Обработване на лични данни посредством видеонаблюдение
В тези времена на технологично
развитие и насищане на пазара с все по-качествени и по-иновативни технологии,
включително камерите за видеонаблюдение, се дава възможност на частните лица и
компаниите да се възползват от тях с оглед на това да подобрят и същевременно
да защитят техните жилища и бизнес.
С увеличаващото се
количество на биометричните технологии, използващи лицево разпознаване, разпознаване
на формата зениците, ретината, тялото и т.н., видеонаблюдението става все
по-достъпно и лесноприложимо. Наред с това, намаляването на размера на
устройствата за наблюдение, развитието на характеристиките им като подобряване
на качеството на направените снимки/записи, осигурява значителна по обем лична
информация, което неиминуемо поражда риск отностно нейното правилно и
по-нататъшно обработване.
Обработване на лични данни чрез видеонаблюдение
С цел терминологична яснота
е нужно да бъде изведено определението касаещо понятието „лични данни”, както и
да се определи какво означава процесът по обработване на тези лични данни.
Съгласно новата европейска регламентация
в областта на защитата на личните данни, постигната чрез Регламент 2016/679/ЕС,
лични данни представляват всяка информация,
свързана с идентифицирано физическо лице или физическо лице, което може да бъде
идентифицирано пряко или непряко, по-специално чрез идентификатор като име,
идентификационен номер, данни за местонахождение, онлайн идентификатор или по
един или повече признаци, специфични за физическата, физиологичната,
генетичната, психическата, умствената, икономическата, културната или социална
идентичност на това физическо лице.
От друга страна обработването
на лични данни съгласно дефиницията, дадена в чл.4 от GDPR представлява всяка операция или съвкупност от операции, извършвана с лични
данни или набор от лични данни чрез автоматични или други средства като
събиране, записване, организиране,
структуриране, съхранение, адаптиране или промяна, извличане, консултиране,
употреба, разкриване чрез предаване, разпространяване или друг начин, по който
данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване
или унищожаване.
Въз основа на посочените
определения, може да се заключи, че видеозаписите от средствата за наблюдение
съдържат "лични данни" или "лична информация", тъй като
съдържат информация, която по смисъла на чл. 4 от GDPR е способна да разкрие
физическата идентичност на лицето, което е записано. Именно в този ред на мисли
КЗЛД, чрез свое становище, определи, че за обработването на лични данни чрез
създаване на видеозаписи, е необходимо да се създаде нов, самостоятелен
регистър наречен „Видеонаблюдение”[1].
Трябва да се спомене, че не
всяко видеонаблюдение, респективно видеозаснемане попада под обхвата на
Регламент 2016/679/ЕС, тоест представлява обработване на лични данни. Именно новата европейска регламентация в областта на личните данни определя биометричните данни[2],
обработвани чрез специфични технически средства, позволяващи индивидуализацията
на дадено лице, като една от категориите чувствителни лични данни, които от
своя страна са посочени в чл.9, параграф 1 от GDPR. Това означава, че една снимка или видеозапис, който е заснет от охранителна камера в
офиса, във входа или подстъпите на сградата не могат да се клалифицират като
биометрични данни, тъй като това само по себе си не може да доведе до
разпознаването на самоличността на дадено лице, следователно и не е необходимо
да се изисква съгласието от него. Тази теза, че видеозаснемането с охранителни
цели не представлява обработване на лични данни, се подкрепя от редица
изтъкнати юристи[3],
които черпят правното си основание от член 23, ал.1. буква „в” и „з” от GDPR, отнасящи се към
обществената сигурност и извършването на наблюдение.
Видеонаблюдението обаче не
може да бъде безпределно. Така например за един работодател, с цел да предпази
бизнеса си от кражби и да защити неговите интереси, се поражда необходимостта
да изгради видеонаблюдение, чрез което да наблюдава служителите и клиентите си.
Работодателят, явяващ се в случая администратор на лични данни, трябва да
обоснове своя интерес от обработването на личните данни посредством
видеонаблюдението. Това той може да го обоснове или чрез негов легитимен
интерес, тоест най-просто казано, че неговият интерес в случая трябва да се
постави над интереса на заснеманото лице, или чрез вземане на изрично съгласие на
служителите, като това може да се постигне с подписването на „Декларация за даване на съгласие от служител
за обработване на лични данни чрез видеонаблюдение”, или с предвидена в
трудовия договор клауза. Тук е и моментът да бъде споменато, че за извършване
на видеозаснемане, е необходимо да се извърши обстойна и качествена оценка на
въздействие, която да определи какво наблюдение се изисква, при какви
обстоятелства и какви рискове могат да се породят за заснеманите субекти,
респективно техните лични данни.
