СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № Ж-363 / 19.12.2012 г.
гр. София, 06.03.2013 г.
ОТНОСНО: Особено искане за становище с вх.№Ж-363/19.12.2012г. от Й.П.М. по въпроси, касаещи приложението на Закона за защита на личните данни, във връзка с предоставяне на лични данни на търговски дружества за събиране на вземания.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и Членове: Мария Матева и Веселин Целков на заседание, проведено на 13.02.2013г., разгледа преписка с вх.№Ж-363/19.12.2012г. от Й.П.М. по въпроси, касаещи приложението на Закона за защита на личните данни, във връзка с предоставяне на лични данни на търговски дружества за събиране на вземания.В искането за изразяване на становище относно тълкуването на закона, са включени следните въпроси:
1. Информацията от личния телефонен номер, би ли могла да доведе до индивидуализиране на конкретно физическо лице и тя попада ли в определението „лични данни” от категорията друга идентичност?
2. Предоставяне на личния телефонен номер от един администратор на друг представлява ли обработване на лични данни и извършено ли е в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните?
3. В действията на оператора на лични данни и по-конкретно предоставянето на лични данни– телефонен номер, налични ли са условията за допустимост на обработване и предоставяне на трети страни? Обемът на предоставените данни съобразен ли е с целта, за която същите са предоставени, т.е. с принципа на целесъобразност? Предоставянето на информация законосъобразно ли е, а самата информация пропорционална ли е?
4. Налично ли е изрично информирано съгласие, по смисъла на §1, т.13 от ЗЗЛД на физическото лице: Й.П.М., извън правомощията му като управител на А.М. ООД, ЕИК*****, личните му данни– телефонен номер, да се обработват и предоставят на трети лица?
5. Допустимо ли е обработването на лични данни– телефонен номер и налице ли са условията на чл.4, ал.1, т.7, предложение второ?
Правен анализ
По първия въпрос:
Съгласно легалната дефиниция, посочена в чл.2, ал.1 от Закона за защита на личните данни (ЗЗЛД), лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
В § 1, т.16 от Допълнителните разпоредби на ЗЗЛД законодателят е посочил примерно изброяване на понятието "Специфични признаци". Това са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
Информацията за телефонния номер може да се разглежда като лични данни на конкретно физическо лице, единствено в съвкупност с други индивидуализиращи данни на лицето, като например трите имена, адрес, ЕГН. В разглеждания случай телефонния номер е в съвкупност с данни на юридическо лице, което по никакъв начин не би могло да доведе до индивидуализиране на физическо лице. Следователно не попада в обхвата на определението за лични данни и поради това не се ползва от защитното действие на Закона за защита на личните данни.
По въпрос втори:
Предоставянето от един администратор на друг администратор на лични данни на физически лица представлява “Обработване на личните данни”, съгласно легалната дефиниция, посочена в §1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е “всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”. Предоставянето на телефонен номер съставлява обработване на лични данни само в случаите, когато този номер, в съвкупност с други данни (напр. трите имена, адрес и т.н. на физическо лице) може да доведе до пряко или непряко индивидуализиране на дадено физическо лице. В конкретния казус обаче не може да става въпрос за обработване на лични данни по смисъла на ЗЗЛД, тъй като телефонния номер не попада в обхвата на понятието лични данни.
ЗЗДЛ въвежда понятието „администратор на лични данни” с чл.3, ал.1 и това е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни. Администраторът на лични данни има задължение да подаде заявление за регистрация в електронния регистър на администраторите на лични данни (еРАЛД), който се води от КЗЛД. Служебна проверка в еРАЛД на засегнатите с искането дружества показа следното:
БТК АД с БУЛСТАТ ***** е регистриран администратор на лични данни с ид.№14414.
Е.М. ООД с БУЛСТАТ ***** е декларирало пред НАП, съгласно НСИ Класификацията на икономическите дейности 2008, код 8220– Дейности на телефонни центрове за услуги. Дружеството има регистрация в еРАЛД към КЗЛД под ид. №17856.
Ф.И. АД с БУЛСТАТ ***** е декларирало пред НАП, съгласно НСИ Класификацията на икономическите дейности 2008, код 8291– Дейности посъбиране на парични вземания и на финансова информация. Дружеството има регистрация в еРАЛД към КЗЛД под ид. №0054321.
