СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П – 1434/ 2016 г.
гр. София, 14.03.2016 г.
ОТНОСНО: Искане с вх.№ П-1434/29.02.2016г. от г–жа Мая Манолова– Омбудсман на Република Българияс молба за становище от Комисията за защита на личните данни (КЗЛД) по въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цанко Цолов и Мария Матева на заседание, проведено на 09.03.2016г., разгледа искане за становище, на основание чл.10, ал.1, т.4 от ЗЗЛД, от г-жа Мая Манолова– Омбудсман на Република България. В искането е посочено, че същото е по повод жалба с рег.№ 380/2016г. от г-жа С.Г., с адрес *****. Сочи се, че в жалбата си жалбоподателката сигнализираза нарушение на принципа на конфиденциалността на личните данни на гражданите от „Български пощи“ ЕАД , тъй като пощенските служители вписват в списъка за разнос на препоръчани писма и пратки, както трите имена, адреса и ЕГН на получателя, така и номера на личната му карта, като всеки един получател на препоръчана пратка, полагайки подписа си в списъка, получава информация за личните данни на гражданите, получили преди него препоръчаните си писма или пратки. Жалбоподателката счита, че по този начин „Български пощи” ЕАД нарушава Закона за защита на личните данни, тъй като са възможни злоупотреби от недобросъвестни граждани, имащи достъп до списъка.
В искането за становище е цитирана т.43, б „а” от Общите условия на договора с потребителите на универсалната пощенска услуга и пощенски парични преводи, извършвани от „Български пощи” ЕАД, съгласно която доставянето на препоръчани пощенски пратки, пощенски колети и паричните преводи се извършва лично на получателите срещу подпис. Получателят се легитимира с документ за самоличност. За доказване на доставянето на препоръчан пощенски пратки, колетни пратки и парични преводи, в служебните формуляри се отразяват трите имена, адрес и ЕГН на получателя. Изведен е изводът, че съгласно Общите условия на дружеството, в служебните формуляри не следва да се вписва номера на личната карта на получателя.
В искането на Омбудсмана е цитирано и Становище рег.№ П– 3789/19.06.2014г. на Комисията за защита на личните данни,като е посочено, че в него КЗЛД се е произнесла относнозаконосъобразността на събирането на ЕГН на потребители на пощенска услуга от „Български пощи” ЕАД. Посочено е, че извън обхвата на това становище е въпросътзаконосъобразно ли е събирането от „Български пощи” ЕАД на номерата на личните карти на гражданите– получатели на препоръчани пощенски пратки, както и защитени ли са личните данни на гражданите при вписването им в служебните формуляри на дружеството, достъпни за голям брой ползватели на пощенски услуги.
В заключение и на основание чл.20, ал.1, т.2 от Закона за омбудсмана е отправена молба за Становище на Комисията относно това надхвърлен ли е в случая от „Български пощи” ЕАД законоустановеният обхват за допустимост на събиране на лични данни.
Копие на визираната в искането за становище жалба № 380/2016г. не е приложено.
Във връзка с откриване на производство по разглеждане на искането пред КЗЛД и на основание чл.34, ал.3, чл.35 и чл.36 от Административнопроцесуалния кодекс, с писмо изх.№ П- 1507/01.03.2016г. до г-н Деян Дънешки– главен изпълнителен директор на „Български пощи” ЕАДе поискано становище по искането. В указания срок в КЗЛД не е постъпило становище от дружеството.
Законът за защита на личните данни (ЗЗЛД) урежда защитата на правата на физическите лица при обработването на личните им данни. Негова основна цел е гарантиране неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните.
Лични данни, съгласно чл.2, ал.1 от ЗЗЛД, са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.Съвкупността от информация относно едно физическо лице в следния обем– три имена, адрес, ЕГН и номер на документ за самоличност– лична карта, попадат в категорията лични данни по смисъла на определението, дадено в чл.2, ал.1 от ЗЗЛД.
В чл.3, ал.1 от ЗЗЛД е предвидено, че администратор на лични данни е физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на лични данни, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. "Български пощи" ЕАД е администратор на лични данни по смисъла на чл.3 от ЗЗЛД. Дружеството е подало заявление с вх.№ 33837 за вписване в поддържания от КЗЛД регистър на администраторите на лични данни и на водените от тях регистри на лични данни и е вписано с уникален идентификационен номер 0018416. В регистъра на администраторите на лични данни и на водените от тях регистри на лични данни, поддържан от КЗЛД на основание чл.10, ал.1, т.2 от ЗЗЛД, е заявен регистър „Пощенски формуляри- за клиенти“, като е посочено, че същият се води на основание Закона за пощенските услуги и Общите условия с потребителите на универсалната пощенска услуга и пощенски парични преводи, извършвани от „Български пощи“ ЕАД.
