Становище на Комисията за защита на личните данни №3082/ 10.08.2011г. относно приложението на Закона за защита на личните данни при провеждане на всички видове избори

№ 3082/2011г.

гр. София,10.08.2011г.

Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков, на редовно заседание, проведено на 03.08.2011г. (Протокол № 34), разгледа становище с рег. № 3082/12.07.2011 г., относно приложението на Закона за защита на личните данни при провеждане на всички видове избори.

КЗЛД в началото е сезирана с искане, рег.№2741/16.06.2011г. от г-жа К.М. – Председател на Централната избирателна комисияпо чл.23 от Изборния кодекс и с искане с рег. № 2576/07.06.2011 г. от независимия кандидат за президент на Република България при избори за президент и вицепрезидент 2011 г. – г-жа М.Щ.К., относно приложението на Закона за защита на личните данни при провеждането на избори. КЗЛД се произнесе със становища по поставените актуални въпроси на основание чл.10, ал.1 т.4 от Закона за защита на личните данни.Независимо от това, на проведените заседания на КЗЛД на 14.06.2011 г. (Протокол № 25) и на 22.06.2011 г. (Протокол № 26) при тяхното обсъждане, КЗЛД взе решение да изрази официално становище със задължителни указания по отношение обработването на лични данни при провеждане на всички видове избори. Комисията за защита на личните данни счита, че произнасянето с такова принципно становище ще способства за унифициране на правилата при обработване на личните данни в изборния процес и указанията на КЗЛД могат да се превърнат в неразделна част от вътрешните правила на администраторите на лични данни – участници в изборния процес.

Изборният кодекс определя организацията и реда за произвеждане на избори за народни представители, президент и вицепрезидент на републиката, членове на Европейския парламент от Република България, общински съветници, кметове на общини и кметства, както и условията за избиране на членове на Европейския парламент от Република България, общински съветници, кметове на общини и кметства.Съгласно чл.14 от Изборния кодекс, за провеждане на изборите се назначават: 1. Централна избирателна комисия – за цялата страна при провеждане на всички видове избори, включително и за гласуването извън страната при избори за народни представители, президент и вицепрезидент на републиката и за членове на Европейския парламент от Република България; 2. Районни избирателни комисии – за всеки многомандатен избирателен район при провеждане на избори за народни представители, както и за всеки район според районирането на територията на страната при последните избори за народни представители, при провеждане на избори за президент и вицепрезидент на републиката и за членове на Европейския парламент от Република България; 3. Общински избирателни комисии – за всяка община при провеждане на избори за общински съветници и кметове; 4. Секционни избирателни комисии – за всяка избирателна секция при всички видове избори, включително подвижни секционни избирателни комисии при гласуване с подвижни избирателни урни.

В изпълнение на своите законоустановени правомощия, Централната избирателна комисия, Районните избирателни комисии, Общинските избирателни комисии и Секционните избирателни комисии осъществяват обработване на лични данни, като видът, целите и средствата за това обработване са определени в Изборния кодекс. В същото време са налице и други субекти, извън така посочените, които също имат нормативно установено задължение да обработват определен обем от лични данни във връзка с провеждането на избори. Такива са инициативните комитети по чл.96 от Изборния кодекс, които могат да бъдат регистрирани за всички видове избори, политическите партии, които осъществяват обработване на лични данни на основание чл.82, ал.3, т.7 и чл.89, ал.3, т.11 от Изборния кодекс, както и Главна дирекция „Гражданска администрация и административно обслужване” в Министерството на регионалното развитие и благоустройството. Всички те (с изключение на секционните избирателни комисии) имат качеството на администратори на лични данни и обработват лични данни в хода на изборния процес в изпълнение на нормативно установено задължение – Изборния кодекс.

