Zarządca nieruchomości zapłaci 8 tys. zł kary za wyciek danych z monitoringu wizyjnego. Tak orzekł Wojewódzki Sąd Administracyjny w Warszawie. Często dochodzi do tego typu sytuacji?
To pierwsza znana mi taka decyzja prezesa Urzędu Ochrony Danych Osobowych (UODO), a także wyrok sądu administracyjnego akceptujący decyzję prezesa (sygnatura akt: II SA/Wa 310/20). Teraz niewykluczone są kolejne tego rodzaju decyzje. Dla innych zarządców wyrok powinien być wskazówką, jak przestrzegać zasad ochrony danych osobowych.
Czego konkretnie zarządcy powinni unikać?
Według UODO wspólnota jest administratorem w zakresie przetwarzania danych osobowych związanych z jej funkcjonowaniem. To administrator ponosi główną odpowiedzialność za naruszenia RODO, w tym gdy dojdzie do incydentów bezpieczeństwa. Natomiast zarządca to tylko podmiot przetwarzający dla wspólnoty, który dokonuje czynności na danych jedynie na podstawie umowy z administratorem (wspólnotą) i na dalsze polecenia tego administratora. Odpowiedzialność podmiotu przetwarzającego jest ograniczona względem odpowiedzialności administratora.
Co więc się stało w tym konkretnym wypadku?
Przeprowadzona z upoważnienia prezesa UODO kontrola monitoringu wizyjnego zainstalowanego na terenie wspólnoty wykazała, że zarządca przetwarzał dane osobowe bez zawartej w tym zakresie ze wspólnotą umowy powierzenia przetwarzania danych. Nie wdrożył też odpowiednich środków organizacyjnych i technicznych do kontroli udostępniania nagrań. Chociaż zarządca uwzględnił zarzuty i zawarł stosowne umowy ze wspólnotą oraz uzupełnił procedury, nie uniknął kary.
Prezes UODO wykorzystał przepis, który stanowi, że podmiot przetwarzający może być uznany za administratora, jeżeli naruszy RODO przy określaniu celów i sposobów przetwarzania danych. Takim naruszeniem było w tym przypadku niezawarcie umowy dotyczącej systemu monitorowania wizyjnego nieruchomości. W związku z tym zarządca został ukarany jak administrator.
O jaką umowę chodzi?
O pisemną umowę powierzenia przetwarzania danych osobowych. RODO szczegółowo określa wymagania. W umowie powinno się uregulować m.in. przedmiot, charakter i cel przetwarzania, czyli również przetwarzanie przez zarządcę danych osobowych w ramach monitoringu wizyjnego. Co więcej, umowa może być niewystarczająca dla precyzyjnego ustalenia wszystkich czynności w systemie monitorowania. Dlatego też warto, aby ze wspólnotą ustalić szczegółową procedurę funkcjonowania tego systemu, w tym dostępu upoważnionych osób do nagrań oraz ich udostępnienia na zewnątrz. W decyzji prezesa UODO też wytknięto brak takich ustaleń.
Często zarządcy nie zawierają ze wspólnotami kompleksowych umów dotyczących powierzania przetwarzania danych osobowych. Obowiązują nieformalne ustalenia. Dotyczy to przede wszystkim systemu monitoringu wizyjnego. Co ciekawe, w tej sprawie ukarany zarządca bronił się, że po wycieku danych zlecił wykonanie audytu monitoringu i odgrywał jedynie rolę techniczną oraz usługową, pośrednicząc między wspólnotą mieszkaniową a wykonawcą w nawiązaniu współpracy. Jednak brak określenia roli zarządcy w umowie ze wspólnotą i dalszych procedurach sprawił, że prezes UODO samodzielnie podejmował działania, do których nie był upoważniony. Został on więc potraktowany i ukarany jak administrator.
Czy prezes UODO ukarał również jakąś wspólnotę?
Na wspólnoty, spółdzielnie i zarządców wpływają skargi do UODO. Toczą więc postępowania administracyjne.
Jaki monitoring jest legalny?
Podstawą monitorowania może być prawnie uzasadniony interes administratora danych, czyli np. wspólnoty. Nie może być on abstrakcyjny. Wynikać może m.in. z obawy przed włamywaczami. Musi być usprawiedliwiony konkretnymi okolicznościami, np. obejmować miejsca, w których dochodziło już do naruszania porządku.
Ponadto podjęte środki powinny być adekwatne, a nie na wyrost. Powinny bowiem w proporcjonalnym, minimalnym zakresie ingerować w prawa nagrywanych osób, w ich prywatność i prawo do ochrony danych osobowych. Jedna ze spółdzielni zamontowała na przykład kamerę na kominie swojej ciepłowni. Obejmowała ona obszar powyżej kilometra, także ten, który do niej nie należał. Tego nie można było już usprawiedliwić żadnymi celami tej spółdzielni.
Co więcej, wspólnoty powinny być w stanie udokumentować przeprowadzenie analizy w tej sprawie, a często tego nie czynią. Chodzi o swoisty test równowagi między interesami tych podmiotów a prawami i wolnościami osób, które są monitorowane. Analiza powinna się odnosić do każdej instalowanej kamery. Nie bez przyczyny jeszcze kilka lat temu organ ds. ochrony danych osobowych oraz rzecznik praw obywatelskich proponowali wprowadzenie instytucji planu monitoringu wizyjnego. Monitoring musi się też odbywać transparentnie wobec osób nagrywanych. W obszarze monitorowanym nie może więc zabraknąć tabliczek informacyjnych z podstawowymi informacjami. Pełna klauzula informacyjna zawierająca wszystkie komunikaty wymagane w RODO powinna się znajdować w serwisie internetowym wspólnoty oraz w jej siedzibie. Nie wolno też nagrywać w sposób ukryty, bo to zaprzecza transparentności, ani wieszać atrap, bo to z kolei wprowadza w błąd.
Co jeszcze grozi za nielegalne przetwarzanie danych?
Za naruszenie prawnych warunków przetwarzania danych przewiduje się kilka rodzajów odpowiedzialności.
Prezes UODO może administracyjnie nakazać na przykład zaprzestanie monitowania, gdy następuje to bez podstawy prawnej, ale także nałożyć karę administracyjną za naruszenie podstawowych zasad z RODO, nawet do równowartości 20 mln euro.
Grozi też odpowiedzialność karna przewidziana w polskiej ustawie o ochronie danych osobowych za przetwarzanie danych osobowych, gdy jest to niedopuszczalne. Można zostać ukaranym grzywną, ograniczeniem wolności lub jej pozbawieniem do dwóch lat. Nagrana osoba, która uważa, że monitoring naruszył jej prawa do prywatności, może również wystąpić z roszczeniem o ochronę dóbr osobistych.
CV
Dr Grzegorz Sibiga jest adwokatem, partnerem w Kancelarii Traple, Konarski, Podrecki i Wspólnicy oraz kierownikiem Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych Polskiej Akademii Nauk. W instytucie kieruje również studium podyplomowym dla inspektorów ochrony danych. Specjalizuje się w ochronie informacji i prawnych aspektach technologii informacyjno-telekomunikacyjnej. ?
