Становище на КЗЛД относно искане от главния директор на Главна дирекция „Гражданска регистрация и административно обслужване” към МРРБ по въпроси, касаещи приложението на ЗЗЛД относно даване на съгласие за обработване на лични данни по телефон

ОТНОСНО: Искане с рег.№п-5704/30.10.2012 г. от г-н И.Г.- главен директор на Главна дирекция „Гражданска регистрация и административно обслужване” към Министерството на регионалното развитие и благоустройството за изразяване на становище от Комисията за защита на личните данни по въпроси, касаещи приложението на Закона за защита на личните данни относно даване на съгласие за обработване на лични данни по телефон

Комисията за защита на личните данни (КЗЛД) в състав: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседаниe, проведено на 16.01.2013 г., разглед искане с рег.№п-5704//30.10.2012 г. от г-н И.Г.- главен директор на Главна дирекция „Гражданска регистрация и административно обслужване” към Министерството на регионалното развитие с молба за становище от Комисията за защита на личните данни (КЗЛД) на основание чл.10, ал.1, т.4 от Закона за защита на личните данни (ЗЗЛД). Сезирането на КЗЛД е в резултат на писмо с вх.№70-00-1872/28.09.2012 г. от "Е.Б." ЕАД до ГД "ГРАО"- МРРБ относно възможността физическите лица да дават съгласие за обработване на личните им данни по телефон. В искането за становище се казва, че към настоящия момент Министерството на регионалното развитие и благоустройството (МРРБ) има действащо споразумение с "Е.С.Б." ЕАД (б.а. предишно наименование на "Е.Б." ЕАД) за предоставяне на лични данни от Национална База данни (НБД) "Население", чрез програмен уеб интерфейс. Посочва се, че данните се предоставят под формата на разкриване чрез предаване на членовете (клиенти) на "Е.С.Б." ЕАД сключили надлежно договори за членство и предоставяне на услуги и от чието име и по чиито заявки "Е.С.Б." ЕАД обработва данните. Посочено е също така, че основание за предоставяне на данните са разпоредбите на чл.4, т.2 и т.3 от ЗЗЛД, като справки за личните данни се извършват само за физически лица дали своето съгласие писмено чрез декларация Приложение №1 и №2, неразделна част от Споразумението. Копия на приложение №1 и №2 са приложени към искането за становище. В искането е указано, че при сключване на Споразумението е взето предвид и становище на Комисията за защита на личните данни с изх.№615/25.04.2007 г.

В искането е посочено, че в писмото на "Е.Б." ЕАД се казва, даденото съгласие по телефон ще бъде записано на електронен носител, но не е описан подробно процесът по даване на съгласие по телефон и не са представени допълнителни материали, които биха имали отношение към поставения въпрос. Посочено е също, че "Е.Б." ЕАД отправя молба до МРРБ за промяна на Приложение №1 и Приложение №2 от Споразумението, като освен съгласието, дадено в писмена форма, за валидно да се счита и съгласието дадено вербално по телефон, а неговото доказване да бъде във формата на гласов запис.

В искането за становище са изказани опасения по повод установяването по безспорен начин, че лицето което дава съгласие за обработване на личните му данни по телефон е идентично с лицето извършило конкретното действие по даване на съгласие за обработване на личните данни по телефона. Посочено е, че в този смисъл е и Становище на КЗЛД с рег.№956/ 05.04.2011 г. Отбелязано е, че тези опасения възникват въпреки разпоредбата на чл.293, ал.4 от Търговският закон, съгласно която писмената форма се смята за спазена, ако изявлението е записано технически по начин, който дава възможност да бъде възпроизведено и въпреки че "Е.Б." ЕАД подчертават, че не съществуват каквито и да е било пречки от правно естество или технически характер, които да възпрепятстват прилагането на съгласие, дадено от разстояние.

В искането за становище се отбелязва също, че "трябва да се има предвид, че съгласието дадено по телефон следва да бъде не само за обработване на личните данни, които лицето ще предостави по телефона на кредитната компания предоставяща услугата, но и по отношение на това, че личните му данни, свързани с гражданската му регистрация, ще бъдат изискани и получени от "Е.Б." ЕАД и разкрити от него, чрез предаването им на компанията предоставяща настоящата услуга, пред която лицето дава съгласието си по телефона, както във връзка с предоставяне на кредитната услуга, така и за целите на осъществяване на кредитни проверки, анализ на задълженията, събиране на вземания, предотвратяване на изпиране на пари и измами, включително за целите на борбата с изпирането на пари и финансирането на тероризма".

