СТАНОВИЩЕ
НА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №ПНМД-01-36 / 2020г.
гр. София, 16.04.2020г.
ОТНОСНО: Промяна в методите на събиране на данни от домакинствата и лицата и използването на актуални комуникационни данни
Комисията за защита на личните данни (КЗЛД) в състав- председател Венцислав Караджов и членове- Цанко Цолов и Веселин Целков, на заседание, проведено по реда на чл.12 от Правилника за дейността на КЗЛД и на нейната администрация, разгледа писмо с вх.№ПНМД-01-36#1/07.04.2020г. и последващо такова с вх. №ПНМД-01-36#2/10.04.2020г. от председателя на Националния статистически институт (НСИ), с което се обръща към Комисията с искане за изразяване на становище относно възможността НСИ да използва данните от доставчиците на телекомуникационни услуги чрез безжична технология и наземни връзки за целите на провеждане на статистически проучвания.
Искането е по повод на предприетите извънредни мерки (явно визирани са мерките, приложени със Закона за мерките и действията по време на извънредното положение, обявено с Решение на Народното събрание от 13март 2020г.), които в изключителна степен затрудняват дейността на НСИ по събирането и обработката на данни за редица статистически изследвания. Обръща се внимание, че тези мерки до голяма степен правят невъзможно осигуряването на точна и навременна информация за състоянието и тенденциите в икономиката, социалната сфера, демографията и околната среда. Подчертава се, че съгласно европейската статистическа правна рамка НСИ провежда редица изследвания в домакинствата, като спецификата им изисква посещение и директен контакт на анкетьорите с членовете на домакинствата, резултатите от тях са в основата на много други статистически изследвания, а към момента посещенията в домакинствата са преустановени. Председателят на НСИизвежда извода, че единственият начин да продължи събирането на данни от домакинства и лица без физически контакт с тях са алтернативни методи за събиране на данни (телефонно интервю, електронни въпросници и др.) и за целта за НСИ е решаващо да разполага с актуални данни за телефонни номера и друга информация за връзка с респондентите, която да бъде предоставена от действащите на територията на страната мобилни оператори.
Във второто искане за становище със същия предмет, се извеждат аргументи в посока на положително становище на КЗЛД за предаване на мобилни номера на подбрани от НСИ респонденти, както следва:
– В чл.89 от Регламент 2016/679 са предвидени гаранции и дерогации, свързани с обработване на данни за статистически цели.
– Съгласно чл.25н от Закона за защита на личните данни, лични данни, първоначално събрани за друга цел, може да се обработват за целите на Националния архивен фонд, за целите на научни или исторически изследвания или за статистически цели.
– Всяко едно статистическо изследване задължително преминава през няколко фази, като основните са: подготовка, събиране на информацията, обработка и разпространение на данните. Съществена част от подготовката му е не само определяне на извадката, но и набиране на контактна информация за субектите на изследването, попаднали в нея. Номерата на телефоните са информация, без която е невъзможно да се стигне до събиране на данни и до използването на тези данни „за статистически цели“, т.е. до тяхното обработване. Ето защо от НСИ смятат, че достъпът до контактна информация (в конкретния случай базите на мобилните оператори) не може да бъде механично изключван от обхвата на информацията, която се ползва за „статистически цели“.
– По аналогия от НСИ се позовават на Закона за преброяване на населението и жилищния фонд на Република България през 2021г., който в чл.20(4) предвижда юридическите лица, които предоставят публични услуги на основание на нормативен акт и поддържат регистри и бази данни, да осигуряват безплатно на НСИ необходимата за целите на преброяването индивидуални данни и метаданни за тях.
В заключение, председателят на НСИ подчертава, че в случай, че проблемът с достъпа до данни на мобилните оператори не бъде решен, НСИ ще изпадне в ситуация да не може да изпълнява задълженията на Република България към Европейската комисия, дефинирани в Регламенти на Парламента и Съвета, към други международни институции (ООН, УНИЦЕФ, ЮНЕСКО и фр.), както и към националното законодателство. Излага се и информация, че това не само ще възпрепятства работата на ГД „Евростат“ и Европейската комисия, но ще бъде основание Комисията да поиска налагането на финансови санкции на нашата страна.
