Публикувано на от Duncheva

Обобщена практика на Комисията за защита на личните данни по въпроси, свързани с видеонаблюдение

Публикацията е заради множеството жалби и сигнали за незаконосъобразно обработване на лични данни на физически лица

В рубриката Анализи в новия брой на бюлетина си Комисията за защита на личните данни публикува

Обобщена практика на Комисията за защита на личните данни след 25 май 2018 г. по въпроси, свързани с осъществявано видеонаблюдение

Видеонаблюдението е един от фокусите на внимание на КЗЛД, както с оглед на неговото естество, така и във връзка с множеството жалби и сигнали пред Комисията с твърдения за незаконосъобразно обработване на лични данни на физически лица. Многократно КЗЛД е извършвала проверки с цел изясняване на отделни случаи, произнасяла се е с решения по жалби, упражнявала е своите корективни правомощия в съответствие с разпоредбите на Регламент (ЕС) 2016/679 и ЗЗЛД. В настоящия материал предлагаме обобщение на практиката на КЗЛД след 25 май 2018 г. по въпроси, свързани с осъществявано видеонаблюдение.

Видеонаблюдението представлява дейност по обработване на лични данни, когато се извършва чрез запис от технически средства за видеонаблюдение, който се съхранява. Съдържащата се в записите от средствата за наблюдение информация за физическото лице – образ, попада в обхвата на понятието лични данни, тъй като лицето може да бъде идентифицирано. Събирането и съхраняването на тези лични данни са операции по обработване по смисъла на чл. 4, т. 2 от Регламент (ЕС) 2016/679 и следва да се извършват при спазване на правилата за защита на личните данни. Това предполага наличие на поне едно от правните основания, посочени в чл. 6, § 1 от Регламент (ЕС) 2016/679, спазване на всички принципи за обработването на лични данни по чл. 5 от същия регламент, както и на останалите изисквания в областта на защитата на данните.

С оглед предмета на жалбите и сигналите пред КЗЛД с твърдения за незаконосъобразно обработване на личните данни на физически лица чрез видеонаблюдение могат да бъдат разграничени следните хипотези: видеонаблюдение, осъществявано в сгради в режим на етажна собственост, видеонаблюдение на имот в режим на съсобственост, видеонаблюдение между съседи и видеонаблюдение на работното място. Независимо от това в коя хипотеза попада даден случай на осъществявано видеонаблюдение, КЗЛД винаги следи за спазването на разпоредбите на Регламент (ЕС) 2016/679 и по-специално на следните изисквания:

