PRZEWODNIK DOTYCZĄCY PRYWATNOŚCI DLA ODWIEDZAJĄCYCH BUDYNKI ZABEZPIECZONE URZĄDZENIAMI FIRMY ARLO
Zastrzeżenie: niniejszy przewodnik ma charakter jedynie informacyjny – nie zawiera kompletnego wykazu obowiązujących przepisów ani regulacji, nie stanowi również porady prawnej. Aby uzyskać konkretne wytyczne o charakterze prawnym dostosowane do indywidualnej sytuacji, należy skonsultować się z wykwalifikowanym prawnikiem.
Urządzenia firmy Arlo, w tym kamery, rejestrują materiały wideo i nagrania audio osób. Zgodnie z rozporządzeniem o ochronie danych osobowych 2016/679 („RODO”) takie informacje stanowią dane osobowe. Dlatego też korzystanie z urządzeń firmy Arlo może podlegać RODO. Mogą również obowiązywać inne przepisy, na przykład regulujące użytkowanie urządzeń rejestrujących, takich jak kamery przemysłowe lub inteligentne dzwonki do drzwi.
Na mocy tzw. wyłączenia użytku domowego właściciele urządzeń firmy Arlo, którzy są osobami fizycznymi przetwarzającymi dane osobowe tylko na użytek własny lub domowy, mogą zostać wyłączeni z RODO.
W przypadku gdy wyłączenie użytku domowego nie ma zastosowania, za zbieranie i przetwarzanie danych osobowych (takich jak materiały wideo i nagranie audio) odpowiada właściciel urządzeń firmy Arlo (administrator danych). Poniżej znajdują się informacje ogólne na temat sposobu przetwarzania danych osobowych w takich sytuacjach. Należy pamiętać, że dane osobowe mogą być przetwarzane na inne sposoby niż te opisane poniżej. Aby uzyskać informacje o przetwarzaniu swoich danych osobowych, należy skontaktować się z właścicielem urządzeń firmy Arlo.
SPOSÓB PRZETWARZANIA DANYCH OSOBOWYCH
1. ADMINISTRATOR DANYCH
Administratorem danych jest zazwyczaj operator urządzeń firmy Arlo, najczęściej ich właściciel („Właściciel”) – i to właśnie on jest odpowiedzialny za sposób przetwarzania danych osobowych przez urządzenia firmy Arlo.
2. PRZETWARZANE DANE OSOBOWE
2.1 Urządzenia firmy Arlo będą rejestrować materiał wideo i nagrania audio wszelkich osób odwiedzających monitorowane obiekty.
2.2 Jeśli właściciel aktywuje funkcję rozpoznawania twarzy, dodatkowo przetwarzane są dane biometryczne dotyczące osób w zarejestrowanym obszarze. W galerii „znanych twarzy” dostępnej dla właściciela zapisywane jest zdjęcie osoby wraz z danymi biometrycznymi i oznaczeniem „znanej twarzy”, co pozwala urządzeniu firmy Arlo rozpoznanie jej, gdy pojawi się w monitorowanym przez nie obszarze w przyszłości. O pojawieniu się rozpoznanej osoby w monitorowanym obszarze właściciel zostanie powiadomiony automatycznie. Firma Arlo Europe nie ma dostępu do galerii „znanych twarzy”.
3. POWÓD I PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH
3.1 W większości przypadków urządzenia firmy Arlo służą do wykrywania kradzieży, włamań, aktów wandalizmu i przeciwdziałania im lub w innych podobnych celach. Jest to często oparte na prawnie uzasadnionym interesie właściciela ochrony własności i przeciwdziałaniu przestępstwom. Jeśli użytkownik chce wiedzieć, czy właściciel nie chroni swoich praw kosztem jego praw, powinien się z nim skontaktować.
3.2 Jeśli właściciel włączy funkcję rozpoznawania twarzy, powinien uzyskać zgodę użytkownika na przetwarzanie takich danych.
3.3 Jeśli użytkownik nie wie, na jakiej podstawie prawnej właściciel jako administrator danych zbiera i przetwarza dane, powinien go o to zapytać.
4. ODBIORCY DANYCH I PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH
Firma Arlo Europe przetwarza dane osobowe na terenie UE/EOG. W niektórych okolicznościach firma Arlo Europe może potrzebować przekazać dane osobowe użytkownika do państwa spoza UE/EOG („Państwo trzecie”). W przypadku przekazania danych osobowych użytkownika do państwa trzeciego firma Arlo Europe zapewni, że dane osobowe użytkownika będą nadal podlegały zasadniczo równoważnemu poziomowi ochrony jak na terenie UE/EOG.
