СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег.№ПНМД-01–77/2021г.
гр. София, 06.10.2021г.
ОТНОСНО: Допустимост на обработване на лични данни при продажба на акцизни стоки– цигари и алкохол, от оператор чрез отдалечен достъп (посредством автомати с видеоконтрол и дистанционен достъп от оператор)
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 29.09.2021г., разгледа писмо с вх. №ПНМД-01-77/12.08.2021г. на главния секретар на Министерство на икономиката (МИ) по повод на постъпило писмо от управителя на търговско дружество със запитване относно допустимостта на продажбата на алкохол и цигари чрез автомати с видеоконтрол и дистанционен достъп от оператор съгласно българското законодателство. Във връзка с нормативно регламентираните функции на министъра на икономиката се обръща внимание на следното:
Законът за тютюна, тютюневите и свързаните с тях изделия (ЗТТСТИ) въвежда забрана за предлагането и продажбата на тютюневи и свързаните с тях изделия от автомати (чл. 30, ал.2, т.10), забрана на трансграничните продажби от разстояние, както и предлагането и продажбата на потребителите на тези изделия чрез услугите на информационното общество (чл. 31а). За неспазване на посочените правни норми в чл.46 от ЗТТСТИ са предвидени административнонаказателни разпоредби. Предвид това, продажбата на тютюневи изделия от вендинг автомат би било нарушение на ЗТТСТИ.
В писмото на МИ се посочва, че Законът за виното и спиртните напитки (ЗВСН) урежда условията и реда за производството, получаването, преработката, етикетирането, търговията и контрола на етиловия алкохол и дестилатите от земеделски произход, и на спиртните напитки. Член131 от ЗВСН забранява продажбата на наливни спиртни напитки и бутилиране и продажба на спиртни напитки в пластмасови бутилки с вместимост над 0,5 литра.
Спиртните напитки и цигарите са акцизни стоки, които подлежат на специфични разпоредби, свързани с акцизното законодателство, което попада в компетентността на Министерството на финансите (МФ) и в частност на Агенция ,,Митници”. Доколкото алкохолните напитки (пиво, вино и високоалкохолни напитки) попадат в обхвата на Закона за храните (ЗХр), а употребата на тютюневи изделия и алкохолни напитки, като рискови за здравето фактори се регулира от Закона за здравето (ЗЗдр), от значение е становището на Министерството на земеделието, храните и горите (МЗХГ) и Министерството на здравеопазването (МЗ).
От МИ считат, че по въпроса за приложимостта на предлаганата идентификация на лицата, които ще купуват тютюневи и алкохолни изделия от вендинг автоматите – сканиране на лична карта и лицево разпознаване, следва да се поиска становище от КЗЛД, поради което се обръщат към комисията с молба за произнасяне по компетентност по препратеното писмо на търговското дружество.
Към писмото на МИ е приложено копие от искането на дружеството, според което то е компания-лидер в сектора на бързооборотните стоки и представител на водещи марки от ЕС и трети страни като Johnnie Walker, J&B, Bushmills, Smirnoff, Hennessy, Gordons, Baileys и много други.
В качеството си на дистрибутор за България на световно известни и реномирани марки продукти, дружеството иска да получи становище по следните въпроси, свързани с въвеждането на територията на Република България на автомати за продажба на акцизни стоки – цигари и алкохол от оператор с отдалечен достъп чрез видеоконтрол.
Покупко-продажбата ще преминава през няколко етапа:
1. Когато купувачът натисне върху номера на желания от него артикул, автоматично съобщение ще излезе на екрана, което ще гласи, че за да се закупи съответната стока (цигари или алкохол), е нужна идентификация на лицето, която е съобразена със Закона за защита на личните данни.
2. След като лицето даде своето съгласие, операторът (продавачът) получава сигнал и се свързва в реално време с купувача. Операторът дава указание на лицето да приближи своята лична карта с лицевата ѝ част към обозначеното за това място на автомата. След като последния изпълни указанието, операторът идентифицира самоличността на купувача, като проверява дали лицето е навършилопълнолетиеи дали е същото като това на снимката от личната карта.
3. Ако операторът установи, че всичко е наред и лицето има навършена 18- годишна възраст, му позволява да довърши своята покупка. В противен случай– процесът ще бъде прекратен.
С оглед на горното от дружеството молят за становище по следния въпрос:
„Описаният вид продажба на акцизни стоки, чрез продавач с дистанционен достъп до вендинг автомат, приложим ли е съгласно действащото българско законодателство?”
Правен анализ:
Законосъобразният характер на обработването на лични данни предполага наличието на поне едно от основанията, посочени в чл.6, пар.1 и/или чл.9, пар.2 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД), както и спазването на основните принципи, прогласени с чл.5 от същия регламент.
Както се посочва в писмото на МИ, ЗТТСТИ въвежда забрани, както за продажба на тютюневи и свързани с тях изделия от автомати за продажба на тютюневи или свързани с тях изделия и от щандове за самообслужване, с изключение на обектите за безмитна търговия (чл.30, ал.2, т.10), така и за трансграничните продажби от разстояние, както и предлагането и продажбата на потребители на тютюневи и свързани с тях изделия чрез услугите на информационното общество (чл.31а). С оглед на това може да се направи обоснован извод, че обработването на лични данни, което произтича от дейностите, забранени със ЗТТСТИ, би било незаконосъобразно поради липса на правно основание, респективно противоречие с принципа, посочен в чл.5, пар.1, б.„а” от ОРЗД.
