СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-6308/2013
гр. София, 12.11.2013 г.
ОТНОСНО: Искане с вх.№П-6308/30.09.2013год. от Б.П. в качеството Управител на НОИ по въпроси, касаещи приложението на чл.4, ал.1, т.2 от ЗЗЛД при договорите за предоставянето на информация от НОИ.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на заседание, проведено на 30.10.2013г., разгледа преписка с вх.№П-6308/30.09.2013г.,заявена от Б.П. в качеството Управител на НОИ по въпроси, касаещи приложението на чл.4, ал.1, т.2 от ЗЗЛД при договорите за предоставянето на информация от НОИ.
В искането си господин Б.П. посочва, че НОИ сключва договори за предоставяне на информация на финансови институции, които са регламентирани от разпоредбата на чл.33, ал.5, т.11 от Кодекса за социално осигуряване (КСО). Тази дейност на института се извършва при стриктно спазване на изискванията на Закона за защита на личните данни (ЗЗЛД), като в самите договори се предвижда от страна на НОИ да се извършват периодично проверки на съконтрагентите във връзка със спазването на изискването за даване на съгласие по чл.4, ал.1, т.2 от ЗЗЛД. Г-н Б.П. уведомява КЗЛД, че в договорите е предвидена разпоредба, която задължава получаващия данните администратор да събира съгласието на проверяваното лице в писмена форма преди да получи данните от НОИ.
Б.П. информира Комисията, че през 2013 година при извършване на проверка на финансови институции предоставящи потребителски кредити, с които НОИ е сключил договори на основание чл.33, ал.5, т.11 от КСО, се е установило, че голяма част от тях не могат да удостоверят полученото писмено съгласие по реда на чл.4, ал.1, т.2 от ЗЗЛД за използване на личните им данни с оглед извършване на проверка в информационната система на НОИ. След извършена проверка се е установило, че тези физически лица са предоставили съгласието си онлайн, като са попълнили искането си за получаване на кредитен продукт и са отбелязали със знак в поле с текст „Съгласен съм“ при попълване на формуляра на дружеството, публикуван в интернет страницата, че приемат Общите условия за подаване на искане за ползване на кредитен продукт. С приемането на тези Общи условия кредитополучателят потвърждава, че при кандидатстването си за кредит ще изпрати писмена декларация, че е съгласен кредитодателят да изисква от НОИ и да получава намиращите се в информационната система на НОИ данни за доходите му и извършените от него осигурителни плащания.
Във връзка с изложеното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, относно възможността за даване на съгласие за обработване на лични данни по електронен път за ползване на кредитни продукти, но и с оглед спецификата на предоставяните от НОИ данни, в качеството му на държавен орган, създаден по силата на КСО, господин Б.П., в качеството си на Управител на НОИ, се обръща към Комисията за защита на личните данни с молба за изразяване на становище по следните въпроси:
Следва ли НОИ да приеме, че е налице валидно съгласие по смисъла на чл.4, ал.1, т.2 от ЗЗЛД в случаите, когато съгласието е дадено по електронен път и е изразено чрез отбелязване в поле с текст „Съгласен съм“ с Общите условия за подаване на искане за ползване на кредитен продукт. Следва да се има предвид, че въз основа на даденото по този начин съгласие, банките и дружествата, предоставящи кредитни продукти, получават пълен достъп до всички осигурителни плащания, които се съдържат в информационните масиви на НОИ за конкретното лице.
В случай на положителен отговор е поставен следващ въпрос, относно това как институтът да „вижда“ това интернет съгласие– чрез евентуалното му копиране на диск или по друг технически способ. Техническото установяване на даденото съгласие по електронен път е необходимо с оглед наизискването администраторът да разполага с валидни доказателства за получено съгласие във всеки един момент, докато са налице целите, за които данните се обработват. Удостоверяването ще бъде необходимо и с оглед на правилното приложение на чл.25 от ЗЗЛД, във връзка с което КЗЛД е изразила своето официално становище по искане на НОИ.
Правен анализ:
Законът за кредитните институции (ЗКИ) урежда условията и реда за лицензирането, осъществяването на дейността, надзора и прекратяването на кредитните институции с цел да се осигури стабилна, надеждна и сигурна банкова система и защита интересите на вложителите. Съгласно разпоредбите на чл.3 от ЗКИ Финансова институция е лице, различно от кредитна институция, чиято основна дейност е извършване на една или повече от дейностите:
1. извършване на платежни услуги по смисъла на Закона за платежните услуги и платежните системи; издаване и администриране на други средства за плащане (пътнически чекове и кредитни писма); финансов лизинг; гаранционни сделки; търгуване за собствена сметка или за сметка на клиенти със:
а) инструменти на паричния пазар – чекове, менителници, депозитни сертификати и други, извън случаите – търгуване за собствена сметка или за сметка на клиенти с прехвърляеми ценни книжа, участие в емисии на ценни книжа, както и други услуги и дейности съгласно разпоредбите на Закона за пазарите на финансови инструменти;
б) чуждестранна валута и благородни метали;
в) финансови фючърси, опции, инструменти, свързани с валутни курсове и лихвени проценти, както и други дериватни инструменти, извън случаите изброени по-долу;
– търгуване за собствена сметка или за сметка на клиенти с прехвърляеми ценни книжа, участие в емисии на ценни книжа, както и други услуги и дейности съгласно разпоредбите на Закона за пазарите на финансови инструменти;
-парично брокерство;
-консултации на дружества относно тяхната капиталова структура, отраслова стратегия и свързани с това въпроси, както и консултации и услуги относно преобразуване на дружества и сделки по придобиване на предприятия;
– придобиване на вземания по кредити и друга форма на финансиране (факторинг, форфетинг и други);
– издаване на електронни пари;
2. придобиване на участия в кредитна институция или в друга финансова институция;
3. отпускане на заеми със средства, които не са набрани чрез публично привличане на влогове или други възстановими средства.
