С Т А Н О В И Щ Е

НА

КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

рег. № ПНМД-01-35/2026 г.

гр. София

ОТНОСНО: Видеонаблюдение в салони за козметични процедури

Комисията за защита на личните данни (КЗЛД) в състав – членове: Василка Рангелова, Ивайло Станев, Цветана Червенякова – Илиева и Цветелин Софрониев, на свое редовно заседание, проведено на 12.02.2026 г. разгледа позицията на Омбудсмана на Република България относно незаконно заснемане на клиенти по време на козметични процедури в салони в град Бургас.

Във връзка с това, на основание чл. 58, пар. 3, б. б) от (Общ регламент относно защитата на данните, ОРЗД) и чл. 10а, ал. 1 от Закона за защита на личните данни, Комисията за защита на личните данни изрази следното

СТАНОВИЩЕ

Видеонаблюдението е дейност, свързана със събиране и съхранение на образни и/или аудио данни за лица, попадащи в обхвата на наблюдавана зона, които подлежат на пряко или косвено идентифициране въз основа на техния външен вид или други специфични признаци. Съществен елемент от тази дейност е, че самоличността на лицата може да бъде установена въз основа на тези данни, а също така се създава възможност за обработване на данни относно присъствието и поведението на лицата в съответната зона. Събирането и съхранението на образни и/или аудио данни за лицата, представлява обработване на лични данни чрез автоматични средства – оптични или аудиовизуални устройства (камери). Именно поради това то се приема като дейност по обработване на лични данни, попадаща съгласно чл. 2, пар. 1 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) в неговия материален обхват, респ. следва да се осъществява съобразно неговите изисквания.

За целите на настоящото становище е необходимо да се посочат дефинициите на понятията „лични данни“ и „обработване“, разписани съответно в чл. 4, т. 1) и т. 2) от ОРЗД:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

За да е законосъобразно обработването на лични данни, е необходимо наличието на поне едно от основанията, посочени в чл. 6, пар. 1 и/или чл. 9, пар. 2 от ОРЗД, както и да са изпълнени принципите, прогласени в чл. 5 от същия регламент.

В конкретния случай, става въпрос за две различни/отделни операции по обработване на лични данни – заснемане и разпространение чрез интернет. За всяка от тези операции по обработване е необходимо правно основание. Доколкото обаче става въпрос за специални категории данни, за които обработването е принципно забранено, основанието за обработване и в двата случая (и за записването, и за разпространението) не може да се основава на нито едно от условията, посочени в чл. 9, пар. 2, б. б) – й) от ОРЗД. Отделно следва да се разгледа основанието по чл. 9, пар. 2, б. а) от ОРЗД, а именно когато субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в чл. 9, пар. 1 от ОРЗД забрана не може да бъде отменена от субекта на данни.

Съществен елемент от законосъобразността на обработването, в тези случаи, е валидността на съгласието, което според дефиницията в чл. 4, т. 11) от ОРЗД трябва да е „свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие“. За да е валидно съгласието трябва да са изпълнени кумулативно всички от посочените негови характеристики. Съгласието трябва да отговаря и на изискванията на чл. 7 от ОРЗД, като тежестта на доказването, че е дадено валидно съгласие, е на администратора на лични данни.

Следва да се има предвид, че Законът за частната охранителна дейност е приложим, когато видеонаблюдението се извършва или е възложено на лице, лицензирано да извършва частна охранителна дейност. За останалите случаи не предвиден регистрационен или лицензионен режим.

Основно задължение и отговорност на администратора на лични данни е да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва законосъобразно. При тяхното въвеждане той трябва да вземе предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица (арг. чл. 24 от ОРЗД).

В съответствие с чл. 35, пар. 1 от ОРЗД, администраторите на данни са длъжни да извършват оценка на въздействието върху защитата на данните (ОВЗД), когато дадена дейност по обработване на данни е съпроводена с висок риск за правата и свободите на физически лица. Очевидно е, че такава оценка не е извършвана в конкретния случай, тъй като тя щеше да покаже, че поради прекомерно високите рискове, обработването на лични данни по този начин (чрез заснемане и чрез разпространение на записите) би било недопустимо. На практика, в резултат на обработването има данни, че са настъпили или биха могли да настъпят занапред материални и нематериални вреди, като например дискриминация, накърняване на репутацията, субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни, когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията в пространството, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни и др.