В искането е отправена молба до КЗЛД за изразяване на становище относно възможността за даване на съгласие за обработване на лични данни по телефон, както в конкретния случай, така и като цяло, по отношение на това при какви условия и допълнителни критерии следва да се извършва обработването на лични данни, за да е налице установяване по безспорен начин на лицето дало съгласие по телефон.

В искането за становище е посочено, че Министерството на регионалното развитие и благоустройството има действащо споразумение с "Е.С.Б." ЕАД (б.а. предишно наименование на "Е.Б." ЕАД ) за предоставяне на лични данни от Национална База данни (НБД) "Население", чрез програмен уеб интерфейс. В искането се твърди, че споразумението е сключено въз основа на становище на КЗЛД №615/25.04.2007г., чийто диспозитив гласи: „Предоставянето на лични данни по гражданска регистрация на трети лица (Банка „ДСК” ЕАД) от Главна дирекция „Гражданска регистрация и административно обслужване” на МРРБ в качеството на администратор на лични данни може да се извършва при спазване на разпоредбите на чл.4, ал.1, т.2 от ЗЗЛД, т.е ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие и чл.4, ал.1, т.3– ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане”. Диспозитивът на становище рег.№615/25.04.2007 г. на КЗЛД не е коректно цитиран в искането на МРРБ.

В приложеното писмо с №70-00-1872/ 28.09.2012 г. от "Е.Б." ЕАД до МРРБ е посочено, че във връзка с развитието на пазара на предоставяне на услуги от разстояние Дружеството желае да получи разрешение да ползва справките, след надлежно дадено съгласие по телефона, съответно записано на електронен носител, като това е по молба на "голяма компания, предоставяща кредитни услуги на физически лица". В писмото се сочи, че дружеството, като страна "по договора с ГРАО", се задължава: "да изискваме на месечна база и да предоставяме на ГРАО всички данни за лицата, за които са получени справки от базата данни на ГРАО и които са дали своето съгласие, във формата на гласов запис, пред клиентите на Дружеството, като трите имена на лицето, ЕГН, адрес, телефон, електронна поща, сума за кандидатстване за кредит.

В писмото на "Е.Б." ЕАД е посочено, че не съществуват каквито и да е било пречки от правно естество или технически характер, които да възпрепятстват прилагането на съгласие дадено от разстояние от потребителите."

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

"Е.Б." ЕАД е еднолично акционерно дружество с ЕИК ****, със седалище и адрес на управление: гр. София, ****, с предмет на дейност: разработване и продажба на системи за вземане на решения, участие в, сътрудничество с, управление и предоставяне на консултации и други услуги на дружества и други юридически лица, придобиване, разработване, управление и разпореждане с недвижима собственост и други активи, придобиване, разработване и разпореждане с права върху индустриална и интелектуална собственост, придобивани, използване и предоставяне на кредитна информация /включително потребителска и бизнес информация/, предоставяне на обезпечения относно задължания на юридечески лица и дружества, принадлежащи към групата на дружеството, както и на трети лица и извършване на всякаква друга дейност, незабранена съгласно законите на българия, при спазване на всички задължителни лицензионни и регистрационни режими и други изисквания

За осъществяване на своята дейност "Е.Б." ЕАД обработва данни на физически лица. В тази връзка дружеството е администратор на лични данни по смисъла на чл.3 от Закона за защита на личните данни и като такъв е вписан в Регистъра на администраторите на лични данни и водените от тях регистри с лични данни, подържан от КЗЛД с идент. №3479. Дружеството е заявило 2 броя регистри.

Обработването на личните данни, съгласно дефиницията, дадена в §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни, е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

От своя страна, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД, "специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

Предоставянето на друг администратор (в случая „Е.Б." ЕАД ) на лични данни на физически лица, съдържащи се в Националната база данни "Население", поддържана от Главна дирекция "Гражданска регистрация и административно обслужване" (ГД "ГРАО") на МРРБ представлява “Обработване на личните данни”, което се извършва чрез предоставяне на данните, съгласно определението, посочено в §1, т.1 от Допълнителните разпоредби на ЗЗЛД. Това е “…всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като … разкриване чрез предаване………….предоставяне”.

