РЕШЕНИЕ
№ 6970/10
София, 06.10.2010 г.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Валентин Енев, Мария Матева и Веселин Целков на редовно заседание, проведено на 07.07.2010г., на основание чл. 10, ал. 1, т. 7 от Закона за защита на личните данни (ЗЗЛД), постави на разглеждане Жалба, рег. № 6970/28.04.2010 г., подадена от П.П. срещу Националния дворец на културата.
За да се произнесе по Жалба, рег. № 6970/28.04.2010 г., подадена от П.П. срещу Национален дворец на културата Комисията за защита на личните данни взе предвид следното:
Административното производство пред Комисията за защита на личните данни е образувано на основание чл. 38, ал. 1 от Закона за защита на личните данни.
П.П., в жалбата си, излага твърдения за нарушение на Закона за защита на личните данни при осъществяване на достъп до офис, находящ се в сградата на НДК-Пронто, бул. България № 1.
С оглед установяване на ответна страна в административното производство и на основание чл. 35 от АПК, с писмо, изх. № 6970/18.05.2010 г. на председателя на Комисията за защита на личните данни от г-н П.П. е изискано да посочи фирмата, чийто офис е посетил, както и дали портиерът е обслужвал главен вход на сградата или вход на офиса на съответната фирма.
В отговор на искането, г-н П.П. с писмо, вх. № 6970/28.05.2010 г. пояснява, че портиерът извършва пропускателен режим в главния вход на НДК-Пронто, бул. България № 1, в която се помещават множество офисни помещения и посетената от него фирма няма отношение към пропускателния режим.
С писмо, изх. № 6970/18.05.2010 г. на председателя на Комисията за защита на личните данни, генералния директор на Националния дворец на културата е уведомен за образуваното административно производство по жалбата на г-н П.П. и е изискано изразяване на становище по жалбата, включително и да предостави информация относно дружеството, което осъществява пропускателният режим в сградата, като предостави и относимите към становището доказателства.
С писмо, вх. № 6970/03.06.2010 г., г-н Друмев – генерален директор на Националния дворец на културата изразява становище по жалбата, към което са приложени писмо, рег. № 586/04.11.2009 г. на Столична дирекция на вътрешните работи – Четвърто районно управление и договор № 006-С-2010 г. за планово-профилактични прегледи, сключен между Националния дворец на културата и Синхрон-С ООД на 24.04.2010 г.
В своето становище, г-н Друмев сочи, че пропускателната система за достъп до Административната сграда на НДК е изградена по нареждане на МВР (писмо, рег. № 586/04.11.2009 г.), тъй като в сградата се помещава и посолството на Израел. Предвид обстоятелствата, всички наематели на офиси в сградата са уведомени за пропускателния режим, който се отнася, както по отношение на служителите на съответните наематели, така и по отношение на временните посетители. Информацията от личните карти на посетителите, датата и времето на престой на посетителя се съхраняват за срок до 6 месеца, като достъп до данните имат органите на МВР, съвместно със Синхрон-С ООД, на когото е възложено извършването на планово-профилактични прегледи на обекта, съгласно договор № 006-С-2010г.
В чл.30, ал.1 от Правилника за дейността на Комисия за защита на личните данни и нейната администрация (ПДКЗЛДНА) са определени реквизитите, които трябва да съдържа жалбата, с която физическите лица сезират Комисията за нарушения на техните права по ЗЗЛД. Жалбата отговаря на нормативно установените изисквания, поради което се явява редовна.
Видно от представеното становище, доказателства и приложения, жалбата на г-н П.П. е от физическо лице, при наличие на правен интерес и подадена в срока по чл. 38, ал.1 от Закона за защита на личните данни. Жалбата е насочена срещу действия по обработване на лични данни, извършени при осъществяване на достъп до офис, находящ се в сградата на НДК-Пронто, бул. България № 1. Администраторът на лични данни, срещу който може да се приеме, че е насочена жалбата е Националния дворец на културата.
Националният дворец на културата с БУЛСТАТ 000675147 има качеството на администратор на лични данни по смисъла на чл. 3 от Закона за защита на личните данни.
