Monitoring wizyjny a RODO — to temat, który w 2026 roku trafia pod lupę UODO. Urząd będzie sprawdzał bezpieczeństwo danych osobowych przy stosowaniu monitoringu wizyjnego w podmiotach leczniczych — ze szczególnym uwzględnieniem ochrony wizerunku dzieci.
To nie jest nowy temat — ale dla wielu organizacji monitoring wizyjny nadal jest „szarą strefą” RODO. Kamery wiszą, nagrywają, a dokumentacja albo nie istnieje, albo nie odpowiada temu co dzieje się w praktyce.
Dlaczego UODO kontroluje monitoring
Monitoring wizyjny to przetwarzanie danych osobowych — wizerunku. Art. 4 pkt 1 RODO definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wizerunek zarejestrowany przez kamerę to dane osobowe.
Plan kontroli UODO na 2026 obejmuje monitoring wizyjny w podmiotach leczniczych z kilku powodów: kamery rejestrują dane wrażliwe (wizerunek pacjentów, w tym dzieci), zakres monitoringu często wykracza poza to co jest niezbędne, dokumentacja jest niepełna lub nieaktualna.
Monitoring wizyjny RODO — obowiązki administratora
Podstawa prawna
Najczęstszą podstawą prawną monitoringu wizyjnego jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) — bezpieczeństwo osób i mienia. W podmiotach publicznych może to być wykonanie zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e). W podmiotach leczniczych dodatkowe regulacje wynikają z art. 22² Kodeksu pracy i ustawy o działalności leczniczej.
Rejestr czynności przetwarzania
Monitoring wizyjny musi być ujęty w rejestrze czynności przetwarzania jako osobna czynność. Wpis powinien zawierać: cel przetwarzania (bezpieczeństwo), kategorie osób (pracownicy, pacjenci, odwiedzający), kategorie danych (wizerunek), okres przechowywania nagrań, zabezpieczenia techniczne.
Klauzula informacyjna
Każda osoba wchodząca w obszar objęty monitoringiem musi być o tym poinformowana — zgodnie z art. 13 RODO. W praktyce oznacza to: tabliczkę informacyjną przy wejściu (warstwa pierwsza) oraz pełną klauzulę dostępną np. w recepcji lub na stronie www (warstwa druga).
Ocena ryzyka
Monitoring wizyjny — szczególnie w miejscach z danymi wrażliwymi (szpitale, kliniki) — może wymagać przeprowadzenia DPIA. UODO wskazuje monitoring w miejscach publicznych jako operację wymagającą DPIA (lista operacji z 2019 r.).
Okres przechowywania nagrań
Nagrania powinny być przechowywane tylko tak długo, jak jest to niezbędne do realizacji celu. Kodeks pracy wskazuje maksymalnie 3 miesiące. Regulaminy monitoringu powinny określać konkretny okres — i system powinien automatycznie usuwać nagrania po jego upływie.
Zabezpieczenia techniczne
Dostęp do nagrań musi być ograniczony do osób upoważnionych. Serwer z nagraniami powinien być zabezpieczony fizycznie i logicznie. Transmisja danych z kamer powinna być szyfrowana. System powinien logować dostęp do nagrań.
Najczęstsze błędy
Kamery skierowane na miejsca, gdzie monitoring nie jest uzasadniony — szatnie, toalety, pokoje socjalne.
Nagrania przechowywane dłużej niż określa regulamin lub bez określonego terminu.
Tabliczki informacyjne bez wymaganych danych — brak informacji o administratorze, celu lub kontaktu do IOD.
Rejestr czynności przetwarzania nie obejmuje monitoringu wizyjnego.
DPIA nieprzeprowadzona mimo przetwarzania danych wrażliwych.
Dostęp do nagrań bez ograniczeń — każdy pracownik może obejrzeć nagrania.
Każdy z tych błędów oznacza niezgodność monitoringu wizyjnego z RODO i może skutkować karą administracyjną. Monitoring wizyjny RODO to obszar, w którym dokumentacja musi odpowiadać temu co dzieje się w praktyce. System iGDPR pomaga to uporządkować.
FAQ
Zależy od kontekstu. UODO wskazuje monitoring w miejscach publicznych i w podmiotach przetwarzających dane wrażliwe jako operacje wymagające DPIA. W szpitalach i klinikach — tak, DPIA jest wymagana.
Kodeks pracy wskazuje maksymalnie 3 miesiące. Okres powinien być określony w regulaminie monitoringu i odpowiadać celowi przetwarzania. Nagrania należy usuwać po upływie tego okresu.
Tak — art. 13 RODO wymaga informowania osób. W praktyce: tabliczka informacyjna przy wejściu (piktogram kamery, dane administratora, cel) plus pełna klauzula dostępna na żądanie.
Tak — na podstawie art. 15 RODO (prawo dostępu). Administrator musi udostępnić nagranie, zadbawszy o ochronę wizerunku innych osób (zamazanie, wycięcie).
Kara administracyjna do 20 mln EUR lub 4% obrotu (art. 83 ust. 5 RODO). UODO nakładał kary za brak informacji o monitoringu, nadmierny zakres i brak regulaminu.
Udokumentuj monitoring wizyjny w rejestrze czynności
iGDPR pozwala ująć monitoring jako czynność przetwarzania, powiązać z zasobami IT i klauzulami informacyjnymi, przeprowadzić DPIA i zarządzać retencją nagrań.
Testuj teraz — 21 dni bezpłatnie