СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №ПНМД-01-75/2022г.
гр. София, 01.08.2022 г.
ОТНОСНО: Законопроект за изменение и допълнение на Закона за пътищата 47-254-01-65 от 10.06.2022г.
Комисията за защита на личните данни (КЗЛД) в състав– председател: Венцислав Караджов и членове: Мария Матева и Веселин Целков, на свое редовно заседание, проведено на 27.07.2022г., разгледа писмо с вх.№ПНМД-01-75/19.07.2022г. от Омбудсмана на Република България– проф. Диана Ковачева, с което се иска становище по внесения в Народното събрание от г-н Настимир Ананиев и група народни представители Законопроект за изменение и допълнение на Закона за пътищата 47-254-01-65 от 10.06.2022г. и по-конкретно с §1, който гласи:
|
Член 10, ал.2, изречение първо се изменя по следния начин:
„При установено движение по платената пътна мрежа, когато за съответното пътно превозно средство не е заплатена съответната такса по ал.1, водачът на пътното превозно средство, неговият собственик или трето лице може да заплати компенсаторна такса, за която се уведомява по електронна поща или по друг подходящ начин, в който случай същият се освобождава от наказателна отговорност.”
|
По повод на така предложената редакция на разпоредбата, омбудсманът моли за становище по следните въпроси:
1. „Представляват ли лични данни по смисъла на §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни електронната поща и мобилният номер;
2. Следва ли да има изричен текст в Закона за пътищата, който да задължи водачите на превозни средства при закупуване на винетка да предоставят електронната си поща и/или мобилният номер, за да може Агенция „Пътна инфраструктура” да ги обработва за целите на уведомяване.”
Правен анализ:
По смисъла на легалната дефиниция в чл.4, т.1 от Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните, ОРЗД) „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни”) пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Видно от легалната дефиниция, не съществуват конкретни и изчерпателни списъци, които да определят кои категории данни са лични, но могат да се дадат примери, както следва:
• име;
• адрес;
• имейл адрес, като например име.фамилия@ххх.com;
• номер на документ за самоличност;
• данни за местоположение (напр. функцията за данни за местоположение на мобилен телефон);
• адрес на интернет протокол (IP);
• идентификационен номер на „бисквитка”;
• телефонен номер и т.н.
ОРЗД защитава личните данни независимо от използваната технология за тяхното обработване– той е „технологично неутрален” и се отнася както за автоматично, така и за ръчно обработване, при условие че данните са организирани в съответствие с предварително определени критерии. Също така няма значение как се съхраняват данните– в ИТ система, чрез видеонаблюдение или на хартиен носител, във всички случаи личните данни са предмет на изискванията за защита, определени в ОРЗД.
В този смисъл може да се направи обосновано заключение, че електронната поща и мобилният номер по принцип попадат в обхвата на понятието лични данни.
По общо правило, обработването на лични данни следва да се осъществява при съблюдаване на основните принципи, прогласени в чл.5 от ОРЗД. Съгласно принципите самоцелното обработване на лични данни е недопустимо. Обработваните лични данни трябва да са необходими, пропорционални и подходящи за постигането на поставените цели от администратора или от закона.
Така поставен, вторият въпрос е свързан с целесъобразността на обработването на лични данни, а тя не може да се дефинира от надзорния орган– КЗЛД. В конкретния случай, тази преценка следва да се извърши от законодателя в рамките на законодателния процес, като се изложат съответните мотиви за необходимостта от обработване на посочените категории данни.
Следва да се отбележи, че и към момента за закупуването на електронна винетка чрез специализирания портал, се изисква предоставянето на електронна поща, на която да бъде изпратено потвърждение за нейното закупуване, както и да бъдат връчвани уведомления.
За пълнота на изложението, в предложеното изменение прави впечатление заменянето на административнонаказателната отговорност с наказателна, за което предполагаме, че се дължи на техническа грешка, доколкото в Наказателния кодекс не е предвиден такъв състав на престъпление.
По тези съображения и на основание чл.58, пар.3, б.„б” от Регламент(ЕС) 2016/679във вр. с чл.10а, ал.1 от Закона за защита на личните данни и чл.51, т.2 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Електронната поща и мобилният номер по принцип попадат в обхвата на понятието лични данни, тъй като чрез тях може да се индивидуализира пряко или косвено конкретно физическо лице.
2. Преценката за целесъобразност, необходимост и пропорционалност на обработването на електронна поща и мобилен номер следва да се извърши и мотивира от законодателя в рамките на законодателния процес, включително и предвиждането на изричен текст, който да задължи водачите на превозни средства, техните собственици или трети лица да предоставят тези данни при заплащане на съответните такси за МПС.
3. Със законодателството следва да се създадат ясни правни основания за обработване на лични данни, отчитайки принципите, прогласени в чл.5 от Регламент(ЕС) 2016/679, както и да се въведат подходящи срокове за съхранението им. На субектите на данни следва да се гарантират правата, предоставени с Регламент(ЕС) 2016/679, както и да им се предостави необходимата информация за въведените правила и процедури за обработване на личните им данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Мария Матева /п/ | |
| Веселин Целков /п/ |