  1. Да е налице законна цел за видеонаблюдението. В зависимост от целите, за които се извършва видеонаблюдението, се прилагат различни правила по отношение на правното основание за извършването му, обхвата на камерите, записите и сроковете за тяхното съхранение. Обичайно, когато видеонаблюдението се използва с охранителна цел в защита на легитимен интерес (свой или на трета страна), администраторите на лични данни трябва да разположат видеокамерите по такъв начин, че да заснемат единствено охранявания обект. Администраторите нямат право да заснемат обществени места като улици, тротоари, площади, паркинги и други подобни. Друг е случаят, когато видеонаблюдението се извършва в обществен интерес за охрана на обществения ред и сигурност от публичен орган. Тогава камерите обхващат именно публични обекти – улици, площади, паркове и др. Съществува и видеонаблюдение, което е законово регламентирано – напр. видеозаснемането по Закона за движението по пътищата. Комисията за защита на личните данни разглежда всеки конкретен случай отделно и самостоятелно, съобразно спецификата на обстоятелствата и приложимото право, например съгласно Закона за частната охранителна дейност, специалните разпоредби в областта на банковата сигурност и др.
  2. Да е налице правно основание за обработването на лични данни чрез технически средства за видеонаблюдение съгласно чл. 6, § 1 от Регламент (ЕС) 2016/679, което е предпоставка за законосъобразност на обработването. Отговорност на администратора е да установи и обоснове наличието на изискванията за законосъобразност във всеки един конкретен случай. В случай че видеонаблюдението се позовава на разпоредбата на чл. 6, § 1, б. „е“ (легитимен интерес на администратора или на трета страна), от съществено значение е да се извърши преценка и да се балансират законните интереси на администратора или третата страна и правата и свободите на субектите на данни, засегнати от видеонаблюдението.
  3. Физическите лица, обект на видеонаблюдение, да бъдат уведомявани за използването на технически средства за наблюдение в съответния обект. За целите на извършваното видеонаблюдение, съответният администратор на лични данни, който го извършва или който е взел решение за извършването му, е длъжен да уведоми субектите на данни за факта, че се обработват техни данни чрез заснемане с технически средства за видеонаблюдение, без да е необходимо да се уточнява местоположението им. Това свое задължение администраторът може да изпълни чрез поставяне на видно място на уведомителни табели/информационни табла, на които задължително трябва да бъде предоставена информация, която идентифицира администратора и координатите за връзка с него, целите и правното основание за обработването, категориите лични данни, които се обработват. Пълният обем на информацията, която трябва да се предостави от администратора на субекта на данни при обработване на лични данни чрез видеонаблюдение, е посочен в чл. 12 и 13 от Регламент (ЕС) 2016/679.
  4. Да бъдат предприети подходящи технически и организационни мерки за сигурност на данните. Съгласно чл. 24 от Регламент (ЕС) 2016/679, след като вземе предвид естеството, обхвата, контекста и целите на обработването, администраторът следва да въведе подходящи технически и организационни мерки, за да гарантира, както и във всеки един момент да е в състояние да докаже, че обработването се извършва в съответствие с правилата на Регламента. Още на етапа на изграждането на системите за видеонаблюдение следва да се отчетат рисковете с различна вероятност и тежест за правата на физическите лица, обект на видеонаблюдението, и съответно да се въведат подходящите мерки (технически и организационни), които ще осигурят законосъобразното протичане на дейностите по обработване. По този начин ще се отговори и на изискванията на чл. 25 от Регламента – защита на данните на етапа на проектирането и по подразбиране.

Изискването на чл. 24 от Регламент (ЕС) 2016/679, което е и проявление на принципа на отчетност (чл. 5, § 2 от Регламента), означава, че конкретните мерки се определят само и единствено от администратора. Независимо от това, в контекста на извършвано видеонаблюдение би било целесъобразно да бъде определен ограничен кръг от лица, които ще имат достъп до техническите средства, на които ще се съхраняват видеозаписите, предварително да е одобрен редът за достъп до помещението, в което се съхраняват те, да се обосноват сроковете за съхранението на записите съобразно целите на видеонаблюдението, мерките за сигурност при достъпването им и т. н. Прилагането на подходящи технически и организационни мерки изисква да бъде взето предвид и правото на достъп на субекта на данни, уредено в чл. 15 от Регламент (ЕС) 2016/679. Субектът има право да получи информация за целите на обработването, категориите лични данни, които се обработват, сроковете за съхранение и други изрично посочени аспекти на обработването. Администраторът следва да отчита и задължението си да предостави копие от личните данни в процес на обработване на физическото лице, подало съответното заявление за достъп до свои лични данни. Изпълнението на това задължение предполага наличие на техническа възможност за заличаване на данните на трети лица, ако такива попадат в заснетите видеокадри и за чиито лични данни не е налице правно основание за предоставянето им. Правото на достъп, вкл. на копие от личните данни, се отнася до всички субекти на данни.

При дефинирането на основните параметри на видеонаблюдението и на конкретните подходящи технически и организационни мерки от ключово значение е спазването на принципа „свеждане на данните до минимум“. Комисията за защита на личните данни има утвърдена и трайна практика – администраторите не могат да извършват видеонаблюдение на съседни сгради и обществени пространства. Заснемането на публични площи от отделни лица надхвърля охранителните цели, за които обикновено се монтират системите за видеонаблюдение.

