Видеокамерите отдавна не се използват само за сигурност. Все повече работодатели смятат, че това е успешен начин да следят продуктивността и точността на служителите си. Комисията за защита на личните данни (КЗЛД) вече има няколко становища относно видеонаблюдението в публичния транспорт, училищата и детските градини. Изглежда има траен интерес към видеонаблюдението на все повече аспекти от ежедневието ни, но оправдан и, още по-важно, законен ли е той?
Рискът от прекомерно навлизане в личното пространство не винаги се взима под внимание при поставянето на камери. Най-голям проблем обаче представлява тенденцията към свързване на видеонаблюдението с технологии за лицево разпознаване, които създават условия за автоматизирано вземане на решения относно сниманите субекти. С оглед множеството рискове, които видеонаблюдението създава за гражданите, бяха въведени и последните изменения в Закона за защита на личните данни (ЗЗЛД) относно мащабното и систематично наблюдение. Въпреки това, винаги ли, когато поставяме видеокамера, трябва да се притесняваме, че можем да нарушим ЗЗЛД и/или GDPR?
1. Представлява ли видеонаблюдението обработване на лични данни?
Отговорът е категорично „да“. По този въпрос са се изказвали многократно и КЗЛД, и Работната група по чл. 29. Това означава, че относно видеонаблюдението се прилагат всички основни изисквания на GDPR, като в общия случай се приема, че записването с камери не представлява обработване на биометрични данни. Съображение 51 от GDPR обаче уточнява, че когато снимки, съответно видеозаписи, се обработват чрез специални технически средства, които позволяват дадено физическо лице да бъде идентифицирано, то тогава се обработват биометрични данни. На това описание отговарят именно системите за лицево разпознаване, което означава, че те ще бъдат допустими в много редки случаи и при спазването на по-строги изисквания (ако обработването е предвидено в законодателството или се основава на изричното съгласие на субекта на данните).
2. Можем ли да разчитаме на съгласие?
Много работодатели смятат, че могат без проблем да поставят камери на работното място, ако служителите им са съгласни. Работната група по чл. 29 обаче не препоръчва в отношенията работодател-служител да се използва съгласие като основание за обработване на лични данни, защото характерът на правоотношенията е такъв, че то трудно може да бъде „свободно“ дадено по смисъла на GDPR.
Най-често основанието, на което можем да стъпим, за да бъде видеонаблюдението законно, не е съгласие, а легитимен интерес. Дори и в този случай обаче трябва да сме убедени, че поставянето на камери е пропорционално на целта, която преследваме, и че не навлиза прекомерно в личния живот на хората.
3. Кога видеонаблюдението е прекомерно?
На първо място винаги трябва да обмислим и да преценим дали няма начин да постигнем преследваната цел (легитимния ни интерес) без да поставяме видеокамери. Ако такъв няма, то следва се убедим, че не записваме повече, отколкото имаме нужда (напр. искаме да охраняваме входа на помещение, но камери са поставени и вътре в него) или пък, че не включваме в записа си чужда частна собственост (напр. част от двор, балкон и др.).
Освен това трябва да избягваме използването на системи за лицево разпознаване и поставянето на камери по начин, който би позволил чрез записа да бъде направена оценка на цялостното поведение на субектите (такъв е случаят при постоянното наблюдение на работното място). Според КЗЛД абсолютно недопустимо е монтирането на камери в стаи за почивка, санитарни и обслужващи помещения. Важно е да се отбележи, че видеонаблюдението ще бъде незаконно и в хипотезата, при която камери са монтирани с охранителна цел, но направените записи след това се използват, за да се наблюдава как служителите изпълняват задълженията си на работното място.
4. Как да защитим правата на субектите на данни?
За да бъде видеонаблюдението законно, то трябва да е прозрачно. Това означава, че субектите трябва да информирани за целите на наблюдението и начина, по който то се осъществява. Задължително трябва да бъдат поставени информационни табели на видно място, които да предупреждават за използването на технически средства за наблюдение.
Необходимо е да бъдат предвидени конкретни технически и организационни мерки, които обезпечават сигурността на данните в случай на неправомерен достъп, повреждане или загуба на записите, както и да бъде определен срок и начин за заличаването им. Всички тези изисквания относно обработването трябва да бъдат документирани в отделни правила и политики за видеонаблюдение. В случай, че камерите са монтирани на работното място, това трябва да бъде отразено и в Правилника за вътрешния ред.
Ако записите се използват по какъвто и да е начин за взимането на автоматизирани решения (при използване на системи за лицево разпознаване), както и когато наблюдението е „мащабно“, съществува риск за прекомерно навлизане в личното пространство на субектите. В тези случаи за администраторите на лични данни са предвидени допълнителни задължения, които да гарантират, че няма да бъде неоправдано засегнато личното пространство на субектите.
5. Кога едно видеонаблюдение е мащабно и какво предвижда законът тогава?
С последното изменение на ЗЗЛД беше добавен чл. 25д, който въвежда конкретни изисквания към правилата за видеонаблюдение „при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони“. Съгласно GDPR и указанията на Работната група по чл. 29, в тези случаи администраторите на лични данни са длъжни също така да изготвят и оценка на въздействието (DPIA) по член 35 GDPR и да назначат длъжностно лице по защита на данните (DPO).
В GDPR или ЗЗЛД няма дефиниции за „мащабно обработване“ и „систематично наблюдение“. Според Работната група по чл.29 самият характер на видеонаблюдението го прави типичен пример за „систематично наблюдение“. Следователно, за да определим кога важат по-строгите изисквания, остава въпросът кога видеонаблюдението е мащабно. Работната група дава насоки относно възможните критерии за определяне. Според указанията, преценката се прави на база: 1) броя субекти, които са снимани (като конкретна бройка или процент от населението); 2) обема на обработваните данни; 3) продължителността да обработването и постоянно ли е то. Мащабно е например обработването на данни на пътниците в обществения транспорт. Ако видеонаблюдението се комбинира със системи за лицево разпознаване, които да следят редовен ли е пътника или не – то тогава обработването ще е не само мащабно, но и с повишено ниво на риска, поради възможността за вземане на автоматизирани решения с правно въздействие върху субектите (налагане на глоби).
Извод
Ако искате да използвате видеокамери за охрана на офиси или други помещения, може да разчитате на своя легитимен интерес. Това обаче не гарантира, че камерите ще бъдат законни. Видеонаблюдението винаги трябва да бъде пропорционално на преследваните от Вас цели. Затова още при монтирането е необходимо прецените как камерите минимално да засягат чуждото лично пространство. Това може да стане чрез поставянето им под ъгъл, който избягва или ограничава заснемането на служители, клиенти или случайни минувачи. Освен това задължително трябва да информирате хората, че са снимани, и да им осигурите достъп до записите и правилата за видеонаблюдението, ако пожелаят това. Прозрачността и целесъобразността са двата стълба, на които трябва да стъпите, за да бъдат Вашите камери законни.
