem. „Do czasu nadpisania” nie jest okresem przechowywania.
Co do zasady nie. Art. 22² Kodeksu pracy wprost wyłącza pomieszczenia sanitarne, szatnie, stołówki, palarnie i pomieszczenia związków zawodowych. Wyjątek istnieje — ale jest wąski, wymaga konkretnego uzasadnienia (np. powtarzające się bójki, udokumentowane incydenty) i w praktyce rzadko się obroni. „Bo były kradzieże kanapek” nie wystarczy.
Mail może być formą przekazania informacji, ale nie zastępuje dokumentu ustanawiającego monitoring. Zasady monitoringu muszą być w regulaminie pracy, układzie zbiorowym albo obwieszczeniu pracodawcy. Pracownicy muszą dostać informację co najmniej 2 tygodnie przed uruchomieniem, nowi — przed dopuszczeniem do pracy. Mail wysłany w dniu uruchomienia monitoringu to gotowy zarzut do skargi.
Autor artykułu
Damian Bielecki
Ekspert od ochrony danych. Autor publikacji i ksiązek poświęconych tematyce ochrony danych osobowych. Tworzy codziennie treści o RODO w social media, pokazując w prosty i humorystyczny sposób, że nawet „nudne” prawo może angażować – zwłaszcza na Linkedin.