Публикувано на от Duncheva

Може ли училище да монтира система за достъп с лицево разпознаване и измерване на телесна температура?

Достатъчно ли е съгласието на родителите, обяснява в становище Комисията за защита на личните данни

Комисията за защита на личните данни публикува отговорите на въпросите дали може да се използва в училище пропускателен режим чрез система за контрол на достъпа с лицево разпознаване и мониторинг на телесната температура, видеонаблюдение и охранителна фирма.

В надзорния орган е получено писмо, в което се посочва, че въпреки декларирано от учители несъгласие за промяната на пропускателния режим, то е било въведено, независимо от това, че учителите са се позовали на предишно негово становище.

Дори класните ръководители са задължавани да убеждават родителите да дадат своето информирано съгласие за лицевото разпознаване на децата им с цел да бъдат допускани до училище.

Учителят пита КЗЛД:

  1. Има ли право директорът, като работодател, да задължи учителите да спазват този пропускателен режим, за да бъдат допускани до работното си място, въпреки заявеното им несъгласие и да ги санкционира заради него?
  2. Какви стъпки да предприемат учителите, за да защитят своите „чувствителни данни“ в този случай?

Какво отговаря надзорният орган:

В съображение (51) от Регламент (ЕС) 2016/679 се посочва по-специално, че обработването на биометрични данни с цел идентификация е забранено. Такова обработване е оправдано, само ако съществува изрично съгласие на съответното лице, прилагат се специфични правни задължения или ако обработването се изисква по съображения от обществен интерес, при наличие на правно задължение или е свързано с упражняването на официални правомощия. В допълнение към посочените стриктни изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в регламента.

В писмото се съобщава, че въведената система е с лицево разпознаване и измерване на температура. Температурата на човешкото тяло разкрива данни за здравословното състояние на определен субект на данни, още повече, когато същият е идентифициран по безспорен начин чрез биометрични данни. Съществува обща забрана за обработването и на данни за здравето, освен при наличието на някоя от хипотезите на чл. 9, пар. 2 от Регламент (ЕС) 2016/679.

От друга страна обаче, с оглед настоящата епидемична обстановка, на работодателите се дава възможност да проверяват температурата на служителите, а в конкретния случай и на учениците, които посещават училището. Наложените противоепидемични мерки задължават директора на училището да въведе пропускателен режим, който да гарантира контрол и недопускане на територията на училището на лица със симптоми на COVID-19 или с прояви на остри заразни заболявания.

В случай, че се установи заразен служител или ученик на територията на училището, директорът може да уведоми здравните власти, които в рамките на своята компетентност да предприемат определени действия. Законосъобразното обработване на лични данни в този случай се извършва единствено от медицинско лице при наличие на поне едно от основанията, посочени в чл. 9, пар. 2 и при спазване на принципите за обработване, посочени в чл. 5 от Регламент (ЕС) 2016/679.

С оглед въведеното лицево разпознаване с измерване на температурата, единственото основание за обработване на лични данни, което би могло да се приложи, е съгласието. Условията за валидност при даване на съгласие са посочени в чл. 7 от Регламент (ЕС) 2016/679. Следва да се обърне внимание, че съгласието в йерархическите отношения между работодател и служител, по аналогия между директор и ученик, е неподходящо основание поради съмнения, че не е свободно дадено. Както е подчертано от Работната група по чл. 29, възприето и от Европейския комитет за защита на данните в няколко становища, съгласието може да бъде валидно само ако субектът на данни е в състояние да упражнява реален избор и няма риск от измама, сплашване, принуда или значително отрицателни последици (напр. значителни допълнителни разходи, недопускане до работното място и т.н.), ако лицето не се съгласи. Съгласието няма да бъде свободно и в случаите, когато има някакъв елемент на принуда, натиск или невъзможност за упражняване на свободна воля.

Без да се отрича или омаловажава настоящата епидемична обстановка, обработването на биометрични данни в съвкупност с данни за здравето за целите на пропускателния режим в училище представлява изключително интрузивно обработване на чувствителни лични данни.

Поради тези причини използването на камери за лицево разпознаване с измерване на температурата в училище не отговаря на задължителните изисквания на Общия регламент за законосъобразност, необходимост и пропорционалност на обработването на лични данни.

В тази връзка целите на пропускателния режим в училището следва да бъдат реализирани с други способи, а не чрез обработване на данни за здравето в съвкупност с биометрични данни, включително и на деца. В допълнение, записването на такива данни чрез технически средства при липсата на правно основание и при неспазване на основните принципи и задължения, произтичащи от Регламент  (ЕС) 2016/679, би могло да доведе до нарушение на правата на засегнатите субекти на данни.

Същевременно, измерването на телесната температура на всички посетители, без значение от тяхната функция, с оглед действащите изисквания за превенцията на разпространението на COVID-19, може да се осъществява индивидуално, без информацията да бъде записвана и индивидуализирана по смисъла на чл. 4 от Общия регламент.

На оценка подлежи и информационната система или приложението, като средство чрез което се извършва лицевото разпознаване с измерване на температура. Анализът следва да се извършва още на етапа на проектирането (съобразно чл. 25 от Регламент  (ЕС) 2016/679), както и да се прецени доколко чрез използването на такова приложение е възможно да се достигне до трансфер на данни по смисъла на глава  V от Регламент (ЕС) 2016/679.

Съществено значение при предприемането на конкретно обработване на лични данни има отговорността на администратора за гарантиране правата на засегнатите субекти на данни (в конкретния случай – учители, служители, ученици и евентуално посетители) по смисъла на чл.  12-22 от Регламент  (ЕС) 2016/679. Администраторът на лични данни има задължение предварително да уведоми лицата, чиито данни ще обработва за:

  • данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;
  • координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
  • целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
  • получателите или категориите получатели на личните данни, ако има такива;
  • когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, втора алинея позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.
  • срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
  • съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
  • когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
  • правото на жалба до надзорен орган;
  • дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
  • съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

Всяко засегнато лице може да упражнява правата по чл. 15-22, гарантирани му от Регламент (ЕС) 2016/679, чрез писмено искане до администратора на лични данни. Съгласно чл.  12, пар. 3 от Регламент  (ЕС) 2016/679 администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15 – 22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането.

При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията.

Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

В случай че след упражняването на правата пред съответния администратор, лицето счита, че данните се обработват незаконосъобразно, то има право на жалба пред КЗЛД или пред съда. Редът за подаване на жалба пред КЗЛД е разписан в чл.  38 и 38а от Закона за защита на личните данни (ЗЗЛД) и в Раздел II от Правилника за дейността на Комисията за защита на личните данни и нейната администрация.

За предприетите от администратора или съвместните администратори действия по обработване на данните се прилагат както правилата на отчетност, прозрачност, добросъвестност, така и нормите отнасящи се до носене на административно-наказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях обработвания.

На основание чл. 58, § 3, б. „б“ от Регламент  (ЕС) 2016/679, Комисията за защита на личните данни изразява становище, че

  1. Обработването на лични данни чрез монтирането на входно-изходни камери за лицево разпознаване с измерване на температурата в учебното заведение за целите на въвеждането на пропускателен режим не отговаря на задължителните изисквания на Регламент (ЕС) 2016/679 за законосъобразност и пропорционалност, по-специално на чл. 5, чл. 9 и чл. 22 от Регламента и следва да се реализира с други способи, които не изискват обработване на специални категории лични данни.

Измерването на телесна температура, като част от противоепидемичните мерки, може да се осъществява без данните на лицето да бъдат индивидуализирани или допълнително обработвани чрез записване.

  1. Администраторът на лични данни, в случая учебното заведение, следва да е в състояние да докаже, че обработва законосъобразно лични данни и че са спазени условията за даване на съгласие по чл. 7 от Регламент (ЕС) 2016/679, включително съгласието да бъде предоставено доброволно, както и да гарантира, че лицата могат свободно да оттеглят дадено съгласие, което ще преустанови обработването на личните им данни.
  2. Всяко засегнато от обработване на лични данни лице може да упражнява правата по чл. 15-22, гарантирани му от Регламент (ЕС) 2016/679, чрез писмено искане до администратора на лични данни. В случай че, след упражняването на правата пред съответния администратор, лицето счита, че данните му се обработват незаконосъобразно, то има право на жалба пред КЗЛД по реда, разписан в чл.  38 и 38а от ЗЗЛД и в Раздел  II от Правилника за дейността на Комисията за защита на личните данни и нейната администрация или пред съда.