Не е изключено наблюдението да възпира работниците и служителите от упражняването на техни трудови права относно продължителността на работното време, почивки и други. „Наблюдението на съобщенията и на поведението би оказало натиск върху служителите да спазват правилата, за да избегнат разкриването на действия, които могат да се възприемат като нередни, подобно на начина, по който засиленото използване на вътрешна система за видеонаблюдение повлия върху поведението на гражданите на обществени места. Освен това поради възможностите на тези технологии би могло служителите да не са наясно какви лични данни се обработват и за какви цели, а същевременно е възможно дори да не знаят за съществуването на самата технология за наблюдение.”
Възниква въпросът как да бъде гарантирана неприкосновеността на личния живот на работниците и служителите, като се балансира интересът на работодателя да установи система за видеонаблюдение с цел спазване на определена трудова дисциплина, подобряване на производителността на труда, предотвратяване на загуба на интелектуална и материална собственост. Допускат ли правилата за защита на личните данни такова съчетаване на интересите, което да ползва работодателя и да не накърнява непропорционално личната сфера на работниците и служителите? Търсенето на отговора именно в уредбата на защитата на личните данни е съвсем резонно, предвид обстоятелството, че видеонаблюдението, при което се осъществява запис, несъмнено представлява обработване на лични данни. При него с автоматични средства се събира, записва и съхранява информация, която идентифицира физически лица. За да бъде обработването на данните законосъобразно, то следва да се подчинява на изискванията на Закона за защита на личните данни, а след 25 май 2018 г. – на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните).
Независимо от използваната технология, работодателят винаги трябва да отчита принципите, свързани с обработването на личните данни. Те са неизменни изисквания, които се прилагат във всяка една операция по обработване на данни и отговорността за съблюдаването им е задължение на администратора. Принципите по действащата уредба, разширени с Общия регламент относно защитата на данните, очертават условията, при които е допустимо да се установява видеонаблюдение на работното място.
1. Законосъобразност, добросъвестност и прозрачност
Спазването на този принцип изисква обработването на има правно основание, което да го прави допустимо. В зависимост от целта, която преследва осъществяването на видеонаблюдение на работното място, могат да бъдат приложими различни основания, предвидени в чл. 4 и 5 ЗЗЛД, а от 25 май 2018 г. – в чл. 6 и 9 ОРЗД, в зависимост от вида на събираните по този начин лични данни.
Работната група по чл. 29 приема, че за по-голямата част от случаите на обработване на лични данни на работното място правното основание не може и не следва да бъде съгласието на работниците или служителите поради естеството на отношенията им с работодателя. Това произтича от действащата уредба, която определя съгласието като свободно изразено, конкретно и информирано указание за волята на съответното лице по отношение на обработване на лични данни, които се отнасят до него. За да бъде валидно съгласието, то трябва да може и свободно да се оттегля. Обикновено работниците и служителите не са в позиция да дават, отказват или отменят свободно своето съгласие, особено ако то е дадено като клауза в трудовия им договор. Най-малкото се поставя под съмнение дали те не биха били обвързани с някакви правни последици, когато приемат или отхвърлят дадено предложение и дали също толкова лесно, колкото са подписали клаузата в трудовия договор, могат да оттеглят своето съгласие. Предвид това работодателят следва да обмисли другите правни основания за обработване на лични данни, в които по-адекватно би се проявила целта, заради която той иска да установи видеонаблюдение. Едва ли и житейски е оправдано да смятаме, че това е резултат само от неговото желание и от съгласието на работниците и служителите. Най-вероятно има друго основание, преценката за наличието на което трябва да бъде по-задълбочена.
В някои случаи използването на системи за видеонаблюдение на работното място може да е задължително по силата на нормативен акт (чл. 4, ал. 1, т. 1 ЗЗЛД, респ. чл. 6, пар. 1, б. „в“ ОРЗД). Такъв би бил случаят например, когато видеонаблюдението е мярка за физическа защита на класифицираната информация по смисъла на чл. 8, ал. 3, т. 7 от Наредбата за системата от мерки, способи и средства за физическата сигурност на класифицираната информация и реда за тяхното използване. Този конкретен случай има специфики, защото е извън приложното поле на Общия регламент относно защитата на данните предвид обстоятелството, че се отнася до дейности в областта на националната сигурност.Работодателят би могъл да се позове на законния си интерес като правно основание за видеонаблюдението (чл. 4, ал. 1, т. 7 ЗЗЛД, респ. чл. 6, пар. 1, б. „е“ ОРЗД). За да бъде обработването на лични данни законно на това основание, трябва да са спазени две кумулативни условия, а именно: 1) обработването да е необходимо за целите на законните интереси на администратора и 2) основните права и свободи на засегнатото физическо лице да нямат преимущество пред тези интереси. Според Съда на Европейския съюз „второто от тези условия изисква претегляне на разглежданите противоположни права и интереси, което по принцип зависи от обстоятелствата на конкретния случай и в рамките на което лицето или институцията, които го извършват, трябва да отчетат значението на правата на съответното физическо лице, произтичащи от членове 7 и 8 от Хартата на основните права на Европейския съюз“. Следователно от значение ще бъдат особеностите на конкретния случай, в който трябва да се отчетат както характера и източника на законния интерес на администратора, така и въздействието върху физическото лице. Например интересът на работодателя от видеонаблюдението може да произтича от контрола за спазването на определена трудова дисциплина, особено при производства, при които отклонението от установените процедури крие сериозни заплахи за живота и здравето на лицата; за да защити от незаконни посегателства оборудването на помещения и т.н. При всички положения целта на работодателя трябва да бъде легитимна, а избраният метод или технология за обработването на лични данни да се извършва с възможно най-малка намеса в личната сфера на работниците и служителите и да бъде насочено към конкретната област на риск.