Записването на визирания по-горе обем от информация, включващ и номер на документ за самоличност, представлява обработване на лични данни по смисъла на параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД. Всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване , представляват обработване на лични данни съгласно ЗЗЛД.
В чл.4, ал.1 от ЗЗЛД алтернативно са посочени условията, при които е допустимо обработването на лични данни на физически лица. Обработването на лични данни се допуска само при наличието напоне едно от изрично посочени условия.
Отношенията между дружеството, от една страна, и ползвателите на услугите му, от друга, са гражданскоправни и се уреждат при общи условия, в които са разписани, както правата и задълженията на дружеството, така и правата и задълженията на потребителите.
В т.68 на Общите условия на договора с потребителите на универсалната пощенска услуга и пощенски парични преводи, извършвани от „Български пощи“ ЕАД, е посочено, че те се издават на основание чл.21, ал.1 от Закона за пощенските услуги (ЗПУ). В т.68 е посочено също, че те съобразно чл.21, ал.5 от ЗПУ са представени за становище от Комисията за защита на потребителите, съгласувани са с Комисията за регулиране на съобщенията, влезли са в сила от 19.05.2014г. Разписано е още, че Общите условия са публикувани на интернет страницата на „Български пощи“ ЕАД и са поставени на достъпни места в пощенските служби, каквото задължение имат„Български пощи“ ЕАД, в качеството си на пощенски оператор, съгласно чл.21, ал.8 от ЗПУ. В чл.20 от ЗПУ е разписно задължение на всички пощенски оператори да спазват изискванията за защита на личните данни.
Съгласно т.43, б. "а" от Общите условия на договора с потребителите на универсалната пощенска услуга и пощенски парични преводи, извършвани от „Български пощи“ ЕАД,доставянето на препоръчаните пощенски пратки, пощенскиколети и паричните преводи се извършва лично на получателитесрещу подпис. Получателят се легитимира с документ за самоличност. За доказване доставянето на препоръчани пощенски пратки, колетни пратки и парични преводи, в служебните формуляри се отразяват трите имена, адрес и ЕГН на получателя. В б. “б“ на т.43 е посочено, че в случай, че получателят откаже да получи пощенската пратка, пощенския колет и пощенския паричен превод, той отбелязва това върху пратката или служебния формуляр и се подписва. Ако получателят откаже, това се удостоверява от пощенския служител.В б. „в“ на т.43 е разписно, че личните данни по буква „а“ се събират, обработват и използват само за доказване на самоличността на получателя, във връзка с доставянето на съответната пощенска пратка и изплащането на паричния превод. В б. „г“ е посочено, че при несъгласие на получателя за обработване на личните му данни, чрез записването им в служебните формуляри, препоръчаните пощенски пратки, колетните пратки и паричните преводи се връщат на подателя. Видно от посочените по-горе разпоредби, не се събира и обработва номер на документ за самоличност на получателите на пощенски пратки, пощенски колети и паричните преводи.
В т.52 от Общите условия са разписани различни видове пълномощни:
В т.52.3 се сочи, че получателите на препоръчани пощенски пратки, на пощенски колети и на пощенски парични преводи, могат да упълномощават писмено други лица да ги получат, срещу нотариално заверено пълномощно и подпис. Упълномощителят се легитимира с документ за упълномощаване и документ за самоличност. В служебните формуляри се отразяват трите имена, адрес и ЕГН на упълномощеното лице, номер на пълномощното и лице, което е заверило съответното пълномощно. Записаните в служебните формуляри лични данни се обработват и използват само за доказване самоличността на получателя във връзка с доставянето или изплащането на съответната пратка или пощенски паричен превод.
