С Т А Н О В И Щ Е
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № ПНМД-01-24/2024 г.
гр. София, 29.04.2024 г.
ОТНОСНО: Искане за предварителна консултация относно използването на биометрични данни за контрол чрез технически средства за достъп до спортни центрове
Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 24.04.2024 г., разгледа писмо с вх. № ПНМД-01-24/28.02.2024 г. от г-н хххххх ххххххххх – управител на „хххххххх“ ЕООД, с което се иска предварителна консултация относно използването на биометрични данни за контрол чрез технически средства за достъп до спортни центрове.
В писмото се посочва, че предстои „хххххххх“ ЕООД, да сключи договор за управлението на верига от спортни центрове, в които се предлагат разнообразни спортни, здравни и козметични услуги на потребители – физически лица. Като част от планирането на бъдещата си дейност, от дружеството разработват специална процедура и предвиждат въвеждане на технически мерки за контрол на достъпа на физическите лица до съответните спортни центрове, която включва идентификация на потребителите чрез събиране, съхраняване и обработване на биометрични данни за лицата на физически лица или т. нар. „биометрична система за контрол на достъпа с лицево разпознаване“.
След проучване, от дружеството да установили, че на територията на ЕС оперират няколко компании, които са разработили софтуер и съответния хардуер, с които техни клиенти са въвели достъп до обекти чрез „лицево разпознаване“ на лицата, които имат право на достъп.
От дружеството заявяват, че са запознати със съдържанието на Становище на КЗЛД относно законосъобразността на обработването на биометрични данни с цел идентификация на клиенти при обажда по телефона (Voice Biometrics) рег. № НДМСПО-01-274/27.04.2018 г.; Становище на КЗЛД относно монтиране на входно-изходни камери за лицево разпознаване, свързани с електронен дневник на училище с рег. № НДМСПО-17-916/01.11.2018 г.; Становище на КЗЛД относно монтиране на система за достъпа в училище с лицево разпознаване и измерване на телесна температура с рег. № ПНМД-01-96/2020 г.; Становище с рег. № ПНМД-01-03/2022 г. по запитване на ДП „РВД“. От дружеството заявяват, че ще съобразят дейността си с посочените в тези становища мотиви и заключения, като ще извършват предварително уведомяване на субектите и ще изискват тяхното изрично съгласие, при прилагане се специфични правни задължения и строги организационни и технически мерки за защита на личните данни и по-специално биометричните данни, който се съдържат в електронно изображение на лицето на съответния субект.
От дружеството мотивират искането си, като считат, че описаните становища не обхващат конкретно произнасяне относно допустимостта на въвеждането на технически мерки за контрол на достъпа на физическите лица до спортни центрове и подобни обекти, които са с обществено предназначение, но поради възмездност на предоставяните услуги, според тях, се налага контрол на достъпа, който освен с електронна карта, евентуално да бъде разширен и с „биометрична система за контрол на достъпа с лицево разпознаване“. По тези съображения се обръщат към КЗЛД с молба за консултация и становище относно въвеждането на подобна система.
Правен анализ:
Процедурата по предварителна консултация с надзорния орган, в случая КЗЛД, е особено производство, което се развива по реда и условията на чл. 36 от Регламент (ЕС) 2016/679 или на чл. 65 от Закона за защита на личните данни (когато обработването на данни е за целите по чл. 42, ал. 1 от ЗЗЛД). По общо правило, за да се подобри спазването на нормативните изисквания за защита на личните данни, когато има вероятност операциите по обработване да доведат до висок риск за правата и свободите на физическите лица, администраторът е длъжен да изготви т.нар. оценка на въздействието върху защитата на данните, за да се оценят по-специално произходът, естеството, спецификата и степента на този риск. Резултатите от извършената оценка следва да бъдат взети предвид, когато се определят съответните мерки, за да се докаже, че обработването на лични данни отговаря на нормативните изисквания. Когато в оценката на въздействието върху защитата на данните е указано, че операциите по обработването водят до висок риск, който администраторът не може да ограничи с подходящи мерки от гледна точка на налични технологии и разходи за прилагане, преди началото на планираното обработване той следва да осъществи консултация с надзорния орган.