Не е изключено правно основание за видеонаблюдението да бъде необходимостта да се защитят животът и здравето на работниците и служителите или на други лица, чиито данни се събират по този начин (чл. 4, ал. 1, т. 4 ЗЗЛД, респ. чл. 6, пар. 1, б. „г“ ОРЗД). За да се приложи това правно основание, е без значение дали заплахата е непосредствена, но се изисква тя да е реална. В противен случай основанието би се прилагало произволно, което няма да съответства на целта на уредбата.
С Общия регламент относно защитата на данните принципът за законосъобразност се допълва с изискването обработването да се извършва по прозрачен начин по отношение на субекта на данните (чл. 5, пар. 1, б. „а“). Това означава лицата да знаят по какъв начин техните лични данни се събират и използват и в какъв обхват се извършва обработването. Принципът на прозрачност изисква всякаква информация и комуникация във връзка с обработването на личните данни да бъде леснодостъпна и разбираема и да се използват ясни и недвусмислени формулировки. Като проявление на този принцип може да се разглежда информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, за тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. Освен това те трябва да знаят за извършването на профилиране и за неговите последствия. Когато личните данни се събират от самото лице, за което се отнасят данните, то трябва да бъде информирано дали е задължено да ги предостави и за последствията, в случай че не ги предостави. В този контекст принципът на прозрачност има важно практическо значение за възможността физическото лице, за което се отнасят данните, да упражнява своите права и тази връзка е изрично отчетена в чл. 12 ОРЗД.Изискването за прозрачност на обработването трябва да бъде отчетено и при извършването на видеонаблюдение. За пълното му прилагане няма да е достатъчно само да се укаже извършването на видеонаблюдение чрез информационни табла, поставени на видно място, за използването на технически средства за наблюдение и контрол на обекта, без да се уточнява тяхното местоположение. Информираността включва конкретното физическо лице да знае кой обработва данните му, какви данни обработва, с каква цел, на кого ги предоставя и кои лица имат достъп до тях. Работодателят е длъжен да предостави на работниците в предприятието необходимата информация, свързана с осъществяваното видеонаблюдение, както и за техните права по отношение на личната им неприкосновеност. „Документацията, регламентираща видеонаблюдението, следва да съдържа изчерпателно разписани процедурите за събирането, съхранението и осъществяването на контрол на работниците и производствения процес чрез направените видеозаписи. Освен това работодателят е длъжен да осигури на работниците и служителите указания за реда и начина на изпълнение на трудовите задължения и упражняване на трудовите права, включително запознаване с правилата за вътрешния трудов ред, предвид правилата на чл. 127, ал. 1, т. 5 от Кодекса на труда.“
2. Ограничение на целите
Събираните от администратора данни трябва да бъдат за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели. Както беше отбелязано, целта на обработването кореспондира с принципа за законност и в немалка част от случаите определя правото му основание. Правилата за защита на личните данни забраняват последващо използване лични данни за цели, които са несъвместими с първоначалните. Макар изкушението да е голямо, ако работодателят е установил система за видеонаблюдение с цел защита на имуществото, не би могъл чрез нея също така да наблюдава как служителите му работят, как се отнасят с клиентите или как общуват помежду си. Това би представлявало несъвместимо с първоначалните цели по-нататъшно обработване на данните. Няма пречка, обаче, при изискване от компетентните органи тези записи да им бъдат предоставени, ако те са необходими за изпълнение на техните правомощия. В случая основанието за обработване най-вероятно ще е спазване на законово задължение, което се прилага спрямо администратора.
