Становище на КЗЛД относно искане с вх. № 1526/ 01.04.2011 г.

Относно: Искане с рег.№1526/01.04.2011г. от Софийски градски съдза изразяване на становище от Комисията за защита наличните данни на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, относно възлагане обработването на лични данни, съдържащи се в постановените съдебни решения от Софийски градски съд на обработващ данните -„С.С.Е.П.” АД

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Валентин Енев и Веселин Целков, на редовно заседание, проведено на 06.04.2011г. (Протокол № 16), разгледа искане с рег.№ 1526/01.04.2011г. от Софийски градски съд за изразяване на становище от Комисията за защита на личните данни на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, относно възлагане обработването на лични данни, съдържащи се в постановените съдебни решения от Софийски градски съд на обработващ данните- „С.С.Е.П.” АД. Искането е подадено от и.д. Председател на Софийски градски съд – г-жа В.Ц.. На основание чл.86, ал.1, т.1 във връзка с чл.88 от Закона за съдебната власт, председателят на окръжния съд (за гр.София – градския съд) представлява съда, от което става видно, че тя може да представлява Софийски градски съд пред Комисията за защита на личните данни, във връзка с административното производство по изразяване на становище.

По силата на чл.64, ал.1 от Закона за съдебната власт (ЗСВ), актовете на съдилищата се публикуват незабавно след постановяването им на Интернет страницата на съда при спазване изискванията на Закона за защита на личните данни и Закона за защита на класифицираната информация. Във връзка с това нормативно установено задължение за съдилищата в Република България, в молбата на изпълняващия длъжността Председател на Софийски градски съд – г-жа В.Ц., се твърди, че поради недостатъчния кадрови потенциал (две щатни длъжности за компютърен оператор с деловодни функции, които обезличават постановените актове преди тяхното публикуване) са затруднени да изпълняват това свое задължение в неговата цялост. В резултат на проведени разговори със „С.С.Е.П.” АД, което е администратор на лични данни с удостоверение № 110158/31.01.2011г. на Комисията за защита на личните данни, Софийски градски съд (СГС) е получил предложение от акционерното дружество да му бъдат предоставяни постановените съдебни актове на съда със задачата да обработва личните данни, които се съдържат в тях, съгласно разпоредбите на Закона за защита на личните данни, след което те да бъдат публикувани на Интернет страницата на СГС.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

Софийски градски съд е орган на съдебната власт, който на основание чл.88 от Закона за съдебната власт е с правомощия на окръжен съд, а именно: да разглежда наказателнии граждански дела, като първа и като втора инстанция.СГС е вписан в Регистър „Булстат” на Агенцията по вписвания към Министерството на правосъдието с ЕИК 000696532 и със седалище и адрес на управление: гр.София, община Столична, бул.”Витоша” № 2.

При извършена служебна справка в Регистъра на администраторите на лични данни и водените от тях регистри, поддържан от КЗЛД, се установи, че СГС е администратор на лични данни и е вписан в Регистъра на администраторите на лични данни и поддържаните от тях регистри към КЗЛД с идент.№ 53202. СГС е заявил поддържането на пет броя регистри. Искането за становище на КЗЛД засяга информацията, поддържана в регистър „Съдебни дела” и по-точно личните данни на страните по делото, които задължително се съдържат в постановените съдебни решения.

В регистър „Съдебни дела” са посочени категориите физически лица, чиито данни ще се събират и обработват, а именно: жалбоподатели, ответниципо жалби и други лица. Категориите лични данни, които администраторът е заявил, че ще обработва, са: име; паспортни данни; ЕГН; месторожодение; адрес; телефон; психическо състояние; умствено състояние; сексуална ориентация; психическо здраве; имотно състояние; финансово състояние; участие и/или притежаване на дялове или ценни книжа в други дружества; културни интереси; социален произход; расов произход; етнически произход; политически, религиозни и/или философски убеждения; Целта за обработване на личните данни, която е посочена е: Правораздаване.

В тази връзка, от така посочените категории данни за обработване, заявени в регистър „Съдебни дела”, тези данни, които са предмет на искането и са елемент от задължителните реквизити на всяко съдебно решение са: имената и адреса на страните. Съгласно чл.236, ал.1 от Гражданския процесуален кодекс, данните, които задължително се съдържат в конкретното съдебно решение постановено от съдебния състав, участвал в заседанието, в което е завършило разглеждането на делото са следните: 1. датата и мястото на постановяването му; 2. посочване на съда, имената на съдиите, на секретаря и на прокурора, когато той е взел участие в делото; 3. номера на делото, по което се постановява решението; 4. имената, съответно наименованието и адреса на страните; 5. какво постановява съдът по съществото на спора; 6. в тежест на кого се възлагат разноските; 7. подлежи ли решението на обжалване, пред кой съд и в какъв срок. Към решението си съдът излага мотиви, в които се посочват исканията и възраженията на страните, преценката на доказателствата, фактическите констатации и правните изводи на съда. Решението се подписва от всички съдии, взели участие в постановяването му.

