Относно: проект на Етичен кодекс за установяване на правила и стандарти за професионална етика и поведение на практикуващите в областта на директния маркетинг, предоставен от Българска асоциация за директен маркетинг, вх. № 1832/10.12.2008 г.
Комисията за защита на личните данни в състав: председател: Венета Шопова, и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 04.02.2009 г. (протокол № 4) разгледа искане за становище с вх. № 1832/10.12.2008 г., подадено от Българска асоциация за директен маркетинг.
Проектът на Етичен кодекс е за установяване на правила и стандарти за професионална етика и поведение на практикуващите в областта на директния маркетинг (етичен кодекс).
Етичният кодекс е предоставен за съгласуване от Комисията за защита на личните данни в съответствие с предвидената от законодателя възможност по чл. 22а, ал. 2 от Закона за защита на личните данни.
Етичният кодекс установява правила и стандарти за професионална етика на практикуващите в областта на директния маркетинг, като се предвижда те да са задължителни за всички членове на Българската асоциация за директен маркетинг. В съдържанието на етичния кодекс намират отражение правила, както за обработването на лични данни при осъществяване на дейността на членовете на БАДМ, така и норми, касаещи защитата правата на физическите лица, в качеството им на потребителите на стоки и услуги, и правила досежно отношенията между членовете на БАДМ в контекста на предотвратяване осъществяването на нелоялна конкуренция.
В съответствие с правомощията на Комисията за защита на личните данни като независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Закона за защита на личните данни, считам, че съгласуването на етичния кодекс ще се отнася до заложените в него правила от гледна точка на обработването на лични данни.
1. Като цяло заложените в етичния кодекс дефиниции на администратор на лични данни, директен маркетинг, обработване на лични данни, предоставяне на лични данни, чувствителни лични данни и регистър на лични данни съответстват на дадените в Закона за защита на личните данни.
Впечатление прави обстоятелството, че при дефиниране на понятието “лични данни” е заимствана редакцията на чл. 2, ал. 1 от Закона за защита на личните данни, без да се прави пояснение на израза “специфични признаци”. С цел установяване на яснота за обхвата на понятието “лични данни” считам за удачно в Раздел ІІ, чл. 5, т. 7 от етичния кодекс да се разшири редакцията на дадената дефиниция с пояснение на специфичните признаци, чрез които може пряко или косвено да се идентифицира физическо лице. В § 1, т. 16 от Допълнителните разпоредби на ЗЗЛД като специфични признаци са определени признаците, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето. Без да се разширява обхвата на директния маркетинг, от гледна точка на спецификата на стоките или услугите, които биха могли да бъдат предмет на него, комисията приема, че предлагането, съответно с приемането на определени стоки и услуги ще се разкриват за администратора лични данни, представляващи специфични признаци.
В Раздел ІІ, чл. 5, т. 9 от етичния кодекс е изведена дефиниция на “обработващ лични данни”, като от понятието изрично са изключени служителите на администратора на лични данни. Съгласно чл. 3, ал. 3 във връзка с чл. 24, ал. 4 от ЗЗЛД, качеството обработващ лични данни може да има лице, на което му е възложено обработването на лични данни от администратор на лични данни. Възлагането може да се осъществи, както от нормативен акт и писмен договор, така и от нарочен акт на администратора на лични данни. В обхвата на начините на възлагане обработването на лични данни попада трудовия договор, длъжностната характеристика за съответна длъжност и заповедта или друг акт, чрез който се възлагат действия по обработване на лични данни от името на администратора на лични данни, т. е. обработващ лични данни по смисъла на закона може да бъде и физическо лице от щатния състав на администратора на лични данни. Що се касае за правила, с които се цели уреждане взаимоотношенията между членовете на БАДМ, както и предвид обстоятелството, че с етичния кодекс не може да се стеснява приложното поле на закона, комисията приема, че за целите на етичния кодекс е допустимо да се ограничи понятието “обработващ лични данни” в смисъла, даден в т. 9.
