Фондация Програма Достъп до Информация

Информационен бюлетин
Брой 7(79), юли 2010
ISSN 1313-6496

Коментар на юриста

Защита на личните данни на работното място

Фани Давидова, юрист в ПДИ

Фани Давидова

В електронната поща на ПДИ, за коментар пристигна следният случай:
Работодателят ми желае да постави видеокамери за наблюдение вътре в офисите. Доколкото знам фирмата е регистрирана, като администратор на лични данни. Интересува ме отговорът на следните въпроси:
1. Какви лични данни има право да изисква от нас работодателя ни и какви са нашите права за защита.
2. Видеозаписите представляват ли лични данни по смисъла на ЗЗЛД?
3.Трябва ли да се уведоми изрично КЗЛД за тази нова практика в нашия офис и кой следва да направи това ?
4.Каква точно  защита трябва да бъде осигурено за видеозаписите?
5.В какъв срок трябва да бъдат унищожавани записите?
6.Работодателят трябва ли да има изрично съгласие от служителите?

Коментар

В настоящия случай, освен общия Закон за защита на личните данни, който задава минималния стандарт за защита правото на неприкосновеност на личния живот, трябва да бъдат разгледани и разпоредбите на Кодекса на Труда и Кодекса на социалното осигуряване.

Съгласно трудовото и осигурителното законодателство, работникът/ служителят е длъжен да предостави на работодателя, своите лични данни, когато такива са необходими във връзка с изпълнение на нормативни изисквания по трудовите и осигурителните отношения през времето на трудовоправните отношения. Такива са трите имена; ЕГН; адрес; лична карта No.; удостоверение за завършено образование; медицински талон за извършен медицински преглед, когато такъв се изисква с оглед спецификата на дейността; трудова книжка за нанасяне на трудов стаж; болничен лист, когато се търси обезщетение за временна/трайна нетрудоспособност, майчинство, отглеждане на дете до две години и др.). При непредоставяне на данните работодателят може да откаже сключване на трудов договор. При последващо непредоставяне на данни работодателят може да налага дисциплинарни наказания на работника/ служителя. Работникът/ служителят е длъжен добросъвестно да посочи достоверни лични данни.

Работникът/ служителят не е длъжен да предоставя чувствителни лични данни по смисъла на чл 5, ЗЗЛД, а именно данни, свързани с расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето или сексуалния живот. Работодателят може да прехвърли данните на друг администратор с идентични цели на обработка с разрешение на Комисията за защита на личните данни или да ги съхранява като анонимни данни при спазване на условията на ЗЗЛД.

Развитието на новите технологии предоставят все по-големи възможности на работодателите, свързани с организацията и контрола на работния процес Компаниите все по-често следят служителите си при използването на Интернет, записват се телефонните разговори, следят се о компютърните файлове, охранителни камери следят работния процес. На този етап българското законодателство не регулира тези отношения, а работодателите са свободни да определят вътрешните правила за организация и контрол на работата. Не съществуват и етични стандарти в тази област. Приложими са единствено общите разпоредби на ЗЗЛД, според които служителите трябва предварително да бъдат уведомявани за това какви данни свързани с тях се събират и обработват, да бъдат уведомени за целите на обработването а базите с тези данни, следва да бъдат описани и регистрирани в регистъра на КЗЛД.

Относно видео наблюдението в работните помещения, на първо място ще отбележим, че в Конституцията на РБ, в чл. 32 ал. 2 изрично е посочено, че никой не може да бъде следен, фотографиран, филмиран, записван или подлаган на други подобни действия без негово знание или въпреки неговото изрично несъгласие, освен в предвидените от закона случаи. В различно секторно законодателство съществуват отделни разпоредби, в които е допустимо използването на технически средства за наблюдение Така например според закона за частната охранителна дейност е допустимо,  като част от охранителната дейност - да се използват технически средства за наблюдение на определен частен обект. Във връзка с това в закона е въведено задължение за уведомяване на гражданите, в нашия случай служителите, чрез информационни табла, поставени на видно място, за използването на технически средства за наблюдение и контрол на обекта, без да се уточнява тяхното местоположение. Съгласно разпоредбата на чл. 30, ал. 5 от ЗЧОД получените видеозаписи се унищожават най-късно в 30-дневен срок след извършването им, за което се съставя протокол от ръководителя на охранителната дейност, освен в случаите, когато те съдържат данни за извършено нарушение на обществения ред или престъпление.

