СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №ПНМД-01-96/2020г.
гр. София, 11.11.2020г.
ОТНОСНО: Система за контрол на достъпа с лицево разпознаване с мониторинг на телесната температура
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Мария Матева и Веселин Целков, на заседание, проведено на 14.11.2020г., разгледа искане за становище (рег. №ПНМД-01-96/02.10.2020г.), с което старши учител в учебно заведение информира, че от тази година директорът на училището е внесъл промени в Правилника за вътрешния ред на училището. С промените се въвежда пропускателен режим чрез система за контрол на достъпа с лицево разпознаване и мониторинг на телесната температура, видеонаблюдение и охранителна фирма. В писмото се посочва, че въпреки декларираното от нея и колеги ѝ несъгласие за промяната на пропускателния режим, то е било въведено, независимо от това, че учителите са се позовали на изразено от КЗЛД Становище с рег.№НДМСПО-17-916/01.11.2018г. В допълнение, в писмото се съобщава, че класните ръководители са задължавани да убеждават родителите да дадат своето информирано съгласие за лицевото разпознаване на децата им с цел да бъдат допускани до училище. При така изложената фактическа обстановка учителят се обръща към КЗЛД със следните въпроси:
1. Има ли право директорът, като работодател, да задължи учителите да спазват този пропускателен режим, за да бъдат допускани до работното си място, въпреки заявеното им несъгласие и да ги санкционира заради него?
2. Какви стъпки да предприемат учителите, за да защитят своите „чувствителни данни“ в този случай?
Правен анализ:
Както правилно се отбелязва в искането, КЗЛД вече е изразила становище по темата за лицевото разпознаване, като система за контрол на достъпа до учебно заведение. С оглед мотивите на изразеното становище и отчитайки спецификата на конкретния случай, може да се направят няколко допълнения относно прилагането на задължителните правила за обработване на лични данни по смисъла на чл.9, пар. 2 от Регламент(ЕС) 2016/679.
В съображение (51) от Регламент(ЕС) 2016/679 се посочва по-специално, че обработването на биометрични данни с цел идентификация е забранено. Такова обработване е оправдано, само ако съществува изрично съгласие на съответното лице, прилагат се специфични правни задължения или ако обработването се изисква по съображения от обществен интерес, при наличие на правно задължение или е свързано с упражняването на официални правомощия. В допълнение към посочените стриктни изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в регламента.
В писмото се съобщава, че въведената система е с лицево разпознаване и измерване на температура. Температурата на човешкото тяло разкрива данни за здравословното състояние на определен субект на данни, още повече, когато същият е идентифициран по безспорен начин чрез биометрични данни. Съществува обща забрана за обработването и на данни за здравето, освен при наличието на някоя от хипотезите на чл.9, пар. 2 от Регламент(ЕС) 2016/679.
От друга страна обаче, с оглед настоящата епидемична обстановка, на работодателите се дава възможност да проверяват температурата на служителите, а в конкретния случай и на учениците, които посещават училището. Наложените противоепидемични мерки задължават директорът на училището да въведе пропускателен режим, който да гарантира контрол и недопускане на територията на училището на лица със симптоми на COVID-19 или с прояви на остри заразни заболявания. В случай, че се установи заразен служител или ученик на територията на училището, директорът може да уведоми здравните власти, които в рамките на своята компетентност да предприемат определени действия. Законосъобразното обработване на лични данни в този случай се извършва единствено от медицинско лице при наличие на поне едно от основанията, посочени в чл.9, пар. 2 и при спазване на принципите за обработване, посочени в чл.5 от Регламент(ЕС) 2016/679.
С оглед въведеното лицево разпознаване с измерване на температурата, единственото основание за обработване на лични данни, което би могло да се приложи, е съгласието. Условията за валидност при даване на съгласие са посочени в чл.7 от Регламент(ЕС) 2016/679. Следва да се обърне внимание, че съгласието в йерархическите отношения между работодател и служител, по аналогия между директор и ученик, е неподходящо основание поради съмнения, че не е свободно дадено. Както е подчертано от Работната група по чл.29, възприето и от Европейския комитет за защита на данните в няколко становища, съгласието може да бъде валидно само ако субектът на данни е в състояние да упражнява реален избор и няма риск от измама, сплашване, принуда или значително отрицателни последици (напр. значителни допълнителни разходи, недопускане до работното място и т.н.), ако лицето не се съгласи. Съгласието няма да бъде свободно и в случаите, когато има някакъв елемент на принуда, натиск или невъзможност за упражняване на свободна воля.
Без да се отрича или омаловажава настоящата епидемична обстановка, обработването на биометрични данни в съвкупност с данни за здравето за целите на пропускателния режим в училище представлява изключително интрузивно обработване на чувствителни лични данни. Поради тези причини използването на камери за лицево разпознаване с измерване на температурата в училище не отговаря на задължителните изисквания на Общия регламент за законосъобразност, необходимост и пропорционалност на обработването на лични данни. В тази връзка целите на пропускателния режим в училището следва да бъдат реализирани с други способи, а не чрез обработване на данни за здравето в съвкупност с биометрични данни, включително и на деца. В допълнение, записването на такива данни чрез технически средства при липсата на правно основание и при неспазване на основните принципи и задължения, произтичащи от Регламент(ЕС) 2016/679, би могло да доведе до нарушение на правата на засегнатите субекти на данни.
