ОТНОСНО: Молба за правно становище с вх. № е-в-944/23.09.2009г. от ”А.Б.” ЕАД, подадено чрез Я.В. – пълномощник на управителя на дружеството – М.К., гражданин на Република Полша.
Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 13.01.2010 год. (Протокол № 1), разгледа искане за становище с вх. № е-в-944/23.09.2009г. от ”А.Б.” ЕАД, подадено чрез Я.В. – пълномощник на управителя на дружеството – М.К., гражданин на Република Полша, относно възможността за обработване на лични данни чрез получаване на копия от документи за самоличност, предоставени доброволно от физическите лица – потребители.
Фактическа обстановка:
В Комисията за защита на личните данни (КЗЛД) е получена молба за правно становище с вх. № е-в-944/23.09.2009г., от ”А.Б.” ЕООД, действащо чрез Я.В. – пълномощник на управителя на дружеството. Искането за становище е относно възможността дружеството да получава копия от документи за самоличност, предоставени доброволно от потребителите, за нуждите на осъществяваната от дружеството дейност – интернет аукциони.
В искането се твърди, че при предоставяне на лични данни чрез снемане на копие от лична карта, клиентите получават по-бърза алтернатива за потвърждаване на доброволно предоставените на дружеството лични данни (имена и адрес), почиващо
Посочено е, че предоставянето на документите ще бъде доброволно с информация единствено по отношение на „Име” и „Адрес”, каквито данни дружеството събира и съхранява и в момента, съобразно регистрацията, като администратор на лични данни.
Правен анализ:
”А.Б.” ЕООД е еднолично дружество с ограничена отговорност, със седалище и адрес на управление: гр. С., ЕИК 175345805 и с предмет на дейност: посредничество в областта на търговията и услугите, търговия на дребно, издаване на софтуер, консултиране в областта на хардуера и софтуера, обработка и поддържане на бази данни, администриране на електронни мрежи, рекламни и маркетинг дейности, както и всякакви други търговски сделки и дейности, които не са забранени от закона /след получаване на необходимите лицензи или разрешения, когато такива се изискват от закона/.
”А.Б.” ЕООД е администратор на лични данни и има издадено удостоверение № 53874 от 2009г. за вписване в регистъра на администраторите на лични данни и на водените от тях регистри при КЗЛД. Администраторът е заявил обработването на два регистъра, съответно: „Персонал” и „Клиенти”.
В заявлението е посочено, че личните данни се получават от физическите лица, за които се отнасят, от публични регистри и от интернет. В секцията относно наличие на съгласие на физическото лице за обработване на личните му данни е посочено, че такова съгласие се изисква.
От изложеното в искането става видно, че администраторът ”А.Б.” ЕООД не разширява обема от лични данни, които иска да му бъдат предоставени от физическите лица – клиенти на дружеството, а желае да промени начина на тяхното предоставяне – чрез снемане на копие от лична карта с възможност лицето/потребител/клиент/ да заличи всички останали данни, без име и адрес. При извършената регистрация дружеството е посочило в регистър “Клиенти”, раздел VІ “Категории лични данни, отнасящи се до физическите лица”, т. 1 “Физическа идентичност”, че ще обработва следните данни касаещи физическите лица – клиенти: име, ЕГН, адрес, паспортни данни, месторождение, телефон, паспортни данни, като в графа “други” е посочено и копие от лична карта.
Обработване на лични данни е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
Текстът на чл. 4, ал. 1 от ЗЗЛД изрично урежда хипотезите, при наличието на които се допуска обработването на лични данни. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
В конкретния казус е приложима хипотезата на чл. 4, ал. 1, т. 3, т.е. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.
В чл. 2, ал. 2 от ЗЗЛД са определени принципите, при спазването на които следва да се обработват лични данни. Личните данни следва:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;
3. (изм. – ДВ, бр. 91 от 2006 г.) бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.
Правото на защитата на физическите лица от злоупотреби с личната им информация и неправомерна намеса в техния личен живот се гарантира от горепосочените принципи, които са в основата на действащото законодателство, регулиращо обществените отношения в сферата на защитата на личните данни. Поставеният в искането за становище въпрос засяга принципа за пропорционалност на обработването на лични данни. Този принцип изисква от администратора на лични данни да обработва само минимално необходимото количество информация за всяко физическо лице, нужно за целите на обработването, като допълнителни данни за лицето могат да се записват, само когато събраната вече информация е недостатъчна за постигането на обявените цели. В противен случай допълнителната информация ще бъде “прекомерна” за нуждите на обработването и поради това не трябва да бъде съхранявана.
Преценката и отговорността относно съразмерността на обема на обработваните лични данни съобразно целите, за които същите се обработват, както и относно начина, по който ще бъдат събирани и съхранявани, е изцяло в задължение и отговорност на администратора, обработващ данните.
С оглед на гореизложеното и на основание чл. 10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
Законосъобразното обработване на лични данни от страна на администратора на лични данни се осъществява при наличие на условие за допустимост, съобразно разпоредбата на чл. 4, ал. 1 от ЗЗЛД и при спазване на принципите, съгласно чл. 2, ал. 2 от ЗЗЛД.
Преценката относно пропорционалността на обема на обработваните лични данни съобразно целите, за които същите се обработват, както и относно начина, по който ще бъдат събирани и съхранявани, е изцяло в задължение и отговорност на администратора, обработващ данните. В конкретния случай предоставянето на копие от лична карта за нуждите на верификация на данните при провеждане на интернет-аукциони може да се извърши при изрично съгласие на физическото лице, за което се отнасят данните. Следва да се има предвид, че след като да нуждите на верификацията е нужна информация единствено по отношение на името и адреса на клиента, всички останали данни, в т.ч. и снимката на лицето, съдържащи се в копието от личната карта, трябва да бъдат предварително изтрити от самото лице, притежател на документа за самоличност.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
