СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Рег. №НДМСПО-01-841/2018г.
гр. София, 12.09.2018г.
ОТНОСНО: Искане с вх. №НДМСПО-01-841/2018год. от г-жа Н.К.– Директор на ДГ №***, гр. София, по въпроси, касаещи предоставянето на информация, съдържаща лични данни, изискани на основание Закона за достъп до обществена информация
Комисията за защита на личните данни (КЗЛД, Комисията) в състав: председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 05.09.2018г., разгледа преписка с рег.№НДМСПО-01-841/2018год. от г-жа Н.К.– Директор на ДГ №***, гр. София, по въпроси, касаещи предоставянето на информация, съдържаща лични данни, изискани на основание Закона за достъп до обществена информация (ЗДОИ). На основание чл.10, ал.1, т.4 от ЗЗЛД, г-жа Н.К. се обръща към КЗЛД с молба за изразяване на становище по въпроси, свързани с предоставяне на лични данни на деца от поверената и детска градина.
В периода от 10.07.2018г. до 22.07.2018г. в детската градина по електронна поща са постъпили 10 бр. заявления по ЗДОИ, с които заявителят иска предоставяне на информация относно броя и диагнозите на децата с хронични заболявания, приети през съответните години /2014г., 2015г, 2016г, 2017г, 2018г./.
Със заявление от 10.07-2018 заявителят е поискал предоставяне на информация относно броя на децата с хронични заболявания, записани в периода 13.05.2018- 10.07.2018г., както и техните диагнози по МКБ.
С Решение от 18.07.2018г., изпратено по електронната поща на 19.07.2018г.
г-жа Н.К. е предоставила исканата информация, като е посочила броя на децата и диагнозите им с точни наименования така както са посочени в протоколите на лекарските комисии. Уточнила е на заявителя, че протоколите не съдържат код на диагнозата съгласно МКБ.
г-жа Н.К. е предоставила исканата информация, като е посочила броя на децата и диагнозите им с точни наименования така както са посочени в протоколите на лекарските комисии. Уточнила е на заявителя, че протоколите не съдържат код на диагнозата съгласно МКБ.
Два часа след получаване на информацията, заявителят е изпратил ново искане по ел.поща, в което е поискал предоставяне на самите протоколи на ЛКК, тъй като посочените диагнози според него били „твърде общи“.
Заявителят е посочил в писмото си, че не желае да се заличават дати и диагнози, но желае информацията със заличени лични данни. Според г-жа Н.К. това означава, че следва да заличи само имената на децата и лекарите, подписали протокола.
Въпросните протоколи от ЛКК са предоставени на ръководството на детската градина от родителите на приетите деца със СОП и хронични заболявания при записването им съгласно Наредбата за прием на деца в общинските детски градини и в подготвителните групи в общинските училища на територията на Столична община.
Безспорно протоколите съдържат лични данни и то специална категория чувствителни лични данни за здравословното състояние по смисъла на чл.4, т.15 и чл.9, ал.1 от РегламентЕС 2016/679 на Европейският парламент и Съвета. В тази връзка г-жа Н.К. моли Комисията да изрази становище по въпросите:
„Правомерно ли ще бъде предоставянето на копия от тези протоколи на трето лице дори и при заличаване на имената на децата?“
„Следва ли да се иска съгласие от родителите за предоставянето на копия от протоколите и при липса на такова съгласие, как следва да процедира в качеството си едновременно на администратор на лични данни и задължен субект по ЗДОИ, за да не наруша нито един от двата закона /ЗДОИ, ЗЗЛД/“.
Г-жа Н.К. изпитва притеснение поради факта, че децата могат да бъдат идентифицирани /особено лесно за децата със СОП/, тъй като се касае за ограничена бройка деца- приети 10 бр. деца в общо 2 първи групи.
Отделно от това се притеснява от неправомерна обработка на тази информация, тъй като заявителят по ЗДОИ получава в качеството си на физическо лице информацията от детските градини, а после я разпространява в интернет във фейсбук страницата на Инициативен комитет за качествена и иновативна образователна система.