  1. За осъществяване на видеонаблюдение в режим на етажна собственост се налага да бъдат спазени и редица специфични изисквания, произтичащи от специалната правна уредба на Закона за управление на етажната собственост (ЗУЕС). Необходимо е да се отчита изискването на чл. 17, ал. 3 от ЗУЕС, съгласно което решенията следва да се приемат с мнозинство повече от 50 на сто от представените идеални части от общите части на етажната собственост. Решението за инсталиране на видеосистема за наблюдение в жилищна сграда в режим на етажна собственост също следва да бъде взето с такова мнозинство. Обработването на лични данни в този случай е въз основа на легитимния интерес на живущите в жилищната сграда, т.е. на основание чл. 6, § 1, б „е“ от Регламент (ЕС) 2016/679. Следва да се има предвид, че решенията на етажната собственост имат обвързваща сила и за лицата, които не са присъствали, както и спрямо тези, които са гласували против. Аргументите за това могат да се извлекат от практиката на Върховния касационен съд съгласно Решение № 39 от 19.02.2013 г. по гр. д. № 657/2012 г., Г. К., I Г. О. на ВКС. Върховният касационен съд приема, че след влизането им в сила решенията на етажните собственици са задължителни за всички етажни собственици, включително за тези, които са гласували против, за неучаствалите във вземането им и за лицата, които по-късно ще станат етажни собственици или обитатели. Следователно, решението за извършване на видеонаблюдение е задължително и за собствениците, подали уведомление, че не желаят да бъдат заснемани.

Монтирането на видеокамери в сграда в режим на етажна собственост, без за това да е взето решение по гореописаната процедура, би било в нарушение на Регламент (ЕС) 2016/679 и ЗУЕС. Физическо лице би могло да претендира, че извършва дейността по видеонаблюдение за лични цели единствено, ако камерите са монтирани в границите на неговия имот и не заснемат общи части от сградата.

Независимо от това, че всеки конкретен случай следва да бъде разглеждан самостоятелно с цел отчитане на неговия специфичен контекст, с настоящия информационен материал КЗЛД прави обобщение на своята трайна/обичайна практика при разглеждането на жалби или сигнали с предмет видеонаблюдение. Практиката е относима както към спорове между физически лица, породени от междуличностни конфликти, при които едно физическо лице (засегнато от осъществявано видеонаблюдение) търси защита срещу друго физическо лице (лице, което е изградило система за видеонаблюдение), така и в отношенията администратор на лични данни-субекти на данни. При разглеждането на жалби и сигнали с предмет видеонаблюдение КЗЛД следи за спазване на всички правила на Регламент (ЕС) 2016/679, вкл. за посочените по-горе специфични изисквания.

С решенията, с които надзорният орган се произнася по казуси с предмет видеонаблюдение, той упражнява своите корективни правомощия по чл. 58, § 2 от Регламент (ЕС) 2016/679, като издава съответно разпореждания (на основание чл. 58, § 2, б. „г“), предупреждения (на основание чл. 58, § 2, б. „а“) или официални предупреждения (на основание чл. 58, § 2, б. „б“). Във всеки конкретен случай, съобразно естеството на наложените корективни мерки и тежестта, която те създават върху администратора на лични данни, Комисията определя възможно най-кратък срок за тяхното изпълнение, като се отчитат правата на засегнатите субекти на данни (напр. 14-дневен, 1-месечен, 3-месечен и др.).

Диспозитивът на всяко решение се формулира по начин, който е съобразен с конкретната фактическа обстановка (напр. видеонаблюдение, което засяга съседи; видеонаблюдение в режим на етажна собственост и др.) и индивидуалния предмет на спора, в рамките на следните алтернативни принципни положения, групирани съобразно упражняваното от КЗЛД корективно правомощие:

I. РАЗПОРЕЖДАНИЯ

Комисията за защита на личните данни издава разпореждания на администраторите на основание чл. 58, § 2, б. „г“ във връзка с чл. 57, § 1, б. „а“ и чл. 83, § 2 от Регламент (ЕС) 2016/679, за нарушение на разпоредби на този Регламент във връзка с осъществявано видеонаблюдение.

