Ако се притеснявате от кражби, грабежи или вандализъм на територията на Ваш имот или търговски обект, вероятно вече сте прибегнали до използването на видеонаблюдение или сте го обмисляли. Технически поставянето на камери става все по-лесно и достъпно с напредването на технологиите, но правните предизвикателства, които възникват, не намаляват. Какви изисквания трябва да имате предвид при поставянето на видеокамери? Какви ограничения се поставят от Регламент 2016/679 (GDPR) по отношение на обработването на лични данни? Какви задължения ще възникнат за Вас като администратори на лични данни с инсталирането на устройствата?
Практически насоки ни дава Европейският комитет по защита на данните (EDPB/ Комитета), най-ключовите от които са обобщени по-долу:
Правно основание на обработването
За да е законно обработването на лични данни (каквото е и видеонаблюдението), трябва да е налице поне едно от правните основания по чл. 6 GDPR. Най-често като основание за обработване на данни чрез видеонаблюдение се използва легитимният интерес на администратора (защита срещу кражби, вандализъм и др.). Небходимо е:
- Да е налице реален риск или опасна ситуация, които могат да се докажат – чрез статистика на престъпността в района, например;
- Да няма други подходящи средства, чрез които интересът може да се защити, без да се инсталира видеонаблюдение;
- Да се вземат предвид основателните очаквания на субектите – например, неприемливо е наблюдение в санитарни помещения, в стаи за отдих и др. под.;
- Наблюдението да е ограничено на територията на защитавания обект (само ако това не е достатъчно ефективно, може обсегът да се разшири).
Допустимо ли е видеозаписите да се предават на трета страна?
Предаването на трета страна представлява отделен вид обработване по смисъла на Регламента и като такова трябва да има собствено правно основание – например, ако националното законодателство поставя такова задължение при определени обстоятелства (за подпомагане на разследване, по искане па полицейски орган или прокуратура).
Обработване на специални категории лични данни
Ако се налага обработването на специални категории данни, чието обработване е по правило забранено, то следва да е налице поне едно от условията, изключващи забраната за обработване на такива данни (чл. 9 § 2 от GDPR). Ако чрез обработването се цели запазването на жизненоважните интереси на субекта, а той е физически или юридически неспособен да даде съгласието си, това би дало основание за обработването на такива данни (чл. 9 § 2, б. „в“). Такъв пример е видеонаблюдение на здравословното състояние на пациент, който е докаран в лечебното заведение в безсъзнание. Ако наблюдението е започнало, когато той не е бил способен да даде съгласието си, това не би било в противоречие с изискванията на GDPR. Комитетът коментира още изключението по отношение на данни, които явно са направени обществено достояние от субекта. Според Комитета, навлизането в район под видеонаблюдение не позволява на администратора да обработва специални категории данни на основание, че субектът ги е направил явно обществено достояние.
Права на субекта на данни
Важно е да се отбележи, че субектите на данни се ползват от всички права, които GDPR им дава – право на информация и достъп до обработваните данни, правото да бъдат коригирани данните, правото „да бъдеш забравен“ и т.н.:
- Право на субекта на достъп до данните, събирани за него. Ако се използва наблюдение в реално време, без да има съхранение на данни,то при поискване на информация от страна на субекта на данни, достатъчно е да се потвърди, че обработването е преустановено и няма съхранени данни за субекта.
Комитетът обръща внимание и на случаите, при които на субекта на данни не би могло да бъде осигурен достъп до данните, събирани за него:
- Разкриването им би довело до неблагоприятно засягане на правата на трети лица (например предоставянето на видеозаписи на един субект на данни би могло неблагоприятно да засегне правата и свободите на други лица, разпознаваеми на записа; в такива случаи Бордът съветва да не бъде ограничавано правото на достъп на субекта на данни, а вместо това да се използват средства за обработка на снимки, които скриват идентичността на трети лица).
- Невъзможно е субектът да бъде идентифициран – например, ако през района, който се наблюдава, преминават множество хора на ден.
- Отправеното искане е явно неоснователно или прекомерно (поради повтаряемост, например);
- „Правото да бъдеш забравен“ – данните за лице, събрани при обработването, трябва да бъдат заличени ако вече не са необходими за целите, за които са били обработвани. Освен това:
- Ако има отправено искане от страна на субекта на данни. Ако данните са били предоставени на трети страни, те също следва да бъдат осведомени за отправеното искане;
- Ако
основанието за обработване отпадне:
- Когато субектът на данни оттегли съгласието си за обработване;
- Когато интересите на субекта надделяват над легитимния интерес на администратора;
- когато субектът на данни се противопостави на обработването на данни за маркетинг цели.
Освен задължението на администратора да изтрие данните при поискване, не трябва да се забравя и принципът на свеждане на данните до минимум, т.е. обработваните данни да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.
- Право на възражение – субектът на данни има право да възрази срещу обработването на данни (преди навлизане в наблюдаваната зона, по време на пребиваването си в нея или след напускането ѝ). Администраторът трябва да докаже, че неговият законен интерес или защитаваният обществен интерес надделяват над правата и интересите на субекта (например, обработването е необходимо за осъществяването на вътрешно разследване).
Прозрачност на обработването и информиране при видеонаблюдение.
Едни от най-полезните насоки, които дава Комитетът, са свързани с информирането на субектите на данни. Добра практика, която отговаря на стандартите на Регламента, е използването на т.нар. многопластов подход за представяне на информацията:
- Първи пласт: информационна табела, която информира по ясен и недвусмислен начин за извършваното видеонаблюдение (не е необходимо да се посочва точното местоположение на камерите). Необходимо съдържание:
- Самоличност на администратора или обработващия данни (както и на представители и контакти на Длъжностно лице по защита на данните, ако има такова);
- Цели и основания на обработването;
- Права на субектите на данни;
- Най-сериозни въздействия на обработването;
- Всякаква информация, която може да е неочаквана за субекта на данни.
Вторият слой информация може да бъде представен под формата на информационни брошури, поставени на лесно достъпно и видимо място.
Период на съхранение и технически изисквания
Колкото по-дълъг е периодът на съхранение (особено над 72 часа), толкова по-сериозни доказателства трябва да има, за да се обоснове съхранението. Съхранението обикновено се аргументира с евентуалната нужда да бъдат използвани като доказателство. За тази цел обаче обикновено е достатъчен период от 24 часа.
При избор на технически средства за наблюдение администраторът задължително трябва да съобрази всички принципи на обработване на данни, заложени в Регламента. Трябва да бъде осигурена както подходяща техническа, така и физическа защита на компонентите на системата за видеонаблюдение. Самият достъп до системата и обработваните данни следва да бъде максимално ограничен до само оторизирани от администратора лица.
Оценка на въздействието
В последната част на Насоките Комитетът припомня, че ако обработването се осъществява при систематично мащабно наблюдение на публично достъпна зона или когато се обработват специални категории данни, Регламентът поставя изискване да се извърши оценка на въздействието на защитата на данните (ОВЗД). Насоките относно ОВЗД и относно това кога съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 са достъпни тук. Обобщена информация по този въпрос можете да откриете в други публикации в нашия блог (тук и тук).