Във връзка с изложеното по-горе, за да бъде налице законосъобразно обработване на данните, следва то да бъде извършено само при наличие на поне едно условие от дадените алтернативно в чл.4 от ЗЗЛД основания за допустимост на обработването, което следва да бъде налично към момента на започване на обработване на данните. В конкретния случай, за начален момент на обработване на данните от администратора може да се приеме момента на тяхното предоставяне по телефон от страна на конкретно физическо лице. Следователно към този момент трябва да е налице едно от основанията за допустимост при обработването на лични данни, изрично посочени в чл.4 от ЗЗЛД, тъй като от този момент за администратора съществува възможност да започне обработване на лични данни на физическото лице, което ги е предоставило и от което той ги е получил.

Тук могат да намерят приложение разпоредбите на чл.4, ал.1, т.2 и т.3 от ЗЗЛД, тъй като в съответствие с посоченото по-горе определение за “Обработване на лични данни”, предоставянето на данни от гражданската регистрация представлява обработване чрез предоставяне на данните. Текстът на чл.4, ал.1 от ЗЗЛД урежда хипотезите, при наличието на които се допуска обработването на лични данни.

Според т.2 на цитирания чл.4, ал.1 от ЗЗЛД обработването на лични данни (в случая предоставянето на данни от гражданската регистрация на трети лица) се допуска, ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие. Съгласно разпоредбата на т.3 на чл.4, ал.1 от ЗЗЛД, обработването се допуска, ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.

С оглед естеството на поставените въпроси в искането, следва да се отбележи, че в чл.4, ал.1, т.2 като едно от основанията за допустимост на обработването на лични данни е регламентирано даването на съгласие на физическото лице. По смисъла на §1, т.13 от ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице по смисъла на ЗЗЛД са следните:

– Да е свободно изразено– т.е. предоставено от физическото лице, по негово собствено желание, без елемент на принуда;

– Да бъде недвусмислено– съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;

– Да е конкретно- т.е съгласието следва да бъде предоставено от лицето чиито данни ще се обработват в конкретен обем и за конкретни цели;

– Да е информирано– лицето, предоставящо данните следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.

– Да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.

Съобразно действащата към настоящия момент нормативна уредба в сферата на защитата на личните данни в Република България за изразеното съгласие на физическо лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни, КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че съгласието произхожда именно от физическото лице, за което се отнасят данните.

Друг нормативен документ, който е относим към предмета на искането, е законът за предоставяне на финансови услуги от разстояние. Разпоредбите на този закон се прилагат за договорите за предоставяне на финансови услуги от разстояние между доставчик и потребител. Съгласно чл.6 от него, договорът за предоставяне на финансови услуги от разстояние е всеки договор, сключен между доставчик и потребител като част от система за предоставяне на финансови услуги от разстояние, организирана от доставчика, при която от отправянето на предложението до сключването на договора страните използват изключително средства за комуникация от разстояние – едно или повече. Страни по договора за предоставяне на финансови услуги от разстояние са потребителят и доставчикът. Потребител е всяко физическо лице, което като страна по договор за предоставяне на финансови услуги от разстояние действа извън рамките на своята търговска или професионална дейност. Доставчик е всяко физическо или юридическо лице, което в рамките на своята търговска или професионална дейност, сключва с потребител договор за предоставяне на финансова услуга от разстояние. Съгласно разпоредбите на чл.8, ал.2 от Закона за предоставяне на финансови услуги от разстояние, когато доставчикът е доставчик по платежни услуги по смисъла на Закона за платежните услуги и платежните системи, преди потребителят да бъде обвързан от предложение или от договор за предоставяне на финансови услуги от разстояние, доставчикът е длъжен да му предостави информация в пълния обем, регламентиран в чл.8, ал.1 от Закона за предоставяне на финансови услуги от разстояние. Доставчикът предоставя информацията по начин, който не предизвиква съмнение за нейната търговска цел. Информацията се предоставя по ясен и разбираем начин в зависимост от вида на използваното средство за комуникация от разстояние, при спазване на изискването за добросъвестност на страните по търговските сделки и за защита интересите на недееспособни лица. Информацията се предоставя на потребителя достатъчно време преди той да бъде обвързан със задължения по договора. В конкретния случай, става въпрос за даване на съгласие на физически лица (потребители) по телефон за обработване на техните лични данни. В тази връзка, на основание чл.9 от Закона за предоставяне на финансови услуги от разстояние, при използването на телефон като средство за комуникация или на друго средство за гласова комуникация от разстояние доставчикът е длъжен още в началото на разговора с потребителя да разкрие ясно и недвусмислено своята самоличност и търговския характер на обаждането. Когато потребителят изрично изрази съгласие, доставчикът му предоставя следната информация:

1.самоличност на лицето, установило връзка с потребителя, и неговите взаимоотношения с доставчика;

2. описание на основните характеристики на финансовата услуга;

3. общата цена, дължима от потребителя на доставчика за финансовата услуга, която включва всички данъци, платими чрез доставчика, или когато не е възможно да се посочи точна цена, посочва се начинът за изчисляване на цената, което позволява на потребителя да я провери;

4. наличието на други данъци и/или разходи, които не се заплащат чрез доставчика или не са определени от него;

5. наличието или липсата на право на потребителя да се откаже от сключения договор; когато потребителят има право да се откаже от сключения договор, посочват се срокът и условията за упражняване на това право, в т.ч. сумата, която потребителят може да бъде задължен да плати.

