СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №ПНМД-01-31/2022г.
гр. София, 01.12.2022г.
ОТНОСНО: Въпроси, свързани с осъществяване на видеонаблюдение от общините
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 30.11.2022г., разгледа писмо с вх. №ПНМД-01-31/14.03.2022г. от г-н Николай Мелемов– кмет на Община Смолян, с което се отправя молба за изразяване на становище по допустимостта на искане от органите на МВР за предоставяне на постоянен достъп до изградената и поддържана от Общината система за видеонаблюдение.
Поводът на искането е постъпило в Общината писмо от началника на РУ- Смолян към ОДМВР– Смолян, с което се иска да осигури достъп за преглед на записи от системата за видеонаблюдение на Община Смолян във връзка с осъществяване на основната дейност на МВР, а именно оперативно-издирвателна, охранителна, разследване на престъпления, контролна и превантивна, както и ефективно опазване на обществения ред и противодействие на конвенционалната престъпност. От приложеното писмо е видно, че същевременно с това са определени и двама служители на МВР, на които да се предостави исканият достъп. С оглед на това, че от писмото не става ясно, точно до кои записи се иска да се осигури достъп, е организирана и проведена работна среща с представители на РУ- Смолян към ОДМВР- Смолян. На срещата представителите на полицията са разяснили, че всъщност не става въпрос за достъп до конкретни записи, а за осигуряване на постоянен достъп до камерите в реално време и до записите от тях.
В искането се посочва, че до настоящия момент на РУ– Смолян многократно е предоставян достъп до записите и са предавани такива по негово искане за разследване на конкретно извършени престъпления/съмнение за престъпления. Уведомява се още, че предоставянето на записи, съдържащи лични данни от видеонаблюдението на Общината, се осъществява по реда и условията, регламентирани във Вътрешните правила за видеонаблюдение на Община Смолян и в нарочна заповед на кмета ѝ.
Към искането е представен и задълбочен правен анализ на относимото законодателство, според който липсва правно основание за предоставянето на искания от РУ- Смолян постоянен достъп до системата за видеонаблюдение на Общината.
Предвид на горното се поставят следните въпроси:
|
1. Може ли Община Смолян да предостави постоянен достъп на Районно управление- Смолян до системата за видеонаблюдение? Ако, отговорът е да- какво е правното основание? Ако, отговорът е не- какво е правното основание?
2. Налице ли са изключенията почл.2,т.2, буква„г” от ОРЗД?
3. В случая кой нормативен акт е приложим- ОРЗД или Директива (ЕС) 2016/680?
4. Какъв би следвало да е редът за предоставяне на записи от видеонаблюдение? Дали да остане такъв, какъвто е към настоящия момент или е необходимо дасе извършат промени в него?
5. В случай че бъде предоставен искания постоянен достъп, какво качество ще има Районно управление- Смолян– обработващ лични данни или не? Община Смолян е в качеството на администратор на личните данни, защото сама определя целите и средствата за обработване на лични данни, но ако Районно управление- Смолян е обработващ лични данни, общината трябва да е възложила на този орган да обработва лични данни от нейно име. Смятам, че в разглеждания случай няма възлагане от наша страна, а ораните на МВР осъществяват правомощията си по закон. Моля за Вашето становище.
6. Как би следвало да се уреди обработването на лични данни между Районно управление- Смолян и Община Смолян– с договор или с друг правен акт, който да е задължителен за обработващия?
7. Какъв би бил подходящият начин администраторът на лични данни да осъществява контрол върху извършените действия от Районно управление- Смолян?
8. Какви мерки следва да се предприемат от администратора, така че да защити записите от копиране и сваляне?
|
Правен анализ:
Видеонаблюдението е дейност, свързана със събиране и съхранение на образни или аудиовизуални данни за лица, попадащи в обхвата на наблюдавана зона, които подлежат на пряко или косвено идентифициране въз основа на техния външен вид или други специфични признаци. Съществен елемент от тази дейност е, че самоличността на лицата може да бъде установена въз основа на тези данни, а също така се създава възможност за обработване на данни относно присъствието и поведението на лицата в съответната зона. В този смисъл видеонаблюдението попада в материалния обхват на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) и следва да се осъществява съобразно неговите изисквания.
