СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № п – 7441/25.11.2013 г.
гр. София, 31.01.2014 г.
ОТНОСНО: Искане с вх.№п- 7441/25.11.2013г. от „К.Б.М.“ ЕАД, представлявано от Изпълнителния директор С.Е.В. чрез пълномощника си И.В.- мениджър на отдел „Правни отношения и защитена информация“, упълномощена с надлежно пълномощно, с молба за изразяване на становище на основание чл.10, ал.1, т.4 от Закона за защита на личните данни
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопов и членове: Красимир Димитров и Валентин Енев на заседание, проведено на 15.01.2014г. разгледа искане с вх.№ п-7441/25.11.2013г. от „К.Б.М.“ ЕАД, чрез пълномощника И.В.. В искането е посочено, че във връзка с създаване и прилагане на документ „Политика за защита на информацията в К.Б.М. ЕАД „ се отправя молба до Комисията за становище относно изложени по- долу аспекти от политиката, засягащи личните данни на служителите. Тъй като към искането не е приложено пълномощно е поискано такова в телефонен разговор сг-жа И.В. Пълномощно е получено по електронен път в КЗЛД и е заведено с вх.№п-8070/ 20.12.2013г. В искането за становище е посочено, че в този документ са изброени някои основни принципи и задължения, с които от Дружеството планират да регулират отношенията между работодателя и служителите във връзка с използването на служебните комуникационни средства. В искането за становище е посочен и текст в кавички, както следва:
„Обработването на лични данни в резултат на регистрацията на дейност (логове), свързана с използването на служебния компютър, електронна поща и интернет достъп, корпоративни информационни системи и активи, както и другите системни ресурси на работодателя (наричани за краткост „служебни комуникационни средства“), е допустимо само ако целта на обработването е управление информационните системи или разкриване/ изясняване на нарушения на сигурността в тези комуникационни средства. Личните данни, които се разкриват в резултат на обработване в съответствие с предходното изречение, не могат впоследствие да бъдат обработвани, за да наблюдава или проверява поведението на служителя.
Електронната поща и другите служебни комуникационни средства се предоставят от работодателя на служителя за използване по време и във връзка с изпълнение на трудовите задължения работа в дружеството.
Електронна поща се ползва за следните цели:
•комуникация между служители и трети лица за търговски цели;
•предаване на информация, свързана с нужди на дружеството;
•разпределение на служебни съобщения и информация;
•информираност на служителите по отношение на дейността и организацията на дружеството;
•Препращане на информационни материали.
Работодателят има право да проучи, отвори или прочете електронни писмо в електронната поща на служител:
а) когато това е необходимо за поддържане на ежедневните дейности или друг защитен интерес за дружеството, или
б) в случай на основателно предположение, че използването от страна на служителя на електронната поща или друго служебно комуникационно средство представлява нарушение на задълженията, които произтичат от трудовото правоотношение, и/или може да е основание за прекратяване му.
Служителят ще бъде уведомен, когато това е възможно и целесъобразно, и ще му бъде предоставена възможност да изкаже мнението си, преди работодателят да прави проверка по тази глава. В уведомлението, работодателят следва да разясни на служителя защо смята, че изброените по-горе основания за налице.
Ако при проверката на електронна поща или друго служебно комуникационно средство не се разкрие никаква документация, която работодателят има право да проверява, документите, които те съдържат, ще бъдат затворени незабавно и всички копия ще бъдат изтрити.
Когато трудовото правоотношение със служителя се прекрати, независимо от основанието за това, документите и файловете от електронната поща и другите служебни комуникационни средства на служителя, които не са необходими за ежедневната дейност на работодателя, ще бъдат изтрити.
Настоящата политика не представлява правно основание за постоянно наблюдение на използването от страна на служителя на служебните комуникационни средства. Разпоредбите на политиката се прилагат само за проверка в отделни случаи за конкретните цели, посочени в нея.
Информацията, която работодателят научи в резултат на проведена в съответствие с тази политика проверка, може да се използва само в съответствие с целите на проверката. Без съгласието на съответния служител, последващо използване на тази информация за цел различна от целта на проверката, е недопустимо.“
В искането за становище се казва, че след изготвянето и приемането на Политика за защита на информацията от страна на дружеството същата ще бъде надлежно сведена до знанието на всички служители на дружеството, които ще подпишат нарочна декларация относно запознаването и съгласието с правата и задълженията на работодателя и служителите във връзка с използването на служебните комуникационни средства.
Изложено е становище, че посочените по- горе текстове, които регулират отношенията между работодател и служители във връзка с използването служебния компютър, електронна поща и другите служебни комуникационни средства, са в съответствие с целта и разума на действащото законодателство, в това число и Закона за личните данни. В подкрепа на изразеното становище са посочени няколко аргумента.
