Становище на КЗЛД относно искане с вх. № 956/ 28.02.2011г.

Относно: Искане с рег.№ 956/28.02.2011г. от г-н Иван Гетов – Главен директор на Главна дирекция „Гражданска регистрация и административно обслужване” към Министерството на регионалното развитие и благоустройството за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно възможността за даване на съгласие за обработване на лични данни по телефон и/или електронен път за ползване на кредитни продукти на Банка „ДСК” ЕАД

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Еневи Веселин Целков, на редовно заседание, проведено на 23.03.2011г. (Протокол № 14), разгледа искане с рег. № 956/28.02.2011г. от г-н Иван Гетов – Главен директор на Главна дирекция „Гражданска регистрация и административно обслужване” към Министерството на регионалното развитие и благоустройството за изразяване на становище от Комисията за защита на личните данни, на основание чл.10, ал.1 т.4 от Закона за защита на личните данни (ЗЗЛД), относно възможността за даване на съгласие за обработване на лични данни по телефон и/или електронен път за ползване на кредитни продукти на Банка „ДСК” ЕАД.

Сезирането на КЗЛД е в резултат на поредица от писма от изпълнителните директори на Банка „ДСК” ЕАД – г-жа Д.М. и г-жа В.М. до МРРБ с искане съгласието за обработване на лични данни, давано потелефон и/или електронен път за ползване на кредитни продукти на Банка „ДСК” ЕАДда бъде прието за валидно. За осъществяване на тази цел,Банка „ДСК” ЕАД е разработила проект на електронната си страница, който предвижда възможността физическите лица да подават искане за кредитни продукти през Call Center на банката и през Интернет (онлайн).

Във връзка с предмета на искането, в молбата до КЗЛД са поставени следните въпроси за изразяване на становище :1. Отговаряли на разпоредбите на чл.4, ал.1, т.2 от ЗЗЛД съгласието на физическото лице за обработване на личните му данни, дадено по телефон; 2. Следва ли да се приема за общовалидно съгласието, дадено по електронен път с приемане общите условия към подаването на искане за кредитен продукт, без да е идентифицирано с електронен подпис.

Министерството на регионалното развитие и благоустройство има действащо споразумение № 270/13.09.2007г. с Банка „ДСК” ЕАД за предоставяне на достъп до данните, поддържани в Национална база данни „Население”.В писмото се твърди, че споразумението е сключено въз основа на становище на КЗЛД № 615/25.04.2007г., чийто диспозитив гласи: „Предоставянето на лични данни по гражданска регистрация на трети лица (Банка „ДСК” ЕАД) от Главна дирекция „Гражданска регистрация и административно обслужване” на МРРБ в качеството на администратор на лични данни може да се извършва при спазване на разпоредбите на чл.4, ал.1, т.2 от ЗЗЛД, т.е ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие и чл.4, ал.1, т.3 – ако е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане”.

На основание сключеното споразумение между МРРБ и Банка „ДСК” ЕАД,изпълнителните директори на Банка „ДСК” ЕАД – г-жа Д.М. и г-жа В.М. със свои писма многократно са се обръщали към МРРБ с искане съгласието за обработване на лични данни, давано потелефон и/или електронен път за ползване на кредитни продукти на Банка „ДСК” ЕАДда бъде прието за валидно. В тази връзка, Банка „ДСК” ЕАД предлага на МРРБ да сключат анекс към Споразумение №270/13.09.2007г., с който да се регламентира възможността за предоставяне на данни от Национална база данни „Население” за клиенти на Банка „ДСК” ЕАД, които са дали своето съгласие за обработване на личните им данни по телефон и/или по електронен път. В подкрепа на тяхното искане те прилагат материали, които подробно описват процесите на подаване на искане за кредитни услуги по телефон (през Call Center) и/или по електронен път.

Съгласно искането получател на данните от Национална база данни „Население” към МРРБ ще бъде Банка „ДСК” ЕАД.

Категориите данни, които ще бъдат обработвани чрез активиране на линк на електронната страница на Банка „ДСК” ЕАДса : Имена по лична карта, номер на лична карта, гражданство, пол, постоянен адрес по лична карта, местоживеене, образование, семейно положение и имуществено състояние.