При оценката на риска и оценката на въздействието върху защитата на личните данни следва да се вземат предвид и разумните очаквания на субектите на данни. Заснемането/наблюдението и разпространението на записи или онлайн излъчване на физически лица в момент на козметични процедури, особено в случаи без облекло, е крайно недопустимо, неморално и не кореспондира с разумните очаквания на когото и да е. Аналогично, недопустимо е заснемането/наблюдението/разпространението онлайн/излъчването в реално време на изображения на физически лица в състояние на уязвимост или направени в санитарни помещения, съблекални, стаи и места за почивка, помещения за възстановяване и други дейности в свободното време, ресторанти, паркове, кина, зали за фитнес, и т.н. Списъкът обаче, не може да бъде изчерпателен, поради което за всеки отделен случай следва да се извърши оценка на рисковете и на въздействието. С напредването и възможностите на технологиите възникват и допълнителни рискове, свързани конкретно с публикуването на изображения на физически лица в интернет пространството, тъй като същите могат да бъдат обработени и/или манипулирани допълнително с приложения, използващи изкуствен интелект. Такъв вид обработване би могло да доведе до въздействието върху правата и свободите на субекти на данни, които дори не са били засегнати от конкретното видеозаснемане.

Оценката на риска, съответно оценката на въздействието е задължение на администратора на лични данни, тъй като той по дефиниция сам определя целите и средствата за обработването на лични данни. В хипотезата на чл. 35, пар. 10 от ОРЗД, когато обработването съгласно чл. 6, пар. 1, буква в)^[1] или д)^[2] от същия регламент има правно основание в правото на Съюза или в правото на държавата членка и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание (в рамките на законодателния процес), пар. 1 – 7 на чл. 35 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване. В конкретния случай тази хипотеза е неприложима, тъй като обработването, което се обсъжда, е несъвместимо както с моралните, така и с правните норми. Нещо повече, то е осъществявано в пълно противоречие с принципите, прогласени в чл. 5 от ОРЗД, особено, но не само, на принципа за законосъобразност, добросъвестност и прозрачност. Липсва каквото и да е ограничение на целите на обработването, като в случая те не са нито изрично указани, нито са легитимни.

Надзорният орган няма за задача и правна възможност да извършва оценка на въздействието върху защитата на личните данни от името на администратора в конкретни случаи, доколкото те се отличават със своята специфика, естество и контекст, които са различни във всеки отделен случай. Надзорният орган обаче, може да изразява становища в рамките на законодателния процес на основание чл. 36, пар. 4 от ОРЗД.

От гледна точка на сигурността на данните, администраторът и обработващият (когато е приложимо) следва да прилагат подходящи технически и организационни мерки, за да осигурят ниво на сигурност, което е съобразено с нивото на идентифицирания риск.

Обект на разследването на надзорния орган е, дали в конкретния случай са предприети конкретни технически и организационни мерки и доколко те са били подходящи за да гарантират сигурността на данните. Твърдения на администраторите, че не знаят за наличието на камери или че те не работят в контролираните от тях помещения, биха били неоснователни. От друга страна, въведените мерки следва да осигуряват защита срещу неоторизиран достъп до въпросните камери, като твърдения за т.нар. хакване също не биха смекчили вината при определянето на административното наказание. Нещо повече, администраторът има конкретни задължения, когато разбере за възникнало нарушение на сигурността на данните, ако се твърди такова, по чл. 33 и чл. 34 от ОРЗД.

Съгласно чл. 51 от ОРЗД надзорните органи по защита на данните са отговорни за наблюдението на прилагането на ОРЗД, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза. На национално ниво, със Закона за защита на личните данни (ЗЗЛД) КЗЛД е определена като постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на ЗЗЛД. КЗЛД изпълнява задачите по чл. 57 от ОРЗД и упражнява правомощията по чл. 58 от същия регламент.

КЗЛД може да дава и указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни. На официалния сайт на комисията са публикувани редица материали в помощ на администраторите на лични данни, като по отношение на видеонаблюдението/видеозаснемането са публикувани конкретни решения от практиката на комисията, множество становища, както и насоки, включително на Европейския комитет по защита на данните (ЕКЗД).

Доколкото КЗЛД не е сред конституционно определените органи с право на законодателна инициатива, като надзорен орган би участвала във всяка дискусия, касаеща обработването на лични данни и свързана с приемането на законодателни мерки, които да гарантират правата и свободите на субектите на данни.

Настоящото становище е изразено изцяло въз основа на Регламент (ЕС) 2016/679 и ЗЗЛД, като не засяга аспектите на случая, които попадат в приложното поле на Наказателния кодекс.

                                                                                                                                                                                                        ЧЛЕНОВЕ:

                                                                                                                                                                                                                       ВАСИЛКА РАНГЕЛОВА

                                                                                                                                                                                                                        ИВАЙЛО СТАНЕВ

                                                                                                                                                                                                        ЦВЕТАНА ЧЕРВЕНЯКОВА-ИЛИЕВА

                                                                                                                                                                                                                          ЦВЕТЕЛИН СОФРОНИЕВ

[1] чл. 6, пар. 1, буква в) от ОРЗД – обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора.

[2]  чл. 6, пар. 1, буква д) от ОРЗД – обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.