Видно от изпратеното искане, дружеството не е извършило и не е представило оценка на риска, което е етап от извършването на оценката на въздействието върху защитата на личните данни (арг. чл. 35, пар. 7, б. в) от Регламент (ЕС) 2016/679). Приемливата оценка на въздействието върху защитата на личните данни по Регламент (ЕС) 2016/679 следва да съдържа:
- систематично описание на обработването (член 35, пар. 7, буква а)): взема се под внимание характерът, обхватът, контекстът и целите на обработката (съображение 90); личните данни, получателите и периодът, за който ще се съхраняват личните данни, се записват; функционално описание на операцията по обработване; идентифициране на активите, на които разчитат личните данни (хардуер, софтуер, мрежи, хора, хартия); отчита се евентуално спазването на одобрените кодекси за поведение (член 35, параграф 8);
- описание на техническите средства, с които се извършва обработването на лични данни – това е абсолютно необходимо при извършването на оценката на въздействието, като е свързано и с „мобилното приложение – мобилното здравно досие“;
- необходимост и пропорционалност на обработването (член 35, параграф 7, буква б)): определени са мерките, предвидени за спазване на регламента (член 35, параграф 7, буква г) и съображение 90, като се вземат предвид: мерките, допринасящи за пропорционалност и необходимост на обработването на базата на: конкретни, изрични и законни цели (член 5, параграф 1, буква б); законосъобразност на обработването (член 6); адекватни, уместни и ограничени до необходимите данни (член 5, параграф 1, буква в); ограничена продължителност на съхранение (член 5, параграф 1, буква д)); мерки, допринасящи за правата на субектите на данни: информация, предоставена на субекта на данни (членове 12, 13 и 14); право на достъп и преносимост (членове 15 и 20); право на поправяне, заличаване, възражение, ограничаване на обработването (членове 16-19 и 21); получатели; обработващ (и) (член 28); гаранции, свързани с международния (те) трансфер (Глава V); предварително консултиране (член 36).
- управление на рисковете за правата и свободите на субектите на данни (член 35, параграф 7, буква в)): произходът, характерът, особеностите и тежестта на рисковете се оценяват (виж съображение 84) или по-конкретно за всеки риск (неправомерен достъп, нежелано изменение и изчезване на данни) от гледна точка на субектите на данни: вземат се предвид източниците на рискове (съображение 90); потенциалните въздействия върху правата и свободите на субектите на данни са идентифицирани в случай на незаконен достъп, нежелано изменение и изчезване на данни; заплахи, които могат да доведат до нелегален достъп, идентифициране на нежелани модификации и изчезване на данни; оценка на вероятността и тежестта (съображение 90); определят се мерките, предвидени за третиране на тези рискове (член 35, параграф 7, буква г) и съображение 90);
- участие на заинтересовани страни: консултация с длъжностното лице по защита на данните (член 35, параграф 2); иска се становището на субектите на данните или на техните представители (член 35, параграф 9).
По принцип, в хода на извършването на оценката на въздействието върху защитата на личните данни, която в случая е задължителна на основание чл. 35, пар. 3, б. „б“ от Регламент (ЕС) 2016/679, следва да се изиска становището на длъжностното лице по защита на данните, а когато е целесъобразно, администраторът се обръща и към засегнатите субекти на данните или техните представители за становище относно планираното обработване. В искането на дружеството липсва индикация, че подобни действия са предприемани.
Едва след като извърши оценката на въздействието върху защитата на личните данни и същата покаже висок остатъчен риск въпреки наложените технически и организационни мерки, администраторът следва да пристъпи към иницииране на производството по предварителна консултация, в случая по смисъла на чл. 36 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД).
