РЕШЕНИЕ
от 20.05.2009 г.
Комисията за защита на личните данни в състав: Венета Шопова, Красимир Димитров, Мария Матева, Валентин Енев и Веселин Целков на заседание, проведено на 20.05.2009год., разгледа искане с вх. № В-617/09.04.2009 год. от С. Т.-А. от гр. С. относно нарушения на Закона за защита на личните данни от страна на администратора на лични данни “Б.Б.” ЕООД.
В искането си г-жа А. информира, че често пазарува в супермаркети Б., където е стартирана програмата “B.C.”. Съобщава, че за активирането на Б. картата е необходимо да се попълни формуляр със задължителни полета, съдържащи лични данни на клиентите. С полагането на подпис върху формуляра и попълването на дата, клиентите на Б. удостоверяват, че са съгласни предоставените лични данни и данните от извършените покупки, да бъдат автоматизирано обработени и да се използват от “Б.Б.” ЕООД за маркетингови цели. Посочва, че клиентите са информирани относно обстоятелството за възможността да оттеглят съгласието си по всяко време, както и, в случай на желание, отново да активират услугата. С оглед на изложеното, счита, че правата на физическите лица са нарушени от факта, че във формуляра е записано, че при не попълване на задължителните полета, той няма да бъде обработен. Излага опасенията си, че регистърът с попълнените формуляри не е организиран на едно място и не е натоварен един служител, на когото клиентите да предават формулярите. Според нея, по този начин се създава потенциален риск от злоупотреба с личните данни, отразени във формулярите.
Обръща се към Комисията за защита на личните данни (КЗЛД) с молба за предприемане на мерки, съгласно предоставените от ЗЗЛД правомощия, с оглед на това да бъде установено налице ли е необходимата защита на обработваните лични данни във връзка със стартирана програма “B.C.”.
Във връзка с откриване на производство по разглеждане на искането пред КЗЛД и на основание чл.34, ал.3, чл.35 и чл.36 от Административнопроцесуалния кодекс (АПК), е изпратено писмо до В.Ч. и Е.С. – в качеството им на управители на “Б.Б.” ЕООД, в което им е указано в 7 (седем) дневен срок да представят становище по изложеното в него, както и доказателства в подкрепа на същото.
Също така е посочено, че следва да уведомят КЗЛД относно следното:
1. Какво е основанието личните данни на клиентите да се изискват за вписване в задължителните полета на формулярите за участие в програмата “B.C.” и каква е необходимостта за събиране на конкретно означените във формулярите лични данни.
2. Кои от служителите имат достъп до обработваните лични данни.
3. Какви технически и организационни мерки са предприети за защита на данните от случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение.
4. Има ли вътрешен акт, в който да са разписани мерките по т.3 и по какъв начин служителите, имащи достъп до данните, са уведомени за мерките за защита, които следва да бъдат спазвани.
В указания срок, от името на “Б.Б.” ЕООД в деловодството на КЗЛД е депозирано становище със следната информация:
В качеството на администратор на лични данни “Б.Б.” ЕООД има извършена регистрация в Регистъра на администраторите на лични данни и на водените от тях регистри под № 0049018 (към становището е приложено копие на издадено от КЗЛД Удостоверение № 0049018).
Преди старта на програмата за клиентски карти и в изпълнение на задължението по чл.17, ал.3 и чл.18, ал.3 от ЗЗЛД,от името на “Б.Б.” ЕООД е заявен нов регистър на лични данни относно държателите на клиентски карти.
При извършване на служебна справка се установява, че на 09.03.2009 год. информацията относно вида на водените от администратора на лични данни “Б.Б.” ЕООД регистри е актуализирана, като е заявен нов регистър “Клиентски карти B.C.”. Посочени са видовете лични данни, които се събират и съхраняват, основанието за събирането на данните, нивото на защита, както и вътрешният акт, който регламентира реда за събиране и съхранение на данните, предприетите мерки за защита.
По-долу, в представеното становище, изчерпателно се излагат отговори на изисканата от “Б.Б.” ЕООД информация.
1. Относно основанието личните данни на клиентите да се изискват за вписване в задължителните полета на формулярите за участие и необходимостта за събиране на конкретно означените във формулярите лични данни.
