Становище на КЗЛД по въпроси, касаещи подаване на заявления за издаване на ЕЗОК

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 04.09.2014г., разгледа преписка с вх.№П-4132 от 01.07.2014год. д-р Р.Т.– управител на Национална здравноосигурителна каса (НЗОК). В искането си посочва, че поставеният от неявъпрос е във връзка с упражняването на здравноосигурителни права, съгласно правилата за координация на системите за социалната сигурност. По силата на Закона за здравното осигуряване и Наредба№14 от 19.04.2007год. за реда за издаване на документи, необходими за упражняване на здравноосигурителни права съгласно правилата за координация на системите за социална сигурност (Наредба№14), Националната здравноосигурителна каса издава съответни документи, в това число и европейска здравноосигурителна карта (ЕЗОК), при подаване на искане от заинтересованите лица.

Доктор Р.Т. информира, че с оглед улесняване достъпа на задължително здравноосигурените лица (ЗЗОЛ) до издаване на ЕЗОК, НЗОК в качеството си на администратор на лични данни по смисъла на чл.3, ал.1 от Закона за защита на личните данни (ЗЗЛД) обмисля да предостави на лицата възможност за подаване на заявления за издаване на ЕЗОК по електронен път, на посочен от НЗОК електронен адрес.

По повод изложеното, представляващият НЗОК се обръща към КЗЛД за становище съществува ли риск от нарушаване правата на физическите лица– ЗЗОЛ, при обработване на личните им данни по смисъла на чл.1, ал.1 от ЗЗЛД, в случай на подаване на заявление за издаване на ЕЗОК по електронен път, без използване на електронен подпис, гарантиращ най-висока степен на сигурност. Според разпоредбата на чл.5, ал.3, т.1 и 2 от Наредба№14, при подаване на заявленията, лицата представят и прилагат копия на следните документи: лична карта или паспорт, както и акт за раждане или съдебно решение на назначаване на настойник или попечител за малолетните и непълнолетните лица и за поставените под пълно или ограничено запрещение, когато заявленията се подават от родители и настойници, съответно със съгласието на родителите и попечителите. Следователно, копия от посочените документи също следва да се подават по електронен път.

Наредба№14 от 19.04.2007год. за реда за издаване на документи, необходими за упражняване на здравноосигурителни права съгласно правилата за координация на системите за социална сигурност (Наредба№14) определя реда за издаване от Националната здравноосигурителна каса (НЗОК) на удостоверителни документи, необходими за упражняване на здравноосигурителни права съгласно правилата за координация на системите за социална сигурност. Удостоверителни документи, необходими за упражняване на здравноосигурителни права, съгласно правилата за координация на системите за социална сигурност, са:

1. европейска здравноосигурителна карта (ЕЗОК);

2.удостоверения по образци (Е-формуляри), утвърдени от Административната комисия на Европейската общност за социална сигурност на работниците- мигранти, които се отнасят до предоставяне на обезщетения в натура при болест, майчинство, трудова злополука и професионална болест. Съгласно разпоредбите на чл.3, ал.1 от Наредба№14, заявлението за издаване на ЕЗОК се подава чрез районните здравноосигурителни каси (РЗОК) в посочените от тях пунктове по постоянен или временен адрес на заинтересуваните лица. Заявлението за издаване на удостоверения по образци (Е-формуляри) се подава до директора на РЗОК по постоянен или временен адрес на заинтересованите лица.

Заявленията за издаване на европейска здравноосигурителна карта (ЕЗОК) се подават лично или от упълномощено лице. За малолетните и непълнолетните лица и за поставените под пълно или ограничено запрещение лица заявленията се подават от техните родители и настойници, съответно със съгласието на техните родители и попечители. Данните в заявленията се попълват на пишеща машина, компютър или се изписват четливо с печатни букви. Имената в заявленията се изписват без съкращения на кирилица и латиница, така както са изписани в съответния документ за самоличност на лицето. При подаване на заявленията лицата представят и прилагат копия на следните документи:

1. лична карта или паспорт;

2. акт за раждане или съдебно решение за назначаване на настойник или попечител в случаите;

Законът за електронното управление (ЗЕУ) урежда дейността на административните органи при работа с електронни документи, предоставянето на административни услуги по електронен път и обмена на електронни документи между административните органи. Прилага се и по отношение на дейността на лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги, доколкото в закон не е предвидено друго. Получателите на електронни административни услуги могат да извършват електронни изявления и да ги изпращат по електронен път, ако подаваните документи са издадени и подписани съгласно Закона за електронния документ и електронния подпис и са спазени изискванията на този закон. Подаването на електронни документи от гражданите и организациите се извършва:

1.он-лайн по стандартизиран протокол чрез публично-достъпно уеб-базирано приложение;

2. чрез единната среда за обмен на документи;

3. по други начини за подаване на електронни документи, определени с наредба За електронните административни услуги, приета от Министерски съвет, в която са определени форматите и задължителните реквизити, на които трябва да отговарят електронните документи.

