Monitoring wizyjny zgodny z RODO

Monitoring wizyjny to narzędzie coraz powszechniej wykorzystywane w codziennym życiu. Monitorujemy parki, skrzyżowania, wystawy sklepowe, osiedla, lokale, mieszkania, centra handlowe i wiele innych lokalizacji. Powoli przyzwyczajamy się do wszechobecnych kamer.

Monitoring na ulicy — Zdjęcie aut. Frederic Bartl z serwisu Pexels

Problem polega na tym, że monitoring bardzo często prowadzony jest niezgodnie z prawem. Popełnianych błędów jest wiele, a najważniejsze z nich to:

zbyt szeroki obszar obserwacji,
brak stosownych komunikatów o obecności kamer,
niewystarczające informacje o tożsamości administratora,
brak procedury obsługi uprawnień osób monitorowanych,
zbyt długi okres przechowywania nagrań,
niewystarczające środki bezpieczeństwa,
dostęp do nagrań przez osoby nieuprawnione.

O wszystkich tych błędach oraz sposobach na ich uniknięcie porozmawialiśmy wspólnie z Kasią Krzywicką, adwokat i inspektor ochrony danych osobowych, oswajającą paragrafy z niegasnącą pasją, energią i zaangażowaniem.

Naszą rozmowę zatytułowaliśmy „Monitoring wizyjny – największe wyzwanie 2020 roku”. Ten tytuł to nie tylko sposób na przyciągnięcie uwagi. Oboje jesteśmy przekonani, że kwestie prawne związane z monitoringiem będą bardzo ważne w 2020 r.

Coraz więcej o wideo-nadzorze mówi się w mediach, coraz częściej na ten temat wypowiadają się prawnicy, wystarczy poczekać jeszcze tylko na pierwszą karę nałożoną przez PUODO w związku z monitoringiem, a wulkan wybuchnie, boleśnie raniąc tych, którzy do tej pory wzruszali ramionami, nie przejmując się szczególnie zgodnym z prawem wdrożeniem monitoringu wizyjnego.

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie.

Podcast o monitoringu wizyjnym

Poniżej znajdziesz odtwarzacz, który pozwoli ci odsłuchać rozmowę. To 36. odcinek podcastu „Prawo dla kreatywnych”. Jeżeli wolisz czytać, oddaję w twoje ręce również artykuł poświęcony monitoringowi wizyjnemu. Nie jest to transkrypcja rozmowy, ale niezależnie stworzony tekst, więc tak naprawdę możesz te dwa źródła traktować uzupełniająco. Smacznego!

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

RODO nie wymyśliło monitoringu wizyjnego

Jak trafnie stwierdziła w naszej rozmowie Kasia Krzywicka, RODO nie wymyśliło monitoringu wizyjnego. Dotyczy to zresztą wielu innych zagadnień, o których upierdliwość ludzie obwiniają RODO.

To wcale nie jest tak, że pojawiło się RODO, a wraz z nim problemy. Te problemy były już dużo wcześniej, ale ogólne zainteresowanie danymi osobowymi wywołane RODO sprawiło, że dopiero teraz zaczęliśmy zwracać uwagę na wiele ważnych kwestii, które wcześniej były pomijane.

Tak samo jest z monitoringiem. Jeżeli chodzi o wyzwania prawne z nim związane, to tak naprawdę RODO nie wprowadziło żadnej rewolucji. Większość obowiązków występowała już na gruncie poprzednio obowiązujących przepisów, tyle że nikt tym po prostu szczególnie się nie przejmował.

Dzisiaj nie ma już wątpliwości, że monitorowanie jest kwestią, do której trzeba podejść uważnie pod kątem regulacji poświęconych danym osobowym. Ba, razem z Kasią twierdzimy, że 2020 r. będzie tym momentem, gdy monitoring już na dobre wejdzie na salony i będzie zajmował umysły przedsiębiorców, prawników i organów nadzorczych.

2020 rokiem monitoringu wizyjnego — Zdjęcie aut. cottonbro z serwisu Pexels

Dlatego zachęcam cię do uważnej lektury tego artykułu lub odsłuchu rozmowy. To przydatna wiedza, którą warto byś przyswoił. Nawet jeżeli sam nie monitorujesz, to możesz być przecież monitorowany. Dobrze wiedzieć, jak taki monitoring powinien być realizowany zgodnie z prawem.

Monitoring wizyjny nie jest zakazany

Zacznijmy od najważniejszego. To nie jest tak, że od wejścia w życie RODO monitoring jest nielegalny. Absolutnie nie!

RODO nie zakazuje prowadzenia monitoringu. RODO uznaje jedynie monitorowanie za czynność przetwarzania danych osobowych i nakazuje spełnić określone obowiązki, by było ono zgodne z prawem.

Jakie to obowiązki? Już mówię.

