СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № 1868/04.04.2012 г.
гр. София.
Относно: Искане с вх. № 1868/16.03.2012 г. от г-жа С.Б. – главен секретар на Комисия за защита на конкуренцията с молба за становище за становище от Комисията за защита на личните данни (КЗЛД) по въпроси, касаещи приложението на Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни в състав: Венета Шопова, Красимир Димитров, Мария Матева и Веселин Целков, на заседание, проведено на 04.04.2012 г., разгледа искане с вх. № 1868/16.03.2012 г. от г-жа С.Б. – главен секретар на Комисия за защита на конкуренцията с молба за становище на основание чл. 10, ал. 1, т. 4 от ЗЗЛД.В искането е посочено, че в Комисията за защита на конкуренцията е получено заявление за достъп до обществена информация от г-н М.Д., председател на СДС и г-н Д.И., главен секретар на СДС, с което същите заявяват, че искат да им бъде предоставена информация по следните въпроси, за които е посочено, че са цитирани дословно:
1. Какъв е общият размер на раздадените извън трудовите възнаграждения в поверената ви комисия през 2011 г.?
2. По каква методология или вътрешни правила са определяни тези възнаграждения?
3. Без да бъдат посочени имена или други лични данни, какви възнаграждения са раздадени в КЗК по длъжности?
В искането е отправена молба за становище до КЗЛД на основание чл.10, ал.1, т.4 от ЗЗЛД във връзка със задължението на Комисия за защита на конкуренцията да предостави достъп по реда на ЗДОИ. Молбата за становище до Комисията е относно това:
1. Дали и коя от исканата информация представлява "лични данни" по смисъла на ЗЗЛД, предвид обстоятелството, че същата се отнася до данни за физически лица, които могат да бъдат идентифицирани пряко или не пряко чрез един или повече специфични признаци?
2. Доколко евентуалното предоставяне на исканата информация е допустимо, законосъобразно и отговаря на целите на ЗЗЛД?
Отправена е молба за указания за това, как да бъде предоставен достъп до исканата информация, които няма да доведе до нарушаване на разпоредбите на ЗЗЛД.
По първият въпрос от искането за становище:
По смисъла на чл. 3 от Закона за защита на личните данни администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на данните, както и който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон.Комисията за защита на конкуренцията/КЗК/ е администратор на лични данни по смисъла на чл. 3, ал.1 от ЗЗЛД. КЗК е подала заявление за вписване в регистър на администраторите на лични данни и водените от тях регистри с лични данни с вх.№ 59227 и има идентификационен номер 156597. Подадените от КЗК данни към настоящия момент не са актуализирани.
Съгласно Закона за защита на личните данни, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. "Специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
В конкретния случай, ако информацията за конкретна длъжност и възнаграждение, получено през 2011 г., би могла да доведе до индивидуализиране на конкретно физическо лице, то тя като такава попада в определението "лични данни" от категорията икономическа идентичност.
В параграф 1 от Допълнителните разпоредби на ЗЗЛД се съдържа законовото определение на понятието „обработване на лични данни”, а именно: „Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършат по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване”.
По втория въпрос от искането за становище:
В настоящият случай, запитването касае възможността за обработване на лични данни под формата на предоставяне и разпространяване.
Във връзка с обработването на лични данни, следва да се има предвид, че всеки администратор на лични данни е длъжен да обработва личните данни законосъобразно, при спазване разпоредбите на ЗЗЛД, като в чл.4, ал.1 от закона е определено само в кои случаи е допустимо обработване на личните данни на физическите лица.
Следва да се има предвид обаче че в чл.17, ал.4 от Закона за държавния служител е посочено, че разгласяването на сведения от служебното досие на държавния служител не се допуска без неговото изрично писмено съгласие. По аналогия същото правило би следвало да се прилага и по отношение на досиетата на лицата /работници и служители/, назначени по Кодекса на труда. Ако се приеме, че чрез предоставянето и разпространението на информацияза възнаграждения от трудови и служебнидосиета би се осъществило "разгласяване" на сведения отслужебното досие на служителите по смисъла на чл.17 от Закона за държавния служител, то тогава обработването на данни от служебните и трудови досиета следва да се осъществява само след изрично писмено съгласие на служителите.
