СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № ПНМД-17-239/2023 г.
гр. София, 24.11.2023 г.
ОТНОСНО: Законосъобразност на видеонаблюдение за целите на оценка на представянето и изпълнението на трудовите задължения на служители във връзка с определянето на допълнителното им трудово възнаграждение
Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 15.11.2023 г., разгледа писмо с вх. № ПНМД-17-239/20.10.2023 г. от „ЛУКОЙЛ – България“ ЕООД (Дружеството), с което се иска становище относно законосъобразността при използването на видеонаблюдение за оценка на представянето и изпълнението на трудовите задължения на служителите му във връзка с определянето на тяхното допълнително трудово възнаграждение.
Дружеството притежава верига бензиностанции (обекти/бензиностанции) на територията на страната, на които се осъществява видеонаблюдение с оглед защита на легитимните му интереси. То е в процес на разработване на система, при която, въз основа на предварително определени критерии за изпълнение на компоненти на трудовите задължения, за служителите по обектите да бъдат предоставяни бонуси към трудовите им възнаграждения. Целта на Дружеството, като работодател, е да има обективно наблюдение за представянето на своите служители по обектите, а не да разчита на субективната преценка на регионалните мениджъри, които пряко отговарят и наблюдават работата на бензиностанциите и на служителите, които работят на тези обекти. Именно, за да има обективност при оценяване изпълнението на компонентите на трудовите задължения от тези служители, Дружеството изразява желание да използва наличните системи за видеонаблюдение по обектите.
Процесът по наблюдение на видеосистемите за посочените цели ще се извършва изцяло от служители на Дружеството, предоставящи работната си сила извън обектите и извън всякакъв контакт със служителите на въпросните обектите. Тези служители, отговарящи за наблюдението на видеосистемите, периодично, след обективно отчитане на изпълнението на конкретни задължения с оглед спазването на стандартите на Дружеството за висококачествено обслужване, ще изготвят справки за представянето на служителите. С оглед на данните от справките, на служителите на обектите периодично ще бъде изплащан бонус (възнаграждение с променлив характер). От дружеството подчертават, че видеонаблюдението за представянето на служителите, съответно – справките, по никакъв начин не засягат и няма да променят трудовото възнаграждение с постоянен характер. При определяне на възнагражденията с променлив характер, и с оглед яснота за формирането им, служителите ще имат право на преглед на видеозаписите, което означава, че дейността по обработването на лични данни ще се извършва в условията на пълна прозрачност. Служителите, като субекти на обработваните данни, ще бъдат информирани за целите на такова обработване, като ще бъдат осигурени и всичките им права по приложимото законодателство в областта на защитата на личните данни.
С оглед на описаната фактическа обстановка, разбирането на Дружеството е, че доколото подобно видеонаблюдение, а по възможност – и аудиозапис, води до придобивки за служителите, работодателят би могъл да въведе подобна система. По мнение на Дружеството, при нейното прилагане се защитава легитимният интерес на работодателя, а именно – поддържане на качествено обслужване на клиентите на обектите, като същевременно се обслужва и интереса на работника да получава допълнително възнаграждение с променлив характер. В тази връзка намират, че такова обработване на лични данни е справедливо за служителите. За яснота в писмото се посочва, че към момента в Дружеството действа система за определяне на бонуси, като част от предоставяния бонус по нея зависи от субективен фактор, каквато е преценката на съответните регионални мениджъри за представянето на служителите по обектите. Желанието на Дружеството, като работодател, е да избегне именно субективния фактор, като допълнителните възнаграждения се определят на базата на обективни данни от видеозаписи (а по възможност – и на аудиозаписи), ясно показващи конкретното изпълнение на конкретни задължения от страна на служителите.
С оглед гореизложеното, Дружеството моли КЗЛД да изрази становище по следните въпроси:
|
1. Възможно и законосъобразно ли е използването на видеонаблюдение за оценка на представянето и изпълнението от страна на служителите на обектите на компоненти от трудовите им задължения, по предварително определени критерии и с цел заплащане на лицата на допълнителни възнаграждения с променлив характер, без по никакъв начин това да засяга трудовите възнаграждения с постоянен характер?
2. Възможно и законосъобразно ли е в допълнение на горното и със същите цели и при същите критерии, да се използват и аудиозаписи?
3. Следва ли работодателят да извърши предварителни действия и какви, тъй щото обработването на лични данни на служителите по посочения начин, да се извършва в съответствие с ОРЗД и ЗЗЛД?
|
Правен анализ:
Видеонаблюдението е дейност, свързана със събиране и съхранение на образни или аудиовизуални данни за лица, попадащи в обхвата на наблюдавана зона, които подлежат на пряко или косвено идентифициране въз основа на техния външен вид или други специфични признаци. Съществен елемент от тази дейност е, че самоличността на лицата може да бъде установена въз основа на тези данни, а също така се създава възможност за обработване на данни относно присъствието и поведението на лицата в съответната зона. В този смисъл видеонаблюдението попада в материалния обхват на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) и Закона за защита на личните данни (ЗЗЛД) и следва да се осъществява съобразно техните изисквания.