Целта на Закона за защита на личните данни е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните. Въпреки чеобработването на личните данни на всички субекти, участващи в изборния процес (ЦИК, районните, общинските и секционните избирателни комисии, ГРАО, политически партии и инициативни комитети)е в изпълнение на тяхно нормативно установено задължение, произтичащо от Изборния кодекс, за тях не отпадат задълженията и отговорностите по Закона зазащита на личните данни (ЗЗЛД). В чл.2, ал.2 от ЗЗЛД са регламентирани принципите, които следва да се спазват при обработване на данните от всички субекти, участващи в изборния процес, а именно:

· да обработват данните законосъобразно и добросъвестно;

· да събират данните за конкретни, точно определени и законни цели и да не ги обработват допълнително по начин, несъвместим с тези цели;

· данните да бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

· данните да бъдат точни и при необходимост да се актуализират;

· данните да се заличават и коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

· да поддържат данните във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.

В допълнение на изложеното, всеки администратор е длъжен да обработва личните данни законосъобразно при наличие на поне едно от алтернативно регламентираните условия за допустимост на обработването по чл.4, ал.1 от ЗЗЛД. В конкретния случай, личните данни се обработват в изпълнение на нормативно установено задължение по чл.4, ал.1, т.1 от Закона за защита на личните данни във връзка с Изборния кодекс.

Законът за защита на личните данни въвежда в задължение на администратора на лични данни (регистриран в КЗЛД или освободен от регистрация от КЗЛД, каквито са инициативните комитети по чл.96 от Изборния кодекс) да предприеме технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение и разпространение, както и от други незаконни форми на обработване. В тази връзка и на основание чл. 23, ал.4 от ЗЗЛД конкретните мерки следва да бъдат определени с инструкция на съответния администратор на лични данни.

За защита правата на физическите лица и недопускане неправомерни действия при обработването на техните лични данни, както и с цел уеднаквяване на мерките за защита на данните при произвеждането на всички видове избори, е необходимо да бъдат дадени задължителни указания на администраторите на лични данни –участници във всички видове избори във връзка със задължението за регистрация в КЗЛД, правилата за обработване на лични данни и мерките за защита, които следва да се предприемат.

Във връзка с конституиране на фигурата на администратор на лични данни следва да се има предвид, че такива са Централната избирателна комисия, Районните избирателни комисии, Общинските избирателни комисии и инициативните комитети. В същото време, администратори на лични данни се явяват и политическите партии, които осъществяват политическа дейност и участват във всички видове избори самостоятелно или в коалиция с други партии. За всички администратори на лични данни възниква задължението да се регистриратв Комисията за защита на личните данни по реда на чл.17, ал.1 от ЗЗЛД, с изключение на инициативните комитети по чл.96 от Изборния кодекс, които КЗЛД освободи от задължение за регистрация със свое решение, прието на редовно заседание на 22.06.2011 г. (Протокол № 26). Следва да се има предвид, че освобождаването на даден администратор от задължение за регистрация не изключва изпълнението на всички други негови задължения, произтичащи от ЗЗЛД и от контрола на Комисията за защита на личните данни.

Съгласно чл. 109, ал.3, 113, ал.1, чл.119, ал.3 и чл. 125, ал.3от Изборния кодекс членът на инициативния комитет обработва и предоставя лични данни при спазване изискванията на Закона за защита на личните данни и носи отговорност като администратор по смисъла на чл.3, ал.2 от Закона за защита на личните данни. В тази връзка, всеки член на инициативен комитет има задължение да информира лицата, чиито лични данни събира, за целите на обработване на данните в конкретния случай, получателите иликатегориитеполучатели, на които могат да бъдат разкрити данните; задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им. Във всички случаи на лицата, чиито лични данни и подписи се събират, следва да е предоставена информация за правото на достъп до техни лични данни и правото на коригиране, заличаване или блокиране на събраните данни. За улеснение изпълнението на задължението за предоставяне на информация, тази информация може да бъде разгласена на гражданите по подходящ начин, напр. чрез съответни информационни табла или брошури, разположени на местата на събиране на подписката.

Всеки администратор на лични данни (вкл. тези, които са освободени от задължение за регистрация в КЗЛД – инициативни комитети по чл.96 от Изборния кодекс) е длъжен да обработва и предоставя лични данни само в конкретния обем, изрично посочен в Изборния кодекс и за конкретната цел, регламентирана в Изборния кодекс (произвеждането на избори).

