ОТНОСНО: искане за становище с вх. № в-73/19.01.2009 г., подадено от Националната агенция по приходите относно предоставяне на лични данни на министъра на държавната администрация и административната реформа.
Комисията за защита на личните данни в състав, председател: Венета Шопова, и членове: Красимир Димитров и Веселин Целков, на заседание, проведено на 08.04.2009 г. разгледа искане за становище вх. № в-73/19.01.2009 г., подадено от Националната агенция по приходите относно предоставяне на лични данни на министъра на държавната администрация и административната реформа.
В поставеното за разглеждане искане се сочи, че в Национална агенция по приходите (НАП) е постъпило искане от министъра на държавната администрация и административната реформа за предоставяне на лични данни на служителите на НАП – три имена, ЕГН, служебен имейл, както и информация относно наименование на поделението на НАП, в което работи съответния служител. Твърди се, че искането е във връзка с изпълнението на Национална стратегия за внедряване на електронно здравеопазване в България, одобрена с решение на Министерския съвет от 28.12.2006 г., и цели изграждане на Национален електронен здравен портал и внедряване на личен електронен здравен запис за 40000 служители на държавната администрация. С искането се моли за изразяване на становище относно законосъобразността на евентуално предоставяне на исканите от министъра на държавната администрация и административната реформа лични, като се има предвид, че електронните амбулаторни картони ще съдържат и лични медицински данни. Към искането е приложено копие на писмо от министъра на държавната администрация и административната реформа, рег. № 02-01-401 от 23.12.2008 г. В приложеното писмо се сочи, че всеки служител е единствен собственик на електронния личен амбулаторен картон и никой освен него или изрично упълномощено от него лице – общопрактикуващ лекар или друг медицински специалист няма възможност на достъп до съхраняваните данни.
След извършена служебна справка по искането и посочените в него актове, на които се прави позоваване се установи, че Националната стратегия за внедряване на електронно здравеопазване в Република България очертава същността на електронното здравеопазване и представя приоритетните цели за неговото развитие в Република България. В документа се представя същността на електронното здравеопазване и неговите принципи – ефективност, качество здравно обслужване; медицина, базирана на доказателства; равнопоставен достъп; адекватна подготовка на здравни кадри; и др.
Правната рамка в областта на защита на личните данни при осъществяване на стратегията е представена като „въвеждането на функции по съхранение и обмен по електронен път на регистри, здравни досиета, епикризи и др., съдържащи лични данни и здравна информация предполага адекватна законова защита на тази информация. Министърът на здравеопазването следва да предприеме активни мерки за определяне на формите, съдържанието, условията и реда за обработване, използване и съхраняване на медицинска документация и за обмен на медико-статистическа информация”.
Видно от раздел „Мерки” на документа, една от мерките за реализация на оперативните цели е насочена към изграждане на интегрирана информационна система за обмен на информация между заетите в сферата на здравеопазването (между лечебни, учебни, научни, финансови и административни звена). Изхождайки от съдържанието на документа може да бъде направен извода, че обработването на лични данни се заключва от заетите в сферата на здравеопазването администратори на лични данни.
Национална агенция по приходите (НАП) е администратор на лични данни по смисъла на чл. 3, ал. 1 от Закона за защита на личните данни (ЗЗЛД). В качеството си на администратор, НАП обработва лични данни на български граждани във връзка със събирането и обслужването на републиканските данъци (данък върху доходите, патентни данъци, ДДС, корпоративни данъци) и задължителните осигурителни вноски (здравни осигуровки, вноските за пенсия, вноските за допълнително задължително пенсионно осигуряване и др.), а с оглед прилагането на трудовото законодателство и управление на човешките ресурси – обработва лични данни на свои служители.
„Обработване на лични данни”, съгласно определението, посочено в § 1, т. 1 от Допълнителните разпоредби на ЗЗЛД е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
В конкретния случай предоставянето на лични данни на свои служители на друг администратор представлява действие по обработване на лични данни.
Текстът на чл.4, ал.1 от ЗЗЛД изрично урежда хипотезите, при наличието на които се допуска обработването на лични данни. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
Националната агенция по приходите, в качеството си на администратор на лични данни следва да обработва лични данни при спазване на разпоредбата на чл. 2, ал. 2 от Закона за защита на личните данни: законосъобразно и добросъвестно (чл.2, ал.2, т. 1 ЗЗЛД); да ги събира за конкретни, точно определени и законни цели и да не се обработват допълнително по начин несъвместим с целите (чл.2, ал.2, т. 2 ЗЗЛД); да бъдат съотносими, свързани с и ненадхвърлящи целите, за които се обработват (чл.2, ал.2, т. 3 ЗЗЛД); не на последно място те трябва да се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват (чл.2, ал.2, т. 5 ЗЗЛД).
Обработването на лични данни на служители на НАП, изразяващо се в предоставянето на тези лични данни за постигането на цели, различни от прилагане на трудовото законодателство и управление на човешките ресурси, ще надхвърли първоначалните цели, за които са събрани. В конкретния случай ще бъдат нарушени принципите по чл. 2, ал. 2, т. 2 и т. 3 от ЗЗЛД.
Във връзка с изложеното по-горе и на основание чл. 10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни приема следното
СТАНОВИЩЕ:
При предоставяне на лични данни от един администратор на друг администратор на лични данни и при наличие на условие за допустимост на обработване на лични данни в съответствие с посочените в чл. 4, ал. 1 от ЗЗЛД, обработването на лични данни следва да е в съответствие с принципите по чл. 2, ал. 2 от Закона за защита на личните данни.
В конкретната хипотеза и с оглед защитата на конституционно признатите права на личността и гарантиране на неприкосновеността на личността и личния живот е препоръчително, предоставянето на лични данни да следва наличието на изрично съгласие на физическото лице – служител на НАП, личните му данни да бъдат обработени за целите на създаване база данни по проект „Изграждане на Национален електронен здравен портал и внедряване на личен електронен здравен запис за 40000 служители на държавната администрация”.
| ПРЕДСЕДАТЕЛ: | |
|
Венета Шопова /п/ |
|