По общо правило, за да бъде обработването на лични данни законосъобразно в рамките на обхвата на ОРЗД, то трябва да се осъществява въз основа на някое от правните основания, посочени в чл. 6, пар. 1 и/или чл. 9, пар. 2 от същия, както и да бъдат приложени ефективно принципите, прогласени с неговия чл. 5.
Регламент (ЕС) 2016/679 въвежда специални правила относно обработването на лични данни в контекста на трудово или служебно правоотношение. Съгласно чл. 88, пар. 2 от ОРЗД правилата, които се приемат в националните законодателства на държавите членки, трябва да включват подходящи и конкретни мерки за защита на човешкото достойнство, законните интереси и основните права на субекта на данните, по-специално по отношение на прозрачността на обработването, предаването на лични данни в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност и системите за наблюдение на работното място.
Задължително условие е работниците и служителите да се уведомяват за тези системи, както и за правилата и процедурите, които се въвеждат от работодателите. Нещо повече, задължение на администратора е, още на етапа на планирането на въвеждане на системи за наблюдение, да извърши прецизна оценка на риска за правата и свободите на субектите на данни, които с различна вероятност и тежест, могат да произтичат от конкретното обработване на лични данни. В този смисъл, по аргументи от съображение (75) от преамбюла на Регламент (ЕС) 2016/679, дейността по анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място изначално е изведена, като високорискова. Това предполага, преди да започне конкретното обработване да се извърши и оценка на въздействието върху защитата на личните данни, като съществен елемент от нея са становищата на длъжностното лице по защита на данните и на засегнатите субекти на данни (в случая – работниците и служителите в търговските обекти, както и третите лица, които ги посещават, доколкото става въпрос за обществено достъпна зона и се засяга голям брой субекти на данни).
В конкретния случай става въпрос за голям брой търговски обекти, представляващи публично достъпни зони, което предполага, че същите се посещават от неограничен брой лица. Сред тези лица могат да се установят различни категории субекти на данни, като служители, клиенти, посетители и други лица, както и деца, които при посещение на бензиностанция, попадат в обхвата на системата ѝ за видеонаблюдение. Това означава, че в обхвата на видеонаблюдението попадат освен лицата, които имат пряко отношение към оценката на трудовото изпълнение, но и голям брой други лица, които нямат връзка с него и се явяват трети лица.
Съгласно законодателството за защита на данните, лицата имат право на достъп само до свои лични данни, но не и до данни на трети лица. В този смисъл, достъпът до личните данни на толкова голям брой субекти – трети лица, от страна на служителите, извършващи оценката на трудовото изпълнение, е неотносимо към целите на обработването. Принципно положение е, че при упражняване на правото на достъп по ОРЗД (напр. чрез предоставянето на копие от записи от видеонаблюдение) не следва да се влияе неблагоприятно върху правата и свободите на други лица (вж. чл. 15, пар. 4 от ОРЗД). В такива случаи администраторът следва да предприеме подходящи технически и организационни мерки за заличаване на образите на заснетите трети лица. В конкретния случай, видеозаписът може да разкрие данни на голям брой трети лица, като е технически невъзможно тези данни да бъдат замъглени, така че да се спазят изискванията на ОРЗД.
По отношение на целите на обработването – оценка на трудовото представяне и изпълнение на служебните задължения на работника/служителя, респ. определянето на съответното допълнително възнаграждение, следва да се има предвид и трудовото законодателство.
Разпоредбите на Кодекса на труда (КТ), макар и приети много преди приемането на действащото законодателство в областта на защитата на личните данни, също въвеждат защитни мерки относно зачитането на неприкосновеността на личното пространство в работен контекст. Така например, съгласно чл. 127, ал. 2 от КТ работодателят е длъжен да пази достойнството на работника или служителя по време на изпълнение на работата. Отношение към планираното обработване на лични данни има и разпоредбата на чл. 107и, ал. 3, т. 7 от КТ, според която работодателят може да въведе, за своя сметка, система за наблюдение, ако такава се налага да бъде монтирана на работното място и е получено писмено съгласие на работника или служителя за това, като в тези случаи задължително се зачита правото му на лично пространство. Разпоредбата е приета много преди ОРЗД, но отчита принципното разбиране, че такова обработване на лични данни следва да е справедливо, необходимо и пропорционално. Изразът „ако такава се налага“ предполага, че целите на работодателя не могат да бъдат постигнати с други средства, какъвто не е разглежданият случай.
