Становище на КЗЛД по въпроси, касаещи приложението на Закона за защита на личните данни във връзка с въвеждане на софтуерни приложения

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 20.11.2013г., разгледа преписка с вх.№П-6590/11.10.2013г. от г-жа А.А.– зам. кмет на С.О., по въпроси, касаещи приложението на Закона за защита на личните данни във връзка с въвеждане на софтуерните приложения „АППИ“ и „АМИ“ с цел оптимизиране на доставката на социални услуги.

В искането се посочва, че конкретната цел на въвеждането на софтуерните приложения е подобряване на организацията, улесняване и уеднаквяване на работата с потребителите на социалната услуга „Асистенти за независим живот“. Във връзка с това възниква въпросът за обработването на лични данни на потребителите на социалните услуги чрез използването на софтуерни продукти по модела „софтуер като услуга“ (SaaS или “software as a service”), когато това става чрез достъп до интернет страница, а самото приложение и въведените от всеки потребител данни се съхраняват на сървъри в т.нар. „дейта центрове“.

Приложенията „АППИ“ и „АМИ“ са предоставени на С.О. от Фондация „Д.П.Б.“. Фондация „Д.П.Б.“ е представител за България на организациите C.BV и D.P. (NL), чиято собственост са уеб-базираните софтуери „АППИ“ и „АМИ“. Софтуерът и информацията са разположени в специални „дейта центрове“ на територията на Кралство Нидерландия, като по отношение на тях се прилагат стриктни протоколи за гарантиране на сигурността, реакция при криза и бедствие, както и предпазване от загуба на информация. В тази връзка фондацията поема ангажимент, че:

– Достъпът до уеб-базирания софтуер е през криптирана връзка със SSL Certificate.

– Достъпът се осъществява с уникално потребителско име и парола. Паролата се състои от 8 знака, комбинация от букви и цифри.

– Фондация „Д.П.Б.“ декларира, че няма да обработва, използва или предоставя на други лица въвежданите лични данни, както и всяка друга въведена в системата „АППИ“ информация.

– С.О. ще въвежда, изменя и заличава в системата „АППИ“ за потребителите на социални услуги чрез упълномощени по съответния ред служители, като всеки служител ще има достъп само до данните на социална услуга, за която отговаря.

– Фондация „Д.П.Б.“ се задължава да предприеме необходимите технически и организационни мерки съгласно законодателството, за да защити въвежданите данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Защитата на данните от загуба се осъществява чрез ежечасов, ежедневен и пълен седмичен бекъп на данните на втори сървър.

– Разполага и оперира съгласно план за действие при криза.

– Осигурява редовна поддръжка на системата, поддръжка на приложението на системно ниво и поддръжка на бараузъра– съвместимост.

– Фондация „Д.П.Б.“ декларира, че при прекратяване на ползването на системата, всяка социална услуга ще получи въведената от нейните служители информация в електронен вид, която незабавно след това ще бъде унищожена в системата „АППИ“ и съответните сървъри.

В искането си за становище С.О. посочва още, че достъпът до въпросните приложения се осъществява посредством HTTP протокол, надграден със SSL (Secure Socket Layer)– процес, с помощта на който данните преминават между потребителя и сървъра в криптирана връзка. Използват се актуални версии на уеб-езика за програмиране PHP, подходящ за динамично уеб-съдържание и база данни MySQL. Клиентът получава достъп до услугата само след въвеждане на потребителско име и парола и последвала пълна проверка на данните му за достъп– IP адрес, права за достъп специфични за услугата, съгласуваност с условията за ползване, коректност на въведените име и парола. В структурата си програмният код съдържа защити срещу хакерски атаки и неоторизиран достъп. Обработването на клиентските действия и операции се извършва изцяло на сървърно ниво, което гарантира най-голяма сигурност на данните в системата. Релациите между отделните структурни единици, носители на информация, носят смисъл само след обработване от софтуера. Уточнено е, че се използват най-съвременни защити на базата данни и съответните софтуерни приложения.

С.О. е администратор на лични данни, вписан в регистъра по чл.10, ал.1, т.2 от Закона за защита на личните данни, с идентификационен номер №52258. Наред с останалите регистри, поддържа и регистрите „Регистър на всички социални услуги по чл.36 от Правилника за прилагане на закона за социалното подпомагане, предоставяни от С.О.“ и „Регистър на социалната услуга „Асистент за независим живот““. От своя страна Фондация „Д.П.Б.“ също е регистриран администратор на лични данни, вписан в регистъра, който се води от КЗЛД под ид. №331647. Поддържа два регистъра, съдържащи лични данни „Партньорски организации“ и „Персонал“.

Във връзка с гореизложеното С.О. моли за становището на КЗЛД относно прилагането на изискванията на ЗЗЛД при обработване на лични данни от регистрирани администратори чрез използването на софтуерни продукти от типа „софтуер като услуга“, предоставяни чрез достъп през интернет, и в частност по отношение на предстоящото споразумение между Фондация „Д.П.Б.“ и С.О. и въвеждането от общината на личните данни на потребителите на социални услуги в описаните уеб-базирани софтуери „АППИ“ и „АМИ“.

