ОТНОСНО: Искане за становище с вх. per. № 6636/13.04.2010г. от инж. Иван Димитров – Директор и Председател на Комисията за защита на личните данни в Министерството на вътрешните работи (МВР) във връзка с разработването и внедряването на технология за проверка през интернет за вече издаден български личен документ и съответствието й със Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, разгледа искане за становище е вх. per. № 6636/13.04.2010 г.от инж. Иван Димитров – Директор и Председател на Комисията за защита на личните данни в Министерството на вътрешните работи (МВР) във връзка е разработването и внедряването на технология за проверка през интернет за вече издаден български личен документ и съответствието й със ЗЗЛД .
Фактическа обстановка:
Получено е искане за становище с вх. per. № 6636/13.04.2010 г.от инж. Иван Димитров – Директор и Председател на Комисията за защита на личните данни в Министерството на вътрешните работи (МВР) във връзка с разработването и внедряването на технология за проверка през интернет за вече издаден български личен документ. Посочено е, че технологията е разработена във връзка с въвеждането на новата автоматизирана система за български лични документи. Предвижда се гражданин, който е подал заявление за издаване на нов личен документ, да има възможност да провери дали същият е вече издаден от съответната структура на МВР. Това ще се осъществи, като се даде възможност на съответното заинтересовано лице да въведе в специално приложение данни за: ЕГН и вида на личния документ. Информацията, която ще бъде предоставена от страна на МВР, ще съдържа датата на издаване на документа и указания за срока и място на получаването му. С писмото се иска становище, относно това, дали внедряването на новата технология е в съответствие със ЗЗЛД.
Правен анализ:
Информационната дейност в МВР се ръководи от Министъра на вътрешните работи. Съгласно чл. 163, ал. 1 от Закона за министерството на вътрешните работи (ЗМВР) администратор на лични данни по смисъла на Закона за защита на личните данни е министърът на вътрешните работи, който възлага обработката на лични данни на определени от него длъжностни лица. В изпълнение на чл. 17 от ЗЗЛД администраторът на лични данни може да започне обработване на данни след подаване на заявление за регистрация. Същият е подал заявление и е регистриран в Регистъра на администраторите на лични данни и водените от тях регистри при КЗЛД, като е заявил поддържането на 22 броя регистри, един от които е регистър на българските документи за самоличност.
Разработването и внедряването на технологията за проверка през интернет на издаден български личен документ се прави с цел да бъдат улеснени гражданите в процеса на подновяване на документите за самоличност. Следва да се има предвид, че за осъществяване на възложените му със закон правомощия по издаване на документи за самоличност, МВР обработва лични данни, предоставени от съответното физическо лице, от момента на подаване на заявлението за нов личен документ. Към момента на извършване на справка чрез интернет с цел проверка дали заявеният документ е издаден, предоставеното ЕГН вече се обработва в информационните масиви на МВР. Получаването на информация за финализиране на процеса по издаване на съответен документ за самоличност, е част от процедурата по неговото издаване. Услугата, чрез тази технология, представлява за гражданите една възможност за извършване на справка. Изборът дали ще се възползват от този начин за проверка е предоставен изцяло в преценка на съответното физическо лице. От изложеното в писмото става ясно, че физическите лица ще въвеждат самостоятелно и доброволно съответните данни (ЕГН и вид на документа) с цел да получат насрещна услуга (информация относно датата на издаване на документа за самоличност и указания за срока и мястото на получаването му).
С факта на подаване на заявление за издаване на документ за самоличност физическото лице е изразило своето съгласие за обработване на личните му данни. Чрез вписване на информацията за ЕГН и вид на документ за самоличност, съответното лице демонстрира по безпорен и недвусмислен начин волята си да получи информация от системата на МВР относно неговото издаване.
"Обработване на личните данни", съгласно легалната дефиниция, посочена в § 1, т.1 от Допълнителните разпоредби на ЗЗЛД, е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. Получаването на данни от физическите лица, както и тяхното ползване от страна на МВР, с цел предоставяне на определена информация (услуга), съставляват действия по обработване на лични данни.
По отношение законосъобразните условия, при които се допуска обработването на лични данни, се прилагат разпоредбите на чл. 4 от ЗЗЛД, според който обработването на лични данни се допуска, когато е налице поне едно от изчерпателно изброените и дадени алтернативно в закона условия за допустимост, а именно:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. oбработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. oбработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
Технологията за извършване на справки за издаден документ за самоличност през интернет следва да отговаря на всички нормативни изисквания по отношение на предприетите технически и организационни мерки за защита на данните. Администраторът следва да осигури технически системата по начин, който да гарантира, че при извършването на справки, чрез отдалечен достъп, се предоставя информация единствено по отношение на издаването на личен документ, съответстващ на въведеното в системата ЕГН.
С оглед гореизложеното, в конкретния случай са налице две кумулативно дадени условия за допустимост на обработване на лични данни, а именно: физическото лице, за което се отнасят данните, е дало изрично своето съгласие (чл. 4, ал. 1, т. 2 от ЗЗЛД) и/или обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна (чл. 4, ал. 1, т. 3 от ЗЗЛД).
Предвид наличието на предпоставки за допустимост на обработването на лични данни и предприетите от страна на администратора технически и организационни мерки за защита на данните, така създадената технология и нейното въвеждане в експлоатация са в съответствие със Закона за защита на личните данни.
С оглед на гореизложеното и на основание чл. 10, ал. 1 т. 4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Законосъобразното обработване на лични данни от страна на администратора на лични данни се осъществява при наличие на условие за допустимост, съобразно разпоредбата на чл. 4, ал. 1 от ЗЗЛД и при спазване на принципите, съгласно чл. 2, ал. 2 от ЗЗЛД. В конкретния случай, за извършване на справка чрез интернет относно издаването на документ за самоличност, както и относно мястото и срока за неговото получаване, са налице две кумулативно дадени условия за допустимост на обработване на лични данни, а именно: физическото лице, за което се отнасят данните, е дало изрично своето съгласие
(чл. 4, ал. 1, т. 3 от ЗЗЛД) и/или обработването е необходимо за изпълнения на задължение по договор, по който физическото лице, за което се отнасят данните е страна (чл. 4, ал. 1, т. 3 от ЗЗЛД).
Администраторът следва да осигури технически системата по начин, който да гарантира, че при извършването на справки, чрез отдалечен достъп, се предоставя информация единствено по отношение на издаването на личен документ, съответстващ на въведеното в системата ЕГН.
Поради наличието на предпоставки за допустимост на обработването на лични данни и предприетите от страна на администратора технически и организационни мерки за защита на информацията, създадената технология и нейното въвеждане в експлоатация са в съответствие със Закона за защита на личните данни.
| ПРЕДСЕДАТЕЛ: | |
|
Венета Шопова /п/ |
|
