Към главното съдържание

Становище на КЗЛД оносно задълженията на футболните клубове във връзка с използването на системи за видеонаблюдение

 

СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № ПНМД-01-30/2024 г.
гр. София, 15.04.2024 г.

 

ОТНОСНО: Задължения на футболните клубове във връзка с използването на системи за видеонаблюдение

 

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 10.04.2024 г., разгледа писмо с вх. № ПНМД-01-30/08.03.2024 г. от г-н П. С., с молба за изразяване на становище относно задълженията на футболните клубове при използването на системи за видеонаблюдение.

В писмото се посочва, че съгласно сега действащото българско законодателство и правилата на Българския футболен съюз (БФС), футболните клубове са задължени да извършват видеонаблюдение на спортните мероприятия, които се провеждат на територията на спортни съоръжения. За да спазят тези изисквания, футболните клубове инсталират десетки, а понякога стотици камери на спортните съоръжения, които обхващат паркинги, трибуни, терени, както и входовете на стадионите. Използването на системите за видеонаблюдение предполага обработване на лични данни на десетки хиляди, а понякога на стотици хиляди физически лица.

Освен горното, футболните клубове следва да се грижат за предоставените им за управление спортни съоръжения. Поради тази причина, инсталираните камери се използват и за целите на опазването на имуществото на територията на спортните съоръжения. В определени случаи футболните клубове предоставят достъп до видеозаписите на охранителните фирми, които се грижат за сигурността на посетителите и опазването на имуществото. Обработването на видеонаблюдението се извършва с цел опазване на законовите задължения и защита на легитимния интерес.

С оглед на изложеното, г-н С. отправя молба за изразяване на становище по следните въпроси:

  1. Футболните клубове са задължени да извършват видеонаблюдение на територията на спортните съоръжения, следва ли да се приеме, че обработването на тези видеозаписи представлява мащабно обработване на лични данни?
  2. В случай че на първия въпрос бъде отговорено положително, следва ли да се приеме, че футболните клубове са задължени да назначат длъжностно лице по защита на данните?
  3. В случай че футболните клубове сключат договор с охранителна компания, която да се грижи за безопасността на територията на спортните съоръжения и за опазване на последните, какви следва да са отношенията между футболните клубове и охранителната компания – отношения между администратор и обработващ, отношения между съвместни администратори, или отношения между отделни администратори?
  4. Охранителните компании, които се грижат за сигурността на спортните съоръжения следва да имат определено длъжностно лице по защита на данните, доколкото имат достъп до личните данни, събирани посредством камерите на спортните съоръжения?
  5. Доколкото футболните клубове трябва да съхраняват видеозаписите не по-малко от 3 месеца (чл. 16, ал. 6 от ЗООРПСМ), а охранителните компании трябва да съхраняват записите до 2 месеца (чл. 56, ал. 4 от ЗЧОД), ще е налице ли нарушение на законодателството за защита на личните данни, ако охранителните компании имат достъп до личните данни за 3 месеца след заснемането?

 

Правен анализ:

Видеонаблюдението е дейност, свързана със събиране и съхранение на образни или аудиовизуални данни за лица, попадащи в обхвата на наблюдавана зона, които подлежат на пряко или косвено идентифициране въз основа на техния външен вид или други специфични признаци. Съществен елемент от тази дейност е, че самоличността на лицата може да бъде установена въз основа на тези данни, а също така се създава възможност за обработване на данни относно присъствието и поведението на лицата в съответната зона. В този смисъл видеонаблюдението попада в материалния обхват на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) и Закона за защита на личните данни (ЗЗЛД) и следва да се осъществява съобразно техните изисквания.

По общо правило, за да бъде обработването на лични данни законосъобразно в рамките на обхвата на ОРЗД, то трябва да се осъществява въз основа на някое от правните основания, посочени в чл. 6, пар. 1 и/или чл. 9, пар. 2 от същия, както и да бъдат приложени ефективно принципите, прогласени с неговия чл. 5.

В Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД), няма легална дефиниция на понятието „мащабно обработване“, макар че в съображение (91)[1] са дадени известни насоки.

Във всички случаи Работната група по член 29, настоящ Европейски комитет по защита на данните (ЕКЗД), препоръчва, когато се установява дали се извършва мащабно обработване, да се вземат предвид следните фактори:

  • брой на засегнатите субекти на данните или като конкретен брой, или като дял от цялото население;
  • обем на данните/или диапазон от различни елементи на данните, които се обработват;
  • продължителност или постоянство на дейността по обработване на данните;
  • географски обхват на дейността по обработване.

Съгласно т. 15 от Допълнителните разпоредби на Закона за защита на личните данни (ЗЗЛД), „мащабно“ е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение се състоят в такива операции.