В изпълнение на своите правомощия по чл.26 от Избирателния кодекс, ЦИК води регистри на партиите и коалициите от партии за всички видове избори, регистри на инициативните комитети при избори за президент и вицепрезидент на републиката и за членове на Европейския парламент от Република България, както и регистри на кандидатите за президент и вицепрезидент на републиката и за членове на Европейския парламент от Република България. Регистрира и обявява партии и коалиции от партии за участие във всички видове избори, както и регистрира инициативни комитети за участие в изборите за президент и вицепрезидент на републиката и за членове на Европейския парламент от Република България и им издава удостоверения. Регистрира и обявява кандидатските листи на партиите, коалициите от партии и инициативните комитети при избори за президент и вицепрезидент на републиката и за членове на Европейския парламент от Република България.

Съгласно чл.26 от Изборния кодекс ЦИК обработва лични данни във връзка и относно:

· членовете на РИК, ОИК и СИК извън страната, както и техни резервни членове, както и членове на СИК в случаите, в които съответната РИК, ОИК не ги е назначила в срок;

· лица, подали жалби срещу решения и действия на РИК, ОИК и СИК извън страната;

· регистрираните кандидатски листи;

· данни, вписани всъответните протоколи.

Съгласно чл.29 от Изборния кодекс районните избирателни комисии регистрират и обявяват инициативни комитети за участие в изборите за народни представители и им издават удостоверения. Регистрират и обявяват кандидатските листи на партиите, коалициите от партии и инициативните комитети при избори за народни представители. Регистрират застъпници на кандидатите и им издават удостоверения.

В този случай те обработват лични данни във връзка и относно :

· членовете, вкл. резервните,на секционните избирателни комисии;

· регистрираните кандидатски листи;

· застъпници;

· лица, подали жалби срещу решения и действия на СИК;

· данни, вписани всъответните протоколи.

На основание чл. 33, ал.1 от Изборния кодекс общинските избирателни комисии регистрират и обявяват инициативни комитети за участие в изборите за общински съветници и кметове,регистрират и обявяват кандидатските листи на партиите, коалициите от партии и инициативните комитети при избори на общински съветници и кметове, регистрират застъпници на кандидатите.

Предвид това те обработват лични данни във връзка и относно:

· членовете, вкл. резервните,на секционните избирателни комисии;

· регистрираните кандидатски листи;

· застъпници;

· лица, подали жалби срещу решения и действия на СИК;

· данни, вписани всъответните протоколи.

В изпълнение на чл. 76, ал.1 от Изборния кодекс всяка партия може да участва във всеки отделен вид избори самостоятелно или в коалиция от партии с други партии. При избори за народни представители, за президент и вицепрезидент на Републиката, за членове на Европейския парламент от Република България, за кметове и общински съветници, във връзка с регистрацията на съответната партия за участие в изборите, тя трябва да представи списък, съдържащ имената, единния граждански номер и саморъчен подпис на не по-малко от 7000 избиратели, подкрепящи регистрацията; при избори за членове на Европейския парламент от Република България регистрацията на партията може да бъде подкрепена и от избиратели – граждани на друга държава – членка на Европейския съюз, като в списъците се посочват имената, номерът на удостоверението за пребиваване и датата на регистрация, посочена в него, и подпис.

Предвид горното, политическите партии, като администратори на лични данни, обработват следния обем от лични данни в хода на изборния процес : имена, ЕГН и подпис на български граждани или граждани на друга държава-членка на ЕС.

Инициативните комитети за издигане независими кандидати за президент и вицепрезидент на републиката обработват:

1. Имената, единния граждански номер и постоянния адрес на кандидатите на президент и вицепрезидент на Република България при избори за президент и вицепрезидент 2011г, както и данни на членовете на инициативния комитет.

