[Rachunek]

Wybór najkorzystniejszej cenowo oferty na wdrożenie systemu monitoringu być może jest kluczowy w procesie implementacji środków poprawy bezpieczeństwa mienia, informacji lub osób znajdujących się na terenie Twojego przedsiębiorstwa. Jednak z pewnością nie powinien być to pierwszy lub – co gorsza – jedyny moment, kiedy poważnie rozważasz temat monitoringu.

Przed wejściem w życie unijnego rozporządzenia o ochronie danych osobowych (zob. http://ec.europa.eu/justice/data-protection/reform/index_en.htm) rozważania, o których mowa w dalszej części artykułu, mogą wydawać się zbędne w kontekście rachunku ekonomicznego i ryzyka nałożenia sankcji odczuwalnych dla przedsiębiorstwa. Niemniej, im bliżej początku obowiązywania wspomnianego rozporządzenia, tym mocniej rachunek ekonomiczny będzie dyktować uwzględnienie prywatności w projektach wykorzystujących, choćby tylko potencjalnie i marginalnie, dane osobowe. Dość powiedzieć, że w Unii Europejskiej dyskutuje się grzywny do wysokości 1,000,000 Euro lub 2% rocznego przychodu za naruszenie przepisów o ochronie danych osobowych (zob. http://europa.eu/rapid/press-release_MEMO-15-5170_en.htm); przy takich sankcjach koszt systemu monitoringu może okazać się bagatelny, a na plan pierwszy – zamiast analizy ryzyka dla bezpieczeństwa mienia – wysunie się analiza konieczności i stopnia ingerencji w prywatność osób monitorowanych.

[Założenia]

Jeśli jesteś już na etapie weryfikacji umowy z dostawcą systemu monitoringu, warto ustalić i podsumować, dla siebie, dla prawnika weryfikującego aktualnie warunki kontraktu usługowego, a przede wszystkim dla załogi, przyczyny, dla których wideonadzór za chwilę stanie się stałym elementem zakładowego pejzażu, a także funkcje, jakie będzie realizować.

Załóżmy dla potrzeb niniejszego artykułu, że monitoring ma być stosowany w przedsiębiorstwie w celu wspomagania kontroli dostępu i zapewnienia bezpieczeństwa mienia, informacji, personelu oraz gości. Załóżmy też, że system monitoringu zapewnia rejestrację, a nie jedynie podgląd, obiektu filmowania. Załóżmy wreszcie, że oko kamery podgląda jedynie drogi komunikacyjne, drzwi do budynku lub inne wrażliwe miejsca (np. pokoje mieszczące krytyczną infrastrukturę IT), w odróżnieniu od monitoringu określonej osoby lub grupy osób. Formalnie mamy więc do czynienia z systemem określanym jako wideonadzór, nadzór wizyjny, telewizja przemysłowa lub CCTV; w istocie zaś – ze stosunkowo popularnym rozwiązaniem, które wydaje się być mało inwazyjne i względnie bezpieczne.

[Perspektywa]

Ustalenia i podsumowania dokonane przez Ciebie dopiero na tym etapie mają niewątpliwie jedną istotną wadę – bazują wyłącznie na Twojej pamięci, wiedzy, intuicji i wyobraźni. Przedstawiają pogląd dosyć wąski, jednostronny, który może być mało przekonujący dla organów nadzorujących zgodność praktyk zakładowych z przepisami o ochronie danych osobowych; pogląd, który może być także niezrozumiały dla załogi i w efekcie rodzić niezadowolenie przekładające się na wyniki ekonomiczne przedsiębiorstwa.

Załóżmy jednak, że Twoje doświadczenie obejmuje przypadek utraty lub zniszczenia wartościowej przesyłki pozostawionej bez opieki na jednym z korytarzy zakładu; zdarzenie, które skompromitowało w Twojej ocenie dotychczasowe środki bezpieczeństwa i rzuciło cień na relacje z, przynajmniej, częścią załogi; zdarzenie, którego powtórki chcesz uniknąć, pomimo przeczucia, że kamery dostarczą Ci dużo więcej danych, aniżeli potrzebne do ochrony mienia.

W tym miejscu warto podkreślić, że konstytucyjne prawa i wolności jednostki, w tym prawo pracownika do prywatności, nie muszą wykluczać się z dobrem zakładu pracy, zwłaszcza w aspekcie ochrony jego mienia. Pragmatyczne podejście do monitoringu oparte na zasadach doboru i proporcjonalności może zapewnić zarówno osiągnięcie odpowiedniego poziomu bezpieczeństwa, jak i poszanowanie prywatności. Banałem jest stwierdzenie, że kamery powinny być używane inteligentnie, mianowicie do rozwiązywania konkretnych problemów bezpieczeństwa, bez zbierania zbędnych danych. Takie założenie sprzyja redukcji stopnia ingerencji w prywatność, a nadto prowadzi do bardziej celowego i skutecznego wykorzystania monitoringu wizyjnego.

[Prywatność]

Chronologia w modelowym projekcie implementacji systemu monitoringu dyktuje, by rozpocząć od odpowiedzi na ogólne pytanie, czy wdrażany system będzie w jakimkolwiek stopniu oddziaływać na prywatność personelu lub osób postronnych. Oczywiście kluczową kategorią w tych rozważaniach jest „prywatność”, którą wypada w tym miejscu objaśnić.

