Infolinia UODO – często padające pytania

W toku prac infolinii Urzędu Ochrony Danych Osobowych, z której może skorzystać każdy obywatel, często zadawane są podobne pytania, co oznacza, że dotyczą one wyjątkowo istotnych spraw. Poniżej prezentujemy wybór takich ważnych pytań i odpowiedzi udzielanych przez pracowników UODO.

Infolina UODO czynna jest w dni robocze w godzinach 10.00-14.00 pod numerem  606-950-000.

Pytanie

Jakie są podstawy prawne przetwarzania danych osobowych uczniów za pomocą monitoringu wizyjnego w szkole publicznej?

Odpowiedź

W sytuacji wskazanej w pytaniu jako podstawę prawną przetwarzania danych osobowych należy wskazać art. 6 ust. 1 lit. e RODO (zatem wykonanie zadania realizowanego w interesie publicznym przez administratora) w zw. z odpowiednimi przepisami Prawa oświatowego tj. art. 108a w zw. z art. 68 ust. 1 pkt 6.

Uzasadnienie

Wprowadzenie monitoringu w szkole publicznej wymaga spełnienia przez administratora warunków i obowiązków przewidzianych zarówno przez RODO jak i ustawę Prawo oświatowe. Jednym z takich wymogów jest konieczność wskazania podstawy prawnej przetwarzania danych co jest kluczowe z perspektywy legalności monitorowania. Prawo Oświatowe wskazuje ustawowe cele monitorowania w szkole, które może być wykorzystane wyłącznie do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia (art. 108a ust. 1). Mieści się to w zakresie kompetencji dyrektora szkoły określonych w art 68 ust. 1 pkt 6 tej ustawy – a zatem zapewniania bezpieczeństwa nauczycielom i uczniom. Wobec powyższego jako podstawę prawną przewarzania danych za pomocą monitoringu należy przyjąć  art. 6 ust. 1 lit. e RODO, czyli wykonanie zadania realizowanego w interesie publicznym w powiązaniu z ww. przywołanymi przepisami oświatowymi.

Pytanie 

Czy w związku z monitoringiem wizyjnym w szkole trzeba wprowadzić oznaczenia monitorowanych obszarów (np. za pomocą znaków graficznych)?

Odpowiedź

Tak, ponieważ taki wymóg wynika z przepisów oświatowych.

Uzasadnienie

Wymóg właściwego oznaczenia monitorowanego terenu i pomieszczeń wynika wprost z przepisów oświatowych, chodzi przede wszystkim o art. 108a ust. 8 Prawa Oświatowego stanowiący o odpowiedzialności dyrekcji szkoły za odpowiednie oznaczenie pomieszczeń i terenu w zasięgu monitoringu w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych. Co istotne zgodnie z przywołanym przepisem ten wymóg należy zrealizować przed uruchomieniem monitoringu.

Warto również odnotować, że zgodnie z RODO informacje, których udziela się osobom zgodnie art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.

Odnośnie bardziej szczegółowych informacji związanych z właściwym oznakowaniem monitorowanych obszarów warto sięgnąć do wskazówek Urzędu Ochrony Danych Osobowych dotyczących monitoringu wizyjnego, a także do Wytycznych EROD 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo.

Pytanie 

Czy policjant ma prawo kontrolować dowód tożsamości osoby fizycznej podczas wykonywania czynności służbowych?

Odpowiedź:

Tak, policja dysponuje takim uprawnieniem.

Uzasadnienie

Zgodnie z przepisami ustawy o Policji (art.15), funkcjonariusze mogą ustalać tożsamość na podstawie dokumentów, czyli posiadają uprawnienia do  wglądu w dokumenty tożsamości, takie jak dowód osobisty, paszport czy dokument elektroniczny (np. w aplikacji MObywatel)

Przepis ten znajduje zastosowanie m.in. w okolicznościach::

• podejrzenia popełnienia przestępstwa lub wykroczenia,
• zagrożenia bezpieczeństwa publicznego,
• realizacji ustawowych zadań Policji.

Policjant powinien przy tym działać z możliwie największym poszanowaniem prywatności osoby legitymowanej, podać podstawę prawną i okazać legitymację służbową na żądanie.

Pytanie 

Czy utrata telefonu zawierającego dane osobowe podczas pobytu za granicą stanowi naruszenie ochrony danych osobowych, które należy zgłosić do miejscowego organu nadzorczego zgodnie z art. 33 RODO, a jeśli tak - czy osoba fizyczna ma prawo dokonać takiego zgłoszenia jako administrator danych?