Настоящият анализ е базиран изцяло на трайната практика на КЗЛД, свързана с обработването на телефонни номера на субекти на лични данни, както и на съдебната практика по жалби с такъв предмет и на указанията на Европейския комитет по защита на данни в тази насока. Становището на КЗЛД има консултативен характер за администратора на лични данни (в случая НСИ) при прилагане на относимите правни норми. Това становище има единствено разяснителен характер по приложението на коментираните в него норми, без да поражда права и/или задължения за заинтересованите страни. Съгласно Регламент (ЕС) 2016/679- Общ регламент относно защитата на данните, администраторът на лични данни самили съвместно с друг администратор определя правилата и процедурите за обработване на данни, които трябва да са съответстват на закона и регламента. За предприетите от администратора или съвместните администратори действия по обработване на данните се прилагат както правилата на отчестнаст, прозрачност, добросъвестност, така и нормите отнасящи се до носене на административно-наказателна отговорност по отношение на законосъобразността на осъществяваните от него/тях обработвания.
Правен анализ:
Законът за статистиката (ЗСт) е нормативният акт, регламентиращ дейността на НСИ, като по силата на чл.6, ал.1 от същия, НСИ осъществява независима статистическа дейност на държавата и други дейности, възложени му със закон и има правосубектност като юридическо лице на бюджетна издръжка (чл.6, ал.2 ЗСт). Същият нормативен акт задава общите легални дефиниции на понятията „статистическа информация“ и „статистически цели“ (съответно §§3 и 4 от Допълнителните разпоредби на ЗСт), както следва:
– „статистическа информация“ е обобщена, количествена и представителна информация за състоянието и/или динамиката на масови явления в съществуващи съвкупности от статистически единици в икономиката, демографията, социалната област и околната среда.
– „статистически цели“ означава използването на събраните индивидуални данни за разработването и производството на статистическа информация, статистически анализи и прогнози.
По смисъла на §5 ДР на ЗСт, всяко „статистическо изследване“ включва наблюдение на статистическите единици, събиране, обработка и анализ на предоставените от тях индивидуални данни с цел получаване на статистическа информация.
Законът за статистиката в самостоятелна глава разписва задълженията за предоставяне на данни за статистически изследвания. Предвиден е способът за събиране на данни и задължението на публични органи за предоставяне на изисканата от НСИ информация: чл.20, ал.6 от ЗСт предвижда, че държавните органи и органите на местното самоуправление, другите държавни институции, Българската народна банка и органите, поддържащи регистри и информационни системи, предвидени в закон, са длъжни да предоставят безплатно на Националния статистически институт и органите на статистиката при тяхно писмено искане събраните при тях индивидуални данни и/или статистическа информация, необходими за провеждане на статистическите изследвания, включени в Националната статистическа програма.
Видно от горното, това задължение за предоставяне на данни не обхваща частноправни субекти, включително юридически лица (каквито се явяват мобилните оператори), а още по-малко физически лица- субекти на данни. За физическите лица е предвидено законово задължение за предоставяне на персонални данни единствено и само за целите на изчерпателните преброявания на населението и на жилищния фонд (задължение разписано в чл.21 от ЗСт), а тези преброявания се осъществяват по силата на отделен специален закон (чл.18 от ЗСт). Извън тези случи, субектите на данни предоставят своята лична информация на принципа на доброволност.
Специалният закон, в настоящия случай се явява Законът за преброяване на населението и жилищния фонд на Република България през 2021г. (Закон за преброяването), който урежда подготовката, организацията и провеждането на преброяването на населението и жилищния фонд в Република България през 2021г. Законът за преброяването предвижда редица мерки за защита на данните при обработването им за целите на преброяването, една от които е, че личните данни да се събират единствено за статистически цели, а сред източниците на тези данни попадат юридически лица, които предоставят публични услуги на основание на нормативен акт и поддържат регистри и бази данни, осигуряват безплатно на НСИ необходимите за целите на преброяването индивидуални данни и метаданни за тях (чл. 20, ал.4 от Закона за преброяването). Важно уточнение е, че така събраните данни се използват само за конкретно предвидена законова цел, а именно „за проверка и осигуряване на обхвата и качеството на събраната информация“- чл.20, ал.5 от Закона за преброяването.
