Становище на КЗЛД относно искане от „А.” АД чрез изпълнителните членове на Управителния съвет Х.Й. и Х.И. относно въвеждане на пропускателна система чрез четец на венокод от пръст на ръката на физически лица

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и Членове: Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 05.12.2012г., разгледа преписка с вх.П-5528/24.10.2012год.,заявена от търговско дружество „А.”АД, със седалище и адрес на управление гр. Шумен, Втора индустриална зона, чрез изпълнителните членове на Управителния съвет Х.Й. и Х.И.

Представляващите дружеството посочват, че желаят да получат писмено становище на КЗЛД по следния въпрос:

„А.”АД произвежда алуминиев прокат и изделия от алуминий и алуминиеви сплави в три самостоятелни производства-леярен цех, валцов цех и пресов цех с около 800 работника. Производствата са специализирани по вида и характера на труда, който се полага там и достъпът на точно наетия квалифициран персонал до пещите, машините и съоръженията е от съществено значение за обезпечаване на живота и здравето на всеки от работещите в тези високо технологични производства.

На ръководството на „А.”АД е предложена оферта от друго търговско дружество, която позволява чрез четец на венокод от пръст на ръката на физическо лице да бъде постигнат изключително надежден и ефективен контрол на работниците, които преминават през контролно-пропускателните пунктове и имат достъп до работните помещения на завода. Идентификацията на служителите ще се осъществява чрез уникален венокод, като се разрешава или отказва достъп при влизане или излизане през контролната точка. Правото на достъп е определено в зависимост от изискванията на административното управление. При този метод темплейта на венокода, който е уникален за всеки човек, се съхранява централизирано в база данни. Лицето поднася пръст към четеца на венокод, който сканира вените. Сканираното изображение на вените се сравнява с темплейта на венокода, който е съхранен централно в базата данни. Следва идентифициране на лицето по неговия уникален венокод и при съвпадение на заредения от базата данни темплейт и прочетения венокод, преминаването се регистрира в системата. При липса на съвпадение, например лицето се опита да достъпи обекта без да са му назначени права за това, темплейта на базата данни и прочетения от пръста на лицето венокод не съвпадати тогава регистриране в системата не се извършва и съответно преминаване през контролната точка (електро-механичен туникер или врата) не се допуска.

Прочитането на венокода е безконтактно– пръста и сензора не са в контакт. Разпознаването не зависи от качеството на кожата на пръста, от моментното замърсяване на кожата или наличие на повърхностни наранявания. Разпознаването се извършва само, когато кръвта протича през вените и този тип идентификация не подлежи на фалшифициране. Базовият принцип на прочитането (разпознаването) на венокода от пръста на човека е чрез засичане на разликата в дължината на вълната при облъчването на пръста– при деоксидирания хемоглобин, протичащ през вените, дължината на вълната е максимална, докато при останалите клетки на околните тъкани, дължината на вълната е минимална. По този начин се получава високо контрастно изображение на мрежата от вени на фона на всички останали слоеве тъкани.

Идентификационния процес при четците на венокод протича чрез прочитане на биометричната информация от пръста на човека в момента на идентификация от сензора на четеца и сравняването й с темплейта на венокод за съответния човек, съхраняван в базата данни на системата. Това изисква предварително да се свалят и съхраняват в централна база данни венокод, темплейтите на всички физически лица, чието преминаване през контролните точки ще се контролира с венокод идентификация.

До момента в „А.”АД е въведена и функционира система за достъп чрез магнитни карти. В искането се излагат твърдения, че недостатъците на тази система се заключават до липса на надеждност на контрол върху лицата, които използват магнитна карта. Налице са възможности за злоупотреби,например работник, който е длъжен да се яви за работна смяна, но поради една или друга причина не може да се яви лично, може да предостави магнитна карта на трето лице, което като приносител на картата му се оказва с неправомерен достъп до завода.

„А.”АД поддържа производство в три работни смени. През дневните смени не могат да се правят злоупотреби с достъпа до работните помещения и до територията на завода, но през нощните смени има възможност за заместване на работници от други лица, които са само приносители на нечия магнитна карта. Като аргумент е посочена възможността външно лице да има неправомерен достъп, а вредите могат да бъдат значителни по размер. Неправоспособно лице може да причини трудова злополука, при която да пострадат работници, може да предизвика производствена авария, може да предизвика повреждане на машини и съоръжения. Изтъква се загрижеността на работодателя за отговорността при подобни казуси за обезщетяване на всички материални и нематериални вреди. Посочено е, че при телесни повреди или смърт, работодателят е длъжен да обезщети работниците или техните наследници по реда на чл.200 от Кодекса на труда., като може да става дума за големи размери на обезщетенията.