В случай че законодателството допуска продажбата на алкохол да се извършва чрез вендинг машини или автомати, следва да се направят някои принципни уточнения, произтичащи от въведената с чл.54, т.1 от ЗЗдр забрана за продажба на алкохолни напитки на лица под 18 години.
Посочената забрана не налага, при нейното осъществяване, да се извършва идентификация на лицата, а само проверка на годината на раждане (т.е. дали лицето е навършило пълнолетие или не), както и дали отговаря на лицето по снимката на документа за самоличност. Приложение намира разпоредбата на чл.11, пар.1 от Регламент (ЕС) 2016/679, според която ако целите, за които администратор обработва лични данни, не изискват идентифициране на субекта на данните от администратора, същият не е задължен да поддържа, да се сдобие или да обработи допълнителна информация, за да идентифицира субекта на данни с единствената цел да бъде спазен ОРЗД. Това кореспондира с принципа за обработване на минимален обем от данни, съгласно чл.5, пар.1, б.„в” от ОРЗД.
За целите на настоящия правен анализ е от съществено значение да се направи ясно разграничение между традиционния начин за продажба на алкохол и този, извършван чрез вендинг машини и автомати.
Проверката на възрастта на купувача при традиционния начин на продажба на алкохол може да се извърши при съмнение чрез изискване показването на документ за самоличност. Принципно положение е, че това не представлява обработване на лични данни, доколкото не се водят записи, представляващи регистри с лични данни.
По различен начин обаче, стои извършването на проверка за възрастта на купувача, когато това се осъществява изцяло или частично чрез автоматични средства, както се посочва в искането. В тази хипотеза проверката представлява обработване на лични данни, попадащо в материалния обхват на ОРЗД (чл.2, пар.1). С оглед на това, администраторът е длъжен да спази всички изисквания, произтичащи от ОРЗД.
За да е в състояние да съблюдава предвидената в ЗЗдр забрана за продажба на алкохол на лица под 18 години, за продавача (администратор на лични данни) възниква законово задължение да извърши съответната проверка, което от своя страна представлява основание за обработване на конкретни лични данни по смисъла на чл.6, пар.1, б.„в” от ОРЗД. Наличието на това основание изключва приложимостта на съгласието по чл.6, пар.1, б.„а” от ОРЗД, като основание за обработването на лични данни.
С оглед законосъобразния характер на обработването на личните данни в случая следва да се отчита и разпоредбата на чл.25г от Закона за защита на личните данни (ЗЗЛД), според която администратор или обработващ лични данни може да копира документ за самоличност само ако това е предвидено със закон. Тъй като в конкретния случай липсва такова изискване по закон, копирането на документа за самоличност и в по широк смисъл неговото заснемане и запазване, са недопустими. Следователно планираният за използване механизъм за проверка чрез отдалечен достъп посредством видеоконтрол следва да отговаря на същите условия.
Тъй като използването на механизма за проверка на данни от документа за самоличност, извършвана чрез отдалечен достъп посредством видеоконтрол, би могло да породи висок риск за правата и свободите на субектите на данни, като в това число се включват и лицата до 18 годишна възраст, които са обект на специалната защита, администраторът следва да извърши оценка на риска и съответната оценка на въздействието върху защитата на данните. При извършване на оценките на риска и въздействието администраторът трябва да отчита потенциалните заплахи, които могат да имат отношение при конкретното обработване, като например неоторизиран достъп до системата за видеоконтрол, наличие на скимиращи устройства и други.
В случай че такова обработване се предприеме от администратора, същият трябва да предприеме мерки за гарантиране прозрачността и информираността на субектите на данни по смисъла на чл.13 и/или чл.14 от ОРЗД. Съществен елемент на това задължение на администратора е в информацията да се посочи ясно кой е администраторът, какви са правата на субектите на данни и как те могат да бъдат упражнявани, като се отчита, че е възможно да се обработят и лични данни на деца (до 18 години). В този смисъл информацията трябва да бъде ясна, разбираема и лесно достъпна.
По тези съображения и на основание чл.58, пар.3, б.„б” от Регламент (ЕС) 2016/679 във вр. с чл.10а, ал.1 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Обработването на лични данни, което би могло да произтече от дейностите, забранени с чл.30, ал.2, т.10 от Закона за тютюна, тютюневите и свързаните с тях изделия (ЗТТСТИ) е незаконосъобразно поради липса на правно основание, респективно противоречие с принципа, посочен в чл.5, пар.1, б.„а” от Регламент (ЕС) 2016/679.
2. Ако законодателството допуска продажбата на алкохол да се извършва чрез вендинг машини или автомати, проверката на данни от документа за самоличност, извършвана чрез отдалечен достъп посредством видеоконтрол, следва да се счита за обработване на лични данни по смисъла на чл.4, т.2 от Регламент (ЕС) 2016/679, респективно да отговаря на всички негови изисквания за законосъобразност. В този случай администраторът не трябва да извършва действия по копиране, сканиране или съхранение на изображение на документа за самоличност и/или на личните данни, съдържащи се в него, тъй като това би представлявало нарушение на законодателството за защита на личните данни.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
Мария Матева /п/ | ||
Веселин Целков /п/ |