Съгласно Насоки № 3/2019 относно обработването на лични данни чрез видеоустройства, приети от Европейския комитет по защита на данните (ЕКЗД) на 29 януари 2020 г. личните данни следва да са подходящи, относими и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“), вж. чл. 5, пар. 1, б. „в“ от ОРЗД. Преди да предприеме инсталиране на система за видеонаблюдение, администраторът следва във всички случаи внимателно да анализира дали тази мярка е първо, подходяща за постигането на поставената цел и второ, адекватна, и необходима с оглед на неговите цели. Мерки за видеонаблюдение трябва да се предприемат единствено, ако целта на обработването не може да бъде постигната в достатъчна степен с други средства, които водят до по-малка намеса в основните права и свободи на субекта на данните. С още по-голяма сила това важи и за записването на звук (разговори), тъй като той е допълнителна категория лични данни. Освен това, преди да започне да използва система от камери, администраторът е длъжен да оцени къде и в кои случаи мерките за видеонаблюдение са строго необходими.
Прекалено интрузивните мерки за наблюдение могат да причинят на служителите ненужен стрес и могат също така да подкопаят доверието в администратора. Използване на видеонаблюдение за целите на проследяване как персоналът изпълнява своите трудови задължения трябва да бъде избягвано, освен в изключителни случаи – когато това се налага от законодателството или при високорискови производствени дейности (напр. във фармацията, химическата промишленост, атомната енергия и пр.). Цели като управление на производителността на работното място, осигуряване на контрол на качеството, прилагане политиките на администратора (работодателя) или осигуряване на доказателства за разрешаване на спорове, сами за себе си не оправдават видеонаблюдението на работното място1.
Безспорно е, че Дружеството има легитимен интерес (чл. 6, пар. 1, б. „е“ от ОРЗД) да осъществява видеонаблюдение за охранителни цели в своите търговски обекти. Тези, легитимни за администратора цели, включват обезпечаването на сигурността на обектите, защита на живота и здравето на служителите и третите лица (клиенти и посетители), опазване на имуществото и пр. При необходимост, записите от системата за видеонаблюдение могат да бъдат използвани и за целите на разрешаване на клиентски оплаквания или жалби. Обработването обаче на събраните от видеонаблюдението данни за друга цел, каквато е оценяването на личностното представяне и изпълнението на трудовите задължения на служителите за нуждите на определянето на допълнителното им трудово възнаграждение, представлява форма на последващо обработване на лични данни.
Правилата за последващо обработване на лични данни са регламентирани в чл. 6, пар. 4 от ОРЗД, съгласно който когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по чл. 23, пар. 1 от ОРЗД, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание следните критерии:
• всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;
• контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;
• естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно чл. 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно чл. 10 от ОРЗД;
• възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;
• наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.
За планираното обработване на лични данни съгласието е неприложимо основание, поради трудовия контекст. От друга страна, липсва изрично законодателство, което да разрешава подобно видеонаблюдение. Налице е и невъзможност да бъдат изпълнени горепосочените критерии за преценка на съвместимостта между първоначалната и последващата цел. Следователно, може да се направи обосновано заключение, че оценката на личностното представяне и изпълнението на трудовите задължения на служителите за нуждите на определянето на допълнителното им трудово възнаграждение, е друга, последваща цел, която е абсолютно несъвместима с първоначалната (охранителната).
Не на последно място, следва да се отбележи, че така планираното обработване на лични данни се отнася и до дейности, които попадат в обхвата на понятието „профилиране“. Съгласно легалната му дефиниция в чл. 4, т. 4 от ОРЗД, то означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение. По силата на чл. 22 от ОРЗД субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за него или по подобен начин го засяга в значителна степен. Това право не се прилага, когато автоматизираното решение:
• е необходимо за сключването или изпълнението на договор между субект на данни и администратор;
• е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или
• се основава на изричното съгласие на субекта на данни.
Нито една от посочените хипотези обаче не е приложима, тъй като сключването и изпълнението на договор между субекта на данни и работодателя му не е сред приложимите основания за последващо обработване на лични данни по смисъла на чл. 6, пар. 4 от ОРЗД. От друга страна, липсват и специални правни норми, които да позволяват обработване на лични данни чрез видеонаблюдение за целите на предоставянето на допълнително възнаграждение. И накрая, въпреки че по смисъла на чл. 6, пар. 4 от ОРЗД съгласието е едно от основанията за допустимост на последващо обработване, в конкретния случай то не може да бъде валидно2 в отношенията между работодател и работник/служител.
По тези съображения и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 и чл. 12 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Последващото обработване на записите от видеонаблюдението, включващо и звукозапис, за целите на оценката на личностното представяне и изпълнението на трудовите задължения на служителите на „ЛУКОЙЛ – България“ ЕООД, за нуждите на определяне на допълнителното им трудово възнаграждение, не съответства на изискванията на чл. 6, пар. 4 от Регламент (ЕС) 2016/679, следователно е недопустимо.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
_________________
1The EDPS video-surveillance guidelines, Brussels, 17 March 2010; вж. също Становище № 2/2017 на РГ29 относно обработването на данни на работното място, РД249, прието на 8 юни 2017 г.
2 Вж. Насоки 5/2020 на ЕКЗД относно съгласието в съответствие с Регламент (ЕС) 2016/679, приети на 4 май 2020 г.
