Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

+48 600 784 526

Monitoring wizyjny a RODO – jak zgodnie z prawem stosować kamery w miejscu pracy?

Monitoring wizyjny w miejscu pracy może być skutecznym narzędziem zwiększającym bezpieczeństwo pracowników, klientów oraz mienia pracodawcy. Jednak jego wdrożenie musi odbywać się w zgodzie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz Kodeksem pracy. Niewłaściwe zastosowanie monitoringu może prowadzić do naruszenia praw osób fizycznych, a w konsekwencji do dotkliwych sankcji finansowych i reputacyjnych.

Monitoring wizyjny – podstawy prawne stosowania monitoringu

Legalność stosowania monitoringu wizyjnego w miejscu pracy opiera się na przepisach zarówno krajowych, jak i unijnych. Kluczowe znaczenie ma w tym kontekście art. 22² Kodeksu pracy, który został wprowadzony nowelizacją z 2018 roku, jako odpowiedź na wymogi wynikające z unijnego rozporządzenia o ochronie danych osobowych (RODO). Zgodnie z tym przepisem, pracodawca może wprowadzić monitoring wizyjny wyłącznie w konkretnie określonych celach, takich jak zapewnienie bezpieczeństwa pracowników, ochrona mienia przedsiębiorstwa, kontrola procesu produkcji lub zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Każdy z tych celów musi być realny, uzasadniony i odpowiednio udokumentowany.

W kontekście RODO, podstawą przetwarzania danych osobowych zarejestrowanych za pomocą monitoringu wizyjnego jest art. 6 ust. 1 lit. f, który pozwala na przetwarzanie danych w oparciu o prawnie uzasadniony interes administratora. Jednak zastosowanie tej podstawy wymaga przeprowadzenia uprzedniego testu równowagi interesów, w ramach którego należy ocenić, czy interes administratora nie jest nadrzędny wobec podstawowych praw i wolności osób, których dane dotyczą. Oznacza to, że już na etapie projektowania systemu monitoringu konieczne jest uwzględnienie zasady minimalizacji danych, ograniczenia celu oraz przejrzystości przetwarzania, o których mowa w art. 5 ust. 1 RODO.

Dodatkowo, monitoring powinien być wdrażany zgodnie z zasadą proporcjonalności, co oznacza, że jego zakres, sposób działania oraz obszar objęty nadzorem muszą być adekwatne do celu, jakiemu mają służyć. Niedopuszczalne jest stosowanie monitoringu prewencyjnie, bez realnego uzasadnienia, lub w sposób nadmierny, który ingerowałby w prywatność pracowników czy osób trzecich. Należy również pamiętać, że monitoring, mimo że służy interesowi administratora, nie może naruszać godności i innych dóbr osobistych pracowników, co zostało dodatkowo podkreślone w orzecznictwie sądowym, jak i w wytycznych Europejskiej Rady Ochrony Danych (EROD).

Z prawnego punktu widzenia, monitoring wizyjny to forma przetwarzania danych osobowych, ponieważ nagrania mogą zawierać wizerunek, zachowanie, a nawet kontekst sytuacyjny umożliwiający identyfikację osoby fizycznej. Dlatego administrator wdrażający system kamer musi traktować to działanie jako pełnoprawne przetwarzanie danych, z wszelkimi wynikającymi z tego obowiązkami – w tym obowiązkiem informacyjnym, prowadzeniem dokumentacji przetwarzania oraz zapewnieniem odpowiednich środków technicznych i organizacyjnych, chroniących dane przed nieuprawnionym dostępem.

Obowiązek informacyjny

Jednym z kluczowych aspektów legalności monitoringu jest spełnienie obowiązku informacyjnego wobec osób, które mogą znaleźć się w zasięgu kamer. Administrator (pracodawca) powinien przekazać m.in.:

  • tożsamość i dane kontaktowe administratora danych,
  • cel i podstawę prawną przetwarzania,
  • czas przechowywania nagrań,
  • informacje o odbiorcach danych (jeśli występują),
  • prawa przysługujące osobom objętym monitoringiem.

Pracodawca ma obowiązek poinformować pracowników najpóźniej na 2 tygodnie przed uruchomieniem monitoringu, np. poprzez regulamin pracy, ogłoszenie lub politykę prywatności.

Monitoring wizyjny zakres i lokalizacja

Monitoring nie może obejmować pomieszczeń, w których naruszałby godność i prywatność pracowników – takich jak szatnie, toalety, stołówki czy palarnie, chyba że jest to absolutnie niezbędne i możliwe do uzasadnienia szczególnym celem (np. bezpieczeństwem).

Kamery powinny być zamontowane w sposób widoczny i oznaczone odpowiednimi piktogramami oraz klauzulą informacyjną (np. tabliczka „Obiekt monitorowany” wraz z podstawowymi informacjami dot. administratora danych).

Okres przechowywania nagrań

Zgodnie z przepisami, nagrania z monitoringu mogą być przechowywane nie dłużej niż 3 miesiące od dnia nagrania, chyba że stanowią dowód w postępowaniu – wtedy do czasu prawomocnego zakończenia sprawy. Po tym okresie dane powinny zostać nieodwracalnie usunięte.