В своите насоки Работната група по чл. 29 (възприети от ЕКЗД) разяснява понятията „мащабно“, „редовно“ и „систематично“. Работната група по чл. 29 изяснява, че понятието за наблюдение не се ограничава само до онлайн средата и проследяването в интернет, защото при дефиниране на дадено явление трябва да се изхожда от неговата същност, а не от технологията, по която тя може да се прояви.

Според Работната група по чл. 29 „редовно“ означава една или повече от следните хипотези:

  • текущо или случващо се на определени интервали за определено време;
  • случващо се или повтарящо се в определени срокове;
  • постоянно или периодично провеждано.

За „систематично“ се приема една или повече от следните хипотези:

  • възникващо в съответствие със система;
  • предварително подредено, организирано или методично;
  • състоящо се като част от общ план за събиране на данни;
  • предприето като част от стратегия.

В чл. 25д от ЗЗЛД е инкорпорирано задължение на администратора или обработващия лични данни да приема или прилага правила при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които въвежда подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни. Обхвата на разпоредбата включва всички администратори или обработващи лични данни, които осигуряват неограничен публичен достъп на физически лица, тоест същите следва да съблюдават и изпълняват изискванията на чл. 25д от ЗЗЛД.

На следващо място, според чл. 37, пар. 1, б. „б“ от ОРЗД, администраторът или обработващият лични данни задължително определят длъжностно лице по защита на данните във всички случаи, когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни.

Нещо повече, задължение на администратора на лични данни, но не и на обработващия, е да извърши оценка на въздействието върху защитата на данните (ОВЗД) в съответствие с изискванията на чл. 35 от ОРЗД. В конкретния случай това е задължително, тъй като обработването попада в хипотезата на чл. 35, пар. 3, б. „в“ от ОРЗД, а именно: систематично мащабно наблюдение на публично достъпна зона. ОВЗД представлява процес, чиято цел е да опише обработването, да оцени неговата необходимост и пропорционалност и да спомогне за управлението на рисковете за правата и свободите на физическите лица, произтичащи от обработването на лични данни, като ги оцени и определи мерки за справяне с тези рискове. ОВЗД представляват важен инструмент за отчетност, тъй като помагат на администраторите на лични данни не само да спазят изискванията на ОРЗД, но и да демонстрират, че са предприети подходящи мерки за гарантиране на спазването на ОРЗД (вж. също така член 24). С други думи ОВЗД е процес за осигуряване и доказване на спазването на изискванията. Повече за ОВЗД – в Насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679, приети от Работната група по чл. 29 и подкрепени по-късно от Европейския комитет по защита на данните.

Нормативният акт, който урежда мерките за опазване на обществения ред, както и мерките срещу противообществени прояви, извършени при провеждането на спортни мероприятия е Законът за опазване на обществения ред при провеждане на спортни мероприятия (ЗООРПСМ). Съгласно чл. 2 на ЗООРПСМ целите на закона са:

  • опазване на обществения ред при провеждането на спортни мероприятия;
  • предотвратяване, преустановяване, разкриване и наказване на противообществени прояви;
  • установяване на причините и условията за извършване на противообществени прояви;
  • осигуряване на сътрудничество между държавните органи и обществените организации за предотвратяване на всички форми на противообществени прояви при провеждането на спортни мероприятия;
  • осигуряване на взаимодействие и координация между държавните органи и чуждестранни или международни полицейски служби във връзка с организирането и провеждането на спортни мероприятия.

Съгласно чл. 7 от ЗООРПСМ собствениците и ползвателите на спортни обекти, както и лицата, които организират провеждането на спортни мероприятия, предприемат всички необходими мерки за гарантиране на реда и сигурността при провеждане на спортни мероприятия. Организатори на спортни мероприятия може да бъдат спортни организации по смисъла на Закона за физическото възпитание и спорта или други юридически лица. Собствениците и ползвателите на спортни обекти, както и лицата, които организират провеждането на спортни мероприятия взаимодействат със съответните държавни и общински органи за предотвратяване на противообществени прояви при провеждане на спортни мероприятия.

Спортни мероприятия се провеждат само на спортен обект, в съответствие с изискванията на Закона за физическото възпитание и спорта (арг. чл. 7а, ал. 1 от ЗООРПСМ).

По силата на чл. 9 от ЗООРПСМ собствениците или ползвателите на спортни обекти назначават отговорник по сигурността на спортния обект. Отговорникът по сигурността предприема всички необходими действия за прилагане на мерките за сигурност и безопасност и гарантира, че техническите системи, оборудването и съоръженията работят ефективно в деня на провеждане на спортното мероприятие, включително осигурява помещение за оперативен координационен център. Отговорникът по сигурността оборудва помещението за оперативен координационен център с технически средства, необходими за управление на силите и средствата по обезпечаване сигурността и безопасността на спортното мероприятие и осигуряване на пожарна и аварийна безопасност и медицинска помощ, включително при възникване на кризи.