Szeroko rozumianą prywatność można zdefiniować jako prawo jednostki do bycia pozostawioną w spokoju. Są dwie podstawowe postaci prywatności, tj. prywatność fizyczna oraz prywatność informacyjna; i odpowiadające im formy naruszenia.

W odniesieniu do interesującej nas tutaj prywatności informacyjnej, naruszenie może przybrać formę przetwarzania nadmiernej ilości danych, nieuprawnionego ujawnienia lub sprzeniewierzenia powierzonych danych. Naruszenie może również nastąpić poprzez monitoring obrazów, dźwięków lub treści przesyłanych wiadomości. Naruszenie prywatności informacyjnej może wynikać z tego, że przetwarzana informacja jest: niedokładna, niewystarczająca, nieaktualna, względnie nadmierna, zbyteczna, przechowywana zbyt długo lub w sposób niezabezpieczony, ujawniona osobom, którym podmiot danych nie chce jej ujawnić, albo też używana w sposób nieoczekiwany lub nieakceptowalny dla podmiotu danych.

[Dane osobowe]

Wydaje się więc, że monitoring wizyjny może dostarczać pewnych informacji o jednostkach; i to informacji, które spełniają definicję danych osobowych, objętych przede wszystkim regulacją ustawy o ochronie danych osobowych. Tym samym natrafiamy na kolejną istotną dla naszego wykładu kategorię, mianowicie „dane osobowe”.

Mianem danych osobowych w prawie polskim, wzorem odpowiednich rozwiązań funkcjonujących w prawodawstwie Unii Europejskiej, określa się wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, niezależnie od od sposobu i formy ich wyrażenia, takie jak imię i nazwisko pracownika, czy zdjęcia, filmy lub dane biometryczne.

Jak wynika z opracowania Europejskiego Inspektora Danych Osobowych z 2010 roku na temat wideonadzoru, rozpoznawalne obrazy twarzy zawsze stanowią dane osobowe. Zasada ta obowiązuje bez względu na to, czy jednostki są znane lub identyfikowalne dla operatora systemu monitoringu. Nawet słabo rozpoznawalne obrazy twarzy mogą stanowić dane osobowe, jeśli rozpoznanie jest możliwe za pomocą dodatkowych informacji. Dla przykładu, obraz o niskiej rozdzielczości może być dla policji wystarczający, by w powiązaniu z innymi informacjami pozyskanymi w toku postępowania przygotowawczego (zeznania świadków, inne dostępne i dopuszczalne środki dowodowe), stwierdzić tożsamość sprawcy.

[Konsultanci]

Wnioski wypływające z poprzedzających dwóch akapitów przesądzają już nie tylko o konieczności przeprowadzenia analizy ryzyk, ale również o niezbędności identyfikacji ryzyk dla prywatności, w tym za pomocą konsultacji wewnątrzzakładowych.

Europejski Inspektor Danych Osobowych zaleca, aby personel organizacji był konsultowany we wszystkich przypadkach, gdy personel taki może zostać uchwycony przez oko kamery, także wówczas, gdy celem przetwarzania danych jest bezpieczeństwo i kontrola dostępu do pomieszczeń a kamery są instalowane wyłącznie przy wejściach/wyjściach do budynku lub w innych strategicznych miejscach takich, jak pokoje mieszczące archiwa organizacji.

Konsultacje są istotnym elementem procesu analizy ryzyka, gdyż stwarzają możliwość zgłoszenia problemów i rozwiązań w kwestii prywatności bezpośrednio przez podmioty danych osobowych.

[Administrator Bezpieczeństwa Informacji]

Ocena, kto jest najbardziej właściwy do koordynowania i realizacji analizy ryzyka, jest indywidualną, autonomiczną decyzją danej organizacji, uwarunkowaną okolicznościami konkretnego przypadku, które to okoliczności w przypadku Twojego przedsiębiorstwa najlepiej rozpoznajesz i oceniasz właśnie Ty.

Duże organizacje mają w swoich szeregach administratora bezpieczeństwa informacji (ABI), który wydaje się mieć – w naturalny sposób – istotną rolę do odegrania w analizie ryzyka i który jest w stanie, ze względu na swój profesjonalizm, wyświetlić obraz procesów istniejących w organizacji.

W tym miejscu można tylko zaznaczyć, że ABI jest instytucją prawa europejskiego (zob. art. 18 dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych), a ściśle urzędnikiem odpowiedzialnym za ochronę danych, wyznaczonym przez przedsiębiorcę do wykonywania obowiązków związanych z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz obowiązków związanych z prowadzeniem rejestru zbiorów danych osobowych, jak określone przez polskiego ustawodawcę (zob. ustawa o ochronie danych osobowych, a także rozporządzenia Ministra Administracji i Cyfryzacji: w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji; w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych).

Jeśli zatem jesteś na etapie weryfikacji umowy z dostawcą systemu monitoringu, skorzystaj z wiedzy prawnika także w takim zakresie, by ustalić szerszy kontekst prawny całej operacji. Monitoring wizyjny jest opcją, ale być może skorzystanie z fachowej opinii prawnika lub ABI wyświetli inne, mniej kosztowne, bardziej adekwatne i przyjazne pracownikom rozwiązania.