По въпрос трети:
Правомерното обработване на личните данни от страна на администраторите на лични данни, съгласно ЗЗЛД, следва да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните. Наред с това законодателят е предоставил възможност, от една страна, на администраторите сами да определят целите и обема на обработвани данни, а от друга страна- на физическите лица правото да изразят свободната си воля за обработване на техните лични данни.
Наличието на съгласие, когато става въпрос за физическо лице, съгласно чл. 4, ал.1, т.2 от ЗЗЛД е едно от условията за допустимост на обработването на личните им данни от страна на администраторите. По принцип, мобилните оператори са търговски дружества, предоставящи на абонатите и потребителите на електронни съобщителни услуги на територията на Република България. Всеки абонат трябва да се запознае с Общите условия за ползване на услугите на конкретното дружество /наричани за краткост Общите условия/, да изрази съгласието си с тях, което трябва да бъде потвърдено чрез подписване на Договор, неразделна част от който са Общите условия. Съгласно Общите условия, абонатът се съгласява да се събират, предоставят и обработват лични данни, включително и за целите на събиране или прехвърляне на дължимите от потребителите суми към дружеството. В Общите условия обикновено е регламентирано, че след запознаване с условията, при които операторът ще използва личните данни на абоната, последният следва писмено да потвърди това обстоятелство и да изрази съгласието си с тях. С подписването на договора с доставчика на електронни съобщителни услуги, абонатът се счита за запознат с условията, при които ще бъдат предоставяни личните му данни и е изразил изрично съгласие с тях.
Относно въпроса предоставянето на личните данни на клиенти-длъжници надхвърля ли целите, за които те са събрани и обработвани от фирмите-кредитори в качеството им на администратори на лични данни, в производствата пред Комисията или съда това следва да бъде безспорно установено. От доказателствата във връзка с постъпвали до момента жалби се установява, че по принцип клиентите-длъжници (физически лица) са дали съгласие за предоставяне на личните им данни на трети лица, но е налично и съгласие с определената цел– събиране на вземания по договорите с фирмите-кредитори. В конкретния случай лицето е предоставило телефонен номер за връзка с юридическото лице– абонат.Може да се направи обосновано предположение, че с акта на предоставянето на информация, лицето дава съгласие тя да бъде обработвана.
По четвъртия въпрос:
Разглежданият случай касае обработване на данни на юридическо лице. Данните на юридическите лица не поподат под защитата на ЗЗЛД. Поради това в конкретния случай не е необходимо да се търси съгласие на физическо лице. Физическото лице-управител, което взема управленско решение за сключване на договора за ползване на услугите на оператора, действа от името на юридическото лице. Следва също така да се има предвид, че данните за управителя на едно търговско дружество са обявени в Търговския регистър, който е публичен.
По въпрос пет:
Анализът направен по-горе показа, че когато се обработват данни на юридическо лице, няма основание да се прилагат нормите на ЗЗЛД, тъй като тези данни са извън обхвата на защитната функция на закона.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ:
1. Сама по себе си информацията за телефонен номер не може да индивидуализира конкретно физическо лице, поради което не попада в понятието „лични данни”. Единствено, когато телефонният номер е в съвкупност с други данни, индивидуализиращидадено физическо лице, като например три имена, адрес, ЕГН, той би могъл да бъде определен като лични данни.
2. Предоставянето на телефонен номер в съвкупност с данни на юридическо лице не представлява обработване на лични данни, следователно по отношение на този вид данни принципите за обработване на лични данни не могат да намерят приложение.
3. Условията за допустимост на обработката на лични данни, заложени в чл.4, ал.1 от ЗЗЛД, са неприложими при предоставянето на данни за юридическо лице, включително телефонен номер, тъй като тези данни не попадат в обхвата на определението за лични данни.
4. Наличието на информирано съгласие на физическо лице за обработване на лични данни не може да намери приложение при обработване на съвкупност от данни за юридическо лице.
5. Условията на чл.4, ал.1, т.7, предложение второ от ЗЗЛД не са относими към конкретния казус, тъй като данните, които са предоставени от оператора на дружеството за събиране на вземания, се дадени в съвкупност само като данни, характеризиращи едно юридическо лице.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Мария Матева /п/ |