Odpowiedź:

Tak - jeżeli osoba fizyczna działa jako administrator danych (np. prowadzi działalność gospodarczą lub przetwarza dane w celach zawodowych), ma obowiązek zgłoszenia naruszenia do właściwego organu nadzorczego, także za granicą, jeśli incydent dotyczy osób z danego państwa członkowskiego.

Uzasadnienie

Zgodnie z art. 33 ust. 1 RODO, administrator danych osobowych ma obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego właściwego zgodnie z art. 55, jeżeli istnieje ryzko naruszenia praw lub wolności osób fizycznych. Utrata telefonu zawierającego dane osobowe - zwłaszcza jeśli nie był odpowiednio zabezpieczony - może prowadzić do nieuprawnionego dostępu, co spełnia definicję naruszenia z art. 4 pkt 12 RODO.W przypadku transgranicznego incydentu administrator powinien ustalić, czy właściwym organem nadzorczym jest ten w kraju, w którym doszło do naruszenia, czy też organ wiodący zgodnie z art. 56 RODO. Jeżeli dane dotyczą osób z danego państwa członkowskiego, zgłoszenie powinno zostać dokonane do tamtejszego organu nadzorczego. Co istotne, osoba fizyczna może pełnić funkcję administratora danych, jeśli samodzielnie decyduje o celach i sposobach przetwarzania danych, np. jako przedsiębiorca, freelancer, czy organizator wydarzenia. W takim przypadku ponosi pełną odpowiedzialność za zgodność z RODO, w tym za zgłaszanie naruszeń.

Administrator powinien dokonać oceny ryzyka i zgłosić naruszenie bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia. W przypadku utraty telefonu za granicą, zgłoszenie może wymagać kontaktu z zagranicznym organem nadzorczym, którego dane kontaktowe są dostępne na stronie Europejskiej Rady Ochrony Danych.

Pytanie 

Czy osoba, której dane osobowe są przetwarzane, ma prawo do otrzymania od administratora kopii swoich danych osobowych?

Odpowiedź:

Tak. Każda osoba, której dane dotyczą, ma prawo uzyskać od administratora kopię danych osobowych podlegających przetwarzaniu.

Uzasadnienie

Na mocy przepisów RODO osoba fizyczna może żądać od administratora potwierdzenia, czy jej dane są przetwarzane, oraz dostępu do tych danych. Administrator ma obowiązek dostarczenia kopii danych osobowych podlegających przetwarzaniu.

Prawo do kopii służy skutecznemu wykonywaniu dalszych uprawnień przewidzianych w RODO – w szczególności prawa do sprostowania, usunięcia danych, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania oraz prawa do dochodzenia odszkodowania za naruszenia ochrony danych osobowych.

Administrator powinien przekazać kopię w formacie elektronicznym powszechnie używanym, o ile osoba zwróci się o nie w takiej formie i nie zażąda innej formy ich przekazania. Pierwsze udostępnienie powinno nastąpić nieodpłatnie. W innych przypadkach administrator może pobrać opłatę w tzw. rozsądnej wysokości.

Powyższe uprawnienia określone są w art. 15 RODO.

Jednak prawo do uzyskania kopii danych osobowych nie może niekorzystnie wpływać na prawa i wolności innych. Podkreślić też należy, że pojęcie kopii danych nie oznacza kopii dokumentów, czy też innych ich nośników (np. nagrań).

Pytanie 

Czy videowizjer, czyli elektroniczny wizjer drzwiowy z funkcją rejestracji i archiwizacji obrazu, podlega regulacjom RODO?

Odpowiedź:

Tak. Videowizjer stanowi system monitoringu wizyjnego przetwarzający dane osobowe.

Uzasadnienie

Videowizjer, rejestrujący obraz i umożliwiający jego późniejsze odtworzenie, wypełnia kryteria systemu monitoringu wizyjnego. W konsekwencji administrator instalujący videowizjer zobowiązany jest do realizacji obowiązków informacyjnych, ograniczenia celu i minimalizacji danych zgodnie z zasadami RODO, a co najważniejsze, do wykazania podstawy prawnej do przetwarzania za jego pomocą danych osobowych.

Ze względu na inwazyjny charakter monitoringu wizyjnego Prezes UODO zaleca, by każdy przypadek korzystania z videowizjera był szczegółowo uzasadniony analizą alternatywnych, mniej ingerujących rozwiązań.