Целите, за които личните данни ще бъдат предоставяни са: Създаване на възможност за потребителите, които изпитват затруднение свързано с необходимостта от посещение на офис на банката, да подават искане за кредитни продукти през Call Center на Банката и /или през Интернет .

При анализа на изложеното в искането, както и приложените към него документи, се установи следното:

Банка „ДСК” ЕАДе еднолично акционерно дружество с ЕИК: 121830616, със седалище и адрес на управление: гр.София, район „Оборище”, ул.”Московска” №19, с предмет на дейност: публично привличане на влогове или други възстановими средства, предоставяне на кредити или друго финансиране за своя сметка и на собствен риск; извършване на услуги по парични преводи; извършване на платежни услуги; издаване и администриране на други средства за плащане (платежни карти, пътнически чекове и кредитни писма); приемане на ценности на депозит; дейност като депозитарна или попечителска институция; финансов лизинг; гаранционни сделки; търгуване за собствена сметка или за сметка на клиента; парично брокерство; консултации на дружества относно тяхната капиталова структура, отраслова стратегия и свързани с това въпроси, както и консултации и услуги, относно преобразуване на дружества и сделки по придобиване на предприятия; придобиване на вземания, произтичащи от доставка на стоки или предоставяне на услуги; придобиване и управление на дялови участия; отдаване под наем на сейфове; събиране и предоставяне на информация и референции относно кредитоспособността на клиенти; други подобни дейности, определени с наредба на БНБ.

За осъществяване на своята дейност Банка „ДСК” ЕАД обработва данни на физически лица. В тази връзка дружеството е администратор на лични данни по смисъла на чл.3 от Закона за защита на личните данни и като такъв е вписан в Регистъра на администраторите на лични данни и водените от тях регистри къмКЗЛДс идент.№ 7302.Дружеството е заявило 9 броя регистри. Искането за становище засяга информацията в регистър „Клиентски регистър”. В регистъра са посочени категориите данни, които администраторът обработва, като спрямо заявените в новия проект на банката, понастоящем в регистъра не са заявени следните категории данни: пол, образование и имуществено състояние.

Обработването на личните данни съгласно дефиницията, дадена в §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни, е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

От своя страна, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Съгласно §1, т.16 от Допълнителните разпоредби на ЗЗЛД,"специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

В конкретния случай, с оглед възможността за даване на съгласие на физически лица (потребители) по телефон и/или по електронен път за обработване на техните лични данни за ползване на кредитни продукти на администратора на лични данни – Банка „ДСК” ЕАД представлява обработване на лични данни по смисъла на §1, т.1 от Допълнителните разпоредби на Закона за защита на личните данни.

Съгласно приложените материали към молбата за становище, процесът на подаване на искане за кредити съответно даване на съгласие на физически лица (потребители) за обработване на техните лични данни, ще се състои в следните основни стъпки:

1. След обаждане на клиент и заявяване на желание за подаване на искане за кредит, операторът му прочита Общите условия за подаване на искане за кредитен продукт през електронните канали.

2. При отказ – разговорът се прекратява. При приемане на Общите условия, операторът започва последователно въвеждане на информацията в електронното искане за кредит, като чрез задаване на въпроси се попълва информацията.

3. В случай, че клиентът разполага с цялата информация и операторътпопълни всички електронни полета, се счита, че е успешно подадено искането за кредит, след което данните се изпращат до отдел „Електронни продажби” за проверка и анализ. При отказ-лицето се уведомява от отдела, при одобрение-данните се препращат до Централен бек офис на банката.

4. В случай, че клиентът не разполага с необходимата информация, разговорът се прекъсва и продължава, след като той разполага с нея, както се въвеждат само непопълнените до този момент данни.

5. Валидността на предварителното одобрение е 15 календарни дни от датата на уведомяване на клиента, като не задължава банката да сключи договор с клиента.

6. Клиентът, получил предварително одобрение за кредит, трябва да потвърди подадените данни по телефона и да приеме Договора за съответния продукт. Договорът за кредит може да бъде сключен, след идентифициране на клиента и сверяване на данните, подадени по телефона.

