Мащабно обработване на лични данни при видеонаблюдение според КЗЛД

Становище на Комисия за защита на личните данни по отношение на понятието „мащабно“ с оглед дефиницията по т.15 от ДР на Закона за защита на личните данни

 

Комисия за защита на личните данни дава отговор дали “основните дейности” на администратора на данни представляват основен критерий за определяне на обработване на лични данни при видеонаблюдение за “мащабно”

 

В Закона за защита на личните данни са регламентирани допълнителни „национални“ задължения за администратори на лични данни, които обработват мащабно лични данни. Такива задължения са изброени в чл. 25д от ЗЗЛД, а именно:

  • приемане и прилагане на правила при мащабно обработване на лични данни;
  • въвеждане подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни.

Съответно, за да бъде приложена разпоредбата на чл. 25д е от съществено значение да бъдат изяснени с точност значението на термините „мащабно“ и „систематично“.

Докато за понятието „систематично“ в ЗЗЛД липсва изрична дефиниция, то за „мащабно“ в ДР т.15 от ЗЗДЛ е създадена специална дефиниция. Съгласно т.15 от ДР “мащабно” е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.

При анализ на дефиницията можем да заключим следното:

На първо място, втората част на българската дефиниция е смислово е дискусионна и буди въпроси – когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции. Първият въпрос е по какъв критерий се определят дейности на администратор/обработващ за основни или не.
На второ място, какво се има предвид под „операции“ и каква е разликата с „дейности“? Също така, кои операции се визират чрез  думата „такива“? Ако тълкуваме езиково, то под дейности се има предвид стопанското занятие, а под операции – методите за постигане и извършване на стопанското занятие.  При този извод, операции са наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни. Остава впечатлението, че чрез тази дефиниция ЗЗЛД ограничава приложното поле на понятието „мащабно“ от Регламент (ЕС) 2016/679, но в същото време е толкова неясно, че всъщност задълбочава недоумението за точния смисъл. На първо четене, българската дефиниция за „мащабно“ създава впечатление, че е насочена само към основната дейност на администратори/обработващи, които осъществяват  наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни. Например, частни охранителни дружества, хостинг компании и други. Но, администратори използват видеонаблюдение за опазване на тяхното собствено имущество, което няма как да бъде определено като основна дейност. Например, училища, молове, библиотеки. При такъв извод отново се връщаме на първия въпрос.

За да си изясня ситуацията прибегнах до искане на становище от страна на Комисия за защита на личните данни и тук публикувам техния официален отговор. Зададох следния въпрос “Квалифицира ли се като мащабно, съгласно определението по т.15 от ДР на ЗЗЛД, видеонаблюдението извършвано от администратори, чиито сгради са посещавани от значителен или неограничен брой субекти на данни (като молове, училища, университети, библиотеки и други)?” с цел да е ясно за какви администратори на данни става дума и за техните предполагаеми основни дейности.

В своето становище отговор КЗЛД се уповава единствено на определението за “мащабно” изведено от ОРЗД в насоките на Работната група по член 29 ( 🙂) като никъде в становището не се визира и коментира втората част на определението по т.15 от ДР на ЗЗЛД. Преднамерено в своя въпрос дадох примери за администратори, които извършват видеонаблюдение, но не като основна дейност. Тоест, видеонаблюдението е вторична дейност, чиито цели са свързани предоминантно с опазване на имуществото на администратора. Остава моето учудване защо е било нужно да се създаде дефиниция на понятие, когато за КЗЛД меродавно е единствено тълкуванието на Работната група по член 29 (WP 29) …

 

От полученото становище отговор на КЗЛД може да се направи заключение, че чл. 25д от ЗЗЛД е приложим за всички администратори/обработващи, които осъществяват видеонаблюдение и изпълняват другите критерии (критериите определени от Работната група по член 29 в своите Насоки), независимо от същността на техните дейности. С други думи, за всички администратори, които осъществяват неограничен публичен достъп на физически лица следва да съблюдават и изпълняват изискванията на чл. 25д от ЗЗЛД, а именно – училища, молове, библиотеки, стадиони, търговски обекти, държавни институции, открити публични зони и други.

Остава въпросът какво е наложило създаването на специална дефиниция за термин, който е подробно тълкуван и изяснен от Работната група по член 29?

 

  •  
  •  
  •  
  •  

Written by

Damyan

9 Posts

Damyan Todorov successfully completed LLM Law & Technology at Tilburg University after previosly obtained a “Master of Laws” degree from the University of Sofia ‘St. Kliment Ohridski’.
View all posts

Leave a reply

Your email address will not be published. Required fields are marked *