Охранителните фирми – обработващи, самостоятелни или съвместени администратор на лични данни?
Отваряте нов магазин или офис и преценявате, че трябва да осигурите сигурността на обекта чрез видеонаблюдение от СОТ. Решавате да сключвате договор за охрана с лицензирана частна охранителна фирма, която поставя камерите според определен от нея план. Целият шум около GDPR обаче ви притеснява – договорът за охрана не урежда по никакъв начин защитата на лични данни. Ами ако камерите не отговарят на изискванията и заснемат повече от необходимото? Вие ли носите цялата отговорност за незаконосъобразното видеонаблюдение?
Тъй като повечето охранителни фирми не сключват споразумения, които изясняват тяхната роля при обработването на лични данни, необходимо да е се направи анализ на фактическото и правно положение, за да се определи дали те са обработващ, самостоятелен или съвместен администратор на лични данни.
Частните охранителни фирми осъществяват специфична дейност, която подлежи на лицензионен режим и строга законодателна регламентация, което изключва възможността да бъдат само обработващи. В общия случай охранителните фирми са съвместни администратори, защото определят начина за обработване на данните от видеонаблюдението със СОТ, но в полза и за целите на възложителя.
Частните охранителни фирми – обработващ или администратор?
При липса на споразумение, което определя ролите и отговорностите във връзка с обработването на лични данни, трябва да се анализират фактическите отношения между страните. Частните охранителни фирми извършват дейността си въз основа на договор за охрана, чрез който клиентът им възлага осъществяването на сигнално-охранителна дейност по защита на определени обекти чрез видеонаблюдение.
Договорът определя целта на обработването – охрана на обекти на възложителя и реакция с въоръжени охранителни патрули. Лицето, което се ползва от осъществяваното чрез СОТ видеонаблюдение, е именно възложителят. Самите начини за осъществяване на мониторинга, местата за поставяне на видеокамерите и планът за осъществяване на охраната обаче обикновено се определят едностранно от охранителната фирма, съобразно нормативни изисквания.
Частната охранителна дейност е правно регламентирана дейност, уредена подробно в Закона за частната охранителна дейност и Наредба 8121з – 611/2018г., която според чл. 2 ал. 3 от ЗЧОД може да се осъществява въз основа на писмен договор само от търговци, които притежават лиценз за извършване на частна охранителна дейност. Именно лицензът дава законно право на тези търговци да извършват видеонаблюдение чрез СОТ.
Според Становище на КЗЛД рег. № НДМСПО-01-1174/10.12.2018 г. от 11.01.2019 г., “администраторът на лични данни може да „възлага” на обработващ дейности по обработка, за които самият той има правна възможност да извършва, но поради различни причини от организационно, техническо, финансово или друго естество е преценил, че е по-подходящо да се извършват от фигурата на т.нар. обработващ”.
КЗЛД изразява становището, че администраторът не може да възложи на обработващ дейност, която той самият няма правната, не само фактическата, възможност да извършва. Такъв е случаят с частната охранителна дейност – без да имат необходимия лиценз, обикновените юридически лица и еднолични търговци не само не могат, но им е забранено да извършват охранителни дейности (чл. 72 ал. 1 ЗЧОД). Това означава, че отношенията между възложителя и частната охранителна фирма по повод видеонаблюдението със СОТ не могат да бъдат уредени на ниво администратор-обработващ.
Според Становище на КЗЛД рег. № НДМСПО-01-1180/ 11.12.2018 г. от 04.02.2019 г. “по принцип дружествата, които предоставят услуги при условията на строга и изчерпателна законова регламентация, въз основа на лицензия или аналогично индивидуално разрешение от държавата и под контрола на изрично определени публични органи, не биха могли да се разглеждат като обработващи лични данни, а като самостоятелни администратори.”
Частната охранителна дейност е регламентирана в ЗЧОД и наредби на министъра на вътрешните работи. Тя се извършва въз основа на лицензия (чл. 4 ал. 1 ЗЧОД), а контрол се осъществява от полицейски органи от Главна дирекция “Национална полиция” – МВР, и от областните дирекции на МВР, определени със заповед на съответния директор (чл. 71 ал. 1 ЗЧОД). Охранителните фирми организират дейността си по видеонаблюдение със СОТ въз основа на строго определени законови изисквания, а не според указанията на възложителя, и именно затова не могат да бъдат в ролята единствено на обработващ.
Част изискванията за частните охранителни фирми е и задължението по чл. 24. ал. 2. ЗЧОД видеонаблюдението на недвижими имоти да се извършва “при спазване на изискванията за защита на личните данни, мониторен контрол и реакция с мобилни охранителни патрули”. Съгласно чл. 53 т. 4 от ЗЧОД на частните охранителни фирми е изрично забранено да осъществяват видеонаблюдение в нарушение на изискванията за защита на личните данни.