Дейността на мобилните оператори като предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги е регламентирана по силата на специални закон- Закон за електронните съобщения (ЗЕС). Функциите по регулиране и контрол при осъществяването на електронните съобщения се извършват от Комисията за регулиране на съобщеният (чл. 21, ал.1 от ЗЕС).
Съгласно легалната дефиниция по ЗЕС, „номер“ е последователност от десетични цифри, която еднозначно идентифицира крайна точка в електронна съобщителна мрежа. Номерът съдържа информацията, необходима за маршрутизиране и/или таксуване на едно повикване до тази крайна точка (§36 ДР на ЗЕС).
На предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги са вменени редица задължения по защита на данните на потребителите, които включват номер на викащ и на викан краен потребител (чл. 248, ал.1, т.1, б.„а“ от ЗЕС) и обработването, чрез разкриване и предаване на тези данни е подчинено на изрични формални правила, като по смисъла на чл.251б, ал.1, т.1 от същия, предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, съхраняват за срок от 6 месеца данни, създадени или обработени в процеса на тяхната дейност, които са необходими за проследяване и идентифициране на източника на връзката. Така описаните данни са дефинирани в чл.251и, ал.1, т.1 от ЗЕС и представляват (при обществена телефонна услуга) телефонният номер на викащия и данни за идентифициране на абоната или потребител.
Специалният закон по отношение дейността на мобилните оператори е разписал особен ред за разкриване на описаните данни, който налага предоставянето им на определен кръг лица (правоохранителни и разследващи органи) при провеждане на охранително производство пред компетентен районен съд (чл.251б и следващи от ЗЕС).
Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага пряко от 25 май 2018г., е нормативният акт, определящ правилата, свързани със защитата на физическите лица при обработването на личните им данни и относно свободното движение на тези данни. Съгласно чл.4, т.1 от Общия регламент, „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“) пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице. Обработване на данните на субекта е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване (чл. 4, т.2 от Общия регламент относно защитата на данните).
Във всички случаи на осъществяване на действия по предоставяне на лични данни на субекта или на трети лица от регистрите, поддържани от мобилните оператори, същите съставляват действия по обработване на лични данни по смисъла на Общия регламент относно защитата на данните.
Предоставянето на информация, съдържаща лични данни, от страна на администратор, в конкретния случай предприятие, предоставящо електронна съобщителна услуга, на друг администратор в лицето на НСИ, би могло да се извърши само при наличието на една от хипотезите, визирани в чл.6, пар.1 от Регламента (условия за законосъобразно обработване на данни) и при стриктното спазване на принципите, разписани в чл.5, пар.1 от същия (принципи, свързани с обработването на данните). Основанията за законосъобразно обработване посочени в чл.6 от Регламента са изчерпателни и алтернативни (не е необходимо кумулирането на две или повече основания за обработване), но при липсата на такова основание, обработването би противоречало на правилата за защита на личните данни.
Съгласно изложената нормативна база, приложима както по отношение на дейността на НСИ, така и за тази на мобилните оператори, от които се цели придобиване на масиви лични данни под формата на „номера“ на клиенти, може да се направи извод на първо място, че по смисъла на ЗСт тези данни не представляват статистическа информация, а част от способа за снабдяването с нея. Видно от изложението на НСИ и търсената цел (промяна в методите за събиране на данни) до настоящия момент данните са били събирани съгласно методики разписани от европейското законодателство, като не са наведени аргументи или относими актове, които да разписват промяна в тези методи. Следователно, и към настоящия момент се следва прилагане на действащото законодателство и предвидените в него методи.
За пълнота на изложението, трябва да се отбележи, че при стриктно зададени легални дефиниции на статистическа информация и статистически цели, за КЗЛД е невъзможно да отговори положително на искането на НСИ за разширително тълкуване на двете с цел прилагане на дерогациите, предвидени в чл.89, пар.2 от Общия регламент, когато личните данни се обработват за статистически цели. В случая, дерогациите, предвидени в чл.25н от Закона за защита на личните данни, с които са предвидени ограничения на правата по членове 15, 16, 18 и 21 от Регламента, биха били приложими ако НСИ целеше обработване на вече придобити номера на субектите на данни за статистически цели, но не и за придобиването им и последващо обработване за провеждане на проучвания, от които да се извлекат статистически данни.