Законът за социално подпомагане (ЗСП) урежда обществените отношения, свързани с гарантирането на правото на гражданите в Република България на социално подпомагане чрез социални помощи и социални услуги. Съгласно чл.40, ал.1 и 2 от Правилника за прилагане на закона за социално подпомагане (ППЗСП), лицата, които желаят да ползват социални услуги, подават писмена молба по настоящия си адрес до съответния доставчик, като прилагат към нея документ за самоличност (за справка); копие от личен амбулаторен картон, ако има такъв; копие от решение на ЛКК, ТЕЛК, НЕЛК, ако има такова. В чл.40, ал.3 от ППЗСП е уточнено, че при необходимост доставчикът на социални услуги може да изисква и други документи. Събирането на посочените данни представлява обработване на лични данни по смисъла на ЗЗЛД, като се вземе предвид факта, че копието от личния амбулаторен картон и копието от решението на ЛКК, ТЕЛК, НЕЛК съдържат така наречените „чувствителни“ лични данни, които се отнасят до здравето на съответното физическо лице. Доколкото в конкретен случай се предоставят този вид данни, тяхната обработка следва да е съобразена с по-специалните изисквания за защита, предвидени в чл.5, ал.2 от ЗЗЛД. Основание за допустимост на такава обработка може да бъде единствено съгласието на физическото лице, за което се отнасят тези данни, съгласно чл.5, ал.2, т.2 от ЗЗЛД. Тъй като кандидатстването за ползване на такава услуга е доброволно, акта за предоставянето на въпросните документи може да се смята за изразяване на съгласие за предоставянето на тези данни.

Разгледаните по-горе разпоредби могат доведат до предположението, че базата данни по предоставянето на дадена социална услуга съдържат такъв вид данни, което налага и софтуерните приложения да съответстват на тези изисквания.

В официалният сайт на Фондация „Д.П.“ е публикувана следната информация за софтуерните приложния, предмет на настоящия анализ:

„Автоматизиран мониторингов инструмент“ (АМИ) е разработен специално за българските условия и позволява проследяване на ползваемостта на социалните услуги, като въвежда специфични измерители, съобразно особеностите на отделните услуги. Софтуерът е изготвен по поръчка на Министерство на труда и социалната политика и Агенция за социално подпомагане, частично финансиран по проект „МПАП”.

АМИ е полезен и приложим както на централно ниво, по отношение на всички услуги за хора с увреждания, така и на общинско, като гъвкавата му структура позволява съобразяване с конкретните условия на всяка община. Софтуерът предоставя възможността резултатите от данните да се обобщават в различен по вид справки, които да се ползват от ръководителите на социални услуи, представителите на общини, доставчици на социални услуги и структурите на Агенция за социално подпомагане. Д.П.Б. осигурява консултации за приложението на АМИ с цел оптимизиране на доставката на социални услуги на всяко ниво.

Специализиран софтуер за индивидуално планиране на грижата (АППИ) е насочен към това да улеснява и структурира процеса на работа, на базата на изграден индивидуален план за потребителите на конкретната социална услуга.

АППИ организира и структурира процеса от А до Я. През него се структурира и провежда оценяването на потребностите и планирането на грижата, като подходът застъпен в структурирането на бланките и последователността на действията, надгражда поставените нормативни изисквания и улеснява специалистите в провеждането на грижа, ориентирана към възможностите и желанията на човека с увреждане. През октомври 2013г. стартира пилотното приложение на АППИ в социалните услуги на С.О.

Софтуерните приложения на фондацията са съобразени с българското законодателство, спецификите на социалните услуги съгласно Правилника за приложение на закона за социално подпомагане, европейските принципи и практики за грижа за хора с увреждания и добрите български практики. Заедно с предоставянето за ползване на специализирания софтуер за индивидуално планиране на грижата АППИ, „Д.П.“ осигурява обучения и супервизия на процеса на индивидуално планиране и консултиране на неговото приложение.“

Както С.О. посочва в искането си, въпросните приложения представляват „софтуер като услуга“. За да бъде разгледан въпросът от гледна точка на защитата на личните данни, следва да се направи уточнение, че така както е представена тази услуга, тя представлява процес на обработване на лични данни в облак (cloud computing). Съгласно Становище05/2012 относно изчислителните облаци (cloud computing), прието на 1юли 2012г. от Работната група по чл.29, изчислителният облак се състои от набор от технологии и модели на обслужване, които се фокусират върху интернет-базираното използване и предоставянето на ИТ приложения, възможности за обработка, съхранение и памет. Наред с ползите от обработването в облак обаче, могат да възникнат и някои рискове по отношение на личните данни, обработвани в такава среда. Поради тази причина се обръща все по-голямо внимание на техническите и организационни мерки за защита в такива случаи. КЗЛД осъвремени правилата в тази област с НАРЕДБА №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

За да бъдат анализирани подходящите мерки за защита е необходимо да се изяснят ролите на участниците в целия процес, както и техните специфични задължения.