2. В редакцията на чл. 7, ал. 1 от етичния кодекс е направен опит да се изведат основанията за допустимост за обработване на лични данни за целите на директния маркетинг. В текста е реципирана нормата на чл. 4, ал. 1, т. 2 и т. 7 от ЗЗЛД. В чл. 7, ал. 3 от етичния кодекс се предвижда ограничение за обработване на чувствителни лични данни. Изключение от изключението прави наличието на съгласие на физическото лице – чл. 5, ал. 2, т. 2 от ЗЗЛД. В чл. 7, ал. 5 от етичния кодекс се предвижда ограничение за обработване на чувствителни лични данни, когато това обработване противоречи на изисквания, предвидени в специален закон или ако обработването не е свързано, не е съотносимо с, или надхвърля целите, за които се извършва. От текста може да се направи извод, че дори да е налице изрично съгласие на физическото лице за обработване на негови чувствителни данни, то тези данни не следва да се обработват, ако това е забранено със специален закон, както и не следва да се обработват, ако обработването не е свързано, не е съотносимо или надхвърля целите, за които се извършва. В конкретния случай се прави опит неправилно да се стесни забраната по чл. 5, ал. 1 от ЗЗЛД. Съгласно нормата на чл. 5, ал. 1 от ЗЗЛД забранено е обработването на лични данни, които:
а) разкриват расов или етнически произход;
б) разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
в) се отнасят до здравето, сексуалния живот или до човешкия геном.
Посочените по-горе лични данни са от категорията “чувствителни лични данни”.
Законодателят, с чл. 5, ал. 2 от ЗЗЛД допуска изключение от общото правило за забрана за обработване на чувствителни лични данни а именно, когато:
а) обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
б). физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
в) обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
г) обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:
Øобработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
Øданните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
д) обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
е) обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
ж) обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.
Безспорно е, че по отношение обработването на чувствителни лични данни за целите на директния маркетинг не могат да намерят приложение изключенията по букви “а”, “в”, “г”, “д”, “е” и буква “ж”.
В конкретния случай, единственото изключение, което може да намери приложение е това по чл. 5, ал. 2, т. 2 от ЗЗЛД – физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им. В редакцията на чл. 5, ал. 2, т. 2 от ЗЗЛД се предвижда изключение на изключението – ако в специален закон е предвидено друго. Граматическото тълкуване на чл. 5, ал. 2, т. 2 от ЗЗЛД във връзка с ал. 1 от същата норма налага извода, че дори да е налице изрично съгласие на физическото лице, чувствителни лични данни не могат да се обработват, когато това е забранено със специален закон. След като е налице изключение за обработване на чувствителни лични данни, тогава може да се позоваваме на принципите за обработване на лични данни. Т.е първо обработването следва да е допустимо и след това обработването следва да се подчинява на принципите по чл. 2, ал. 2 от ЗЗЛД. В тази връзка комисията приема, че допълнението към редакцията на чл. 7, ал. 5 от етичния кодекс – “или ако обработването не е свързано, не е съотносимо и или надхвърля целите, за които се извършва” противоречи на смисъла и целите на Закона за защита на личните данни.
В контекста на разглежданата редакция следва да се отбележи, че чувствителни лични данни не могат да бъдат обработвани преди санкция (разрешение) на Комисията за защита на личните данни – чл. 17б от ЗЗЛД.
3. В редакцията на чл. 8, ал. 3 от етичния кодекс се предвижда член на БАДМ – администратор на лични данни да може да обработва лични данни за цел, различна от целта, за която са събрани първоначално, само ако новата цел е съвместима с и съответства на целите, обявени първоначално пред субектите на данните. Когато новата цел е несъвместима с, или не съответства на първоначалното обявени цели, допълнително обработване на лични данни се допуска само, ако е в съответствие с приложимото законодателство за защита на личните данни.