Това означава, че отговорността за гарантирането на законосъобразността при осъществяване на видеонаблюдението от СОТ се носи от частните охранителни фирми, които законът задължава да спазват изискванията за защита на лични данни и да изработват съобразно тях плановете за монтиране на видеокамери.
Самостоятелни или съвместни администратори?
Щом частните охранителни фирми не са обработващ на лични данни, остава въпросът дали те са самостоятелен администратор или администрират съвместно данните заедно с възложителя. По правило съвместните администратори заедно определят целите и средствата за обработване, докато при самостоятелните липсва елементът на съвместно определяне (чл. 26 от GDPR).
При преценката дали е налице съвместно администриране е необходимо да се предприеме функционален анализ на правомощията на страните – те могат да определят или целта, или основните елементи от начините за осъществяване на обработването, като не е необходимо формите на участие в обработването да бъдат еквивалентни (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf).
При поставянето на видеонаблюдение от СОТ, частните охранителни фирми се водят от “изискванията за защита на личните данни, мониторен контрол и реакция с мобилни охранителни патрули” (чл. 24 ал. 2 ЗЧОД). На практика това означава, че начинът за обработване на данни (къде се поставят камерите, какво точно заснемат, за колко време се съхраняват записите и т.н.) се определя самостоятелно от охранителните фирми в изпълнение на техни специфични законови задължения, а не според указанията и преценката на възложителя. Самото обработване на данни обаче се извършва единствено в интерес и полза на възложителя (т.е. за негови цели).
Практиката на Съда на Европейския съюз (Wirtschaftsakademie Schleswig-Holstein, C 210/16, Tietosuojavaltuutettu, C-25/17) тълкува разширително приложното поле на съвместното администриране. Според СЕС дори и само един от администраторите на практика да осъществява обработването, а другият по някакъв начин (директно или индиректно) има полза от дейностите по обработка или определя целите за използването им, администраторите ще бъдат съвместни.
Подобен е случаят с частните охранителни фирми и възложителите – докато едните имат пълен контрол върху начина за обработването на данни, то другите имат интерес от обработването, инициират го и залагат неговите цели. Всеки от съвместните администратори има своите самостоятелни задължения във връзка с обработването на лични данни и гарантирането на правата на субектите на данни.
По правило съвместните администратори отговарят солидарно за нарушения на сигурността на данните, но ако се установи, че нарушението произтича от дейност, която е изцяло под контрола на един от администраторите, то другият може да се освободи от отговорност. Това означава, че ако охранителната фирма е нарушила задълженията си във връзка с монтирането на видеокамерите, тя би следвало да носи отговорността за това нарушение, тъй като това е дейност изцяло под неин контрол.
На поставен въпрос “Как мога да се защитя, в случай че спрямо собствения ми недвижим имот се извършва видеонаблюдение от камери, разположени в съседен имот с охранителна цел?”, самата КЗЛД отговаря чрез насочване на отговорността към охранителните фирми: “Действията на лицата във връзка с осъществяване на видеозаснемане с охранителна цел са регламентирани в Закона за частната охранителна дейност, като контролът върху дейностите по този закон е възложен на Главна дирекция „Охранителна полиция” и областните дирекции на МВР. Винаги можете да се обърнете към тези структури на МВР.”
При предоставянето на записи от видеонаблюдение от СОТ на МВР и на Държавна агенция “Национална сигурност”, както и при други специфични задължения по ЗЧОД, частните охранителни фирми действат като отделен администратор с конкретни правомощия във връзка с обработването, които не се извършват в полза и за целите на възложителя, и ще отговарят като самостоятелен администратор.
Какво означава това и какво можем да предприемем?
Щом вие сте съвместен администратор заедно с частните охранителни фирми, то според чл. 26 от GDPR е необходимо да определите по прозрачен начин отговорностите за изпълнение на задълженията по защита на данните и начините, по които субектите на данни могат да упражнят правата си. Това може да стане чрез отделно споразумение между съвместни администратори или чрез нарочни клаузи в договора за охрана.
Субектите на данни трябва да бъдат информирани не само за наличието на видеокамери в обекта ви, но и за охранителната фирма, която осъществява видеонаблюдението. Следва да използвате информационни табели и надписи на самата охранителна фирма, която поставя СОТ видеонаблюдение. Освен това субектите на данни трябва да имат лесен достъп до отговорника за защита на данните и на двата администратора, което да улесни упражняването на правата им пред който и да е от тях.
Писали сме и преди по други проблеми, свързани с видеонаблюдението и съобразността му с GDPR. Повече може да прочете в статията Законни ли са Вашите видео камери.