Становище на Комисията за защита на личните данни относно искане с рег.№ 3699/24.10.2011г. по въпросът за предоставяне на достъп до аудио и видео информация, записана с камери за видеонаблюдение в операционните зали на болница

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 09.11.2011г. (Протокол № 45), разгледа искане с рег.№3699/24.10.2011г. от д-р Д.П.Д. – изпълнителен директор на Университетска многопрофилна болница за активно лечение (УМБАЛ) “Свети Иван Рилски ” ЕАД – гр.София за изразяване на становище от Комисията за защита на личните данни на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, относно постъпили искания от д-р Р.С.А. с вх.№ 3699/07.10.2011г. и от д-р Г.К.Г. с вх.№3733/10.10.2011г. за предоставяне на достъп до аудио и видео информация, отнасяща се до тях, записана с камери за видеонаблюдение в операционните зали на болницата. Искането е подадено от изпълнителния директор на болничното заведение и член на Съвета на директорите – д-р Д.П.Д., като същият е вписан в Търговския регистър на основание чл.235, ал.3 от Търговския закон като представител на едноличното акционерното дружество, от което става видно, че той може да го представлява пред Комисията за защита на личните данни, във връзка с административното производство по изразяване на становище.

В УМБАЛ „Свети Иван Рилски” ЕАД – гр.София са постъпили искания от д-р Р.С.А. с вх.№ 3699/07.10.2011г. и от д-р Г.К.Г. с вх.№3733/10.10.2011г. – лекари, работещи по трудов договор в Клиниката по неврохирургия към болничното заведение, относно предоставяне на достъп до аудио и видео информация, записана с камери за видеонаблюдение в операционните зали, както и прекратяване на обработването на записаните данни и тяхното унищожаване. В отговор лекарите са уведомени от болничното заведение, че поисканата от тях информация не може да им бъде предоставена, тъй като не съществува.

В искането се твърди, че на 01.08.2011г. в операционните зали на УМБАЛ „Свети Иван Рилски” ЕАД – гр.София е въведено визуално видеонаблюдение (без звук). Поставени са информационни табели, чрез които да бъдат уведомени всички пациенти, посетители и служители, за това, че цялото лечебно заведение е под видеонаблюдение. С оглед търсене на техническо решение относно позиционирането на камерите, така че да бъдат напълно защитени правата на физическите лица-пациенти на болницата, видеонаблюдението е преустановено на 26.09.2011г. За посочения период са направени няколко записа, които се отнасят до целия анестезиологичен и операционен екип (вкл. и на д-р Р.С.А. и д-р Г.К.Г.), участвал в извършването на съответните операции в операционните зали, като се твърди, че записаната информация с видеокамери се съхранява само в рамките на 30 дни, след което тя автоматично се изтрива. Във връзка с видеонаблюдението,в лечебното заведение е извършенапроверка от ИА „Медицински одит” към Министерство на здравеопазването в периода: 27.09.2011г. – 10.10.2011г. За целите на проверката записите от видеокамерите са предоставени на проверяващия екип, като в искането не е представена информация дали са налице резултати от проверката.

С оглед спецификата на поискания достъп до отнасящите се до д-р Р.С.А. и д-р Г.К.Г. лични данни, записани с камери за видеонаблюдение в операционни зали на УМБАЛ „Свети Иван Рилски” ЕАД – гр.София,КЗЛД е сезирана с настоящото искане за становище относно следните въпроси:

1. По смисъла на Закона за защита на личните данни, д-р Р.С.А. и д-р Г.К.Г. имат ли право на достъп до аудио и видео информацията, отнасяща се до тях, записана с камери за видеонаблюдение в операционните зали на болницата, с оглед защитата на техните права?

2. Налице ли е задължение за УМБАЛ „Свети Иван Рилски” ЕАД – гр.София да предостави исканата информация от д-р Р.С.А. и д-р Г.К.Г. и по силата на кои нормативни документи ?