Съгласно чл. 2, ал. 2, т. 2 от ЗЗЛД личните данни следва да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели. В етичния кодекс се предвижда възможността за промяна на първоначалната цел. При наличие на тази хипотеза ще е налице нарушение на нормата на чл. 2, ал. 2, т. 2 от ЗЗЛД доколкото законодателят си служи с израза “събират”. Т.е. от самото начало на обработване на личните данни следва да е ясна целта, за която се обработват – конкретна, точно определена и законна цел. Промяната в целта, за която са събрани съответните лични данни може да доведе до нарушаване принципа на пропорционалност на обработване на личните данни. Нарушението на чл. 2, ал. 2 от ЗЗЛД е скрепено със санкцията по чл. 42 от ЗЗЛД. Доколкото към настоящия момент не са известни конкретни хипотези, които има за цел да уреди чл. 8, ал. 3 от етичния кодекс, Комисията за защита на личните данни като орган, който има задача да осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни, в кръга на своите правомощия, има възможността да установява и санкционира неправомерното поведение на администраторите на лични данни.
4. В чл. 12, ал. 4 от етичния кодекс се предвижда информацията за идентификацията на члена на БАДМ – администратор на лични данни, целите на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити съответните лични данни, задължителния или доброволния характер на предоставяне на личните данни и информацията относно правото на достъп до лични данни да бъде предоставяна в писмена форма – на хартиен носител, чрез изпращане на електронно съобщение, чрез публикуването й в съответните интернет страници, които са под контрола на съответния член на БАДМ, както и чрез публикуването на Общи условия за ползването на уеб сайт или уеб услуга, по начин, който позволява тяхното възпроизвеждане и съхраняване, ако същите уреждат обработването на съответните лични данни, или по друг подходящ начин.
Съгласно чл. 26, ал. 1 от ЗЗЛД всяко физическо лице има право на достъп до отнасящи се за него лични данни. Този достъп касае негови лични данни и когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него. При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
а) потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
б) съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
в) информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б от ЗЗЛД.
Въпреки че в чл. 14 от етичния кодекс се уреждат правата на физическите лица по отношение достъпа до информация, касаеща обработването на личните им данни, с оглед способите за предоставяне на тази информация, уредени в чл. 13 от етичния кодекс, комисията приема за нужно да се създадат гаранции, че методите на предоставяне на съответната информация няма да противоречат на закона.
Във връзка с изложеното по-горе и на основание чл. 10, ал. 1, т. 1 и т.4 и чл. 22а, ал. 2 от ЗЗЛД Комисията за защита на личните данни, на редовно заседание, проведено на 04.02.2009 г. (протокол № 4) прие решение, с което:
Съгласува проекта на Етичен кодекс за установяване на правила и стандарти за професионална етика и поведение на практикуващите в областта на директния маркетинг, предоставен от Българска асоциация за директен маркетинг, вх. № 1832/10.12.2008 г., със следните препоръки:
1. В Раздел ІІ, чл. 5, т. 7 от етичния кодекс да се разшири редакцията на дадената дефиниция с пояснение на специфичните признаци, чрез които може да пряко или косвено да се идентифицира физическо лице.
2. Преди обработване на чувствителни лични данни по смисъла на чл. 5, ал. 1 от ЗЗЛД в съответствие с чл. 17б от ЗЗЛД, съответният администратор на лични данни следва да е получил разрешението на комисията за конкретното обработване.
3. В чл. 7, ал. 5 от етичния кодекс израза “или ако обработването не е свързано, не е съотносимо и или надхвърля целите, за които се извършва” да бъде заличен.
4. В редакцията на чл. 14 от етичния кодекс да бъде предвидено, че всяко физическо лице има право на информация за обработването на личните му данни в предпочитаната от него форма – чл. 30, ал. 1, т. 3 във връзка с чл. 31 от ЗЗЛД.
| ПРЕДСЕДАТЕЛ: | |
|
Венета Шопова /п/ |
|