В тези случаи КЗЛД „РАЗПОРЕЖДА“ на съответния администратор да съобрази операциите по обработване на лични данни с разпоредбите на Регламент (ЕС) 2016/679 (напр. с чл. 6, § 1, букви „а-е“ ) и, ако е целесъобразно, указва начин и определя срок за това. Трайната практика на КЗЛД в случаите на незаконосъобразно видеонаблюдение е да разпорежда на администратора да:

  • преустанови видеонаблюдението на обществени места и на имота на съответния жалбоподател и постави обозначителни табели за осъществяваното в имота си видеонаблюдение;
  • преустанови видеонаблюдението/заснемането на публични площи (посочва се относимото, като напр. улица/части от прилежащата улица, части от уличното платно, тротоари, търговски обект – магазин „Х“, съседни/чужди имоти, жилищни сгради/част от фасадата на блок № Х, междублокови и затревени площи, алеи и др.) посредством изградената система за видеонаблюдение в даден имот, като пренасочи камерата така, че да заснема само границите на собствения му имот. При невъзможност за пренасочване на камерата, същата следва да бъде демонтирана;
  • преустанови заснемането на общи части (етажна площадка) на жилищната сграда – етажна собственост, посредством изградената от него система за видеонаблюдение;
  • преустанови заснемането на общи части на жилищната сграда – входната врата и фоайето на партерния етаж на сградата, общите коридори и подходите към подземните гаражи, както и коридора на съответния етаж в сградата, посредством изградената система за видеонаблюдение, като премахне камерите;
  • преустанови заснемането на общи части на жилищната сграда – етажна площадка на съответния етаж и асансьора, вътрешния коридор на същия етаж и подстъпа към него, посредством изградената система за видеонаблюдение на адреса, чрез премахване на камерите, които са поставени без правно основание – при липса на представено в КЗЛД решение на етажната собственост;
  • преустанови видеонаблюдението на общи части от етажната собственост, както и на чужди имоти, посредством изградената система за видеонаблюдение в жилищната сграда – етажна собственост, като пренасочи камерата и да заснема само неговото жилище и гараж. При невъзможност за пренасочване на камерата, същата следва да бъде демонтирана;
  • преустанови видеонаблюдението на общи части на етажната собственост, посредством изградената система за видеонаблюдение в жилищната сграда – етажна собственост, докато не бъде взето легитимно решение на Общо събрание на етажната собственост, съгласно чл. 11 от ЗУЕС. В случай, че в срока на разпореждането такова решение не бъде взето, камерите следва да бъдат премахнати;
  • преустанови видеонаблюдението на общи части от етажната собственост, публични площи (улици и тротоари) и прозорци на чужди имоти, посредством изградената система за видеонаблюдение в жилищна сграда – етажна собственост, чрез премахване на камерите;
  • преустанови заснемането на общия вход на жилищната сграда на същия адрес, както и подстъпът към него, посредством изградената система за видеонаблюдение;
  • преустанови видеонаблюдението на общи части от етажната собственост, в т.ч. входни врати на чужди жилища, както и на публични места (улици, тротоари), посредством изградената система за видеонаблюдение в жилищната сграда – етажна собственост;
  • преустанови видеонаблюдението на публични места (части от уличното платно и прилежащите тротоари) и чужди имоти посредством изградената система за видеонаблюдение чрез корекция на ъгъла на видеозаснемане, където е възможно, или чрез въвеждане на система за замъгляване на публични места, или чрез премахване на видеокамерите, които извършват видеонаблюдението на публични места и чужди имоти;
  • преустанови видеонаблюдението на публични места (части от уличното платно), посредством изградената система за видеонаблюдение, чрез корекция/пренасочване на ъгъла на видеонаблюдение на камера № …. камера № ….., или чрез въвеждане на частни зони чрез софтуерно замъгляване. В случай, че нито един от посочените два подхода не може да бъде приложен, камера № ….. и камера № ….. да бъдат премахнати;
  • преустанови видеонаблюдението на публични места (улици и тротоари), посредством изградената система за видеонаблюдение в жилищната сграда – етажна собственост, чрез препозициониране на камерата, така че да заснема физическите лица, след влизането им в етажната собственост.