Съгласно чл. 4, т. 14) от Регламент (ЕС) 2016/679 „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни. Биометричните данни са специални категории лични данни и по смисъла на чл. 9, пар. 1 от ОРЗД тяхното обработване по принцип е забранено, освен в изрично посочените в пар. 2 от същата разпоредба хипотези.
Следва да се има предвид, че основанията за обработване на специални категории данни, каквато е биометрията, съгласно хипотезите на чл. 9, пар. 2, б. „б“ – „й“ от ОРЗД са абсолютно неприложими. Що се касае до съгласието по чл. 9, пар. 2, б. „а“ от ОРЗД, то трябва да отговаря на изискванията на чл. 4, т. 11) и чл. 7 и по-специално неговия пар. 4 от ОРЗД, според който „когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор“. В този смисъл, поставянето на задължително условие за събиране на биометрични данни за достъп до спортните обекти/помещения, не може да представлява валидно дадено съгласие.
В съображение (51) от Регламент (ЕС) 2016/679 се посочва по-специално, че обработването на биометрични данни с цел идентификация е забранено. Такова обработване е оправдано, само ако съществува изрично съгласие на съответното лице, прилагат се специфични правни задължения или ако обработването се изисква по съображения от обществен интерес, при наличие на правно задължение или е свързано с упражняването на официални правомощия. В допълнение към посочените стриктни изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в регламента.
Използването на системи с лицево разпознаване с цел идентификация за достъп до спортни обекти представлява изключително интрузивно обработване на чувствителни лични данни, което води до дълбоко навлизане в личната сфера. Същото би нарушило принципите, прогласени в чл. 5 от ОРЗД, особено тези за необходимост и пропорционалност, целесъобразност и свеждане на данните до минимум. В допълнение, нарушението на принципите за обработване води пряко и до нарушение на правата на субектите на данни. В тази връзка, целите на пропускателния режим до спортните обекти следва да бъдат реализирани с други способи, като например достъп с карти и др. Решения за несъответствие с изискванията на Регламент (ЕС) 2016/679 в този смисъл са произнесени от френския, испанския, латвийския и датския надзорни органи по защита на данните.
Конкретен пример за достъп до помещения на спортен център с биометрия се дава и в Становище 3/2012 относно развитието на биометричните технологии на Работната група по чл. 29 (сега Европейски комитет по защита на данните, ЕКЗД):
Пример: В един здравен и фитнес център е инсталирана централизирана биометрична система, базирана на събиране на отпечатъци от пръстите, за осигуряване на достъп до помещенията на центъра и свързаните с него услуги само за клиенти, които са заплатили такса. За да работи тази система е необходимо да се пазят отпечатъци от пръстите на всички клиенти и на персонала. Това биометрично приложение изглежда непропорционално спрямо необходимостта да се контролира достъпът до клуба и да се улесни управлението на абонамента. Еднакво практични и ефективни биха могли да бъдат и други мерки, като обикновен списък с имената на абонатите, или използването на радиочестотна идентификация (RFID), или карта, които не изискват обработване на биометрични данни.
Посочените в искането становища, изразявани от КЗЛД по други конкретни казуси, не са относими в разглеждания случай, тъй като в тях се анализират различни цели на обработването, различни категории администратори с различно естество на упражняваната дейност, както и различен режим на достъпваните обекти.
Във връзка с това и на основание чл. 58, пар. 3, б. „б“ от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни и чл. 51, т. 2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Обработването на биометрични данни чрез видеонаблюдение, включващо лицево разпознаване, за целите на контрола на достъпа до спортни центрове, не отговаря на изискванията на Регламент (ЕС) 2016/679 за законосъобразност, необходимост и пропорционалност, по-специално на чл. 5[1], чл. 9[2] и чл. 22[3] от него, поради което пропускателният режим следва да се реализира с други способи (напр. с персонализирани магнитни карти със снимка или др.), които не изискват обработване на специални категории лични данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
[1] Принципи, свързани с обработването на лични данни
[2] Обработване на специални категории лични данни
[3] Автоматизирано вземане на индивидуални решения, включително профилиране