Съгласно чл. 2, ал.2 от ЗЗЛД събраните лични данни следва да се обработват законосъобразно и добросъвестно, да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели, да бъдат съотносими, свързани и ненадхвърлящи целите, за които се обработват, т.е. да бъдат пропорционални, както и да се заличават и коригират в случай на непропорционалност по отношение на целите, за които се обработват. Във всички случаи правомерното обработване на лични данни е необходимо да се извършва в съответствие с принципите на законосъобразност, целесъобразност и пропорционалност на данните.
Редът за обработване на лични данни, включително за предоставянето им, е регламентиран с изчерпателното изброяване на законовите основания в чл. 4, ал.1, т.1 – т.7 от ЗЗЛД, при наличието на поне едно от които, е допустимо обработване на лични данни.
Преценката за наличие или липса на законово основание за разпространение на лични данни е в правомощието на съответния администратор на лични данни с оглед отговорността, която той носи за законосъобразното обработване на лични данни.
Във всеки един конкретен случай на обработване на лични данни е необходимо да се следи за баланса между значимостта на обществения интерес, който налага това обработване и степента, до която се засяга правото на неприкосновеност на личния живот на физическото лице, за което се отнасят данните. Следва да се има предвид и целта на Закона за защита на личните данни, която е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни.
В изложеният казус, ако информацията за конкретна длъжност и възнаграждение, получено през 2011 г, би могла да доведе до категоричното и несъмнено индивидуализиране на еднофизическо лице, то тя като такава попада в определението "лични данни" от категорията икономическа идентичност по смисъла на чл.2 от ЗЗЛД.
Обработването на лични данни, чрез предоставянето и разпространението им, е допустимо и законосъобразно само в случаите, когато е налице поне едно от визираните в чл. 4, ал.1, т.1 – т.7 от ЗЗЛД условия.
При обработване на личните данни, чрез предоставянето и разпространяването им следва да се спазва Наредба № 1 от 07 февруари 2007 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, издадена от КЗЛД на основание чл.23, ал.5 от ЗЗЛД. В чл.7 на Наредбата е разписано задължение на всеки администратор да осигурява при въвеждане, промяна или предаване на лични данни в регистрите съхраняване на информация за:
1. времето (дата и час) на въвеждане, промяна или предаване на личните данни;
2. лицата, извършващи въвеждането, промяната или предаването на личните данни;
3. лицата, предоставили личните данни;
4. личните данни, които са били въведени, променени или предадени в регистрите.
С оглед на гореизложеното и на основание чл. 10, ал.1, т. 4 от ЗЗЛД Комисията за защита на личните данни Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
Информацията за конкретна длъжност и възнаграждение, получено през 2011 г.в Комисия за защита на конкуренцията попада в определението "лични данни" от категорията икономическа идентичност, по смисъла на чл.2 от Закона за защита на личните данни, само ако чрез нея може по категоричен начин да се индивидуализира едно физическо лице.
Обработването на тази информация е допустимо и законосъобразно единствено в случаите, когато е налице поне едно от посочените в разпоредбата на чл. 4, ал. 1, т.1 – т.7 от ЗЗЛД условия. Възможно условие за допустимост на обработването, под формата на разпространяване и предоставяне на данните, е осъществяването на задача в обществен интерес /чл.4, ал.1,т.5 от ЗЗЛД/. При липса на някое от условията по чл. 4, ал. 1, т. 1 и т. 3 – 7 от ЗЗЛД единственото възможно основание за допустимост на обработването на данните е наличието на изрично съгласие на съответното физическо лице по смисъла на т.13 от параграф 1 на ДР на ЗЗЛД, което е условие за допустимо обработване на лични данни по чл.4, ал.1, т.2 от ЗЗЛД.
Преценката за наличие или липса на законово основание за разпространяване и предоставяне на лични данни, е предоставена изцяло на администратора на лични данни, разпространяващ и предоставящ данните.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
