СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
с рег. № П-10449/2015 г.
гр. София, 08.02.206 г.
ОТНОСНО: Последици при оттегляне на съгласие за обработване на лични данни.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 27.01.2016г., разгледа преписка с вх.№П-10449/10.12.2015г. от „Н.Ф.С.И.“ Търговско представителство („Н.“), вписано в Търговския регистър при БТПП под №*** от 29.05.1992г., БУЛСТАТ ****, представлявано от г-н Х.Т.– Генерален мениджър и г-жа И.П.– Ръководител Финанси и Администрация.
С писмото си представителите на управляващия екип на търговското представителство молят на основание чл.10, ал.1 от Закона за защита на личните данни и във връзка с чл.54, т.2 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация и на нейната администрация, да им бъде предоставено становището на КЗЛД относно последиците при оттегляне на съгласие за обработване на лични данни от физическо лице, във връзка с приложението на Кодекса за оповестяване на предоставяне на стойност от фармацевтични дружества към медицински специалисти („Кодекса“).
Тъй като КЗЛД вече е изразявала такова становище (Становище с peг. индекс и дата П-395/15.01.15, свързано с Кодекса), с настоящото от „Н.“ се обръщат към КЗЛД да им представи гледната си точка по въпрос, който, според тях, остава без отговор в посоченото становище.
1. В т.3 от решението си по посоченото становище, КЗЛД заявява, че „Оттеглянето на съгласието за обработване на лични данни във връзка с тяхното публично оповестяване .. се упражнява за бъдещ период, а не за обработване на лични данни на законосъобразни основания, извършени в миналото.“
Въз основа на цитирания текст, в писмото се поставя въпрос за допълнително уточнение, а именно: може ли да се счита, че имат право да оповестяват в интернет данни на лице, оттеглило съгласието си, във връзка с финансови средства, които то е получило за участието си в събития за минал период, когато въпросното лице е било съгласно неговите лични данни да се събират и обработват?
Възниква въпросът, има ли право администраторът на лични данни да запази информацията за конкретно физическо лице в интернет сайта, след като то вече е оттеглило своето съгласие, въпреки че оповестяването на личните данни заедно с получените финансови средства вече е настъпило? В тази ситуация следва да се има предвид, че в момента, когато лицето е получило финансовите средства, то е било съгласно публично да бъдат оповестени както личните му данни, така и получената сума.
2. Вторият въпрос, който се поставя на вниманието на Комисията е относно приложения проект на споразумение с медицински специалист, с когото не е подписан друг договор, но той е бил поканен да вземе участие в събитие и „Н.“ е направил разход, който също трябва да се оповести съгласно разпоредбите на Кодекса (Кодексът е приложен към искането на „Н.“). Представляващите „Н.“ молят КЗЛД за становище дали подписването на такова споразумение е достатъчно, за да може Н. да оповести личните данни на лицето и съответния разход, както и да запази тази информация оповестена в интернет дори и след оттегляне на съгласието за обработка на лични данни от страна на лицето?
От „Н.“ заявяват готовност да останат на разположение за всякакви въпроси, чиито отговори биха помогнали за изясняване на фактическата обстановка, преди изразяването на становището.
Правен анализ:
1. Във връзка с първия въпрос:
Становището с рег.индекс №П-395/15.01.2015г., изразено от КЗЛД във връзка със същия Кодекс (Кодекс за оповестяване на предоставяне на стойност от фармацевтичните дружества към медицински специалисти и здравни организации, приет ноември 2013, в сила от 1 януари 2014г.), подробно изяснява характерните особености на понятието „съгласие на физическото лице“ във връзка с обработването на неговите лични данни. Мотивите и изводите, разписани в него са валидни и по повод поставените в настоящото искане въпроси. Следва да се подчертае, че в диспозитива на цитираното становище е разписано, че оттеглянето на съгласие, като акт на субекта на данни, има действие занапред по отношение на администратора, обработващ данните. Администраторът на лични данни следва да предприеме допълнителни мерки, които да улеснят определянето на точния момент, от който евентуалното оттегляне на съгласието би породило действие и правото на лицето би могло да бъде упражнено ефективно.
За правилното разбиране на механизма, по който се обработват личните данни в конкретния случай, трябва да бъде изяснено положението на всеки от участниците в процеса, както и възникващите между тях правоотношения.
Всеки член на Асоциацията на научноизследователските фармацевтични производители в България по отношение на своите съконтрагенти е администратор на лични данни. Търговското представителство „Н.Ф.С.И.“ е в това положение– от една страна е член на Асоциацията, а от друга се явява администратор на лични данни по отношение на лицата, с които сключва договори и в конкретно разглеждания случай– на които предоставя стойност, по смисъла на приетия от Асоциацията Кодекс.
