СТАНОВИЩЕ
НА
KОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № М-117/2015
р. София, 22.07.2015 г.
Относно: Законосъобразното обработване на трафични данни от предприятията,предоставящи обществени електронни съобщителни услуги
Комисията за защита на личните данни в състав: Председател: Венцислав Караджов и членове: Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 8 юли 2015 г., разгледа искане за становище на основание чл.10, ал.1, т.4 от ЗЗЛД с вх.№М-117/23.06.2015 година от „Т.Б.“ ЕАД във връзка с правилното и законосъобразно обработване на трафични данни.
Дружеството моли за тьлкуване на текста на чл.252, ал.1 от Закона за електронните съобщения (ЗЕС), съгласно който обработването на трафичните данни се извършва от определени от предприятията, предоставящи обществени електронни съобщителни услуги, длъжностни лица. В искането за становище се посочва, че неяснотите при тълкуването на този текст пораждат известни проблеми в практиката. В допълнителните разпоредби на ЗЕС не е посочена дефиниция на понятието „длъжностно лице“, във връзка с което от „Т.Б.“ ЕАД считат, че това създава затруднения при обработването на трафичните данни. Разпоредбата на чл.6, параграф 5 от Директива 2002/58/ЕО гласи, че „обработката на данни за трафик“ „трябва да бъде ограничена до лица, действащи под ръководството на доставчиците на публични комуникационни мрежи и публично достъпни електронни комуникационни услуги“. В искането се излага мнение, че това могат да бъдат както лица в трудово правоотношение, така и други лица. които изпълняват нарежданията на мобилния оператор, т.е. лица, който действат под неговото ръководство. В този смисъл в искането за становище се поставя въпросът дали служители на доставчик на „Т.Б.“ ЕАД могат да обработват трафични данни, доколкото те се намират под ръководството на „Т.Б.“ ЕАД, изпълняват неговите нареждания и стриктно съблюдават техническите и организационни мерки за защита на трафичните данни от случайно или незаконно унищожаване, случайна загуба или промяна, или от непозволено или незаконно съхраняване, обработване, достъп или разкриване.
Допълнително в искането за становище се отбелязва, че съгласно чл.261а, ал.2, т.3 от ЗЕС достъп до трафичните данни има само „специално упълномощен персонал“. Нормата на чл.261а, ал.2, т.3 от ЗЕС транспонира чл.7, б. „в“ от Директива 2006/24/ЕО, който гласи, че „данните се подлагат на подходящи технически и организационни мерки, за да се осигури, че до тях може да има достъп само специално упълномощен персонал“. Във връзка с изложеното се извежда заключението, че е възможно специално упълномощени от „Т.Б.“ ЕАД лица да имат достъп да трафични данни, при това без да е необходимо те да бъдат в трудово правоотношение с него.
В искането се цитира дефиницията на понятието „длъжностно лице“, съгласно чл.93 от Наказателния кодекс и се допълва, че в новата съдебна практика се налага виждането, че длъжностни лица са и лицата, които изпълняват дейности по т.нар. граждански договори.
С оглед на изложеното от „Т.Б.“ ЕАД се обръщат към Комисията за защита на личните данни, на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД) за изразяване на становище по следните два въпроса:
1. Ще бъде ли законосъобразно обработването на трафични данни от служители на доставчик на предприятие, предоставящо обществени електронни съобщителни услуги, доколкото тези служители са изрично упълномощени за това, намират се под ръководството на предприятието, предоставящо обществени електронни съобщителни услуги, изпълняват неговите нареждания и стриктно съблюдават техническите и организационни мерки за защита на трафичните данни от случайно или незаконно унищожаване, случайна загуба или промяна, или от непозволено незаконно или незаконно съхраняване, обработване, достъп или разкриване.
2. В случай, че Комисията за защита на личните данни счете, че предпоставките по предходната точка не са достатъчни, то ще бъде ли законосъобразно обработването на трафични данни от лица, на които предприятието е възложило с договор за услуга (граждански договор) обработването на трафични данни, доколкото тези лица са изрично упълномощени за това, намират се под ръководството на предприятието, предоставящо обществени електронни съобщителни услуги, изпълняват неговите нареждания и стриктно съблюдават техническите и организационни мерки за защита на трафичните данни отслучайно или незаконно унищожаване, случайна загуба или промяна, или от непозволено или незаконна съхраняване, обработване, достъп или разкриване.
От гледна точка на защитата на личните данни и предвид поставените в искането въпроси, следва да се разгледат ролите на участниците в процеса на обработване на трафични данни, както и техните специфични задължения.
Предприятията, предоставящи обществени електронни съобщителни услуги, са администратори на лични данни по смисъла на чл.3 от ЗЗЛД. Трафичните данни са особен вид лични данни и за тяхното обработване законодателят е въвел специфичен ред. В тази връзка Законът за електронните съобщения се явява специален по отношение Закона за защита на личните данни.
Нормативната база, регулираща обществените отношения, свързани с осъществяване на електронни съобщения, разписва високи критерии, ограничения и отговорности при обработване на трафични данни за абонатите на предприятията. В чл.252. ал.1 и чл.261а, ал.2, т.3 от ЗЕС са предвидени специални разпоредби, спазването на които да гарантира, че трафичните данни се обработват при строги правила от конкретно определени длъжностни лица. При отсъствието на специално/определение за „длъжностно лице“ в ЗЕС, следва да се използва общата дефиниция в § 1, т.5 от Допълнителните разпоредби на Кодекса на труда, а именно: „5. „Длъжностно лице“ е работник или служител, на когото е възложено да упражнява ръководство на трудовия процес в предприятието, в неговите поделения и низови звена, както и работник или служител, който изпълнява работа на специалист във функционалните и обслужващите звена на предприятието.“
Нормите на чл.252, ал.1 и чл.261а, ал.2, т.3 от ЗЕС в настоящата им редакция са императивни и не могат да бъдат тълкувани разширително. При това положение няма законово основание за възлагане или делегиране на обработването на трафични данни по смисъла на ЗЕС на лица, които нямат качеството на работници или служители на съответното предприятие, предоставящо обществени електронни съобщителни услуги, в конкретния случай „Т.Б.“ ЕАД.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни (В.Караджов, Цв. Софрониев, М.Матева – за, В.Целков – против) изразява следното
СТАНОВИЩЕ:
Трафичните данни по смисъла на Закона за електронните съобщения могат да бъдат обработвани само от определени от предприятията, предоставящи обществени електронни съобщителни услуги, длъжностни лица – работници или служители в съответното предприятие. Въпросните длъжностни лица следва да имат достъп само до данните, необходими за съответната дейност.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венцислав Караджов /п/ |
Цветелин Софрониев /п/ |