Становище на КЗЛД относно приемливостта на изследователска работа по проект от етична гледна точка

ОТНОСНО: Искане за становище с вх. рег.№П-4989/04.08.2014г. от г-жа П.Т., в качеството й на управител на дружество с ограничена отговорност „П.” ООД, във връзка с приемливостта на изследователската работа по проекта описан в постъпилото искане от етична гледна точка.

Комисията за защита на личните данни (КЗЛД), в състав: Председател: Венцислав Караджов, и Членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на редовно заседание, проведено на 13 август 2014г.,разгледа искане с вх.№П–4989/ 04.08.2014г. от г-жа П.Т., в качеството й на управител на дружество с ограничена отговорност „П.” ООД, във връзка с приемливостта на изследователската работа по проекта описан в постъпилото искане от етична гледна точка. В постъпилото искане е посочено, че „П.” ООД е компания, която специализира в изследвания, консултации и разпространение на знание в областта на ИКТ и сигурността чрез публикации и в Интернет средата, като също е и издател на списанието Information and Security: An International Journal(ISSN 0861-5160, e-ISSN 1314-2119), серията от списания datajournals.eu,книги, брошури и монографии в посочените области. „П.” ООД е и един от членовете на партньорски консорциум по проект, финансиран от Европейската комисия чрез Седма рамкова програма, Работна програма 2013, Тема SEC-2013.6.3-2: Еволюиращата концепция за сигурност, по силата на договор за финансиране с номер 605142. Посочено е, че проектът, със заглавие „The evolving concept of security: A critical evaluation across four dimensions", във връзка с който е и постъпилото искане за становище, ще бъде фокусиран върху анализа на различните концепции за сигурността в европейски мащаб, вкл. минали, сегашни и вероятни бъдещи концепции за сигурност, като целта на проекта е да подобри работата на вземащите решения в сектора за сигурност. Проектът ще разглежда еволюцията на концепциите за сигурност в четири региона: Западно-средиземноморски регион на Европейския съюз (ЕС); Източна граница на ЕС; Северозападен регион на ЕС; Югоизточна Европа. Във всеки един от тези региони, екипът от изследователи по проекта ще бъде натоварен със задачата да изготви доклад, тип case study. В искането е уточнено, че това означава, че съществуващи вече изследвания за съответните региони ще бъдат анализирани и сравнени. На основата на това ще бъдат изготвени и препоръки за политики, които ще бъдат предоставени на заинтересовани институции.

Посочено е, че дружество с ограничена отговорност „П.” ООД е определен за организатор на събитие, тип семинар, което събитие ще подпомогне изготвянето доклада за региона на Югоизточна Европа. На събитието ще бъдат поканени представители на държавни институции, научните среди, НПО и други заинтересовани от темата на проекта от страните от региона. По време на събитието ще бъдат представен напредъка по отношение на изготвянето на доклада, като ще бъдат изслушани и позициите на участниците. По време на събитието ще бъдат водени записки, като в искането изрично е посочено, че не се планира да бъде осъществяван аудио или видео запис на сесиите на семинара, като резултатите от семинара ще бъдат обобщени в доклад и публикувани. Изрично е посочено, че както семинарът така също и свързаните с него изследователски дейности се предвижда да бъдат провеждани в съответствие с най-високите европейски етични стандарти, както и разпоредбите, касаещи основните права на човека, като в тази връзка ще бъдат приети и прилагани различни мерки, за да се гарантират тези права.

В приложените към искането документи, се съдържа детайлна информация относно предвидените от дружеството за реализация мерки, както и примери за добри практики. Към искането е приложен и примерен формуляр за информирано съгласие, който ще се попълва от участниците в събитието, за да могат техните мнения да бъдат отразени в доклада, като формулярът ще се изпраща до потенциалните участници в събитието заедно с поканата за семинара.

Във връзка с така изложената фактическа обстановка е и постъпилото искане за становище до КЗЛД относно приемливостта на изследователската работа по проекта от етична гледна точка.

„П.” ООД е дружество с ограничена отговорност, с ЕИК *****, седалище и адрес на управление: гр. София, ***** и с предмет на дейност: консултации в областта на проектирането, изграждането и развитието на информационни комуникационни системи за управление, проектиране, разработване, системна интеграция, доставка, внедряване и поддържане на информационни комуникационни системи, системи за управление, обучаващи системи, тренажори и други, разработка на анализи, оценки, прогнози и комплексни проекти в областта на националната сигурност, технологичното развитие, екология и други, проектиране, производство и търговия със средства и системи за нуждите на отбраната и националната сигурност, организиране и провеждане курсове, семинари, конференции и изложби в страната и чужбина, преводи, редактиране, предпечатна подготовка и издателска дейност, информационно-рекламна дейност, търговско представителство, посредничество и агентство на местни и чужди лица в страната и чужбина, вътрешен и международен туризъм,всички други търговски дейности, незабранени със закон.

Дружество с ограничена отговорност „П.” ООД е и администратор на лични данни по смисъла на чл.3 от ЗЗЛД, и като такъв е подал заявление за вписване в регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, с вх.№23432/20.10.2003г., като е заявил поддържането на пет броя регистри, а именно: регистър за инструктирани работници и служители; регистър на облигационните договори- граждански, за наем и др.; регистър на подадените уведомления за сключване, изменение или прекратяване на трудови договори; регистър на трудовите договори; регистър- контрагенти- физически лица. След извършена служебна справка в отдел „Регистър и архив”, относно регистрацията на дружеството при КЗЛД, се установи, че същото не е актуализирало подадената към Комисията информация и съответно фигурира в списъка: „Списък на администраторите на лични данни, подлежащи на актуализация”. Същото се налага с оглед обстоятелството, че извършената от дружеството регистрация е направена през 2003г. В следствие на изменения на Закона за защита на личните данни през 2009г. бяха извършени промени относно изискванията за регистрация на администратори на лични данни, поради което част от данните бяха променени или липсваха при подаване чрез старите образци за регистрация. Поради това администраторите на лични данни бяха задължени до 15 февруари 2010г. да проверят данните от първоначалната си регистрация и да извършат съответно актуализация.