Що се отнася до всички останали случаи, за които няма изрична уредба, за тях се прилага Законът за защита на личните данни. Това е така, тъй като заснетите видеоматериали съдържат лични данни по смисъла на чл. 2, ал. 1 от ЗЗЛД, т.е. съдържат информация, отнасяща се за физическо лице, и то може да бъде идентифицирано пряко или непряко чрез един или повече специфични признаци. В случая признаците, по които може да се идентифицира лицето от направените видеозаписи, са свързани с неговата физическа идентичност. Следователно, лицата (работодателите), които използват видеонаблюдение на работните помещения трябва да спазват изискванията на ЗЗЛД, свързани с обработването на събраните данни (направените видеозаписи), тяхното евентуално прехвърляне и унищожаване, както и да изискват съгласието на служителите си за подобно наблюдение. По правилата на ЗЗЛД, работодателят би трябвало предварително да уведоми работещите стоматолози за какво ще се събират данните от записите (т.е. каква е целта на събирането на данни), кой ще има достъп до тях, ще се предоставят ли на трети лица тези данни, както и че самите те (стоматолозите) имат право на достъп до тях.

След промените в ЗЗЛД през 2006 година, на практика всеки работодател следва да се регистрира като администратор на лични данни в регистъра към КЗЛД. Всеки администратор описва отделните регистри с лични данни, които обработва като за всеки регистър се описват:

• нормативното основание, на което се води
• личните данни, които се съдържат в регистъра
• целта за която се обработват
• начина по който се обработват данните, както и срока на съхраняване на данните

Ето защо работодателят ви следва да регистрира в регистъра към КЗЛД, картотеката с материалите от ежедневното видеонаблюдение.

Интерес представлява съществуващата практиката на КЗЛД, по случаи, в които се обсъжда обхвата на правото на работодателя да обработва лични данни на служителите. Засега тя е основно по жалби, по които служителя претендира, че работодателя му обработва по-голям обем лични данни, от колкото е необходимо, или прехвърля личните му данни неправомерно на трети лица.

В един от случаите, комисията е сезирана с оплакване на бивш служител на фирма “М.”  ООД, която разпространила негови лични данни (три имена и единен граждански номер) на голям брой лица – клиенти на фирмата - чрез изпращане на писма по електронната поща и по факса. Жалбоподателят твърди, че личните му данни са разпространени без неговото съгласие. В свое РЕШЕНИЕ №5682/26.05.2010 г., комисията установява нарушение на администратора - нарушаване принципа на пропорционалност, посочен в чл.2, ал.2, т.3 от ЗЗЛД при обработване на личните данни. При обработването на свързаните с жалбоподателя лични данни не е било налице, нито едно от посочените в чл.4 от ЗЗЛД условия. Допълнително Администраторът на лични данни не е уведомил жалбоподателят, че личните му данни ще се предоставят на трети лица, с което не е изпълнил задължението си по чл.19, ал.1, т.3 от ЗЗЛД. На администратора е наложен глоба в размер на 15 хил лева (приблиз. 7500 EUR).

Съдебната практика в тази област също не е особено богата. Интересен е случаят, в който пред съда правото си на защита на личните данни защитава служител, чийто работодател без негово знание и съгласие прехвърлил личните му данни на банка, с цел издаване на дебитна карта и превеждането на заплатата на служителя по нея. В решение на ВАС № 8601 от 10.07.2008 съдът приема, че съгласно чл. 4, ал.1, т. 2 от ЗЗЛД обработването на лични данни е допустимо, когато физическото лице, за което се отнасят данните, е дало изрично съгласие и обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна.