Każdy przedsiębiorca, który rozważa uruchomienie monitoringu wizyjnego na swoim terenie powinien, przystępując do projektowania tego procesu, zdać sobie sprawę z wielu obowiązków, jakie będzie musiał w związku z tym zrealizować. Większość z nich związana jest oczywiście z faktem, że monitoring to nic innego jak przetwarzanie danych osobowych wielu osób. Każdej z nich przysługują określone w RODO uprawnienia, wśród nich prawo dostępu do dotyczących jej danych. Warto więc zastanowić się, jak w praktyce te uprawnienia zrealizować, tym bardziej, że w przypadku monitoringu ich spełnienie może być trudniejsze niż w przypadku innych form przetwarzania danych osobowych.
Na czym polega prawo dostępu?
Zgodnie z RODO, każda osoba, której dotyczą dane ma prawo uzyskać od administratora potwierdzenie, czy są przetwarzane jej dane, a jeżeli tak – jest uprawniona do uzyskania dostępu do nich oraz otrzymania szeregu dodatkowych informacji (dotyczących np. celu przetwarzania, odbiorców danych etc.). Realizacja tego prawa nie wymaga uzasadnienia, czy wykazywania przez zainteresowanego interesu faktycznego, bądź prawnego.
Pamiętać przy tym należy, że w takim przypadku administrator ma obowiązek upewnić się, iż osoba ta jest tą, za którą się podaje – czyli zweryfikować jej tożsamość. W kontekście utrwalenia wizerunku w systemie monitoringu wizyjnego weryfikacja ta obejmować powinna zwykle także ustalenie, jak pytający wygląda.
Łatwo sobie przy tym wyobrazić sytuację, w której wpływa tego rodzaju zapytanie, przy czym osoba pytająca nie określa, kiedy mogła się znaleźć w obszarze działania monitoringu. Załóżmy, że administrator przechowuje nagrania przez okres 3 miesięcy. Oznaczałoby to konieczność przeglądnięcia całości zarejestrowanego materiału, co mogłoby zająć nawet kilka dni. Czy RODO przewiduje zatem jakiś ratunek dla administratora w takim przypadku?
W niektórych sytuacjach administratorzy systemów monitoringu będą mogli zapewne się powołać na przepisy RODO o tzw. przetwarzaniu niewymagającym identyfikacji (art. 11), które wyłączają część obowiązków spoczywających na administratorze, w tym m. in. obowiązek zapewnienia prawa dostępu do danych. Jeżeli jednak, powracając do wcześniejszego przykładu, pytająca osoba sprecyzuje czas, w jakim mogła znaleźć się na obszarze objętym monitoringiem – może to już rodzić obowiązek udzielenia odpowiedzi na jej pytanie, a jeżeli dane są przetwarzane – umożliwienia dostępu do nich. RODO przewiduje co prawda także możliwość odmowy uwzględnienia żądania, jeżeli jest ono ewidentnie nieuzasadnione lub nadmierne, jednak w większości przypadków trudno będzie przesądzić, że jakieś żądanie już na pierwszy rzut oka jest oczywiście nieuzasadnione.
Prawo dostępu a dane osobowe innych osób
Prawo dostępu do danych oznacza co do zasady możliwość faktycznego wglądu w treść tych danych oraz uzyskania kopii danych dotyczących wnioskującej osoby. Oczywiście w przypadku nagrań monitoringu wizyjnego pojawia się problem, co zrobić z utrwalonymi na nagraniach wizerunkami innych niż wnioskujący osób? Czy dopuszczalne jest udostępnienie nagrań w takiej formie, w jakiej zostały one dokonane, czy należy dane osób trzecich zanonimizować?
RODO stanowi, że prawo uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych. To na administratorze spoczywa więc niełatwe zadanie dokonania oceny, jak postąpić w konkretnym przypadku. Zwykle zasadne będzie udostępnienie pytającemu danych w taki sposób, aby inne utrwalone na nagraniach osoby nie były możliwe do zidentyfikowania. Jak jednak postąpić w przypadku, gdy pytający wnioskuje o dane np. w związku ze szkodą, jaką poniósł na obszarze objętym monitoringiem i chce ustalić tożsamość sprawcy szkody? Czy to samo w sobie uzasadnia udostępnienie mu wizerunku szeregu postronnych osób? W tym przypadku zdecydowanie rekomendowana jest ostrożność. Ostrożne podejście może wymagać, aby dane udostępniać na żądanie organów uprawnionych z mocy prawa do ich otrzymania (np. Policji).
Koszty związane z realizacją prawa dostępu
Kolejną kwestią, na jaką należy zwrócić uwagę jest możliwość żądania ewentualnych opłat za czynności związane z realizacją prawa dostępu. Jak już wyżej wskazaliśmy, często ich podjęcie będzie bardzo czasochłonne i być może generujące dodatkowe koszty. Zwykle jednak koszty te w całości będą obciążały administratora, możliwości przerzucenia ich na osobę korzystającą ze swoich praw są bowiem bardzo ograniczone. RODO wspomina o możliwości pobrania rozsądnej opłaty z uwzględnieniem administracyjnych kosztów udzielenia informacji w przypadku, gdy żądania osoby są ewidentnie nieuzasadnione lub nadmierne. Podobnie, opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych, administrator może pobrać w przypadku żądania kolejnej kopii danych przez tę samą osobę.