Клиентът на предоставените в облак услуги обикновено е администратора. Той взема решение за съответното обработване на лични данни. С.О. попада в обхвата на определението залегнало в чл.3, ал.2 от ЗЗЛД, а именно- орган на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. От това определение произтичат и задълженията на клиента в качеството на администратор за спазване на законодателството, свързано със защита на личните данни, при неспазването на които той носи отговорност.

Доставчикът на услуги в облака предоставя средства и платформа, действайки от името на клиента в облака. В съответствие с чл.24, ал.1 от ЗЗЛД, администраторът може да обработва данните сам или чрез възлагане на обработващ данните. В разглеждания случай организациите C.BV и D.P. (NL), позиционирани в Кралство Нидерландия, като собственици на специализирания софтуер и представлявани в България от фондация „Д.П.Б.“ могат да бъдат разглеждани в качеството на обработващи лични данни. Обработващите носят отговорност за предприемане на подходящите мерки за сигурност, съответстващи на приложимото законодателството, като подпомагат администраторите при спазване на правата на субектите на данни.

Отношенията между клиента и доставчика на услугата в облак в качеството им съответно на администратор и обработващ следва да бъдат уредени на база на писмен договор, споразумение или друг акт, в който се определя обемът на задълженията, възложени от администратора на обработващия данните (чл. 24, ал.4 от ЗЗЛД). Споразумението трябва да се позовава на принципите за обработване на лични данни, да съдържа информация за категориите данни, същността и целите на обработването, за получателите или категориите получатели на данните. Не на последно място със споразумението следва да се определят и сроковете за съхранение, както и връщането и унищожаването на лични данни. Една от най-важните клаузи в споразумението е свързана с отговорността на обработващия, който действа само по указания на администратора и задължението му да прилага адекватни технически и организационни мерки за защита на личните данни. Тъй като работата в облак предполага по-голям риск от неоторизиран достъп до данните, чл.9 и 10 от НАРЕДБА №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни предвиждат редица мерки, които администраторът е длъжен да предприеме при така организираното предоставяне на социални услуги. Техническата спецификация също следва да бъде предмет на споразумението. С оглед на това в искането си за становище С.О. е представила гаранциите, които е планирано да получи от доставчика на услугите– криптографска защита посредством SSL-процес и автентификация чрез проверка на данните за достъп (IP адрес, права за достъп, потребителско име и парола и т.н.). Трябва да се вземе предвид, че по отношение на лицата, които имат служебен достъп до приложенията, се прилагат разпоредбите на НАРЕДБА№1 от 30януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, с които се въвежда принципа „Необходимост да се знае“.В съответствие с чл.7, ал.5 от Наредба №1 лицата подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си.

В конкретния случай обработващият данните са предмет на трансфер в Кралство Нидерландия. Съгласно чл.36а, ал.1 от ЗЗЛД, предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.

По повод на предстоящото въвеждане на софтуерните приложения „АППИ“ и „АМИ“ следва да бъдат направени съответните вписвания по съответните регистри в регистъра на администраторите на лични данни и водените от тях регистри, който се води от КЗЛД. Актуализацията обхваща регистрите, свързани с предоставянето на разглежданите социални услуги, отчитайки трансфера на данните в Кралство Нидерландия.

Във връзка с горното и на основание чл.10, ал.1, т.4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното

1.Обработването на лични данни във връзка с предоставянето на социалната услуга „Асистенти за независим живот“ от страна на администратора С.О. е допустимо в условията на изразено чрез конклудентни действия съгласие на физическите лица, чиито данни се обработват.

2.Услугата се предоставя в облак и е от типа „софтуер като услуга“, което налага предвидените засилени технически и организационни мерки за защита чрез шифроване на връзката и автентификация на достъпа и в съответствие с разпоредбите на НАРЕДБА №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

3.Във връзка с трансграничния ефект, се прилага принципа за свободното движение на лични данни в държавите-членки на Европейския съюз и Европейското икономическо пространство при спазване изискванията на Закона за защита на личните данни, съгласно чл.36а, ал.1 от ЗЗЛД.

4.Отношенията между администратора С.О. и обработващия Фондация „Д.П.Б.“ се уреждат с договор, споразумение или друг акт, като се осигурява адекватна защита в процеса на обработване на лични данни. При евентуално наличие на подизпълнители, отношенията с тях се уреждат по същия начин.

5.С.О. и Фондация „Д.П.Б.“ са задължени да отразят трансфера на лични данни от България към Кралство Нидерландия в съответния регистър в електронния регистър на администраторите на лични данни и водените от тях регистри по чл.10, ал.1, т.2 от ЗЗЛД.