Monitoringowe dane osobowe

„Dyrektywa w sprawie ochrony danych osobowych znajduje zastosowanie do nagrań wideo rejestrowanych za pomocą kamery monitoringu zainstalowanej przez daną osobę na jej domu rodzinnym i skierowanej na drogę publiczną” – orzekł wczoraj Trybunał Sprawiedliwości Unii Europejskiej. Spór prawny powstał na kanwie wątpliwości, czy można wykorzystać w postępowaniu karnym nagranie z monitoringu, które powstało z naruszeniem prawa. Jednak rozstrzygnięcie ma szersze konsekwencje i jeszcze bardziej komplikuje sytuację prawną podmiotów prowadzących monitoring. František Ryneš i jego rodzina byli wielokrotnie celem ataków ze strony nieznanych sprawców, a dodatkowo kilkakrotnie wybijano okna ich domu. Dlatego Ryneš zainstalował kamerę, która obserwowała nie tylko wejście do domu, ale także drogę publiczną i wejście do domu położonego naprzeciwko. Gdy po raz kolejny wybito szybę w domu rodziny, Ryneš przekazał policji nagranie z monitoringu, na którym widać było sprawców. Na kanwie tej sprawy czeski sąd administracyjny spytał Trybunał Sprawiedliwości, czy prowadzenie przez osobę prywatną monitoringu okolic domu stanowi przetwarzanie danych objęte dyrektywą o ochronie danych osobowych, czy też – ze względu na to, że zostało wykonane przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze – jej nie podlega.

Trybunał uznał, że obraz osoby zarejestrowanej przez kamerę stanowi dane osobowe, ponieważ pozwala on ustalić tożsamość danej osoby – oznacza to więc, że podmioty prowadzące monitoring powinny przestrzegać przepisów o ochronie danych osobowych. Nie dotyczy to jednak osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Trybunał zakreślił jednak bardzo wąską interpretację „celów osobistych”, stwierdzając, że nie obejmują one monitorowania przestrzeni publicznej. Wynika stąd, że osoby monitorujące chodnik przed swoim domem przetwarzają dane osobowe.

Konieczność stosowania prawa o ochronie danych osobowych do monitoringu rodzi wiele pytań, np.: jak zupełnie niezabezpieczony monitoring (ostatnio Internet obiegła informacja o stronie zbierającej obrazy z takich kamer) ma się do art. 51 ustawy o ochronie danych osobowych, zgodnie z którym administratorowi, który nie zabezpiecza przetwarzanych przez siebie danych, grozi kara pozbawienia wolności do roku? Co z podmiotami (np. miastami), które nie informują – lub robią to w sposób nieskuteczny czy fikcyjny – że zarządzana przez nie przestrzeń jest objęta monitoringiem? Zgodnie z ustawą, kto administrując zbiorem danych, nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Czy wyrok będzie miał wpływ na sytuację w Polsce? Mimo pojedynczych prób stosowania ustawy o ochronie danych osobowych można odnieść wrażenie, że większość podmiotów prowadzących monitoring nie zdaje sobie sprawy, że przetwarza dane osobowe. Co prawda niebawem zostanie ograniczony obowiązek rejestracji zbiorów danych, jednak monitorujący powinni realizować inne obowiązki, np. informować o celu i sposobie przetwarzania nagrań. Brak ustawy o monitoringu wizyjnym oznacza zatykanie luki legislacyjnej tym, co jest pod ręką. Nawet jeśli prowadzi to do paradoksalnych lub potencjalnie paraliżujących wniosków. Potrzebna jest więc ustawa, która nie tylko określi, kto i na jakich warunkach może prowadzić monitoring, ale również precyzyjnie rozstrzygnie, w jakim zakresie do kamer stosuje się zasady dotyczące danych osobowych.

Wojciech Klicki