Към искането са приложени следните документи:
1. Заявление за достъп до обществена информация от 10.07.2018
2. Решение за предоставяне на достъп от 18.07.2018
3. Заявление за достъп до обществена информация от 19.07.2018
4. Извадка от фейсбук страницата на Инициативен комитет за качествена и иновативна образователна система
Правен анализ:
Законът за достъп до обществена информация урежда обществените отношения, свързани с правото на достъп до обществена информация, както и с повторното използване на информация от обществения сектор.
Законово определение на понятието обществена информация дава разпоредбата на чл.2, ал.1 от ЗДОИ, а именно, обществена е информацията, която е свързана с обществения живот в Република България и дава възможност на гражданите да си съставят собствено мнение относно дейността на задължените по закона лица. Така определената информация може да се съдържа в документи или други материални носители, създавани, получавани или съхранявани от задължените по ЗДОИ субекти- държавните органи, техните териториални звена и органите на местното самоуправление в Република България. Съгласно легалното определение, исканата информация в изложения казус, не би могла да представлява обществена информация, съхранявана от ръководството на ДГ №***, в качеството му на задължен субект по чл.3 от ЗДОИ. По своя характер исканата информация, както е посочено в искането за становище, представлява лични данни на трето лице. Съгласно чл.2, ал.5 от ЗДОИ той не се прилага за достъпа до лични данни.
Член 4, пар. 1 от Регламента определя понятието лични данни като „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. В пар.15 на същия член е разписано понятието „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние. От цитираните определения следва изводът, че информацията, съдържаща се в протоколите на ЛКК представлява данни за здравословното състояние и то на деца, които са уязвима категория субекти на данни и като такива се ползват със завишена закрила от Регламента. Това са данни, които се ползват с по-висока степен на защита и са от категорията на така наречените чувствителни данни.
В Общия регламент за защита на данните, а именно в чл.9, ал.1, съществува забрана за обработване на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
Общото правило за забрана за обработване на лични данни, по цитирания по-горе член не се прилага не се прилага единствено и само, ако е налице едно от следните условия:
a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената забрана не може да бъде отменена от субекта на данни;
б) обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;
в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
г) обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че личните данни не се разкриват без съгласието на субектите на данните;
д) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
е) обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;
ж) обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;
з) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;
и) обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;
й) обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.
Предоставянето на исканите протоколи на ЛКК е действие по обработване на лични данни по смисъла на пар. 2, на чл.4 от Регламента и означава„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
В конкретния казус, а именно, предоставянето на протоколи, съдържащи чувствителни лични данни от ЛКК, предоставени на Директора от родители на деца със СОП не попада в хипозите на чл.9, пар. 2 от Общия регламент и нито една от тях не е приложима. От казаното до тук, следва, че искателят на информацията няма правно основание да получи тези данни, а директорът няма правно основание, на което да ги даде.
Във връзка с горното и на основание чл.58, ал.3 от Общия регламент за защита на данните, Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ:
Протоколите на ЛКК, предоставени от родителите на деца със СОП, съдържат лични данниза здравословното състояние на децата, които представляват специални категории лични данни по смисъла на чл.4, т.15 и чл.9, ал.1 от РегламентЕС 2016/679 на Европейският парламент и Съвета.В случая не е налице нито едно от условията за допустимост на обработването на данни от тези документи (под формата на разкриване чрез предаване на трета страна, разпространяване или друг начин, чрез който данните стават достъпни), поради което администраторът не следва да предоставя копия от протоколите на ЛКК на заявителя на информацията по ЗДОИ.Дори заличаването на имената на децата от копиятана протоколите на ЛКК може да доведе до идентифициране на конкретно дете поради ограничения брой деца в детската градина, които имат СОП и възможността поради тази причина те лесно да бъдат идентифицирани, вкл. по външни белези.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Цветелин Софрониев /п/ | ||
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