Точка 52.7 от Общите условия касае получаването на препоръчани пощенски пратки, пощенски колети и пощенски паричнипреводи от малолетно лице или лице от 14 до 18 годишна възраст. Съгласно цитираната точка от Общите условия, препоръчани пощенски пратки, пощенски колети и пощенски парични преводи с получател малолетно лице или лице от 14 до 18 годишна възраст се доставят, а пощенски парични преводи се изплащат лично срещу подпис в присъствието и със съгласието на родител или попечител. Родителят или попечителят удостоверяват това си качество с акт за раждане, съответно със съдебно решение. Разграничени са два случая:
1. лицата от 14 до 18 годишна възраст могат да получават препоръчанипратки, пощенски колети и пощенски парични преводи и в отсъствието на родителя или попечителя с нотариално заверено съгласие за получаването им. Получателят и родителят или попечителят се легитимират с документи за самоличност, като в служебните формуляри се отразяват трите имена, адрес и ЕГН на получателя, съответнои на родителя или попечителя, съгласно т.43
2. препоръчаните пощенски пратки, пощенски колети и пощенски парични преводи сполучател малолетно лице до 14 годишна възраст се доставят, а пощенските парични преводи се изплащат на родител или настойник срещу подпис и представяне на акт за раждане, съответно съдебно решение. Родителят или настойникът се легитимира с документ за самоличност, като в служебните формуляри се отразяват трите имена, адрес и ЕГН на получателя, съгласно т.43
Видно от горното, във визираните случаи по т.43 и т.52.3 и т.52.7 от Общите условия са налице условия за допустимо обработване на лични данни по смисъла на чл.4, ал.1, т.3 и т.7 от ЗЗЛД. Такова е и становището на КЗЛД по преписка с вх.№ П- 3789/2014г., цитирано в искането за становище на Омбудсмана.
Предвид разписаните в т.43, б ”в” цели на обработване на личните данни, а именно само за доказване самоличността на получателя във връзка с доставянето на съответната пощенска пратка и изплащането на паричен превод, че същите са в съответствие с принципите, разписани в чл.2, ал.2 от ЗЗЛД. Следва да се отбележи,че в т.43, б. ”г” и б. ”д” е посочена процедурата при несъгласие на подател/получател за обработване на личните му данни. Също така в т 43, б. „е”, е разписано изрично, че личните данни се съхраняват в сроковете, определени за съхранение на пощенските пратки и паричните преводи, за които се отнасят.
От посочените по-горе разпоредби на Общите условия става ясно, че лицата се легитимират с документ за самоличност, но няма изискване в служебните формуляри да се записва номера на документа за самоличност, каквато е личната карта.
Предвид това, че обемът на информация, която се обработва за получателите на пощенски пратки, пощенскиколети и паричните преводи е изрично посочена в Общите условия, то обработването и на допълнителни данни, каквито се явява номерът на документа за самоличност– лична карата, без това да е регламентирано, би се явило недопустимо и непропорционално, съгласно ЗЗЛД.
По отношение твърдението в жалбата за възможен достъп до личните данни на лица, вече получили препоръчани писма или пратки, следва да се отбележи, че в становището, представено от „Български пощи“ ЕАДпо преписка рег.№П–3789/ 19.06.2014г., регистрирано с вх.№С–376/21.07.2014г., е декларирано, че дружеството е предприело необходимите технически и организационни мерки за защита на данните от случайно или незаконно унищожаване, случайно загуба и неправомерен достъп, изменение или разпространение, както и други незаконни форми на обработване на личните данни. Това задължение на дружеството е разписано в чл.23 от ЗЗЛД. Предвид изложената фактическа обстановка в искането за становище, с оглед спазването на разпоредбата на чл.23 от ЗЗЛД, „Български пощи“ ЕАД следва да предприеме необходимите организационни и технически мерки получателите на пощенски пратки, пощенски колети и парични преводи да не получават достъп до данните на други получатели като например използване на отделни формуляри.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на лични данни изразява следното:
Предвид това, че обемът на информация, която се обработва за получателите на пощенски пратки, пощенскиколети и паричните преводи е изрично посочен в Общите условия на договора с потребителите на универсалната пощенска услуга и пощенски парични преводи, извършвани от „Български пощи“ ЕАД, то обработването на допълнителни данни, каквито се явява номерът на документа за самоличност– лична карата, без това да е регламентирано, е недопустимо и непропорционално, съгласно Закона за защита на личните данни.
В изпълнение на чл.23 от ЗЗЛД, „Български пощи“ ЕАД следва да предприеме необходимите технически и организационни мерки за защита на личните данни, които събира и обработва във връзка сдоставянето на препоръчани пощенски пратки, пощенски колети и паричните преводи, от случаен или неправомерен достъп или разпространение.
ПРЕДСЕДАТЕЛ: |
ЧЛЕНОВЕ: |
Венцислав Караджов /п/
|
Цанко Цолов /п/
Мария Матева /п/
|