При извършена служебна справка в Регистъра на администраторите на лични данни се установява, че НДК е вписан в регистъра и има идентичен номер 157544. Администраторът на лични данни е заявил 4 регистъра, един от който е регистър „Пропускателен режим”. В Заявлението за регистрация е посочено, че техническите и организационните мерки за защита на данните в регистър „Пропускателен режим” са уредени в документ от 01.01.2010 г. (не се сочи наименованието на документа).
Въз основа на така изяснените факти и обстоятелства като страни в административното производство са конституирани г-н П.П. – жалбоподател, и Националния дворец на културата – ответна страна и администратор на лични данни по смисъла на чл. 3 от Закона за защита на личните данни.
На свое редовно проведено на 16.06.2010 г. заседание, Комисията приема жалбата за допустима и я насрочва за разглеждане в открито заседание за 7.07.2010 г.
В допълнение на предоставеното от генералния директор на НДК становище и доказателства в подкрепа на него, с писмо изх. № 6970/17.06.2010 г. на председателя на Комисията за защита на личните данни е изискано предоставянето на документа, с който се уреждат техническите и организационните мерки за защита на личните данни, обработвани в регистър “Пропускателен режим”.
В отговор на указанието, с писмо от 23.06.2010 г., г-н Друмев – генерален директор на НДК, представя Инструкция за техническите и организационните мерки за воденето, поддържането и защитата на регистрите, съхраняващи лични данни в Национален дворец на културата (инструкция).
В цитираната по-горе инструкция са уредени мерките за защита на личните данни, обработвани в регистър “Пропускателен режим” (Раздел VІІ).
Съгласно т. 28 от инструкцията в регистъра се обработват лични данни за целите на индивидуализиране на лицата, посетили сградата, за изпълнение на Закона за Министерството на вътрешните работи, както за използване на личните данни при възникване на инциденти в сградата. Обемът на обработваните лични данни е ограничен до лични данни от категорията на физическата индентичност.
Достъп до обработваните лични данни имат определени със заповед служители на НДК, както и съответни държавни органи – при изпълнение на нормативно установени техни задължения.
За редовното открито заседание на Комисията за защита на личните данни, проведено на 07.07.2010 г. страните в административното производство са редовно уведомени. Жалбоподателят не се явява, като за НДК се явяват Иванка Грозева и Ангел Бонев – с изрично пълномощно.
Представителите на НДК представят Заповед № ІV-102 от 30.12.2009 г. на генералния директор на НДК и Протокол от 1.07.2010 г. за заличаване на данни в системата за контрол на достъпа до административната сграда на НДК. Изразяват становище за неоснователност на жалбата на г-н П.П.
С оглед събраните в административното производство становища и доказателства, и изяснените факти и обстоятелства жалбата, подадена то г-н П.П. срещу Националния дворец на културата е неоснователна.
Съгласно чл. 2, ал. 2 от Закона за защита на личните данни всеки администратор на лични данни следва да обработва личните данни законосъобразно и добросъвестно, за конкретни и точно определени законни цели. От своя страна обработването на лични данни следва да е допустимо при наличие на поне едно от условията на чл. 4 от Закона.
Видно от регистрацията на НДК в регистъра на администраторите на лични данни и на водените от тях регистри, както и предоставената в административното производство инструкция, личните данни, събирани за целите на пропускателния режим се обработват с оглед специалния режим на достъп, установен в административната сграда на НДК. Специалният режим на достъп е организиран от администратора на лични данни във връзка с намиращото се в сградата Посолство на държавата Израел и указания, дадени от началника на 04 РПУ към СДВР с писмо, рег. № 586/04.11.2009 г.
Съгласно чл. 57 от Закона за Министерството на вътрешните работи при установяване на условия и причини за извършването на престъпления и други нарушения на обществения ред полицейските органи вземат мерки за отстраняването им. Видно от съдържанието на писмо, рег. № 586/04.11.2009 г. НДК, представлявано от генералния си директор е задължено да предприеме мерки с цел недопускане нарушаването на обществения ред, безпрепятствено проникване и придвижване на лица в административната сграда на НДК във връзка с зачестили сигнали за извършване на престъпления на територията на НДК.