Администратори, които имат право да обработват лични данни
посредством видеонаблюдение
Видеозаписите представляват
сами по себе си „лични данни”, тъй като чрез тях едно лице може да бъде
индивидуализирано в обществото, беше доказно също така, че чрез видеонаблюдението
се извършва обработване на лични данни. Всичко това предполага да се отговори на
въпроса кой всъщност има право да извършва видеонаблюдение?
Поначало, право да извършва
видеонаблюдение притежават търговците или юридическите лица, които по един или
друг начин биват лицензирани за извършването на частно охранителна дейност. Тоест
това е дейността по охрана на обекти, мероприятия и на лица, и по-конкретно
техните права и законни интереси от противоправни посегателства. Съгласно чл.
24, ал.2, т.5 от Закона за частната охранителна дейност[4]
видеокамерите представялват едно от техническите средства, чрез които бива
организирана охранителната дейност. Тоест на законово ниво на тези лица им е
позволено да изградят видеонаблюдение, което е с цел охрана и защита на
охранявания обект или лице, като тук самият закон урежда, че в срок най-късно
до 30 дни от съставянето на самия запис, се съставя протокол, чрез който
записът бива унищожен, освен ако той не съдържа кадри за извършено
престъпление.
Право да се извършват
видеонаблюдение притежават и определени държавни институции и органи на
местното самоуправление. Така например са изградени системи за видеонаблюдение
в общините, различните министерства и др., като целта, разбира се, е самото
видеонаблюдение да представлява в случая вид превантивна мярка, която осигурява
допълнително нужната сигурност, необходима за нормалното функциониране на
дадените институции.
Извън горепосочените случаи,
видеонаблюдение може да бъде извършвано само при наличие на нормативно
основание или при дадено изрично съгласие от страна на конкретните субекти на
лични данни. Всеки един човек има правото да изгради видеонаблюдение, което да
му помогне да защити дома или бизнеса си. Както беше споменато по-горе в
настоящата статия, за да може видеонаблюдението да е коректо и законно,
администраторът трябва да може да докаже нормативно основание, каквото
представлява легитимният интерес съгласно член 6, ал.1, буква „е” от Регламент
2016/679/ЕС, а именно такова основание за обработка на лични данни, което има
почти незабележимо въздействие върху неприкосновеността на личния живот на субектите
на личните данни, или интересът на администратора да е по-голям от този на
субекта на личните данни. Самият легитимен интерес е може би най-гъвкавият способ
за обосноваване на дейността по обработване на лични данни, защото при него
един администратор на лични данни може да не изисква въобще съгласие , с цел да
защити своите интереси и права. В този ред на мисли, веднъж релевирано, това
основание може да бъде и най-„силното” такова за обработване на лични данни в
сравнение с останалите, изброени в чл.6, ал.1 от Регламента. Легитимният интерес
трябва да бъде конкретен, насочен към обработване на конкретни лични данни.
Освен това той трябва да бъде пропорционален на целите на администратора и,
разбира се, трябва да е основателен. Примери за легитимен интерес може да
представляват проверка на лични данни на дадено лице, необходими за
предварително проучване преди да се сключи окончателен договор, така също и
прехвърлянето на лични данни на потребители от даден уебсайт към хостинг
компания, осигуряваща необходимата поддръжка на уебсайта. Пример за легитимен
интерес може да е и видеонаблюдението, като то не трябва да нарушава личното
пространство и гарантираната от Конституцията на Република България (КРБ)
неприкосновенност на едно лице. В тази трета хипотеза на администратори, които
имат право да обработват лични данни посредством видеонаблюдение е и вземането
на изрично съгласие от субекта на лични данни, явяващо се и алтернатива на
легитимния интерес. Даването на сългасие по чл. 6, пар.1, буква „а” от
Регламент 2016/679/ЕС е най-слабото основание за събиране и обработване на
лични данни. Това е така, защото една от неговите характеристики е, че колкото
лесно е дадено съгласието, толкова и лесно то може да бъде отнето. Субектите на
лични данни имат правото да дадът своето съгласие, в случая техните лични данни
да бъдат обработвани посредством видеонаблюдение, но във всеки един момент те
могат да оттеглят съгласието си, и ако администраторът обработва съответните
лични данни само и единствено на това основание, то той е задължен да прекрати
тази процедура по обработване.
