Становище на КЗЛД относно искане с вх. № 10/ 05.01.2011 г.

ОТНОСНО: Искане с рег.№10/05.01.2011г. от Многопрофилна болница за активно лечение “Д-р Братан Шукеров” АД – гр.Смолян за изразяване на становище от Комисията за защита наличните данни, относно въвеждане на система за контрол на работното време, чрез снемане на произволни точки от пръстов отпечатък на неговите служители

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 23.02.2011г. (Протокол №10), разгледа искане с рег.№ 10/05.01.2011г. от Многопрофилна болница за активно лечение (МБАЛ) “Д-р Братан Шукеров” АД – гр.Смолян за изразяване на становище от Комисията за защита на личните данни, на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни, относно въвеждане на система за контрол на работното време чрез снемане на произволни точки от пръстов отпечатък на служителите, с които е в професионални отношения.

Получено е искане за становище с рег. № 10/05.01.2011г. от Многопрофилна болница за активно лечение (МБАЛ) “Д-р Братан Шукеров” АД – гр.Смолян за изразяване на становище от Комисията за защита на личните данни, относно въвеждане на система за контрол на работното време чрез снемане на произволни точки от пръстов отпечатък на служителите, с които е в професионални отношения. Искането е подадено чрез имейла на КЗЛД на 05.01.2011г. от изпълнителния директор на болничното заведение и член на Съвета на директорите – доц. д-р В.Б.И., като е използван електронен подпис по Закона за електронния документ и електронния подпис. Същият е вписан в Търговския регистър на основание чл.235, ал.3 от Търговския закон като представител на акционерното дружество, от което става видно, че той може да го представлява пред Комисията за защита на личните данни, във връзка с административното производство по изразяване на становище.

В МБАЛ „Д-р Братан Шукеров” АД – гр.Смолян се въвежда нова система за достъп и пропускателен режим в лечебното заведение. Системата включва събиране и обработване на лични данни чрез сканиране на произволни точки от пръстови отпечатъци (биометрични данни). Целта, за която личните данни ще бъдат предоставяние контрол на работното време. От информацията в молбата не става ясно по категоричен начин, кои са категориите физически лица, чийто лични данни са предмет на събиране и обработване.

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

МБАЛ „Д-р Братан Шукеров” АД – гр.Смолян е вписано в Търговския регистър при Агенцията по вписванията с ЕИК120503871, предмет на дейност: осъществяване на болнична помощ и със седалище и адрес на управление: гр.Смолян, община Смолян, бул.”България” №2.

При извършена служебна справка в Регистъра на администраторите на лични данни и водените от тях регистри, поддържан от КЗЛД, се установи, че лечебното заведение е подало заявление за регистрация № 94165/11.02.2010г.като администратор на лични данни и е вписано в регистъра с идентификационен номер 200411.

МБАЛ „Д-р Братан Шукеров” АД – гр.Смолян е заявила поддържането на 3 броя регистри – „База данни пациенти”, „Регистър на служителите в МБАЛ” и„Регистър на служителите с биометрични данни – пръстови отпечатъци”. Последният от изброените регистри е заявен за вписване от администратора чрез електронната система eРАЛД на 06.01.2011г. и е вписан като действащ регистър, считано от 13.01.2011г. Искането за становище на КЗЛД засяга информацията, поддържана в „Регистър на служителите с биометрични данни – пръстови отпечатъци”.В регистъра са посочени категориите физически лица, чийто данни ще се събират и обработват, а именно: лица по трудови правоотношения или граждански договори, като срока на съхранение на данните е срока на сключения трудов/граждански договор със съответното лице. Целите за обработване на личните данни, които са посочени са: Управление на човешките ресурси; 2. Финансово-счетоводна дейност.

