przejdź
przejdź
  2. Serwis Biznesu
  3. Prowadzenie biznesu
  4. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych

Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Monitoring wizyjny stał się wszechobecnym elementem naszej codzienności, pełniąc funkcje zarówno w przestrzeni publicznej, jak i prywatnej. Korzystanie z monitoringu wizyjnego (CCTV) wymaga przestrzegania przepisów z zakresu ochrony danych osobowych oraz dbania o cyberbezpieczeństwo. Niewłaściwe stosowanie monitoringu może wiązać się z poważnymi konsekwencjami prawnymi. Należy również pamiętać, że niedostatecznie zabezpieczone urządzenia sieciowe mogą stwarzać zagrożenie, zamiast służyć naszemu bezpieczeństwu.

RODO o monitoringu wizyjnym

Stosowanie monitoringu wizyjnego wymaga od administratora dokonania oceny „skutków planowanych operacji przetwarzania” w kontekście ochrony danych osobowych, ponieważ takie działanie wiąże się z dużym ryzykiem naruszenia praw lub wolności, co opisuje art. 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Ponadto RODO wskazuje na konieczność konsultacji administratora z inspektorem ochrony danych (IOD).

Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie (art. 35 ust. 3 lit. c RODO) powinno iść w parze ze stosowaniem odpowiednich środków technicznych i organizacyjnych, wspomnianych w art. 32 RODO. Mowa tutaj m.in. o:

  • analizie ryzyka;
  • zapewnianiu poufności, integralności, dostępności i odporności systemów;
  • testowaniu i ocenie stosowanych środków.

Zalecenia UODO i Kodeks Pracy

W 2019 roku Urząd Ochrony Danych Osobowych (UODO) opublikował dokument pt. „Jak realizować obowiązek informacyjny przy monitoringu wizyjnym?”. Wskazano w nim m.in. konieczność poinformowania pracowników o monitoringu przed dopuszczeniem do pracy oraz oznaczenia pomieszczeń i budynków w widoczny sposób.

UODO podkreśliło również obowiązek stosowania odpowiedniej klauzuli informacyjnej, która powinna zawierać m.in.:

  • informację o tym, że obiekt jest monitorowany;
  • podstawę przetwarzania danych osobowych (np. prawny interes administratora, wyrażony w art. 6 ust. 1 lit. f RODO);
  • kontakt do podmiotu odpowiedzialnego za monitoring, pozwalający uzyskać szczegółowe informacje.

Zgodnie z art. 22² Ustawy z 26 czerwca 1974 roku – Kodeks pracy przetwarzanie danych z monitoringu jest dozwolone jedynie do celów, dla których filmy zostały zebrane. Maksymalny okres przechowywania materiałów to trzy miesiące od dnia nagrania. Jednocześnie wskazano konieczność poinformowania pracowników o wdrożeniu monitoringu z dwutygodniowym wyprzedzeniem.

EROD o monitoringu

Europejska Rada Ochrony Danych (EROD), unijna organizacja zrzeszająca krajowe organy ochrony danych, opublikowała wytyczne (3/2019) w sprawie przetwarzania danych osobowych przez urządzenia wideo, przyjęte w styczniu 2020 roku. Unijna Rada podkreśliła we wprowadzeniu do dokumentu, że monitoring wizyjny „nie jest domyślnie niezbędny”, jeśli do osiągnięcia zamierzonego celu można wykorzystać inne środki.

EROD podkreśla w opracowaniu, że przepisy RODO nie mają zastosowania, jeśli nie przetwarzamy danych osoby możliwej do zidentyfikowania – np. na nagraniach z kamer na dużych wysokościach, na których nie można rozpoznać twarzy. „Z jednej strony należy ocenić i z rozwagą wyważyć podstawowe prawa i wolności, a z drugiej strony prawnie uzasadnione interesy administratora”, zaleca EROD.

Orzeczenie UODO

Rolę wykorzystywania adekwatnych i możliwie jak najmniej inwazyjnych środków monitoringu pokazuje decyzja Prezesa UODO ze stycznia 2022 roku (DS.523.2332.2021), dotycząca wykorzystania monitoringu na części wspólnej prywatnej posesji. Uznał on wówczas nagrywanie i przechowywanie dźwięku z kamer za niespełniające zasady minimalizacji przetwarzanych danych, wyrażonej w art. 5 pkt 1 lit. c RODO. Dodatkowo stosowanie funkcji nagrywania dźwięku zostało uznane za naruszające prawo do prywatności.

Przykładem konieczności uwzględnienia cyberbezpieczeństwa podczas stosowania monitoringu wizyjnego jest incydent w jednym z krakowskich oddziałów neonatologii. Placówka stosowała monitoring wizyjny bez podstawy prawnej oraz informowania o tym fakcie. Nagrania z kamer obejmowały m.in. matki i noworodki podczas intymnych czynności (np. pielęgnacji). Doszło również do kradzieży kart pamięci z urządzeń, gdzie znajdowały się niezaszyfrowane nagrania.

Prezes UODO nałożył na Centrum Medyczne Ujastek dwie kary finansowe, przekraczające łącznie 1,1 mln złotych (DKN.5131.4.2024). Zgodnie z przytoczoną sytuacją w placówce doszło do:

  • niezgodnego z prawem przetwarzania danych (art. 6 oraz art. 9 RODO);
  • niespełnienia obowiązku informacyjnego (art. 13 RODO);
  • stosowania nieodpowiednich środków technicznych i organizacyjnych (art. 25 oraz art. 32 RODO);
  • braku możliwości wykazania poufności oraz rozliczalności przetwarzania danych (art. 5 RODO).