1. Клиентът, за да подаде искане за получаване на кредит онлайн, активира от електронната страница на банката линк „Вземете кредит онлайн” чрез кликване върху него.

2. Първо клиентът се запознава с Общите условия за подаване на искане за кредитен продукт през електронни канали”, в случай че е съгласен и ги приеме, системата му позволява да продължи напред с възможността за попълване на електронното искане за кредит. При отказ – не може да продължи напред.

3. След попълване на електронното искане за кредит и изпращане до банката, данните на конкретното лице постъпват в отдел „Електронни продажби” за проверка и анализ. При отказ-лицето се уведомява от отдела, при одобрение-данните се препращат до Централен бек офис на банката.

4. Валидността на предварителното одобрение е 15 календарни дни от датата на уведомяване на клиента, като не задължава банката да сключи договор с клиента.

5. Физическото лице, получило предварително одобрение за кредит, може да сключи договор с банката, по преценка на банката, след неговото идентифициране и сверяване на данните в електронното искане.

Във връзка с изложеното по-горе, за да бъде налице законосъобразно обработване на данните, следва то да бъде извършено само при наличие на поне едно условие от дадените алтернативно в чл.4 от ЗЗЛД основания за допустимост на обработването, което следва да бъде налично към момента на започване на обработване на данните. В конкретния случай, за начален момент на обработване на данните от администратора може да се приеме момента на тяхното предоставяне по телефон и/или електронен път от страна на конкретно физическо лице. Следователно към този момент трябва да е налице едно от основанията за допустимост при обработването на лични данни, изрично посочени в чл.4 от ЗЗЛД, тъй като от този момент за банката съществува възможност да започне обработване на лични данни на физическото лице, което ги е предоставило и банката ги е получила.

С оглед естеството на поставените въпроси в искането, следва да се отбележи, че в чл.4, ал.1, т.2 като едно от основанията за допустимост на обработването на лични данни е регламентирано даването на съгласие на физическото лице. По смисъла на §1, т.13. от ЗЗЛД,"Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. От даденото в закона определение става видно, че основните параметри, касаещи съгласието на физическото лице са следните:

– Да е свободно изразено-предоставено от физическото лице, по негово собствено желание, без елемент на принуда;

– Да бъде недвусмислено – съгласието следва да бъде предоставено по начин и във вид, които да не пораждат съмнение, относно изявената воля на физическото лице за обработване на данните му;

-Да е конкретно-т.е съгласието следва да бъде предоставено за обработване на лични данни от конкретно лице за конкретни цели;

– Да е информирано – лицето, предоставящо данните следва да бъде уведомено от администратора, относно: данните, които идентифицират администратора и неговия представител; целите на обработването на личните данни; получателите или категориите получатели; на които могат да бъдат разкрити данните;данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им; информация за правото на достъп и правото на коригиране на събраните данни; информация за правото на възражение на физическото лице за обработване на личните му данни за целите на директния маркетинг.

– Да е предоставено от физическото лице, за което се отнасят личните данни, предмет на обработване.

Съобразно действащата към настоящия момент нормативна уредба в сферата на защитата на личните данни в Република България за изразеното съгласие на физическо лице няма изрично изискване за писмена форма. Предвид това и с цел защита на правата на физическите лица при неправомерно обработване на свързаните с тях лични данни, КЗЛД винаги търси доказателства за това, че съгласието е дадено информирано, свободно изразено и недвусмислено, както и че съгласиетопроизхожда именно от физическото лице, за което се отнасят данните.

Съгласно чл.3 от Закона за електронния документ и електронния подпис, електронен документ е електронно изявление, записано върху магнитен, оптичен или друг носител, който дава възможност да бъде възпроизвеждано, като писмената форма се смята за спазена, ако е съставен електронен документ. Писменият документ възниква с неговото физическо съставяне и материализира в себе си направеното изявление насвоя автор. За да може да се ползва единдокумент сдоказателствена сила, той следва да бъде подписан. По смисъла на чл.13 от Закона за електронния документ и електронния подпис, електронен подпис евсяка информация в електронна форма, добавена или логически свързана с електронното изявление, за установяване на неговото авторство. Усъвършенстваният електронен подпис е електронен подпис, създаден със средства, които са под контрола единственона автора му, като е свързан по уникален начин с него и дава възможност за идентифицирането му. Този подпис е обвързан с електронното изявление по начин, който осигурява установяването на всякакви последващи промени. Подписаният с усъвършенстван електронен подпис документ притежава същата сила и валидност, като при саморъчен подпис на документ на хартиен носител. Следователно подписаният с електронен подпис документ е автентичен и има доказателствена сила.

Друг нормативен документ, който е относим към предмета на искането, е Законът за предоставяне на финансови услуги от разстояние. Разпоредбите на този закон се прилагат за договорите за предоставяне на финансови услуги от разстояние между доставчик и потребител. Съгласно чл.6 от него, договорът за предоставяне на финансови услуги от разстояние е всеки договор, сключен между доставчик и потребител като част от система за предоставяне на финансови услуги от разстояние, организирана от доставчика, при която от отправянето на предложението до сключването на договора страните използват изключително средства за комуникация от разстояние – едно или повече. Страни по договора за предоставяне на финансови услуги от разстояние са потребителят и доставчикът. Потребител е всяко физическо лице, което като страна по договор за предоставяне на финансови услуги от разстояние действа извън рамките на своята търговска или професионална дейност. Доставчик е всяко физическо или юридическо лице, което в рамките на своята търговска или професионална дейност, сключва с потребител договор за предоставяне на финансова услуга от разстояние. Съгласно разпоредбите на чл.8, ал.2 от Закона за предоставяне на финансови услуги от разстояние, когато доставчикът е доставчик по платежни услуги по смисъла на Закона за платежните услуги и платежните системи (в конкретния случай Банка „ДСК” ЕАД е доставчик на платежни услуги), преди потребителят да бъде обвързан от предложение или от договор за предоставяне на финансови услуги от разстояние, доставчикът е длъжен да му предостави информация в пълния обем, регламентиран в чл.8, ал.1 от Закона за предоставяне на финансови услуги от разстояние. Доставчикът предоставя информацията по начин, който не предизвиква съмнение за нейната търговска цел. Информацията се предоставя по ясен и разбираем начин в зависимост от вида на използваното средство за комуникация от разстояние, при спазване на изискването за добросъвестност на страните по търговските сделки и за защита интересите на недееспособни лица. Информацията се предоставя на потребителя достатъчно време преди той да бъде обвързан със задължения по договора. В конкретния случай, става въпрос за даване на съгласие на физически лица (потребители) по телефон и/или по електронен път за обработване на техните лични данни за ползване на кредитни продукти на Банка „ДСК” ЕАД. В тази връзка,на основание чл.9 от Закона за предоставяне на финансови услуги от разстояние, при използването на телефон като средство за комуникация или на друго средство за гласова комуникация от разстояние доставчикът е длъжен още в началото на разговора с потребителя да разкрие ясно и недвусмислено своята самоличност и търговския характер на обаждането. Когато потребителят изрично изрази съгласие, доставчикът му предоставя следната информация:

1. самоличност на лицето, установило връзка с потребителя, и неговите взаимоотношения с доставчика;

2. описание на основните характеристики на финансовата услуга;

3. общата цена, дължима от потребителя на доставчика за финансовата услуга, която включва всички данъци, платими чрез доставчика, или когато не е възможно да се посочи точна цена, посочва се начинът за изчисляване на цената, което позволява на потребителя да я провери;

4. наличието на други данъци и/или разходи, които не се заплащат чрез доставчика или не са определени от него;

5. наличието или липсата на право на потребителя да се откаже от сключения договор; когато потребителят има право да се откаже от сключения договор, посочват се срокът и условията за упражняване на това право, в т. ч. сумата, която потребителят може да бъде задължен да плати.

Доставчикът уведомява потребителя, че при поискване от негова страна може да му бъде предоставена допълнителна информация, както и естеството на тази информация.