При анализа на изложеното в искането, се установи следното:

УМБАЛ „Свети Иван Рилски” ЕАД – гр.София е вписана в Търговския регистър при Агенцията по вписванията с ЕИК 000715054, с предмет на дейност: осъществяване на болнична помощ и със седалище и адрес на управление: гр.София, община Столична, Район „Триадица”, бул.”Акад. Иван Гешов” № 15.

При извършена служебна справка в Регистъра на администраторите на лични данни и водените от тях регистри, поддържан от КЗЛД, се установи, че УМБАЛ „Свети Иван Рилски” ЕАД – гр.София е подала заявление за регистрация с вх. № 1014744/13.07.2010г.като администратор на лични данни и е вписана в регистъра с идентификационен номер 156361. Лечебното заведение е заявило поддържането на 3 броя регистри – „Персонал”, „Пациенти” и „Видеонаблюдение”, обявен на 28.10.2011г. Съгласно изразено от Комисията за защита на личните данни от 2010г. становище относно видеонаблюдението всеки администратор на лични данни по смисъла на чл.3 от Закона за защита на личните данни, който ще обработва лични данни чрез създаване на видеозапис от средства за наблюдение е задължен да заяви регистър „Видеонаблюдение” пред Комисията за защита на личните данни за вписване на това обстоятелство в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан на основание чл. 10, ал. 1, т. 2 от Закона за защита на личните данни.

На основание чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД), лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД, "специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето. Предвид това, се налага изводът, че видеозаписите от средствата за наблюдение съдържат "лични данни", тъй като включват информация, която по смисъла на чл. 2, ал.1 от Закона за защита на личните данни е способна да разкрие физическата идентичност на лицето, което е записано. В тази връзка е и становището на Работна група за защита на личните данни по чл. 29 от Директива 95/46/ЕО на Европейския съюз. Съгласно Становище № 4/2004г. относно обработването на лични данни чрез видеонаблюдение (т.6 „Видеонаблюдение и обработване на лични данни”) звуковите данни и изображенията, които се отнасят до идентифицирани или идентифицируеми физически лица, представляват лични данни.

По смисъла на §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни, “обработване на лични данни” е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”. В конкретния случай, „видеонаблюдението” е действие по обработване на лични данни, тъй като се извършва запис на данните чрез средства за видеонаблюдение.

При всяко обработването на лични данни, вкл. в конкретния случай – чрез видеонаблюдение на лекари и пациенти в операционните зали, намира приложение разпоредбата на чл.2, ал.2, т.2 от ЗЗЛД, съгласно която личните данни трябва да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели.

Следва да се има предвид, че на основание чл.5, ал.1 от ЗЗЛД е забранено обработването на т.нар. „чувствителни данни”, които включват информация за расов или етнически произход; политически, религиозни, или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели; данни, които се отнасят до здравето, сексуалния живот или човешкия геном.

Нормата не се прилага, в случаитекогато:

1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;

3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:

а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;

5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;

6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.

От друга страна, съгласно чл.4, ал.1 от Закона за защита на личните данни, обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7.обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

Предвид изложеното по-горе, може да се направи извод, че извършването на видеонаблюдение на лекари и пациенти в операционни зали на болнични заведения безспорно е обработване на лични данни, като по отношение на пациентите – данните, които се обработват, са от категорията на т.нар. „чувствителни данни”, тъй като се отнасят до тяхното здраве. В конкретния случай, единственото условие за допустимост на обработването на лични данни чрез видеонаблюдение в операционни зали на болнично заведение, е наличие на изрично съгласие за това, за лекарите – съгласно чл.4, ал.1, т.2 от ЗЗЛД, а за пациентите – съгласно чл.5, ал.2, т.2 от ЗЗЛД.

По смисъла на §1, т.13 от допълнителните разпоредби на ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице са следните:

– Да е свободно изразено-предоставено от физическото лице, по негово собствено желание, без елемент на принуда;

– Да бъде недвусмислено – съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;

-Да е конкретно-т.е съгласието следва да бъде предоставено за обработване на лични данни от конкретно лице за конкретни цели;

– Да е информирано – лицето, предоставящо данните следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните;данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.