Cel monitoringu wizyjnego

Po pierwsze, monitoring musi mieć swój uzasadniony cel. Instalacja kamer nie może być jakimś widzimisię, ale musi wynikać z realnej potrzeby.

Ta realna potrzeba to w żargonie danych osobowych prawnie uzasadniony interes realizowany przez administratora danych osobowych, w skrócie UIA.

UIA to jedna z podstaw przetwarzania danych osobowych, o których mowa w art. 6 ust.1 RODO. Jeżeli chcesz przetwarzać dane osobowe, musisz to robić w oparciu o jakąś podstawę prawną. Jeżeli takiej podstawy nie masz, przetwarzanie danych jest bezprawne.

Art. 6 RODO

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Nie wystarczy jednak powiedzieć, że instalujesz kamery, bo realizujesz w ten sposób swój uzasadniony interes. Musisz jeszcze być w stanie wytłumaczyć, na czym ten interes polega.

Najczęściej występującym celem monitoringu jest zapewnienie bezpieczeństwa lub ochrona mienia. Instalujemy kamery, bo chcemy czuć się bezpieczenie, unikać dewastacji, kradzieży, zabezpieczać ważne dla nas rzeczy.

Monitoring wizyjny a test równowagi

Cel monitoringu w postaci zapewnienia bezpieczeństwa lub ochrony mienia jest jak najbardziej w porządku. Nie wystarczy jednak, że pomyślisz sobie o tym celu w swojej głowie. Nie wystarczy nawet, gdy wstaniesz i opowiesz o tym głośno.

Żeby wypełnić zasadę rozliczalności wprowadzoną przez RODO, twój proces myślowy przy identyfikowaniu celu monitoringu, powinien zostać spisany w ramach testu równowagi.

Test równowagi przy monitoringu wizyjnym — Zdjęcie aut. Pixabay z serwisu Pexels

Test równowagi to dokument, który powstaje w ramach wdrożenia ochrony danych osobowych i dokumentuje proces myślowy administratora prowadzący do stwierdzenia, że może w ramach konkretnych operacji przetwarzania opierać się na swoim uzasadnionym interesie.

Test równowagi ma wykazać, że zidentyfikowany cel jest konkretny, jasny i rzeczywiście niezbędny, a jednocześnie, że jego istotność góruje nad prawami, wolnościami i interesami osoby, której dane są przetwarzane.

O teście równowagi można byłoby napisać oddzielny artykuł, a pewnie i książkę, więc na dzisiaj daruję sobie dalsze szczegóły. Chciałem ci jedynie zasygnalizować konieczność przeprowadzenia takiego testu, ale bez wchodzenia w szczegóły.

Dzisiaj spotykamy się tutaj z powodu monitoringu i mamy jeszcze mnóstwo tematów do omówienia, dlatego nie będzie cię zamęczał szczegółami dotyczącymi testu równowagi.

Może powiem jeszcze tylko to, co Kasia podkreślała również w toku naszej rozmowy. W ramach testu równowagi musisz zastanowić się, przede wszystkim, czy cel, który chcesz osiągnąć, nie możesz zrealizować w inny sposób niż poprzez instalację kamer.

Najbezpieczniej, gdy będziesz myślał o monitoringu jako o ostateczności, gdy wszystko inne zawodzi. Fajnie opowiedziała o tym Kasia w naszej rozmowie, więc jeszcze raz zachęcam cię do odsłuchu.

Obszar instalacji kamer

Wiesz już, że monitoring wizyjny wymaga dokładnego przemyślenia celu jego instalacji i zbudowania stosownej argumentacji w ramach testu równowagi. To jeszcze bynajmniej nie koniec obowiązków.

Tematem mocno powiązanym z testem równowagi jest obszar instalacji kamer i ich zasięg. To nie jest tak, że zdiagnozowany cel stosowania monitoringu uprawnia do kontroli totalnej. Wręcz przeciwnie, ustalony cel wpływa również na zasięg kamer.

Przykładowo, jeżeli monitoring ma zapewnić bezpieczeństwo na terenie parkingu pod blokiem, to objęcie zasięgiem kamer okien w budynku będzie nadużyciem. Bezpieczeństwo nie ma przecież nic wspólnego z utrwalaniem na nagraniach życia ludzi z mieszkania, którego okna znalazły się w zasięgu kamer.

Parking monitorowany — Zdjęcie aut. Stephan Müller z serwisu Pexels

Decydując się zatem na instalację monitoringu, należy dążyć do jak najmniej inwazyjnego rozmieszczenia kamer. Tak by nie rejestrowały one tego, co nie ma nic wspólnego z ustalonym celem monitoringu.

Monitoring wizyjny a obowiązek informacyjny

Z punktu widzenia osób obserwowanych, kluczowa jest sama świadomość objęcia danego terenu monitoringiem. Każdy z nas ma prawo wiedzieć, kiedy wielki brat czuwa i rejestruje nasze zachowania na określonym obszarze.

