Newsletter

Zapisz się do newslettera

Uzupełnij swojego maila i bądź na bieżąco z nowościami na stronie prawosportowe.pl

ikonka fb ikonka tw

Legislacja

Przetwarzanie danych osobowych za pomocą urządzeń wideo cz. 3

21.02.2020

Pozostając w tematyce wskazówek dotyczących utrwalania wizerunku za pomocą urządzeń wideo oraz realizując zapowiedź zawartą w ostatnim wpisie, w dniu dzisiejszym skoncentruję się na udostępnianiu zebranych danych osobowych podmiotom trzecim. Dodatkowo odniosę się do danych osobowych „szczególnych kategorii”, a w szczególności danych biometrycznych, które budzą najwięcej wątpliwości podczas korzystania z różnego rodzaju kamer lub monitoringu.

Podobnie jak w poprzednich blogach nieocenione podczas analizy będą Wytyczne Europejskiej Rady Ochrony Danych (EROD/EDPB), opublikowane pod koniec stycznia b.r. [1]

Udostępnianie danych podmiotom trzecim

Ujawnianie lub też udostępnianie danych osobowych (w tym wypadku utrwalonych w materiale wideo) jest traktowane na podstawie art. 4 pkt 2 RODO[2], jako jedna z form przetwarzania danych. Dlatego też, aby móc bez obaw przekazać zarejestrowany obraz osobie trzeciej koniecznym jest ustalenie, która z podstaw prawnych wymienionych w art. 6 ust. 1 RODO znajdzie w danym przypadku zastosowanie. Może to być m.in. zgoda osoby, której dane dotyczą, zawarta umowa, obowiązek prawny, uzasadniony interes podmiotu udostępniającego.

Czasami może dojść do sytuacji, w której zaistnieje chęć przekazania materiału wideo, ale cel takiego przekazania jest inny, niż cel dla którego materiał został nagrany. Wówczas udostępnienie jest możliwe, jednakże pod uwagę należy wziąć art. 6 ust. 4 RODO.

Zgodnie z nim kluczowym elementem jest ustalenie czy cel, dla realizacji którego nagrane dane osobowe zostały przekazane jest zbieżny z pierwotnym celem ich zarejestrowania. Poszukując odpowiedzi na to pytanie można wziąć pod uwagę m.in.:

  • wszelkie związki między celem pierwotnym i wtórnym;
  • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
  • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 RODO lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10 RODO
  • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą
  • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

EROD w swoich wytycznych zaprezentowała przykład trafnie obrazujący powyższą sytuację.

Na strzeżonym parkingu zainstalowano monitoring, którego głównym celem jest zapobieganie kradzieżom samochodów i rozwiązywanie sytuacji konfliktowych. Na parkingu doszło do stłuczki. Przekazanie pełnomocnikowi procesowemu materiału wideo z momentu zdarzenia, zawierającego dane osobowe uczestników zajścia, w celu wystąpienia z roszczeniem odszkodowawczym jest uzasadnione zważywszy na art. 6 ust. 4 RODO. Cel przekazania można potraktować jako zgodny z pierwotnym celem zarejestrowania obrazu.

A teraz proszę sobie wyobrazić, że na tym samym parkingu, chronionym przez ten sam monitoring, zainstalowany do tych samych celów, w sposób mogący być uznany za zabawny poślizgnął się jego użytkownik. Administrator postanowił opublikować nagranie w internecie dla celów humorystycznych. O ile nie uzyskał przed publikacją zgody owego użytkownika, nie ma prawnych podstaw do udostępnienia takiego nagrania.

Osobnym zagadnieniem pozostaje udostępnienie nagrań organom ścigania. Co do zasady w przypadku, gdy o przekazanie takich materiałów występuje organ, aktualizuje się podstawa z art. 6 ust. 1 lit c) RODO, umożliwiająca przetwarzanie danych osobowych na podstawie obowiązku prawnego ciążącego na administratorze (tutaj – obowiązek współpracy z organami ścigania). Natomiast gdy przykładowo osoba stosująca monitoring uważa, że zostało zarejestrowane coś podejrzanego, co wymaga przekazania organom ścigania, to w takiej sytuacji należy ocenić, czy warunki określone w art. 6 ust. 1 lit. f) są spełnione. Tzn. czy po stronie administratora zaktualizował się uzasadniony interes w takim udostępnieniu.