За елиминиране на описаните по-горе ситуации от дружеството обмислят въвеждане на новата контролно-пропускателна система, която се основава на нов принцип – четене на венокод на пръст на физическото лице, активиращ електронно механичен турникет или врата.

Във връзка с изложеното, представляващите „А.”АД се обръщат към КЗЛД за компетентно становище доколко намерението за събиране, съхраняване и обработване на лични данни чрез четене на венокод-чрез сканиране на произволни точки от пръстови отпечатъци, след получено предварително писмено съгласие по чл.4, ал.1, т.2 от ЗЗЛД на засегнатите категории лица – работещи на трудови договори в дружеството, е в съответствие с целите и духа на императивните разпоредби на ЗЗЛД.

В искането се посочва, че преди даването на съгласие от лицата, ще бъде проведена информационна кампания относно целите на обработване на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; доброволния характер на предоставянето на данните и последиците от отказ за предоставянето им; правото на достъп и правото на заличаване, коригиране или блокиране на събраните данни, когато обработването не отговаря на изискванията на ЗЗЛД; правото на възражение срещу обработването на личните данни на отделните физически лица, при наличие на законово основание за това.

Представляващите „А.”АД информират, че ще бъде осигурен отделен сървър само за база данни на описаната система. Той ще се намира в сървърно отделение, което е подсигурено със заключваща метална врата, както и метални решетки на прозорците. Пароли за достъп до сървъра ще имат двама служители на IT отдела, които ще бъдат променяни на всеки 40 дни. Ще се ползва специализиран софтуер за архивни копия, при който информацията е в специализиран формат и може да се чете само с въпросния софтуер.

В искането за становище е посочено, че се прилагат следните документи:

1. Удостоверение за актуално състояние с изх.№20120817091807/17.08.2012год., издадено от Агенция по вписванията;

2. Доказателство за средно нает списъчен състав на наетите лица по трудов договор, издаден от Национална агенция за приходите;

3. Извлечение от офертата на Продавача на технологията на четеца на венокод;

4. Проект на писмено заявено съгласие от работниците, на които ще се обработват биометрични данни чрез сканиран венокод.

ПРАВЕН АНАЛИЗ НА ИЗЛОЖЕНИЯ КАЗУС:

„А.”АД е вписано в Търговския регистър при Агенция по вписванията с ЕИК 837066358, с предмет на дейност: „Производство на алуминиев прокат, изделия от алуминий и алуминиеви сплави, проучвателна и проектантска дейност, услуги за населението, търговия в страната и чужбина”.Дружеството е със седалище и адрес на управление гр.Шумен 9700, област Шумен, община Шумен, Втора индустриална зона.

При извършена служебна проверка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало Заявление за регистрация с входящ№З-15074/09.10.2003год. и е вписано в Регистъра с идентификационен номер 93939.

„А.”АД, в качеството на администратор на лични данни, е заявил поддържането на 1 брой регистър, наименован „Лични данни”. В заявлението е посочено, че юридическото основание за водене на регистъра е Кодекса на труда и подзаконови актове. Следователно, може да се предположи, че в посочения регистър се обработват данни относно наетите по трудово правоотношение лица. Като групи данни, които се обработват в регистъра, са посочени: физическа идентичност (имена, ЕГН, адрес, телефони, месторождение, паспортни данни и др.); семейна идентичност (семейно положение); образование (вид на образованието, допълнителна квалификация и др.); трудова дейност (професионална биография и др.); медицински данни (здравен статус).

Описаните в искането лични данни – биометрични данни чрез сканиран венокод от пръста на човека, не са заявени в групите данни, които се обработват в заявения пред КЗЛС регистър „Лични данни”. В случай, че възнамерява да започне обработване на посочените данни, администраторът следва да изпълни задължението си за уведомяване на КЗЛД преди осъществяването на промяната относно данните, касаещи поддържаните регистри (чл.18, ал.3 от ЗЗЛД).