Доставчикът уведомява потребителя, че при поискване от негова страна може да му бъде предоставена допълнителна информация, както и естеството на тази информация.

В допълнение на изложеното, на основание чл.17, ал.1 от цитирания закон, изисква се предварителното съгласие на потребителя при използването на следните средства за комуникация от разстояние от страна на доставчика на финансови услуги:

1. автоматизирани системи за позвъняване без човешка намеса;

2. факс;

3. други средства за комуникация от разстояние, различни от посочените в т.1 и 2, които дават възможност за осъществяване на индивидуална комуникация.

Съгласно чл.18 от закона, при договори за предоставяне на финансови услуги от разстояние доставчикът е длъжен да докаже, че е:

1. изпълнил задълженията си за предоставяне на информация на потребителя;

2. спазил сроковете по чл.12, ал.1 или 2 от закона;

3. получил съгласието на потребителя за сключване на договора и, ако е необходимо, за неговото изпълнение през периода, през който потребителят има право да се откаже от сключения договор.

За доказване предоставянето на преддоговорна информация, както и на изявления, отправени съгласно този закон, се прилага чл.293 от Търговския закон, а за електронните изявления – Законът за електронния документ и електронния подпис. Преддоговорната информация, както и изявленията, направени чрез телефон, друго средство за гласова комуникация от разстояние, видеовръзка или електронна поща, се записват със съгласието на другата страна и имат доказателствена сила за установяване на обстоятелствата, съдържащи се в тях. Съгласно чл.293 от Търговския закон, за действителността на търговската сделка е необходима писмена или друга форма само в случаите, предвидени в закон. Изявлението по сключването, по изпълнението или по прекратяването на търговската сделка е нищожно, ако не е отправено в установената от закон или от страните форма. Страната не може да се позовава на нищожността, ако от поведението й може да се заключи, че не е оспорвала действителността на изявлението. Писмената форма се смята за спазена, ако изявлението е записано технически по начин, който дава възможност да бъде възпроизведено. При изявленията, направени по телефакс или телекс, писмената форма се смята за спазена, ако от книгите и документите, които отразяват работата на тези апарати, е изключено неточно възпроизвеждане на изявлението. Когато за сключването на търговската сделка е предвидена определена форма, тя се отнася и за измененията и допълненията на сделката. Във връзка с горното може да се приеме, че ако са създадени организационни и технически мерки, касаещи записването и съхраняването на волеизявлението на физическите лица, от които да може да се установи авторството му то няма пречка съгласието на лицето да се приеме за валидно дадено.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на личните данни с мнозинство от 3 (три) гласа „За” (Кр.Димитров; В.Енев; М.Матева;) и 1 (един) глас „против” (В.Целков) изразява следното

Предоставянето на лични данни по гражданската регистрация на трети лица("Е.Б." ЕАД) от Главна дирекция "Гражданска регистрация и административно обслужване" (ГД "ГРАО") на МРРБ в качеството на администратор на лични данни може да се извършва при наличие на условие за допустимост визирано в чл.4, ал.1, т.2 от ЗЗЛД, т.е. ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие и чл.4, ал.1, т.3 от ЗЗЛД- ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.

При използване на средства за комуникация от разстояние (в конкретния казус- чрез телефон), може да се приеме, че е налице съгласие на физическото лице за обработване на неговите лични данни, само ако може да се установи, че лицето, чиито данни се предоставят по телефон и са предмет на обработване е идентично с лицето, извършило конкретното действие по предоставяне на данните и потвърждаване на съгласието за тяхното обработване, дадено по телефон. Изявленията, направени чрез телефон, записани със съгласието на предоставящият ги, касаещи даването на съгласие за обработване на лични данни, имат доказателствена сила за установяване на обстоятелствата, съдържащи се в тях. Следва да бъдат създадени организационни и технически мерки, касаещи записването и съхраняването на волеизявлението на физическите лица, от които да може да се установи авторството му.