Dane osobowe szczególnych kategorii

Dane traktowane jako „szczególne” ujęto w art. 9 ust. 1 RODO. Należą do nich pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Co do zasady danych wymienionych w poprzednim zdaniu nie można przetwarzać, chyba że zajdą okoliczności wymienione w art. 9 ust. 2 RODO.

Spoglądając na powyższy katalog, z oczywistych względów korzystanie z monitoringu lub innego rodzaju kamer przywodzi na myśl przetwarzanie danych biometrycznych. Definicja tego rodzaju danych znalazła się w art. 4 pkt 14 RODO.

„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

W swoich wytycznych EROD wyraźnie zaznaczyła, że aby można było mówić o przetwarzaniu danych biometrycznych niezbędnym jest równoczesne wystąpienie trzech elementów:

1) Dane muszą dotyczyć cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej,

2) Dane muszą wynikać ze specjalnego przetwarzania technicznego

3) Dane muszą być wykorzystywane do jednoznacznej identyfikacji osoby fizycznej.

Za spełniające wszystkie powyższe przesłanki uznaje się np. systemy rozpoznawania twarzy. EROD stoi na stanowisku, że instalowanie tego typu systemów w znakomitej większości wypadków wymaga wyraźnej zgody osoby, która byłaby takim rozwiązaniem objęta. Aby w jak najpełniejszy sposób wykorzystać tego typu systemy powinno się zadbać, aby osoby postronne nie zostały objęte ich działaniem. Pomocne dla zrozumienia tej tematyki będą poniższe przykłady, zaproponowane przez EROD.

1) Aby częściowo usprawnić odprawę na lotnisku (przekazanie bagażu, kontrola, wejście na pokład), zdecydowano się zastosować system rozpoznawania twarzy w celu identyfikacji pasażerów. Z takiego rozwiązania mogą skorzystać jedynie osoby, które wcześniej wyraziły na to zgodę i poddały się procedurze stworzenia i zarejestrowania szablonu ich twarzy, który następnie został połączony wraz z zakupionym biletem. Z kolei, punkty kontroli wykorzystujące system rozpoznawania twarzy muszą być oddzielone (osobna kolejka), aby nie doszło do utrwalenia wizerunku osób, które zgody na taką odprawę nie wyraziły.

2) Pracodawca postanowił zastosować system rozpoznawania wizerunku w celu dostępu do swoich budynków. Z takiej metody mogą, podobnie jak w pkt 1, skorzystać wyłącznie osoby, które wyraziły na to zgodę i zezwoliły na zeskanowanie swojej twarzy. By zapewnić, że nikt przypadkowo nie zostanie weryfikowany w ten sposób, można dla tego celu uruchomić osobne wejście lub inicjować weryfikację włączając wcześniej określony przycisk. Jednocześnie należy zapewnić pracownikom, którzy nie wyrazili zgody, inną metodę weryfikacji – np. karta dostępu, kod PIN.

3) Właściciel sklepu chciałby dostosować swoją reklamę w oparciu o płeć i wiek klienta utrwalone przez system nadzoru wideo. Jeżeli system ten nie generuje szablonów biometrycznych w celu jednoznacznej identyfikacji osób, ale zamiast tego wykrywa jedynie te cechy fizyczne, które umożliwiają identyfikację płci i wieku, wówczas przetwarzanie byłoby dozwolone (o ile nie są przetwarzane inne kategorie danych szczególnych).

4) Właściciel hotelu korzysta z systemu, który ostrzega obsługę jeżeli do hotelu wejdzie określona osoba (np. VIP). W celu zapewnienia skuteczności, system na bieżąco rejestruje wszystkie osoby obecne w hotelu i porównuje ich wizerunek razem z wizerunkiem osoby, która wcześniej wyraziła zgodę i udostępniła szablon swojej twarzy. Taki system jest niezgodny z RODO, ponieważ nie obejmuje jedynie osoby, która zgodę wyraziła, a wszystkich gości hotelowych. Aby takie rozwiązanie było dopuszczalne należałoby stworzyć wydzielone wejście dla osób „zarejestrowanych”.

Jak można zaobserwować, korzystanie z technologii umożliwiającej identyfikację wizerunku, związane jest z koniecznością zrealizowania szeregu przesłanek i maksymalnego minimalizowania potencjalnie uzyskiwanych danych. Z tego względu przed wprowadzeniem takich rozwiązań warto zapoznać się z przepisami dotyczącymi ochrony danych osobowych oraz dokładnie zidentyfikować cele, dla których mają być one wprowadzone. Znacząco zminimalizuje to szanse na naruszenie praw osób objętych działaniem urządzeń wideo.

W następnym i ostatnim blogu niniejszej serii, pochylę się nad prawami przysługującymi osobom fizycznym, a wynikającym z przetwarzania ich wizerunku. Zostaną również przedstawione sposoby realizowania zasady transparentności i obowiązków informacyjnych związanych z monitoringiem.

 

 

[1] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Ostatnie wpisy autora

Zobacz więcej »

Newsletter

Zapisz się do newslettera by być na bieżąco z nowościami na stronie prawosportowe.pl

About

ikonka logo

Portal prawosportowe.pl powstał w 2012 roku i od tego czasu dostarcza czytelnikom wiedzę z zakresu szeroko rozumianego prawa sportowego. Odbiorcami naszych treści są sportowcy amatorzy i profesjonalni, trenerzy, sędziowe, menedżerowie, agenci, działacze organizacji sportowych, sponsorzy. Jesteśmy po to, by pomagać i edukować w sporcie.

Portal od samego początku jest wspierany przez Kancelarię Prawa Sportowego i Gospodarczego DAUERMAN

Kontakt z nami

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Zgodnie z art. 13 ust. 1 i ust. 2 Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, iż:

Serwis Obsługuje:

logo dauerman

Kontakt:

PrawoSportowe.pl Sp. z o.o.

Al. Śląska 1

54-118 Wrocław

Stadion Wrocław (Budynek Wschód, III p.)

tel. +48 693 672 258

e-mail: bok@prawosportowe.pl

Na skróty

Zapytaj prawnika » Regulamin serwisu Polityka prywatności

Polityka prywatności PrawoSportowe.pl Sp. z o.o.

  1. Zakres obowiązywania
    1. Administratorem Danych Osobowych jest PrawoSportowe.pl Sp. z o.o. z siedzibą we Wrocławiu przy Al. Śląskiej 1, 54-118 Wrocław, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy pod numerem KRS: 0000384634, e-mail: bok@prawosportowe.pl, tel. +48 693 672 258 (dalej: Administrator, ADO).
    2. Celem niniejszej Polityki Prywatności jest określenie działań podejmowanych przez Administratora w zakresie ochrony danych osobowych przetwarzanych, w tym zbieranych za pośrednictwem strony internetowej http://www.prawosportowe.pl.
    3. Dane osobowe to wszelkie informacje, które mogą Cię identyfikować, na przykład Twoje imię i nazwisko, numer telefonu i adres poczty elektronicznej przekazywane przez Ciebie za pomocą formularzy kontaktowych i formularzy zgłoszeń. Kiedy w poniższym dokumencie odwołujemy się do terminu „przetwarzać” albo „przetwarzanie”, mamy na myśli wszelkie czynności i operacje wykonywane na Twoich danych osobowych (np. ich przechowywanie czy analizowanie na potrzeby świadczenia Ci usługi).
  2. Informacje dotyczące ADO
    1. Kontakt z ADO może się odbywać pocztą tradycyjną na adres siedziby, mailowo lub telefonicznie. Dane kontaktowe wskazane zostały w pkt. 1.1 niniejszej Polityki Prywatności.
  3. Cel, podstawa prawna i zasady przetwarzania danych osobowych
    1. Dane osobowe osób fizycznych korzystających z formularzy kontaktowych i formularzy zgłoszeń (dalej zwanymi: Użytkownikami) przetwarzane są w celu:
      1. zawarcia i wykonywania umów w ramach usług prowadzonych przez ADO (art. 6 ust. 1 lit. b) RODO);
      2. prowadzenia działań marketingu bezpośredniego w formie e-mailowego newslettera, na podstawie udzielonej zgody (art. 6 ust. 1 lit. a) RODO);
      3. udzielenia odpowiedzi na przedstawione zagadnienie, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO);
      4. ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO).
    2. Dane osobowe przetwarzane są przez następujący okres:
      1. w celu zawarcia i wykonywania umowy – przez okres prowadzenia negocjacji oraz trwania umowy, a po jej ustaniu do upływu okresów przedawnienia wszelkich roszczeń z niej wynikających,
      2. w celu prowadzenie działań marketingu bezpośredniego w formie e-mailowego newslettera – do czasu cofnięcia zgody przez Użytkownika,
      3. w celu udzielenia odpowiedzi na przedstawione zagadnienie - do czasu załatwienia sprawy, w której zostały zebrane.
    3. Podanie danych osobowych w celu, o którym mowa w pkt. 3.1 lit. a) jest dobrowolne jednakże jest warunkiem zawarcia umowy. W przypadku niepodania danych możemy odmówić złożenia Tobie oferty i zawarcia umowy.