Отговорникът по сигурността уведомява органите на съответната областна дирекция на Министерството на вътрешните работи за мястото, датата и точния час на провеждане на спортното мероприятие, както и за начина за неговата охрана. При установяване на извършено нарушение отговорникът по сигурността е длъжен незабавно, но не по-късно от 24 часа да уведоми полицейските органи. При изпълнение на своите задължения отговорникът по сигурността си взаимодейства с полицейските органи.

Отговорникът по сигурността организира обучение на подпомагащите го лица по опазване на обществения ред при провеждане на спортни мероприятия.

Съгласно чл. 10, ал. 2 от ЗООРПСМ организаторите на спортното мероприятие ползват правоспособни лица за осигуряване на медицинска помощ, пожарна безопасност и охрана.

Според чл. 16, ал. 2 от ЗООРПСМ организаторите на спортни мероприятия при необходимост осигуряват допълнително техническо оборудване на оперативния координационен център (по чл. 9, ал. 3 от ЗООРПСМ). Те заснемат поведението на зрителите в спортната зона и спортния обект, като за целта разполагат видеокамери. Видеокамерите се разполагат в съответствие с инфраструктурата на спортния обект, но не по-малко от:

  1. една камера за всеки вход/изход;
  2. една стационарна и една подвижна камера за всеки сектор; стационарните камери трябва да заснемат постоянно целия периметър на съответния сектор и да са с технически параметри, позволяващи персонализирането на всяка зона и посетител;
  3. камери, заснемащи подходите извън всеки вход/изход, обхващащ спортната зона, касите и местата за изграждане на контролно-пропускателни пунктове.

Сигналът от видеокамерите се извежда на контролни монитори, разположени в оперативния координационен център. Организаторите на спортни мероприятия уведомяват гражданите чрез информационни табла, поставени на видно място, или чрез озвучителни уредби за ползването на видеотехника при охраната на обекта, без да се уточнява нейното местоположение. Организаторите на спортни мероприятия унищожават видеозаписите не по-рано от три месеца след изготвянето им, освен в случаите, когато те съдържат данни за извършено престъпление или нарушение по този закон. За унищожаването се съставя протокол.

Записите се предоставят само за нуждите на органите с функции по противодействие на престъпността, опазване на обществения ред и националната сигурност.

В обобщение, законодателят възлага на организаторите на спортни мероприятия функции на администратор на лични данни, но същите не определят целите и средствата по обработване, доколкото те са определени от ЗООРПСМ.

Съгласно чл. 33 от Наредбата за първенствата и турнирите по футбол в системата на БФС ФК-домакин по спортния календар на БФС е единствен организатор на всички свои домакински срещи по програма и по жребий. Освен задълженията си по чл. 28 от Наредбата ФК-домакин носи и особена отговорност за осигуряване на ред и сигурност в спортната зона преди, по време и след провеждането им. В този смисъл на ФК-домакин са възложени определени задължения, сред които да осигури на договорна основа необходимата охрана  от  органи  на  реда,  и/или  чрез  лицензирани охранителни фирми, съгласно изискванията на ЗООРПСМ. Тази охрана е длъжна да осигури спазването на обществения ред. Друго задължение е да прилага мерки, включващи видеонаблюдение съгласно изискванията на ЗООРПСМ.

ЗООРПСМ въвежда специални цели за извършването на видеонаблюдение, посочени в чл. 2 от него. Срокът, в който се запазват записите по този закон е не по-малко от 3 месеца. Когато на охранителна фирма се възлага извършване на видеонаблюдение за целите на ЗООРПСМ, тя трябва да съобразява неговите императивни изисквания, а не реда на чл. 56, ал. 4 от ЗЧОД – два месеца след изготвянето им.

Определянето на ролите администратор – обработващ, съвместни администратори или отделни администратори, зависи от много фактори и тези отношения трябва да се изследват във всеки конкретен случай, като се има предвид естеството, обхвата, контекста и целите на обработването. Съществен елемент от анализа е в какви отношения са помежду си собствениците и ползвателите на спортни обекти, както и лицата, които организират провеждането на спортни мероприятия, от една страна, и от друга – тези лица с охранителните компании.

По отношение на охранителните компании, на които се възлага обработването на лични данни за целите на ЗООРПСМ, доколкото същите включват видеонаблюдение, което отговаря на условията по чл. 37, пар. 1, б. „б“ от ОРЗД, те следва да определят длъжностно лице по защита на данните.