Firma Arlo przekazuje dane osobowe użytkownika do odbiorców w Wielkiej Brytanii i Szwajcarii, które podlegają decyzji Komisji UE stwierdzającej odpowiedni poziom ochrony. Oznacza to, że Komisja UE uznała, że poziom ochrony danych w tych krajach jest zasadniczo równoważny z poziomem ochrony zapewnianym w UE/EOG, a zatem możliwe jest przekazywanie danych osobowych do tych krajów bez stosowania dodatkowych zabezpieczeń. W przypadku gdy odbiorca danych osobowych przetwarza dane na terenie Stanów Zjednoczonych i jest objęty programem EU-US Data Privacy Framework (Ramy ochrony danych między UE i USA), polegamy na decyzji Komisji UE stwierdzającej odpowiedni poziom ochrony pozwalający na przekazywanie danych.
Gdy przekazujemy dane osobowe do państwa trzeciego, które nie jest objęte decyzją stwierdzającą odpowiedni poziom ochrony, lub gdy odbiorca nie jest objęty programem EU-US Data Privacy Framework (Ramy ochrony danych między UE i USA), stosujemy odpowiedni mechanizm przekazywania, czyli stosowne zabezpieczenia zapewniające zasadniczo równoważny poziom ochrony danych w Państwie trzecim, zgodnie z informacjami podanymi w poniższej tabeli.
Państwo spoza UE/EOG: | Odpowiednie zabezpieczenia: |
USA | Standardowe klauzule umowne. |
PRZECHOWYWANIE
Dane osobowe powinny być przechowywane wyłącznie przez czas wymagany do realizacji celu, do którego są potrzebne. Co do zasady dane osobowe są domyślnie usuwane po upływie 30 dni. Dokładny okres przechowywania danych osobowych określa właściciel. Aby zatem poznać okres przechowywania swoich danych osobowych, należy zapytać właściciela.
5. PRAWA UŻYTKOWNIKA
Jeśli dane osobowe użytkownika są przetwarzane przez właściciela, użytkownik jako podmiot, którego dane dotyczą, ma określone prawa względem właściciela jako administratora danych. Prawa te opisano w niniejszej części dokumentu. Użytkownik, który chce wykonać swoje prawa, powinien skontaktować się z Właścicielem.
5.1 Prawo użytkownika do dostępu, sprostowania i usunięcia danych oraz ograniczenia ich przetwarzania
5.1.1 Użytkownik ma prawo zażądać:
a) Dostępu do swoich danych osobowych. Oznacza to, że użytkownik ma prawo żądać dostępu do danych osobowych, które właściciel przechowuje na jego temat. Użytkownik ma również prawo do uzyskania, bez ponoszenia jakichkolwiek kosztów, informacji o tym, jakie dane osobowe właściciel przetwarza na jego temat. Właściciel ma prawo naliczyć uzasadnioną opłatę administracyjną w przypadku zażądania dodatkowych kopii.
b) Sprostowanie danych osobowych. Na życzenie użytkownika właściciel musi korygować, anonimizować, usuwać lub uzupełniać dane, które według jego wiedzy będą niedokładne, niekompletne lub mylne. Ponadto użytkownik ma prawo do uzupełnienia niekompletnych danych osobowych, jeśli brakuje w nich jakichkolwiek istotnych elementów.
c) Usunięcie danych osobowych. Użytkownik ma prawo zażądać od właściciela usunięcia jego danych osobowych, jeśli nie istnieje żaden istotny powód, dla którego właściciel miałby kontynuować ich przetwarzanie. Istotne powody do dalszego przetwarzania są następujące:
i. Przetwarzanie jest niezbędne w odniesieniu do prawa do wolności wypowiedzi i informacji,
ii. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego,
iii. przetwarzanie jest niezbędne ze względu na interes publiczny w zakresie zdrowia publicznego,
iv. przetwarzanie jest niezbędne do celów archiwizacji w interesie publicznym, celów badań naukowych lub historycznych bądź celów statystycznych lub
v. przetwarzanie jest niezbędne do ustalenia, wykonania lub obrony roszczeń prawnych.
5.1.2 Dane osobowe użytkownika powinny zostać usunięte, jeśli żadna z powyższych okoliczności nie będzie miała zastosowania oraz jeśli:
i. Dane osobowe nie są już potrzebne do celów, dla których właściciel je zebrał,
ii. właściciel przetwarza dane osobowe użytkownika na podstawie udzielonej przez niego zgody, a jego zgoda została wycofana,
iii. użytkownik wnosi sprzeciw wobec przetwarzania przez właściciela jego danych osobowych, który opiera się na ocenie prawnie uzasadnionego interesu, a Właściciel nie ma żadnych istotnych interesów, które są nadrzędne wobec jego interesów bądź praw i wolności,
iv. właściciel przetwarzał dane osobowe niezgodnie z prawem lub
v. właściciel ma prawny obowiązek usunięcia danych osobowych.
d) Prawo do ograniczenia przetwarzania. Oznacza to, że czasowo właściciel ogranicza przetwarzanie danych użytkownika. Użytkownik ma prawo żądać ograniczenia, gdy:
i. uważa, że jego dane osobowe są niedokładne, i zażądał ograniczenia, natomiast właściciel uważa, że są one dokładne,
ii. przetwarzanie jest niezgodne z prawem, a użytkownik nie chce, aby dane zostały usunięte,
iii. jako administrator danych osobowych właściciel nie musi już przetwarzać danych osobowych w swoich celach przetwarzania, ale są one potrzebne do ustalenia, wykonania lub obrony roszczeń prawnych,
iv. zgłosił sprzeciw wobec przetwarzania w trakcie oczekiwania na naszą ocenę, czy prawnie uzasadnione interesy właściciela są ważniejsze niż prawnie uzasadnione interesy użytkownika.
5.1.3 W przypadku skorygowania, usunięcia lub ograniczenia danych osobowych na żądanie użytkownika właściciel powinien podjąć wszelkie rozsądne działania, aby powiadomić o tym wszystkich, którzy je otrzymali.
5.2 Prawo użytkownika do sprzeciwu wobec przetwarzania
5.2.1 Użytkownik ma prawo do wniesienia sprzeciwu wobec przetwarzania jego danych osobowych, jeśli są one przetwarzane na podstawie prawnie uzasadnionego interesu lub wykonywania zadania realizowanego w interesie publicznym. Jeśli użytkownik zgłosi sprzeciw wobec takiego przetwarzania, właściciel może nadal przetwarzać dane użytkownika wyłącznie w przypadku, gdy będzie mieć ku temu ważne powody, które będą nadrzędne wobec interesów użytkownika lub praw i wolności, lub też gdy przetwarzanie będzie niezbędne do ustalenia, wykonania lub obrony roszczeń prawnych.
5.2.2 Jeśli użytkownika nie życzy sobie, aby właściciel wykorzystywał jego dane osobowe na potrzeby marketingu bezpośredniego, zawsze może z niego zrezygnować.
5.3 Prawo użytkownika do wycofania zgody
Jeśli dane osobowe użytkownika są przetwarzane na podstawie zgody użytkownika, użytkownikowi zawsze przysługuje prawo do jej wycofania. Można to zrobić w każdej chwili, kontaktując się z Właścicielem.
5.4 Prawo użytkownika do przenoszenia danych
5.4.1 Użytkownik ma prawo do przeniesienia danych, gdy jego dane osobowe są przetwarzane na podstawie jego zgody lub wykonywania przedmiotu umowy.
5.4.2 Prawo do przenoszenia danych oznacza, że użytkownik ma prawo do otrzymania danych osobowych przetwarzanych na jego temat w formacie możliwym do odczytania przez komputer, który umożliwia przeniesienie tych danych osobowych do innego administratora danych. Można również zażądać przekazania danych osobowych bezpośrednio do innego administratora danych.
5.5 Prawo użytkownika do złożenia skargi do organu nadzorczego
Użytkownik ma prawo do zgłoszenia skargi do organu ochrony danych w miejscu zamieszkania lub świadczenia pracy, lub w miejscu, w którym według niego doszło do naruszenia postanowień RODO.
6. ABY UZYSKAĆ SZCZEGÓŁOWE INFORMACJE, NALEŻY SKONTAKTOWAĆ SIĘ Z WŁAŚCICIELEM URZĄDZEŃ FIRMY ARLO
Właściciel urządzeń Arlo jest odpowiedzialny za udzielenie użytkownikowi wszelkich stosownych informacji dotyczących przetwarzania danych osobowych użytkownika. Aby uzyskać szczegółowe informacje, należy skontaktować się z właścicielem.