Соглед на горното и предвид волята на законодателя, изразена в двата закона, регламентиращи дейността на предаващия и на получаващия данните, следва да е налице или правна норма или друго приложимо основание за законосъобразно обработване. По смисъла на приложимия закон- ЗСт, предоставянето на лични данни е вменено като задължение само на публични органи на централната и местна власт, но не и на частноправни субекти (мобилни оператори). Същевременно, за субектите на данни не е налице законово задължение да предоставят своите данни на НСИ за целите на обичайната им дейност, а напротив- разписано е подобно задължение само и единствено в случаите на провеждане на национално преброяване по силата на специален закон (в случая Закона за преброяването през 2021г.). Предвид искането на НСИ, свързано с традиционни и регулярни проучвания, а не с провеждането на национално преброяване, категорично не е налице законово задължение нито за предприятията, предоставящи електронни съобщителни услуги, нито за субектите на данни, личните им данни да бъдат обработвани чрез предаване на НСИ. Следователно не е налице основанието за законосъобразно обработване по чл.6, пар.1, б.„в“ от Общия регламент- обработване, необходимо за спазване на законово задължение.
Предвид изложената аргументация от НСИ за въведените ограничения по силата на обявеното извънредно положение, виждането на КЗЛД е, че от една страна тази ситуация е общовалидна за всички държави в ЕС и аргументът, че може да последват неблагоприятни последици единствено и само за Република България е несъстоятелен, доколкото всички сродни статистически организации в рамките на съюза работят при условията на социална дистанция. Нашето разбиране е, че методите, които трябва да се прилагат, е редно да са общо европейски, за да се постигне еднаквост на добиваните резултати. Видно от развитието на ситуацията, тези ограничителни мерки са всеобщо наложени, но само за ограничен период от време, а искането на НСИ не се фокусира върху конкретна срочност и/или неотложност на дадени проучвания, което да налага ползването на толкова инвазивни за личната сфера на лицата подходи, като придобиване на номер на телефон, без лицето дори да е информирано за това.
От друга страна, НСИ не излага аргументи в посока провеждане на изследвания в изпълнение на задължения по привеждане на мерките за извънредно положение (като например проучвания за социални нужди, за хуманитарни цели, за целите на защита на финансовата или данъчната система, за предоставяне на необходими помощи и/или подкрепа на лица, засегнати от тези мерки), а напротив- позовава се на изпълнение на регулярни и системни задължения. Съгласно системното тълкуване на разпоредбите на Общия регламент това, в случая, изключва и прилагането на „изпълнение на задача от обществен интерес“ като основание за законосъобразно обработване на личните данни на абонатите на мобилните оператори (чл. 6, пар.1, б.„д“ от общия регламент). По същите причини не е налице и хипотезата на „защита на жизненоважни интереси на субектите на данни“ (основание по чл.6, пар.1, б.„ г“ от Регламента), тъй като проучванията видимо не са таргентирани към борбата с COVID 19 и не носят необходимата степен на обществена значимост.
Предвид спецификата на искането и трайната практика на КЗЛД, ясно се очертава и неприложимост на основанията, свързани с изпълнение на договор или легитимни интереси на администратора на лични данни (основания по чл.6, пар.1, б.„б“ и „е“ от Регламента), доколкото за мобилните оператори това обработване попада извън предмета на договора с техните абонати, а легитимният им интерес не включва такива дейности по обработване, а за НСИ, в качеството му на публичен орган (дейността и правомощията му са стриктно и изчерпателно законово регламентирани), тези основания са неприложими по подразбиране. Следва да се изясни, че за разлика от провеждани проучвания, които мобилните оператори осъществяват на принципа на директния маркетинг, в случая НСИ цели придобиване и обработване на номера, които допълнително идентифицират вече установени субекти на данни (не се търси случайна агрегирана извадка на набор от номера), чрез метод на обработване, които не е присъщ за търговската дейност на мобилния оператор.