На първо място се сочи, че за да регулира различни въпроси, свързани с организацията на труда в предприятието, работодателят разполага с възможността да издава вътрешни правила, с които се вменяват или конкретизират съществуващите задължения на служителите. Сочи се, че в този или отделен вътрешен акт могат и е препоръчително да се включат ясни правила за използването на служебните комуникационни средства като служебните компютри и служебната електронна поща, за да бъдат доведени до знанието на служителите условията, които работодателят счита за уместни във връзка с използването на тези средства. Сочи се също, че с такива мерки дружеството цели на ограничи случаите на неуплътняване на работното време, а също така и превенция от заразяването на компютрите и мрежите на дружеството с вируси, изтичането на служебна информация и др.
На второ място е посочена и разпоредбата на чл.48 от Закона за държавния служител. Тази разпоредба регламентира правото на регламентира правото на неприкосновеност на личната кореспонденция и съобщения на държавния служител, като допълва, че кореспонденцията и съобщенията, адресирани до държавен служител в това му качество, не се считат за лични. Сочи се, че тази разпоредба застъпва тезата,че електронната кореспонденция на работниците и служителите от служебната им електронна поща е именно служебна, създава се и се получава за целите на дейността на работодателя и не може да е неприкосновена в смисъла, който се влага в чл.34 от Конституцията на Република България. Сочи се също, че създаване и използване на служебната електронна поща е подчинено на служебни цели, затова е нормално да подлежи на контрол от страна на работодателя.
На следващо място е посочено, че съгласно чл.2, ал.2, т.2 от ЗЗЛД личните данни се събират за конкретни, точно определени и законни цели и не могат да се обработват допълнително по начин, несъвместим с тези цели. Изведен е изводът, че щом самите компютри и електронни пощи са собственост на предприятието, от работодателя зависи какви рестрикции ще наложи на достъпа до мрежата от тях с цел да гарантират ефективността на работата, спазването на трудовата дисциплина и въвеждането на превантивни мерки срещу заразяване с компютърни вируси и др.
В искането за становище, се посочва също, че обработването на лични данни от страна на работодателя по начина, описан по-горе, има повече от едно основание в Закона за защита на личните данни доколкото:
– в Наредба №1 от 30януари2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и в частност чл.9 от нея, като основни мерки, които администраторите за задължени да вземат, са посочени идентификация и автентификация, контроли на сесията, наблюдение, защита от вируси и др.- аргумент от чл.4, ал.1, т.1 от ЗЗЛД;
– всички служители на дружеството ще бъдат запознати с политиката на дружеството и ще подадат изрична декларация за съгласие- аргумент от чл.4, ал.1, т.2 от ЗЗЛД;
Сочи се също, че К.Б.М.“ ЕАД, в качеството си на работодател и собственик на служебните компютри, електронни пощи, операционни системи и други комуникационни средства, има право и признат от закона интерес да контролира дейността на служителите си и използването на собствените му ресурси, без това нарушава правата на служителите- аргумент от чл.4, ал.1, т.7 от ЗЗЛД.
Изразено е становище, че създаването и прилагането на Политика за защита на информацията от страна на „К.Б.М.“ ЕАД е в съответствие със Закона за защита на личните данни, поради изложените по- горе аргументи и държи сметка за законно признатите права и интереси, както на дружеството, така и служителите му и са съотносими, свързани със и ненадхвърлящи целите, за които се обработват.
„К.Б.М.“ ЕАД е администратор на лични данни по смисъла на чл.3 от Закона за защита на личните данни (ЗЗЛД). При извършване на служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри на лични данни, поддържан от КЗЛД на основание чл.10, ал.1, т.2 от ЗЗЛД се установява, че дружеството има подадено заявление за вписване в Регистъра с вх.№60661 и е вписано с идентификационен номер 28772.
Заявените регистри са четири, както следва:
1. „Персонал“,
2. „Потребители“,
3. „Сигурност“,
4. „Регистър видеонаблюдение“
Разпоредбата на чл.34, ал.1 от Конституцията на Република България прогласява, че свободата и тайната на кореспонденцията и на другите съобщения са неприкосновени. В ал.2 на същия член е посочено, че изключения от това правило се допускат само с разрешение на съдебната власт, когато това се налага за разкриване или предотвратяване на тежки престъпления. В закона за държавния служител е разписано, че държавният служител се ползва с неприкосновеност на личната си кореспонденция и съобщения. В ал.2 на чл.48 е посочено, че кореспонденцията и съобщенията, адресирани до държавен служител в това му качество, не се считат за лични. Закона за държавният служител прави разграничение на кореспонденцията на такава която е лична, и такава която е служебна т.е. получена от дадено лице в служебно качество, в случая в качеството му на държавен служител. Подобна разпоредба в Кодекса на труда няма, но по аналогия същият принцип би могъл да се приеме и за работници и служители чието трудово правоотношение е по Кодекса на труда относно съобщенията и информацията изпратена до тях в служебно качество. В този смисъл би могло да бъде споделено становището на дружеството, че електронната кореспонденция на работниците и служителите от служебната им електронна поща е именно служебна, създава се и се получава за целите на дейността на работодателя и не може да е неприкосновена в смисъла, които се влага в чл.34 от Конституцията на Република България. След като създаване и използване на служебната електронна поща е подчинено на служебни цели, е оправдано да подлежи на контрол от страна на работодателя с цел гарантиране ефективността на работата, спазването на трудовата дисциплина, въвеждането на мерки срещу заразяване с компютърни вируси и др.