II. ПРЕДУПРЕЖДЕНИЯ

Комисията за защита на личните данни издава предупреждения на администраторите на основание чл. 58, § 2, б. „а“ във връзка с чл. 57, § 1, б. „а“ и чл. 83, § 2 от Регламент (ЕС) 2016/679, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат (в случая видеонаблюдение), да нарушат разпоредбите на Регламента. В тези случаи КЗЛД ОТПРАВЯ „ПРЕДУПРЕЖДЕНИЕ“ на съответния администратор за това, че:

  • в изградената система за видеонаблюдение във всеки един момент може да бъде променена посоката на камерата и да извършва видеонаблюдение на чужд съседен имот, собственост на друго лице, като има вероятност да обработва лични данни без наличие на правно основание, с което да наруши разпоредбите на чл. 6, § 1, букви „а“-„е“ от Регламент (ЕС) 2016/679;
  • въвеждането в експлоатация на съответната система за видеонаблюдение, има вероятност да наруши разпоредбите на Регламент (ЕС) 2016/679. Ако бъде въведена в експлоатация в този вид, администраторът ще наруши правилата за обработване на лични данни. За да бъде функционираща система, тя трябва да отговаря на изискванията: да не снима публични места (обществени територии), да има решение на общото събрание, а не само съгласие на собственици на апартаменти, за които не е ясно каква идеална част от общата сграда притежават, следва да има решение и протокол, от които ясно да се вижда, че са спазени изискванията на Закона за управление на етажната собственост;
  • има вероятност операциите по обработване на лични данни, посредством видеозаснемане с камери №……… и № …………, ако камерите работят и в обхвата им попадат публични зони и чужди имоти, да нарушат разпоредбите на Регламент (ЕС) 2016/679.

III. ОФИЦИАЛНИ ПРЕДУПРЕЖДЕНИЯ

Официални предупреждения КЗЛД отправя, когато операциите по обработването на лични данни са нарушили разпоредбите на Регламент (ЕС) 2016/679, но нарушението не е налице или вече е отстранено от администратора на лични данни към момента на издаване на индивидуалния административен акт съобразно чл. 142 от АПК. В такива случаи на основание чл. 58, § 2, б. „б“ във връзка с чл. 57, § 1, б. „а“ и чл. 83, §2 от Регламент (ЕС) 2016/679, Комисията за защита на личните данни ОТПРАВЯ „ОФИЦИАЛНО ПРЕДУПРЕЖДЕНИЕ“ на съответния администратор:

  • за нарушение на чл. 6, § 1 от Регламент (ЕС) 2016/679;
  • предвид обстоятелството, че обработването на лични данни чрез осъществявано от него видеонаблюдение на обществени територии-улици и прилежащи към тях тротоари, както и чужди имоти и жилищни сгради посредством описаните в съответното решение на КЗЛД камери е в нарушение на чл. 5, § 1, б. „а“ и „в“ от Регламент (ЕС) 2016/679.

При постъпване на жалби с предмет незаконосъобразно обработване на лични данни посредством видеонаблюдение КЗЛД извършва проверки по предмета на жалбите. Така тя изпълнява задължението си за служебно събиране на доказателства с цел изясняване на отделните случаи от правна и фактическа страна, съблюдавайки застъпените в административния процес принципи на служебно начало и истинност. Констативните актове от извършените проверки се приобщават към съответното административно производство, след което Комисията се произнася по допустимостта и основателността на подадените жалби.