Финансовите институции, които не подлежат на лицензиране или регистриране по друг закон, трябва да бъдат вписани в регистър на БНБ, за да могат да извършват дейност. Регистърът е публичен и за вписването в него се издава удостоверение. За осъществяване на своята дейност финансовите институции обработват лични данни на физически лица. В тази връзка финансовите институции следва да са регистрирани като администратори на лични данни по смисъла на чл.3 от ЗЗЛД и като такива следва да подават заявление за регистрация и да бъдат вписани в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД, за което да имат издадено Удостоверение.
Обработване на лични данни, по смисъла на параграф1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. В конкретния казус, от страна на НОИ е налице обработване на лични данни на кредитополучатели под формата на предоставяне на същите на съответни финансови институции. Финансовите институции, в качеството си на администратор на лични данни са длъжни да обработват лични данни при спазване на принципите за законосъобразност, целесъобразност и пропорционалност на данните.
Едно от условията, за да бъде налице законосъобразно обработване данните, е то да бъде извършвано само при наличие на поне едно от дадените алтернативно в чл.4 от ЗЗЛД основания за допустимост на обработването, което следва да бъде налично към момента на започване на обработване на данните. В случая, за начален момент на обработване на данните, от страна на администратора– финансовата институция, може да се приеме момента на тяхното предоставяне по електронен път от страна на конкретно физическо лице при кандидатстването си за кредит. Следователно към този момент следва да е налице едно от основанията за допустимост на обработването на лични данни,изрично посочени в закона, тъй като от този момент за дружеството съществува възможност да започне проучване на кредитната история на физическото лице, чиито данни са подадени по електронен път към дружеството и последното е получило.
С оглед естеството на поставените в искането въпроси, следва да се отбележи, че в чл.4, ал.1, т.2 на ЗЗЛД е посочено едно от основанията за допустимост на обработването на лични данни, а именно– съгласие на физическото лице. В тази разпоредба е посочена възможността за законосъобразно обработване на лични данни, от страна на администратора, при наличие на изрично съгласие, предоставено от страна на физическото лице, за което се отнасят данните. Терминът “съгласие на лицето” е дефиниран в параграф1, т.13 от Допълнителните разпоредби на ЗЗЛД, т.е. съгласие на физическото лице е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани за конкретни цели. От даденото в закона определение става видно, че основните моменти, касаещи съгласието на физическото лице са следните:
да е свободно изразено– предоставено от физическото лице, по негово собствено желание, без елемент на принуда;
да бъде недвусмислено– съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение относно изявената воля на физическото лице за обработване на данните му;
да е конкретно – т.е. съгласието следва да бъде предоставено за обработване на лични данни от конкретен администратор за конкретни цели;
да е информирано– лицето, предоставящо данните следва да бъде уведомено от страна на администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг;
да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.
Съобразно действащата към настоящия момент нормативна уредба в сферата на защита на личните данни в Република България за изразеното съгласие на физическото лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че то произхожда именно от физическото лице, за което се отнасят данните.
Изразяването на съгласие за обработване на данни чрез неговото обективиране под формата на декларация има стойността на частен документ (чл. 180 от Гражданско-процесуалния кодекс (ГПК), в настоящата хипотеза– електронен документ. В конкретния казус декларацията е документ, който материализира удостоверителното изявление на своя издател относно наличието на информирано, изрично съгласие за обработване на данните му. Писменият документ възниквас неговото физическо съставяне и материализира в себе си направеното изявление на своя автор. За да може да се ползва частният документ с формална доказателствена сила, същият следва да бъде подписан. Формалната доказателствена сила обхваща факта на писменото изявление и неговото авторство.
С оглед горното следва извода, че „потвърждаването чрез бутон съгласие за обработване на лични данни под декларацията“ не може да се приеме за добавена информация в електронна форма или логически свързана с електронното изявление, която да позволява установяване на неговото авторство. Въз основа на постъпилата информация и направеният по-горе анализ Комисията счита, че удостовереното по този начин съгласие не дава достоверна информация относно авторството на направеното удостоверително изявление в декларацията. За да бъде истински един документ, той следва да бъде автентичен. Автентичният документ материализира изявлението на лицето, което се сочи като негов автор. Неподписаниятдокумент по своята същност може да представлява документ, но няма да се ползва с формална доказателствена сила по отношение на обективираното в него изявление и неговият автор.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
Не е налице валидно съгласие по смисъла на чл.4, ал.1, т.2 от Закона за защита на личните данни, в случаите когато потвърждаването е извършено чрез отбелязване в поле с текст „Съгласен съм“ с Общите условия за подаване на искане за ползване на кредитен продукт, тъй като не може да се установи по безспорен начин идентичност между лицето, чиито данни са подадени към дружеството и ще бъдат обработвани и лицето, извършило конкретното действие по потвърждаване на съгласието посредством отбелязване в поле с текст „Съгласен съм”. Съгласието за обработване на лични данни под декларацията, предхождащо одобрението на финансовата институция за сключване на договор не може да се приеме за добавена информация в електронна форма или логически свързана селектронното изявление, която да позволява установяване на неговото авторство.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венета Шопова /п/ |
Красимир Димитров /п/ |