Същевременно, измерването на телесната температура на всички посетители, без значение от тяхната функция, с оглед действащите изисквания за превенцията на разпространението на COVID-19, може да се осъществява индивидуално, без информацията да бъде записвана и индивидуализирана по смисъла на чл.4 от Общия регламент.
На оценка подлежи и информационната система или приложението, като средство чрез което се извършва лицевото разпознаване с измерване на температура. Анализът следва да се извършва още на етапа на проектирането (съобразно чл.25 от Регламент(ЕС) 2016/679), както и да се прецени доколко чрез използването на такова приложение е възможно да се достигне до трансфер на данни по смисъла на главаV от Регламент(ЕС) 2016/679.
Съществено значение при предприемането на конкретно обработване на лични данни има отговорността на администратора за гарантиране правата на засегнатите субекти на данни (в конкретния случай– учители, служители, ученици и евентуално посетители) по смисъла на чл.12-22 от Регламент(ЕС) 2016/679. Администраторът на лични данни има задължение предварително да уведоми лицата, чиито данни ще обработва за:
• данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
• координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
• целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
• получателите или категориите получатели на личните данни, ако има такива;
• когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, втора алинея позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.
• срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
• съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
• когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
• правото на жалба до надзорен орган;
• дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
• съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
Всяко засегнато лице може да упражнява правата по чл.15-22, гарантирани му от Регламент(ЕС) 2016/679, чрез писмено искане до администратора на лични данни. Съгласно чл.12, пар. 3 от Регламент(ЕС) 2016/679 администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15—22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.
В случай че след упражняването на правата пред съответния администратор, лицето счита, че данните се обработват незаконосъобразно, то има право на жалба пред КЗЛД или пред съда. Редът за подаване на жалба пред КЗЛД е разписан в чл.38 и 38а от Закона за защита на личните данни (ЗЗЛД) и в Раздел II от Правилника за дейността на Комисията за защита на личните данни и нейната администрация.
Настоящият анализ е базиран изцяло на трайната практика на КЗЛД, свързана с обработването на лични данни на субекти на данни, както и на съдебната практика по жалби с такъв предмет и на указанията на Европейския комитет по защита на данни в тази насока. Становището на КЗЛД има консултативен характер за администратора на лични данни при прилагане на относимите правни норми. Това становище има единствено разяснителен характер по приложението на коментираните в него норми, без да пораждат права и/или задължения за заинтересованите страни. Съгласно Регламент(ЕС) 2016/679 – Общ регламент относно защитата на данните, администраторът на лични данни сам или съвместно с друг администратор определя правилата и процедурите за обработване на данни, които трябва да са съответстват на закона и регламента. За предприетите от администратора или съвместните администратори действия по обработване на данните се прилагат както правилата на отчетност, прозрачност, добросъвестност, така и нормите отнасящи се до носене на административно-наказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях обработвания.
Във връзка с горепосоченото и на основание чл.58, § 3, б. „б“ от Регламент(ЕС) 2016/679, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Обработването на лични данни чрез монтирането на входно-изходни камери за лицево разпознаване с измерване на температурата в учебното заведение за целите на въвеждането на пропускателен режим не отговаря на задължителните изисквания на Регламент(ЕС) 2016/679 за законосъобразност и пропорционалност, по-специално на чл.5, чл.9 и чл.22 от Регламента и следва да се реализира с други способи, които не изискват обработване на специални категории лични данни. Измерването на телесна температура, като част от противоепидемичните мерки, може да се осъществява без данните на лицето да бъдат индивидуализирани или допълнително обработвани чрез записване.
2. Администраторът на лични данни, в случая учебното заведение, следва да е в състояние да докаже, че обработва законосъобразно лични данни и че са спазени условията за даване на съгласие по чл.7 от Регламент(ЕС) 2016/679, включително съгласието да бъде предоставено доброволно, както и да гарантира, че лицата могат свободно да оттеглят дадено съгласие, което ще преустанови обработването на личните им данни.
3. Всяко засегнато от обработване на лични данни лице може да упражнява правата по чл.15-22, гарантирани му от Регламент(ЕС) 2016/679, чрез писмено искане до администратора на лични данни. В случай че, след упражняването на правата пред съответния администратор, лицето счита, че данните му се обработват незаконосъобразно, то има право на жалба пред КЗЛД по реда, разписан в чл.38 и 38а от ЗЗЛД и в РазделII от Правилника за дейността на Комисията за защита на личните данни и нейната администрация или пред съда.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Мария Матева /п/ | |
| Веселин Целков /п/ |