Наред с посочването на
администраторите, които имат право да обработват лични данни посредством
видеонаблюдение трябва да бъдат отбелязани и техните задължения в тази насока. Както
беше споменато и по-горе нормативно изискване е администраторите на лични данни
да извършат оценка на въздействие или т.нар. оценка на риска, която да
предхожда поставянето на видеонаблюдението. Целта на тази оценка е да се анализира
потенциалния риск, който може да се породи и да засегне правата и свободите на
физическите лица, както и да се предприемат варианти за действие за
ограничаване на същия този риск. Друго задължение за администраторите на лични
данни е воденето на специален, разбирай отделен, регистър наречен „Видеонаблюдение”,
който да съдържа задължително общо описание за поддържания регистър,
основанието на база на което се обработват личните данни в този регистър,
целите за воденето му, категориите лични данни в регистъра, както и другите
изисквания, посочени в чл. 30, пар.1 от
Регламент 2016/679/ЕС. Освен тези, друго задължение на администратора,
обработващ лични данни чрез помощта на видеонаблюдението е и уведомяването на
субектите на лични данни за извършваното видеонаблюдение. Така например трябва
да бъдат поставяни на видно място информационни табла, указващи, че на това място
се осъществява наблюдение и контрол чрез технически средства. В този случай
съгласието се презюмира, ако гражданите не възразят срещу обработването на
лични данни от конкретния администратор. Наред с това администраторите имат и
задълженията да предоставят на физическите лица повече информация относно
метода, по който се извършва обработването на лични данни чрез видеонаблюдение;
задължението да съхранява направените видеозаписи за срок, който сам е
определил; също така и да осигури необходимата и адекватна техническа защита
срещу нежелано проникване или компютърни (хакерски) атаки, като ако това се
случи администраторът трябва да уведоми и информира КЗЛД в срок до 72 часа от
научаването за направения пробив в системата, съгласно член 33 от Регламента.
Основни права на субектите на лични данни при видеонаблюдение
След като беше разгледан
въпросът касаещ лицата, които имат право да обработват лични данни по пътя на
видеонаблюдението, то е необходимо най-сетне да се обърне внимание на правата
на субектите на лични данни, които кореспондират на задълженията, които
администраторът, респективно обработващият лични данни, има, свързани с
осъществяваното от него видеонаблюдение.
С новата европейска
регламентация в областта на защитата на лични данни, постигната чрез Регламент
2016/679/ЕС (GDPR), се цели да се гарантират и разширят правата, които лицата притежават и
представляват техни лични данни, както и да се засили нивото на защита, която те биха могли да
получат. Най-общо правата на лицата се съдържат в GDPR от член 13, който указва реда за
упражняването им, до член 22, който представлява правото на субекта на лични
данни да не бъде обект на решение, което се основава единствено на
автоматизирано обработване, включително профилиране. За целта на настоящата
статия, част от тези права трябва да се погледнат през призмата на
видеонаблюдението, като способ за идентифициране на дадено лице.
Субектите на лични данни
притежават правото да бъдат информирани отностно осъществяваното
видеонаблюдение. Както стана
ясно, това може да се случи чрез поставяне на информационна табела, указваща че
в обекта се извършва видеонаблюдение, или чрез вземането на изричното съгласие
по пътя на подписване на декларация или чрез вкарването на специална клауза,
когато става въпрос за договорни отношения, произтичащи от
обвързаноността на работника към работодателя посредством договор. В този ред
на мисли, субектите на лични данни имат възможност да възразят[5],
че не желаят да бъдат обект на видеозаснемане. Разбира се в този случай
администратора на лични данни трябва да не може да докаже нормативно основание
за събирането на лични данни чрез видеонаблюдение за да уважи възражението на
субекта на личните данни. Освен тези права, физическите лица имат право на
достъп до всякакъв вид информация, която се отнася до тях, което произтича от член
15 на Регламент 2016/679/ЕС, в това число и когато информацията е под формата
на видеозаписи. Важно е да се изясни, че когато при осъществяването на правото
на достъп на физическо лице съществува възможност да се разкрият и лични данни
на други (трети) лица. В този случай администраторът е длъжен да предостави на
съответното физическо лице достъп до частта от видеозаписите, която се отнася
до самото лице, като за целта, ако е нужно, администратотът е длъжен да
предприеме съответните технически мерки, чрез които да заличи/замаскира образите
на другите лица. В противен случай ще сме изправени пред хипотеза, в която ще
трябва да се изисква съгласието на всяко едно от лицата, явяващи се обект на
видеозаснемането, с което да е възможно да се даде достъп до информация на
конкретното физическо лице, което упражнява правото си.
От практическо значение е да бъдат споменати и начините, по които
физическите лица имат възможност да се защитят в случай на неправомерно
видеонаблюдение, което поставя в опасност, както техните лични данни, така и
личната им свобода и неприконсовеност като висше благо, провъзгласено в чл.30
от КРБ.
Когато едно физическо лице
има съмнения, че посредством охранително видеонаблюдение в съседен имот се
осъществява и видеонаблюдение спрямо него, то следва да се обърне към Главна
дирекция „Охранителна полиция” или областните дирекции на МВР, тъй като самото
видеонаблюдение се осъществява от лицензирани физически или юридически лица за
извършване на частно охранителна дейност, която дейност е регламентирана
съгласно Закона за частната охранителна дейност. Друга хипотеза е, когато
спрямо физическо лице се извършва видеонаблюдение, за което не е взето неговото съгласие. В този случай засегнатото
лице може да подаде жалба до КЗЛД в срок до една година от научаването на нарушението,
но не повече от пет години от извършването му.
Именно във връзка с това дали е правомерно или не дадено
видеонаблюдение, ще
бъде обърнато внимание на малка част от практиката на КЗЛД в тази насока.
Практика на КЗЛД по отношение на видеонаблюдението
Всеки един може да подаде
жалба до КЗЛД, когато има съмнения или, когато със сигурност съществува риск за
неговите лични данни. Самата жалба до Комисията за защита на личните данни може
да бъде подадена на хартиен носител в деловодството на КЗЛД, с писмо на посочен
от КЗЛД адрес на техния уебсайт, по факс, по имейл или чрез техния уебсайт,
като последният вариант за подаване на жалба изисква тя да бъде изготвена като
електронен документ и да е подписана с
електронен подпис. По отношение на жалбите, КЗЛД излиза с решения, които заедно
с техните становища образуват практиката на КЗЛД, която като такава е
задължителна в своята цялост. Важно е да се спомене, че решенията на КЗЛД могат
да бъдат обжалвани в 14 дневен срок пред Административен съд- София- град.
Има не малко решения по
повдигнати въпроси, касаещи видеонаблюдението, като те са отпреди влизането на
Регламент 2016/679/ЕС в сила, но са актуални, тъй като тази материя единствено
се доразвива с новата европейска регулация, тоест голяма част от практиката на
КЗЛД, постановена по стария Закон за защита на личните данни е съотносима към
материята, която Регламента регулира. В следващите редове ще бъде обърнато
внимание на две от решенията на КЗЛС касаещи видеонаблюдението[6],
които решения представляват интерес и описват често срещани ситуации в
ежедневието.
В свое Решение № ППН-01-28/2018
г. КЗЛД се
произнася по жалба подадена във връзка с осъществявано видеонаблюдение в общ
парцел на имот, който е в съсобственост. Според жалбоподателя, след като
неговият съсед, явяващ се и съсобственик, е поставил видеонаблюдение в общото дворно
пространство, то същесвува опасност за личните данни на ищеца, тъй като
обхватът на видеозаснемането засяга и частта от имота, която принадлежи на
жалбоподателя. В този случай КЗЛД се аргументира чрез решение на СЕС по дело №
С-212/13, което се явява и задължителна съдебна практика за националните юрисдикции
на държавите членки на ЕС. В резултат на него, КЗЛД се произнася с решение, че
не е налице нарушаване на правата на жалбоподателя, обработването чрез
конкретното видеонаблюдение не е незаконосъобразно, тъй като то е извършено единствено
и само за лични и домашни цели, целящи защита на собственото жилище, личното
спокойствие и неприкосновеност на ответника.
От интерес е да бъде
разгледано и друго решение на КЗЛД, а именно Решение № ППН-01-38/2017 г. Комисията
за защита на личните данни бива сезирана с жалба, съдържаща твърдения на
жалбоподателите за инсталирана камера за
видеонаблюдение. В жалбата се твърди, че на външната стена на тераса, която е
собственост на ответниците е монтирана камера за видеонаблюдение, която е
насочена към пътя, входната врата и гаражните клетки, като съгласно твърденията
на жалбоподателите, обхватът на камерата „покрива публични места извън имота на
собствениците“. Жалбоподателите информират, че не са давали съгласие за
„шпиониране, фотографиране или снимане“. В самата жалба се иска преустановяване
на видеонаблюдението на входната врата и гаражните клетки, тъй като
видеонаблюдението на тези зони представлява неправомерно обработване на личните
данни на жалбоподателите. След извършена проверка от страна на КЗЛД се
установява, че вдействителност такава система за видеонаблюдение е изградена. В
хода на проверката се установява също така, че ответниците по никакъв начин не
са поставили информационни табели, които да предупреждават за осъществяващо се
видеонаблюдение. В конкретния случай става въпрос за етажна собственост в жилищна
сграда, която материя се регулира от разпоредбите на Закона за управление на
етажната собственост (ЗУЕС). Съгласно този закон са и разпоредбите на чл. 11, ал.
1, т. 10, буква „а“ от ЗУЕС[7], и
на основание чл. 17, ал. 3 от ЗУЕС, гласящ, че законосъобразността на решенията на общото
събрание за извършване на разходи, необходими за поддържането на общите части,
се гарантира с осигуряване на мнозинство повече от 50 на сто от представените
идеални части от общите части на етажната собственост. В хода на проверката от
КЗЛД по настоящата жалба, се открива, че тези разпоредби са спазени,
следователно това от своя страна ще представлява и правното основание, на база
на което ответниците ще имат правото да извършват видеонаблюдение. Въпреки това
обаче, обсегът на видеокамерите, насочен към общите пространства надхвърля
целите, поради които се извършва легално видеонаблюдение от ответниците,
явяващи се и администратори на лични данни. Поради това и КЗЛД счита, че
жалбата е основателна, тъй като са нарушени принципите за това личните данни да
са съотносими, свързани с и ненадхвърлящи целите, за които се обработват. Така
всъщност КЗЛД налага да бъде демонтирана камерата, която заснема общите части.
Заключение
Няма съмнение, че
видеонаблюдението представлява обработване на лични данни, а от тук и че самите
видеозаписи съдържат лични данни на физическите лица, които можем да
клалифицираме като биометрични такива. Предвид динамичното развиване на
технологиите с изключително бързи темпове, видеонаблюдението става все по- достъпно
и използвано за различни цели, но наравно с това нарастват и рисковете относно
неговото използване, рискове, които свързани с личната неприкосновеност на
лицата, техните права и свободи. Именно заради това на европейско ниво се
постигна развиване на регулацията в областта на защитата на личните данни чрез
Регламент 2016/679/ЕС, който разширява понятията за това какво са лични данни,
респективно кои действия представляват обработване на същите, като наравно с
това осигурява и необходимата нормативна рамка, чрез която засегнатите лица да
получат ефективна защита и да опазят личните си данни.
Автор: Светозар Гайдарски
[1]
https://www.cpdp.bg/?p=element_view&aid=365
[2]
Биометричните данни са лични данни, получени в резултат на специфично техническо
обработване, които са свързани с физическите, физиологичните или поведенческите
характеристики на дадено физическо лице и които позволяват или потвърждават
уникалната идентификация на това физическо лице, като лицеви изображения или
дактилоскопични данни;
[3]
Костов, Атанас; Технологични и
юридически грешки, допускани при имплементирането на Общия регламент за защита
на личните данни(GDPR); статия
[4] Чл. 24. (2) (Изм. - ДВ, бр. 43 от 2011 г.) За всеки
обект, поет за охрана, лицата, извършващи дейност по чл. 5, изготвят и съхраняват на обекта и план за
неговата охрана, който включва:
5. данни за монтиране на видеокамери, както и
на аналогични технически средства или системи, позволяващи да се правят
видеозаписи;
[5]
право на възражение по чл.21 от Регламент
2016/679/ЕС
[6]
Повече решения на КЗЛД по отношение на видеонаблюдението може да бъдат намерени
на уебсайта на КЗЛД.
[7] Чл. 11. (1) Общото събрание:
10. приема
решения и за:
а)
извършване на разходи, които са необходими или неотложни за поддържането или за
възстановяването на общите части, за извършване на полезни разходи, както и за
определяне на размера на разходите за изпълнението на указанията в техническия
паспорт;