3. Свеждане на данните до минимум
Независимо от правното основание, на което се извършва обработването на лични данни, преди да се пристъпи към него, е необходимо да се извърши проверка за пропорционалност. С нея се преценява дали обработването, начинът, по който то ще се извършва или използваните способи, са подходящи и съразмерни на целта на обработването. Тази проверка може да представлява част от оценка на въздействието върху защитата на данните, видно от чл. 35 ОРЗД. По отношение на видеонаблюдението такава проверка ще се изисква най-малкото с оглед преценката къде да бъдат разположени техническите устройства, за да постигат резултат в рамките на легитимната цел и без да накърняват прекомерно личната сфера на работниците и служителите. В своята практика КЗЛД обръща особено внимание на факта, че е недопустимо монтирането на камери в стаи за почивка, санитарни и обслужващи помещения. Неприкосновеността на личната сфера и опазването на достойнството на личността на работниците и служителите са общочовешки ценности, които работодателят следва да зачита по време на изпълнение на работата по трудовото правоотношение. Събираната чрез видеонаблюдението информация трябва да бъде сведена до възможния минимум, при който се постига целта.4. Точност
Вероятно с оглед на начина, по който се събират данните при видеонаблюдението, може да се очаква, че най-малки ще бъдат предизвикателствата пред спазване на принципа за точност на обработваните данни и при необходимост поддържането им в актуален вид. Този принцип задължава администратора своевременно да изтрива или коригира неточни лични данни, като се отчитат целите, за които те се обработват. Значението му не бива да се подценява и при способи за събиране на лични данни, които по своя характер обективно отразяват обстоятелствата от действителността, защото и при тях не са изключени нарушения или манипулации. Например ако целта на наблюдението е спазването на трудовата дисциплина, а наблюдаващото устройство не е конфигурирано към надежден източник на време, в резултат на което записва пристигането на работното място неточно, работникът има интерес да поиска коригиране, което администраторът е длъжен да удовлетвори. Интерес от заличаване на записите може да възникне, ако техническите устройства записват данни, с които се постигат различни цели от тези, за които е предназначено видеонаблюдението.
5. Ограничение на съхранението
Отнесен към обработването на лични данни чрез видеонаблюдение на работното място, спазването на този принцип предполага на първо място администраторът да определи срок, в който личните данни да бъдат съхранявани. Безсрочно съхранение не се допуска, както не се допуска и прекомерно дълъг срок, който не е в зависимост от целите, за които се обработват личните данни. Предвид това администраторът трябва да съхранява записите за минимален период от време, който винаги трябва да е конкретно определен и при необходимост периодично да бъде преразглеждан.
6. Цялостност и поверителност
Този принцип е предвиден в чл. 5, пар. 1, б. „е“ от Общия регламент относно защитата на данните и спазването му задължава администратора да вземе всички необходими мерки за защита на данните от непозволен достъп и от други рискове (загуба, унищожаване, повреждане, изменение), които могат да нарушат сигурността на данните. Обработването трябва да става по начин, който да осигурява подходяща степен на защита и нейното прилагане е задължение на администратора. За да може да докаже съответствието с изискванията на регламента, администраторът следва да приеме вътрешни политики и да приложи мерки, които да защитават данните на етапа на проектирането и по подразбиране. Това са нови задължения на администраторите, които изискват още в началния етап на планиране и изграждане и през цялото време на функциониране на всеки процес, система, услуга или продукт да прилагат подходящи организационни и технически мерки за защита на данните. Освен това по подразбиране обработването на личните данни трябва да съответства на всички принципи, които определят облика на уредбата.
7. Отчетност
Принципът на отчетност е сред новите изисквания на ОРЗД (чл. 5, пар. 2). С него се изразява способността на администратора във всеки един момент да докаже, че обработва личните данни законосъобразно, добросъвестно, прозрачно, в минимален обем, за постигане на ясно определени цели, съхранява точни данни, за времето, необходимо за постигане на тези цели, гарантира тяхната цялостност и поверителност.
Като средство за спазване на принципа за отчетност може да се разглежда воденето на регистри на дейностите по обработване, но поддържането само на документация за тези дейности няма да бъде достатъчно. От значение ще бъде установената цялостна организация по прилагането на ОРЗД, а в този процес не трябва да се подценява оценката на въздействието върху защитата на данните (чл. 35 ОРЗД). Тя представлява важен инструмент за отчетност, тъй като подпомага не само спазването на установените изисквания, но и демонстрира, че са предприети подходящи мерки. Работната група по чл. 29 приема, че оценката на въздействието върху защитата на данните е процес за осигуряване и доказване на спазването на изискванията. Други средства за спазване на принципа на отчетност, посочени от Комисията за защита на личните данни, са определяне на длъжностно лице по защита на данните, когато такова се изисква, своевременно уведомяване на Комисията за защита на личните данни и субекта на данни при нарушения на сигурността, прилагане на доброволни механизми за сертифициране и/или спазването на кодекси за поведение.