В искането на МБАЛ „Д-р Братан Шукеров” АД – гр.Смолян са заявени предприетите организационни и технически мерки по защитата на личните данни-сканирани произволни точки от пръстов отпечатък, а именно:Съхраняването на данните за пръстови отпечатъци се осъществява в база данни „MicrosoftSQLServer 2005”, инсталирана на компютър, предназначен за сървър. Производителят на устройства и софтуер ” NITGEN” изцяло управлява съхраняването на данните във вид на точки – 400 bytesза един пръстов отпечатък, като същите не могат да бъдат извличани. Тази информация не може да бъде използвана във вид на изображение. Компютърът, който се използва за сървър е защитен чрез всички мерки за сигурност, предоставени от операционната му система Windows 7 Pro. Отделно базата данни на системата за контрол на работното време е защитена с отделен потребител и парола. Софтуерът на фирмата производител ” NITGEN” също изисква въвеждането на потребителско име и парола за достъп до системата.

Обработването на личните данни съгласно дефиницията дадена в §1, т.1 от Допълнителните разпоредби на Закона за защита на личните е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

От своя страна, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД,"специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

Видът на биометричните данни, които е заявил за обработване администраторът на лични данни МБАЛ „Д-р Братан Шукеров” АД – гр.Смолян са пръстови отпечатъци. Съгласно §1, т.16 от допълнителните разпоредби на Закона за българските лични документи, "биометрични данни" са изображението на лицето на гражданина и пръстовите му отпечатъци, които се използват за разпознаване и проверка на заявена самоличност. Съществува правна възможност в определени случаи, пръстовите отпечатъци да бъдат включени към категорията на т.н. „чувствителни данни”, които включват информация за расов или етнически произход; политически, религиозни, или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели; данни, които се отнасят до здравето, сексуалния живот или човешкия геном. При наличието на тази хипотеза, по смисъла на чл.5, ал.1, т.3 от ЗЗЛД езабраненообработването на такъв вид данни. Нормата не се прилага, в случаитекогато:

1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;

2.физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;

3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:

а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;

5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;

6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.

От друга страна, съгласно чл.4 от Закона за защита на личните данни,обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1.обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

Предвид изложеното по-горе, може да се направи извод, че единственото правно основание за допустимост на обработване на лични данни чрез сканиране на произволни точки от пръстов отпечатък на служителите в болничното заведение, е наличие на изрично съгласие за това.Съгласно §1, т.13 от допълнителните разпоредби на ЗЗЛД, "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. Съгласието следва да е налице по отношение на целите на обработване на данните в конкретния случай, получателите иликатегориите получатели, на които могат да бъдат разкрити данните; задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им. Във всички случаи на лицата следва да е предоставена информация за правото на достъп и правото на коригиране, заличаване или блокиране на събраните данни, както и правото на възражение срещу обработването на личните им данни, при наличие на законово основание за това.

Съгласно чл.25 от ЗЗЛД, след постигане целта на обработване на личните данни, администраторът е длъжен да ги унищожи или прехвърли на друг администратор, като предварително уведоми за това КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването. Администраторът е допустимо да съхранява лични данни само и единствено в предвидените от закона случаи.

С оглед изложеното по-горе и на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

МБАЛ „Д-р Братан Шукеров” АД – гр.Смолян, в качеството си на администратор на лични данни, може законосъобразно да обработва лични данни на физически лица-служители по трудов/граждански договор, с които е в професионални отношения, чрез сканиране на произволни точки от техния пръстов отпечатък при наличие на следните условия:

1.Обработването се извършва на основание чл. 4, ал. 1, т. 2 от ЗЗЛД, т.е. физическите лица-служители по трудов/граждански договор в болничното заведение, за които се отнасят данните, са дали изрично и недвусмислено своето съгласие за сканиране на произволни точки от пръстовия им отпечатък;

2. Преди даването на съгласие от лицата, чиито данни се събират посредством сканиране на произволни точки от пръстовия отпечатък по т.1, те следва да бъдат информирани от администратора на лични данни относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните им данни; получателите или категориите получатели, на които могат да бъдат разкрити данните;задължителния или доброволния характер на предоставянето на данните и последиците от отказ за предоставянето им; правото на достъп и правото на заличаване, коригиране или блокиране на събраните данни, когато обработването не отговаря на изискванията на ЗЗЛД, правото на възражение срещу обработването на личните им данни, при наличие на законово основание за това.