Potrzebne przepisy. RPO do MSWiA: monitoring wizyjny wymaga pilnego uregulowania

Rzecznik Praw Obywatelskich Adam Bodnar apeluje, by ustalić zasady monitoringu wizyjnego zanim w Polsce zacznie być stosowane unijne rozporządzenie o ochronie danych osobowych. RPO wystąpił w tej sprawie do Ministra Spraw Wewnętrznych i Administracji.

Od 25 maja w całej UE będzie stosowane RODO, czyli unijne ogólne rozporządzenie o ochronie danych osobowych. Ma ono zharmonizować przepisy dotyczące ochrony danych osobowych w Europie.

Jak wskazuje Bodnar, z przepisów RODO wynika, że jeśli jakakolwiek instytucja publiczna np. szkoła chciałaby zainstalować kamery, powołując się na potrzebę zapewnienia na swoim terenie bezpieczeństwa, to instalacja kamer wymagać będzie podstawy ustawowej. Tymczasem w Polsce brak jest obecnie ustawy kompleksowo regulującej zagadnienia związane z monitoringiem wizyjnym. Podstawy prawne do rejestracji obrazu (w niektórych przypadkach również dźwięku) mają służby związane z szeroko rozumianym bezpieczeństwem lub porządkiem publicznym, jak Policja, Straż Miejska, Straż Graniczna, Centralne Biuro Antykorupcyjne i in.

W związku z tym – zdaniem Bodnara – w Polsce muszą zostać „pilnie uregulowane” zasady monitoringu wizyjnego, ponieważ podmioty publiczne w tym szkoły, nie będą się mogły powoływać na „prawnie uzasadniony interes administratora” aby instalować kamery.

RPO wskazuje na preambułę RODO, która stanowi, że „dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania danych, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

Według Rzecznika, przepisy te nie pozostawiają wątpliwości, że „w przypadku braku ustawy wiele podmiotów publicznych, dziś stosujących monitoring wizyjny na podstawie +uzasadnionego interesu administratora+, po 25 maja 2018 r. będzie musiało tego zaprzestać”.

W ocenie Bodnara, może to dotyczyć np. placówek oświatowych, które wśród swoich zadań mają m.in. zapewnienie bezpieczeństwa. „Zainstalowane dziś kamery i całe systemy monitoringu wizyjnego, zasadniczo pozytywnie oceniane także przez Najwyższą Izbę Kontroli, nie będą miały podstaw prawnych” – zwraca uwagę RPO.

Bodnar przypomina, że w maju 2016 r. wiceszef MSWiA Jarosław Zieliński przekazał mu informacje, że projekt założeń projektu ustawy o monitoringu wizyjnym wycofano z obrad Zespołu ds. Programowania Prac Rządu. „Powodem była konieczność dalszych analiz i prac koncepcyjnych, zwłaszcza przy uwzględnieniu wyników konsultacji publicznych. Jarosław Zieliński podtrzymał wcześniejsze stanowisko, w którym przedstawiono założenia planowanej regulacji, a zatem wskazał, że prac nad nią całkowicie nie zaprzestano” – wskazał RPO.

Unijne przepisy o ochronie danych osobowych przewidują, że aby dane użytkownika mogły być przetworzone, musi on wyrazić na to wyraźną zgodę, np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Niewybranie żadnego pola albo pola zaznaczone automatycznie nie mogą być uznane za wyrażenie zgody. Nowe przepisy mają też ułatwić użytkownikowi wycofanie zgody na przetwarzanie danych; ma to być równie proste, jak wyrażenie tej zgody.

Za naruszenie przez przedsiębiorcę przepisów RODO będzie groziło nałożenie wysokiej kary finansowej – do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.

Zgodnie z dyrektywą, dzieci poniżej określonego wieku nie będą mogły zakładać kont w mediach społecznościowych, bez zgody rodziców. Kraje UE mają same określić wiek użytkownika, od którego nie będzie konieczna zgoda rodzica. Nie może być to jednak mniej niż 13 lat i więcej niż 16 lat.

W przepisach przewidziano także uproszczony dla konsumentów mechanizm składania skarg w przypadku naruszenia ich prywatności. Tzw. zasada jednego okienka ma pozwolić obywatelom na składanie takich skarg do organu w swoim miejscu zamieszkania, nawet, jeśli do złamania prawa doszło w innym państwie UE.

Unijne przepisy wprowadzają także obowiązek informowania krajowego organu ochrony danych osobowych o wycieku danych osobowych, a jeśli wyciek dotyczy dużej grupy osób albo prowadziłby do zagrożenie prywatności to również muszą być poinformowana osoby, których wyciek dotyczył.

Resort ma 30 dni aby odpowiedzieć Rzecznikowi.

Źródło: Codzienny Serwis Informacyjny PAP