Zdarzenie pokazuje również znaczenie dbania o odpowiedni poziom cyberbezpieczeństwa podczas stosowania monitoringu wizyjnego, a także konieczność szyfrowania plików zawierających dane osobowe, ponieważ mogłoby to znacznie utrudnić uzyskanie dostępu do nagrań w przypadku nieuprawnionego dostępu do nośników (np. kradzieży).

Monitoring wizyjny a cyberbezpieczeństwo systemu

Nie wolno zapominać o tym, że kamery monitoringu wizyjnego to w dużej mierze urządzenia sieciowe. W związku z tym powinniśmy pamiętać o separacji sieci, co pozwoli oddzielić kluczowe zasoby organizacji (np. pliki z danymi osobowymi) od systemu monitoringu. Można to zrobić na podstawie wirtualnych sieci lokalnych (tzw. VLAN), dzięki czemu urządzenia będą w innych sieciach logicznych pomimo korzystania z tych samych urządzeń w sieci fizycznej.

Kluczowe pozostaje również ograniczanie dostępu do monitoringu z poziomu Internetu. Jeżeli taka funkcjonalność nie jest konieczna, warto ją wyłączyć, aby uniknąć ewentualnych prób nieuprawnionego dostępu do widoku z kamer. Powinniśmy również niezwłocznie zmienić domyślne hasło do zarządzania urządzeniami.

W poradniku UODO „Monitoring wizyjny w szkole” z 2019 roku podkreślono, że CCTV obejmuje trzy różne „stany informacji”: przesyłanie, przechowywanie i przetwarzanie. Wśród środków technicznych pozwalających na zwiększenie poziomu bezpieczeństwa infrastruktury wymieniono m.in.:

  • szyfrowanie przechowywanych nagrań wideo;
  • system kontroli dostępu, szczególnie pod kątem nieudanych prób logowania;
  • stosowanie kopii zapasowych.

W maju 2025 roku ukazał się raport poświęcony analizie działań rosyjskiego GRU, współtworzony m.in. przez Służbę Kontrwywiadu Wojskowego, Agencję Bezpieczeństwa Wewnętrznego i amerykańskie National Security Agency (NSA). W części poświęconej zabezpieczeniu kamer IP znalazły się poniższe rekomendacje:

  • wykorzystywanie urządzeń posiadających wsparcie producenta oraz wymianę tych, które go nie mają (tzw. EOL od angielskiego end of life);
  • regularne aktualizowanie oprogramowania;
  • dostęp do strumienia obrazu wymagający VPN-a i uwierzytelniania dwuskładnikowego – dotyczy sytuacji, gdzie „podgląd z zewnątrz” jest niezbędny;
  • wyłączenie nieużywanych portów i usług (np. panel webowy (WWW) czy FTP);
  • wyłączenie protokołów UPnP oraz P2P;
  • monitorowanie zdarzeń na kamerach IP.

W dokumencie rekomenduje się również zaimplementowanie odpowiednich reguł zapory sieciowej (tzw. firewalla) oraz wykorzystywanie automatycznej analizy logów dostępowych.

W kontekście monitoringu wizyjnego nie powinniśmy pomijać również aspektów bezpieczeństwa fizycznego – dotyczy to szczególnie nieuprawnionego dostępu do nagrań wskutek kradzieży nośników. Niezmiennie ważna pozostaje kontrola fizycznego dostępu (np. poprzez system alarmowy) oraz awaryjne zasilanie (np. UPS), co pozwoli na ciągłe nagrywanie obrazu.

Podobnie jak w przypadku wielu innych aspektów cyberbezpieczeństwa kluczowa pozostaje świadomość tego, co chcemy chronić. Jeśli nie wiemy, jakie urządzenia sieciowe są wykorzystywane w danej organizacji oraz jakie zabezpieczenia powinny zostać wdrożone, warto rozważyć zewnętrzny audyt.

Kwestie zabezpieczenia są niezwykle ważne, o czym świadczy m.in. to, że w momencie pisania niniejszego artykułu – według specjalistycznej wyszukiwarki internetowej shodan.io – publicznie dostępny był widok z ponad 160 polskich kamer, które wykorzystywały protokół RTSP lub HTTP – mowa tu o wynikach, które zawierały zrzut ekranu.

Niektóre kamery mogą również domyślnie wykorzystywać środowisko chmurowe producenta, co może być niepożądane w pewnych zastosowaniach. Jeżeli taka sytuacja ma miejsce, należy rozpatrzyć, czy jest ona konieczna i praktyczna dla organizacji, a także uwzględnić to w analizie ryzyka. Warto również przeanalizować aspekt przetwarzania danych pod kątem lokalizacji, tzn. udostępniania danych poza UE.

Polecamy:

Skala podatkowa 2026 a kwota wolna od podatku w 2026 roku

Ranking CRM: 7 Najlepszych Systemów CRM na 2026
Podobne
Styczeń 2026
15
Czwartek
  • Dzień ustawowo wolny od pracy
  • Remanent początkowy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Jednoosobowa działalność gospodarcza w 2025 roku - co warto wiedzieć?
  2. Praca na etacie nie wyklucza prowadzenia działalności
  3. Kiedy zawiesić działalność, żeby zaoszczędzić na składkach ZUS?
  4. Czy siedziba firmy w mieszkaniu to wyższy podatek od nieruchomości?
  5. Wszystko o CEIDG - ewidencja działalności gospodarczej
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prowadzenie biznesu

Ranking CRM: 7 Najlepszych Systemów CRM na 2026

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

RODO 2.0 – Ochrona danych osobowych na rozdrożu: modernizacja, deregulacja czy zmiana paradygmatu?
VII FORUM HR CHALLENGE POLAND 2026: Jak HR sprosta wyzwaniom nieustającej transformacji?
Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku
Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów