Dyrektywa w sprawie ochrony danych osobowych znajduje zastosowanie do nagrań wideo rejestrowanych za pomocą kamery monitoringu zainstalowanej przez daną osobę na jej domu rodzinnym i skierowanej na drogę publiczną. Dyrektywa pozwala jednak na uwzględnienie uzasadnionego interesu tej osoby mającego na celu ochronę własności, zdrowia i życia jej oraz jej rodziny - orzekł Trybunał Sprawiedliwości Unii Europejskiej.

Dyrektywa w sprawie ochrony danych osobowych (Dz. U. UE z 1995 r. L 281, s. 31) pozwala co do zasady na przetwarzanie takich danych tylko wówczas, gdy osoba, której dane te dotyczą, wyraziła na to zgodę. Nie znajduje ona jednak zastosowania do przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze.

Czytaj: MSW: monitoring wizyjny z ograniczeniami i pod kontrolą>>>

František Ryneš i jego rodzina byli wielokrotnie celem ataków ze strony nieznanych sprawców, a dodatkowo kilkakrotnie wybito okna ich domu. W odpowiedzi na te ataki F. Ryneš zainstalował na domu jego rodziny kamerę monitoringu, która nagrywała wejście do tego domu, drogę publiczną, a także wejście do domu położonego naprzeciwko.

W nocy z dnia 6 na 7 października 2007 r. szyba w tym domu została wybita strzałem z procy. Nagranie z kamery, które zostało przekazane policji, pozwoliło na ustalenie tożsamości dwóch podejrzanych, przeciwko którym wszczęto postępowanie karne.

Jeden z podejrzanych zakwestionował jednak przed czeskim urzędem ds. ochrony danych osobowych zgodność z prawem przetwarzania danych zarejestrowanych na kamerze monitoringu F. Ryneša. Urząd uznał, że F. Ryneš rzeczywiście naruszył przepisy w zakresie ochrony danych osobowych i nałożył na niego grzywnę. W tym względzie urząd podniósł, między innymi, że dane podejrzanego zostały zarejestrowane bez jego zgody, kiedy przebywał on na drodze publicznej, tj. na odcinku ulicy znajdującej się przed domem F. Ryneša.

Nejvyšší správní soud (naczelny sąd administracyjny, Republika Czeska), przed którym toczy się postępowanie kasacyjne w sprawie pomiędzy F. Rynešem a urzędem, zwrócił się do Trybunału Sprawiedliwości z pytaniem, czy nagranie zarejestrowane przez F. Ryneša w celu ochrony jego życia, zdrowia i własności (tj. nagranie zawierające dane osobowe osób atakujących jego dom z drogi publicznej) stanowi przetwarzanie danych nieobjęte dyrektywą, ze względu na to, że nagranie to zostało wykonane przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze.

Czytaj: Projekt dot. monitoringu wizyjnego budzi kontrowersje>>>

W ogłoszonym wyroku Trybunał przypomniał w pierwszej kolejności, że pojęcie „danych osobowych” w rozumieniu dyrektywy obejmuje wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to każda osoba, której tożsamość można ustalić bezpośrednio lub pośrednio przez powołanie się na jeden bądź kilka szczególnych czynników określających jej fizyczną tożsamość. W konsekwencji obraz osoby zarejestrowany przez kamerę stanowi dane osobowe, ponieważ pozwala on ustalić tożsamość danej osoby.

Również nadzór kamer wideo, obejmujący nagrywanie oraz przechowywanie danych osobowych, wchodzi w zakres stosowania dyrektywy, ponieważ stanowi on zautomatyzowane przetwarzanie tych danych.

W drugiej kolejności Trybunał stwierdził, że odstępstwo ustanowione w dyrektywie dotyczące przetwarzania danych dokonywanego przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze powinno podlegać ścisłej wykładni. Tym samym, nadzór kamer wideo, który rozciąga się na przestrzeń publiczną i który w ten sposób jest skierowany poza sferę prywatną osoby przetwarzającej dane nie może być rozumiany jako „czynność o czysto osobistym lub domowym charakterze”.

Stosując tę dyrektywę, sąd krajowy powinien jednocześnie wziąć pod uwagę to, że jej przepisy pozwalają uwzględnić uzasadnione interesy administratora danych mające na celu ochronę własności, zdrowia i życia jego oraz jego rodziny.

W szczególności, po pierwsze, przetwarzanie danych osobowych może być dokonywane bez zgody osoby, której dane dotyczą, przede wszystkim w przypadku, gdy jest to konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych. Po drugie, dana osoba nie musi być poinformowana o przetwarzaniu jej danych, jeżeli byłoby to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Po trzecie, państwa członkowskie mogą ograniczyć zakres praw i obowiązków ustanowiony w dyrektywie, kiedy ograniczenie takie jest konieczne dla zabezpieczenia działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub ochrony praw i wolności innych osób.

Tak wynika z wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 11 grudnia 2014 r. w sprawie C-212/13 František Ryneš / Úřad pro ochranu osobních údajů.