– Да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.

Съобразно действащата към настоящия момент нормативна уредба в сферата на защитата на личните данни в Република България за изразеното съгласие на физическо лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни, КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че съгласиетопроизхожда именно от физическото лице, за което се отнасят данните.

По отношение извършването по принцип на видеонаблюдение в болнични заведения може да намери приложение Закона за частната охранителна дейност, но само ако целта на обработване на личните данни на лекари и пациенти е охрана на обектите, на мероприятията и на лицата, и на техните права и законни интереси от противоправни посегателства. При наличие на тази хипотеза, съгласно чл.30, ал.4 от цитирания закон, гражданите задължително се уведомяват чрез информационни табла, поставени на видно място, за използването на технически средства за наблюдение и контрол на обекта, без да се уточнява тяхното местоположение. Получените видеозаписи се унищожават най-късно в 30-дневен срок след извършването им, за което се съставя протокол от ръководителя на охранителната дейност, освен в случаите, когато те съдържат данни за извършено нарушение на обществения ред или престъпление. В последния случай, те се предават на правоохранителните органи. Контролът върху лицата, които осъществяват дейности по Закона за частната охранителна дейност се осъществява от Главна дирекция “Охранителна полиция”, Главна дирекция “Криминална полиция” и Областните дирекции на МВР.

Предвид горното, режимът на Закона за частната охранителна дейност не може да се прилага за цели, различни от тези, определени в самия него. Тъй като в конкретния случай става въпрос за обработване на „чувствителни данни” по отношение на пациентите на болнично заведение, за да бъде законосъобразно видеонаблюдението в операционните зали, е необходимо пациентите – обект на видеонаблюдение, да са дали своето изрично съгласие за това. Съгласно Становище №4/2004г. относно обработването на лични данни чрез видеонаблюдение на Работна група за защита на личните данни по чл. 29 от Директива 95/46/ЕО на Европейския съюз, чувствителният характер на обработването на лични данни изисква внимателна преценка на обхвата на задачите, правомощията и законните интереси, свързани с личните данни. От гледна точка на балансирането на различни интереси, специално внимание трябва да се обърне чрез предварително изслушване на заинтересованите страни, т.к. заслужаващите защита интереси могат да са в конфликт с инсталирането на системата или с определени договорености за задържане на данни или други начини на обработване.

Съгласно чл.25 от ЗЗЛД, след постигане целта на обработване на личните данни, администраторът е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването. Администраторът е допустимо да съхранява лични данни само и единствено в предвидените от закона случаи.

По отношение на правото на достъп на физически лица (в конкретния случай – лекари и пациенти) до лични данни, обработвани чрез видеонаблюдение, намира приложение разпоредбата на чл.26 от Закона за защита на личните данни, съгласно която всяко физическо лице има право на достъп до отнасящите се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него. При упражняване правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни: 1. Потвърждение за това, дали отнасящите се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват; 2. Съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник; 3. Информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл.34б от ЗЗЛД. Администраторът на лични данни предоставя цитираната информация безплатно. На основание чл.28а от Закона за защита на личните данни, физическото лице има право по всяко време да поиска от администратора да: 1.Заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон; 2. Уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т.1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.

Правото на достъп по чл.26 и правата по чл.28аот ЗЗЛД се осъществяват с писмено заявление до администратора на лични данни, като същото се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно. Заявлението може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис. Заявлението по чл.29 съдържа: 1.Име, адрес и други данни за идентифициране на съответното физическо лице; 2. Описание на искането; 3.Предпочитана форма за предоставяне на информацията при упражняване правото си на достъп по чл.28, ал.1; 4. Подпис, дата на подаване на заявлението и адрес за кореспонденция. Съгласно чл.32, ал.4 от Закона за защита на личните данни, в случаите когато физическото лице поиска от администратора да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на закона (чл.28а, т.1), администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението за упражняване правото на достъп по чл.29 или мотивирано отказва извършването му.