2. Имената, единните граждански номера и подписите най-малко на 7000 избиратели, подкрепящи издигането на кандидатите за президент и вицепрезидент на Република България.

Инициативните комитети за издигане независими кандидати за президент и вицепрезидент на републиката обработват:

1. Имената, единния граждански номер и постоянния адрес на съответния кандидат.

2. Имената, единните граждански номера, постоянния адрес и подписите на не по-малко от 3 на сто, но не повече от 5000 избиратели с постоянен адрес на територията на района, подкрепящи издигането на кандидата.

Инициативните комитети за издигане независими кандидати за президент и вицепрезидент на републиката обработват:

1. Имената, единния граждански номер и постоянния адрес (адрес на пребиваване) на съответния кандидат.

2. Данни за не по-малко от 7000 избиратели, като за избирателите български граждани това са имена и единен граждански номер, а за гражданите на друга държава – членка на Европейския съюз, имащи статут на постоянно или продължително пребиваващи у нас – имена, личен номер, номер на личната карта или паспорта, номер на удостоверението за пребиваване и датата на регистрация, посочена в него.

Инициативните комитети за издигане независими кандидати за президент и вицепрезидент на републиката обработват:

1. Имената, единния граждански номер и постоянния адрес (настоящ адрес или адрес на пребиваване) на кандидата.

2. Данни за избирателите български граждани – имената, постоянен адрес в общината, съответно в кметството, единен граждански номер, както и данни за гражданите на друга държава – членка на Европейския съюз, имащи статут на постоянно или продължително пребиваващи у нас – имена, личен номер, номер на личната карта или паспорта, номер на удостоверението за пребиваване и датата на регистрация, посочена в него, и адреса на пребиваване в съответната община или кметство.

Обработването на лични данни на лица във връзка с провеждането на избори налага стриктно спазване на императивните изисквания на ЗЗЛД от всички администратори налични данни. Въвеждането на строга организация присъбирането на личните данни е важна предпоставка за законосъобразното им обработване. Поради това е необходимо предприемането на съответни мерки за изпълнение както на задълженията на администраторите на лични данни, така и за осигуряване на безпрепятственото упражняване на правата на гражданите.

Във връзка с това е необходимо следното:

3.1. При организирането на подписка, да бъдат предприети необходимите технически и организационни мерки, така че да може да се удостовери по безспорен начин пред кой член на инициативен комитет, даден избирател е положил своя подпис с цел подкрепа за участие на независим кандидат в изборите.

3.2. С цел гарантиране на правото на информираност на гражданите, е необходимо посредством образците на изборни книжа или чрез информация, предоставяна и огласявана по друг начин от членовете на инициативни комитети, на гражданитеда бъде предоставяна информация относно конкретната цел, за която се събират личните им данни, на кого ще се предоставят данните и за какъв срок ще бъдат съхранени.

3.3. Администраторите на лични данни – участници в изборния процес, са длъжни да предприемат съответни технически мерки, така че събраните лични данни по безспорен начин да бъдат отнесени (или да бъдат част от) към съответните изборни книжа и да не се създава възможност за физическото им отделяне от съдържанието на тези книжа.

3.4. Във връзка със законовата възможност един избирател да участва само в една подписка на инициативен комитет, съответните инициативни комитети и техните членове трябва да предприемат технически и организационни мерки за предотвратяване участието на един избирател повече от един път в подписка, организирана от един и същи инициативен комитет.

3.5. Обработваните от администраторите лични данни (в това число подписки) не могат да бъдат копирани,изменяни, разкривани, разпространявани, или използвани за каквато и да е друга дейност и цел, различна от участие в изборите.

3.6. Обработваните от политическите партии и от инициативните комитети лични данни, в случаите, когато не бъдат събрани законовоустановения брой подписи от избиратели с цел регистриране на кандидатски листи, следва да бъдат унищожени. Унищожаването на данните трябва да бъде удостоверено с Протокол, подписан от всички членове на инициативния комитет.