Monitoring klientów i osób trzecich

W przypadku gdy system monitoringu obejmuje nie tylko pracowników, lecz także klientów, kontrahentów, interesantów lub inne osoby trzecie przebywające na terenie obiektu, obowiązki administratora danych rozszerzają się o konieczność zapewnienia zgodności z RODO w pełnym zakresie względem wszystkich osób objętych rejestracją obrazu. Administrator nie może traktować monitoringu wyłącznie jako narzędzia wewnętrznego nadzoru – w sytuacji, gdy kamery rejestrują osoby niebędące pracownikami, wizerunek tych osób staje się daną osobową w rozumieniu art. 4 pkt 1 RODO. Oznacza to, że administrator zobowiązany jest do spełnienia względem nich pełnego obowiązku informacyjnego oraz umożliwienia realizacji praw wynikających z rozporządzenia.

Informacja o monitoringu powinna być przekazywana w sposób przejrzysty, dostępny i zrozumiały. Należy ją udostępnić niezwłocznie w momencie pozyskania danych, a więc de facto – w chwili wejścia osoby trzeciej w zasięg kamer. Najczęściej realizuje się to poprzez odpowiednie oznakowanie terenu monitorowanego i umieszczenie w widocznych miejscach tzw. warstwy skróconej obowiązku informacyjnego, zawierającej podstawowe dane o administratorze, celu monitoringu, podstawie prawnej i czasie przechowywania danych. Uzupełnieniem tej informacji powinna być pełna klauzula informacyjna, dostępna np. na stronie internetowej lub w formie papierowej w recepcji lub biurze obsługi.

Monitoring klientów może być stosowany jedynie w sytuacjach, w których administrator potrafi wykazać istnienie prawnie uzasadnionego interesu, przy jednoczesnym poszanowaniu podstawowych praw i wolności osób monitorowanych. Przykładem takich sytuacji może być zapewnienie bezpieczeństwa osób i mienia w przestrzeniach ogólnodostępnych, przeciwdziałanie kradzieżom, rejestracja sytuacji incydentalnych, a także kontrola dostępu do stref wymagających autoryzacji. Jednocześnie należy pamiętać, że monitoring nie może być nadmierny ani nieproporcjonalny – administrator powinien ograniczyć jego zasięg tylko do tych miejsc, które są rzeczywiście niezbędne do osiągnięcia określonego celu.

W niektórych przypadkach, zwłaszcza gdy monitoring prowadzony jest na szeroką skalę lub w miejscach publicznych, konieczne może okazać się przeprowadzenie oceny skutków dla ochrony danych (DPIA), zgodnie z art. 35 RODO. Taka ocena pozwala zidentyfikować ryzyka dla prywatności osób trzecich oraz wdrożyć adekwatne środki zaradcze, minimalizujące ewentualne naruszenia. Administrator powinien również zapewnić, że wszystkie osoby trzecie mają możliwość skorzystania ze swoich praw, takich jak prawo dostępu do danych, prawo do sprzeciwu wobec przetwarzania czy prawo do usunięcia danych – o ile nie stoi temu na przeszkodzie uzasadniony interes administratora lub obowiązki wynikające z innych przepisów prawa.

W praktyce oznacza to, że każda organizacja wykorzystująca monitoring wizyjny powinna traktować klientów i inne osoby trzecie jako pełnoprawne podmioty danych, wobec których spoczywają konkretne obowiązki prawne i organizacyjne. Brak odpowiednich procedur lub dokumentacji w tym zakresie może prowadzić do naruszenia RODO, a w konsekwencji – do odpowiedzialności cywilnej, administracyjnej lub nawet karnej.

Monitoring wizyjny – najczęstsze błędy i dobre praktyki

Czego unikać?

  • Montaż kamer w ukryciu lub bez oznaczeń,
  • Brak dokumentacji (np. polityki monitoringu, klauzul informacyjnych),
  • Zbyt długi okres przechowywania danych,
  • Monitoring wizyjny bez realnej potrzeby – np. w pomieszczeniach socjalnych.

Co warto wdrożyć?

  • Spójną dokumentację: politykę monitoringu, rejestr czynności przetwarzania, ocenę DPIA (jeśli wymagana),
  • Przejrzystą komunikację z pracownikami i klientami,
  • Regularne przeglądy techniczne i audyty legalności monitoringu.

Wnioski

Monitoring wizyjny może być zgodny z RODO, o ile zostanie wdrożony świadomie, z poszanowaniem prywatności osób obserwowanych i w oparciu o obowiązujące przepisy prawa. Kluczowe jest właściwe udokumentowanie działań, spełnienie obowiązku informacyjnego oraz stosowanie zasad minimalizacji danych i proporcjonalności.

Jeśli planujesz wdrożenie monitoringu lub masz wątpliwości co do jego zgodności z RODO – skonsultuj się z prawnikiem lub inspektorem ochrony danych.

Zobacz również

Czy RODO dotyczy maili?

Czy RODO dotyczy maili?

Kserowanie dowodu osobistego – czy ktoś może skserować Twój dowód osobisty?

Kserowanie dowodu osobistego – czy ktoś może skserować Twój dowód osobisty?

Opinia EROD w sprawie AI: nowe wytyczne po polsku

Opinia EROD w sprawie AI: nowe wytyczne po polsku

Oszustwa na BLIK znów w natarciu. Jak działają i jak się chronić?

Oszustwa na BLIK znów w natarciu. Jak działają i jak się chronić?

Transfer danych osobowych poza EOG – jak zapewnić zgodność z przepisami?

Transfer danych osobowych poza EOG – jak zapewnić zgodność z przepisami?