От приложените документи и получена допълнително информация става ясно, че във връзка с осъществяване на изследователската дейност лични данни няма да бъдат обработвани от страна на дружеството. Такива данни ще бъдат обработвани за целта на организиране на семинара и изготвяне на съответния доклад за резултатите от него. Участието в Семинара ще бъде напълно доброволно. Личните данни, които ще бъдат обработвани във връзка със семинара ще бъдат: име и фамилия, адрес, електронен адрес и телефон за контакт. На индивидуалните участници ще им бъде предоставена възможност да се съгласяват да участват в събитието въз основа на покана, издадена от „П.” ООД, най-малко две седмици преди насрочената дата за провеждане, като поканата няма да бъде насочена лично към конкретни физически лица, а към съответните заинтересовани институции, които ще излъчат свои участници. Поканата ще се състои от информация за проекта EvoCS, както и за обхвата и целите на семинара. Индивидуалните участници ще получат също така формуляр за информирано съгласие, който да се прочете, разбере и подпише. Образец на информираното съгласие е приложен към постъпилото искане. Във формуляра за информирано съгласие на участниците във семинара е предоставена подробна информация относно: доброволния характер на участието; възможността да задават въпроси и да получават разбираеми отговори преди вземането на решение за участие; информираност относно степента на риска при участие; правото им да оттеглят своето участие в проекта и свързаните с него лични данни по всяко време; информация относно това как ще бъдат събирани, защитавани и споделяни техните данни по време на проекта и как ще бъдат унищожени в края му; информация относно това как да предявят правото си на достъп до, промяна и изтриване на личните им данни.

Съгласно чл.2, ал.1 от Закона за защита на личните данни, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, т.е. данните, които е посочено, че ще се обработват, във връзка с организирането и провеждането на семинара, влизат в категорията „лични данни” по смисъла на закона.

В параграф1, т.1 от „Допълнителните разпоредби” на Закона за защита на личните данни се съдържа легалната дефиниция на „Обработване на лични данни”, а именно: „обработване на лични данни” е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване. В настоящият казус, съобразно предоставената информация, става видно, че личните данни на участниците в семинара ще бъдат обработвани от администратора на лични данни „П.” ООД чрез извършване на действия под формата на тяхното събиране, записване, организиране, съхраняване, употреба, заличаване– в случай на оттеглено заявление за участие и унищожаване– когато целите на проекта са постигнати и необходимостта от тяхното обработване отпадне.

За да е налице обаче добросъвестно и законосъобразно обработване на лични данни, същото следва да се осъществява само и единствено при наличие на поне едно от изрично посочените и дадени алтернативно условия за допустимост на обработването, визирани в чл.4, ал.1 от ЗЗЛД и при стриктно спазване на принципите за целесъобразност и пропорционалност на данните, съгласно чл.2, ал.2 от същия закон.

След анализ на текста на приложеният към преписката „Формуляр за информирано съгласие”, който ще бъде подписван от всеки един от желаещите да участват доброволно в него физически лица, то може да се приеме, че в конкретната хипотеза на обработване на лични данни ще бъде на лице условието за допустимост на обработването им, визирано в чл.4, ал.1, т.2, а именно: Физическото лице, за което се отнасят данните, е дало изрично своето съгласие. Съгласие на физическото лице, съгласно т.13 от параграф 1 на „Допълнителните разпоредби” на ЗЗЛД е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.

В чл.2, ал.2 от ЗЗЛД са определени принципите, при спазването на които следва да се обработват лични данни или личните данни следва:

1. се обработват законосъобразно и добросъвестно;

2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;

3. бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

4. бъдат точни и при необходимост да се актуализират;

5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

Правото на защитата на физическите лица от злоупотреби с личната им информация и неправомерна намеса в техния личен живот се гарантира от горепосочените принципи, които са в основата на действащото законодателство, регулиращо обществените отношения в сферата на защитата на личните данни. За да е налице добросъвестно обработване, администраторът на лични данни– „П.” ООД следва предварително да е уведомил точно и правилно физическото лице за целите на обработката, като не използва данните за цели, различни от обявените. Може да се приеме, че този принцип е спазен, с оглед предоставената на лицата– участници в семинара подробна информация, както в поканата, а така също и във „Формуляра за информирано съгласие”.

Обработването трябва да е законосъобразно, т.е. администраторът на лични данни трябва да съблюдава всички разпоредби на законите и подзаконовите актове, свързани със защитата на личните данни и да действа в рамките на притежаваните, съгласно тях, правомощия. Относно спазването на принципите за пропорционалност и целесъобразност на обработваните данни, то видът и обемът лични данни, а именно: име, фамилия, адрес, електронен адрес и телефон са данни в обем и вид, които съответстват на целите, за които са необходими на администратора на лични данни– „П.” ООД и не надвишават тези цели.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД, Комисията за защита на лични данни изрази следното

1. В конкретния казус за обработване на посочените данни е налице, визираното в чл.4, ал.1, т.2 от ЗЗЛД, условие за допустимост на обработването, т.е. обработването ще бъде допустимо само при наличие на свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани от администратора на лични данни– „П.” ООД за изрично посочените във формуляра за информирано съгласие цели.

2. Администраторът на лични данни– „П.” ООД следва да актуализира заявените от него данни в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД.