Monitoring wizyjny jest jednym z najchętniej stosowanych rozwiązań służących nadzorowi nad przestrzenią – zarówno w celu zapewnienia bezpieczeństwa gości, jak i zwalczania przestępczości hotelowej. W oczywisty sposób jego wykorzystanie może jednak kolidować z prywatnością osób nagrywanych. Niezbędne jest więc uzyskanie równowagi pomiędzy interesem placówki, a prawem gości do prywatności.
Przepisy RODO nie zabraniają stosowania monitoringu, co dotyczy również pomieszczeń hotelowych. Nie powstały także specjalne przepisy sektorowe, które regulowałyby kwestie funkcjonowania takiego monitoringu. Należy więc postępować zgodnie z ogólnymi wymogami rozporządzenia, pamiętając przy tym, że znajdują one zastosowanie jedynie w przypadku przetwarzania danych osobowych i nie dotyczy np. urządzeń wykrywających dym w pokojach. RODO znajduje natomiast zastosowanie do innych rodzajów monitoringu niż tylko wizyjny.
Sprawdź jak wdrożyć RODO w twojej organizacji
Podstawa prawna monitoringu wizyjnego
Podstawą prawną w każdej sytuacji będzie prawnie uzasadniony interes administratora, związany z jego stosowaniem. Europejska Rada Ochrona Danych w wytycznych dotyczących stosowania monitoringu precyzuje, że takim interesem może być ochrona mienia i majątku, życia i integralności cielesnej osób fizycznych, czy gromadzenie dowodów w sprawach cywilnych. Wszystkie te cele mogą być również realizowane przez podmiot prowadzący działalność hotelarską.
Skutkiem korzystania z art. 6.1 f) RODO jest jednak konieczność wykonania testu równowagi dla stosowania monitoringu wizualnego w różnych obszarach – tego, w jakim zakresie będzie wpływał na prywatność gości i ostatecznie wyważenia interesów obydwu stron. Należy pamiętać, że monitoring wizyjny jest dopuszczalny tylko jeżeli nie ma innych, mniej zagrażających wolnościom osób fizycznych, środków pozwalających osiągnąć ten sam cel. Cele muszą być określone w sposób na tyle konkretny, by można było ustalić w jaki sposób monitoring wizyjny przyczyni się do ich osiągniecia i dlaczego inne metody nie mogą być uznane za równie skuteczne. Nie możemy poprzestać na określeniu celu jedynie za pomocą ogólnego sformułowania, takiego jak „zwiększenie bezpieczeństwa”.
Następnie należy dokonać analizy tego, jaki jest potencjalny wpływ instalacji kamer na prywatność w danym obszarze. W przypadku hotelu mamy do czynienia z różnorakimi rodzajami pomieszczeń i różnymi oczekiwaniami prywatności z nimi związanymi. Pomieszczeniami o najmniejszych oczekiwaniach prywatności są najczęściej przestrzenie ogólnodostępne, w których przemieszcza się duża ilość osób – jak wejście, parkingi czy pomieszczenie recepcji. W tych obszarach instalowanie monitoringu wizyjnego będzie wiązało się z najniższym prawdopodobieństwem naruszenia prywatności w porównaniu z interesem podmiotu prowadzącego działalność hotelarską. Tutaj również mamy do czynienia raczej z gradacją wpływu i oczekiwań prywatności – instalacja monitoringu w korytarzach z wejściami do pokoi będzie wiązała się z większą ingerencją w prywatność niż na recepcji. Należy także pamiętać, że takie kamery nie powinny (nawet sporadycznie) zbierać danych z obszaru nie należącego do hotelu (np. drogi czy chodnika obok). W odmienny sposób będzie kształtowała się kwestia pomieszczeń takich jak restauracje hotelowe czy sale użytkowe typu siłownie, które najczęściej są wykorzystywane w celach prywatnych. W takim przypadku najczęściej osoby tam przebywające oczekują, że nie będą obserwowane, a więc, że w salach nie będzie prowadzony monitoring.
Monitoring nie będzie całkowicie zakazany, ale podmiot prowadzący działalność hotelarską musi wykazać silny interes związany z wprowadzeniem monitoringu w takim miejscu. Cel musi być zatem konkretnie określony i sprecyzowany, a instalacja monitoringu musi bezpośrednio pomóc w jego osiągnieciu. Pamiętajmy także, że analiza dla jednego obszaru nie uzasadni instalacji monitoringu w innym – jeżeli np. w hotelowej siłowni dochodzi do zniszczenia sprzętu i w związku z tym instalujemy tam monitoring, nie oznacza to, że możemy zainstalować także monitoring w restauracji czy na basenie.