Посочено е, че личните данни се изискват във връзка със стартираната програма “B.C.”. Данните се събират, обработват и съхраняват въз основа на изрично писмено съгласие на клиентите-картодържатели. Писменото съгласие е интегрирано в текста на формуляра за издаване на Б. карта. Съгласието може да се оттегли по всяко време и това изрично е посочено в текста на формуляра.
Необходимостта за събиране на конкретно означените във формуляра данни се налага, поради следните обстоятелства: Акумулиран е голям брой карти, издадени на клиенти на Б.. С оглед на това не е възможно за целите на “B.C.” клиентите да бъдат идентифицирани само по име и фамилия. Това е поводът ЕГН и рождена дата да се изискват като минимално необходими допълнителни данни за правилна идентификация на конкретния клиент и предотвратяване на злоупотреби с Б. карти. Също така само на конкретния клиент-картодържател е предоставена възможността да иска информация за натрупаните бонус-точки и да ползва отстъпки в магазините на Б.. Във връзка с това идентификацията на отделните клиенти-картодържатели е несъмнено необходима за ползване на отделните Б. карти.
Данните за адрес и телефон са необходими, поради обстоятелството, че в определени случаи може да се окаже наложително Б. да се свърже с конкретния клиент, като например: промяна на условията на програмата “B.C.”, деактивиране на карта, съмнения за злоупотреба с карта, преиздаване на карта, поради промяна на нормативните или техническите изисквания към клиентските карти.
Информацията за пол е необходима с оглед на коректната комуникация с картодържателите, тъй като някои имена носят в себе си двусмислена информация относно пола на лицата. Също така това е необходимо за правилно структуриране на продуктовата гама, която да бъде включена в програмата, както и за изготвяне на персонализирани предложения до клиентите-картодържатели (в случай, че са заявили съгласието си за получаване на маркетингови съобщения).
Информацията за брой лица в домакинството е необходима с оглед на обстоятелството, че всяка Б. карта съдържа определен брой допълнителни карти, които картодържателят може да предостави на лица от домакинството си и по този начин няколко лица да трупат бонус-точки по една карта.
2. Кои от служителите имат достъп до обработваните лични данни.
Техническо изискване е клиентските карти да бъдат активирани преди първото им използване. Поради необходимостта от бързо обслужване на клиентите във всеки търговски обект, попълнените формуляри за издаване на Б. карта се предават на касиерите, които активират картата и веднага я връчват на клиента. В края на смяната си всеки касиер лично предава събраните формуляри на управителя на филиал, който е натоварен с организацията на съхранението и транспортирането на формулярите в централата на Б. в гр. С.
Данните се въвеждат в електронна система, достъп до която имат само конкретно определени служители в отдел “Маркетинг” на Б.
Изрично натоварени служители от кол-център (извън структурата на Б.) обслужват картодържателите чрез телефон за контакти.
Временно, поради повишения обем работа във връзка с обработването на постъпващите формуляри и въвеждане на данни в електронния регистър, достъп до личните данни на клиентите-картодържатели имат ограничен брой изрично натоварени служители на Б. от централния офис на дружеството в гр. С. , които въвеждат данни в електронния регистър в ограничено помещение.
Достъп само до електронния регистър има и системният администратор на Б.
Относно съмненията за потенциален риск от злоупотреба с лични данни на клиентите-картодържатели, поради това, че те не се събират “на едно място от един служител” във всеки филиал, е посочено, че: Има въведени строги процедури, описани по-долу, които в нито един момент не допускат безотговорно отношение към събраните лични данни. Посочено е, че подобна тромава процедура не само би затруднила издаването на клиентски карти и би създала значителни неудобства на клиентите, но и сама по себе си не би могла да гарантира по-добра защита от злоупотреба със събраните лични данни.
3. Какви технически и организационни мерки са предприети за защита на данните от случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение.
Попълнените от клиентите формуляри се включват в документален регистър и се съхраняват в специални шкафове. Достъпът до шкафовете се контролира от оторизирани лица, заключване на помещенията и шкафовете, защитна сигнализация, охрана и алармена система.
Електронния информационен регистър се изгражда във вид на файлове. Базите данни са достъпни само от оторизирани лица и само до данните и ресурсите, необходими за изпълнението на техните задължения.