Не на последно място, трябва да се наблегне на обстоятелството, че от НСИ се цели събиране на данни за конкретни лица, зададени по техни списъци, без да се отчита факта, че практиката показва, че 1) на едно лице могат да бъдат регистрирани множество телефонни номера (до 10 съгласно ЗЕС) и 2) на лице от списъка може да няма регистриран нито един номер. Разбирането на КЗЛД е, че по този начин, чрез евентуалното предаване на тези номера, ще се стигне или до обработване на повече от един относим номер и съответно свързване с лица- ползватели на номерата, които не попадат в извадката за проучване и за които не е налице никакво основание за намеса в личната им сфера, но и при липса на телефонен номер ще се следва подмяна на такова лице от списъка с друго, попадащо в представителната група, т.е. още обработване на данни без сигурен резултат за достъпване на целения член на домакинство със съответния номер. Тези процедури ще трябва да се мултиплицират по три- за всеки от мобилните оператори, което противоречи на принципите за ограничаване на обработването и свеждане на данните до минимум, заложени в чл.5, пар.1, б.„б“ и „в“ от Общия регламент.
Така, след преглед на възможните основания за законосъобразност на обработването в комбинация с принципите за това обработване и в контекста на относимата правна доктрина и съдебна практика, се налага изводът, че единственото възможно и приложимо основание за исканото от НСИ обработване би било съгласието на субектите на данни. Важно е да се имат предвид и изискванията, на които такова съгласие трябва да отговаря, а те са, минимум, неговата предварителност (получаване на съгласие, което предхожда обработването на данните), точност на формата на даването му, възможност за бързо и лесно оттегляне на същото, скрепено с прекратяване на последващото обработване на тези данни, както и гаранции, че то е дадено информирано и свободно (изисквания по чл.7 от Общия регламент). Следователно, като се има предвид, че мобилните оператори, извън хипотезите по чл.251б и следващи от ЗЕС, нямат друга законосъобразна възможност за обработване чрез предаване на лични данни на НСИ, то в тяхна тежест ще бъде да докажат спазването на изискванията на чл.6 и 7 от Общия регламент при спазване на принципа за отчетност от него, доколкото обработването на номерата извън целите на специалния закон (ЗЕС) би било както прекомерно, така и непропорционално.
С оглед на изложеното и като се има предвид, че проучванията, които НСИ визират в искането си са базирани на принципа на доброволност, може да се направи обосновано заключение, че взимането на данните на субектите, преди получаване на изричното им съгласие не кореспондира с нормите на Общият регламент, който предвижда задължение за обработване на личните данни за конкретна цел и уведомяване на физическото лице, на което следва да е дадена възможност да се откаже. В този смисъл, при условие, че мобилните оператори в качеството си на администратори на визираните лични данни се ангажират с това, трябва да се изготви система за събиране на съгласие на субектите на данни- абонати на съответния оператор, преди предаването на номерата им, а тази система, ведно с предвидени гаранции за правата на лицата, следва да се разпише в нарочна договореност между всеки оператор и НСИ.
Във връзка с горепосоченото и на основание чл.58, §3, буква „б“ от Регламент (ЕС) 2016/679, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
При сега действащата правна рамка не е налице правно основание за мобилните оператори да предоставят телефонни номера на идентифициарни от Националния Статистически Институт субекти, попадащи в кръга на техните изследвания.
Доколкото не е налице друго правно основание за законосъобразно обработване на личните данни на абонатите на предприятията, предоставящи обществени електронни съобщителни услуги, чрез предаване на мобилни номера на Националния статистически институт, трябва да бъде получено предварителното информирано съгласие от всеки абонат, който попада в обхвата на проучването. Условията за предаване на така събраната информация от единия администратор на лични данни на другия, следва да са разписани в договореност между тях, която да предвижда изрични гаранции за защита на правата на субектите на данни, въз основа на проведен анализ на риска и оценка на въздействието. Двете страни по договора се явяват съвместни администратори за обработваната въз основа на договора информация.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Веселин Целков /п/ |