Регистърът на дейностите по обработване на лични данни като способ за отчетност трябва да се разграничава от понятието „регистър с лични данни“, определено в чл. 4, т. 6 ОРЗД. Регистър с лични данни е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип. В този смисъл регистърът с лични данни е съвкупността от данните, която се поддържа и съхранява от администратора, независимо от материалния им носител. Изборът на подход, по който да бъдат обособени данните – централизиран, децентрализиран, функционален или географски принцип, е в преценката на администратора. Например обособяването на регистър „Видеонаблюдение“ като структуриран набор на данните, съдържащи се в записите, се основава на функционален принцип поради това, че обединяващ елемент е дейността по обработването – в случая видеонаблюдението като запис на лични данни с автоматични средства. До прилагането на Общия регламент относно защитата на данните обособяването на регистър с лични данни има голямо практическо значение, доколкото е пряко свързано с регистрацията на администраторите на лични данни пред Комисията за защита на личните данни. Понастоящем, за да е допустимо видеонаблюдението, администраторът трябва да заяви за вписване в регистъра на администраторите на лични данни по чл. 10, ал. 1, т. 2 ЗЗЛД или отделен регистър „Видеонаблюдение“, или в друг обявен регистър да посочи, че обработването на лични данни в него ще се извършва чрез автоматични средства. Считано от 25 май 2018 г., от когато ще се прилага ОРЗД, отпада задължението за регистрация на администраторите на лични данни пред Комисията за защита на личните данни. Това не означава, че отпада преценката за структуриране на личните данни в регистър, която е свързана с оценката на въздействието върху защитата на личните данни.
8. Гарантиране на правата на физическите лица
При видеонаблюдението, също както и при всеки друг вид обработване на лични данни, попадащо в обхвата на ОРЗД, администраторът е длъжен да гарантира упражняването на правата на субектите на данни, сред които основно място можем да отдадем на правото на информираност и на достъп. Те със сигурност са самостоятелни права на физическите лица, но биха могли да се разглеждат и като предпоставка за упражняване на другите права – коригиране или изтриване, ограничаване на обработването, правото на възражение. Без лицето да знае за обстоятелствата относно обработването и без да има достъп до събраните данни, едва ли е очаквано да отправя искания, свързани с тяхно качество или да има възражения по обработването.
Комисията за защита на личните данни отговаря утвърдително на въпроса имат ли физическите лица право на достъп до отнасящи се за тях видеозаписи. Когато по този начин могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него. За тази цел той трябва да предприеме съответни технически мерки за заличаване/маскиране на образите на другите лица-обект на видеонаблюдението. При липса на такава техническа възможност достъп до видеозаписи може да бъде предоставен само със съгласието на всички лица-обект на видеонаблюдението.
Физическото лице има право да възрази пред администратора срещу осъществявано спрямо него видеонаблюдение, а отговорност на администратора е да докаже наличието на правно основание за обработването на личните му данни.
В ОРЗД е предвидено изрично, че администраторът трябва да съдейства за упражняването на правата на субекта на данните (чл. 12, пар. 2). Когато субектът на данни подава искане с електронни средства, по възможност информацията също следва да се предоставя с електронни средства, освен ако не е поискано друго.
Администраторът трябва безплатно да предоставя изискуемата от Регламента информация и комуникация и да разглежда исканията за упражняване на правата на физическите лица. Предвижда се срок, в който администраторът трябва да информира лицето за действията, предприети във връзка с неговите искания за упражняване на права. Това трябва да става без ненужно забавяне в рамките на един месец от получаване на искането. Допуска се срокът да бъде удължен с два месеца, но като се отчете сложността и броя на исканията, а не във всички случаи. За удължаването на срока за произнасяне физическото лице трябва да бъде надлежно информирано, като се посочат и причините за забавянето.
Ако администраторът не предприеме действия по искането за упражняване на права, лицето има възможност да подаде жалба до надзорния орган или да търси защита по съдебен ред. Във всеки случай, когато лицето счита, че с видеонаблюдението се нарушават негови права по ЗЗЛД, респ. ОРЗД, той разполага с възможността да сезира Комисията за защита на личните данни или съда.
Разглеждането на принципите, свързани с обработването и правата на физическите лица при обработване на личните им данни, споделя изводите, направени от Комисията за защита на личните данни в нейната практика. „Видеонаблюдението не може да бъде оправдано при определени обстоятелства, при които се търси импулсивна защита, без да се обмислят адекватно съответните необходими условия и мерки.“ При него неизменно трябва да се балансират често противоположни интереси, като се държи сметка, че защитата на физическите лица във връзка с обработване на личните им данни е основно право. То, обаче, не е абсолютно, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в хармония с други основни права.
Д-р Невин Фети, юрист