3.7. Предприетите технически и организационни мерки от политическите партии и от инициативните комитети следва да включват конкретни мерки относно начина по пренасянето и предаването на събраните от тях подписки на Централната избирателна комисия, съответно на районните и общинските избирателни комисии за конкретните избори.

3.8. Централната избирателна комисия, районните и общинските избирателни комисии следва да предприемат технически и организационни мерки за защита на данните при предаването на подписките на политическите партии и на инициативните комитети на Главна дирекция "Гражданска регистрация и административно обслужване" и на нейните териториални звена към Министерството на регионалното развитие и благоустройството.

3.9. Съхраняването на личните данни от Централната избирателна комисия, от районните и общинските избирателни комисии следва да се осъществява само в законовоустановените за това срокове съобразно изискванията на Изборния кодекс.

3.10. Всеки администратор на лични данни – участник в изборния процес, следва да регламентира конкретните мерки и средства за защита на личните данни със своя инструкция съгласно чл.23, ал.4 от Закона за защита на личните данни и съобразно установените минимални изисквания по чл. 3, ал. 3 отНаредба № 1 от 7 февруари 2007г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

Във връзка с изложеното и на основание чл. 10, ал.1, т. 4 и т.5 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

1. Всеки инициативен комитет и член на такъв комитет трябва да предприеме мерки, за да гарантира изпълнението на своето задължение за предоставяне на информация на гражданите относно целите на обработване на данните, получателите иликатегориитеполучатели, на които могат да бъдат разкрити данните; задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им, правото на достъп и правото на коригиране, заличаване или блокиране на събраните данни. Тази информация може да бъде разгласена на гражданите по подходящ начин, напр. посредством текст в образците на изборни книжа или чрез съответни информационни табла или брошури, разположени на местата на събиране на подписката.

2. Всеки администратор на лични данни – участник в изборния процес може да обработва лични данни само в конкретния обем, изрично посочен в Изборния кодекс, съобразно неговите функции и за конкретната цел, регламентирана в Изборния кодекс (произвеждането на избори).

3. Администраторът на лични данни трябва да предприеме технически и организационни мерки за защита на данните, както следва:

3.1. Установяване по безспорен начин пред кой член на инициативен комитет, даден избирател е положил свояподпис с цел подкрепа научастие на независим кандидат в изборите.

3.2. Събраните лични данни трябва по безспорен начин да бъдат отнесени (или да бъдат част от) към съответните изборни книжа и да не се създава възможност за физическото им отделяне от съдържанието на тези книжа.

3.3. Предотвратяване участието на един избирател повече от един път в подписка, организирана от един и същ инициативен комитет.

3.4. Обработваните лични данни (в това число подписки) да не бъдат копирани,изменяни, разкривани, разпространявани, или използвани за каквато и да е друга дейност и цел, различна от участие в изборите.

3.5. Съхраняването на личните данни от Централната избирателна комисия, от районните и общинските избирателни комисии следва да се осъществи само в законовоустановените за това срокове съобразно изискванията на Изборния кодекс.

4. Обработваните от политическите партии и от инициативните комитети лични данни, в случаите, когато не бъдат събрани законовоустановения брой подписи от избиратели с цел регистриране на кандидатски листи, трябва да бъдат унищожени. Унищожаването на данните трябва да бъде удостоверено с Протокол, подписан от всички членове на инициативния комитет.

5. Всеки администратор на лични данни – участник в изборния процес, трябва да регламентира конкретните мерки и средства за защита на личните данни със своя инструкция съгласно чл.23, ал.4 от Закона за защита на личните данни и съобразно установените минимални изисквания по чл. 3, ал. 3 отНаредба № 1 от 7 февруари 2007г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

6. В инструкцията по т. 5 следва да залегнат всички мерки, описани по т.1 – 5 от настоящото становище, вкл. мерки относно начина по пренасянето ипредаването на подписките на Централната избирателна комисия, съответно на районните и общинските избирателни комисии за конкретните избори, респ. предаването на информация на Главна дирекция "Гражданска регистрация и административно обслужване" и на нейните териториални звена към Министерството на регионалното развитие и благоустройството.