Във връзка с предмета на искането, „С.С.Е.П.” АД да обработва данните, съдържащи се в постановените съдебни решения на СГС, след което те да бъдат публикувани на неговата Интернет страница, се установи следното:

С.С.Е.П.” АД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК 130199580, предмет на дейност: вътрешна и външна търговска дейност; производство на продукти за обработване; търговия на едро с машини и обзавеждане за производство; търговия на едро в областта на посредничеството; търговия на дребно с различни стоки с промишлен характер; производство, консултиране, и снабдяване в областта на софтуера; преводачески услуги; дизайн; предпечат; печат; издаване и разпространение на книги, периодични списания и други печатни произведения; създаване и разпространение на мултимедийни продукти; както и всяка друга стопанска дейност, която не е изрично забранена от действащото законодателство и със седалище и адрес на управление: гр.София, Район „Подуяне”, ЖК „Хаджи Димитър”, бул.”Владимир Вазов” № 9.

При извършена служебна справка в Регистъра на администраторите на лични данни и водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е администратор на лични данни, вписан в Регистъра на администраторите на лични данни и поддържаните от тях регистри към КЗЛД с идент. №110158. Заявено е поддържането на 5 броя регистри: „Бизнес контакти”, „Граждански договори”, „Наемодатели”, „Персонал” и „Сиела Инфо”.

На основание чл.3 от Закона за защита на личните данни, администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни. Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.Съгласно чл.24 от ЗЗЛД, администраторът може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения. В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита. Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните.За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него. Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго. В Закона за защита на личните данни са регламентирани принципите, които администраторите на лични данни следва да спазват при обработване на данните.

Всеки администратор е длъжен да обработва личните данни законосъобразно, при спазване разпоредбите на ЗЗЛД, а именно:

– да ги обработва законосъобразно и добросъвестно;

– да ги събира за конкретни, точно определени и законни цели и да не ги обработва допълнително по начин, несъвместим с тези цели;

– да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

– да бъдат точни и при необходимост да се актуализират;

– да се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

– да ги поддържа във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.

Обработването на личните данни съгласно дефиницията дадена в §1, т.1 от Допълнителните разпоредби на Закона за защита на личнитее всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

От своя страна, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД,"специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

Съгласно чл.4 от Закона за защита на личните данни,обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7.обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

По преценка на администратора на лични данни – Софийски градски съд, може да бъде възложено на обработващ данните в лицето на „С.С.Е.П.” АД обработването на лични данни, съдържащи се в постановените съдебни решения на Софийски градски съд, като в този случай отношенията между тях следва да се уредят съгласно чл.24, ал.4 от Закона за защита на личните данни, а именно с писмен договор.

С оглед изложеното по-горе и на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

1. Няма правна пречка администраторът на лични данни – Софийски градски съдда възложи обработването на постановените съдебни актове наобработващ данните – „С.С.Е.П.” АД. Преценката за необходимостта от възлагане на „С.С.Е.П.” АД, в качеството му на обработващ данните, на обработването на постановените съдебни актове чрез анонимизиране на личните данни в тях, е на администратора на лични данни – Софийски градски съд.

2. Отношенията между администратора на лични данни и обработващия данните следва да се уредят в съответствие с чл. 24 от Закона за защита на личните данни под формата на договор, като за вреди, причинени на трети лица от действия или бездействия на обработващия данните, администраторът и обработващият данните отговарят солидарно;

3. След сключване на договора по т.2 администраторът на лични данни – Софийски градски съд следва да актуализира информацията в регистър „Съдебни дела”, вписан в Регистъра на администраторите на лични данни и на поддържаните от тях регистри към КЗЛД, като в категорията получатели, на които личните данни могат да бъдат разкривани, включи и „лица, обработващи личните данни”.

4. След сключване на договора по т.2 за обработващия данните „С.С.Е.П.” АД ще възникне правно основание за обработване на личните данни, съдържащи се в постановените решения на Софийски градски съд, съгласно чл. 4, ал. 1, т. 7 от Закона за защита на личните данни – реализиране на законните интереси на администратора на личните данни.