В конкретния случай, поради факта, че обработването на лични данни на лекари и пациенти се извършва с технически средства за наблюдение и контрол, достъпът до лични данни на отделно физическо лице може да бъде предоставен при техническа възможност за временно заличаване на личните данни на трети лица, които биха могли да бъдат разкрити при осъществяване правото на достъп. В случай, че не е технически възможно да бъдат временно заличени личните данни на трети лица, единственото правно основание за осъществяване на правото на достъп би било наличието на изрично съгласие от всички останали физически лица – предмет на конкретното видеонаблюдение. В тази връзка, съгласно Становище № 4/2004г. относно обработването на лични данни чрез видеонаблюдение на Работна група за защита на личните данни по чл. 29 от Директива 95/46/ЕО на Европейския съюз, правото на субектите на данни да се противопоставят на обработването на данните и обикновено краткия период на задържане на изображенията стеснява обхвата на прилагане правото на субектите на данните за достъп до личните данни, които дават възможност за тяхното разпознаване; все пак това право трябва да е защитено, особено ако е подадено подробно искане, с което се позволява лесното изтегляне на съответните изображения. Трябва да се вземе под внимание необходимостта от временна защита на правата на трети лица. В становището си Работната група дава пример с наличие на видеозапис от камера над АТМ устройство, от който би могло да се види как крадец изтегля незаконно пари от банкомат. В този случай банката и полицейският участък не са успели да изпълнят искането на физическото лице – клиент, което е потърпевш от извършената кражба, да извлекат от изображенията, записани от камера, в частта, отнасяща се до крадеца, който след кражба на банкова карта на клиент я използва за незаконно изтегляне на пари от банкомат, с основанието, че това нарушава „неприкосновеността на личния живот” на крадеца.

Във връзка с горното и на основание чл. 10, ал.1, т. 4 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

1. Видеозаписите от средствата за наблюдение съдържат "лични данни", тъй като включват информация, която, по смисъла на чл. 2, ал.1 от Закона за защита на личните данни, е способна да разкрие физическата идентичност на лицето, което е записано.

2. На основание чл.26, ал.1 от Закона за защита на личните данни, всяко физическо лице има право на достъп до отнасящите се за него лични данни (вкл. записани чрез камери за видеонаблюдение). При упражняване правото си на достъп, съгласно чл.28, ал.1 от ЗЗЛД, физическото лице има право по всяко време да поиска от администратора на лични данни:

· Потвърждение за това, дали отнасящите се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;

· Съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;

· Информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл.34б.Администраторът на лични данни предоставя цитираната информация безплатно.

3. Достъпът до лични данни на отделно физическо лице по т.2, записани чрез камери за видеонаблюдение, може да бъде предоставенпри техническа възможност за временно заличаване на личните данни на трети лица, които биха могли да бъдат разкрити при осъществяване на това право на достъп. В случай, че не е технически възможно да бъдат временно заличени личните данни на трети лица, единственото правно основание за осъществяване на правото на достъп би било наличието на изрично съгласие от всички останали физически лица – предмет на конкретното видеонаблюдение.

4. Съгласието на физическите лица за обработване на техните лични данни чрез видеозапис от средства за видеонаблюдение трябва да е дадено предварително преди започване обработването на личните данни (преди стартирането на записа от видоенаблюдението) и да отговоря на следните изисквания съгласно §1, т.13 от Допълнителните разпоредби на ЗЗЛД: да е свободно изразено, конкретно и информирано, недвусмислено.

5. На основание чл.28а от Закона за защита на личните данни, физическото лице има право по всяко време да поиска от администратора да: 1. Заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон; 2. Уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т.1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.

Правото на достъп по чл.26 и правата по чл.28аот ЗЗЛД се осъществяват с писмено заявление до администратора на лични данни, като същото се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.

6. Съгласно чл.32, ал.1 от Закона за защита на личните данни, в случаите по чл.28, ал.1 (при упражняване правото на достъп)администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл.29и се произнася в 14-дневен срок от неговото подаване.