Необходимо е обаче да се направи принципно разграничение, според което видеонаблюдението, извършвано от Общината, попада в обхвата на ОРЗД, докато обработването на получените от органите на МВР, в качеството им на компетентен орган по смисъла на чл.42, ал.4 от Закона за защита на личните данни (ЗЗЛД) видеозаписи, попада в приложното поле на ГлаваVIII от ЗЗЛД, с която са въведени изискванията на Директива (ЕС) 2016/6801 в националното ни право.
По общо правило, за да бъде обработването на лични данни законосъобразно в рамките на обхвата на ОРЗД, то трябва да се осъществява въз основа на някое от правните основания, посочени в чл.6, пар.1 и/или чл.9, пар.22 от същия, както и да бъдат приложени ефективно принципите, прогласени с неговия чл.5.
Съгласно чл.49 от ЗЗЛД обработването на лични данни е законосъобразно, когато е необходимо за упражняване на правомощия от компетентен орган за целите по чл.42, ал.1 и е предвидено в правото на Европейския съюз или в нормативен акт (като напр. МВР), в който са определени целите на обработването и категориите лични данни, които се обработват.
От една страна, когато органите на МВР изискват записи от системата за видеонаблюдение на Общината, тяхното основание за получаване на записите е именно упражняването на правомощията им по предотвратяване, разследване, разкриване или наказателно преследване на престъпления или изпълнение на наказания, включително предпазване от заплахи за обществения ред и сигурност и тяхното предотвратяване. От друга страна обаче, правното основание на Общината за предаване на изисканите записи, е спазването на законовото ѝ задължение съгласно чл.6, пар.1, б.„в” от ОРЗД да сътрудничи на правоприлагащите органи. В практиката то често произтича от разпоредбата на чл.159, ал.1 от Наказателно-процесуалния кодекс (НПК), когато с постановление органите на досъдебното производство (каквито са разследващите полицаи) изискват предаването на предмети, книжа, компютърни информационни данни и други данни, които могат да имат значение за конкретното дело.
Това налага извода, че Общината и органите на МВР обработват личните данни за различни цели и на различни правни основания, което обуславя и ролите им на самостоятелни администратори. Правоотношението „администратор– обработващ лични данни” в тази хипотеза е неприложимо, тъй като органите на МВР не обработват данните от видеозаписите по възлагане и от името на Общината, а ги обработват за нуждите на упражняване на своите правомощия.
Прегледът на относимото законодателството (НПК, ЗМВР и ЗМСМА) показва, че към настоящия момент липсва правно основание за предоставяне на искания от РУ- Смолян постоянен достъп до системата за видеонаблюдение на Община Смолян. Действащата нормативна уредба допуска предоставянето само на конкретни записи, изискани по надлежния ред, достъпът до които се осъществява съгласно определени критерии като напр. дата, час, място и пр. Тези критерии способстват за гарантиране на принципите за ограничение на целите и свеждане на данните до минимум по чл.5 от ОРЗД. Те отговарят и на условията за разкриване на данни, залегнали в съобр.22 на Директива (ЕС) 2016/680, според което исканията за разкриване на данни, изпратени от публичните органи, следва винаги да бъдат в писмена форма, да са обосновани и да засягат само отделни случаи и не следва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри с лични данни. Заслужава да се отбележи, че правомощието на компетентните органи по чл.159, ал.1 от НПК засяга предаването на конкретни данни (в случая видеозаписи), които могат да имат значение за конкретния случай, което по своето естество не е тъждествено с предоставянето на постоянен, респ. неограничен достъп до системата за видеонаблюдение на Общината. Нещо повече, осъществяването на нерегламентиран постоянен достъп до системата за видеонаблюдение би повдигнало множество въпроси, свързани с отговорността на отделните администратори и не на последно място, с правата и свободите на субектите на данни. Както ОРЗД, така и изискванията на Директива(ЕС) 2016/680 (респ. ЗЗЛД) задължават администратора да въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с тях, като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица (чл.24 от ОРЗД и чл.59 от ЗЗЛД). За да бъдат въведените мерки адекватни и да съответстват на основните принципи, същите следва да се преразглеждат и при необходимост да се актуализират от администратора.
В съответствие с практиката на Съда на Европейския съюз (СЕС) и на Европейския съд по правата на човека (ЕСПЧ) правните основания трябва да бъдат ясни, точни и непротиворечащи на установената съдебна практика, а прилагането им за конкретни случаи да е предвидимо за лицата, за които се отнасят. Принципно положение е, че неограниченото, систематично и широкомащабно обработване на масиви от лични данни би представлявало повод за подаване на редица жалби пред ЕСПЧ и СЕС, тъй като води до дълбоко и непропорционално навлизане в личната сфера и неприкосновеността на голям брой лица. Това от своя страна противоречи на правовия ред в едно демократично общество. В този смисъл, по аналогия, могат да се приложат изводите и мотивите от Решения на СЕС по дела C‑511/18, C‑512/18, C‑520/18 и C‑140/20. Отчитайки това принципно положение, при въвеждане в законодателството ни на правно основание за постоянен достъп до регистри с лични данни (какъвто в случая е видеонаблюдението) винаги трябва да се отчитат следните базисни параметри, касаещи обработването на лични данни:
• условията, които определят законосъобразността на обработването от администратора (целите на обработването, за което личните данни са предназначени, както и правното основание за това);
• категориите данни, които подлежат на обработване;
• категориите субекти на данни, засегнати от обработването;
• операциите и процедурите за обработване и последиците от тях;
• лицата/органите, пред които могат да бъдат разкривани личните данни и целите, за които се разкриват;
• ограниченията по отношение на целите на разкриването;
• периодът на съхранение;
• информираност на субектите на данни и прозрачност на обработването;
• мерки за гарантиране на правата и свободите на засегнатите субекти на данни.
Следователно, предоставянето на искания от РУ- Смолян постоянен и неограничен достъп до системата за видеонаблюдение на Общината може да се осъществи единствено при регламентирането на законово равнище на посочените по-горе параметри, свързани с обработването на лични данни.
По тези съображения и на основание чл.58, пар.3, б.„б” от Регламент(ЕС) 2016/679 във вр. с чл.10а, ал.1 от Закона за защита на личните данни и чл.51, т.2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Прегледът на относимото законодателството (НПК, ЗМВР и ЗМСМА) показва, че към настоящия момент не е налице правно основание за предоставяне на искания от РУ- Смолян постоянен и неограничен достъп до системата за видеонаблюдение на Община Смолян.
2. Действащата нормативна уредба допуска предоставянето само на конкретни записи или на ограничен във времето достъп, свързан с осъществяване единствено на полицейските правомощия, вкл. при условия на неотложност, както и изискан по надлежния ред, като същият се реализира съгласно критерии като напр. дата, час, местоположение и пр. Тези критерии способстват за гарантиране на принципите за ограничение на целите и свеждане на данните до минимум по чл.5 от Регламент (ЕС) 2016/679, както и отговарят на изискванията за разкриване на данни, заложени в съобр.22 на Директива(ЕС) 2016/680.
3. Видеонаблюдението, извършвано от Община Смолян, попада в обхвата на Регламент(ЕС) 2016/679, докато обработването на получените от органите на МВР, в качеството им на компетентен орган по смисъла на чл.42, ал.4 от Закона за защита на личните данни (ЗЗЛД) видеозаписи, попада в приложното поле на ГлаваVIII от ЗЗЛД, с която са въведени изискванията на Директива(ЕС) 2016/680 в националното ни право.
4. Община Смолян и органите на МВР обработват видеозаписите за различни цели и на различни правни основания, което обуславя и ролите им на самостоятелни администратори. Правоотношението „администратор– обработващ лични данни” в тази хипотеза е неприложимо, тъй като органите на МВР не обработват данните от видеозаписите по възлагане и от името на Община Смолян, а ги обработват за нуждите на упражняване на своите правомощия, предоставени им със закон.
_________________
1 Т.нар. Директива за защита на личните данни в полицейската и наказателната дейност
2 В случаите, когато чрез видеонаблюдение се обработват специални категории данни
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