За пълнота на изложението следва да се разгледа обстойно и фигурата на длъжностното лице по защита на данните. По принцип, съгласно съображение (97) и разпоредбата на чл. 37, пар. 5 от Регламент (ЕС) 2016/679 администраторът или обработващият лични данни следва да бъде подпомаган при наблюдението на вътрешното спазване на регламента от лице с „експертни познания и професионални качества” в областта на правото и практиките за защита на данните. Въпреки че длъжностното лице по защита на данните не е лично отговорно при неспазване на ОРЗД, определянето на такова лице, особено в задължителните хипотези на чл. 37, пар. 1 от ОРЗД, може да се разглежда като основен фактор за отчетността на съответния администратор или обработващ.

Трябва да се отбележи, че дори определянето на длъжностно лице по защита на данните да не е задължително, понякога организациите може да сметнат за полезно и необходимо доброволно да определят такова лице.

Длъжностното лице по защита на данните може да бъде назначено в организацията на администратора или обработващия – т.е. да е член на персонала. Допустимо е това лице да изпълнява задачите си по договор за услуги – т.е. да е външно за организацията. Съществуват и различни хипотези за изпълнение на тези задачи при условията на пълен работен ден, почасово и др. Едно и също лице по защита на данните може да извършва тази дейност за един или повече администратори и/или обработващи. Предвидени са няколко гаранции, с които се дава възможност на длъжностното лице по защита на данните да действа независимо:

  • не се дават указания от страна на администраторите или обработващите лични данни по отношение на изпълнението на задачите на длъжностното лице по защита на данните;
  • не се допуска освобождаване от длъжност от страна на администратора във връзка с изпълнението на задачите на длъжностното лице по защита на данните;
  • не се допуска конфликт на интереси с евентуални други задачи и задължения.

Другите задачи и задължения на длъжностното лице по защита на данните не трябва да водят до конфликт на интереси. Повече детайли относно това длъжностно лице можете да намерите в Насоки за длъжностните лица по защита на данните („ДЛЗД“), приети от Работната група по чл. 29 (понастоящем Европейски комитет по защита на данните).

Във връзка с това и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното

 

СТАНОВИЩЕ:

  1. Организаторите на спортни мероприятия, в частност футболните клубове извършват редовно и систематично мащабно наблюдение на субектите на данни предвид значителния или неограничен брой засегнати субекти на данни.
  2. Доколкото футболните клубове извършват редовно и систематично мащабно наблюдение на субектите на данни, същите са длъжни да определят длъжностно лице по защита на данните на основание чл. 37, пар. 1, б. „б“ от ОРЗД. Същите са длъжни да извършат и оценка на въздействието връху защитата на данните по смисъла на чл. 35, пар. 3, т. „в“ от ОРЗД.
  3. Между футболните клубове и охранителните фирми, на които се възлагат мерките по ЗООРПСМ, възникват по принцип отношения между администратор и обработващ, които следва да се уреждят по см. на чл. 28 от ОРЗД. Не е изключено да възникнат и други отношения – на съвместни или отделни администратори, като това се преценява за всеки отделен случай предвид естеството, обхвата, контекста и целите на обработването.
  4. Охранителните компании следва да определят длъжностно лице по защита на данните, тъй като отговарят на условията по чл. 37, пар. 1, б. „б“ от ОРЗД.
  5. Когато на охранителна фирма се възлага извършване на видеонаблюдение за целите на ЗООРПСМ, същата следва да има достъп до данните в рамките на 3-месечния срок, предвиден от същия закон. Съгласно чл. 16, ал. 7 от ЗООРПСМ записите се предоставят само за нуждите на органите с функции по противодействие на престъпността, опазване на обществения ред и националната сигурност.

 

 ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ:
      Венцислав Караджов /п/
       Цанко Цолов /п/
      Мария Матева /п/
      Веселин Целков /п/

 

[1] Според съображение (91) се включват по-специално „широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск“. От друга страна, в съображението изрично е посочено, че „обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат“. Важно е да се има предвид, че, докато в съображението са дадени примери за крайности в мащаба (обработване от отделен лекар спрямо обработване на данни на цяла държава или цяла Европа); между тези крайни случаи се простира огромна междинна зона. Освен това следва да се отчете, че това съображение се отнася до оценките на въздействието върху защитата на данните. Това предполага, че някои елементи може да са специфични за този контекст и да не са непременно приложими към определянето на ДЛЗД точно по същия начин.

Търсене

Провери статус на преписка
Ноември 2024
ПВСЧПСН
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
< Окт Дек >
Забравена парола?