Когато, в резултат на търговски взаимоотношения, „Н.Ф.С.И.“ обработва данни на свои съконтрагенти, задълженията му на администратор на лични данни изискват да предостави определен от Закона за защита на личните данни (ЗЗЛД) обем информация за конкретното обработване на засегнатите субекти на данни. Съгласно чл.19, ал.1 от ЗЗЛД, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя следната информация относно:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. информация за правото на достъп и правото на коригиране на събраните данни.
Така посочените законови изисквания налагат индивидуалните договори, които всеки от членовете на Асоциацията сключва със своите клиенти/съконтрагенти/лица, на които се предоставя стойност, да посочват задължението за оповестяване на получената стойност, произтичащо от Кодекса. Включването на подобна клауза в индивидуалните договори, както и информация за последиците от неизпълнение на поетото задължение ще внесат прозрачност в договорните отношения на отделните фармацевтични компании с техните клиенти, когато в резултат на това техни данни ще бъдат оповестени на сайта на Асоциацията.
Важно уточнение е, че по отношение на отделните лица, получили стойност, Асоциацията се явява трето лице, на което по силата на Кодекса отделните нейни членове следва да предоставят необходимата за оповестяване информация. Може да се смята, че Кодексът е основание за предоставянето на тази информация от страна на фармацевтичните дружества на Асоциацията, но наред с това следва да се изпълнява и задължението по чл.19 от ЗЗЛД.
От друга страна, Асоциацията на собствено основание обработва предоставените ѝ лични данни чрез публикуване в интернет, при посочените в Кодекса цели. Това обработване трябва обаче, да се извършва при спазване основните принципи за обработване на личните данни, посочени в чл.2, ал.2 от ЗЗЛД. С оглед разглеждания казус, акцент следва да се постави върху това, че данните се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват. Този принцип изисква още при извършване на оценката на въздействие от обработването на личните данни в рамките на даден регистър (изискване, произтичащо от Наредба№1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни), да се определи конкретен срок на обработването. В този смисъл на субектите на данни, чиито данни се обработват следва да се предостави информация за какъв срок техните лични данни ще бъдат обработвани– в конкретния случай следва да се посочи срокът, за който данните ще са налични в интернет сайта.
След така направения анализ би следвало, при изразяване на съгласие от страна на конкретно физическо лице за обработване на негови лични данни, то да е информирано за срока на обработване. По този начин, за конкретното публикуване, субекта на данните ще е наясно, че съгласието се обвързва с обявения срок, в който данните ще са общодостъпни на сайта на Асоциацията. Евентуално оттегляне на съгласието ще бъде валидно за следващ период на публикуване, който отново следва изрично да бъде упоменат– т.е. оттеглянето на съгласието ще важи за следващото оповестяване на данни.
Когато съгласието за обработване на лични данни и неговото оттегляне са уредени като клауза от търговския договор, същият трябва да урежда и последиците от изразяването им.
2. По отношение на приложеното за одобрение Споразумение за оповестяване на данни.
Направеният по-горе анализ може да намери приложение и по отношение съдържанието на приложеното за съгласуване Споразумение за оповестяване на данни. Необходимо е лицето, подписало споразумението да разполага с информация за срока, в който конкретните данни ще са налични на сайта, както и че съгласието му за такова обработване на данните (чрез публикуване) се обвързва с този срок.
Предложената клауза по т.6 от проекта на Споразумение на „Н.Ф.С.И.“ засяга извършваните от търговското представителство трансфери на лични данни. Доколко разглежданите данни могат да бъдат предмет на трансфер трябва да бъде изяснено в хода на производство по разрешаване на трансфер. Само наличието на споразумение, сключено с получателя на стойност, не може да бъде валидно основание за неговото извършване.
Във връзка с поставените въпроси, по отношение на Асоциацията на научноизследователските фармацевтични производители в България и „Н.Ф.С.И.“ Търговско представителство, беше извършена служебна проверка в електронния регистър на администраторите на лични данни и водените от тях регистри (еРАЛД), който се поддържа от КЗЛД. Резултатът от проверката показва, че Асоциацията на научноизследователските фармацевтични производители в България трябва да актуализира данните в регистъра по начин, който да съответства на Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, както и във връзка с целите на Кодекса за оповестяване на предоставяне на стойност от фармацевтичните дружества към медицински специалисти и здравни организации, приет ноември 2013, в сила от 1 януари 2014г.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на личните данни изрази следното
СТАНОВИЩЕ:
Мотивите и изводите, разписани в Становище с рег.индекс №П-395/15.01.2015г. са валидни и по повод поставените в настоящото искане въпроси.
Съдържанието на предложеното Споразумение за оповестяване на данни следва да включва клаузи, уреждащи изразяването на съгласие и съответното му оттегляне по отношение на подлежащите на оповестяване данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цветелин Софрониев /п/ |