Съгласно Закона за защита на личните данни, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. „Специфични признаци“ са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
В параграф1 от Допълнителните разпоредби на ЗЗЛД се съдържа законовото определение на понятието „обработване на лични данни”, а именно: „Обработване на лични данни“ е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”.
Във връзка с обработването на лични данни, следва да се има предвид, че всеки администратор на лични данни е длъжен да обработва личните данни законосъобразно, при спазване разпоредбите на ЗЗЛД. Редът за обработване на лични данни, включително за предоставянето им, е регламентиран с изчерпателното изброяване на законовите основания в чл.4, ал.1, т.1– т.7 от ЗЗЛД, при наличието на поне едно от които, е допустимо обработване на лични данни.
Съгласно чл.2, ал.2 от ЗЗЛД събраните лични данни следва да се обработват законосъобразно и добросъвестно, да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, да бъдат съотносими, свързани и ненадхвърлящи целите, за които се обработват, т.е. да бъдат пропорционални, както и да се заличават и коригират в случай на непропорционалност по отношение на целите, за които се обработват. Във всички случаи правомерното обработване на лични данни е необходимо да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните.
Във всеки един конкретен случай на обработване на лични данни е необходимо да се следи за баланса между значимостта на обществения интерес, който налага това обработване и степента, до която се засяга правото на неприкосновеност на личния живот на физическото лице, за което се отнасят данните.
В искането за становище, се сочи за какви цели се предоставят електронната поща и другите служебни комуникационни средства, а именно за се за използване по време и във връзка с изпълнение на трудовите задължения работа в дружеството. „Електронна поща се ползва за следните цели:
•комуникация между служители и трети лица за търговски цели;
•предаване на информация, свързана с нужди на дружеството;
•разпределение на служебни съобщения и информация;
•информираност на служителите по отношение на дейността и организацията на дружеството;
•Препращане на информационни материали.
Посочени са и случаите при които работодателят има право да проучи, отвори или прочете електронни писмо в електронната поща на служител:
„а) когато това е необходимо за поддържане на ежедневните дейности или друг защитен интерес за дружеството, или
б) в случай на основателно предположение, че използването от страна на служителя на електронната поща или друго служебно комуникационно средство представлява нарушение на задълженията, които произтичат от трудовото правоотношение, и/или може да е основание за прекратяване му.“
Действително в чл.9 от Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и в частност, като основни мерки, които администраторите за задължени да вземат, са посочени идентификация и автентификация, контроли на сесията, наблюдение, защита от вируси и др. Тези изисквания посочени във визираната разпоредба на Наредбата могат да се приемат като основание за допустимо обработване на лични данни- по смисъла на чл.4, ал.1, т.1 от ЗЗЛД.
Друго условие за допустимо обработване на лични данни в изложеният случай е чл.4, ал1, т.7от ЗЗЛД- дружеството в качеството си на работодател и може да контролира дейността на служителите си и използването на служебните ресурси, без това да нарушава правата на служителите си.
В искането за становище е посочено, че служителите ще подписват декларация за съгласие, като се казва че това също е което е условие за допустимо обработване на лични данни по смисъла на чл.4, ал1, т.2 от ЗЗЛД. Бланка на такава декларация не е приложена към искането, поради което не може да се направи преценка дали същата отговаря на условията, разписани в определението за съгласие посочено в т.13 на параграф1 от ДР на ЗЗЛД. Съгласно определението, разписано в т.13 на параграф1 от ДР на закона съгласие на физическото лице е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани за конкретни цели. От даденото в закона определение става видно, че основните моменти, касаещи съгласието на физическото лице са следните:
да е свободно изразено– предоставено от физическото лице, по негово собствено желание, без елемент на принуда;
да бъде недвусмислено– съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение относно изявената воля на физическото лице за обработване на данните му;
да е конкретно- т.е. съгласието следва да бъде предоставено за обработване на лични данни от конкретен администратор за конкретни цели;
да е информирано– лицето, предоставящо данните следва да бъде уведомено от страна на администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели, на които могат да бъдат разкрити данните; данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни;;
да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Изпратеният текст, за който е посочено, че ще е част от вътрешен документ „Политика за защита на информацията“ на „К.Б.М.“ ЕАД, е в съответствие със Закона за защита на личните данни. Като условие за допустимо обработване на лични данни, в изложения казус, за посочените цели, намират приложение разпоредбите на чл.4, ал.1, т.1 и т.7 от ЗЗЛД.
2. За да бъде условие за допустимо обработване на лични данни, по смисъла на чл.4, ал.1, т.2 от ЗЗЛД, съгласието на лицата, обективирано в декларация следва да е в съответствие с легалното определение за съгласие, разписано в т.13 на параграф1 от Допълнителните разпоредби на ЗЗЛД.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
