W styczniu bieżącego roku, Europejska Rada Ochrony Danych przyjęła Wytyczne w sprawie przetwarzania danych w monitoringu wizyjnym (Guidelines 3/2019 on processing of personal data through video devices, Version 2.0), zwane dalej Wytycznymi. Wynikające z nich zalecenia mogą znacznie utrudnić korzystanie z wideorejestratorów, powszechnie używanych przez kierowców zarówno w samochodach służbowych, jak i prywatnych.
W punkcie 15 Wytycznych podkreśla się, iż przetwarzanie danych w ramach wideomonitoringu możliwe jest jedynie w konkretnych, prawnie uzasadnionych celach (art. 5 ust. 1 lit. b RODO), przy czym cel, w postaci ogólnie rozumianego „bezpieczeństwa”, nie jest wystarczający do legalnego stosowania monitorignu wizyjnego, ze względu na zbyt szeroki zakres tego pojęcia. Wytyczne dopuszczają stosowanie tego monitoringu ze względu na kwestie bezpieczeństwa w konkretnych przypadkach, w których administrator jest w stanie wykazać realne zagrożenie dla swoich interesów, np. duże prawdopodobieństwo kradzieży czy włamania, uzasadnione wcześniejszymi zdarzeniami tego typu w najbliższej okolicy. Trudno byłoby jednak odwołać się do takiego argumentu, aby usprawiedliwiać codzienne korzystanie z kamery samochodowej w pojeździe będącym w ruchu.
Kolejnym ograniczeniem korzystania z takich kamer jest wymóg, aby nie rejestrowały one ruchu drogowego w sposób ciągły, ani nie nagrywały przypadkowych przechodniów, czy innych uczestników ruchu. W punkcie 34 Wytycznych stwierdzono wprost, iż hipotetyczne zagrożenie wypadkiem drogowym nie stanowi wystarczającego uzasadnienia do przetwarzania powyższych danych. Powoduje to, iż jazda z włączoną kamerą oraz brak „anonimizacji” wizerunku osób widniejących na nagraniach – a więc powszechny jak dotąd sposób używania wideorejestratorów w samochodach – rodzi istotne ryzyko naruszania przepisów o ochronie danych osobowych.
Należy pamiętać, iż przetwarzanie danych osobowych w jakiejkolwiek formie wymaga istnienia podstawy takiego przetwarzania. Jedną z podstaw, na którą najczęściej powołują się administratorzy, jest zgoda osoby, której dane dotyczą. W przypadku danych rejestrowanych przez kamery samochodowe, praktycznie niemożliwym będzie wykazanie przez administratora, iż uzyskał on taką zgodę od uczestników ruchu widniejących na zapisie video, co podkreślono także w punkcie 44 Wytycznych.
Wytyczne nie pozostawiają wątpliwości, iż do przetwarzania danych w drodze monitoringu wizyjnego pełne zastosowanie znajdują przepisy RODO o obowiązkach informacyjnych administratora danych względem osoby, której dane dotyczą (punkt 110 i następne Wytycznych). Administrator zobowiązany jest m.in. poinformować taką osobę o swojej tożsamości, danych kontaktowych, celach, okresie i podstawie prawnej przetwarzania, czy też o prawach przysługujących tej osobie. Trudno wyobrazić sobie realizację tych obowiązków w trakcie ruchu pojazdu. Nawet gdyby umieścić stosowne informacje na aucie (co samo w sobie wydaje się rozwiązaniem dość niestandardowym), to możliwość jej przeczytania przez innych uczestników ruchu jest wysoce wątpliwa. Sugerowane niekiedy na łamach prasy branżowej rozwiązanie, zgodnie z którym adnotacja na pojeździe powinna zawierać jedynie odesłanie do źródła tych informacji (np. strony internetowej administratora), jest o tyle problematyczne, że art. 13 ust. 1 RODO nakazuje, aby przekazanie informacji nastąpiło w momencie pozyskiwania danych, a więc de facto w momencie rejestracji obrazu przez kamerę zainstalowaną w aucie.
Nie ułatwi też życia użytkownikom kamer samochodowych sugestia zawarta w punkcie 121 Wytycznych, a mianowicie, iż okres przechowywania zarejestrowanego obrazu nie powinien być dłuższy niż kilka dni. Automatyczne usuwanie zapisu w związku z brakiem miejsca na karcie pamięci kamery następuje na ogół po znacznie dłuższym czasie, zwłaszcza w przypadku samochodów, które nie pokonują w ciągu dnia zbyt dalekich dystansów. Kierowcy będą musieli zatem pamiętać o ręcznym usuwaniu zarejestrowanych danych.
To jedynie niektóre z wyzwań, jakie stoją przed użytkownikami kamer samochodowych po przyjęciu Wytycznych przez Europejską Rada Ochrony Danych. Być może część powyższych wątpliwości zostanie wyjaśniona po ustosunkowaniu się do tych wytycznych przez Prezesa Urzędu Ochrony Danych Osobowych. Nie należy jednak oczekiwać zbytniego poluzowania rygorów zawartych w stanowisku Europejskiej Rady Ochrony Danych.
Europejska Rada Ochrony Danych -organ unijny odpowiedzialny za stosowanie RODO, w skład którego wchodzą przedstawiciele krajowych organów ochrony danych każdego z państw członkowskich oraz Europejski Inspektor Ochrony Danych