Достъпът до информационната система се осъществява само след оторизация с уникално име и парола. Ограничаването на достъпа до информационната система, съдържаща лични данни, се ограничава чрез въвеждане на нива на достъп. При предаване на информацията по електронен път, защитата се осъществява чрез криптиране, архивиране и последващо възстановяване на данните с цел защитата им от загуба или разрушаване. Осигурена е възможност за проследяване на всяка операция, както и датата и часът на нейното извършване, защита на информационната система чрез антивирусни програми и защитна стена (firewall).
4. Има ли вътрешен акт, в който да са разписани мерките по т.3 и по какъв начин служителите, имащи достъп до данните, са уведомени за мерките за защита, които следва да бъдат спазвани.
Вътрешният акт, в който са регламентирани мерките за защита на данните, е Заповед № 254/20.02.2009 год., утвърдена от управителите на Б. Заповедта е приложена към представеното от страна на “Б.Б.” ЕООД становище. Посочено е, че в периода 20.02.2009 год.-31.03.2009 год. Заповед № 254/20.02.2009 год. е изпратена до всички филиали на Б. в страната и ръководителите на филиалите и представители на отдел “Маркетинг” са запознали служителите с преките им задължения във връзка със защита на личните данни на клиентите-картодържатели.
По отношение на служителите на външния за Б. кол-център, преди старта на програмата “B.C.”, Заповедта е изпратена за сведение и изпълнение и е извършен инструктаж от представители на отдел “Маркетинг”. Също така основните мерки за защита на личните данни са включени като задължения в сключения договор за обслужване на клиентите на Б.
При прегледа на представената Заповед се установява, че са предвидени подробни вътрешноорганизационни мерки за защита на данните от неправомерен достъп или разпространение:
– личните данни се събират при спазване на принципа на доброволно предоставяне и изричното съгласие на физическите лица след информиране за целите на програмата “B.C.”;
– обработването на личните данни се осъществява при спазване изискванията на ЗЗЛД и Наредба № 1 от 7 февруари 2007 год. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;
– разписани са нивата на достъп до съхраняваната информация;
– въведени са забрани за неразпространение на информацията, включително паролите за достъп и данни от индивидуалните партиди на клиентите-картодържатели;
– определени са конкретни служители, които да осъществяват текущ контрол по изпълнение на Заповед № 254/20.02.2009 год.
Съгласно чл.4, ал.1, т.2 от ЗЗЛД обработването на лични данни е допустимо в случай, че физическото лице, за което се отнасят данните е дало изричното си съгласие за това. От представените от администратора на лични данни “Б.Б.” ЕООД становище и доказателства може да се установи, че личните данни на клиентите-картодържатели се обработват след получаване на изричното писмено съгласие на лицата, които предварително са уведомени за целите на програмата “B.C.”. Клиентите също така са информирани, че съгласието може да бъде оттеглено по всяко време, което прави недопустимо по-нататъшното обработване на предоставените данни.
Администраторът на лични данни е изпълнил задължението си по чл.17, ал.3 и чл.18, ал.3 от ЗЗЛД, т.е. започнал е обработване на данните след представяне в КЗЛД на заявление за поддържане на нов регистър “Клиентски карти B.C.” с описание на целите на обработване на личните данни; категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях; описание на мерките, предприети съгласно чл.23 от ЗЗЛД.
Изпълнено е изискването на чл.19, ал.1, т.4 от ЗЗЛД, а именно администраторът “Б.Б.” ЕООД информира клиентите-картодържатели за доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им.
Администраторът е предприел необходимите технически и организационни мерки за защита на данните от случайно или незаконно унищожаване, загуба, неправомерен достъп, изменение или разпространение, както и други незаконни форми на обработване. Мерките са регламентирани в Заповед № 254/20.02.2009 год., утвърдена от управителите на “Б.Б.” ЕООД, съобразно изискванията на Наредба № 1 от 7 февруари 2007 год. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
С оглед на изложеното, на събраните по преписката становища на заинтересованите страни и доказателства в подкрепа на същите, както и наличието на необходимата защита на обработваните лични данни във връзка със стартираната програма “B.C.” и на основание чл.10, ал.1, т.1 от ЗЗЛД, Комисията
РЕШИ :
Прекратява производството по сигнал с вх. № В-617/09.04.2009 год. от С. Т.-А. от гр. С. , поради неустановяване на нарушение на Закона за защита на личните данни.
Решението на Комисията може да се обжалва пред Върховния административен съд в 14 /четиринадесет/ дневен срок от получаването му.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
Главен секретар: Цветелин Софрониев