Националният дворец на културата е компетентното по смисъла на чл. 57, ал. 2 от ЗМВР лице.
В тази връзка, с Инструкция за техническите и организационните мерки за воденето, поддържането и защитата на регистрите, съхраняващи лични данни в Национален дворец на културата, се въвежда режим на достъп на посетители в административната сграда на НДК след издаване на временен достъп и сканиране на личната карта на съответния посетител.
С оглед изложеното може да се приеме, че е налице условие по чл. 4, ал. 1 от ЗЗЛД за обработване на лични данни на посетители в административната сграда на НДК при наличие на нормативно установено задължение на администратора на лични данни и за изпълнение на задача, която се осъществява в обществен интерес.
Съгласно чл. 2, ал. 2, т. 3 от Закона за защита на личните данни, обработваните лични данни следва да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват.
Снемането на копие от личната карта на посетителя и запазването му за срок от 6 месеца съответства на целите, за които се обработват личните данни. Съгласно т. 33 от Инструкция за техническите и организационните мерки за воденето, поддържането и защитата на регистрите, съхраняващи лични данни в Национален дворец на културата, достъп до обработваните лични данни могат да имат съответни държавни органи – съд, следствие, прокуратура, ревизиращи органи, когато данните са изискани по надлежен ред и във връзка с установени техни нормативни задължения.
Наличието на информация (сигнали) за извършване на престъпления на територията на НДК предполага осъществяването на контрол, както при осъществяване на достъп, така и след това, по отношение на външните посетители. Съхраняването на данните от личната карта на съответния посетител е законосъобразно с оглед предприемане на действия за предотвратяване и разкриване на престъпления, действия, които могат да се определят като терористични актове и идентични престъпни посегателства.
Видно от представените на редовно проведеното на 07.07.2010 г. заседание, заповед и протокол за унищожаване на информация, следва да се приеме, че администраторът на лични данни – Национален дворец на културата е предприел мерки за защита на обработваните лични данни, както и унищожаването им след отпадане на необходимостта от тяхното обработване.
Г-жа Мария Матева – член на Комисията за защита на личните данни гласува решението с особено мнение, както следва:
Изградената система на пропускателен режим не съответства на целите, визирани в писмо, рег. № 586/04.11.2009 г. на МВР и поискани да се предприемат от страна на Националния дворец на културата. На практика, тези изисквания не са осъществени, защото видно от инструкцията, сканирането на лични карти на посетителите в административната сграда на НДК се унищожават на всеки 6 месеца. Това означава, че ако е налице инцидент или друго деяние, нарушаващо реда в сградата, извършено от посетител, който е влязъл в сградата в края на този 6-месечен период, данните му ще бъдат изтрити и ще затрудни компетентните органи да установят извършителя.
Видно от приложените към административната преписка доказателства, фирмата изготвила софтуера за компютъра, в който се съхраняват лични данни на посетителите в сградата е и тази, която заличава данните на всеки 6 месеца. По същество това представлява трансфер на лични данни от един администратор на друг, без да е доказана необходимост от това и без това да води до по-сигурен и защитен достъп до сградата.
На следващо място, софтуера не разчита новите документи за самоличност на посетителите от тази година и ги отхвърля като невалидни, което прави цялата система на пропускателен режим и инструкцията неадекватни. Жалбата е основателна, за това, защото има непропорционалност на целите и начина на обработването на личните данни на посетителите, чрез сканирането на личните им карти.
Комисията за защита на личните данни, като взе предвид фактите и обстоятелствата, изяснени в настоящето административно производство и на основание чл. 38, ал. 2 от Закона за защита на личните данни,
РЕШИ:
Оставя без уважение, Жалба, рег. № 6970/28.04.2010 г., подадена от П.П. срещу Националния дворец на културата.
Решението да се съобщи на заинтересованите лица по реда на АПК.
Решението може да се обжалва пред Върховния административен съд в 14-дневен срок от получаването му.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венета Шопова /п/ |
Валентин Eнев /п/ |