Също така, съществува правна възможност, в определени случаи разглежданите биометрични данни чрез сканиран венокод от пръста на човека да бъдат включени към категорията на така наречените „чувствителни данни”. При наличието на хипотезата на чл.5, ал.1, когато администраторът е заявил обработване на данни по чл.5, ал.1 или на данни, чието обработване, съгласно решение на Комисията застрашава правата и законните интереси на физическите лица, на основание чл.17б от ЗЗЛД, КЗЛД задължително извършва предварителна проверка преди вписване в Регистъра на администраторите на лични данни.

Обработването на лични данни, съгласно легалната дефиниция, посочена в §1 от Допълнителните разпоредби на ЗЗЛД е „всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”.

По смисъла на чл.2, ал.1 от ЗЗЛД, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД, „Специфични признаци” са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

Видът на биометричните данни, които администраторът на лични данни „А.”АД възнамерява да обработва са биометрични данни чрез сканиран венокод от пръста на човекапри контрастно изображение на мрежата от вени на фона на всички останали слоеве тъкани.

Съгласно §1, т.16 от Допълнителните разпоредби на Закона за българските лични документи, „Биометрични данни” са изображението на лицето на гражданина и пръстовите му отпечатъци, които се използват за разпознаване и проверка на заявена самоличност.

По отношение на сканираното изображение на вените от пръста на човека, това безспорно са лични данни, така както законодателят ги е дефинирал в чл.2, ал.1 на ЗЗЛД. Идентифицирането на лицето чрез сканиране на изображение на вените и извършване на сравнение с темплейта на уникалния за всяко физическо лице венокод, който е съхранен централно в база данни, представлява техническа форма на обработване на лични данни. Във връзка с това е необходимо да бъдат спазвани основните принципи на ЗЗЛД, относно обработването на лични данни, съгласно чл.2, ал.2 от ЗЗЛД– определяне на конкретната цел за обработване на данните; пропорционалност на целите, за които се обработват, заличаване и коригиране в случай на непропорционалност по отношение на целите, за които се обработват.

Изложените от представляващите „А.”АД мотиви за въвеждане на система за контрол на достъп и работно време с цел повишаване на трудовата дисциплина, както и избягване на кражби и нерегламентиран достъп в сградите и работните помещения са относими към трудово-правните отношения. Работодателят разполага с други механизми за контрол и проследяване на трудовия процес, без да се налага използването на крайни мерки за контролиране на работниците и служителите. Целите, за които се ще се въведе системата за достъп чрез венокод, не могат да се определят като пропорционални на необходимостта от повишаване на сигурността и предотвратяването на кражби, тъй като те не могат да бъдат постигнати, без да се засяга изключително личната сфера на работещите във фирма “АЛКОМЕТ” АД.

Необходимостта от повишаване сигурността в сградите, където протича работния процес и предотвратяването на посегателства върху имуществото на фирмата са значими обществени проблеми, но в конкретно разглеждания казус не може да се приеме, че законните интереси на администратора имат преимущество пред интересите на отделните физически лица, чиято лична сфера ще бъде сериозно нарушена (чл.4, ал.1,т.7 от ЗЗЛД).

При разглеждането на аналогични казуси, Комисията за защита на личните данни е анализирала международното законодателство и практика, свързани с обработването на лични данни. В редица международни актове е уреден общия принцип за неприкосновеност на личния и семеен живот. Такива са Европейската конвенция за защита правата на човека и основните свободи (чл. 8), Хартата за основните права в ЕС(чл.7 и чл.8). На основата на този общ принцип в Директива95/46/ЕО, която е основен акт, уреждащ защитата на личните данни в Европейския съюз, е уредена подробно материята, свързана със защитата на личните данни на гражданите в страните – членки. Изводите от извършения анализ сочат, че е необходимо спазването на поне едно от следните условия: изрично съгласие на лицето, договорно или правно задължение, защита на значими жизнени интереси на субектите на данни, изпълнение на задача, извършвана в обществен интерес.

Сканирането на вените от пръста на ръката на физическите лица не може да бъде оправдано при обстоятелства, при които се търси импулсивно защита на интересите на работодателя чрез въвеждането на система за достъп чрез четец на венокод. Необходимо е да бъдат обмислени задълбочено съответните условия и мерки при използването на средства, опериращи с биометрични данни, чрез прилагане на принципа за адекватност и пропорционалност.

Както по-горе беше споменато, биометричните данни чрез сканиран венокод от пръста на човека попадат в категорията на така наречените „чувствителни данни”, чието обработване ЗЗЛД по принцип забранява. В чл.5, ал.2 от ЗЗЛД законодателят е допуснал известни изключения от общия принцип на забрана, които в никакъв случай не следва да се тълкуват разширително. В чл.5, ал.2, т.2 от ЗЗЛД се допуска възможността за обработване на чувствителни данни, в случай, че физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго. Последното предложение от цитирания нормативен текст предполага специален закон да въвежда възможността за обработване на биометрични данни чрез сканиран венокод от пръста на човека. Такъв нормативен акт няма приет, така че в случая ще се разгледа хипотезата на съгласие на физическото лице, за което се отнасят данните.

Съгласието на лицата техни лични данни да бъдат обработвани от даден администратор е един от най-важните аспекти на защитата на личните данни и гаранция за правомерно обработване на данните. Въпросът за съгласието е много дискутиран и на ниво Европейски съюз, като една от бъдещите промени в европейската правна рамка се очаква да бъде именно по отношение на формата и начина на доказване, че едно лице действително е дало съгласието си по своя воля и без наличие на други фактори, оказващи влияние върху вземането на свободно решение.

Съгласно §1, т.13 от Допълнителните разпоредби на ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. Съгласието следва да е налице по отношение на целите на обработване на данните за конкретния случай, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставените данни и последиците от отказ за предоставянето им. Във всички случаи, на лицата следва да е предоставена информация за правото на достъп и правото на коригиране, заличаване или блокиране на събраните данни, както и правото на възражение срещу обработването на личните им данни.

Поради обстоятелството, че към приложените към искането документи не е представен проект на текст, отнасящ се до писмено заявено съгласие от работниците, на които ще се обработват биометрични данни чрез сканиран венокод, в становището не може да бъде направен коментар относно законосъобразността и пълнотата на текста.

Също така, съгласно чл.25 от ЗЗЛД, след постигане на целта или отпадане на необходимостта от обработване на личните данни, администраторът е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването. Администраторът е допустимо да съхранява лични данни само и единствено в предвидените от закона случаи.

С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното

1. Обработването на лични данни чрез сканиране на вени посредством контрастно изображение на мрежата от вени на фона на всички останали слоеве тъкани от пръста на ръката на физически лица противоречи на принципите на адекватност и пропорционалност, заложени в Закона за защита на личните данни. Целта на системата за достъп чрез венокод за контрол на работното време и повишаване на трудовата дисциплина, както и избягване на кражби и нерегламентиран достъп в сградите и работните помещения на „А.”АД, е непропорционална и несъизмерима между законния интерес на работодателя и този на работниците.

2. Биометричните данни чрез сканиран венокод от пръста на човека попадат в категорията на така наречените „чувствителни данни”, чието обработване чл.5, ал.1, т.3 от ЗЗЛД забранява. Законът допуска изключение от посоченото правило, в случай че физическите лица, за които се отнасят данните са дали своето свободно изразено, недвусмислено, конкретно и информирано съгласие за обработване на биометрични данни чрез сканиране венокод от пръста.

Преди даването на съгласие, физическите лица следва да бъдат информирани за целите на обработване на данните за конкретния случай, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставените данни и последиците от отказ за предоставянето им. Във всички случаи, на лицата следва да е предоставена информация за правото на достъп и правото на коригиране, заличаване или блокиране на събраните данни, както и правото на възражение срещу обработването на личните им данни.

Във всички случаи тежестта на доказване, че едно лице действително е дало съгласието си по своя воля и без наличие на други фактори, оказващи влияние върху вземането на свободно решение, е за администратора на лични данни.

3. Обработването на лични данни чрез сканиране на венокод от пръста на човека представлява въвеждане на нов "Регистър на лични данни" по смисъла на §1, т.2 от Допълнителните разпоредби на ЗЗЛД. В случай, че възнамерява да започне обработване на нови данни, администраторът следва да изпълни задължението си за уведомяване на КЗЛД преди осъществяването на промяната относно данните, касаещи поддържаните регистри (чл.18, ал.3 от ЗЗЛД). Когато администраторът е заявил обработване на данни по чл.5, ал.1 или на данни, чието обработване, съгласно решение на Комисията застрашава правата и законните интереси на физическите лица, на основание чл.17б от ЗЗЛД, КЗЛД задължително извършва предварителна проверка преди вписване в Регистъра на администраторите на лични данни.

4. Администраторът на лични данни следва да има предвид, че съгласно чл.25 от ЗЗЛД, след постигане на целта или отпадане на необходимостта от обработване на личните данни, е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването. Допустимо е администраторът да съхранява лични данни само и единствено в предвидените от закона случаи.