Monitoring wizyjny w sądzie – temat pozornie prosty
Kilka dni temu przechodziłam obok budynku sądu. Na ogrodzeniu była zawieszona tabliczka z grafiką kamery oraz klauzulą informacyjną skierowaną do osób objętych monitoringiem wizyjnym.
Klauzula na pierwszy rzut oka była w porządku i brzmiała mniej więcej tak:
„Administratorem Państwa danych osobowych jest sąd ……………., z siedzibą …………….. W sprawach dotyczących Państwa danych, w tym związanych z udostępnianiem nagrań z monitoringu, proszę kontaktować się z inspektorem ochrony danych e-mail ………….
Podstawą przetwarzania jest prawnie uzasadniony interes administratora, jakim jest zapewnienie bezpieczeństwa osób i mienia, a także ochrona informacji, do czego jest uprawniony na podstawie przepisów kodeksu pracy. Nagrania są przechowywane przez okres 30 dni. Więcej informacji dostępne jest na stronie www…..”
Moim zdaniem zamieszczenie jedynie pierwszej warstwy informacyjnej oraz odniesienie do strony internetowej sądu jest w porządku. W ogóle sama klauzula była napisana prostym i zrozumiałym językiem i dobrze realizowała ideę informowania osoby, której dane dotyczą, wynikającą z przepisów RODO. Duży plus za grafikę. Jednak, niestety klauzula zawierała dość istotny błąd, który burzył cały jej sens.
Sąd nie jest administratorem danych przetwarzanych w ramach monitoringu wizyjnego, który funkcjonuje w budynku sądu oraz terenie przyległym do budynku. W związku z tym osoba, której dane dotyczą jest nie tylko wprowadzana w błąd, ale przede wszystkim może mieć problem ze skutecznym skorzystaniem z przysługujących jej praw.
Żeby zrozumieć o co chodzi, należy sięgnąć do ustawy o ustroju sądów powszechnych:
Art. 175da. [Administratorzy danych osobowych przetwarzanych w systemach teleinformatycznych]
Administratorami danych osobowych przetwarzanych w systemach teleinformatycznych obsługujących postępowania sądowe, w systemach teleinformatycznych, w których są prowadzone rejestry sądowe, oraz w systemach teleinformatycznych, w których są prowadzone urządzenia ewidencyjne (sądowe systemy teleinformatyczne), są sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań.
Art. 175db. [Administratorzy danych osobowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej]
Administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy.
Ustawa precyzyjnie wskazuje w jakim zakresie sądy pełnią funkcję administratorów danych. Są to działania związane ze sprawowaniem przez sądy wymiaru sprawiedliwości. Systemy monitoringu nie będą mieścić się w definicji systemów informatycznych, o których mowa w art. 175 da ustawy.
Jak ustalić kto będzie administratorem danych przetwarzanych w ramach monitoringu? Należy sięgnąć do przesłanki legalizującej to przetwarzanie, która została wskazana w klauzuli, czyli przepisów kodeksu pracy, które wskazują, że pracodawca może wprowadzić nadzór w postaci monitoringu, jeżeli jest to niezbędne do zapewnienia, np. ochrony osób, mienia lub informacji. Pracodawcą pracowników sądu (urzędników) jest w szczególności dyrektor sądu, który jest zatem uprawniony do wprowadzenia monitoringu wizyjnego (gdy jest to niezbędne), tym samym powinien być wskazany w klauzuli, jako administrator danych.
W związku z licznymi głosami, że w artykule jest błąd, bo przecież w sądzie funkcjonuje także drugi pracodawca, jakim jest prezes sądu, a zatem powinniśmy mówić o dwóch administratorach danych przetwarzanych w ramach monitoringu wizyjnego, postanowiłam zaktualizować wpis. Faktycznie, pominęłam prezesa sądu, w moich rozważaniach i zrobiłam to z pełną premedytacją, jednakże okazało się, że prowadziło to do innej interpretacji mojego wpisu, niż pierwotnie zakładałam. Za wszystkie uwagi dziękuję, a poniżej rozwiajam temat, zgodnie z sugestiami 🙂
Jednakże należy pamiętać, że w sądzie funkcjonuje dwóch odrębnych pracodawców: dyrektor sądu i prezes sądu. Zatem każdy z nich jest uprawniony do wprowadzenia w zakładzie pracy monitoringu wizyjnego, jeżeli będzie on niezbędny. Ponieważ w klauzuli należy wskazać, jako administratora pracodawcę, wskazuje się odpowiednio dyrektora lub prezesa sądu.
Wyjątek mogłaby stanowić sytuacja, w której dyrektor i prezes zawierają porozumienie o współadministrowaniu danymi (art. 26 RODO), w którym wskazują wspólne cele przetwarzania danych, swoje prawa oraz obowiązki związane ze współadministrowaniem i na tej podstwie określają siebie jako współadministratorów. W takim wypadku w klauzli należy wskazać obu współadministratorów, a także informacje dotyczące zawarego pomiędzy nimi porozumienia. O ile przy monitoringu wizyjnym naprawdę uważam, że takie rozwiązanie jedynie komplikuje proces (i jest niepotrzebne), będzie wskazane przy wprowadzaniu innych form monitoringu, jak np. monitoring poczty elektronicznej sądu.
Moim zdaniem dla monitoringu wizyjnego powinien w sądzie funkcjonować jeden administrator, tzn. dyrektor lub prezes sądu, a nie dwóch współadministratorów ze względu na niepotrzebne skomplikowanie tego procesu przetwarzania.
Z pewnością nie będą to dwaj odrębni administratorzy (chociażby ze względu na techniczną konieczność korzystania z tej samej infrastruktury). W zasadzie jest to jedynie kwestia ustalenia, czy monitoring uznamy bardziej za kwestię konieczności zapewniania bezpieczeństwa przez dyrektora, czy prezesa sądu. Warto sięgnąć tutaj do konstrukcji art. 222 kodeksu pracy, wskazującej że pracodawca może wprowadzić monitoring w zakładzie pracy, jeżeli jest to niezbędne do zapewnienia ochrony osób, informacji, mienia, kontroli produkcji. Wdrożenie monitoringu wymaga wykazania niezbędności. Jeżeli prezes sądu wprowadzi monitoring w zakładzie pracy, dyrektor sądu nie będzie w stanie już wykazać niezbędności jego wprowadzenia (bo funkcjonuje monitoring wprowadzony przez prezesa). I odwrotnie. Jeżeli wybieramy konstrukcję współadministrowania, należy przeprowadzić wspólną ocenę niezbędności oraz ocenę skutków dla ochrony danych przetwarzanych przez współadministratorów (aby spięły nam się przesłanki legalizujące przetwarzanie) oraz ustalić zakres podziału uprawnień oraz kompetencji obu współadministratorów.
Zwrócono mi również uwagę, że istnieją inne przesłanki, niż przepisy kodeksu pracy, do wdrożenia monitoringu przez prezesa sądu. Jak najbardziej jest to dobre rozwiązanie, przy którym należy wskazywać prezesa sądu, jako administratora danych.
Reasumując: W sądzie administratorem danych przetwarzanych w ramach monitoringu nie będzie sąd. Będzie nim prezes sądu lub dyrektor. Mogą także funkcjonować współadministratorzy monitoringu, tzn. prezes i dyrektor.
Nieintuicyjne? Ktoś mi kiedyś powiedział „Pani Sylwio jeśli coś jest logiczne, prawdopodobnie jest nielegalne”.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.