Instalacja monitoringu w przestrzeniach przeznaczonych do użytku prywatnego (takich jak pokoje gościnne) chociaż nie jest zakazana bezpośrednio, praktycznie nigdy nie będzie dozwolona. Musielibyśmy mieć do czynienia z interesem o wyjątkowo silnym charakterze – np. wyraźnym zagrożeniu dla życia i zdrowia, któremu monitoring miałby zapobiegać. Przykładem mógłby być pensjonat dla osób starszych bądź schorowanych, jeżeli celem instalacji monitoringu byłoby wykrywanie np. upadków takiej osoby.
Ingerencja w prywatność w danej przestrzeni może być także zmniejszona poprzez zastosowanie rozwiązań technologicznych – np. poprzez zastąpienie w systemie postaci osoby symboliczną sylwetką czy stick figure. W takim wypadku jednak co do zasady i tak dochodzi do zbierania danych osobowych – system, zanim zastąpi taką figurę, musi ją nagrać.
Jeżeli chodzi o zakres dozwolonego monitoringu, należy także pamiętać o tym, że hotel jest miejscem pracy – zatem pojawia się konieczność spełnienia wymogów Kodeksu Pracy dotyczących monitoringu – zgodnie z art. 22^2 RODO. Musimy jednak pamiętać, że zasady te dotyczą monitoringu miejsca pracy, a nie przestrzeni dla gości – nie dotyczą więc monitorowania wszystkich pomieszczeń sanitarnych, szatni, stołówek czy palarni w hotelu, a tylko tych przeznaczonych dla pracowników.
Informacja
W przypadku stosowania monitoringu w przestrzeni hotelowej niezbędnym jest spełnienie obowiązku informacyjnego. Informacja powinna obejmować zarówno elementy słowne z art. 13/14 RODO oraz znaki ostrzegawcze wskazujące na zakres przestrzeni monitorowanych.
Wchodząc na obszar objęty monitorowaniem powinna być udostępniona pierwsza warstwa informacji – znak ostrzegawczy, wraz z informacją o tożsamości administratora, celami przetwarzania, danymi kontaktowymi, a także informacjami, które mogą stanowić zaskoczenie dla osoby, której dotyczą. Znak musi być widoczny, nie może być ukryty. Pełna informacja zawierająca wszystkie elementy z art. 13/14 RODO może być dostępna np. w recepcji czy w innym ogólnodostępnym miejscu, powinna być także dostępna w regulaminie ośrodka. Znak ostrzegawczy należy umieścić także przy wejściu na każdą przestrzeń monitorowaną, ale w takiej sytuacji wystarczy uproszczone przedstawienie.
Dodatkowo dla ochrony praw jednostki uzasadnionym będzie rozwiązanie, w którym informacja o istnieniu monitoringu (i jego zakresie) będzie możliwa do uzyskania przed dokonaniem rezerwacji. Zwłaszcza na stronie internetowej ośrodka w widocznym miejscu, niezależnie od udostępnienia pełnej informacji np. w regulaminie.
Nie istnieje natomiast obowiązek zapewnienia, że kamery są widoczne, jeżeli dostępna jest informacja o tym, że pomieszczenie jest monitorowane. Mogą zostać zatem umieszczone w sposób ukryty, o ile osoba posiada możliwość weryfikacji faktu monitoringu.
Monitoring a specjalne kategorie danych
Zagadnieniem łączącym się ze stosowaniem monitoringu będzie kwestia przetwarzania tzw. danych wrażliwych, tj. należących do katalogu z art. 9 RODO. W tym zakresie Europejska Rada Ochrony Danych wskazuje, że nagranie osoby na wózku inwalidzkim nie będzie równoznaczne z pozyskiwaniem informacji o jej stanie zdrowia. Analogicznie, jeżeli w obiekcie hotelarskim odbywa się np. konwencja o charakterze politycznym, to nagranie jej uczestników w związku z ogólnie funkcjonującym monitoringiem nie byłoby równoznaczne ze zbieraniem danych o przekonaniach politycznych uczestników. Ogólnie o zbieraniu specjalnych kategorii danych mówimy w przypadku, kiedy są one przetwarzane w związku z ich szczególnym charakterem, np. jeżeli system monitoringu miałby identyfikować osoby na wózkach, to mielibyśmy do czynienia z przetwarzaniem danych o zdrowiu. Podobnie, jeżeli wprowadzone będą rozwiązania analizujące temperaturę ciała człowieka (monitoring w spektrum podczerwonym) pod kątem określenia osób chorych. W takich przypadkach będzie on ogólnie niedopuszczalny, chyba że przyjęte byłyby szczególne przepisy prawa zezwalające na jego stosowanie.
Podobną kwestią będzie wykorzystanie kamer w celu zbierania danych biometrycznych. Wizerunek osoby może być daną biometryczną w rozumieniu art. 4 (14) RODO, ale tylko jeżeli spełnione są łącznie dalsze przesłanki wskazane w tym przepisie. Pierwszą jest „przetłumaczenie” obrazu bądź jego elementy na analizowany przez program system, w związku z utworzeniem wzorca (szablonu) biometrycznego. Drugą jest wymóg, by był następnie używany do identyfikacji osoby za pośrednictwem systemu analizującego taki wizerunek. Zatem z przetwarzaniem danych biometrycznych mielibyśmy do czynienia np. w sytuacji, w której hotel instaluje system który pozwoli zidentyfikować osoby niepożądane czy ważnych gości na jego terenie w sposób automatyczny (porównując obraz z wzorcem/szablonem biometrycznym zapisanym w pamięci systemu). W takim przypadku faktycznie stosowanie takiego rozwiązania będzie ogólnie zakazane – niezbędnym byłoby zebranie zgód od wszystkich w ten sposób monitorowanych lub potencjalny przyszły przepis prawa zezwalający na takie monitorowanie.
Dostęp do nagrań
Skutkiem umieszczenia systemu monitoringu, może być żądanie od gości dostępu do nagrań, np. w związku z kradzieżą. W takim wypadku co do zasady nie jest dozwolone udostępnienie takich nagrań. W przypadku, w którym gość powołuje się na prawo uzyskania kopii danych z art. 15 ust. 3 RODO, należy pamiętać, że zgodnie z art. 15 ust 4 wniosek taki nie może niekorzystnie wpływać na prawa i wolności innych. Zatem jeżeli na nagraniu znajdują się inne osoby, wydanie jego kopii jest niedopuszczalne (choć, jeżeli jest to możliwe, dopuszczalne było wykorzystanie rozwiązania zastępującego sylwetki innych osób np. sylwetką czy stick figure” – administrator nie ma jednak obowiązku wdrożenia takiego rozwiązania jedynie w celu udzielenia odpowiedzi na pytanie.
Ogólnie takie nagranie w jego całościowej formie można udostępnić jedynie na żądanie organów, złożone na podstawie odpowiednich przepisów, chyba że jego udostępnienie jest zgodne z celem zbierania (np. na potrzeby własnych postępowań w sprawach cywilnych). Natomiast jeżeli na nagraniu nie ma innej osoby, to w tym zakresie kopie takiego nagrania należy udostępnić na żądanie tej osoby.
Osobie należy natomiast udzielić dostępu do nagrania (poprzez przedstawienie go w pomieszczeniu) – o ile można ją zidentyfikować. Wniosek osoby, której dane dostępu dotyczą powinien precyzować, kiedy i w jakim miejscu taka osoba weszła na obszar objęty monitoringiem. W przypadku, w którym brak jest takiej konkretnej informacji, podmiot danych można wezwać do sprecyzowania żądania. Jednak, jeżeli nie jest ono sprecyzowane, można taki wniosek odrzucić. Jeżeli taki wniosek zostaje odrzucony, administrator musi wskazać przyczyny takiej decyzji w odpowiedzi. Dodatkowo EROD zwraca uwagę, że w takiej odpowiedzi winne być zawarte informacje na temat konkretnego obszaru objętego monitoringiem, kontroli używanych kamer itd. – aby osoba, której dane dotyczą, miała pełną świadomość tego, jakie dane osobowe mogły być przetwarzane.
Rozliczalność
W każdym przypadku należy pamiętać o zasadzie rozliczalności z art. 5 ust 2 RODO – zdolności administratora do wykazania zgodności z przepisami prawa. Dotyczy to wiedzy zarówno o przyczynach instalacji monitoringu, pożądanym celu, jak i tego w jaki sposób monitoring może się przyczynić do jego osiągnięcia.
Zatem w przypadku, w którym np. monitoring zostaje wdrożony w pomieszczeniu siłowni w związku ze zniszczeniem sprzętu przez użytkowników – trzeba być w stanie opisać takie zdarzenie będące przyczyną wprowadzenia monitoringu, przynajmniej w zakresie skali i daty.
W przypadku wprowadzania nowego monitoringu bądź wykorzystaniu starego w nowy sposób (np. poprzez uruchomienie automatycznego systemu który będzie analizował niepożądane zachowania) należy także przeprowadzić wcześniejszą analizę skutków takiego przetwarzania, zgodnie z procedurą art. 35 RODO.
Zgodnie z przepisami RODO, monitorowanie wizyjne jest dozwolone w celu ochrony mienia, życia i integralności cielesnej osób oraz gromadzenia dowodów w sprawach cywilnych. Podstawą prawną monitoringu jest prawnie uzasadniony interes administratora, który musi być równoważony z prawem do prywatności gości. W przypadku hoteli, należy dokonać analizy wpływu instalacji kamer na prywatność w różnych obszarach. Warto pamiętać również o konieczności zapewnienia informacji o monitoringu gościom, zarówno za pomocą znaków ostrzegawczych wskazujących na monitorowane obszary, jak i poprzez udostępnienie pełnej informacji o monitoringu, np. w regulaminie hotelu. Ważne jest również rozważenie przetwarzania specjalnych kategorii danych, takich jak dane wrażliwe (np. informacje o stanie zdrowia) i danych biometrycznych, które wymagają szczególnego uzasadnienia i przestrzegania przepisów prawa.