      Podanie danych osobowych w celu, o którym mowa w pkt. 3.1. lit. b), c) jest dobrowolne. Jeżeli nie podasz danych lub nie wyrazisz zgody nie będziemy mogli w przyszłości informować Cię bezpośrednio o naszej bieżącej ofercie lub udzielić odpowiedzi na przedstawione zagadnienia.
    4. Dane osobowe Użytkowników nie są przekazywane poza teren Polski, Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
    5. Dane osobowe użytkowników mogą być powierzane przez ADO do przetwarzania następującym kategoriom podmiotów: Kancelaria Radcy Prawnego Tomasz Dauerman, portale internetowe z którymi portal prawosportowe.pl współpracuje na podstawie odrębnych umów, firmy księgowe, biura rachunkowe, firmy informatyczne. Dane osobowe mogą być także udostępnione: odpowiednim organom państwowym na ich żądanie na podstawie odpowiednich przepisów prawa.
  4. Prawa osoby, której dane dotyczą
    1. Każdy Użytkownik ma prawo dostępu do treści swoich danych i otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu oraz prawo do przenoszenia danych.
    2. Jeżeli przetwarzanie odbywa się na podstawie zgody, Użytkownik ma prawo cofnąć zgodę na przetwarzanie danych osobowych. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
    3. Użytkownik ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy prawa o ochronie danych osobowych.
    4. W przedmiocie realizacji swoich praw oraz cofnięcia zgody można skontaktować się z ADO przy użyciu danych wskazanych w pkt 1.1 niniejszej Polityki Prywatności.
  5. Cookies
    1. Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, „długość życia” ciasteczka (to znaczy czas jego istnienia), oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.
    2. W związku z udostępnianiem zawartości serwisu internetowego prawosportowe.pl stosuje się  tzw. cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego, może także używać innych technologii o funkcjach podobnych lub tożsamych z cookies. Opisane w niniejszym punkcie Polityki Prywatności, informacje dotyczące cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach naszych serwisów internetowych. Pliki cookies (tzw."ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika serwisu internetowego prawosportowe.pl. Cookies zazwyczaj zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
    3. Pliki cookies wykorzystywane są w celu:
      1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości,
      2. utrzymania sesji użytkownika serwisu internetowego (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie serwisu ponownie wpisywać loginu i hasła"
    4. W ramach serwisu internetowego prawosportowe.pl możemy stosować następujące rodzaje plików cookies:
      1. "niezbędne" pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach serwisu internetowego, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu,
      2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach serwisu,
      3. pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych serwisu.
    5. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy prawosportowe.pl serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
    6. Wyłączenie stosowania cookies może spowodować utrudnienia korzystanie z niektórych usług w ramach naszych serwisów internetowych, w szczególności wymagających logowania. Wyłączenie opcji przyjmowania cookies nie powoduje natomiast braku możliwości czytania lub oglądania treści zamieszczanych w serwisie internetowym prawosportowe.pl z zastrzeżeniem tych, do których dostęp wymaga logowania. Poniżej informacja jak wyłączyć pliki cookie w przeglądarce:
      Jak wyłączyć pliki cookie w przeglądarce ?
  6. Postanowienia końcowe
    1. ADO dokłada wszelkich starań, aby zapewnić wszelkie środki fizyczne, techniczne i organizacyjne ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.
    2. ADO zastrzega sobie prawo do zmiany treści niniejszej Polityki Prywatności.