Получателите на електронни административни услуги и авторите на електронните изявления се идентифицират чрез уникалния си идентификатор, освен ако със закон се допуска за ползването на административна услуга да не се изисква идентификация.Интегритетът и авторството на подадените по електронен път изявления във връзка с електронните административни услуги се установяват чрез електронен подпис, създаден съгласно Закона за електронния документ и електронния подпис и при спазване на действащото в тази област законодателство, освен ако със закон е предвидено друго.

Съгласно разпоредбите на чл.28, ал.1 от ЗЕУ при подаване на заявление по електронен път се извършва незабавно проверка на самоличността на заявителя от доставчика чрез:

1. съпоставяне на името на заявителя, посочен в заявлението, и името на автора, съдържащо се в удостоверението за електронен подпис, и

2. проверка в съответната администрация, отговаряща за личната регистрация на граждани, дали на уникалния идентификатор на заявителя, посочен в заявлението, съответства име на гражданин с установеното име.

Проверката на самоличността се извършва за всички граждани, относно които се заявяват обстоятелства и които са идентифицирани с уникален идентификатор. Проверката за идентичност на организациите се извършва чрез проверка в съответните регистри на организациите. При технологична възможност проверките се извършват автоматизирано. Когато закон допуска ползването на административна услуга да се извършва без идентифициране на заявителя, проверка за самоличност не се извършва.

При подаване на заявление за издаване на ЕЗОК по електронен път, без използване на електронен подпис няма възможност да бъде извършена незабавно проверка на самоличността на заявителя от доставчика и следователно не могат да бъдат изпълнени изискванията на чл.28 от Закона за електронното управление.

Законът за защита на личните данни (ЗЗЛД) урежда защитата на правата на физическите лица при обработването на личните им данни. Целта на ЗЗЛД е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободно движение на данните.

В параграф първи от Допълнителните разпоредби на ЗЗЛД се съдържа законовото определение на понятието „обработване на лични данни”. В настоящия случай, запитването касае възможността за обработване на лични данни под формата на предоставяне по електронен път, но без използване на електронен подпис, създаден съгласно Закона за електронния документ и електронния подпис.

Разпоредбите на чл.4, ал.1 от ЗЗЛД въвеждат случаите, в които е допустимо обработването на лични данни, а именно когато е налице поне едно от алтернативно изброените условия.

Като администратор на лични данни, регистриран в Електронния регистър на администраторите на лични данни НЗОК има задължения, да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Администраторът на лични данни определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни. Съгласно разпоредбите на чл.23, ал.2 от ЗЗЛД администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.

Същите тези мерки, са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. Мерките и сроковете се определят с инструкция на администратора на лични данни. Комисията определя с Наредба№1 от 30.01.2013год. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни- минималното ниво на техническите и организационни мерки при обработване на лични данни и допустимия вид защита.

В конкретния казус, при подаване на заявления за издаване на ЕЗОК по електронен път, на посочен от НЗОК електронен адрес без използване на електронен подпис, създаден съгласно Закона за електронния документ и електронния подпис, няма възможност да бъдат изпълнени изискванията на чл.23 от ЗЗЛД. При обработване на лични данни, чрез изпращане по електронен път на посочен от НЗОК електронен адрес, тоадминистраторът (НЗОК) няма възможност да предприеме специални мерки за защита, поради липсата на електронен подпис, създаден съгласно Закона за електронния документ и електронния подпис.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното

Обработването на лични данни чрез подаване на заявление за издаване на европейска здравноосигурителна карта по електронен път, без използване на електронен подпис, противоречи на чл.4, ал.1 от Закона за защита на личните данни, който установява алтернативните предпоставки, при наличието на които е допустимо и законосъобразно обработването на лични данни. В този случай няма възможност за извършване на незабавна проверка на самоличността на заявителя от доставчика, което нарушава разпоредбитена чл.28 от Закона за електронното управление.