Osoba monitorowana powinna zostać o tym fakcie poinformowana już przy samym wejściu na obszar objęty kamerami. Informacja ma być uprzednia, a nie następcza.

Kasia podała w naszej rozmowie fajny przykład, gdy informacja o kamerach pojawia się dopiero po przejściu już jakiejś znacznej przestrzeni monitorowanej, podczas gdy powinna znaleźć się już na samym początku.

Jeżeli chodzi o sam zakres informacji, to monitoring wymaga spełnienia obowiązku informacyjnego z art. 13 RODO.

Art. 13 RODO

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) 24) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jak widzisz, obowiązek informacyjny jest bardzo obszerny. W ekstremalnym wydaniu może przybrać nawet dwie strony tekstu. Nie oznacza to bynajmniej, że na tabliczkach informujących o kamerach musisz uwzględniać wszystko z art. 13.

Obowiązek informacyjny możesz, a nawet powinieneś, realizować warstwowo. Pierwsza warstwa może obejmować podstawowe informacje typu tożsamość administratora oraz odesłanie do szczegółów, które mogą być dostępne np. na stronie internetowej, w recepcji czy jeszcze w jakiś inny sposób pozwalający na spokojnie się z nimi zapoznać.

Te szczegóły dostępne w innym miejscu to właśnie druga warstwa informacyjna. Czyli pełen dokument z obowiązek informacyjnym.

Zatem twoja tabliczka o monitorowaniu nie musi być na pół płotu. Uczyń z niej jedynie pierwszą warstwę, a wszelkie wymagane szczegóły uwzględnij w ramach drugiej warstwy.

Prezent dla subskrybentów newslettera

Doceniam swoich stałych czytelników, udostępniając im dodatkowe materiały do blogowych materiałów. Dodatkiem do tego artykułu jest wzór dokumentu z obowiązkiem informacyjnym dotyczącego monitoringu wizyjnego.

Jeżeli jesteś subskrybentem newslettera, powinna już być u ciebie wiadomość z dodatkiem. Jeżeli jeszcze nie jesteś na mojej liście, zapisz się teraz, a otrzymasz dodatkowy dokument prosto na swoją skrzynkę e-mail.

Uprawnienia osób obserwowanych

Z obowiązkiem informacyjnym wiążą się również uprawnienia osób obserwowanych. W ramach klauzuli informacyjnej masz obowiązek przedstawić osobie obserwowanej uprawnienia, jakie przysługują jej w związku z tym, że przetwarzasz jej dane osobowe. Mowa o o prawach do:

żądania dostępu do danych osobowych dotyczących osoby,
sprostowania danych,
usunięcia danych,
ograniczenia przetwarzania danych,
wniesienia sprzeciwu wobec przetwarzania.

Pamiętaj, że na samym poinformowaniu może się nie skończyć. Jeżeli ktoś będzie chciał skorzystać ze swoich uprawnień i skontaktuje się z tobą w tej sprawie, musisz być gotowy na obsługę takiego żądania.

Realizacja uprawnień z RODO — Zdjęcie aut. Burst z serwisu Pexels

Przykładowo, Jan Kowalski pisze do ciebie, że chciałby się dowiedzieć czy jest na nagraniu z dnia 5 listopada. Czy będziesz wiedzieć, jak mu odpowiedzieć? A co w sytuacji, gdy ten sam pan Jan zażąda usunięcia jego danych z nagrań?

Rozmawiamy o tym szczegółowo z Kasią w ramach podcastu. Zachęcam cię do odsłuchu, ponieważ sposób zachowania w obliczu żądań wysuwanych przez osoby obserwowane jest jednym z większych wyzwań związanych z monitoringiem.

Dostęp do nagrań z monitoringu

Pamiętaj, że prawo dostępu do danych osobowych nie jest równoznaczne z koniecznością wydawania nagrań każdemu, kto się po nie zgłosi. Wręcz przeciwnie, nieprzemyślane udostępnianie nagrań będzie najczęściej nieuprawnionym udostępnieniem danych osobowych.

Przykładowo, jeżeli zgłosi się do ciebie Pan Marek, który poprosi o nagrania z parkingu by ustalić sprawę kradzieży jego roweru, to w pierwszym odruchu, kierując się chęcią niesienia pomocy, możesz mieć pokusę rzeczywiście mu takie nagrania wydać.

Razem z Kasią jesteśmy zgodni, że w takiej sytuacji powinieneś poinformować Pana Marka, że zabezpieczysz stosowne nagrania żeby nie doszło do ich usunięcia, ale samego dostępu udzielisz dopiero, gdy zgłosi się do ciebie w tej sprawie policja.

Monitoring nie może służyć dowolnemu realizowaniu swoich interesów przez różne osoby, choćby te interesy rzeczywiście były uzasadnione. Dlatego warto żebyś przygotował politykę i procedurę uzyskiwania dostępu do nagrań. Raz stworzony dokument pozwoli ci z łatwością ustalić ścieżkę postępowania na wypadek sytuacji, jakie mogą mieć miejsce.

Termin przechowywania nagrań z monitoringu

Nagrania z monitoringu nie mogą być przechowywane dożywotnio. Wręcz odwrotnie, powinnny być przechowywane możliwie krótko. W przepisach o monitoringu w zakładzie pracy i oświacie pojawia się termin 3-miesięczny. Uznawany jest on za pewien wyznacznik również w innych przypadkach.

Ja polecam traktować go jako termin maksymalny. Osobiście uważam, że w wielu przypadkach 3 miesiące to za długo. Jeżeli miałbym wskazywać jakiś zdrowy standard, to raczej skłaniałbym się ku dwóm tygodniom.

Termin przechowywania nagrań z monitoringu nie może być przypadkowy. Ustalony przez siebie okres powinieneś racjonalnie uzasadnić. Najlepiej w ramach spisanego dokumentu. Możesz wykorzystać w tym zakresie wspominany już wcześniej test równowagi.

Tak naprawdę, im krótszy ustalisz termin, tym lepiej dla ciebie. Wyobraź sobie, że zgłasza się do ciebie Pan Józek z żądaniem usunięcia jego danych (wizerunku) z nagrań z monitoringu.

Przy odpowiednio ustalonym okresie przechowywania tych nagrań, w większości przypadków będziesz Panu Józkowi w stanie odpisać, że nagrania ze wskazywanego przez niego okresu zostały już usunięte. Czyż to nie lepiej niż tłumaczyć, że z uwagi na swój uzasadniony interes nie usuniesz jeszcze w tym momencie jego wizerunku?

Bezpieczeństwo zapisów z monitoringu wizyjnego

Ostatnią kwestią, którą chciałbym dzisiaj poruszyć, to bezpieczeństwo nagrań. Chodzi oczywiście o to by system obsługujący monitoring został zabezpieczony przed dostępem osób nieuprawnionych.

Co z tego, że będziesz na co dzień stosować bardzo restrykcyjną politykę uzyskiwania wglądu do nagrań, podczas gdy np. dostęp do monitoringu będzie możliwy z poziomu niezabezpieczonej aplikacji w telefonie komórkowym.

W ramach wdrożenia monitoringu musisz zatem podjąć takie kroki, które zapewnią bezpieczeństwo systemu obsługującego monitoring. Zastosowane środki powinny zostać wskazane w rejestrze czynności przetwarzania w ramach opisów poświęconych monitoringowi jako czynności przetwarzania danych.

Często środki te wskazywane są również w analizie ryzyka oraz polityce ochrony danych osobowych. To już jednak kwestia przyjętych praktyk związanych z realizacją wdrożenia ochrony danych osobowych.

Potrzebujesz indywidualnej pomocy w zakresie monitoringu wizyjnego? A może w ogóle chcesz popracować nad ochroną danych osobowych w twojej działalności?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Jeżeli nie robiłeś z danymi osobowymi jeszcze totalnie nic, być może dobrym rozwiązaniem na początek będzie pakiet RODO.

Monitoring wizyjny zgodny RODO – podsumowanie

To był bardzo długi artykuł. Jeżeli przeczytałeś go w całości, dziękuję za uwagę i mam nadzieję, że przedstawiona wiedza okazała się dla ciebie przydatna.

Jeżeli tylko przeskanowałeś nagłówki i wybrane fragmenty, to również jest w porządku. Liczę, że wrócisz tutaj gdy będziesz mierzył się z wdrożeniem monitoringu.

Zachęcam cię również do odsłuchu rozmowy z Kasią Krzywicką w ramach 36. odcinka podcastu. Ten artykuł nie jest transkrypcją, a więc możesz traktować te dwa formaty jako uzupełniające się.

Jeżeli chodzi o podsumowanie artykułu, to tak naprawdę znajduje się ono już na samym początku, gdzie wylistowałem najczęstsze błędy popełniane przy instalacji monitoringu. W dalszej kolejności opisałem, w jaki sposób tych błędów uniknąć. Dla twojej wygody powtarzam jeszcze raz listę tych błędów w tym miejscu:

zbyt szeroki obszar obserwacji,
brak stosownych komunikatów o obecności kamer,
niewystarczające informacje o tożsamości administratora,
brak procedury obsługi uprawnień osób monitorowanych,
zbyt długi okres przechowywania nagrań,
niewystarczające środki bezpieczeństwa,
dostęp do nagrań przez osoby nieuprawnione.

Prezent dla subskrybentów newslettera

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.