В допълнение на изложеното, на основание чл. 17, ал.1 от цитирания закон,изисква се предварителното съгласие на потребителя при използването на следните средства за комуникация от разстояние от страна на доставчика на финансови услуги:

1. автоматизирани системи за позвъняване без човешка намеса;

2. факс;

3. други средства за комуникация от разстояние, различни от посочените в т. 1 и 2, които дават възможност за осъществяване на индивидуална комуникация.

Съгласно чл.18 от закона,при договори за предоставяне на финансови услуги от разстояние доставчикът е длъжен да докаже, че е:

1. изпълнил задълженията си за предоставяне на информация на потребителя;

2. спазил сроковете по чл. 12, ал. 1 или 2 от закона;

3. получил съгласието на потребителя за сключване на договора и, ако е необходимо, за неговото изпълнение през периода, през който потребителят има право да се откаже от сключения договор.

За доказване предоставянето на преддоговорна информация, както и на изявления, отправени съгласно този закон, се прилага чл. 293 от Търговския закон, а за електронните изявления – Законът за електронния документ и електронния подпис. Преддоговорната информация, както и изявленията, направени чрез телефон, друго средство за гласова комуникация от разстояние, видеовръзка или електронна поща, се записват със съгласието на другата страна и имат доказателствена сила за установяване на обстоятелствата, съдържащи се в тях. Съгласно чл.293 от Търговския закон, за действителността на търговската сделка е необходима писмена или друга форма само в случаите, предвидени в закон. Изявлението по сключването, по изпълнението или по прекратяването на търговската сделка е нищожно, ако не е отправено в установената от закон или от страните форма. Страната не може да се позовава на нищожността, ако от поведението й може да се заключи, че не е оспорвала действителността на изявлението. Писмената форма се смята за спазена, ако изявлението е записано технически по начин, който дава възможност да бъде възпроизведено.При изявленията, направени по телефакс или телекс, писмената форма се смята за спазена, ако от книгите и документите, които отразяват работата на тези апарати, е изключено неточно възпроизвеждане на изявлението. Когато за сключването на търговската сделка е предвидена определена форма, тя се отнася и за измененията и допълненията на сделката.

Във връзка с изложеното и поставените относно това дали съгласието на физическото лице за обработване на личните му данни, дадено по телефон, отговаряна разпоредбите на чл.4, ал.1, т.2 от ЗЗЛД и следва ли да се приема за общовалидно съгласието, дадено по електронен път с приемане общите условия към подаването на искане за кредитен продукт, без да е идентифицирано с електронен подпис, и на основание чл. 10, ал.1, т. 4 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

1. Прикандидатстванеза кредитни продукти на Банка „ДСК” ЕАД чрез използване на средства за комуникация от разстояние -телефон и/или по електронен път (онлайн),може да се приеме, че е налице съгласие на физическото лице за обработване на неговите лични данни, само акоможе да се установи по безспорен начин, челицето, чиито данни се предоставят на банката по телефон и/или по електронен път и ще бъдат обработваниот неяе идентично с лицето, извършило конкретното действие по потвърждаване на съгласието за обработване на тези данни, дадено по телефон и/или по електронен път.

2.Съгласието за обработване на лични данни на физическото лице, за което се отнасят, при липса на сертификат за електронен подпис, може да се приеме за „изрично съгласие” само в случаите, когато може по един безспорен начин да се установи авторството на удостоверителното изявление обективирано в конкретния електронен документ. Във връзка с липсата на електронен подпис, следва да се има предвид, че неподписаният документ е документ по своята същност, който обаче не се ползва с формална доказателствена сила по отношение на обективираното в него изявление и неговия автор.

3. Във връзка със зачестилите случаи на злоупотреби с лични данни при предоставяне на кредитни услуги по Интернет, Комисията за защита на личните данни, на свое редовно заседание, проведено на 19.01.2011г. се самосезира, като назначи да бъде извършена проверка, с цел изясняване на факти и обстоятелства във връзка с предоставянето на този тип услуги. След приключване на проверката, въз основа на резултатите от нея, Комисията за защита на личните данни, ще изрази становище по поставените въпроси, касаещо всички администратори, обработващи лични данни чрез извършване на дейности по предоставяне на кредитни услуги по Интернет.